Hallo, hatte bisher die Rollen-Funktionen von OTRS noch nicht wirklich genutzt und jetzt aber ihren Nutzen entdeckt, d.h. bisher sind alle User manuell ihren Gruppen und Queues zugewiesen. Muss ich jetzt die Berechtigungen der einzelnen User komplett auf Null zurücksetzen, bevor die Zuweisungen durch die Rollen wirklich korrekt wirken, oder werden die User-spezifischen Einstellungen ignoriert, sobald ein User einer Rolle zugewiesen wurde? Weiterhin bin ich auf der Suche nach der Möglichkeit, über Rollen auch Queue-Zuweisungen zu definieren. Gibt es hier irgendeinen Ansatz oder eine Möglichkeit das zu realisieren? Setze OTRS-2.1.7 ein. Danke & Gruß, Elias P. -- A really nice number: "09:F9:11:02:9D:74:E3:5B:D8:41:56:C5:63:56:88:C0"
Hallo Elias, ich habe folgendes Setup (zum Vergleich): * Jede Queue ist einer Gruppe zugeordnet (muss ja). Bei mir ist das eine Gruppe pro Queue (nicht für Unter-Queues). * Ich habe Rollen, die ich 1:1 zu den Gruppen definiert habe, also eine Rolle pro Gruppe. * Die Zuweisung von Nutzern zu Rollen synchronisiere ich automatisch aus dem LDAP (sollte aber den gleichen Effekt bei manueller Einstellung haben). Das heisst: Nutzer -> Rolle -> Gruppe -> Queue
Muss ich jetzt die Berechtigungen der einzelnen User komplett auf Null zurücksetzen, bevor die Zuweisungen durch die Rollen wirklich korrekt wirken, oder werden die User-spezifischen Einstellungen ignoriert, sobald ein User einer Rolle zugewiesen wurde?
Wenn ich jetzt die Rechte eines Nutzer über den Admin-Menüpunkt 'Benutzer<->Gruppen' ändere (zum Beispiel einem 'einfachen' Agent Adminrechte gebe), dann sieht der bei der nächsten Anmeldung den Admin-Button im Menü. Für mich heisst das, dass OTRS die Infos aus den Rollen zusammen mit den direkten auswertet. Welche Einstellung von beiden da bei Konflikten gewinnt: Keine Ahnung.... Fazit: Du solltest die alten Rechte resetten.
Weiterhin bin ich auf der Suche nach der Möglichkeit, über Rollen auch Queue-Zuweisungen zu definieren. Gibt es hier irgendeinen Ansatz oder eine Möglichkeit das zu realisieren?
Bin nicht sicher, ob ich das verstanden habe. Ist das vielleicht sogar schon das, was ich mache (siehe oben)? Cheers Tobias -- Five out of four people have problems with fractions.
Am Donnerstag, 31. Mai 2007 14:12:47 schrieb Tobias Lütticke:
Hallo Elias,
ich habe folgendes Setup (zum Vergleich):
* Jede Queue ist einer Gruppe zugeordnet (muss ja). Bei mir ist das eine Gruppe pro Queue (nicht für Unter-Queues). * Ich habe Rollen, die ich 1:1 zu den Gruppen definiert habe, also eine Rolle pro Gruppe. * Die Zuweisung von Nutzern zu Rollen synchronisiere ich automatisch aus dem LDAP (sollte aber den gleichen Effekt bei manueller Einstellung haben).
