ஏஜென்ட் பாதுகாப்பு வளையங்கள் மற்றும் ரன்டைம் LDAP கட்டமைப்பு (Agent Guardrails and Runtime LDAP Config)
இன்று நான் இரண்டு வெவ்வேறு சிக்கல்களைக் கையாண்டேன். இவை இரண்டுமே ஒரே இலக்கைக் கொண்டிருந்தன: எல்லைகளைத் தெளிவாகவும் எளிதில் கட்டுப்படுத்தக்கூடியதாகவும் மாற்றுவது.
முதல் பணி ஒரு AI ஏஜென்ட்டிற்கான MCP கருவிகளைக் கட்டமைப்பதாகும். நிகழ்வுகளைப் பட்டியலிடுதல், தயார்நிலையைச் சரிபார்த்தல் மற்றும் புதுப்பிப்புகளை வெளியிடுதல் ஆகியவற்றின் மூலம் ஒரு நிகழ்வுத் தளத்தை (events platform) ஏஜென்ட் நிர்வகிக்க வேண்டும் என்று நான் விரும்பினேன்.
இதில் உள்ள சவால் என்னவென்றால், MCP கருவிகள் டோக்கன் அங்கீகாரத்தைப் (token authentication) பயன்படுத்துகின்றன. இதன் பொருள், ஒரு சாதாரண இணையக் கோரிக்கையில் (web request) இருப்பது போன்ற அமர்வு சூழல் (session context) அவற்றுக்கு இல்லை. நீங்கள் ஒரு உலகளாவிய டெனன்ட் ஸ்கோப்பை (global tenant scope) நம்பியிருந்தால், சிஸ்டம் ஒவ்வொரு நிறுவனத்தின் தரவையும் திருப்பித் தரக்கூடும்.
இதை நான் மூன்று விதிகளின் மூலம் தீர்த்தேன்:
- ஒவ்வொரு வினவலிலும் (query) நிறுவனத்தின் அடிப்படையில் வெளிப்படையாக வடிகட்டவும். உலகளாவிய ஸ்கோப்பை நம்பியிருக்க வேண்டாம்.
- இணையப் பயன்பாட்டில் (web app) உள்ள அதே அனுமதி சரங்களை (permission strings) பயன்படுத்தவும். ஒரு ஏஜென்ட், அதைப் பயன்படுத்தும் மனிதனை விட ஒருபோதும் அதிக அதிகாரத்தைப் பெற்றிருக்கக் கூடாது.
- ஆட்டோ-இன்கிரிமென்ட் ஐடிக்களுக்குப் (auto-increment IDs) பதிலாக தேடல்களுக்கு UUIDகளைப் பயன்படுத்தவும்.
ஒவ்வொரு கருவியையும் ஒரு நம்பகத்தன்மையற்ற முனைப்புள்ளியாக (untrusted endpoint) கருதுங்கள். உங்கள் லாஜிக்கை (logic) ஒரே இடத்தில் சோதனை செய்யக்கூடிய வகையில் வைக்கவும்.
இரண்டாவது பணி ஒரு அடையாளத் தளத்தைப் (identity portal) பற்றியது. நான் LDAP அமைப்புகளை நிலையான கோப்புகளிலிருந்து (static files) ஒரு அமைப்புகள் UI-க்கு மாற்றினேன். நிர்வாகிகளால் (Admins) இப்போது புதிய deployment இன்றி ஹோஸ்ட், போர்ட் மற்றும் சான்றுகளை (credentials) மாற்ற முடியும்.
இணைப்பு காலாவதி நேரங்கள் (connection timeouts) மற்றும் SASL விருப்பங்கள் மீதான கட்டுப்பாட்டையும் நான் சேர்த்தேன். இது JSON உடன் ஒரு தொழில்நுட்பத் தடையை உருவாக்கியது.
நீங்கள் JSON-இல் முழு எண் விசைகளை (integer keys) சேமிக்கும்போது, அவற்றை டிகோட் (decode) செய்யும்போது அவை சரங்களாக (strings) திரும்பப் பெறப்படுகின்றன. LDAP செயல்பாடுகளுக்கு முழு எண் விசைகள் தேவை. எனவே, அந்த விசைகளை மீண்டும் முழு எண்களாக மாற்ற ஒரு மேப்பரை (mapper) நான் எழுத வேண்டியிருந்தது.
இதை பாதுகாப்பாக வைத்திருக்க, நான் இரண்டு பாதுகாப்பு வளையங்களைச் சேர்த்தேன்:
- சேமிக்கப்பட்டுள்ள பிண்ட் கடவுச்சொற்களை (bind passwords) குறியாக்கம் செய்யவும். ரகசியங்களைச் சாதாரண உரையாக (plaintext) கேச்-இல் (cache) வைக்க வேண்டாம்.
- சேமிப்பதற்கு முன் JSON புலங்களைச் சரிபார்க்கவும். ஒரு தவறான கட்டமைப்பு சேமிக்கும் நிலையிலேயே தோல்வியடைய வேண்டும், பயனர் லாக்-அவுட் (locked out) ஆகும் போது அல்ல.
இணைப்புகளைச் சோதனை செய்வதற்கும் சேமிப்பதற்கும் நான் ஒரே அசெம்பிளரை (assembler) பயன்படுத்தினேன். இதன் மூலம் நீங்கள் சோதனை செய்யும் இணைப்பு, நீங்கள் சேமிக்கும் அதே இணைப்பாக இருப்பதை உறுதி செய்யலாம்.
பொறியியல் என்பது ஒரு அம்சத்தை (feature) உருவாக்குவது மட்டுமல்ல. பொறியியல் என்பது பாதுகாப்பு வளையங்களை (guardrails) உருவாக்குவதாகும்.
மூலம்: https://dev.to/nasrulhazim/dev-log-2026-06-24-agent-guardrails-and-runtime-ldap-config-2hi5
