forum.bitel.ru http://forum.bitel.ru/ |
|
Ограничение доступа к дереву устройств (CRM) http://forum.bitel.ru/viewtopic.php?f=44&t=8068 |
Страница 1 из 2 |
Автор: | Phricker [ 23 май 2013, 15:32 ] |
Заголовок сообщения: | Ограничение доступа к дереву устройств |
Доброго дня. Есть ли (или планируется) возможность разграничения доступа к дереву устройств? На основе групп устройств/папок или еще чего-либо. Так например ситуация. За устройствами (добавлением/изменением) следит десяток человек (а может и несколько десятков). За каждым из этих человеков закреплен определенный населенный пункт/район. Как запретить отдельно взятому человеку просматривать/изменять устройства не относящиеся к его району? Корневые устройства (которые в принципе не должны быть никому доступны кроме администратора)? Это не административная задача, т.к. просмотр отдельно взятого устройства не проверишь. Только по журналу запросов. Придется посадить проверяльщика просмотров, а потом проверяльщика проверяльщика просмотров (а что? вдруг пропустит) и т.д. Существует же в биллинге система разграничения доступа к договорам. На основе групп/агентской схемы. Если бы ее не было - кто мешал бы людям заходить в не относящиеся к ним договора, что-либо менять или же просто просматривать? |
Автор: | nik247 [ 23 май 2013, 23:31 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
+1. Тоже такое нужно - просмотр устройств вниз только от заданного "root" id, закрепленного за определенными NAS. Пока решил вопрос запрещение просмотра всего дерева устройств - но это не выход, так как надо все таки логи смотреть и т.д. |
Автор: | Phricker [ 24 май 2013, 14:13 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Вверх ![]() |
Автор: | Phricker [ 27 май 2013, 21:27 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
up |
Автор: | Phricker [ 28 май 2013, 14:22 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
![]() |
Автор: | Phricker [ 28 май 2013, 20:50 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
![]() |
Автор: | Phricker [ 29 май 2013, 10:57 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
![]() |
Автор: | Magistr [ 29 май 2013, 11:51 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Напишите в helpdesk © stark повторяю: => хелпдеск => доработка => профит © dimOn |
Автор: | stark [ 11 июн 2013, 20:34 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
а где эти права задавать? и как |
Автор: | nik247 [ 11 июн 2013, 21:04 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
stark писал(а): а где эти права задавать? и как например в конфигурации пользователя в формате: root_id.inet.$mid=15 И для пользователя будет показываться только дерево устройств вниз от этого root_id. |
Автор: | Phricker [ 11 июн 2013, 22:58 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Ну если вы сейчас завязываете все на модуль Inet, то можно и в параметрах пользователя сделать вкладку. Где будет выводиться дерево устройств в котором можно проставлять галочки. Аля вкладка "Действия" в пользователе. И собственно две радио кнопки "Включая подустройства" и "Только выделенные" |
Автор: | stark [ 18 июн 2013, 18:12 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Phricker писал(а): Ну если вы сейчас завязываете все на модуль Inet, то можно и в параметрах пользователя сделать вкладку. Где будет выводиться дерево устройств в котором можно проставлять галочки. Аля вкладка "Действия" в пользователе. И собственно две радио кнопки "Включая подустройства" и "Только выделенные" У нас сейчас права никак на завязаны на сущности модулей . Права только в ядре назначаются . А может наоборот тогда , в устройствах сделать вкладку пользователи - кому можно править данное устройство ![]() |
Автор: | nik247 [ 18 июн 2013, 18:15 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
stark писал(а): Phricker писал(а): Ну если вы сейчас завязываете все на модуль Inet, то можно и в параметрах пользователя сделать вкладку. Где будет выводиться дерево устройств в котором можно проставлять галочки. Аля вкладка "Действия" в пользователе. И собственно две радио кнопки "Включая подустройства" и "Только выделенные" У нас сейчас права никак на завязаны на сущности модулей . Права только в ядре назначаются . А может наоборот тогда , в устройствах сделать вкладку пользователи - кому можно править данное устройство ![]() У меня вопрос стоит более глобально - не то что править - нужно запретить их ввообще видеть. |
