問題タブ [security-roles]

CakePHP で ACL を実装するのに苦労しています。Cake マニュアルのドキュメントや他のいくつかのチュートリアル、ブログ投稿などを読んだ後、多くのギャップを埋めるのに役立つ Aran Johnson の優れたチュートリアルを見つけました。彼の例は、いくつかの場所で、特に彼が使用する ARO ツリー構造で、私が見た他の例と矛盾しているようです。

彼の例では、ユーザー グループはカスケード ツリーとして設定されています。最も一般的なユーザー タイプがツリーの一番上にあり、その子はより制限されたアクセス タイプごとに分岐しています。他の場所では、通常、各ユーザー タイプを同じ汎用ユーザー タイプの子として見てきました。

CakePHP で ARO と ACO をどのようにセットアップしますか? どんなヒントでも大歓迎です！

だからここに私の現在のコードがあります：

これは数か月前に誰かによって行われましたが、なぜ機能しないのか理解できません。同社は最近、あるドメイン名から別のドメイン名に移動したばかりです。そのため、p.IsInRole("String") 関数が使用するドメイン コントローラーに興味がありました。コンピューターが使用しているものは何でも、デフォルトの DC を使用すると想定しています。

奇妙な点は、これが実行されているオフィス内のコンピューターが 2 つの別々のドメインにある可能性があることです。オブジェクトではList<string>、両方のドメインが可能です。そのため、「domainA\groupA」、「domainA\userB」、「domainB\groupC」、「domainB\userD」などの項目が含まれる可能性があります。

したがって、私の主な問題は、IsInRole 関数が決して true を返さないことです。私はそれが必要であることを知っています.domainA\Domainユーザーでテストしても、falseが返されます.

何か案は？コードを変更することは可能ですが、望ましくありません。私は100％ではありませんが、コンパイルすることさえできます...

私は中規模の MySQL データベースを持っており、主要な「persons」テーブルには、私が多数の Web アプリケーションの保守と開発を担当している劇場および演劇学校に接続しているすべての人間に関する基本的な連絡先情報が含まれています。

一部の人は単なる連絡先です。つまり、「persons」テーブル レコードは、その人について保存する必要があるすべての情報です。しかし、他の多くの人は、さまざまなシステムに対して異なる役割を引き受けることができなければなりません。このうち、ほとんどが学生としてスタートします。正社員としてスタートする方もいます。学生はインターンやパフォーマーになることができます。従業員は学生になることができます。すべての教師は従業員とパフォーマーなどです。

本質的に、それらは、システムのさまざまな部分にアクセスして対話するために、またそれらに関する情報を私たちのサイトの公開ページで利用できるようにするために、個人が着用しなければならないさまざまな「帽子」です。

このモデルを実装するための私の選択は、これらの「帽子」を表す他のいくつかのテーブルを用意することです。基本的な「人」情報を補足するメタ情報を含むテーブルで、すべて「人」ID を主キーとして使用します。たとえば、教師である人物は、彼または彼女の簡単な経歴情報と給与を含むレコードを教師テーブルに持っています。すべての教師は従業員でもあります (ただし、すべての従業員が教師であるわけではありません)。つまり、従業員テーブルにレコードがあり、給与システムに勤務時間を送信できます。

私の質問は、モデルをそのまま実装することの欠点は何ですか? 私が考えることができる唯一の他のオプションは、ほとんどのエントリに対して空で役に立たないフィールドで個人テーブルを膨らませ、次に個人が属することができる「グループ」の面倒なテーブルを持ち、次にすべてのほぼすべてのテーブルを持つことですシステムは個人person_idの外部キーを持ち、ビジネス ロジックに依存して、参照されている person_id が適切なグループに属していることを確認します。しかし、それはばかげていますね。

以下にいくつかのテーブル宣言の例を示します。これは、私が現在これらすべてをどのようにまとめているかを示し、システムが対処しなければならないさまざまな状況の現実をモデル化するためのより賢明な方法であると私が考える理由を示していることを願っています.

あらゆる提案やコメントを歓迎します。お時間をいただきありがとうございます。

EDIT何人かの回答者が、セキュリティのために ACL を使用することについて言及しています。最初の質問では、実際には、さまざまなシステムの実際のユーザーのきめ細かいアクセス制御のために別の ACL パッケージを使用していることには言及していませんでした。私の質問は、データベース スキーマに人に関するメタデータを格納するためのベスト プラクティスに関するものです。

Linux Web サーバーを使用しており、(現在 Access にある) いくつかのデータベース テーブルを CRUD 用に Web 上で利用できるようにしたいと考えています。役割ベースのセキュリティが必要です。これを開発するための最速のパスは何ですか?

