phpGACL - система управления правами (русская документация)

[csa]

правила-то не я буду задавать, а админ системы.
представляю его "радость" когда ситема его обрадует обнаружением неоднозначности и заставить переделывать

в моей схеме сложно запутаться при использовании вспомогательных средств (hint: на правила можно смотреть не только с точки зрения иерархии групп)

 

[kvf77]

Автор оригинала: csa
правила-то не я буду задавать, а админ системы.
представляю его "радость" когда ситема его обрадует обнаружением неоднозначности и заставить переделывать

в моей схеме сложно запутаться при использовании вспомогательных средств (hint: на правила можно смотреть не только с точки зрения иерархии групп)

Ой, устал я с тобой разговаривать. Ну прочитай ты доку внимательно. В phpGACL и так персональное правило перекрывает групповое. Но ты в упор не видишь, что персональное правило может быть установлено в одной группе, и перекрывать групповые правила этой группы, а может и в еще одной. Почему персональное правило из группы А должно перекрывать правила группы Б? Никак я не пойму. Это неправильно. Система не должна догадываться чего ты от нее хочешь. И предложеный тобою вариант создаст проблемы.

 

[csa]

расмотрим мой пример с васей и 2-мя группами. как мне однозначно разрешить васе доступ для твоей системы?

-~{}~ 09.12.04 13:24:

Автор оригинала: kvf77
Почему персональное правило из группы А должно перекрывать правила группы Б?

потому что оно персональное - т.е. уточненное, а групповое - общее.
ты когда-нибудь на ACL NTFS смотрел?

Автор оригинала: kvf77
И предложеный тобою вариант создаст проблемы.

приведи пример

 

[kvf77]

Пример с Васей, это пример с помещением Чуви к Инженерам - в доке есть 3 способа устранить неоднозначность. Почитай.

 

[csa]

приведи, пожалуйста, пример списка правил для машинного зала (только для него)

 

[kvf77]

ты меня долго будешь заставлять перепечатывать сюда доку? ну сколько можно?

 

[csa]

уточню, пусть неоднозначность устранена способом 2 (добавить дерективу “DENY: Engines” у группы “Чуви” в группе “Инженеры”

-~{}~ 09.12.04 13:38:

Автор оригинала: kvf77
ты меня долго будешь заставлять перепечатывать сюда доку? ну сколько можно?

я хочу посмотреть на это глазами админа, который этой системой юудет пользоваться.
ткни в то место, где это описано

 

[kvf77]

Не знаю я конечно как ты все читал - но там все ясно как день: Машинный зал - это ACO.
ACO это объекты, к которым просят доступ. Ты понимаешь эту фразу? У машинного зала вообще нет правил - он не ARO (не объект ПРОСЯЩИЙ доступ). У дверной ручки нет никаких прав - она не может ничего никуда просить - помоему это очевидно. А вот у Васи права емть - потому что он может просить доступ куда-либо.

 

[csa]

я не говорил, что у машзала есть права, я просил показать ПРАВИЛА, которые относятся к нему, или это не понятно?

а может ты предлагаешь смотреть на все это нефиговое дерево с парой десятков групп и сотней-другой твоих ACO и выискивать среди них все, что относится к машзалу?

-~{}~ 09.12.04 13:50:

для моей модели это будет 3 строчки:
ПродвинутыйЮзер - deny
Редактор - allow
Вася - allow

 

[kvf77]

я не вижу логики в твоем замечении. зачем тебе знать правила для машинного зала? машинный зал не может ничего нарушить и ничего уничтожить - это комната - она стояла, будет стоять и ничего делать не может. Уничтожить все может Вася. Вот для Васи тебе надо знать правила - но зачем тебе правила для машинного зала ума не приложу.

 

[csa]

чтобы посмотреть, кто же на него сможет действовать

 

[kvf77]

ЗАЧЕМ?