Автор: | Phricker [ 18 июн 2013, 19:00 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
stark писал(а): У нас сейчас права никак на завязаны на сущности модулей . Права только в ядре назначаются . А может наоборот тогда , в устройствах сделать вкладку пользователи - кому можно править данное устройство ![]() Править/Видеть (Открывать). Ну и как бы более глобально это сделать аля, чтобы по умолчанию допустим вообще не видно ничего ![]() И на каждое устройство так права прописывать или подустройства автоматом будут принимать все права от супера? Но в этом случае если супера будет запрещено править/видеть пользователю - будут ли видны подустройства? |
Автор: | Phricker [ 19 июн 2013, 10:04 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Ах да. Пользователь так же должен иметь возможность добавлять подустройства к устройству. И это по идее решается только тем, что на устройстве дается полный доступ к подустройствам, и при этом к самому устройству может быть не полный доступ. |
Автор: | stark [ 10 июл 2013, 15:42 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Есть такой вариант . Все устройства одного типа ( с одинаковыми правами) добавляете в отдельную папку. И в actions/inet.xml прописываете код этой папки: <!-- <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> --> <service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 8"> <eq path=". /*/*/@parentId" value="8"/> </service> <service id="1002" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 31"> <eq path=". /*/*/@parentId" value="31"/> </service> А смотреть - пусть смотрят, чем вам это мешает ? |
Автор: | stark [ 10 июл 2013, 15:55 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Тут правда есть проблема с более сложными иерархиями, если есть много подпапок, нельзя одним правилом сразу это описать .Это нужно для каждой подпапки добавлять правило . |
Автор: | nik247 [ 10 июл 2013, 16:31 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
stark писал(а): А смотреть - пусть смотрят, чем вам это мешает ? Часто им вообще не надо видеть, какие устройства там есть вообще, кроме своих. Это касается дерева при выборе устройств и также в "Мониторе". Есть например агентская сеть, которая обслуживает своих клиентов. Им обеспечивается доступ в биллинг: 1) для подключения клиентов ( при редактировании сервиса они видят дерево) 2) дается доступ к модулю Inet для просмотра активных сессий, логов и ошибок (ошибок нет в договоре) Так вот в модуле они видят все дерево, видят все активные сессии, все логи, могут сбросить клиента. А они вообще кроме куска своего дерева устройств (и что это тянет за собой) вообще НИЧЕГО видеть не должны.... Хорошо, что сейчас сделали dynaction. Я через него уже много чего пофильтровал для агентов: 1) при поиске договоров отображаются только определенные группы, указанные в фильтре. 2) скрывается список список доступных в системе модулей 3) при создании договоров по шаблону выводятся не все шаблоны, а только указанные в фильтре. 4) сейчас доделываю фильтр спискового параметра - будут с общего списка показываться только указанные в фильтре. Но с Inet такого не сделать... Проще вообще доступ к нему закрывать и делать какую-то веб-админку. |
Автор: | nik247 [ 10 окт 2013, 15:52 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
stark писал(а): Есть такой вариант . Все устройства одного типа ( с одинаковыми правами) добавляете в отдельную папку. И в actions/inet.xml прописываете код этой папки: <!-- <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> --> <service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 8"> <eq path=". /*/*/@parentId" value="8"/> </service> <service id="1002" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 31"> <eq path=". /*/*/@parentId" value="31"/> </service> А смотреть - пусть смотрят, чем вам это мешает ? Сделал по образу и подобию: Код: <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> <service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование свитчей (доч. устройства для 10)"> <eq path=". /*/*/@parentId" value="10"/> </service> Не работает: даю только права 1001 - не могу обновлять устройства, дочерних для 10. Updated-1: Работает, как то забыл, что порядок играет роль - поменял местами и все отработало. Updated-2: Работает, но только на один уровень: 1) работает для свитч-Х: Свитчи(10) ->свитч-1 ->свитч-2 2) не работает для свитч-Х: Свитчи(10) ->группа св.1 --->свитч-1 --->свитч-2 |
