За последние 60 дней ни разу не выходила
Сайт листа:
http://www.linuxrsp.ru
Открыт:
25-07-2003
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.linux.discuss-list@subscribe.ru
Адрес
модератора: comp.soft.linux.discuss-owner@subscribe.ru
Доброго времени суток!
Кто-нибудь занимался subj'ем? Нужно, чтобы приложения осуществляли соединение
с mysql базой, авторизовываясь, помимо пароля, сертификатом. Насколько реально
осуществить? В принципе, на mysql.com все более-менее описано, то есть поднять
связку не должно составить труда. А вот как потом к клиентской части (к приложениям,
то есть) это дело прикручивать? И будет ли работать, если приложения оффтоповые?
Заранее благодарен,
12 Май 2005 10:17, oleg написал:
Как я понимаю, надо бы смотреть в сторону VPN. Сам такого опыта не имею, ео
помнится, были хорошие статьи в Системном Администраторе с поднобным
описанием, как и что надо делать.
Спасибо за вариант, но проблема в том, что мне больше нужна авторизация по сертификатам,
а не шифрование :(.
http://dev.mysql.com/doc/mysql/en/secure-requirements.html -- это описано на
офсайте. Прикручивается действительно без проблем -- но вот что делать дальше
и как затачивать приложения под это дело -- вообще не понял :(.
Ещё слышал про решения с помощью некоего stunnel -- но пока не гуглил.
Предлагают также заворачивать через ssh -- опять же IMHO слишком геморройно на
клиентской стороне, особенно под оффтопом.
Ничего более конкретного, пока, к сожалению, не нашел. :(
на
Через ssh геморроя меньше всего IMHO:), мы, например, заворачивали rdp трафик
по такой схеме:
[WINBOX]-----INTRANET------[SSHDBOX(INET_ROUTER)]======SSH_TUNNEL========[CLIENT(LOCALPORT)]
Команда при этом была такова:
ssh -2 -N -f -L {LOCAL_PORT}:{WINBOX_IP}:{WINBOX_PORT} user@{SSHDBOX_IP}
при этом ssh создавал на localhost порт LOCAL_PORT, к которому можно было подключатся.
Преимуществ много, недостатки тоже есть.
Сомневаюсь, что это решение подойдет Tosha, но для шифрованного трафика просто
замечательно.
-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 18613; Возраст листа: 657; Участников: 1352
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/366309
Нет, подойти может -- ssh же поддерживает аутентификацию по сертификатам:)
а что в этой схеме олицетворяет winbox и чем он отличается от client?
прямо на этот порт подключается клиент? а как ему сказать, что связь должна идти
через ssh?
Да, но аутентификация будет проходить на сервере с висящим на нем sshd, а не
на mysql сервере.
Если такой вариант тебя устраивает, то значит все в порядке:)
WINBOX, это копм с оффтопиком, на котором у меня висит Terminal Server, а клиент
это комп на котором я работаю.
идти
Смотри: на сервере внутри интранета открыт порт mysql 3306, ты подключаешься
по ssh к рутеру, который соединяет интранет с инетом, он слушает порт mysql сервера,
и передает по туннелю данные тебе, и от тебя обратно, а твой ssh клиент выполняет
дешифровку трафика, и открывает порт(с любым номером, если, допустим, 3306 уже
занят) на твоем
localhost, то бишь твой mysql клиент "думает", что сервер запущен не удаленно,
а у тебя на машине.
-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 18619; Возраст листа: 657; Участников: 1352
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/366380
To Faust:
Вроде все понял, большое спасибо. Попробую реализовать ваш вариант, если других
не появится.:)
На всякий случай вопрос не закрываю: вдруг все-таки кто-нибудь делал авторизацию
непосредственно в mysql по сертификатам... :)
Tosha пишет:
на
на
http://dev.mysql.com/doc/mysql/ru/windows-and-ssh.html
Но да. Придется создавать туннель на каждой клиентской машине под
Windows. И подключаться к localhost:порт. Должно работать.
-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 18631; Возраст листа: 658; Участников: 1352
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/366601
To Sergey Tarasov:
Правда для этого придеться апгрейтнуться до 4-го SQL-а, а сервер - это
как всегда самый
рабочий и самый пользуемый. Так-что это все займет время.
Спасибо,
Олег
-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 18640; Возраст листа: 658; Участников: 1349
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/366895
Всем откликнувшимся спасибо!
После долгих дискуссий с командой разработчиков (то есть с ещё одним человеком
:)), пришли к немного новому решению, которое скорее всего и будем использовать.
Если кому интересно: клиентские приложения будут осуществлять соединение с сервером
по https и отправлять все данные GET или POST запросами. В свою очередь, на сервере
будет крутиться скрипт под апачем, который все это будет переваривать и в свою
очередь соединяться с MySQL'ом локально и заносить нужную инфу в БД.;)
Конечно, совсем не то, что собирались делать в начале, но благо, что вся система
пока на стадии "бумажного проектирования", и ничего в коде править не надо :).
Буду рад, если кто-то выскажет мысли по поводу секюрности/корявости решения.;)
Tosha wrote:
Всегда хотел чего-нибудь подобного! Уже года четыре работаю в связке
MySQL(linux),MySQL ODBC
driver, Visual FoxPro. Работает чудесно! К сожалению, секъюрити так и
не смогли прикрутить, хотя и приходится работать поверх интернета. В
настройках ODBC есть возможность использовать компрессированный
протокол (хоть какая-то приватность, не открытым текстом), но опции
использовать SSL или SSH нету. Так и живем. Если у кого-нибудь есть
мысли или решения, поделитесь please!!!
Олег.
-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 18601; Возраст листа: 657; Участников: 1352
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/366116