Bug 23494 - Unterstützung von Flavors in UMC-Zugriff-Richtlinie
Unterstützung von Flavors in UMC-Zugriff-Richtlinie
Status: CLOSED FIXED
Product: UCS
Classification: Unclassified
Component: UMC (Generic)
UCS 3.0
Other Linux
: P5 normal (vote)
: UCS 3.0 - RC
Assigned To: Andreas Büsching
Alexander Kläser
: interim-2
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2011-09-01 15:48 CEST by Andreas Büsching
Modified: 2011-12-13 15:51 CET (History)
1 user (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Andreas Büsching univentionstaff 2011-09-01 15:48:03 CEST
Damit auch die einzelnen Flavor eines Moduls erlaubt/verboten werden können müssen diese in der UMC-Zugriff-Richtlinie unterstützt werden.
Comment 1 Andreas Büsching univentionstaff 2011-10-06 14:56:34 CEST
Zusätzlich muss es die Möglichkeit geben eine Liste von Modulen zu definieren, die um Overview nicht angezeigt werden, auch wenn dafür Befehle freigeschaltet sind.
Comment 2 Andreas Büsching univentionstaff 2011-10-06 18:05:33 CEST
FIXED -> REOPENED das ist noch nicht umgesetzt
Comment 3 Andreas Büsching univentionstaff 2011-10-13 08:37:04 CEST
Das wurde jetzt etwas anders umgesetzt:

- Die alten UDM-Module, die den Zugriff für UMC beschrieben haben werden entfernt (siehe Bug #24045)

- Es gibt zwei neue Objekte dafür:

  + settings/umc_operationset: Dies beschreibt Berechtigungen, die einem Benutzer zugeordnet werden können. Dabei kann anhand von

    * Kommando(muster)
    * Host
    * Optionen(muster)
    * Flavor (Variante)

    feingranular definiert werden was ein Benutzer können soll. Beispiel:

DN: cn=udm-users,cn=operations,cn=UMC,cn=univention,dc=ucs3,dc=test
ARG: None
  operation: udm/* objectType=users/user
  operation: udm/query objectType=groups/group
  operation: udm/properties objectType=groups/group
  operation: udm/properties objectType=policies/*
  operation: udm/layout objectType=policies/*
  operation: udm/values objectType=groups/group
  operation: udm/syntax/choices !objectType
  name: udm-users
  flavor: users/user
  description: UDM - Users

  + policies/umc: In dieser Richtlinie können jetzt beliebig viele von den Operation-Set verlinkt werden.

Jedes UMC-Modul soll einen Satz von "sinnvollen" Operation-Sets mitbringen, so dass es für den Administrator eine einfache Möglichkeit gibt neue Richtlinien für unterschiedliche Berechtigungen zu erstellen.
Comment 4 Alexander Kläser univentionstaff 2011-12-05 18:21:53 CET
(In reply to comment #3)
> Das wurde jetzt etwas anders umgesetzt:
> 
> - Die alten UDM-Module, die den Zugriff für UMC beschrieben haben werden
> entfernt (siehe Bug #24045)
> 
> - Es gibt zwei neue Objekte dafür:
> 
>   + settings/umc_operationset: Dies beschreibt Berechtigungen, die einem
> Benutzer zugeordnet werden können. Dabei kann anhand von
> 
>     * Kommando(muster)
>     * Host
>     * Optionen(muster)
>     * Flavor (Variante)
> 
>     feingranular definiert werden was ein Benutzer können soll. Beispiel:
> 
> DN: cn=udm-users,cn=operations,cn=UMC,cn=univention,dc=ucs3,dc=test
> ARG: None
>   operation: udm/* objectType=users/user
>   operation: udm/query objectType=groups/group
>   operation: udm/properties objectType=groups/group
>   operation: udm/properties objectType=policies/*
>   operation: udm/layout objectType=policies/*
>   operation: udm/values objectType=groups/group
>   operation: udm/syntax/choices !objectType
>   name: udm-users
>   flavor: users/user
>   description: UDM - Users

Host: 
* Derzeit besteht das Problem, dass die Eigenschaft "host" in udm/umc_operationset nicht auf das (existierende) LDAP-Attribut gemappt wird. Somit wird standardmäßig ["*"] als Wert genommen → Bug 25187.

Kommando: 
* generell OK, spezifische Kommandos können freigegeben werden, die anderen werden gesperrt. 
* Es fiel auf, dass die Eigenschaft "Description" nicht als requried markiert wurde → auslagern nach Bug 25189.

Flavor:
* OK, funktioniert wie erwartet, es sind nur die Module zugänglich, auf der Flavor zutrifft
* Absturz des UMC-Servers bei Operationset module=*, flavor=d* → auslagern nach Bug 25196.

Optionen:
* OK, beim spezifizieren des Sets module=ucr/*, option=filter=apache2/* konnten nur nach UCR-Variablen des Musters apache2/* gesucht werden
* Option-Werte wie bspw. "!property werden scheinbar nicht korrekt ausgewertet → auslagern nach Bug 25197. 

>   + policies/umc: In dieser Richtlinie können jetzt beliebig viele von den
> Operation-Set verlinkt werden.

→ OK, das funktioniert

> Jedes UMC-Modul soll einen Satz von "sinnvollen" Operation-Sets mitbringen, so
> dass es für den Administrator eine einfache Möglichkeit gibt neue Richtlinien
> für unterschiedliche Berechtigungen zu erstellen.

→ OK, die Operation-Sets werden soweit mitgeliefert.

Folgende Probleme sind aufgefallen, sind aber nicht kritisch:
* UCR: Das Operationset ucr-read sollte ucr/categories erlauben → Bug 25190
* UDM: Einige Operationsets hatten falsche Beschreibungstexte → Bug 25200
Comment 5 Alexander Kläser univentionstaff 2011-12-06 13:00:50 CET
Weitere Auffälligkeiten:

* UDM-Navigation: Das Operationsset ist nicht vollständig → Bug 25200
* Teilweise werden UDM-Operationsets nicht ganz korrekt ausgewertet → Bug 25225

→ auch diese Fehler sind nicht kritisch und wurden daher ausgelagert.
Comment 6 Alexander Kläser univentionstaff 2011-12-06 13:02:40 CET
(In reply to comment #5)
> ...
> → auch diese Fehler sind nicht kritisch und wurden daher ausgelagert.

... Release-kritisch ...
Comment 7 Sönke Schwardt-Krummrich univentionstaff 2011-12-13 15:51:10 CET
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"