Disassembler/Spotter-VM
1
0
Fork 0
Code Issues 78 Pull Requests Actions Packages Projects Releases Wiki Activity

SE - Delphi Decision maker - nedostatečná privilegia #14

New Issue
Closed
opened 2017-09-18 19:54:19 +02:00 by Podhorecky · 10 comments
Podhorecky commented 2017-09-18 19:54:19 +02:00 (Migrated from git.spotter.cz)
Copy Link

:)) tohle bude asi ještě legrace..

Steps to reproduce

Zaregistroval jsem se jako nový uživatel do SE.
Po zalogování jsem se dostal na hlavní stránku, kde v menu je pouze Delphi Decision maker

zvolil jsem a vyskočila hláška nedostatečná privilegia

Pochopil jsem že zatím není co rozhodovat a tak jsem se odlogoval a zalogoval jako admin a vyrobil v modulu Delphi Decision maker modelový příklad.

po zalogování zpět do uživatelského účtu jsem však stejně žádný rozhodovací proces nemohl udělat.

Expected behaviour

Proces rozhodování

Observed behaviour

hláška nedostatečná privilegia

Additional data (ticket URL, log, timestamp, stack trace etc.)

odhaduji že buď je něco chybně nastaveno, nebo jsem nepochopil jak to mysleli.
Každopádně to znemožňuje novému uživateli vstoupit do SE.

(původně jsem si myslel že to lze použít jako vstupní proces a modul by neměl překážet ve vstupu do ostatních modulů. Ale teď nevim jak se toho zbavit.
Takže pokud to je modul, který vylučuje použít zbytek SE, tak je to dost naprd.
Spíš věřím, že se někde povoluje právo uživatele projít modulem, ale nevim kde...

:)) tohle bude asi ještě legrace.. ### Steps to reproduce Zaregistroval jsem se jako nový uživatel do SE. Po zalogování jsem se dostal na hlavní stránku, kde v menu je pouze Delphi Decision maker zvolil jsem a vyskočila hláška **nedostatečná privilegia** Pochopil jsem že zatím není co rozhodovat a tak jsem se odlogoval a zalogoval jako admin a vyrobil v modulu Delphi Decision maker modelový příklad. po zalogování zpět do uživatelského účtu jsem však stejně žádný rozhodovací proces nemohl udělat. ### Expected behaviour Proces rozhodování ### Observed behaviour hláška nedostatečná privilegia ### Additional data (ticket URL, log, timestamp, stack trace etc.) odhaduji že buď je něco chybně nastaveno, nebo jsem nepochopil jak to mysleli. Každopádně to znemožňuje novému uživateli vstoupit do SE. (původně jsem si myslel že to lze použít jako vstupní proces a modul by neměl překážet ve vstupu do ostatních modulů. Ale teď nevim jak se toho zbavit. Takže pokud to je modul, který vylučuje použít zbytek SE, tak je to dost naprd. Spíš věřím, že se někde povoluje právo uživatele projít modulem, ale nevim kde...
Disassembler commented 2017-09-21 17:07:55 +02:00 (Migrated from git.spotter.cz)
Copy Link

mentioned in commit 8cb4627e7a

mentioned in commit 8cb4627e7abf15b1a994a8198c9ed6a1675e5284
Disassembler commented 2017-09-21 17:14:59 +02:00 (Migrated from git.spotter.cz)
Copy Link

Ano, tohle bude ještě legrace. Začal jsem tím, že jsem modul rozbil ještě víc :) Obyčejný uživatel jej teď vůbec neuvidí.

V naší instanci máme nastaveno settings.security.policy = 7, což znamená, že každý uživatel (tj. ne-admin) musí mít přiřazeny nějaké role, aby mohl něco vidět nebo upravovat. Problém je, že nemáme vytvořeny žádné definice techno rolí, takže není co přiřazovat. Hezká tlustá definice rolí je třeba v IFRC template.

V současnosti tedy můžu zkusit seznam rolí obšlehnout a trochu upravit pro naše potřeby, ale do finální podoby by bylo vhodné tyto role revidovat, případně úplně redefinovat.

