RE: Rechteprobleme nach Update auf Version 1.5.3 PRO

hi,

Systemcache leeren.

hi,

ganz trivial -> Forum Profil Änderung. Ich ändere den Text und klicke auf Speichern. Ihr solltet um 10:35 ein Forbidden in der Log sehen, von der 130.83.160.152.

hi,

wie meiner Signatur zu entnehmen ist, habe ich i-doit auf einem Webcluster installiert. Dabei ist das zugrunde liegende Dateisystem der Webserver ein NFS Share. Die Datenbank ist ebenfalls ein MySQL Cluster (percona-xtradb-cluster), bestehend aus drei Nodes (master-master). Als Storage Engine muss in diesem Fall innoDB verwendet werden, damit die Replikation reibungslos funktioniert. Damit I-Doit davon nichts mitbekommt, wird als IP Adresse die von einem HA-Proxy Verbund + keepalived (für die globale IP) verwendet.

Damit nun der Benutzer nichts davon mitbekommt, gehen die Webanfragen ebenfalls vorher an einen HA-Proxy (der gleiche, wie für MySQL) und werden dann per Roundrobin an die Webserver hinten dran verteilt. Kurz: ein Standard Webcluster.

Nun ist es mir ein Anliegen, dass bei der zukünftigen Entwicklung darauf geachtet wird, dass solche Setups berücksichtigt werden. Das fängt bei den SQL Tabellen an (kein MyISAM mehr), geht über speziell geforderte SQL Queries (also z.B. CREATE FUNCTION ….), die möglicherweise aus Replikationsgründen deaktiviert wurden  ... und hört bestimmt nicht bei Dateien auf, die lokal angelegt werden und eventuell ein Problem darstellen können.

Ich denke, bei einer so wichtigen Software, muss der jeweilige Admin dafür Sorge tragen, dass die Anwendung möglichst hoch verfügbar ist, was aber nur dann geht, wenn die Software damit zurecht kommt.
Nun mag der eine oder andere einwerfen, dass das ja auch auf einer VM geht, aber wenn die einzelne VM kaputt geht .... ist es blöd, ist aber nur ein Teil im Cluster defekt, kann der andere die Aufgabe übernehmen.

cu denny

hi,

bitte daran denken, dass unter Debian z.B. unterschiedliche php.ini Dateien verwendet werden. Für den Apachen ist dies die:

/etc/php5/apache2/php.ini

Bei anderen Distributionen kann das ähnlich sein. Am Besten in diesem Fall eine test.php anlegen mit phpinfo:

// Zeigt alle Informationen (Standardwert ist INFO_ALL)
phpinfo();
?>

um dann dort zu sehen, welche Datei verwendet wird.

cu denny

hi,

ich weiß nicht. Da das Handbuch nur erklärt, was die Optionen bedeutet, aber nicht erklären wie sie genutzt werden, würde ich das als sehr sinnvolle Stütze annehmen. Es ist ja wie bei einem Windows Server: auch dort gibt es für die wichtigsten Szenarien eine Gruppe (zumindest damals, als ich noch Windows 2000 administrieren durfte ..) Da würde nichts dagegen sprechen.

In die Gleiche Kerbe würde ich auch schlagen, wenn es zum Beispiel eine Rolle "Buchhaltung" geben würde, bei der alles ausgeblendet wird, bis auf eben für die Buchhaltung notwendigen Informationen. Da frage ich mich eh, ob das jeder Benutzer für sich konfigurieren muss, oder ob ich als Admin das global vorkauen kann. Dafür muss ich nochmal die Suche beanspruchen

cu denny

hi,

ich habe jetzt noch ein wenig experimentiert. Nun kann ich den gleichen Effekt wie bei meinen ersten Versuchen nachstellen: beim hinzufügen von weiteren "Objekten von Typ" <typ>, erhalte ich in der Ansicht "Objektsicht" nur den Typ "Switch", statt zusätzlich "Raum", Gebäude", "Router". etc. …

Ich würde daher auf einen Bug tippen.

Nachtrag:

In der Demo tritt wie du bereits gesagt hast, der gleiche Effekt auf: ich bekomme nur einen einzigen Objekttyp angezeigt, egal wie viele ich auswähle.

Nachtrag2:

der Support hat geantwortet: es muss der "Systemcache" geleert werden, damit die neuen Objekte entsprechend angezeigt werden. Ab der Version 1.5.4 soll dies automatisiert passieren.