Das heisst: Nutzer -> Rolle -> Gruppe -> Queue
Dieser Ansatz der Strukturierung gefällt mir schonmal recht gut, aber ich weiß noch nicht, ob ich damit meine unternehmensseitig recht komplexen Anforderungen abdecken kann. Hab jetzt aber eine Idee, wie ich es bewerkstelligen könnte und werde das erstmal auf einer Testinstanz testen Was die Berechtigungen auf User-/Rollen-Ebene angeht, wird mir wohl nichts anderes übrig bleiben, als diese auf User-Ebene komplett zurückzusetzen. Das werde ich aber auch zuerst einmal auf der Testinstanz durchspielen und die entsprechenden Änderungen erst bei Erfolg auf dem Produktivsystem durchführen. Hier bin ich vermutlich am schnellsten, wenn ich direkt die entsprechenden Einträge in der Datenbank ändere; übers Webinterface klicke ich mich sonst tot ;-) Was Rollen-basierte vs. User-basierte Berechtigungen angeht: Nach einigen ersten Tests sieht es so aus, als würde immer der stärkere Gewinnen, d.h. - hab ich auf User-Ebene Admin-Rechte verpasst, ist es egal, wenn diese auf Rollen-Ebene nicht vergeben sind, ich habe sie trotzdem. Daraus ergibt sich für mich folgende Wahrheitstabelle: | U | R | E | | 0 | 0 | 0 | | 0 | 1 | 1 | | 1 | 0 | 1 | | 1 | 1 | 1 | Das sieht mir stark danach aus, als würden bei der Auswertung der Rechte die beiden Berechtigungstabellen (User/Rolle) miteinander ver-OR-t. IMHO sollte hier aber so vorgegangen werden, dass sobald ein User mind. einer Rolle zugewiesen ist, die komplette User-seitige Rechtevergabe ignoriert wird. Gruß, Elias P. -- A really nice number: "09:F9:11:02:9D:74:E3:5B:D8:41:56:C5:63:56:88:C0"
Hallo,
Hier bin ich vermutlich am schnellsten, wenn ich direkt die entsprechenden Einträge in der Datenbank ändere; übers Webinterface klicke ich mich sonst tot ;-)
Sehe ich auch so.
Was Rollen-basierte vs. User-basierte Berechtigungen angeht: Nach einigen ersten Tests sieht es so aus, als würde immer der stärkere Gewinnen, d.h. - hab ich auf User-Ebene Admin-Rechte verpasst, ist es egal, wenn diese auf Rollen-Ebene nicht vergeben sind, ich habe sie trotzdem. Daraus ergibt sich für mich folgende Wahrheitstabelle:
| U | R | E | | 0 | 0 | 0 | | 0 | 1 | 1 | | 1 | 0 | 1 | | 1 | 1 | 1 |
Danke für die Info.
Das sieht mir stark danach aus, als würden bei der Auswertung der Rechte die beiden Berechtigungstabellen (User/Rolle) miteinander ver-OR-t. IMHO sollte hier aber so vorgegangen werden, dass sobald ein User mind. einer Rolle zugewiesen ist, die komplette User-seitige Rechtevergabe ignoriert wird.
Darüber kann man sich vermutlich streiten. Man könnte ja auch der Meinung sein, dass Einzelrechte die Rollen überschreiben, also Rollen legen die Defaults fest und wenn aber einer eine Extrawurst braucht, kann ich das über ein Einzelrecht steuern. Alternative b ist dann Dein Vorschlag. Ver-OR-en ist aber Schrott, das glaube ich auch. Dann ist die Logik, insb. wenns komplex wird, nicht mehr nachvollziehbar. Einen Master sollte es geben. Welchem Weg man dann folgt ist wohl auch Geschmackssache. Gruß Tobias -- Never send a human to do a machine's job. -- Agent Smith, The Matrix
Am Donnerstag, 31. Mai 2007 17:31:15 schrieb Tobias Lütticke:
Das sieht mir stark danach aus, als würden bei der Auswertung der Rechte die beiden Berechtigungstabellen (User/Rolle) miteinander ver-OR-t. IMHO sollte hier aber so vorgegangen werden, dass sobald ein User mind. einer Rolle zugewiesen ist, die komplette User-seitige Rechtevergabe ignoriert wird.
Darüber kann man sich vermutlich streiten. Man könnte ja auch der Meinung sein, dass Einzelrechte die Rollen überschreiben, also Rollen legen die Defaults fest und wenn aber einer eine Extrawurst braucht, kann ich das über ein Einzelrecht steuern. Alternative b ist dann Dein Vorschlag.
Ver-OR-en ist aber Schrott, das glaube ich auch. Dann ist die Logik, insb. wenns komplex wird, nicht mehr nachvollziehbar. Einen Master sollte es geben. Welchem Weg man dann folgt ist wohl auch Geschmackssache.
Da hast du wiederum recht. Werde mir hier mal etwas überlegen, wie man das lösen könnte und es dann als [WISH] auf bugs.otrs.org einreichen. Gruß, Elias P. -- A really nice number: "09:F9:11:02:9D:74:E3:5B:D8:41:56:C5:63:56:88:C0"
participants (2)
-
Elias Probst -
Tobias Lütticke