forum.bitel.ru
http://forum.bitel.ru/

Ограничение доступа к дереву устройств (CRM)
http://forum.bitel.ru/viewtopic.php?f=44&t=8068
Страница 1 из 2

Автор:  Phricker [ 23 май 2013, 15:32 ]
Заголовок сообщения:  Ограничение доступа к дереву устройств

Доброго дня.
Есть ли (или планируется) возможность разграничения доступа к дереву устройств?
На основе групп устройств/папок или еще чего-либо.

Так например ситуация.
За устройствами (добавлением/изменением) следит десяток человек (а может и несколько десятков).

За каждым из этих человеков закреплен определенный населенный пункт/район.

Как запретить отдельно взятому человеку просматривать/изменять устройства не относящиеся к его району? Корневые устройства (которые в принципе не должны быть никому доступны кроме администратора)?

Это не административная задача, т.к. просмотр отдельно взятого устройства не проверишь. Только по журналу запросов. Придется посадить проверяльщика просмотров, а потом проверяльщика проверяльщика просмотров (а что? вдруг пропустит) и т.д.

Существует же в биллинге система разграничения доступа к договорам. На основе групп/агентской схемы. Если бы ее не было - кто мешал бы людям заходить в не относящиеся к ним договора, что-либо менять или же просто просматривать?

Автор:  nik247 [ 23 май 2013, 23:31 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

+1.
Тоже такое нужно - просмотр устройств вниз только от заданного "root" id, закрепленного за определенными NAS.
Пока решил вопрос запрещение просмотра всего дерева устройств - но это не выход, так как надо все таки логи смотреть и т.д.

Автор:  Phricker [ 24 май 2013, 14:13 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Вверх
Изображение

Автор:  Phricker [ 27 май 2013, 21:27 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

up

Автор:  Phricker [ 28 май 2013, 14:22 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

:!:

Автор:  Phricker [ 28 май 2013, 20:50 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

:type:

Автор:  Phricker [ 29 май 2013, 10:57 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

:lupa:

Автор:  Magistr [ 29 май 2013, 11:51 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Напишите в helpdesk © stark
повторяю: => хелпдеск => доработка => профит © dimOn

Автор:  stark [ 11 июн 2013, 20:34 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

а где эти права задавать? и как

Автор:  nik247 [ 11 июн 2013, 21:04 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

stark писал(а):
а где эти права задавать? и как

например в конфигурации пользователя в формате:
root_id.inet.$mid=15
И для пользователя будет показываться только дерево устройств вниз от этого root_id.

Автор:  Phricker [ 11 июн 2013, 22:58 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Ну если вы сейчас завязываете все на модуль Inet, то можно и в параметрах пользователя сделать вкладку. Где будет выводиться дерево устройств в котором можно проставлять галочки.
Аля вкладка "Действия" в пользователе.
И собственно две радио кнопки "Включая подустройства" и "Только выделенные"

Автор:  stark [ 18 июн 2013, 18:12 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Phricker писал(а):
Ну если вы сейчас завязываете все на модуль Inet, то можно и в параметрах пользователя сделать вкладку. Где будет выводиться дерево устройств в котором можно проставлять галочки.
Аля вкладка "Действия" в пользователе.
И собственно две радио кнопки "Включая подустройства" и "Только выделенные"


У нас сейчас права никак на завязаны на сущности модулей . Права только в ядре назначаются . А может наоборот тогда , в устройствах сделать вкладку пользователи - кому можно править данное устройство :)

Автор:  nik247 [ 18 июн 2013, 18:15 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

stark писал(а):
Phricker писал(а):
Ну если вы сейчас завязываете все на модуль Inet, то можно и в параметрах пользователя сделать вкладку. Где будет выводиться дерево устройств в котором можно проставлять галочки.
Аля вкладка "Действия" в пользователе.
И собственно две радио кнопки "Включая подустройства" и "Только выделенные"


У нас сейчас права никак на завязаны на сущности модулей . Права только в ядре назначаются . А может наоборот тогда , в устройствах сделать вкладку пользователи - кому можно править данное устройство :)


У меня вопрос стоит более глобально - не то что править - нужно запретить их ввообще видеть.

