Безопасность на уровне записей

[sukhanchik]

Цитата:

Сообщение от gl00mie

пришлось отказаться от кучи групп, дающих каждая доступ к определенной части функционала (а также отдельных групп с настройками RLS) и перейти на настройку своего рода ролей, чтобы каждый пользователь входил лишь в одну группу. Переходный этап был сложен, но потом, мол, стало даже проще в плане администрирования прав доступа: если что, сразу понятно, в какой группе нужно вносить изменения.

Лет 5 назад (точно не помню) - еще в 3.0 решил я как-то (уж не помню зачем) посчитать кол-во групп в системе и сравнить с кол-вом пользователей. Выяснилось, что кол-во групп превышало кол-во пользователей аж в 3 (!!!) раза.

После этого было принято решение относить каждого пользователя в свою индивидуальную группу "и не морочить остальным голову".

Как-то не запомнилась сложность переходного этапа - у нас это сделалось "на раз-два" путем быстренького написания утилитки (мега-джобика), который "сложил" все права каждого пользователя в одну индивидуальную его группу (правда, наскольку я помню - настройку RLS этот мега-джобик не складывал).

Единственное - с чем пришлось столкнуться (благо таких мест было мало) - так это с тем, что в системе иногда прописываются группы пользователей для наделения правами в таблицах (например, настройка журналов).

И теперь - если количество пользователей примерно совпадает с количеством групп - я рекомендую сделать "роли" - т.е. индивидуальные группы каждому пользователю. Гораздо проще потом в последующей настройке

[gl00mie]

Очень странно... в списке вышедших hotfix'ов RLS упоминается лишь дважды, и нигде - в связи с возвратом к "старой" схеме:

PHP код:

979270 (входит в RU4) Memory leak in RLS with many groups
959563 (входит в RU1) Unable to configure RLS with Turkish_CI_AS collation 


[d&m]

http://blogs.msdn.com/b/emeadaxsuppo...s-ax-2009.aspx

как написано по ссылке, у нас в ax2009 (ver 5.0.1500.6491) если пользователь в двух группах:
1ая без настройки RLS
2ая запрещает доступ к записи С
у пользователя будут доступны все записи (в отличие от 4.0, где будут доступны все, кроме С).

Собственно вопрос: как вернуть старое поведение RLS (чтобы в 2009 было, как в 4.0)? ссылка на KB, готовые XPO и т.д. - все приветствуется...

[gl00mie]

Вроде бы краткий ответ - никак. Известен лишь обходной маневр - для тех пользователей, которым нужно ограничить доступность данных с помощью RLS, нужно настроить одну группу-роль вместо кучки отдельных групп и для этой же группы настроить RLS.

[d&m]

Цитата:

Сообщение от gl00mie

Известен лишь обходной маневр - для тех пользователей, которым нужно ограничить доступность данных с помощью RLS, нужно настроить одну группу-роль вместо кучки отдельных групп и для этой же группы настроить RLS.

этот вариант не пройдет у нас - т.к. у нас регионально распределенные сайты. на каждом сайте нужно видеть только записи своего сайта. сайтов около 100 штук - создавать 100 групп-ролей - это перебор на мой взгляд. Точнее проблема даже не в их создании, а в их последующем обновлении (если вдруг нужно всем сайтам добавить доп таблицу \ доп поле \ доп пункт меню).
обычно мы делали так:
1. одна группа для настройки прав доступа - по menu item и tables. RLS для этой группы не натсраивается
2. 100 групп для RLS - в которых только настройка RLS.
но сейчас это невозможно ....

[gl00mie]

Проблема возникает, если на одну и ту же таблицу доступ дается и в группе(ах) без RLS, и в группе с RLS. В вашем случае можно из "общей" группы убрать права доступа на те таблицы, для которых должен быть настроен RLS по сайту, и дать доступ на них лишь в тех группах, к которым будут привязаны настройки RLS.

[Murlin]

оффтоп. А есть ли какой-либо смысл отказываться от стандартного RLS и переписывать его?
Вот чисто интересно возможные причины отказа от RLS стандарта в 2009.
Сложность настройки?
Я до этого просто как то не сталкивался и не знаю как там RLS в 2009 работает. В 3 в 4ке никаких проблем особо не видел.

[AnGor]

Есть ли какая-то особенность RLS для виртуальных таблиц?
настраиваю критерий для группы, а всеравно - видны все записи.

[Kabardian]

У группы, для которой настраиваете RLS есть доступ к виртуальным таблицам?

[AnGor]

Цитата:

Сообщение от Kabardian

У группы, для которой настраиваете RLS есть доступ к виртуальным таблицам?

да, дуступ есть

[AlexeyBP]

Нашелся ли хот фикс который приводит RLS 2009 к варианту 4ки?

[gl00mie]

Поищите Хотя с учетом того, что 2009-я снята с поддержки еще в январе 2013-го, я лично очень сомневаюсь, чтобы в ней что-то такое правили.

[Ivanhoe]

2009 продлена по поддержке, были новости.