Geryon

Ja das Thema is halt für mich einfach sehr neu und damit sehr schwer verständlich gewesen. Kein Wunder also, dass man dabei auch mal aneineander vorbeiredet und etwas ganz anderes meint.

Ich hatte das am Anfang so verstanden, dass Benutzer einfach zu Gruppen gruppiert werden können, und dass dann diese Gruppen Rollen erhalten. So ist das aber garnicht. Benutzergruppen enthalten garnicht direkt Benutzer sondern sie enthalten Rollen. Und Benutzer können diese Rollen in verschiedenen Benutzergruppen einnehmen. Daher weiß ich auch jetzt erst, was du mit Rollensets gemeint hast. Diese enthalten verschiedene Rollen. Aber immer nur maximal eine Rolle aus einer Benutzergrupe. Damit geben diese an, welcher Benutzer in Welcher Benutzergruppe, welche maximale Rolle besitzt. Also: Was ist deine Rolle in dieser und jener Gruppe.

Im Folgenden noch einmal mein Konzept im Überblick. Es beinhaltet erste Überlegungen der Klassenmethoden, das Datenbankkonzept, ein RBAC Schaubild sowie meine Überlegungen noch einemal in der Zusammenfassung.

http://corems.de/core_files/rbac_core.pdf

Ich werde das genau so umsetzen. In einem Punkt werde ich allerdings, wie schon gesagt, von RBAC abweichen. Nähmlich dann, wenn ein Benutzer in manchen Fällen ein Recht direkt braucht. Dass kann allerdings nicht in der Verwaltung direkt vergeben werden sondern wird höchstens zur Laufzeit vergeben. Beispiel: Ein Benutzer erstellt einen Beitrag. In diesem Fall erhält er dieses Recht zur Veränderung direkt.

Logt sich ein Benutzer ein, erhält er automatisch immer die geringste Rolle aus den Benutzergruppen, in denen er sich befindet. Er kann innerhalb der Benutzergruppen in der Rollenhierarchie bis zu seiner im Rollenset festgelegten maximalen Rolle aufsteigen. Das erfordert dann die erneute Eingabe des Passworts.

Das hier beschriebene Modell passt auch endlich auf alle meine theoretischen Szenarien, die eintreten können.

Mister Ad

dr.e.

Warum werden Rollen einem Benutzer über Role <-> Group <-> User zugeordnet? Ich sehe hier eher Role <-> User <-> Group.
Des weiteren sollte as Thema Sichtbarkeits-Berechtigungen noch bedacht sein.

Diese Logik verstehe ich nicht. Warum die "geringste"? Ein Benutzer soll doch über seine Rollen eine Schnittmenge an Permissions erhalten. Sollte eine Rolle eine Permission mit "false" definieren, eine andere mit "true" muss man sich überlegen, wie das auf Permission-Ebene funktionieren soll. Andernfalls sollte das Kumulat aller Permissions über alle Rollen dem Benutzer zugeführt werden.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Geryon

Hallo.

In dem Schaubild wird Benutzern jeweils ein Rollenset zugeteilt. Diese Rollensets bestimmen über das beinhalten von Rollen in welcher Gruppe sich der User befindet. Daher befindet sich der Benutzer in Rollen und damit in Gruppen. Wie heißt denn eigentlich diese Schreibweise mit <-> ? Ich tu mich damit irgendwie schwer.

Sichtbarkeit bedeutet doch, dass der Benutzer grundsätzlich sehen kann, dass er die Möglichkeit hat ein Recht auszuführen. Daher ob er auch sehen kann, ob er Artikel löschen darf, auch wenn er die nötige Rolle gerade nicht inne hat aber besitzt. Oder? Mit der Methode check() prüfe ich ob er das Recht in irgendeiner möglichen Rolle inne hat. Und mit call() wird geprüft ob er die benötigte Rolle momentan hat. Von daher sehe ich da keine Probleme.

Diese Schnittmenge hat er ja auch. Beispiel:

Benutzer Geryon hat durch sein Rollenset in bestimmten Gruppen Rollen, die er einnehmen kann. Innerhalb der Gruppen sind Rollen hierarchisch aufgebaut:

So gibt es in der Gruppe Forum folgende Rollen, die sich gegenseitig unterstehen: Rolle Moderator -> Rolle Verfasser

Und in der Gruppe Chat gibt es ähnlche Rollen, die auch einander unterstehen: Rolle Moderator -> Rolle Verfasser

Geryon ist in der Gruppe Forum ein Moderator und in der Gruppe Chat ein Verfasser. Wenn er sich einloggt bekommt er aber in beiden Gruppen nur die Rolle des Verfassers zugeordnet. Seine Session hält also 2 Rollen aus 2 Gruppen. Das ist seine Schnittmenge. Will Geryon im Forum nun eine moderative Funktion ausführen so muss er in der Gruppe Forum die Rolle wechseln. In der Gruppe Chat allersings kann er erst garnicht sehen, dass es überhaupt moderative Funktionen gibt.

Mit dem laden der geringsten Rolle meine ich also, dass jeweils aus jeder angehörenden Gruppe nur die niedrigste Rolle geladen wird. Während der Sitzung kann er dann in den jeweiligen Gruppen bis zu seiner maximalen Rolle aufsteigen. Und aufsteigen meint auch, dass eine übergeordnete Rolle alles darf, was eine untergeordnete Rolle auch darf.

