問題タブ [permissions]

私が設計しているデータベースでは、プロファイルベースのオブジェクトレベルのセキュリティを実装しています。

各ユーザーは、自分がメンバーになっているプロファイル（ロール）に従って、データベーステーブルを表示、編集、挿入、更新できます。

ここで、関連するレコードのみを表示し、それらの一部を編集できる「外部ユーザー」を実装する必要があります（データベースの大部分は編集できません）。

私は「レコード所有権」モデルに取り組んでいます。

「外部ユーザー」プロファイルに属するユーザーを制限して、すべてではないが各テーブルの一部のレコードを表示および操作する方法についてのアイデアはありますか。

Linuxでデフォルトのファイル権限を設定する方法はありますか？つまり、新しく作成されたファイルのファイル権限（作成されたコンテキストに関係なく）。シェルの起動にumaskを配置することについては知っていますが、それはシェルセッションでのみ機能します。pscpを使用してファイルをLinuxボックスに転送すると、ファイルは常に664（rw-rw-r--）のアクセス許可で作成されます。これは、私が使用したLinuxのすべてのフレーバーで発生しました。これは、ファイルを共有Linuxマシン（ISPなど）にpscpするときに特に厄介です。許可をシェルインしてchmodできるようになるまで、ファイルは基本的にすべてのユーザーの読み取りアクセス権を持ってそこに置かれますが、これは完全に安全ではありません。

私は、PHP と MySQL を使用して Web アプリケーションを作成するチームの一員です。アプリケーションには、異なる役割を持つ複数のユーザーがいます。このアプリケーションは、地理的に分散した方法でも使用されます。したがって、次の 2 つのレベルで動作するアクセス制御システムを作成する必要があります。

1. 特定の php ページのユーザー権限を制御します。つまり、ユーザーの役割に基づいて、特定のページ (またはユーザー インターフェイス要素) へのアクセスを許可または拒否します。たとえば、ユーザーは「学生」ページへのアクセスは許可されているが、「教師」ページへのアクセスは許可されていない場合があります。
2. 特定のデータベース レコードに対するユーザー権限を制御します。つまり、特定のレコードのみが表示されるようにデータベース クエリを変更します。たとえば、都市レベルのユーザーの場合、ユーザーの特定の都市に関連するレコードのみを表示する必要がありますが、全国レベルのユーザーの場合、国のすべての都市のレコードを表示する必要があります。

これら両方のタイプのアクセス制御を処理できるシステムの設計について助けが必要です。ポイントNo. 1は簡単そうです。ただし、SQLクエリで情報をハードコーディングせずにポイント2を実行する方法について、私は完全に途方に暮れています。

どんな助けでも大歓迎です。

前もって感謝します

ビナヤク

ユーティリティをダウンロードせずに Windows ファイルのロックを解除する方法はありますか?

Windows XP の C: ドライブに、非常に古くて役に立たないファイルがいくつかあります。これらのファイルを削除しようとすると、次のメッセージが表示されます。

誰もこのファイルにアクセスしていません。現在、それを使用しているプログラムはありません。Windows はファイル ロック メカニズムを台無しにしました。

誰かのロック解除ユーティリティをダウンロードせずにこのファイルを削除する方法はありますか? これらのプログラムを提供しているサイトは、少し大雑把だと思います。

プログラム内からファイルのロックを解除するにはどうすればよいでしょうか? 私は Java、Perl、および Ruby に精通していますが、それらのライブラリーの中で私を助けてくれるものは見たことがありません。

XMLファイルを含むディレクトリをリモートコンピュータから削除しようとしています。私のコードはコンパイルされて正常に実行されますが、指定したパスでXMLファイルのリストを取得しようとすると、何も返されません。私は賢明な何か許可を逃していますか？

自分自身としてログオンしているコンピューターと、別のユーザーとしてログオンしている別のコンピューターから実行しました。どちらのアカウントも、XMLファイルを含むディレクトリを完全に制御できます。