 

[csa]

ты смотришь на правила с точки зрения ARO, я же хочу посмотреть с точки зрения ACO

 

[kvf77]

Автор оригинала: csa
ты смотришь на правила с точки зрения ARO, я же хочу посмотреть с точки зрения ACO

Зачем? И причем тут ситема? В общем, я заканчиваю бессымсленную дискуссию - а то ты потом еще захочешь посомтреть на права с точки зрения микроба в машинном зале. Не вижу реального применения взгляду с точки зрения ACO. К тому же ты только что "изобрел" матричный подход описанный в статье - там же еще казаны минусы этого подхода.

 

[csa]

Автор оригинала: kvf77
ЗАЧЕМ?

Автор оригинала: csa
чтобы посмотреть, кто же на него сможет действовать

как мне это сделать?

З.Ы. посмотри на системы раздачи прав в юниксе или ntfs, там все рассмотривается с точки зрения ACO

-~{}~ 09.12.04 14:00:

Автор оригинала: kvf77
Зачем?

я хочу видеть правила, которые будут ограничивать доступ к объекту и больше ничего.

Не вижу реального применения взгляду с точки зрения ACO. К тому же ты только что "изобрел" матричный подход описанный в статье - там же еще казаны минусы этого подхода.

это матрица об одном столбце, поэтому все минусы отпадают

 

[kvf77]

а здесь подругому - и что с того? не понимаю твоих возражений - чего ты хочешь? там один способ тут другой - с чего ты решил что этот плох а тот хорош и наоборот? Это разные подходы - ты можешь сравнить плюсы и минусы, но не более. Хватит в общем вести бестолковый разговор. Ты просто не о том разговариваешь.

 

[csa]

Автор оригинала: kvf77
ЗАЧЕМ?

когда правила меняются (а не задаются статично один раз), полезно знать состояние дел, а для этого как правило применяют детализирование, чем и является получение списка правил, относящихся к заданному ACO

 

[kvf77]

Минусов в втоем столбце дочерта - тебе придется определить права всем пользователям системы на все ACO - поздравляю - ты получил огромный избыток данных. Тетя валя, которая повариха, никогда не пойдет в машинный зал, но ты всеравно должен об этом написать. В phpGACL это описывать не надо - в этом ее гибкость. Ты описываешь только то, что имеет значение.

-~{}~ 09.12.04 14:06:

Не вижу реально чем тебе может помочь информация с точки зрения АСО - ты так и не привел примера эффектвиности этой информации.

 

[csa]

Автор оригинала: kvf77
а здесь подругому - и что с того?
не понимаю твоих возражений - чего ты хочешь?

посмотри мой первый пост. там было ясно сказано, что это мое имхо

там один способ тут другой - с чего ты решил что этот плох а тот хорош и наоборот? Это разные подходы - ты можешь сравнить плюсы и минусы, но не более. Хватит в общем вести бестолковый разговор. Ты просто не о том разговариваешь.

я попытался получить от тебя способы решения некоторых проблем, а ты доказываешь, что мне это не нужно. да, разговор действительно бестолковый

-~{}~ 09.12.04 14:12:

Автор оригинала: kvf77
Минусов в втоем столбце дочерта - тебе придется определить права всем пользователям системы на все ACO - поздравляю - ты получил огромный избыток данных.

с чего ты это взял? у меня есть все те же группы, а объекты могут составлять иерархию (наравне с группами) и наследовать группы. это первое, а второе - отсутствие разрешаюших правил может автоматом запрещать все. вопрос дефолтовой политики

Не вижу реально чем тебе может помочь информация с точки зрения АСО - ты так и не привел примера эффектвиности этой информации.

ты читать умеешь? мой пост от 09.12.04 14:03

 

[kvf77]

нет - это ты читать не умеешь перечитай документацию по гаклу - ну уже просто смешно становится. пересказал уже половину возможностей гакла причем почему-то вменяя ему их отсутствие