问题标签 [security-roles]

我正在努力在 CakePHP 中实现 ACL。在阅读了cake 手册中的文档以及其他一些教程、博客文章等之后，我发现 Aran Johnson 的优秀教程帮助填补了许多空白。他的例子似乎与我在一些地方看到的其他例子发生冲突——特别是在他使用的 ARO 树结构中。

在他的示例中，他的用户组被设置为级联树，最通用的用户类型位于树的顶部，其子级为每个更受限制的访问类型分支。在其他地方，我通常将每个用户类型视为相同通用用户类型的子级。

如何在 CakePHP 中设置 ARO 和 ACO？任何和所有提示表示赞赏！

所以这是我当前的代码：

这是几个月前有人完成的，我很难理解为什么它不起作用。该公司最近刚刚从一个域名转移到另一个域名。所以我很好奇 p.IsInRole("String") 函数将使用什么域控制器。我假设无论计算机使用什么，它都会使用默认 DC。

奇怪的是，办公室中运行此程序的计算机可能位于 2 个单独的域中。在List<string>对象中，我有两个可能的域。因此它可以包含诸如“domainA\groupA”、“domainA\userB”、domainB\groupC 和/或“domainB\userD”之类的项目。

所以我的主要问题是 IsInRole 函数永远不会返回 true。我知道它应该，我什至用 domainA\Domain 用户对其进行了测试，但仍然得到一个错误的返回。

有任何想法吗？更改代码是可能的，但不是想要的。我不是 100% 我什至可以编译它...

我有一个中等大小的 MySQL 数据库，其中包含一个主要的“人员”表，其中包含连接到剧院和戏剧学校的每个人的基本联系信息，我负责维护和开发许多 Web 应用程序。

有些人只是联系人——也就是说，他们的“persons”表记录是我们需要存储的关于他们的所有信息。许多其他人虽然必须能够为各种系统承担不同的角色。其中，大多数都是从学生开始的。有些人从员工开始。学生可以成为实习生或表演者；员工可以成为学生；所有教师都是雇员和表演者等。

从本质上讲，它们是任何个人可能必须佩戴的各种不同的“帽子”，以便访问系统的不同部分并与之交互，以及在我们网站的公共页面上提供有关它们的信息。

我对实现这个模型的选择是有几个其他的表来代表这些“帽子”——这些表包含补充基本“人”信息的元信息，所有这些都使用“人”ID作为他们的主键。例如，作为教师的人在教师表中有一条记录，其中包含他或她的简短传记信息和工资率。所有教师也是员工（但并非所有员工都是教师），这意味着他们在员工表中有一个记录，允许他们将工作时间提交到我们的工资系统中。

我的问题是，这样实现模型有什么缺点？我能想到的唯一另一个选择是用对于大多数条目来说是空的和无用的字段来填充persons表，然后有一个人可以属于的繁琐的“组”表，然后几乎每个表都有每个系统有一个 personperson_id外键，然后依赖业务逻辑来验证所引用的 person_id 是否属于适当的组；但这很愚蠢，不是吗？

下面是一些示例表声明，希望它们可以展示我当前如何将所有这些放在一起，并希望说明为什么我认为这是一种更明智的方式来模拟系统必须处理的各种情况的现实。

欢迎任何和所有的建议和意见。我很感激你的时间。

编辑一些受访者提到使用 ACL 来保证安全性——我在最初的问题中没有提到我实际上是在使用单独的 ACL 包来为不同系统的实际用户进行细粒度的访问控制。我的问题更多是关于在数据库模式中存储有关人员的元数据的最佳实践。

我有一个 Linux 网络服务器，我想在网络上为 CRUD 提供一些数据库表（当前在 Access 中）。需要基于角色的安全性。开发这个的最快途径是什么？

另外，哪个数据库最好？如果有什么不同的话，我已经在那个盒子上运行了 mySQL。

首先，我知道这可能是一项艰巨的任务，但是...... :)

