Bonjour,
Je suis en train de développer un bouton permettant de connaître les droits d'une personne choisie sur un document courant.
Donc, ma première étape est de récupérer les droits de l'utilisateur choisi sur la base où se trouve le document.
J'ai un bouquin sur Lotus V6 qui explique comment l'accés est calculé :
Un utilisateur fait partie de groupe A et groupe B
CAS 1 : groupe A : pas d'accès, groupe B : auteur => pas d'accès
CAS 2 : groupe A : lecteur, groupe B : auteur => auteur
ect...
Règle 1 :
En gros, si l'utilisateur fait partie d'un groupe qui n'a pas d'accès à la base dans la LCA, il ne doit pas avoir d'accès sur la base. (même s'il fait partie d'un autre groupe qui a lui accés)
Règle 2 :
Si l'utilisateur fait partie de groupes qui ont tous accés à la base, alors l'utilisateur aura l'accés le plus important parmis les groupes.
Sauf que quand je teste avec le bouton "accés effectif" de la LCA, la règle 1 ne fonctionne pas.
Ma question : est ce que cette règle a été retiré en version 8?
LCA et groupes
12 messages
• Page 1 sur 1
LCA et groupes
par R-one » 13 Sep 2011 à 10:28
- R-one
- Posteur néophyte
- Message(s) : 85
- Inscrit(e) le : 28 Juin 2011 à 09:51
par Raziel » 13 Sep 2011 à 10:31
De mémoire... mais vu mon age ça demande à être confirmé 
Cas 1 :
User présent nominativement et dans un groupe => C'est l'entrée nominative qui prend le dessus
Cas 2 :
User présent dans deux groupes différents => Le user a les droits les plus élevés.
Cas 1 :
User présent nominativement et dans un groupe => C'est l'entrée nominative qui prend le dessus
Cas 2 :
User présent dans deux groupes différents => Le user a les droits les plus élevés.
Raziel
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
-
Raziel - Modérateur
- Message(s) : 1795
- Inscrit(e) le : 21 Déc 2004 à 11:06
- Localisation : Roubaix
par Michael DELIQUE » 13 Sep 2011 à 10:32
salut
comme roubech dis
comme roubech dis
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
par Raziel » 13 Sep 2011 à 10:34
Michael DELIQUE a écrit:salut
comme roubech dis
Y'a pas que moi qui suis vieux...
Raziel
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
-
Raziel - Modérateur
- Message(s) : 1795
- Inscrit(e) le : 21 Déc 2004 à 11:06
- Localisation : Roubaix
par R-one » 13 Sep 2011 à 10:40
Merci mais si vous êtes si ancien ^^, un bouquin sur la V6 dit :
1. -Pas d'accés- l'emporte quelle que soit son origine : l'utilisateur est nommé explicitement, ou du fait de son appartenance à un groupe.
2. Le droit accordé explicitement à une personne l'emporte sur toutes les autres.
3. Le droit le plus élevé l'emporte lorsqu'une personne appartient à plusieurs groupes apparaissant dans la LCA.
Vous me confirmez les règles 2 et 3, mais la 1 vous ne la connaissez pas? ou vous ne l'avez jamais prise en compte?
1. -Pas d'accés- l'emporte quelle que soit son origine : l'utilisateur est nommé explicitement, ou du fait de son appartenance à un groupe.
2. Le droit accordé explicitement à une personne l'emporte sur toutes les autres.
3. Le droit le plus élevé l'emporte lorsqu'une personne appartient à plusieurs groupes apparaissant dans la LCA.
Vous me confirmez les règles 2 et 3, mais la 1 vous ne la connaissez pas? ou vous ne l'avez jamais prise en compte?
- R-one
- Posteur néophyte
- Message(s) : 85
- Inscrit(e) le : 28 Juin 2011 à 09:51
par Raziel » 13 Sep 2011 à 10:44
Perso, j'avais jamais entendu parlé de la 1.
Si elle a existait, elle n'est plus d'actualité
Si elle a existait, elle n'est plus d'actualité
Raziel
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
-
Raziel - Modérateur
- Message(s) : 1795
- Inscrit(e) le : 21 Déc 2004 à 11:06
- Localisation : Roubaix
par Raziel » 13 Sep 2011 à 10:52
Complément de mon message précédent.
Voici ce que dit l'aide de la v8.5 sur la gestion de la LCA
Ordre d'évaluation des entrées de la LCA
Les entrées de la LCA sont évaluées dans un ordre spécifique afin de déterminer le niveau d'accès qui sera attribué à un utilisateur authentifié essayant d'accéder à la base de documents. Si un utilisateur n'arrive pas à s'authentifier sur un serveur alors que l'accès y est autorisé, l'accès s'effectue comme si le nom de l'utilisateur était "Anonymous.