Ano, tohle bude ještě legrace. Začal jsem tím, že jsem modul rozbil ještě víc :) Obyčejný uživatel jej teď vůbec neuvidí. V naší instanci máme nastaveno `settings.security.policy = 7`, což znamená, že každý uživatel (tj. ne-admin) musí mít přiřazeny nějaké role, aby mohl něco vidět nebo upravovat. Problém je, že nemáme vytvořeny žádné definice techno rolí, takže není co přiřazovat. Hezká tlustá definice rolí je třeba v [IFRC template](https://github.com/sahana/eden/blob/master/modules/templates/IFRC/auth_roles.csv). V současnosti tedy můžu zkusit seznam rolí obšlehnout a trochu upravit pro naše potřeby, ale do finální podoby by bylo vhodné tyto role revidovat, případně úplně redefinovat.
Podhorecky commented 2017-09-21 17:19:30 +02:00 (Migrated from git.spotter.cz)
Copy Link

Definici rolí můžu zařídit.
Ukázka definice rolí je docela dobře navržena v tomto dokumentu z italského manuálu k SAhaně

Použití rolí a privilegií považuju za užitečné.

Takže mrkněte na to, .... role můžu klidně dodělat a pak vyzkoušíme ten security policy...

SAHANA_for_Italy_EVAcuees_ASSistance_-_EVASS.pdf

Definici rolí můžu zařídit. Ukázka definice rolí je docela dobře navržena v tomto dokumentu z italského manuálu k SAhaně Použití rolí a privilegií považuju za užitečné. Takže mrkněte na to, .... role můžu klidně dodělat a pak vyzkoušíme ten security policy... [SAHANA_for_Italy_EVAcuees_ASSistance_-_EVASS.pdf](/uploads/fa1db10eed7ac3668358fb453501976d/SAHANA_for_Italy_EVAcuees_ASSistance_-_EVASS.pdf)
Disassembler commented 2017-09-21 18:16:04 +02:00 (Migrated from git.spotter.cz)
Copy Link

CSV k EVASS je v repozitáři zde. Role tedy prosím vymyslete. Když se případně pokusíte vyrobit takové CSV jako jsou ty dvě odkazovaná nebo alespoň tabulku, jaká je ve Vámi zmiňovaném PDF, ulehčí mi to práci. Nebo možná ještě lépe, role si vyklikejte v tomto odkazu v administrátorském rozhraní a já si je pak z databáze vycucnu.

Co se týče sloupců controller a function, odpovídají názvech v URL, tedy například v adrese https://host/eden/gis/index je controller gis a function index. Sloupec table pak odkazuje na databázovou tabulku. Tady bohužel žádný jednoduchý recept pro identifikaci nemám.

CSV k EVASS je v repozitáři [zde](https://github.com/sahana/eden/blob/master/modules/templates/EVASS/auth_roles.csv). Role tedy prosím vymyslete. Když se případně pokusíte vyrobit takové CSV jako jsou ty dvě odkazovaná nebo alespoň tabulku, jaká je ve Vámi zmiňovaném PDF, ulehčí mi to práci. Nebo možná ještě lépe, role si vyklikejte v [tomto odkazu](https://dasm.dasm.cz:8443/eden/admin/role) v administrátorském rozhraní a já si je pak z databáze vycucnu. Co se týče sloupců *controller* a *function*, odpovídají názvech v URL, tedy například v adrese <https://host/eden/gis/index> je controller *gis* a function *index*. Sloupec *table* pak odkazuje na databázovou tabulku. Tady bohužel žádný jednoduchý recept pro identifikaci nemám.
Disassembler commented 2017-09-21 18:17:11 +02:00 (Migrated from git.spotter.cz)
Copy Link

added ~17 ~16 labels

added ~17 ~16 labels
Podhorecky commented 2017-09-21 21:09:01 +02:00 (Migrated from git.spotter.cz)
Copy Link

přidal jsem role.
zatim jsem nepřidával uživatele, můžeme vyrobit víc testovacích uživatelů a s nimi se logovat a později vyzkoušet jak to vypadá.

očekávám, že uživatel s nějakou omezující rolí vůbec nemusí vidět některý modul a tak bude horní menu i boční menu pro něj jednodušší.

přidal jsem role. zatim jsem nepřidával uživatele, můžeme vyrobit víc testovacích uživatelů a s nimi se logovat a později vyzkoušet jak to vypadá. očekávám, že uživatel s nějakou omezující rolí vůbec nemusí vidět některý modul a tak bude horní menu i boční menu pro něj jednodušší.
Disassembler commented 2017-09-25 23:29:18 +02:00 (Migrated from git.spotter.cz)
Copy Link

CSV s rolemi vytvořeno v rámci velkého tlustého commitu 8a51f8207f společně s celým novým template pro Sahanu založeným na default. Postupem času do něj budeme přidávat veškerá data, která mají existovat ve výchozí instalaci.

