У административной группы пропал доступ к пользователям
Добрый день!
Обнаружил, что при создании нового пользователя и указанием ему только одной специально созданной группы не предполагающий никаких разрешений - он все же имеет доступ к Пользователям (SYS_USER). Т.е. заходим под этим пользователем, нет ни меню - ничего нет, однако если ввести прямой адрес предполагающий показ список всех пользователей, то он их видит. Почему так?
Под администратором (административная группа) решил проверить какие группы имеют доступ к нему (SYS_USER) и увидел там "Все пользователи" имеют право просмотра. Хоть это и не должно было решить мой вопрос (по идее) но в моём понимании все пользователи не должны видеть список пользователей. И я эту группу удалил из просмотра.
В результате возникли странные права у всех элементов:
Например:
Кроме того я находясь в группе администраторов перестал видеть список пользователей:
Так-же доступ пропал и из "Доступа к объектам системы" я при этом в роли Административная группа:
Прошу пояснить работу системы. И как всё исправить.
Спасибо.
Комментарии
Я вернул всё на место.
Всё тот же пользователь у которого была специальная группа не наследующая никаких прав магическим способом продолжал иметь доступ на просмотр Пользователей и Доступ к объектам системы (да и другим данным в режиме чтения). С помощью пользователя, который был включен в Административную группу (ROLE_ADMIN) и не имел прав на просмотр sys_user я ввел этого пользователя в административную группу и увидел как я "удалил" "Всех пользователей":
Видимо работает правило запрет сильнее разрешений, но почему оно распространяется не только на "Все пользователи"? Если пользователь включен в группу все пользователи, а это действительно так и есть:
То при таком жестком запрете как был выставлен выше на скриншоте god_mode пропадает... Дела... )
Итого:
1. Почему пользователь находящийся в группе, которая не имеет никаких наследований и не указанная в правах доступа на тип объекта sys_user продолжает иметь к нему доступ?
Вот настройки прав:
Вот пользователь, который видит список:
Добрый день! Уточните какая у вас цель? Вы хотите чтобы любые пользователи кроме админов не видели реестр с пользователями и сам тип? Или у вас другой кейс? Уточните подробнее пожалуйста
Тип объекта "Пользователь" имеет вид контроля прав "Все пользователи имеют настроенные права на все экземпляры типа" то есть все пользователи имеет доступ на чтение.
Так как в системе запрещающие права превалирует над разрешающими, и запрет на чтение группе "Все пользователи" приведет к запрету и для админов у которых помимо административной группы есть и группа "Все пользователи".
Как пример можно создать новую группу, включить в нее всех пользователей кроме админов, и уже для этой группы запретить доступ к пользователям
@AlexM09
Да, я бы хотел, чтобы сторонние пользователи (а такие у нас планируются - это наши клиенты) не могли видеть ничего лишнего. Например, вы как пользователь яндекс.почты скорее всего врятли сможете получить доступ к чтению всех пользователей яндекса в т.ч. его сотрудников. Тут же мы его получаем, правда не из интерфейса, но с т.з. безопасности мне кажется это не так важно.
Но ведь тип объекта Пользователь не единственный. Получается, что для всех типов объектов нужно явно запрещать каким-то группам доступ т.к. изначально стоит "Все пользователи имеют настроенные права на все экземпляры типа". А есть методика работы с внешними пользователями, как верно настроить права? Вообще Ваше решение подходит для работы с внешними пользователями?
Предложенное выше решение вполне может быть реализовано для работы с клиентами, но еще в качестве варианта можно удалить группу пользователей "Все пользователи" у юзера и уже раздавать права только на те объекты которые клиент должен видеть