- La LCA contrôle d'abord le nom d'utilisateur pour voir s'il correspond à une entrée explicite. La LCA vérifie tous les noms d'utilisateur correspondants. A titre d'exemple, Sandra E Cordier/Ouest/Audimatique/FR correspondrait aux entrées Sandra E Cordier/Ouest/Audimatique/FR et Sandra E Cordier. Si deux entrées distinctes correspondant à une même personne sont définies avec plusieurs niveaux d'accès (par exemple, appliqués à un moment ou à un autre par différents administrateurs), l'utilisateur qui essaie d'accéder à la base bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges des deux entrées.
Remarque Si vous entrez uniquement le nom usuel dans la LCA (par exemple, Sandra E Cordier), cette entrée n'a une correspondance que si le nom d'utilisateur et le serveur de la base se trouvent dans la même hiérarchie de domaine. Par exemple, si l'utilisateur est Sandra E Cordier, dont le nom hiérarchique est Sandra E Cordier/Ouest/Audimatique, et que le serveur de la base est Fabrication/UsineCie, l'entrée Sandra E Cordier ne dispose pas du niveau d'accès approprié pour les LCA du serveur Fabrication/UsineCie. Vous devez entrer le nom au format hiérarchique complet pour que l'utilisateur dispose du niveau d'accès adéquat pour les LCA des serveurs d'autres domaines.
- Si la LCA ne trouve pas de correspondance au nom d'utilisateur, elle vérifie qu'il en existe une pour une entrée de nom de groupe. Dans le cas où une personne essayant d'accéder à la base correspond à plusieurs entrées de groupe (si, par exemple, elle est membre de Ventes et qu'il existe deux entrées de groupe correspondantes, Ventes Audimatique et Responsables ventes), elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux deux entrées.
Remarque Si l'utilisateur correspond à une entrée explicite de la LCA et qu'il est membre d'un groupe figurant également dans la LCA, cet utilisateur dispose systématiquement du niveau d'accès attribué à l'entrée explicite, même si le niveau d'accès du groupe est plus élevé.
- Si la LCA ne trouve aucune correspondance avec le nom de groupe, elle essaie de voir s'il est possible d'en établir une avec une entrée comportant un caractère générique. Si la personne essayant d'accéder à la base correspond à plusieurs entrées avec un caractère générique, elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux entrées correspondantes comportant un caractère générique.
- Si une entrée de groupe et une entrée contenant un caractère générique s'appliquent à un utilisateur tentant d'accéder à la base, l'utilisateur se voit octroyer l'accès attribué à l'entrée de groupe. Par exemple, si le groupe Ventes dispose d'un accès Lecteur et que l'entrée à caractère générique */Ouest/Audimatique bénéficie d'un accès Gestionnaire alors que les deux entrées s'appliquent à l'utilisateur, ce dernier dispose alors d'un accès Lecteur à la base de documents.
Enfin, s'il est impossible d'établir une correspondance avec les entrées de la LCA de la base, la personne bénéficie du niveau d'accès défini pour l'entrée -Default-.
Voici ce que dit l'aide de la v8.5 sur la gestion de la LCA
Ordre d'évaluation des entrées de la LCA
Les entrées de la LCA sont évaluées dans un ordre spécifique afin de déterminer le niveau d'accès qui sera attribué à un utilisateur authentifié essayant d'accéder à la base de documents. Si un utilisateur n'arrive pas à s'authentifier sur un serveur alors que l'accès y est autorisé, l'accès s'effectue comme si le nom de l'utilisateur était "Anonymous.
- La LCA contrôle d'abord le nom d'utilisateur pour voir s'il correspond à une entrée explicite. La LCA vérifie tous les noms d'utilisateur correspondants. A titre d'exemple, Sandra E Cordier/Ouest/Audimatique/FR correspondrait aux entrées Sandra E Cordier/Ouest/Audimatique/FR et Sandra E Cordier. Si deux entrées distinctes correspondant à une même personne sont définies avec plusieurs niveaux d'accès (par exemple, appliqués à un moment ou à un autre par différents administrateurs), l'utilisateur qui essaie d'accéder à la base bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges des deux entrées.
Remarque Si vous entrez uniquement le nom usuel dans la LCA (par exemple, Sandra E Cordier), cette entrée n'a une correspondance que si le nom d'utilisateur et le serveur de la base se trouvent dans la même hiérarchie de domaine. Par exemple, si l'utilisateur est Sandra E Cordier, dont le nom hiérarchique est Sandra E Cordier/Ouest/Audimatique, et que le serveur de la base est Fabrication/UsineCie, l'entrée Sandra E Cordier ne dispose pas du niveau d'accès approprié pour les LCA du serveur Fabrication/UsineCie. Vous devez entrer le nom au format hiérarchique complet pour que l'utilisateur dispose du niveau d'accès adéquat pour les LCA des serveurs d'autres domaines.
