Changes between Version 1 and Version 2 of TracFineGrainedPermissions

Timestamp:

Jun 17, 2013, 1:35:49 PM (11 years ago)

Author:

trac

Comment:

--

TracFineGrainedPermissions

@@ +1 @@
+[[PageOutline(2-5, Contents, floated)]]
 = 粒度が細かいパーミッション = #Finegrainedpermissions
 
@@ -10 +11 @@
 == パーミッションポリシー == #PermissionPolicies
 
-様々なパーミッションポリシーを実装することができます。 Trac にはいくつかの例を同梱しています。 
+様々なパーミッションポリシーを実装することができます。 Trac にはいくつかの例を同梱しています。
 
 現在有効なポリシーは TracIni の中で設定されているコンフィグレーションによって決定します:
@@ -29 +30 @@
 
 === !AuthzPolicy === #AuthzPolicy
-
- - [http://www.voidspace.org.uk/python/configobj.html ConfigObj] をインストール (必須)
- - authz_policy.py を plugins ディレクトリにコピーする
- - [http://swapoff.org/files/authzpolicy.conf authzpolicy.conf] ファイルをどこか (できれば、 Web サーバ起動ユーザ以外が読み取りできないセキュアな領域) に置く。ファイルに非ASCII文字が含まれる場合は UTF-8 で保存してください。
- - `trac.ini` ファイルをアップデートする:
-   1. `[trac]` セクションの [TracIni#trac-section permission_policies] を編集する
+==== 設定方法 ==== #Configuration
+* [http://www.voidspace.org.uk/python/configobj.html ConfigObj] をインストールする (0.12 でも必要)
+* authz_policy.py を plugins にコピーする  (Trac 0.11でのみ必要)
+* [http://swapoff.org/files/authzpolicy.conf authzpolicy.conf] ファイルを適当な場所 (望ましくは、 Web サーバ起動ユーザ以外が読み取りできないセキュアな領域) に配置する。ファイルに非ASCII文字が含まれる場合は UTF-8 で保存してください
+* `trac.ini` ファイルをアップデートする:
+  1. `[trac]` セクションの [TracIni#trac-section permission_policies] を編集する
 {{{
 [trac]
@@ -40 +41 @@
 permission_policies = AuthzPolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
 }}}
-   2. 新規に `[authz_policy]` セクションを追加する
+  1. 新規に `[authz_policy]` セクションを追加する
 {{{
 [authz_policy]
 authz_file = /some/trac/env/conf/authzpolicy.conf
 }}}
-   3. プラグインを有効化する
+  1. [/admin/general/plugin WebAdmin]でプラグインを有効にするか、 `[components]` のセクションを編集する
 {{{
 [components]
@@ -52 +53 @@
 tracopt.perm.authz_policy.* = enabled
 # for Trac 0.11 use this
-#authz_policy.* = enabled 
-}}}
-
+#authz_policy.* = enabled
+}}}
+
+
+==== 使用方法 ==== #UsageNotes
 パーミッションポリシーを指定する順序はとても重要です。
 ポリシーは設定された順序で評価されます。
 
