Определение прав доступа для множества продуктов

DizelGenerator · №1

Здравствуйте!

В одном экземпляре Bugzilla 3.4.2 обслуживается множество продуктов. Все они распределены по разделам. Задача следующая:
Требуется для каждого продукта определить группы:

«ReadOnly» — пользователи этой группы могут просматривать продукт и все ошибки, к нему относящиеся;
«EditBugs» — пользователи могут создавать/редактировать ошибки продукта, но не могут изменять его аттрибуты;
«FullAccess» — пользователи могут создавать/редактировать ошибки продукта и могут изменять его аттрибуты.

Все остальные пользователи, не входящие ни в одну из групп, не могут просматривать/создавать/редактировать ошибки этого продукта.

Подскажите, возможно ли реализовать такую схему и какие параметры выставить для групп?

Спасибо!

Отредактировано DizelGenerator (13-01-2010 17:37:58)

DizelGenerator · №2

Спасибо, но такая схема не предоставляет необходимых прав для указанных групп. В частности:

Пользователи группы "ReadOnly" не видят продукт в поиске, не могут получить доступ при прямом указании номера ошибки. Создать тоже не могут, однако;
Пользователи группы "EditBugs" не видят продукт в поиске, не могут получить доступ при прямом указании номера ошибки. Но новую ошибку создать могут;
То же самое с пользователями группы "FullAccess"

Вообще система назначения прав на продукт мутноватая... Мне кажется, что флаги Обязательно/Обязательно может иметь только одна группа на продукт, ведь это «владельцы» и при создании ошибка присваивается только им.

Добавлено 14-01-2010 11:05:05
Не до конца работает такая схема:
EditBugs: Создание Обязательно/Обязательно Редакторы Подтверждение
FullAccess: Запрещено/Запрещено Компоненты Редактировать любые ошибки

при этом ReadOnly как ни крути - не имеет доступ на чтение.

SnowyOwl · №3

Сходил помоделировал. Остановился на:

readers: Обязательно/Обязательно
users: Запрещено/Запрещено, Создание, Редакторы, Подтверждение, Редактировать любые ошибки
owners: Запрещено/Запрещено, Компоненты

При этом группа readers включает группы users и owners. Группа users включает owners.

Видимостью в поиске при этом управляет первое Обязательно. Существенно отсутствие других групп с тем же значением для этого продукта.

DizelGenerator · №4

Оно самое, благодарю за помощь!

SnowyOwl пишет

Видимостью в поиске при этом управляет первое Обязательно. Существенно отсутствие других групп с тем же значением для этого продукта.

Это один нюанс, но существенный, про него нельзя забывать.

Получилась вполне логичная структура распределения прав, в возможностях которой, приступая к изучению назначения прав в Bugzilla, я, честно сказать, сомневался. Видимо, избалован возможностями Active Directory определять права на каждый чих

SnowyOwl · №5

Про далекую от интуитивной иерархию -- это очень мягко сказано. Отличие от большинства принятых -- доступ связан с входимостью во все группы, а не в любую их них...

DizelGenerator · №6

Да, это тоже сбивает с толку. Интересно, какими идеями руководствовались разработчики, отказываясь от реализации проверенного ACL в пользу подобного решения.

Кстати, в официальном IRC (я туда тоже обращался) один из разработчиков пытался, но так и не смог помочь с этой проблемой

DizelGenerator · №7

Позволю себе уточнить (для других):

SnowyOwl пишет

При этом группа readers включает группы users и owners. Группа users включает owners.

Это означает, что:
Группа users входит в группу readers.
Группа owners входит в группу users.

Полезная информация

№113-01-2010 15:44:26

Определение прав доступа для множества продуктов

№214-01-2010 10:57:21

Re: Определение прав доступа для множества продуктов

№315-01-2010 03:58:24

Re: Определение прав доступа для множества продуктов

№415-01-2010 09:03:02

Re: Определение прав доступа для множества продуктов

№515-01-2010 09:26:37

Re: Определение прав доступа для множества продуктов

№615-01-2010 10:16:36

Re: Определение прав доступа для множества продуктов

№715-01-2010 11:32:53

Re: Определение прав доступа для множества продуктов

Board footer