Exclude schema in a rule

[naub1n]

What do you want?

Hi,

I want to apply rule to all schema except two.

I have a default rule for all schemas.
And I want to apply specific rule on two schemas.

Schemas are created dynamically by users and I don't want to write a rules for each schema.

Example :

rules:
- grant:
    privilege: writer
    databases: my_database
    schema: __all__
    role: my_role

- grant:
    privilege: reader
    databases: my_database
    schema: my_schema
    role: my_role

If I do that, my_role keep writer privilege on my_schema

It can be usefull to exclude some schemas with a character, like this:

rules:
- grant:
    privilege: writer
    databases: my_database
    schemas: 
      - !my_schema
    role: myrole

Or use custom sql to select schemas other than schemas_query

I can exclude schemas in schemas_query but I want them stay managed

Is there another way to do that ?

[bersace]

Bonjour Nicolas, il semble que vous souhaiter gérer vos habilitations dynamiquement dans ldap2pg. Votre besoin semble plus global que ça.

[naub1n]

Bonjour Etienne,

En effet, le sujet évoqué n'est qu'une conséquence d'un mode de fonctionnement que nous souhaiterions avoir.
Je prends le temps de rédiger (en français) notre cas d'usage ainsi que les différents tests que j'ai fait.
J'essaye également d'y ajouter une config type du YAML pour reproduire le mode de fonctionnement.

[naub1n]

Bonjour Etienne,

Voici les détails:

Contexte

Le personnel est autonome sur certaines bases de données sur la gestion des schémas et des tables.
Les droits doivent cependant être gérés par ldap2pg pour garantir une cohérence avec le "contrat de fonctionnement" défini avec le personnel sur ces bases de données.

Dans ce fonctionnement, on distingue deux cas:

• Un fonctionnement par défaut : Une matrice est définie avec des droits pour chaque rôle. Ces rôles sont appliqués par défaut sur les nouveaux schéma créés par le personnel.
  N.B. "Par défaut" n'est pas au sens PostgreSQL mais un sens fonctionnel.
• Un fonctionnement spécifique : Une matrice de droit spécifique à un schéma est définie avec le personnel.

Le personnel est réparti dans 3 rôles:

• admin
• contrib
• reader

Pour expliquer les problèmes rencontrés, je me focaliserai sur une seule base de données que je nommerai db1.

Voici la matrice par défaut qui est définie sur l'ensemble des schémas:

Droits par défaut	reader	contrib	admin
USAGE	x	x	x
CREATE			x

Voici la matrice par défaut qui est définie sur l'ensemble des tables:

Droits par défaut	reader	contrib	admin
SELECT	x	x	x
INSERT		x	x
ALL			x

Voici enfin des droits spécifiques que l'on souhaite attribué aux tables du schéma schema1

Droits spécifiques	reader	contrib	admin
SELECT	x	x	x
INSERT			x
ALL			x

Les tests ont été faits avec la version 6.3-rc.1 (j'ai une erreur err="ERREUR: identifiant délimité de longueur nulle sur ou près de « \"\" » (SQLSTATE 42601)" avec la 6.2 sur le test 2, mais j'arrive à m'en sortir en prenant les privilèges intégrés)

Test1

ldap2pg.yml

privileges:
  p_usage_on_schema:
  - type: USAGE
    on: SCHEMA
  p_create_on_schema:
  - p_usage_on_schema
  - type: CREATE
    on: SCHEMA
  p_select_on_tables:
  - type: SELECT
    on: ALL TABLES IN SCHEMA
  p_insert_on_tables:
  - p_select_on_tables
  - type: INSERT
    on: ALL TABLES IN SCHEMA
  p_all_on_tables:
  - __all_on_tables__

rules:
- description: "Rôles Test"
  roles:
    - name: admin
      options: NOLOGIN
      parent: contrib
    - name: contrib
      options: NOLOGIN
      parent: reader
    - name: reader
      options: NOLOGIN
  grant:
    - privileges: 
      - p_select_on_tables
      - p_usage_on_schema
      roles: reader
      database: db1
    - privileges: 
      - p_insert_on_tables
      - p_usage_on_schema
      roles: contrib
      database: db1
    - privilege: 
      - p_all_on_tables
      - p_create_on_schema
      roles: admin
      database: db1
    - privilege: 
      - p_select_on_tables
      roles: contrib
      database: db1
      schema: schema1

