問題タブ [acl]

私たちは、財務から給与計算、人件費計算まで、印刷会社のあらゆる側面をカバーする Web アプリを開発しています。これらのアプリケーションのどの部分に誰がアクセスできるかを制御できることが重要です。ライン社員に昇給してほしくない…

ACL と ACO の概念については聞いたことがありますが、私たちのプロジェクトに適用できる良い例は見つかりませんでした。

作業に役立つ情報がどこにあるか知っている人はいますか?

CakePHP で ACL を実装するのに苦労しています。Cake マニュアルのドキュメントや他のいくつかのチュートリアル、ブログ投稿などを読んだ後、多くのギャップを埋めるのに役立つ Aran Johnson の優れたチュートリアルを見つけました。彼の例は、いくつかの場所で、特に彼が使用する ARO ツリー構造で、私が見た他の例と矛盾しているようです。

彼の例では、ユーザー グループはカスケード ツリーとして設定されています。最も一般的なユーザー タイプがツリーの一番上にあり、その子はより制限されたアクセス タイプごとに分岐しています。他の場所では、通常、各ユーザー タイプを同じ汎用ユーザー タイプの子として見てきました。

CakePHP で ARO と ACO をどのようにセットアップしますか? どんなヒントでも大歓迎です！

私のアプリは NSIS 経由でインストールされます。

インストーラーがすべてのユーザーにプログラムをインストールするようにします。

「プログラムファイル」ディレクトリにインストールすることで、これを行うことができます。

システム上のすべてのユーザー アカウントが共有するデータベース ファイル (firebird) があります。

このデータベース ファイルを「プログラム ファイル」ディレクトリに保存すると、読み取り専用になります。

ユーザーのAPPDATAディレクトリに保存すると、それぞれが異なるコピーを持つことになり、あるユーザーがデータを追加すると、他のユーザーはそれを見ることができなくなります。

オプション 1 - 「プログラム ファイル」の下のアプリ ディレクトリに「データ」ディレクトリを作成し、インストーラーでこのディレクトリをすべて読み取り/書き込み可能にします。これにより、ユーザーの「プログラム ファイル」の仮想化が開始されず、すべてのユーザーが更新できるようになります。ファイルとお互いの変更を参照してください。

他のオプションはありますか?

Rails で ACL を実装するときに使用されるさまざまなソリューションを比較したかっただけです。

アクセス制御リスト (ACL) として構成されているネットワーク内のプリンターで SNMP Set 操作を実行する必要があり、ホストの IP アドレスは ACL テーブルにありません。奇妙な動作が発生します。SNMPv1 Set コミュニティ名が構成されている場合、ホスト IP が ACL テーブルにある場合にのみ SNMP Set を実行できます。SNMPSet コミュニティ名が設定されていない場合、自分の IP アドレスが ACL テーブルになくても、SNMP Set を正常に実行できます。では、ACL テーブルと SNMP セット コミュニティ名の間に何らかの関係があるかどうかを知っている人はいますか? つまり、ACL は、設定されたコミュニティ名が構成されている場合にのみ「機能」します。これは理にかなっていますか？

助けてくれてありがとう

製品を更新する Windows サービスがあります。製品ファイルを一時ディレクトリ (通常は「C:\Windows\Temp」) にコピーし、バイナリにパッチを適用してから、再起動時に MoveFileEx を使用してファイルをインストール ディレクトリ (通常は「C:\Program Files\Product」) にコピーします。 "。インストール ディレクトリ内のファイルは、親フォルダからセキュリティ属性を継承しています。コピー、パッチ適用、および再起動後、インストール ディレクトリ内のファイルに一部の ACL がありません。具体的には、ファイルにはユーザー グループの ACL がないため、ユーザーは再起動後にプログラムを実行できなくなります。

ここで何が起こっているのか誰か説明できますか? インストール ディレクトリから一時ディレクトリにコピーすると、ファイルは一時ディレクトリの ACL を継承するようです。ただし、MoveFileEx/Reboot では、ファイルは、インストール ディレクトリと一時ディレクトリの両方に共通する ACL のみを継承します。

フォルダー A からフォルダー B にファイルをコピーしてから、ファイルのアクセス許可をコピーしようとしています。私が使用している基本的な手順は次のとおりです。

1. CopyFile(ソース、ターゲット)
2. GetNamedSecurityInfo (ソース、GROUP_SECURITY_INFORMATION | DACL_SECURITY_INFORMATION)
3. ConvertSecurityDescriptorToStringSecurityDescriptor を使用してソース SD を印刷する
4. SetNamedSecurityInfo(ターゲット、GROUP_SECURITY_INFORMATION | DACL_SECURITY_INFORMATION)
5. GetNamedSecurityInfo(ターゲット、GROUP_SECURITY_INFORMATION | DACL_SECURITY_INFORMATION)
6. ConvertSecurityDescriptorToStringSecurityDescriptor を使用してターゲット SD を出力する

＃3で、このSDを取得します：

＃6で私は得る

SetNamedSecurityInfo への呼び出しは ERROR_SUCCESS を返しますが、結果はソース ファイルとターゲット ファイルの SD が同じではありません。何故ですか？ここで何が間違っていますか？

企業がパートナーの Active Directory にユーザーを作成することを頻繁に要求する場合、またはその逆の場合、AD インスタンス間にフェデレーション/信頼関係を設定することは理にかなっていますか? もしそうなら、何を考慮すべきですか？パートナー AD のユーザーの ACL は引き続き同じように機能しますか? これにより、どのようなセキュリティ リスクが明らかになりますか?

ありがとう！

カ

アップデート：

アプリケーション自体にユーザー ストアをチェックさせることで、これを行うためのより良い方法があることを知りました。これを行う最善の方法は、両方のユーザー ストアが信頼するドメインにアプリケーションを移動することです。以下の回答で詳細を説明しました。

いくつかのプラットフォームでアクセス権をどのように操作するかを一生懸命考えています。現在、Microsoft Windows と NTFS ファイル/ディレクトリのアクセス許可に到達しています。

私はC言語で働いていると言わなければなりません。私の質問はかなり一般的です。ユーザー名とファイルパスがあります。

ユーザーが読み取り/書き込み/実行する権利を持っているかどうかを確認するために、さらに情報が必要ですか?

どのテクノロジーを使用すればよいですか? ACL または基本的な Win32 API ? 他の何か？

どんな種類の助けにも感謝します。

ユーザー権限を処理する多くの Rails プラグインがあります。hobo gem の実装には感銘を受けましたが、この機能だけを使用して他の部分を使用できないかどうかはわかりません。GateKeeper は実に巧妙な実装ですが、バグがいくつかありますが、自分で修正できるほど小さいものです。Restful_ACL は、作成をチェックするためのクラスメソッドを提供します。つまり、問題のインスタンスに対してチェックを行うことはできません (スコープ検索を行うかどうかは不明です)。

現在のユーザーが見ることを許可されているものだけを見つける ActiveRecord#find の範囲指定されたバージョンを提供するものが欲しいです。これは、あなたまたはあなたの友人の 1 人が所有するギャラリーにある写真だけを見ることができると言うのに十分なほど堅牢である必要があります。

おまけとして、自分のレコードを別のユーザーまたはギャラリーに関連付けたり、そのようなレコードを作成したりするなど、実行する権利のない作成または更新 (before_* または検証ステップで) を防ぐことができます。