Hallo,
in verinice.PRO Version 1.20 (vmtl. auch in vorherigen Versionen) können Funktionen ausgeführt werden, obwohl diese im Berechtigungsprofil nicht zugelassen sind.
Beispiel (BSIMOD):
Herr Meier gehört zur Account-Gruppe „AG-Anwender“.
Für die Account-Gruppe „AG-Anwender“ ist nur das Berechtigungsprofil „BP-Anwender“ ausgewählt.
Im Berechtigungsprofil „BP-Anwender“ sind nur die folgenden Aktionen ausgewählt:
ALL/F/Eigenes Passwort ändern
ALL/V/Katalogansicht
BSIMOD/V/Modernisiertes BSI Modell anzeigen.
Obwohl im Berechtigungsprofil „BP-Anwender“ die folgenden Aktionen nicht ausgewählt sind:
BSIMOD/F/BSI-Element hinzufügen
BSIMOD/F/BSI-Informationsverbund hinzufügen
kann der Benutzer Meier, „BSI-Informationsverbünde“ und „BSI-Element“ hinzufügen und auch löschen.
Es gibt noch weitere Aktionen die ohne Berechtigungsfreigabe ausgeführt werden können.
So ist ein Rechte-/Rollenkonzept nicht umsetzbar.
Liegt das Problem bei mir oder gibt es hier Handlungsbedarf in verinice.PRO?
kann es sein, dass der Account auch der Gruppe „user-default-group“ zugeordnet ist? Diese hat standardmäßig das Profil „user-default-profile“, über das eininge Standard-Features für alle Benutzer aktiviert werden.
Falls nicht, müssen wir wohl noch weiter schauen.
Ja, die Zuordnung zur Gruppe „user-default-group“ war wohl vorhanden.
Dort habe ich nun, bis auf „Eigenes Kennwort ändern“ und „IT-Verbund anzeigen“ alle Berechtigungen entfernt.
Jetzt scheint es zu funktionieren.
Werden die Standardgruppen bei einem Versionsupdate wieder überschrieben oder bleiben meine Anpassungen erhalten?
die Änderungen bleiben nach einem Update bestehen.
Das funktioniert, weil es auf dem Server zwei Dateien gibt: verinice-auth-default.xml und verinice-auth.xml. Die verinice-auth.xml enthält das angepasste user-default-profile und wird beim Update nicht überschrieben. Nur verinice-auth-default.xml wird beim Update Überschrieben und enthält ggf. neue Action-IDs der neuen Version.
Wenn Anpassungen dieser Art gemacht werden, muss aber beim Update darauf geachtet werden, ob neue Action-IDs in der Applikation hinzugefügt wurden und diese ggf. in der bestehenden Konfiguration nachziehen. Informationen über geänderte Action-IDs stehen üblicherweise in den Release Notes.