.NET2.0を使用しています。

私は Django の詳細を約 1 週間調査してきましたが、私が見たものは気に入っています。ただし、CRUD インターフェイスへのアクセス許可のきめ細かな制御に関しては、否定的な意見もあります。

私が書いているのは、イントラネット クライアント管理 Web アプリです。組織は約 6 層であり、層に基づいてクライアント グループへのアクセスを制限する必要があります。続々拡大中。これを行う方法についてはかなり良い考えがありますが、事前に構築された管理インターフェイスにうまく統合できるかどうかはわかりません.

私は Django の開発を全く行っていません。生成された管理インターフェイスがこのプロジェクトにとって役に立たない場合は、おそらく Django を使用しませんが、前述したように、きめの細かいカスタム権限に大きく依存しています。

Django では、カスタムのパーミッション/ルールを作成して、それをシームレスに管理 CRUD インターフェイスに統合できますか?

更新 1: 管理アプリを使用して、CRUD インターフェイスの生成の繰り返しを最小限に抑えたいので、必須だと思います。

更新 2:

このプロジェクトに必要な権限について説明したいと思います。

クライアントは、1 つまたは複数の「ストア」に属することができます。フルタイムの従業員は、自分の店舗のクライアントのみを編集できるようにする必要があります (別の店舗に属していても)。ただし、別の店舗のクライアントを表示/編集することはできません。カジュアルは、登録されている店舗に基づいてのみクライアントを表示できるようにする必要があります (または、カジュアルが店舗ユーザーとしてログインしている場合 - より可能性が高い)。

その上の管理者は、管理する店舗のすべての従業員を確認できる必要があります。

上級管理職は、すべての従業員を編集し、自分自身の下に権限を付与できる必要があります。

djangoのドキュメントを読んだ後、グループのサブセットの権限を（自動的に）設定できないと書かれています。グループ全体のみ。この目的のために独自のアクセス許可をモックアップするのは簡単ですか?

SQL Server 2005 では、LimitedUser という名前のユーザーが 1 つのプロシージャしか実行できないようにしたい: GRANT EXEC ON [usp_RunETL] TO [LimitedUser]

ただし、その proc は、UPDATE、DELETE、INSERT、EXEC など、すべてを実行できる必要があります。これらすべての権限を LimitedUser に付与することなく、どうすればそれを行うことができますか?

簡単にするために：

さまざまな種類のユーザー レベルとアクションを備えたアクセス許可ベースのシステムが配置されています (UNIX ファイル システムのアクセス許可を考えてください)。

これを UML で視覚化する最善の方法は何でしょうか?

リストに対して「フルコントロール」権限を持っている場合、そのリストにアラートが設定されているすべての個人を表示する方法はありますか？

私の部門の一部の人々は、他の人々よりも自分のサブスクリプションを管理するのが得意です。これは、私がいくつかのチームリーダーから受け取った質問です。彼らは、リストにアラートが設定されているユーザーを確認して確認できるようにしたいと考えています。

SharePoint の実装では、ユーザーにはサイト コレクションの管理者権限が付与されています。サブサイトを削除したり、サイト コレクション全体を削除したりすることもあります。これをブロックできるようにしたいのですが、開発者ではないのでかなり難しいと思います。

MSIT のサイト削除キャプチャ ツールを調べて、それがどのように機能しているかを理解しようとしましたが、かなり簡単です。削除機能をオーバーライドして完全にブロックするか、ユーザーにパスワードを入力させたいと考えています。MSITツールは単にいくつかの機能を追加し（サイトをバックアップする）、デフォルトの動作に戻るように見えるため、デフォルトの動作を完全にオーバーライドする方法はわかりません。

私の質問は、デフォルトの動作を防ぐことはできますか、それともアクションが発生する前または後にのみアクションを追加できますか?

前もって感謝します