Автор:  Phricker [ 18 июн 2013, 19:00 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

stark писал(а):
У нас сейчас права никак на завязаны на сущности модулей . Права только в ядре назначаются . А может наоборот тогда , в устройствах сделать вкладку пользователи - кому можно править данное устройство :)

Править/Видеть (Открывать).
Ну и как бы более глобально это сделать аля, чтобы по умолчанию допустим вообще не видно ничего :)
И на каждое устройство так права прописывать или подустройства автоматом будут принимать все права от супера?
Но в этом случае если супера будет запрещено править/видеть пользователю - будут ли видны подустройства?

Автор:  Phricker [ 19 июн 2013, 10:04 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Ах да. Пользователь так же должен иметь возможность добавлять подустройства к устройству.
И это по идее решается только тем, что на устройстве дается полный доступ к подустройствам, и при этом к самому устройству может быть не полный доступ.

Автор:  stark [ 10 июл 2013, 15:42 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Есть такой вариант . Все устройства одного типа ( с одинаковыми правами) добавляете в отдельную папку. И в actions/inet.xml прописываете код этой папки:

<!-- <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> -->

<service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 8">
<eq path=". /*/*/@parentId" value="8"/>
</service>

<service id="1002" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 31">
<eq path=". /*/*/@parentId" value="31"/>
</service>



А смотреть - пусть смотрят, чем вам это мешает ?

Автор:  stark [ 10 июл 2013, 15:55 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Тут правда есть проблема с более сложными иерархиями, если есть много подпапок, нельзя одним правилом сразу это описать .Это нужно для каждой подпапки добавлять правило .

Автор:  nik247 [ 10 июл 2013, 16:31 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

stark писал(а):
А смотреть - пусть смотрят, чем вам это мешает ?

Часто им вообще не надо видеть, какие устройства там есть вообще, кроме своих.
Это касается дерева при выборе устройств и также в "Мониторе".
Есть например агентская сеть, которая обслуживает своих клиентов.
Им обеспечивается доступ в биллинг:
1) для подключения клиентов ( при редактировании сервиса они видят дерево)
2) дается доступ к модулю Inet для просмотра активных сессий, логов и ошибок (ошибок нет в договоре)
Так вот в модуле они видят все дерево, видят все активные сессии, все логи, могут сбросить клиента.
А они вообще кроме куска своего дерева устройств (и что это тянет за собой) вообще НИЧЕГО видеть не должны....

Хорошо, что сейчас сделали dynaction.
Я через него уже много чего пофильтровал для агентов:
1) при поиске договоров отображаются только определенные группы, указанные в фильтре.
2) скрывается список список доступных в системе модулей
3) при создании договоров по шаблону выводятся не все шаблоны, а только указанные в фильтре.
4) сейчас доделываю фильтр спискового параметра - будут с общего списка показываться только указанные в фильтре.

Но с Inet такого не сделать...
Проще вообще доступ к нему закрывать и делать какую-то веб-админку.

Автор:  nik247 [ 10 окт 2013, 15:52 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

stark писал(а):
Есть такой вариант . Все устройства одного типа ( с одинаковыми правами) добавляете в отдельную папку. И в actions/inet.xml прописываете код этой папки:

<!-- <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> -->

<service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 8">
<eq path=". /*/*/@parentId" value="8"/>
</service>

<service id="1002" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 31">
<eq path=". /*/*/@parentId" value="31"/>
</service>



А смотреть - пусть смотрят, чем вам это мешает ?


Сделал по образу и подобию:
Код:
<service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/>                       
<service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование свитчей (доч. устройства для 10)">
      <eq path=". /*/*/@parentId" value="10"/>
</service>

Не работает: даю только права 1001 - не могу обновлять устройства, дочерних для 10.

Updated-1: Работает, как то забыл, что порядок играет роль - поменял местами и все отработало.

Updated-2: Работает, но только на один уровень:
1) работает для свитч-Х:
Свитчи(10)
->свитч-1
->свитч-2
2) не работает для свитч-Х:
Свитчи(10)
->группа св.1
--->свитч-1
--->свитч-2

Автор:  Phricker [ 14 ноя 2013, 13:17 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

АПну тему.
Есть какие-нибудь продвижения в этом направлении?
У нас внутри своей папки строят свои иерархии как в примере у nik247, для удобства.

