Sicherheit und Rechtevergabe
In der Version 3.0 wurden ClassAd Funktionen und Optionen hinzugefügt, die den Umgang mit Benutzern und deren Rechten ermöglichen. Grundsätzlich muss hierbei zwischen drei Arten von Rechten unterschieden werden:
- Recht eine Anzeige aufzugeben
- Recht eine Anzeige ohne Prüfung durch den Administrator aufzugeben
- Recht eines Benutzers auf Anzeigen oder Rubriken einer geschlossenen Benutzergruppe zuzugreifen
Das Recht eine Anzeige aufzugeben ist ein Recht, dass für registrierte Benutzer in jedem Falle gegeben ist. Gesteuert werden kann allerdings das Verhalten des Skripts bei Aufgabe einer Anzeige durch einen anonymen, d.h. nicht angemeldeten oder registrierten Benutzer. Der Konfigurationsparameter "Anzeigenaufgabe durch unreg. Benutzer" steuert dieses Verhalten.
Um einen Missbrauch der Anzeigenaufgabe zu vermeiden, kann nach Anzeigenübermittlung, die direkte Übernahme in die Datenbank verhindert werden. Die Anzeige befindet sich dann in einem "Wartezustand" und bedarf der Freischaltung durch den Administrator - dieses kann entweder durch das Administratormenü erfolgen (Anzeigen bearbeiten) oder durch einen direkten Link in der Benachrichtigungsemail des Administrators. Abgesichert wird dieser Vorgang durch einen einmaligen Code, der für jede Anzeige im "Wartezustand" erzeugt wird und nur für diese einmalige Anzeigenfreischaltung Gülitgkeit besitzt.
Wer das Recht hat eine Anzeige direkt in die Datenbank zu übernehmen, legen die vergebenen Rechte in den Benutzerprofilen fest, sowie die Einstellungen in der Konfiguration. Folgende Benutzergruppen sind momentan implementiert:
- Registrierter Benutzer
EIn registrierter Benutzer ist ein Benutzer, der das Benutzeranmeldungsformular ausgefüllt und erfolgreich abgeschickt hat.
- Überprüfter Benutzer (Authentifiziert)
Der überprüfte Benutzer wurde durch den Administrator geprüft und für die Benutzerdaten für gültig befunden
- Kommerzieller Benutzer
Ein Benutzer, der am kommerziellen Dienst von ClassAd teilnimmt. Im Moment wird diese Option programmintern noch nicht genutzt, kann aber durchaus von Ihnen zu Abgrenzung von Benutzergruppen genutzt werden.
- Administrator
Der Administrator ist der Systemverwalter, für den weitergehende Rechte definiert werden können
Anm.: In der aktuellen Version ist es aus Sicherheitsgründen nicht erlaubt, dass der Administrator sich in die Administratorkonsole einloggt - obwohl dieses zunächst paradox klingen mag
- Debug-Administrator
Zusätzlicher Administrator, der den Debug-Modus nach einloggen aktiviert
Für weitere Versionen von ClassAd kann und wird dieses Rechtemanagement ausgebaut werden. Bitte beachten Sie auch, dass die Rechte additiv vergeben werden, was bedeutet, dass ein Benutzer die Rechte mehrerer Gruppen besitzen kann. Hier zählt dann i.d.Regel die höchstwertigste.
Zu den einzelnen Benutzergruppen gibt es jeweils korrospondierende Parameter in der Konfiguration. Folgende im einzelnen:
Parameter | Bedeutung |
---|---|
$SEC_DIR_SUB_UNKNOWN | Recht für unregistrierte bzw. unangemeldete Benutzer eine Anzeige ohne Prüfung durch den Administrator zu veröffentlichen |
$SEC_DIR_SUB_USER | Recht für registrierte bzw. angemeldete Benutzer eine ungeprüfte Anzeige zu veröffentlichen |
$SEC_DIR_SUB_AUTHUSER | Recht für überprüfte Benuter ein ungeprüfte Anzeige zu veröffentlichen |
$SEC_DIR_SUB_COMMERCIAL | Recht für einen Benutzer, der am kommerziellen System von classAd teilnimmt, eine Anzeige ungeprüft aufzugeben |
$SEC_SUB_ADMIN_INFO |
Wird keine Überprüfung durch den Administrator durchgeführt, da dieses Verhalten aufgrund der Rechte eines Benutzers nicht zutrifft, kann durch diese Option eine Benachrichtigung per Email an den Administrator geschickt werden, die über die Aufgabe einer Anzeige informiert |
Für (Debug-)Administratoren ist das direkte Aufgaben in jedem Fall ermöglicht.
ClassAd Version 3.0 verfügt über ein System, dass es ermöglicht, Rubriken und Anzeigen nur für eine geschlossene Benutzergruppe zugänglich zu machen. Mit dieser Funktion wird es auch möglich, dass z.B. Anzeigen oder Rubriken für minderjährige Benutzer gesperrt werden.
Die Zuordnung eines Benutzers zu einer geschlossenen Benutzergruppe geschieht über das Administratormenü (Benutzerdaten editieren). Die Einstellung bei Neuanlage eines Benutzers ist als Nicht-Angehöriger der geschlossenen Benutzergruppe.
Für die Feinsteuerung dieser Funktion gibt es in der Konfigurationsdatei inc/config.inc.php verschiedene Parameter:
Parameter | Funktion |
---|---|
$SEC_FORCE_AGE_REST | Aktiviert die Rechteüberwachung von Anzeigen und Rubriken (Wert: true) |
$SEC_HIDE_AGEREST_CATS | Bei aktiviertem Rechtemanagement kann die Anzeige von Rubriken einer geschlossenen Benutzergruppe unterdrückt werden (true). WIrd die Anzeige nicht unterdrückt, so wird ein Symbol angezeigt, dass auf eine geschlossene Benutzergruppe hinweist. Trotz der Anzeige von Rubriken kann durch unbefugte Benutzer natürlich trotzdem nciht auf die Rubrik zugegriffen werden. |
$SEC_HIDE_AGEREST_ADS | Analog zur Unterdrückung von Rubriken ( $SEC_HIDE_AGEREST_CATS ) kann auch die Anzeige von Anzeigen beschränkt werden |