-個々のポリシーはパーミッションチェックに対して `True`, `False`, `None` を返します。
-戻り値が `None` の場合のみ ''次の'' パーミッションポリシーに問い合わせを行います。
-どのポリシーも明示的にパーミッションを許可しない場合、最終的な結果は `False` になります
+個々のポリシーはパーミッションチェックに対して `True`, `False`, `None` を返します。 ポリシーが明示的にパーミッションを許可する場合は、 `True` を返します。明示的に拒否する場合は、 `False` を返します。そして、パーミッションを許可も拒否もできない場合、 `None` が返されます。
+
+Note: 戻り値が `None` の場合のみ、 ''次の'' パーミッションポリシーに問い合わせを行います。
+どのポリシーも明示的にパーミッションを許可しない場合、最終的な結果は `False` となります
 (つまり、権限なしとみなされます)。
+
+`authzpolicy.conf` は `.ini` スタイルの設定ファイルです:
+{{{
+[wiki:PrivatePage@*]
+john = WIKI_VIEW, !WIKI_MODIFY
+jack = WIKI_VIEW
+* =
+}}}
+* config ファイルの各セクションは Trac のリソース記述子との照合に用いる
+  グローバルなパターンです。記述子は以下のような形式です:
+{{{
+<realm>:<id>@<version>[/<realm>:<id>@<version> ...]
+}}}
+  リソースを親から子の順に、左から右へ記述します。不特定な
+  コンポーネントがある場合は、 `*` で置き換えられます。バージョンのパターンが
+  明示的に記されていなければ、すべてのバージョン (`@*`) が暗黙的に追加されます。
+
+  例: WikiStart ページを照合する
+{{{
+[wiki:*]
+[wiki:WikiStart*]
+[wiki:WikiStart@*]
+[wiki:WikiStart]
+}}}
+
+  例: WikiStart の 添付ファイル `wiki:WikiStart@117/attachment/FOO.JPG@*`
+  を照合する
+{{{
+[wiki:*]
+[wiki:WikiStart*]
+[wiki:WikiStart@*]
+[wiki:WikiStart@*/attachment/*]
+[wiki:WikiStart@117/attachment/FOO.JPG]
+}}}
+
+* セクションは設定ファイルに書かれている '''順に''' 現在の Trac のリソース記述子に対して
+  チェックされます。'''順番は重要です'''
+
+* 一度 セッションにマッチすれば、'''順に''' 現在のユーザ名がセッションの
+  キー (ユーザ名) と照合されます
+  * キー (ユーザ名) の前に `@` を付けると、グループとして処理されます
+  * 値 (パーミッション) の前に `!` を付けると、そのパーミッションは
+    拒否されます
+
+  通常の Trac パーミッションのルールを適用していれば、ユーザ名は、 'anonymous', 'authenticated', <username>  '*' 等とマッチするはずです。 || '''Note:''' ユーザによって作成された (例えば、ブラウザ上から //管理 / 権限// (英語版では //Admin / Permissions//) の '権限グループの追加' (英語版では 'adding subjects to groups')) グループには使えません。詳細については [trac:#5648 #5648] を参照してください。 ||
 
 例えば、 `authz_file` が次の内容を含み:
@@ -70 +119 @@
 [wiki:PrivatePage@*]
 john = WIKI_VIEW
-* =
+* = !WIKI_VIEW
 }}}
 デフォルトパーミッションが次のような内容の場合:
@@ -79 +128 @@
 }}}
 