Nevím jestli to bylo úplně záměrné, ale role Private User Editor a Volunteer Editor mají úplně stejná oprávnění. Stejně tak i Private User Reader a Volunteer Reader. Ale zatím to neřeším, protože se ta oprávnění ještě budou určitě časem revidovat.

[CSV s rolemi](https://git.spotter.cz:8443/Spotter-Cluster/Spotter-Cluster/blob/master/sahana/srv/sahana/applications/eden/modules/templates/Spotter/auth_roles.csv) vytvořeno v rámci velkého tlustého commitu 8a51f8207f0a16da1b5d51c71cdd2bc002e4355c společně s celým novým template pro Sahanu založeným na *default*. Postupem času do něj budeme přidávat veškerá data, která mají existovat ve výchozí instalaci. Nevím jestli to bylo úplně záměrné, ale role *Private User Editor* a *Volunteer Editor* mají úplně stejná oprávnění. Stejně tak i *Private User Reader* a *Volunteer Reader*. Ale zatím to neřeším, protože se ta oprávnění ještě budou určitě časem revidovat.
Disassembler commented 2017-09-25 23:29:18 +02:00 (Migrated from git.spotter.cz)
Copy Link

closed

closed
Podhorecky commented 2017-09-26 00:13:45 +02:00 (Migrated from git.spotter.cz)
Copy Link

úplně záměrné to asi nebylo, je to první pokus, bude se to revidovat. Momentálně to nevadí

úplně záměrné to asi nebylo, je to první pokus, bude se to revidovat. Momentálně to nevadí
Podhorecky commented 2018-03-14 22:57:43 +01:00 (Migrated from git.spotter.cz)
Copy Link

changed milestone to %2

changed milestone to %2
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels   
app-basic

Related to OS or core applications

  
app-ckan

Related to CKAN

  
app-crisiscleanup

Related to Crisis Cleanup

  
app-cts

Related to CTS

  
app-decidim

Related to Decidim

  
app-dhis2

Related to DHIS2

  
app-frontlinesms

Related to FrontlineSMS

  
app-gnuhealth

Related to GNU Health

  
app-kanboard

Related to Kanboard

  
app-mifosx

Related to Mifos X

  
app-motech

Related to Motech

  
app-odoo

Related to Odoo

  
app-opendatakit

Related to OpenDataKit

  
app-pandora

Related to Pan.do/ra

  
app-sahana

Related to Sahana Eden

  
app-seeddms

Related to SeedDMS

  
app-sigmah

Related to Sigmah

  
app-taarifa

Related to Taarifa Waterpoints

  
app-ushahidi

Related to Ushahidi

  
critical

High priority issue requiring immediate action

  
CZ

   
documentation

Needs clarification in documentation

  
Doing

   
enhancement

Feature addition or modification

  
GMaps

   
info

   
Mapbox

   
needinfo

Additional details required

  
new-app

Suggestion for new application

  
OSM

   
performance

Affects resource utilization

  
QGIS

   
regression

Feature which previously worked but has been recently broken

  
suggestion

Proposition of implementation or issue resolution

  
To Do

   
upstream

Dependent on resolution by 3rd party

No Label
app-basic
app-ckan
app-crisiscleanup
app-cts
app-decidim
app-dhis2
app-frontlinesms
app-gnuhealth
app-kanboard
app-mifosx
app-motech
app-odoo
app-opendatakit
app-pandora
app-sahana
app-seeddms
app-sigmah
app-taarifa
app-ushahidi
critical
CZ
documentation
Doing
enhancement
GMaps
info
Mapbox
needinfo
new-app
OSM
performance
QGIS
regression
suggestion
To Do
upstream
Milestone
Clear milestone
No items
No Milestone
Sahana Eden bugreport
Projects
Clear projects
No project
Assignees
Clear assignees
No Assignees
1 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: Disassembler/Spotter-VM#14
No description provided.
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?