問題タブ [acl]

ブラウザ ベースのアプリケーションの認証をクライアント マシンに依存させるにはどうすればよいですか? 管理者がこのマシンからのみログインできるとします。

前提: ネットワークと関連するすべてのマシン (クライアントとサーバー) を完全に制御できます。

Apache/Linux ソリューションを探しています。

従う場合開発者は公開 Web サイトを構築する前に知っておくべきことは何ですか? 認証では、どのようなオプションがありますか?

私は PEAR を使ったことがなく、これから始めるつもりもありません。phpGALCについて読んだことがありますが、まだ試していません。

認証後、権利/アクセスレベルが開始されます。私は、柔軟性があまりないことに加えて、ユーザーができることとできないことを決定する単一の tinyint 値を使用することはあまり好きではありません。私は最近、各ユーザー タイプがアクセスできるアクセスの種類を指定するセクション システムを作成しましたが、もっと良いものはありますか?

言語が必要な場合は、PHP5.

デバイスに ACL ベースの認証メカニズムを実装する必要があります。このデバイスには、Web ページ、TL1 (基本的にはコマンド プロンプトを介して) などのさまざまなインターフェイスからアクセスできます。

どのインターフェイスからの要求も認証できるように、ACL ロジックを一元化する必要があります。

ACL ロジックは基本的に、ログインしているユーザーが実行しようとしている操作を実行できるかどうかをチェックします。このために、グループを作成し、これらのグループにユーザーを追加します。各グループは、その特定のグループで許可されている操作のリストを保持します。

誰かがこれを実装するための最良の方法を提案できますか?

これを実現できる既存のソフトウェア/ツールはありますか? オープンソース プロジェクトはありますか?

私は C/C++ プログラマーであり、ACL コンセプトの初心者です。上記のモジュールは、Linux OS 用に開発する必要があります。Web インターフェイスは CGI になります。

前もって感謝します。

Vista SP1 で昇格された管理者として実行されている私の C# アプリは、次のコードで次のルールを設定しようとします。エラーは発生しませんが、ディレクトリの ACL も変更されません。私は何が欠けていますか？

更新:次のコードを _SetAcl メソッドの最後の行として追加するだけで、私のコードは準備完了です。

個々のユーザーごとにアクセス制御リストを実装して、自分のリソースへのアクセスを割り当てることができるようにします。これにより、たとえば母親からは隠して、友人には見せることができます。

ACL をデータベースに保存することは、各ユーザーがグループでもあり、多くのサブグループを持つことができる場合、非常に狂っているように思えます。そこで、ACL をテキスト ファイルに保存することを考えています。

良いアイデア？悪いアイデア？

EDIT：各ユーザーの個別のテキストファイルについて話していることに注意してください。シリアル化してテキスト ファイルに書き込むことができる ACL クラスを作成することを考えています。私が恐れているのは、ACL をデータベースに格納すると、非常に巨大な結合テーブルが作成され、データベース サーバーに大きな負担がかかることです。

開発を始めようとしている Web アプリについて考えていて、いつものアプローチを改善できないかと考えていました。

CREATE POST最近のいくつかのアプリでは、ロール ( など) のテーブル (以下を参照) を作成しましたEDIT POST。各ロールにはビットフィールドが適用されているため、登録時にユーザーに特定の権利を割り当てるだけで、後でそれらを確認できます (例: $user->hasRight(CREATE_POST)）。

これに対するより良いアプローチがあるかどうか疑問に思っています。権利がユーザーに明確にリンクされていない場合、確かに混乱します (各権利がブール列である表を作成することもできますが、それは小さな改善のように思えます) - そして、いくつか変更するとどうなりますか?

私は標準ライブラリを使用するつもりはありません (アプリ自体は私にとって学習経験です: postgresql、git などを使用します)。ただし、それらからインスピレーションを得て独自のライブラリを構築することは完全に満足しています。私はそう言ってください見てみる必要があります:)

少数のユーザー間で共有されるディレクトリに出力結果を保存している、実行時間の長いスクリプトとアプリケーションがたくさんあります。この共有ディレクトリの下に作成されたすべてのファイルとディレクトリに自動的にアクセス許可が付与されるようにする方法が必要ですu=rwxg=rwxo=r。

さまざまなスクリプトの先頭に使用できることはわかっていumask 006ますが、多くのユーザーが独自のスクリプトを作成し、umask を自分で設定するのを忘れる可能性があるため、そのアプローチは好きではありません。

ファイルシステムが特定のフォルダーにある場合、特定のアクセス許可を持つ新しく作成されたファイルとディレクトリを設定することを本当に望んでいます。これはまったく可能ですか？

更新:デフォルトの ACL 機能を使用してPOSIX ACLで実行できると思いますが、現時点ではすべてが頭を悩ませています。誰かがデフォルト ACL の使用方法を説明できれば、おそらくこの質問にうまく答えるでしょう。

johndoe の ACL セットを、ドライブの 1 つですべてのフォルダから再帰的に削除しようとしていますが、他のエントリはありません。他のグループ/ユーザー用に既に存在する ACL に影響を与えずにこれを行う方法を知っている人はいますか?

「setfacl -du:johndoe」に相当する Mac を探しています

chmod を使用して複数のファイルからルールを削除できることは知っていますが、インデックス (例: すべてのフォルダーの 5 番目のエントリ) を介してルールを削除し、ユーザーのエントリが勝ったため、私が見た唯一の方法は機能しません。常に同じインデックスになるとは限りません。

なぜこれをしたいのですか？グループではなく多数の個人ユーザーを持つ非常識なファイル システムを継承し、既にアクセス権を持っている個人だけを削除したいとします。