На днях человек зашел в дерево устройств и поменял тип устройства router с CiscoISG на коммутатор. При этом что логично отвалилась вся сеть, которая идет под ним.
Изображение

Шеф сказал что готовы рассмотреть это как платную доработку, главное чтобы было по человечески и в разумные сроки :)
Отписал и в HD

Автор:  skyb [ 14 ноя 2013, 15:45 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Phricker ++++ давай делай, а я ограничу тоже, не все мне тебе скрипты давать :-D

Автор:  nik247 [ 14 ноя 2013, 16:32 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

Мне было припекло дать возможность инженеру добавлять новые (и редактировать) свичи в дереве устройств.
Единственный способ это сделать - предложил Amir.
"+"
-инженер может добавлять/редактировать определенную ветку дерева устройств.
"-"
-эта ветка может быть только "одного" уровня - поэтому пришлось убрать все группы свичей и свалить все в кучу.
-код устройства, ниже которого можно дать доступ на редактирование "глобальный" для Inet. А у меня их несколько и получается дерево свитчей должно иметь одинаковый код во всех модулях Inet.

Автор:  nik247 [ 14 фев 2014, 19:55 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств

stark писал(а):
Есть такой вариант . Все устройства одного типа ( с одинаковыми правами) добавляете в отдельную папку. И в actions/inet.xml прописываете код этой папки:

<!-- <service id="16" name="InetDeviceService" operation="deviceUpdate" title="Редактирование устройства"/> -->

<service id="1001" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 8">
<eq path=". /*/*/@parentId" value="8"/>
</service>

<service id="1002" name="InetDeviceService" operation="deviceUpdate" title="Редактирование дочерних устройств для устройства с кодом 31">
<eq path=". /*/*/@parentId" value="31"/>
</service>



А смотреть - пусть смотрят, чем вам это мешает ?


Можете уточнить статус запроса, по поводу "ограничения доступа к дереву устройств" в 6.1?
Предложенный вариант мне не совсем походит, так у меня несколько (больше 5) модулей Inet и соответственно id устройств разные...
И вопрос повторю - интересует не только права на редактирование, а видимость ТОЛЬКО определенного дерева устройств (указание для пользователя или группы root device id).

Автор:  Phricker [ 14 фев 2014, 20:03 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

Я уже как платную доработку прошу :D
Цитата:
Пока нет времени на эту задачу. Откладываем ее

Цитата:
Ну а по срокам хоть каким-нибудь?

И тишина.

Автор:  nik247 [ 14 фев 2014, 20:13 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

Phricker писал(а):
Я уже как платную доработку прошу :D
Цитата:
Пока нет времени на эту задачу. Откладываем ее

Цитата:
Ну а по срокам хоть каким-нибудь?

И тишина.

Я бы тоже думаю смог уговорить руководство на кооперацию по этой доработке....
Просто уже версия 6.1 на выходе ....
Данная доработка нужна уже как воздух - я уже не могу плодить модули Inet для решения этого вопроса.

Автор:  snark [ 15 фев 2014, 03:50 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

Подождем реализацию до мая - к этому времени выйдет 6.1 и теме исполнится год :(

Автор:  Phricker [ 16 фев 2014, 11:44 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

nik247 писал(а):
Данная доработка нужна уже как воздух - я уже не могу плодить модули Inet для решения этого вопроса.

Эм. Вы каждому пользователю заводите отдельный модуль чтоли?

Автор:  nik247 [ 16 фев 2014, 16:00 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

Phricker писал(а):
nik247 писал(а):
Данная доработка нужна уже как воздух - я уже не могу плодить модули Inet для решения этого вопроса.

Эм. Вы каждому пользователю заводите отдельный модуль чтоли?

Для каждого филиала отдельный - то есть для группы пользователей.

Автор:  Phricker [ 16 фев 2014, 22:27 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

представил 100+ экземпляров модулей для каждого агента :shock: :shock: :shock: :shock:

Автор:  nik247 [ 17 фев 2014, 19:24 ]
Заголовок сообщения:  Re: Ограничение доступа к дереву устройств (CRM)

Уважаемые разработчики, что можете сказать по данному вопросу?
Даже волшебная приставка "CRM" есть.

Страница 1 из 2 Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/