</typ>

hi jkondek,

pass auf: den gleichen Effekt habe ich ebenfalls festgestellt, aber ich werde deine Rechte mal 1:1 übernehmen und schauen, was passiert. Ich habe von der Gruppe mal die Rechte komplett wieder entzogen und nach dem Einloggen lande ich auf CMDB -> Anwendungen. Ich hätte eher erwartet … nichts zu sehen. Siehe Anhang.

klick hier und klick da

So, nach dem Setzen deiner Rechte, sehe ich nun Infrastruktur und Switch (yeahh) und unter "Andere" auch Layer2 und, aber einige Sachen scheinen noch nicht zu passen. Da muss man wohl noch etwas zusätzlich auswählen. Doch für den Anfang nicht schlecht.

Dennoch ist das System irgendwie verwirrend, insb. wenn man sich fragt, wofür dann "Personen/Personengruppe -> <objekt>-> Rechteverwaltung" dann ist.

Ich glaube was ich gut finden würde, wären fertige Rollen bzw. Gruppen die bereits passend vorkonfiguriert sind. Man nehme typische Rollen von einem Unternehmen und gieße diese dann in passende Rechte. Z.B. eben Den Netzwerkadmin, Arbeitsplatzadmin, Druckeradmin ... etc. pp. Darauf aufbauend kann man dann eigene Änderungen vornehmen und müsste nicht bei 0 anfangen

cu denny

(ps. nach Änderung von "Ansehen bezieht sich auf Kategorie Alle", auf "Ansehen + Bearbeiten bezieht sich auf Kategorie Alle", war dann auch das Rechteproblem weg. Ob das "Nebenwirkungen" hat, muss ich noch schauen )

</objekt>

Hallo,

also ich habe ja fast alles so hinbekommen, aber was das Rechtesystem angeht … da herrscht bei mir blanke Verwirrung. Die Aufgabenstellung ist eigentlich "trivial": Eine (Netzwerk-)Benutzergruppe erstellen, welche alle Berechtigungen auf z.B. Switches, Layer-2/3 hat, und auch neue Objekte dieser Art erstellen kann. Am Besten wäre es auch, wenn diese Gruppe auch nur das sehen kann, um so die Übersicht zu verbessern.

Bei mir sind z.B. in der Objektsicht keine Einträge. Ich müsste dazu und die Standortsicht gehen. Bin ich dann z.B. auf einem Switch drauf und klicke dann einen Pfad zurück, also "$HOME > CMDB > Switch", so kann ich zwar oben rechts sehen "Normal(16)", aber die Liste ist leer mit " Es sind keine Einträge (mit dem Status "Normal") vorhanden".

Also ich muss sagen, das Rechtesystem gehört überarbeitet und gestaltet es aus meiner Sicht sehr schwer, da sinnvolle Konstrukte zu erstellen. Ich vermute mal, dass daher die meisten komplett drauf verzichten und als Admins (bzw. mit Admin Rechen) unterwegs sind.

Kann mir da mal jemand ein Beispiel nennen, um die Aufgabe zu bewältigen?

Viele Grüße

Denny

hi,

ich würde gern mein Profil hier anpassen, aber ich erhalte immer nur ein "Forbidden". Ich bin mir auch sicher, dass ich das vor einigen Wochen bereits gemeldet habe. Kann da mal jemand von den Admins schauen?

hi,

ich habe heute ein Upgrade von 1.4.10 auf 1.5.3 getätigt und hat soweit ich das in den letzten paar Minuten überblicke, auch soweit funktioniert. Klicke ich allerdings z.B. auf einen Switch und Klicke dann auf "Port", erhalte ich den Fehler:

Nachricht
Database error : Query error: '
CREATE FUNCTION alphas(str CHAR(100)) RETURNS CHAR(100) DETERMINISTIC READS SQL DATA
BEGIN
DECLARE i, len SMALLINT DEFAULT 1;
DECLARE ret CHAR(100) DEFAULT '';
DECLARE c CHAR(1);
SET len = CHAR_LENGTH( str );
REPEAT
BEGIN
SET c = MID( str, i, 1 );
IF c REGEXP '[[:alpha:]]' THEN
SET ret=CONCAT(ret,c);
END IF;
SET i = i + 1;
END;
UNTIL i > len END REPEAT;
RETURN ret;
END':
You do not have the SUPER privilege and binary logging is enabled (you *might* want to use the less safe log_bin_trust_function_creators variable)

Meine Datenbank ist ein Percona / Galera InnoDB Cluster, bestehend aus drei Nodes. Daher muss ich vor dem Einspielen der Updates per sed aus MyISAM ein InnoDB machen. Wie auch immer, das Problem ist wohl binlog. Die Frage ist nun, wie ich damit umgehen soll, sodass ich meinen Cluster nicht kaputt mache und I-DOIT damit kein Problem hat.

Hat da jemand einen Vorschlag?

cu denny