Ich arbeite wie schon gesagt mit Funktionsberechtigungen. Permissions mit True oder False gibt es nicht. Ich kann in der Verwaltung nur angeben, dass ich Funktionen() ausführen darf. Soll bedeuten: Ich kann nicht festlegen, dass eine Funktion() mit einem Parameter nicht ausgeführt werden darf, sondern nur, dass sie ausgeführt werden darf. Ist eine Funktion und ihr erlaubter Parameter nicht in der Rechtetabelle aufgeführt so wird diese einfach verweigert. Das System kann also nur erlauben. Alles andere ist verboten.

Koala

installier Dir mal phpBB und schau Dir den Adminbereich an mit der Rechteverwaltung.

Dort gibt es User, Usergruppen und Foren(=Objekte "auf" denen gewisse Rechte ausgeübt werden dürfen).

In bestimmten Foren können nur bestimmte Rechte ausgeführt werden.

Die Usergruppen haben per default bestimmte Rechte.

Ein User wird einer bestimmten Gruppe zugeordnet,
wobei es aber auch machbar ist die Rechte des einzelnen Users
zu erweitern oder einzuschränken. ("Userrechte" stehen also über "Gruppenrechte", "Userrecht bricht Gruppenrecht" wenn Du so willst).

ein pratisches Beispiel:
Du möchtest einem User der Gruppe "Gast" ausnahmsweise das Recht zugestehn in einem bestimmten Forum
in dem normalerweise nur Admins und Mods Rechte haben zu lesen und zu schreiben.
Der Gast hat also eine bestimmte, individuelle Rolle.
Ein Admin kann nun vorübergehend die Rolle dieses Gastes einnehmen.


es gibt keine über- und untergeordneten Rollen.

Damit ist eben gemeint ob z.B. Userrecht Gruppenrecht bricht oder umgekehrt.

Und die Forenrechte, also was mit einem Forum gemacht werden darf, mußt in Deine Überlegungen auch noch einfließen lassen.

Mein Vorschlag: Forenrecht bricht Gruppenrecht, aber nicht Userrecht.
Das heißt ein für normale registrierte User nicht zugängliches Forum, kann durch die Vergabe individueller Rechte an einzelne User
dieser Gruppe zugänglich gemacht werden.

hm ... war hoffentlich verständlich ...

__________________
Eine if-else-Abfrage nimmt, ordentlich geschrieben eine Menge Platz weg. Platzsparend geht es mit einem ternären Operator.

Geryon

Hallo Koala

Die erste Erweiterung von RBAC 0 nämlich RBAC 1 erlaubt das erben von Rechten aufgrund einer Rollenhierarchie. Dort stehen die Rollen nicht mehr nur nebeneinander sondern ordnen sich baumartig an.

In meiner Überlegung, die ich weiter oben beschrieben habe ist es völlig ausgeschlossen, dass sich Rechte irgendwie in die Quere kommen. Denn es gibt kein Recht, was irgendein anderes einschränken könnte. Alle Rechte haben in meinem System nur die Fähigkeit etwas zu erlauben. Aber sie können nicht verbieten. Alles ist verboten. Solange bis es von einem Recht erlaub wird. Konflikte sind so absolut ausgeschlossen.

Koala, folgendes Zitat von dir ist mir am wichtigsten. Und ich glaube dieser Punktz sorgt in den meisten Beschreibungen von RBAC für viel Verwirrung.
Kann jetzt sein, dass du das nur auf PHPBB beziehst. Aber wenn du damit RBAC meinst muss ich doch wiedersprechen. Zumindest wage ich es^^ .
Mal im Ernst: Ich habe RBAC jetzt so begriffen, dass wenn eine RBAC Version überhaupt Gruppen unterstützt dann wie folgt: Ja es gibt Benutzergruppen. Aber Benutzer werden nicht direkt hinzugeordnet. Sondern Jeder Benutzer besitzt versciedene Rollen. UNd diese Rollen wiederrum bestimmen in welcher Gruppe sich der Benutzer befindet. RBAC bedeutet für mich: Welche Rolle hat eine Person in welcher Gruppe? In der Gruppe Kindergarten kann er Kind, Clown oder Erzieher sein. In der Gruppe Forum kann er Leser, Schreiber oder Moderator sein. Der User hat die Rolle Moderator und die Rolle Erzieher inne. Darum befindet er sich in den Gruppen Kindergarten und Forum. So habe ich RBAC mit Benutzergruppen verstanden. Bitte korrigiert mich, wenn das absolut daneben liegt.

Das Beispiel verstehe ich hier nicht ganz. Warum sollte ein Admin die Rolle eines Gastes einnehmen? Ich glaube sowas geht in PHPBB sogar zum Beispiel zum Testen. Aber wolltest du nicht sagen, dass ein Gast die Rolle daes Admins einnehmen kann?

Koala

Warum nicht ? Das geht nicht nur in phpBB, sondern z.B. auch in Shopsystemen wie xt-Commerce.

Und das sieht RBAC auch vor:
http://de.wikipedia.org/wiki/Role_Based_Access_Control

__________________
Eine if-else-Abfrage nimmt, ordentlich geschrieben eine Menge Platz weg. Platzsparend geht es mit einem ternären Operator.

Geryon

OK. Alles klar. Und im Rest? Stimmst du da mit mir überein?

Koala

es gibt eben verschiedene Ansätze.
Ich würds so machen wie es das phpBB macht.
Wobei auch phpBB rollenbasiert funktioniert und die Rechte die ein Forum "hat"
(also was man mit dem Forum machen kann) entspricht dem was dr.e mit Sichtbarkeit gemeint hat.

Von einer hierarchischen Anordnung der Rollen halt ich nicht viel.

Aber gut, das ist wohl Geschmackssache.

__________________
Eine if-else-Abfrage nimmt, ordentlich geschrieben eine Menge Platz weg. Platzsparend geht es mit einem ternären Operator.