-パーミッションは以下の通りとなります:
- - WikiStart の全てのバージョンは、 (匿名ユーザも含む) 全員が閲覧できます。
- - !PrivatePage は john が表示可能です。
- - 他のページは john と jack が表示可能です。
-
-
-=== !AuthzSourcePolicy  (mod_authz_svn ライクなパーミッションポリシー) === #AuthzSourcePolicy
+結果:
+  * WikiStart の全てのバージョンは、 (匿名ユーザも含む) 全員が閲覧できます
+  * !PrivatePage は john が表示可能です
+  * 他のページは john と jack が表示可能です
+
+Groups:
+{{{
+[groups]
+admins = john, jack
+devs = alice, bob
+
+[wiki:Dev@*]
+@admins = TRAC_ADMIN
+@devs = WIKI_VIEW
+* =
+
+[*]
+@admins = TRAC_ADMIN
+* =
+}}}
+
+結果:
+- すべてのアクセスがブロックされます (ホワイトリストアプローチ)。しかし
+- admins グループはすべてにおいて TRAC_ADMIN 権限を取得しており、
+- devs グループは Wiki ページを閲覧可能です
+
+リポジトリの例 (閲覧ソースの詳細設定):
+{{{
+# 単一のリポジトリ:
+[repository:test_repo@*]
+john = BROWSER_VIEW, FILE_VIEW
+# John は test_repo に対して BROWSER_VIEW と FILE_VIEW の権限を持つ
+
+# すべてのリポジトリ:
+[repository:*@*]
+john = BROWSER_VIEW, FILE_VIEW
+# John はすべてのリポジトリに対して BROWSER_VIEW と FILE_VIEW の権限を持つ
+}}}
+
+より詳細なリポジトリのアクセス許可:
+{{{
+# John は  trunk/src/some/location/ へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+[repository:test_repo@*/source:trunk/src/some/location/*@*]
+john = BROWSER_VIEW, FILE_VIEW
+
+
+# John は trunk/src/some/location のリビジョン 1 へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+[repository:test_repo@*/source:trunk/src/some/location/*@1]
+john = BROWSER_VIEW, FILE_VIEW
+
+
+# John は trunk/src/some/location の 'somefile' へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+[repository:test_repo@*/source:trunk/src/some/location/somefile@*]
+john = BROWSER_VIEW, FILE_VIEW
+
+
+# John は trunk/src/some/location のリビジョン 1 の 'somefile' へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+[repository:test_repo@*/source:trunk/src/some/location/somefile@1]
+john = BROWSER_VIEW, FILE_VIEW
+}}}
+
+Note: Timeline での通知を John に表示するためには、上記パーミッションリストに CHANGESET_VIEW を追加する必要があります。
+
+
+==== 利用不可となる機能 ==== #MissingFeatures
+粒度が細かいパーミッションでは!DefaultPermissionPolicyで行っていたような (管理画面での) グループ機能は備わっていません ([trac:#9573 #9573], [trac:#5648 #5648] 参照)。パッチは一部利用可能です( [trac:#6680 #6680] にある authz_policy.2.patch を参照してください)
+
+利用不可となる機能:
+{{{
+[groups]
+team1 = a, b, c
+team2 = d, e, f
+team3 = g, h, i
+departmentA = team1, team2
+}}}
+
+パーミッショングループも同様にサポートされていません。下記のことができません:
+{{{
+[groups]
+permission_level_1 = WIKI_VIEW, TICKET_VIEW
+permission_level_2  = permission_level_1, WIKI_MODIFY, TICKET_MODIFY
+[*]
+@team1 = permission_level_1
+@team2 = permission_level_2
+@team3 = permission_level_2, TICKET_CREATE
+}}}
+
+=== !AuthzSourcePolicy  (mod_authz_svn のようなパーミッションポリシー) === #AuthzSourcePolicy
 
 この文書が書かれている時点では、 Trac 0.11 以前にリポジトリへの厳密なアクセス制御に使用されていた、古い「粒度が細かいパーミッション」システムは、パーミッションポリシーのコンポーネントにコンバートされました。しかし、ユーザの視点では、実現できる機能に大きな違いはありません。
@@ -126 +256 @@
 ''modulename'' には、 `[trac]` セクション中の `repository_dir` に設定したリポジトリと同じものを設定します。例えば `[trac]` セクション内の `repository_dir` に {{{/srv/active/svn/blahblah}}} を設定している場合は次のように設定します:
 
-{{{ 
+{{{
 [trac]
 authz_file = /path/to/svnaccessfile
 authz_module_name = blahblah
 ...
-repository_dir = /srv/active/svn/blahblah 
+repository_dir = /srv/active/svn/blahblah
 }}}
 
@@ -140 +270 @@
 0.12 では、 trac.ini の permission_policies に ''!AuthzSourcePolicy'' を必ず含めて下さい。さもないと、 authz のパーミッションファイルは無視されます。
 
-{{{ 
+{{{
 [trac]
 permission_policies = AuthzSourcePolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
@@ -158 +288 @@
 }}}
 
-複数のプロジェクト Environment において、プロジェクト全体にどのようにアクセス制限を行うかについての情報は [http://trac.edgewall.org/wiki/TracMultipleProjectsSVNAccess] を参照してください。
+複数のプロジェクト Environment において、プロジェクト全体にどのようにアクセス制限を行うかについての情報は [trac:TracMultipleProjectsSVNAccess] を参照してください。
 
 == デバッグ用パーミッション #DebuggingPermissions