我们有一些软件可以与我们公司生产的硬件交互。该软件加载一个 .NET 程序集，它充当我们与硬件的接口。

目前我们有一个用 C# 编写的“启动器”应用程序，它提供基于角色的安全性。此“启动器”通过进程启动带有命令行参数（要使用的 .NET 程序集）的 C++ 可执行文件。然后，C++ 可执行文件加载提供的 .NET 程序集并使用它来执行其操作。

问题是因为我在一个进程中启动 C++ 应用程序，我丢失了“启动器”提供的基于角色的安全上下文。

有什么方法可以启动 C++ 应用程序并保持基于角色的安全上下文？

感谢您抽时间阅读。如果您有任何问题，请告诉我。

谢谢，

亚当

我想在我的 SOAP 应用程序中访问具有角色的完整用户模型。例如，我可能想知道名为“Fred”的用户的角色。

如何进入某种全局 JAAS 注册表并执行（伪代码） globalRegistry.getUser("Fred").getPrincipals()？（请注意，在 JAAS 中，角色由Principal表示。）

我知道如何从LoginContext获取Subject的Principal， 但这有两个问题。

1. 只是在登录的那一刻，我不希望自己编写上述注册表并存储Subject和Principal对象，因为它们已经由 appserver 存储。
2. 最好，即使 Fred 不是当前用户，我也希望能够访问此信息。

我正在使用 Jetty，但我认为这些行为是 JAAS 的标准行为。

我们 IT 组的生产变更实施人员的任务是审查我们组中所有各种对象的安全性，主要是确保离开我们的员工或转移到其他组的人不再有权访问我们的服务器共享、web 目录、sql 数据库等。我们最近完成了 SQL 部分，并且我们有一个可重复使用的脚本，可以每年运行一次（或以我们想出的任何频率运行）。它工作得很好，我们在几分钟内审计了 10 台左右的服务器上的 20 个数据库。

现在，对于服务器的东西。我有一个使用 .NET 2.0 在 C# 中编写的应用程序，它将递归地扫描目录列表并将 ACL 转储到文本文件中。这很好用。在本地机器上。UNC 和映射路径不起作用，我收到以下异常消息：进程不具备此操作所需的“SeSecurityPrivilege”权限。

在这条线上：

其中 di 是从 DirectoryInfo[] 数组枚举的 DirectoryInfo 对象。

我们不太可能被授予 SeSecurityPrivilege 特权。但是我不认为这应该是必要的。我可以打开文件夹并右键单击属性，然后单击安全选项卡并在 GUI 中查看它。我也应该能够以编程方式访问它。

关于如何更改这部分代码以获取目标文件夹的权限的任何想法？

编辑：当获取根文件夹的“GetAccessControl()”方法失败时，我将如何检查 ACL 中读取属性的远程文件夹？（如果我传入 \server\path，则会在获取 \server\path 的信息时出错）。

用户帐户是域帐户，我有权读取文件结构。我可以从文件夹/文件的属性中查看安全性。

我将检查进程监视器，但我不确定我是否能够在服务器上运行它（我不是相关服务器的管理员）。

我正在开发的网站是中型网站，有 3 名开发人员，几千名用户，对于运行它的小型企业来说非常重要。所以我要说的是，这不是一家财富 500 强公司，而是一家严肃的企业，需要以一种时间/预算有效的方式实施基于角色的安全性，这种方式仍然非常易于使用并且具有高度的安全。

该站点将主要是自定义编码的，但我们希望尽可能有效地利用组件。将有大约 6 个角色（买方、卖方、管理员、合作伙伴等），大多数是外部用户，因此我们预计他们会在表单中输入 uername、pw 等。我们很可能会将用户信息存储在 SQL Server 中桌子。

我希望您对用于基于角色的安全性的最佳技术的想法，希望基于您的实际经验。

我正在 DNN 5 中测试定期费用订阅。我已将自定义角色的续订期设置为 1 天。

1 天后，订阅显示为 EXPIRED，但用户仍可以查看该角色可访问的所有页面。

我错过了什么吗？

刚刚开始掌握 WCF 安全性。如何在服务中列出用户的角色？

例如

谢谢