J'applique la configuration ci-dessus.
Les droits sont bien appliqués sur l'ensemble des schémas et des tables en respectant la règle par défaut. Chaque nouveau schéma ou nouvelle table à les bon droits.
Cependant, le schéma schema1 ne respecte pas la règle spécifique et les droits de cette règles viennent s'ajouter aux règles par défaut (et non se substituer).

oid-0	relacl
schema2.test	["admin=arwdDxt/admin","reader=r/admin","contrib=ar/admin"]
schema1.test	["reader=r/admin","contrib=ar/admin","admin=arwdDxt/admin"]

Test2

ldap2pg.yml

privileges:
  p_usage_on_schema:
  - type: USAGE
    on: SCHEMA
  p_create_on_schema:
  - p_usage_on_schema
  - type: CREATE
    on: SCHEMA
  p_default_select_on_tables:
  - type: SELECT
    on: GLOBAL DEFAULT
    object: TABLES
  p_default_insert_on_tables:
  - p_default_select_on_tables
  - type: INSERT
    on: GLOBAL DEFAULT
    object: TABLES
  p_all_on_tables:
  - __all_on_tables__

rules:
- description: "Rôles Test"
  roles:
    - name: admin
      options: NOLOGIN
      parent: contrib
    - name: contrib
      options: NOLOGIN
      parent: reader
    - name: reader
      options: NOLOGIN

- privileges: 
      - p_default_select_on_tables
      - p_usage_on_schema
      roles: reader
      database: db1
      owner: admin
    - privileges: 
      - p_default_insert_on_tables
      - p_usage_on_schema
      roles: contrib
      database: db1
      owner: admin
    - privilege: 
      - p_all_on_tables
      - p_create_on_schema
      roles: admin
      database: db1
    - privilege: 
      - p_select_on_tables
      roles: 
      - contrib
      - reader
      database: db1
      schema: schema1

J'applique une première fois la configuration ci-dessus.
Je crée ensuite deux tables, une dans le schéma schema1 et l'autre dans un autre schéma schema2 pour lequel on applique les règles par défaut:

set role admin;

CREATE TABLE schema1.test
(
    id integer
);

CREATE TABLE schema2.test
(
    id integer
);

Les droits sont bien appliqués sur les deux tables et respectent la règles par défaut.

oid-0	relacl
schema1.test	["reader=r/admin","contrib=ar/admin"]
schema2.test	["reader=r/admin","contrib=ar/admin"]

Je relance ldap2pg pour appliquer les droits spécifiques sur le schéma schema1.

06:29:25 CHANGE Revoke privileges.                               grant="PARTIAL INSERT ON ALL TABLES IN SCHEMA schema1 TO contrib" database=db1
06:29:25 CHANGE Revoke privileges.                               grant="INSERT ON ALL TABLES IN SCHEMA schema2 TO contrib" database=db1
06:29:25 CHANGE Revoke privileges.                               grant="SELECT ON ALL TABLES IN SCHEMA schema2 TO reader" database=db1
06:29:25 CHANGE Revoke privileges.                               grant="SELECT ON ALL TABLES IN SCHEMA schema2 TO contrib" database=db1
06:29:25 CHANGE Grant privileges.                                grant="DELETE ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="DELETE ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="INSERT ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="INSERT ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="REFERENCES ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="REFERENCES ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="SELECT ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="SELECT ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="TRIGGER ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="TRIGGER ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="TRUNCATE ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="TRUNCATE ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="UPDATE ON ALL TABLES IN SCHEMA schema1 TO admin" database=db1
06:29:25 CHANGE Grant privileges.                                grant="UPDATE ON ALL TABLES IN SCHEMA schema2 TO admin" database=db1

Le schéma schema1 a bien les droits spécifiques mais les tables des autres schémas ont perdu les droits par défaut.

oid-0	relacl
schema2.test	["admin=arwdDxt/admin"]
schema1.test	["reader=r/admin","contrib=r/admin","admin=arwdDxt/admin"]

Conclusion

La superposition des règles ne me permet pas de définir moins de droits à un rôle par rapport aux règles par défaut. Par contre, définir plus de droits dans une règle spécifique est possible.
C'est pour cela que l’exclusion de schéma dans des règles globales pourrait être utile.
Si une autre manière de faire est possible pour réaliser le fonctionnement souhaité, je suis preneur 😀.