Opened 15 years ago
Last modified 15 years ago
#7 new feature request
beter permissie systeem SCC
Reported by: | Edwin Eefting | Owned by: | |
---|---|---|---|
Priority: | normal | Milestone: | |
Component: | Syn-3 control center | Keywords: | |
Cc: |
Description
Nu is het alleen mogelijk om als root in te loggen. Het moet ook mogelijk zijn om 'normale' users te laten inloggen zodat ze email adressen kunnen aanmaken of proxylog raportages kunnen zien.
Het moet mogelijk zijn om users uit ldap permissies te geven. Deze permissies mogen NIET in ldap worden opgeslagen.
Het kan namelijk zijn dat een netwerk meerdere syn-3 servers heeft en dat je per server apparte permissies wilt geven. De permissies per gebruiker of groep staan dus lokaal op de server opgeslagen.
Implementatie:
Kan op 2 manieren:
- Helemaal in php. Er staat al een $LEVEL variabelle. Deze kan weg en vervangen worden door een permissie systeem. Nadeel is dat de SCC als root draait en dit dus security problemen kan opleveren.
- met behulp van ACL's en sudo-php: De scripts worden uitgevoerd onder de uid van de user die inlogd. Op alle config files staan ACL's die bepalen welke groep read of write access heeft.
Mooie en veilige manier, maar de FileWrite? functie gaat problemen geven: Deze maakt nu eerst een nieuwe file en moved deze op zn plaats met mv, zodat een write atomic is. Misschien valt dit mee met acls op directory nivo? uitzoeken dus.
devlopment hieraan gebeurd in de webint-permission-branch