また、どのデータベースが最適でしょうか? 違いがあれば、すでにそのボックスで mySQL を実行しています。

まず、これはおそらく難しい注文だと思いますが... :)

当社が製造するハードウェアと相互作用するソフトウェアがいくつかあります。このソフトウェアは .NET アセンブリをロードし、これがハードウェアへのインターフェイスとして機能します。

現在、ロール ベースのセキュリティを提供する C# で記述された「ランチャー」アプリケーションがあります。この「ランチャー」は、プロセスを介して、コマンド ライン引数 (使用する .NET アセンブリ) を使用して C++ 実行可能ファイルを起動します。次に、C++ 実行可能ファイルは、提供された .NET アセンブリを読み込み、それを使用してアクションを実行します。

問題は、プロセスで C++ アプリケーションを起動すると、「ランチャー」によって提供されるロール ベースのセキュリティ コンテキストが失われるためです。

C++ アプリケーションを起動し、ロール ベースのセキュリティ コンテキストを維持する方法はありますか?

これを読んでくれてありがとう。ご不明な点がございましたら、お気軽にお問い合わせください。

ありがとうございました、

アダム

SOAP アプリでの役割を持つユーザーの完全なモデルにアクセスしたいと考えています。たとえば、「Fred」というユーザーの役割を知りたいとします。

ある種のグローバル JAAS レジストリにアクセスして (疑似コード) globalRegistry.getUser("Fred").getPrincipals()を実行するにはどうすればよいですか? (JAAS では、役割はPrincipalによって表されることに注意してください。)

LoginContextからサブジェクトのプリンシパルを 取得する方法は知っていますが、これには 2 つの問題があります。

1. これはログイン時のみであり、前述のレジストリをコーディングしてSubjectオブジェクトとPrincipalオブジェクトを自分で保存することは避けたいと思います。それらは既に appserver によって保存されているからです。
2. できれば、Fred が現在のユーザーでなくても、この情報にアクセスできるようにしたいと考えています。

私は Jetty を使用していますが、これらの動作は JAAS の標準であると思います。

ITグループの本番環境変更の実装者は、主に、退職した人や他のグループに異動した人がサーバー共有にアクセスできないようにするために、グループ内のさまざまなオブジェクトすべてのセキュリティを確認する必要があります。 、Webディレクトリ、SQLデータベースなど。最近SQLの部分が完了し、毎年（または思いついた頻度で）実行できる再利用可能なスクリプトがあります。それはうまく機能し、数分で10台ほどのサーバーにわたって20のデータベースを監査しました。

さて、サーバーのものについて。.NET 2.0を使用してC＃で作成したアプリケーションがあります。このアプリケーションは、ディレクトリのリストを再帰的にスキャンし、ACLをテキストファイルにダンプします。これはうまく機能します。ローカルマシン上。UNCパスとマップパスが機能しない場合、次の例外メッセージが表示されます。プロセスには、この操作に必要な「SeSecurityPrivilege」特権がありません。

この行で：

ここで、diは、DirectoryInfo[]配列から列挙されたDirectoryInfoオブジェクトです。

SeSecurityPrivilege特権が付与される可能性はほとんどありません。しかし、これは必要ないと思います。フォルダを開いてプロパティを右クリックし、[セキュリティ]タブをクリックして、GUIで表示できます。プログラムでもアクセスできるはずです。

コードのこのセクションを変更して、ターゲットフォルダーのアクセス許可を取得する方法について何か考えはありますか？

編集：ルートフォルダの「GetAccessControl（）」メソッドの取得に失敗した場合、ACLの読み取り属性のリモートフォルダを確認するにはどうすればよいですか？（\ server \ pathを渡すと、\ server \ pathの情報を取得するときにエラーが発生します）。

ユーザーアカウントはドメインアカウントであり、ファイル構造を読み取るためのアクセス許可があります。フォルダ/ファイルのプロパティからセキュリティを確認できます。

プロセスモニターをチェックアウトしますが、サーバーで実行できるかどうかわかりません（私は問題のサーバーの管理者ではありません）。

私が取り組んでいるサイトは中規模で、開発者は 3 人、ユーザー数は数千人で、運営する中小企業にとって非常に重要です。つまり、これは Fortune 500 の企業ではなく、時間と予算の効率的な方法でロールベースのセキュリティを実装する必要がある本格的な企業です。安全。

サイトは主にカスタム コードで作成されますが、可能な限りコンポーネントを効率的に活用したいと考えています。約 6 つのロール (買い手、売り手、管理者、パートナーなど) があり、ほとんどが外部ユーザーであるため、ユーザー名、pw などを入力するフォームが想定されます。ユーザー情報は SQL Server に保存される可能性が高いです。テーブル。

ロールベースのセキュリティに使用するのに最適なテクノロジについて、実際の経験に基づいて考えていただければ幸いです。

DNN5で定期的な料金サブスクリプションをテストしています。カスタムロールの更新期間を1日に設定しました。

1日後、サブスクリプションはEXPIREDと表示されますが、ユーザーはその役割にアクセスできるすべてのページを引き続き表示できます。

私は何かが足りないのですか？

WCF セキュリティを理解し始めたところです。サービスでのユーザーの役割を一覧表示するにはどうすればよいですか?

例えば

ありがとう