Am Donnerstag, 31. Mai 2007 14:12:47 schrieb Tobias Lütticke:
Hallo Elias,
ich habe folgendes Setup (zum Vergleich):
* Jede Queue ist einer Gruppe zugeordnet (muss ja). Bei mir ist das eine Gruppe pro Queue (nicht für Unter-Queues). * Ich habe Rollen, die ich 1:1 zu den Gruppen definiert habe, also eine Rolle pro Gruppe. * Die Zuweisung von Nutzern zu Rollen synchronisiere ich automatisch aus dem LDAP (sollte aber den gleichen Effekt bei manueller Einstellung haben).
Das heisst: Nutzer -> Rolle -> Gruppe -> Queue
Dieser Ansatz der Strukturierung gefällt mir schonmal recht gut, aber ich weiß noch nicht, ob ich damit meine unternehmensseitig recht komplexen Anforderungen abdecken kann. Hab jetzt aber eine Idee, wie ich es bewerkstelligen könnte und werde das erstmal auf einer Testinstanz testen Was die Berechtigungen auf User-/Rollen-Ebene angeht, wird mir wohl nichts anderes übrig bleiben, als diese auf User-Ebene komplett zurückzusetzen. Das werde ich aber auch zuerst einmal auf der Testinstanz durchspielen und die entsprechenden Änderungen erst bei Erfolg auf dem Produktivsystem durchführen. Hier bin ich vermutlich am schnellsten, wenn ich direkt die entsprechenden Einträge in der Datenbank ändere; übers Webinterface klicke ich mich sonst tot ;-) Was Rollen-basierte vs. User-basierte Berechtigungen angeht: Nach einigen ersten Tests sieht es so aus, als würde immer der stärkere Gewinnen, d.h. - hab ich auf User-Ebene Admin-Rechte verpasst, ist es egal, wenn diese auf Rollen-Ebene nicht vergeben sind, ich habe sie trotzdem. Daraus ergibt sich für mich folgende Wahrheitstabelle: | U | R | E | | 0 | 0 | 0 | | 0 | 1 | 1 | | 1 | 0 | 1 | | 1 | 1 | 1 | Das sieht mir stark danach aus, als würden bei der Auswertung der Rechte die beiden Berechtigungstabellen (User/Rolle) miteinander ver-OR-t. IMHO sollte hier aber so vorgegangen werden, dass sobald ein User mind. einer Rolle zugewiesen ist, die komplette User-seitige Rechtevergabe ignoriert wird. Gruß, Elias P. -- A really nice number: "09:F9:11:02:9D:74:E3:5B:D8:41:56:C5:63:56:88:C0"