Rechte Probleme
-
Hi,
vielleicht bin ich auch nur zu blöd. Aber sei es drum. Ein Login das Recht Browse ist offenbar nicht möglich. Also habe ich eine Rolle Browser angelegt, die nur das Recht browse für Modul 2 (cmdb) besitzt. Eine Gruppe angelegt und dann entsprechend verdrahtet. Ein Mitglied dieser Gruppe kann sich anmelden und (oh Wunder) sieht nicht nur den Navigationsbaum, sondern auch alle sichtbaren Informationen, also das, wozu eigentlich eigentlich das Recht 2 (read) erforderlich sein sollte.
Hintergrund:
Ich habe hier momentan zwar nur einen Mandanten, aber nicht alle Benutzer dürfen auch alle Informationen in der CMDB sehen. ist das lösbar? Alos z.B. geht die Windows-Admins nichts von den Unix-Admins an. Gleichwohl muss der Servicedesk alles sehen können.
Kann ich das irgendwo verdrahten? Auch wenn es nur in der Datenbank geht.
Gruss - Jeanluc
-
Innerhalb der CMDB kann man zur Zeit keine unterschiedlichen Rechte verteilen. Es ist geplant in einer der nächsten Versionen das komplette Rechtesystem auszubauen, dann gibt es auch unterschiedliche Rechte für jeden Objekttypen und/oder für jedes Modul.
-
Gibt es da schon einen Zeitplan? Rechte auf Objekttypen reichen aber nicht. Es sollten schon Gruppenrechte auf Objekte sein. Z.B. darf eine Gruppe d. Windowsadmins keinen Zugriff auf Infos d. Unix-Admins haben etc.
Gruss - JeanLuc
-
Die Überarbeitung des Rechtesystems ist in der Tat einer der großen Blöcke für die 1.0. Hierfür existiert noch kein konkreter Zeitplan und auch die Überlegungen dazu kreisen noch.
Wir haben im Grunde vier Ebenen, auf denen Rechte wirken können. Dabei handelt es sich um a) Mandanten, b) Objekttypen, c) Lokationen und d) Kategorien. Innerhalb dieser Ebenen soll es dann jeweils ein Browse, Read, Write, Create, Modify und Admin-Recht geben. Am flexiblesten ist es natürlich, alle Rechte miteinander zu verstricken und noch in eine vererbbare Hierarchie zu bekommen. Dürfte aber sowohl für die Entwicklung als auch die Administration das komplexeste Modell werden…
Von daher würden wir gerne noch weitere Eindrücke dazu sammeln, welche Rechteanforderungen im Betrieb bestehen und was benötigt wird, um diese abzubilden.
Grüße
-
Hi,
ok - also meine Anforderungen sind eigentlich relativ einfach. Rechte (Gruppe oder Benutzer) auf das Objekt. Warum? Wenn ich ein Objekt anlege, weiss ich, welche Benutzer es sehen dürfen. Dass kann ich über Benutzer und Gruppen regeln. Nehmen wir mal als Objekt einen Server und die ihm zugeorneten Objekte. Die verantwortlichen Admins f.d. Gerät dürfen alles sehen. Für die Netzwerker z.B. ist netzwerkadresse, Karte etc. interessant - die Systemkonfiguration geht sie aber einen feuchten Staub an. Für das Service-Management sind wieder andere Sachen interessant.
Ich denke das mit den beschriebenen Rechten auf Objektebene das meiste abgefackelt werden könnte. Sinnvoll wäre erstmal ein Recht f.das ganzen Objekt (z.B. Server) mit "Unterrechten" f. einzelnes (Netzkonfiguration, Ansprechpartner, Wartungsverträge etc.).
Ferner müssten die Rollen (Reader, Autor etc.) mit festgelegt werden können, um zu regeln, wer ändern darf, lesen oder sonst was.
Interessant wäre noch, Objekte mehreren Mandanten zuordnen zu können (z.B. Gebäude, Räume, Kontakte)
