>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Bugzilla
   http://forum.mozilla-russia.org/viewforum.php?id=35
>Определение прав доступа для множества продуктов
   http://forum.mozilla-russia.org/viewtopic.php?id=42695

DizelGenerator > 13-01-2010 15:44:26

Здравствуйте!

В одном экземпляре Bugzilla 3.4.2 обслуживается множество продуктов. Все они распределены по разделам. Задача следующая:
Требуется для каждого продукта определить группы:

  • «ReadOnly» — пользователи этой группы могут просматривать продукт и все ошибки, к нему относящиеся;
  • «EditBugs» — пользователи могут создавать/редактировать ошибки продукта, но не могут изменять его аттрибуты;
  • «FullAccess» — пользователи могут создавать/редактировать ошибки продукта и могут изменять его аттрибуты.

Все остальные пользователи, не входящие ни в одну из групп, не могут просматривать/создавать/редактировать ошибки этого продукта.

Подскажите, возможно ли реализовать такую схему и какие параметры выставить для групп?

Спасибо!

DizelGenerator > 14-01-2010 10:57:21

Спасибо, но такая схема не предоставляет необходимых прав для указанных групп. В частности:

  • Пользователи группы "ReadOnly" не видят продукт в поиске, не могут получить доступ при прямом указании номера ошибки. Создать тоже не могут, однако;
  • Пользователи группы "EditBugs" не видят продукт в поиске, не могут получить доступ при прямом указании номера ошибки. Но новую ошибку создать могут;
  • То же самое с пользователями группы "FullAccess"

Вообще система назначения прав на продукт мутноватая... Мне кажется, что флаги Обязательно/Обязательно может иметь только одна группа на продукт, ведь это «владельцы» и при создании ошибка присваивается только им.

14-01-2010 11:05:05
Не до конца работает такая схема:
EditBugs: Создание Обязательно/Обязательно Редакторы Подтверждение
FullAccess: Запрещено/Запрещено Компоненты Редактировать любые ошибки

при этом ReadOnly как ни крути - не имеет доступ на чтение.

SnowyOwl > 15-01-2010 03:58:24

Сходил помоделировал. Остановился на:

readers: Обязательно/Обязательно
users: Запрещено/Запрещено, Создание, Редакторы, Подтверждение, Редактировать любые ошибки
owners: Запрещено/Запрещено, Компоненты

При этом группа readers включает группы users и owners. Группа users включает owners.

Видимостью в поиске при этом управляет первое Обязательно. Существенно отсутствие других групп с тем же значением для этого продукта.

DizelGenerator > 15-01-2010 09:03:02

Оно самое, благодарю за помощь!

SnowyOwl пишет

Видимостью в поиске при этом управляет первое Обязательно. Существенно отсутствие других групп с тем же значением для этого продукта.

Это один нюанс, но существенный, про него нельзя забывать.

Получилась вполне логичная структура распределения прав, в возможностях которой, приступая к изучению назначения прав в Bugzilla, я, честно сказать, сомневался. Видимо, избалован возможностями Active Directory определять права на каждый чих :)

SnowyOwl > 15-01-2010 09:26:37

Про далекую от интуитивной иерархию -- это очень мягко сказано. Отличие от большинства принятых -- доступ связан с входимостью во все группы, а не в любую их них...

DizelGenerator > 15-01-2010 10:16:36

Да, это тоже сбивает с толку. Интересно, какими идеями руководствовались разработчики, отказываясь от реализации проверенного ACL в пользу подобного решения.

Кстати, в официальном IRC (я туда тоже обращался) один из разработчиков пытался, но так и не смог помочь с этой проблемой :)

DizelGenerator > 15-01-2010 11:32:53

Позволю себе уточнить (для других):

SnowyOwl пишет

При этом группа readers включает группы users и owners. Группа users включает owners.

Это означает, что:
Группа users входит в группу readers.
Группа owners входит в группу users.