问题标签 [acl]

我有一个 Zend_Acl 的大型实现，并且拒绝功能没有按预期工作。它没有正确继承，我与组有未解决的冲突。

在我深入研究代码之前。Zend_Acl 是否有任何众所周知的问题或任何人想要分享的高级技巧。

当我只希望拒绝访问一个父级时，我不得不明确拒绝访问树中的所有子级。

我有多个组，在同一个对象上有各种拒绝/允许。该手册指出，最后添加的组和数组是首先检查...这似乎不是这种情况，它似乎检查了最具体的最一般（空）权限。

如果我将权限放在树的根上，当我将任何权限放在树的更下方时，它们就会停止工作，它们将停止继承。

我在 Windows 7 下的 ASP.NET 网站上本地工作，有时我会遇到奇怪的行为......

我已经工作了几天，打开了几个 Visual Studio，在网站上工作，然后我切换到编译和部署其他一些应用程序，直到昨天，今天，我不得不重新开始在网站上工作。所以我启动了一个浏览器并像往常一样输入了url“//localhost/”......

出乎意料的是，IIS 告诉我：

HTTP 错误 500.19 - 内部服务器错误

错误代码 0x80070005

配置错误 由于权限不足，无法读取配置文件

配置文件\?\C:\DVP-WP\SQ2sln_web\web.config

嗯，两天前，web.config 访问没有问题！ 发生了什么？当然，我不记得是否更改了有关 ACL 或帐户的任何内容，或者 .. 只是编写 c# 代码和 asp.net 并编译！

为什么会这样？

STEP2：所以我去了网站文件所在的文件夹并应用了一些安全措施：我指定machine\IIS_IUSR对文件夹网站文件夹（“SQ2sln_web”）具有读取权限......好的，II7 现在为我的 aspx 页面提供服务根级别的请求......但不是css文件！

HTTP 错误 401.3 - 未经授权

请求的 URL [...] localhost:80/soquiz.css

物理路径 C:\DVP-WP\SQ2sln_web\soquiz.css

登录方法匿名

登录用户匿名

所以我为文件本身设置了一些特定的权限（参见http://soquiz.com/resources/documents/acl%20problem%20file%20specific.gif的图片）

...但它并没有解决问题

1) 有谁知道为什么或如何更改访问权限？

2) 有谁知道为什么将特定 acl 设置为一个文件不起作用？

谢谢！

语境

我刚刚阅读了有关 Zend ACL http://framework.zend.com/manual/en/zend.acl.html

问题

我在一台服务器上运行三个 Zend 应用程序。

• 我的前端应用
• 我的前端成员应用程序
• 我的后端应用程序（站点所有者的管理员）

在我正在考虑使用两种类型的 ACL 的应用程序中。

• 应用程序范围的 ACL - ''app ACL'' 权限只是 - “访问”（或者可能称之为“读取”，（甚至是“SendHTTPRequests”））
• 帐户范围 - 将所有其他权限留给单个“帐户 ACL”

我认为这将更容易阻止垃圾邮件发送者和其他攻击者

也许有这样的规则：

我的前端应用程序访问控制

• 名称 = 攻击者
• 唯一权限 = 无
• 继承权限 = N/A

• 姓名 = 客人
• 唯一权限 = SendHTTPRequests
• 继承权限 = N/A

• 姓名 = 成员
• 唯一权限 = SendHTTPRequests
• 从 = 来宾继承权限

• 名称 = 管理员
• 唯一权限 =（所有权限）
• 继承权限 = N/A

其他应用程序将有更严格的规则来拒绝访客等

所以要回答的问题是：

将“攻击者”（负面角色）的角色分配给用户是否会让您觉得这是一件明智的事情。

或者这与一般最佳实践相反？

我有使用 GZip 压缩文件的方法：

我的问题是，在测试服务器（Win08 R2）上它会创建文件并且可以通过浏览器下载，但是在虚拟主机服务器（旧的 Win08 R1）上它也会创建文件，但是如果我想下载它，会抛出拒绝访问异常. 不同之处在于文件权限。在 R2 服务器上可以访问文件应用程序池标识（例如“MyWebSite”），但在 R1 上只有具有“特殊权限”的 IIS_IUSRS。

您如何在 C# 中进行业务逻辑级别的访问控制？昨晚我开始修补一个位于 LINQ 对象中的简单系统，但我意识到我从未见过一个特别干净的访问控制系统。我想知道大师们是如何做到的，看看你是否在我的深夜玩具上发现了任何漏洞。

我觉得为了构建一个灵活的只读访问控制对象，我正在跳过一些不必要的障碍，似乎应该有一些我不知道的框架预构建小部件。

我需要锁定对 SharePoint 库的访问权限：只有属于与该库关联的所有组的用户才应具有读取权限；不应该允许其他人阅读。

假设我有一个涉及三个项目的文档库：

我有属于一个或多个项目的用户：

我需要将对该库的访问限制为仅属于所有项目的用户。即，只有 Harry 可以访问；其他的应该被拒绝。我们将使用以每个项目命名的 SharePoint 组来表示“属于”关系。

编辑更详细：

我们计划创建文档库并通过工作流设置初始安全性。但是，根据在表单中输入的信息，在创建 doclib 后，可能会有更多项目与它相关联，并且管理员可以将人员移入和移出项目组（例如，用于晋升、新员工......）

目前，如果表单提交在初始设置后添加了一个新项目，管理员可能会在必要时创建一个新组，并为其分配对 doclib 的访问权限。最终，我们将在工作流程中执行此操作。

目前，我们正在编写代码来为站点分配初始安全状态：

我们将用户输入的项目列表扫描到表单中，必要时创建新的项目组，创建站点和几个 doclib，中断角色继承并分配我们的组对 doclib 的读取权限。我们向每个项目组添加一些用户。

此时，这些用户中的任何一个都具有读取权限。我们不知道如何将访问权限限制在所有组的成员中。

mercurial-server 在 keys 文件夹下管理用户数据库。用户和组由文件和文件夹表示。

AclExtension 通过 ssh 依赖 linux 用户组。

他们似乎不匹配。还是我错过了什么？

我设法使 mercurial-server 工作。但只是看不到如何将 AclExtension 与它集成，所以我可能有更细粒度的访问控制。

我通过编写一个模块来检查该部分的 RERQUEST_URI 以及用户角色，从而在 drupal 站点上创建了一个私有部分。我现在遇到的问题是如何防止这些节点/视图出现在搜索中。

私有部分中使用的内容类型在站点的其他地方使用。

让 Druapl 搜索忽略内容/不索引/不在搜索结果中显示它的最佳方法是什么？

不太确定我是否在吠叫正确的树，所以我想知道 ACL 是否是要走的路。

我注意到 common appdata 文件夹中有许多子文件夹，并且 hkey_local_machine 下有许多条目用于我的 Windows 7 系统上的软件。我想知道在安装软件时大概是如何创建条目的，以及是什么使程序能够获取它们。

.msi 文件中是否有工具可以制作这些文件夹和注册表项并为它们建立适当的权限？