- Si la LCA ne trouve pas de correspondance au nom d'utilisateur, elle vérifie qu'il en existe une pour une entrée de nom de groupe. Dans le cas où une personne essayant d'accéder à la base correspond à plusieurs entrées de groupe (si, par exemple, elle est membre de Ventes et qu'il existe deux entrées de groupe correspondantes, Ventes Audimatique et Responsables ventes), elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux deux entrées.
Remarque Si l'utilisateur correspond à une entrée explicite de la LCA et qu'il est membre d'un groupe figurant également dans la LCA, cet utilisateur dispose systématiquement du niveau d'accès attribué à l'entrée explicite, même si le niveau d'accès du groupe est plus élevé.
- Si la LCA ne trouve aucune correspondance avec le nom de groupe, elle essaie de voir s'il est possible d'en établir une avec une entrée comportant un caractère générique. Si la personne essayant d'accéder à la base correspond à plusieurs entrées avec un caractère générique, elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux entrées correspondantes comportant un caractère générique.
- Si une entrée de groupe et une entrée contenant un caractère générique s'appliquent à un utilisateur tentant d'accéder à la base, l'utilisateur se voit octroyer l'accès attribué à l'entrée de groupe. Par exemple, si le groupe Ventes dispose d'un accès Lecteur et que l'entrée à caractère générique */Ouest/Audimatique bénéficie d'un accès Gestionnaire alors que les deux entrées s'appliquent à l'utilisateur, ce dernier dispose alors d'un accès Lecteur à la base de documents.
Enfin, s'il est impossible d'établir une correspondance avec les entrées de la LCA de la base, la personne bénéficie du niveau d'accès défini pour l'entrée -Default-.
Raziel
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
-
Raziel - Modérateur
- Message(s) : 1795
- Inscrit(e) le : 21 Déc 2004 à 11:06
- Localisation : Roubaix
par Michael DELIQUE » 13 Sep 2011 à 11:05
il est vrai que normalement le pas d'accès doit l'emporter !
mais tout dépend peut être ou il est placé, user ou groupe...
mmm je me fais vieux sur le coup là ou alors j'ai pas assé but de café ce amtin
mais tout dépend peut être ou il est placé, user ou groupe...
mmm je me fais vieux sur le coup là ou alors j'ai pas assé but de café ce amtin
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
par Raziel » 13 Sep 2011 à 11:08
S'il est placé sur User, il est normal que pas d'accès l'emporte. Mais cela est dû au fait qu'il est placé sur une entrée nominative.
Je viens de faire le test sur deux groupes ou je suis présent, l'un en pas d'accès et l'autre avec accès gestionnaire. Résultat : je suis bien gestionnaire de la base.
Je viens de faire le test sur deux groupes ou je suis présent, l'un en pas d'accès et l'autre avec accès gestionnaire. Résultat : je suis bien gestionnaire de la base.
Pour moi c'est les deux...mmm je me fais vieux sur le coup là ou alors j'ai pas assé but de café ce amtin
Raziel
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
-
Raziel - Modérateur
- Message(s) : 1795
- Inscrit(e) le : 21 Déc 2004 à 11:06
- Localisation : Roubaix
par R-one » 13 Sep 2011 à 11:09
Je te remercies Raziel pour cette réponse vraiment plus que complète. 
C'est pas grave Michael, j'arrive pas de tout manière à prouver la règle 1. Et l'aide Lotus n'a pas l'air d'en parler. Par contre, si des choses te reviennent, n'hésites pas.
La sagesse des anciens a parlé...
C'est pas grave Michael, j'arrive pas de tout manière à prouver la règle 1. Et l'aide Lotus n'a pas l'air d'en parler. Par contre, si des choses te reviennent, n'hésites pas.
La sagesse des anciens a parlé...
- R-one
- Posteur néophyte
- Message(s) : 85
- Inscrit(e) le : 28 Juin 2011 à 09:51
par Raziel » 13 Sep 2011 à 11:12
Ouch... ca fait mal...La sagesse des anciens a parlé...
Je viens encore de perdre des cheveux.
Raziel
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
L'administration est un lieu ou les gens qui arrivent en retard croisent dans l'escalier ceux qui partent en avance. [Georges Courteline]
-
Raziel - Modérateur
- Message(s) : 1795
- Inscrit(e) le : 21 Déc 2004 à 11:06
- Localisation : Roubaix
12 messages
• Page 1 sur 1
