y
Наоборот.
Size: a a a
2020 April 29
y
shard local это с реплики, а cluster wide это с конфига
y
И это два разных набора привилегий
y
Например для обслуживания шардов придётся руками ходить и везде обновлять пользователей и роли
y
Если к этому ещё аутентификацию по сертификатам добавить, будет бинго и полное ведро боли
DS
db здесь не скопу роли
Ну должна быть же какая-то логика.
Вот почему:
Хранилище admin (а не test)
А здесь хранилище local?
us
ААА, хранилище для ролей это. Теперь понял
Вот почему:
Хранилище admin (а не test)
user admin
db.createUser({ user: "test", pwd: "password", roles: [{role: "readWrite", db: "test"}]})
А здесь хранилище local?
us
er admin
db.createUser({ user: "test", pwd: "password", roles: [{role: "readWrite", db: "local"}]})
ААА, хранилище для ролей это. Теперь понял
DS
так как readWrite встроена везде (кроме local) первый случай работает корректно.
y
Да, это хранилище информации о привилегиях
y
The following roles are available on the
admin database and provide privileges which apply to all databases except local and config:^
y
А, тьфу. Это не про это
DS
Да, это хранилище информации о привилегиях
То есть тогда правильно делать не так. А создать свою роль с readWrite на базу "test", и уже делать так:
И только в этом случае, юзер test будет в admin, и роль тоже в admin, но при этом он будет иметь доступ только в test
user admin
db.createUser({ user: "test", pwd: "password", roles: [{role: "customRoleReadWriteForTest", db: "admin"}]})
И только в этом случае, юзер test будет в admin, и роль тоже в admin, но при этом он будет иметь доступ только в test
y
Да, именно так
DS
Да, именно так
Все спасибо большое добрый человек!
Теперь я вроде как понял эту жесть с правами
Теперь я вроде как понял эту жесть с правами
DS
Но правда так делать неудобно получается, свои роли фигачить для юзера. Проще тогда их хранить в базах вместе с ролями.
Просто поминть, что с local так не выйдет, так как по умолчанию нету прав создавать там роли и юзеров
Просто поминть, что с local так не выйдет, так как по умолчанию нету прав создавать там роли и юзеров
DS
Жесть какая))
y
без необходимости хранить за пределами admin не стоит
y
так как при подключении вам нужно будет явно настраивать authenticationDatabase
y
и указывать ту, откуда вы хотите брать список пользователей и ролей
DS
так как при подключении вам нужно будет явно настраивать authenticationDatabase
странно, я как раз таки наоборот делаю, именно потому что authenticationDatabase по умолчанию используется та база, к которой коннект присходит. По крайней мере в mongo модуле для nodejs
e
вопрос: может ли монга сторить бинарник ~10кб в документе без сериализации в base64?