Права доступа
=============
Пользователи и права доступа настраиваются в конфиге пользователей. Обычно это ``users.xml``.

Пользователи прописаны в секции users. Рассмотрим фрагмент файла ``users.xml``:

.. code-block:: xml

  <!-- Пользователи и ACL. -->
  <users>
      <!-- Если имя пользователя не указано, используется пользователь default. -->
      <default>
          <!-- Password could be specified in plaintext or in SHA256 (in hex format).
  
               If you want to specify password in plaintext (not recommended), place it in 'password' element.
               Example: <password>qwerty</password>.
               Password could be empty.
  
               If you want to specify SHA256, place it in 'password_sha256_hex' element.
               Example: <password_sha256_hex>65e84be33532fb784c48129675f9eff3a682b27168c0ea744b2cf58ee02337c5</password_sha256_hex>
  
               How to generate decent password:
               Execute: PASSWORD=$(base64 < /dev/urandom | head -c8); echo "$PASSWORD"; echo -n "$PASSWORD" | sha256sum | tr -d '-'
               In first line will be password and in second - corresponding SHA256.
          -->
          <password></password>
  
          <!-- Список сетей, из которых разрешён доступ.
              Каждый элемент списка имеет одну из следующих форм:
              <ip> IP-адрес или маска подсети. Например, 198.51.100.0/24 или 2001:DB8::/32.
              <host> Имя хоста. Например: example01. Для проверки делается DNS-запрос, и все полученные адреса сравниваются с адресом клиента.
              <host_regexp> Регулярное выражение для имён хостов. Например, ^example\d\d-\d\d-\d\.yandex\.ru$
                  Для проверки, для адреса клиента делается DNS PTR-запрос и к результату применяется регулярное выражение.
                  Потом для результата PTR-запроса делается снова DNS-запрос, и все полученные адреса сравниваются с адресом клиента.
                  Настоятельно рекомендуется, чтобы регулярное выражение заканчивалось на \.yandex\.ru$.
  
              Если вы устанавливаете ClickHouse самостоятельно, укажите здесь:
                  <networks>
                          <ip>::/0</ip>
                  </networks>
          -->
          <networks incl="networks" />
  
          <!-- Профиль настроек, использующийся для пользователя. -->
          <profile>default</profile>
  
          <!-- Квота, использующаяся для пользователя. -->
          <quota>default</quota>
      </default>
  
      <!-- Для запросов из пользовательского интерфейса Метрики через API для данных по отдельным счётчикам. -->
      <web>
          <password></password>
          <networks incl="networks" />
          <profile>web</profile>
          <quota>default</quota>
          <allow_databases>
             <database>test</database>
          </allow_databases>
      </web>

Здесь видно объявление двух пользователей - ``default`` и ``web``. Пользователя ``web`` мы добавили самостоятельно.
Пользователь ``default`` выбирается в случаях, когда имя пользователя не передаётся, поэтому такой пользователь должен присутствовать в конфигурационном файле обязательно. Также пользователь ``default`` используется при распределённой обработки запроса - система ходит на удалённые серверы под ним. Поэтому, у пользователя ``default`` должен быть пустой пароль и не должно быть выставлено существенных ограничений или квот - иначе распределённые запросы сломаются.

Пароль указывается либо в открытом виде (не рекомендуется), либо в виде SHA-256. Хэш не содержит соль. В связи с этим, не следует рассматривать такие пароли, как защиту от потенциального злоумышленника. Скорее, они нужны для защиты от сотрудников.

Указывается список сетей, из которых разрешён доступ. В этом примере, список сетей для обеих пользователей, загружается из отдельного файла (/etc/metrika.xml), содержащего подстановку networks. Вот его фрагмент:

.. code-block:: xml

  <yandex>
      ...
      <networks>
          <ip>::/64</ip>
          <ip>203.0.113.0/24</ip>
          <ip>2001:DB8::/32</ip>
          ...
      </networks>
  </yandex>

Можно было бы указать этот список сетей непосредственно в users.xml, или в файле в директории users.d (подробнее смотрите раздел "Конфигурационные файлы").

В конфиге приведён комментарий, указывающий, как можно открыть доступ отовсюду.

Для продакшен использования, указывайте только элементы вида ip (IP-адреса и их маски), так как использование host и host_regexp может вызывать лишние задержки.

Далее указывается используемый профиль настроек пользователя (смотрите раздел "Профили настроек"). Вы можете указать профиль по умолчанию - ``default``. Профиль может называться как угодно; один и тот же профиль может быть указан для разных пользователей. Наиболее важная вещь, которую вы можете прописать в профиле настроек - настройку readonly, равную 1, что обеспечивает доступ только на чтение.

Затем указывается используемая квота (смотрите раздел "Квоты"). Вы можете указать квоту по умолчанию - ``default``. Она настроена в конфиге по умолчанию так, что только считает использование ресурсов, но никак их не ограничивает. Квота может называться как угодно; одна и та же квота может быть указана для разных пользователей - в этом случае, подсчёт использования ресурсов делается для каждого пользователя по отдельности.

Также в необязательном разделе ``<allow_databases>`` можно указать перечень баз, к которым у пользователя будет доступ. По умолчанию пользователю доступны все базы. Можно указать базу данных ``default``, в этом случае пользователь получит доступ к базе данных по умолчанию. 

Доступ к БД ``system`` всегда считается разрешённым (так как эта БД используется для выполнения запросов).

Пользователь может получить список всех БД и таблиц в них с помощью запросов ``SHOW`` или системных таблиц, даже если у него нет доступа к отдельным ДБ.

Доступ к БД не связан с настройкой :ref:`query_complexity_readonly`. Невозможно дать полный доступ к одной БД и ``readonly`` к другой.