Автор: | Phricker [ 14 ноя 2013, 13:17 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
АПну тему. Есть какие-нибудь продвижения в этом направлении? У нас внутри своей папки строят свои иерархии как в примере у nik247, для удобства. На днях человек зашел в дерево устройств и поменял тип устройства router с CiscoISG на коммутатор. При этом что логично отвалилась вся сеть, которая идет под ним. ![]() Шеф сказал что готовы рассмотреть это как платную доработку, главное чтобы было по человечески и в разумные сроки ![]() Отписал и в HD |
Автор: | skyb [ 14 ноя 2013, 15:45 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Phricker ++++ давай делай, а я ограничу тоже, не все мне тебе скрипты давать ![]() |
Автор: | nik247 [ 14 ноя 2013, 16:32 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
Мне было припекло дать возможность инженеру добавлять новые (и редактировать) свичи в дереве устройств. Единственный способ это сделать - предложил Amir. "+" -инженер может добавлять/редактировать определенную ветку дерева устройств. "-" -эта ветка может быть только "одного" уровня - поэтому пришлось убрать все группы свичей и свалить все в кучу. -код устройства, ниже которого можно дать доступ на редактирование "глобальный" для Inet. А у меня их несколько и получается дерево свитчей должно иметь одинаковый код во всех модулях Inet. |
Автор: | nik247 [ 14 фев 2014, 19:55 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств |
stark писал(а): Есть такой вариант . Все устройства одного типа ( с одинаковыми правами) добавляете в отдельную папку. И в actions/inet.xml прописываете код этой папки: <!-- <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> --> <service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 8"> <eq path=". /*/*/@parentId" value="8"/> </service> <service id="1002" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 31"> <eq path=". /*/*/@parentId" value="31"/> </service> А смотреть - пусть смотрят, чем вам это мешает ? Можете уточнить статус запроса, по поводу "ограничения доступа к дереву устройств" в 6.1? Предложенный вариант мне не совсем походит, так у меня несколько (больше 5) модулей Inet и соответственно id устройств разные... И вопрос повторю - интересует не только права на редактирование, а видимость ТОЛЬКО определенного дерева устройств (указание для пользователя или группы root device id). |
Автор: | Phricker [ 14 фев 2014, 20:03 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
Я уже как платную доработку прошу ![]() Цитата: Пока нет времени на эту задачу. Откладываем ее Цитата: Ну а по срокам хоть каким-нибудь? И тишина. |
Автор: | nik247 [ 14 фев 2014, 20:13 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
Phricker писал(а): Я уже как платную доработку прошу ![]() Цитата: Пока нет времени на эту задачу. Откладываем ее Цитата: Ну а по срокам хоть каким-нибудь? И тишина. Я бы тоже думаю смог уговорить руководство на кооперацию по этой доработке.... Просто уже версия 6.1 на выходе .... Данная доработка нужна уже как воздух - я уже не могу плодить модули Inet для решения этого вопроса. |
Автор: | snark [ 15 фев 2014, 03:50 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
Подождем реализацию до мая - к этому времени выйдет 6.1 и теме исполнится год ![]() |
Автор: | Phricker [ 16 фев 2014, 11:44 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
nik247 писал(а): Данная доработка нужна уже как воздух - я уже не могу плодить модули Inet для решения этого вопроса. Эм. Вы каждому пользователю заводите отдельный модуль чтоли? |
Автор: | nik247 [ 16 фев 2014, 16:00 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
Phricker писал(а): nik247 писал(а): Данная доработка нужна уже как воздух - я уже не могу плодить модули Inet для решения этого вопроса. Эм. Вы каждому пользователю заводите отдельный модуль чтоли? Для каждого филиала отдельный - то есть для группы пользователей. |
Автор: | Phricker [ 16 фев 2014, 22:27 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
представил 100+ экземпляров модулей для каждого агента ![]() ![]() ![]() ![]() |
Автор: | nik247 [ 17 фев 2014, 19:24 ] |
Заголовок сообщения: | Re: Ограничение доступа к дереву устройств (CRM) |
Уважаемые разработчики, что можете сказать по данному вопросу? Даже волшебная приставка "CRM" есть. |
Страница 1 из 2 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |