From: Yüksel ÖZCAN (yuksel@linux-sevenler.org)
Date: Mon 30 Aug 2004 - 21:06:24 EEST
Selamlar,
Bu hiyerarsiyi biraz daha genisletmeniz gerek. Madem ki bi yetkilendirme
olacak, biraz daha kapsamli dusunmek lazim. Ornegin bir firma dusunun 5
subeli. 3 tane deposu var. Bazi kisiler bir depo icin islem yaparken
digeri icin islem yapamamali. Yani istanbuldaki kullanici bursadaki
ambar ile ilgili islemler gerceklestirememeli. Bunu da $u $ekilde
ayri$itrabilirsiniz;
x kullanicisi sadece a deposu icin islem yapmali, b deposu icin islem
yapamamali, asagida verdiginiz ornek bu durumu da goz onune alirsak
biraz eksik oluyor. Bunu proje geneline yayacak olursak bu hiyerarsiyi
Depolar icin oldugu gibi isyerleri, kasalar, bankalar, gibi daha
kapsamli bir hale getirebilmek mumkun olsa gerek.
Yuksel OZCAN
http://muhasebeci.sf.net
29-08-2004 Pazar günü saat 23:31 sularında, Hüseyin Ergün dedi ki:
> Oncelikle hepinize tavsiyeleriniz icin tesekkur ederim.
> Bizler de bastan duzgun bir tasarim yapmak icin ugrasiyoruz.
>
> Proje, Javayla yazilan ticari uygulama. Ozetle cikardigimiz permission
> modeli,
>
> kullanici, grup ve modul listesi icin 3 ayri table var.
>
>
> izinler hicbirsey, okuma, yazma, silme diye 4 kategori. Iki tane
> tabloda tutuluyor.
>
> grup, modul, modulun_alt_bolumu, izin (Ornegin)
>
> Admin Stok * (yani hepsi) Write
> Admin * * read
>
> aynisinin bir tanede kullanicilar icin olani var. Kullaniciya ozel
> tanimlama yapabiliyorlar.
>
> Dinamik modul degisimini destekliyor. Disardan kolaylikla modul ekleyip
> cikartabilirsiniz. Tablolar degismez.
>
> Java kisminda da, butun user interface class'lari secure abstract
> classini extend ediyorlar. Pencere acildigi zaman, iznine gore butonlar
> degisiyor. Yani write hakki yoksa, write butonu aktif olmuyor.
>
> Daha sonra ayrintili yazicaz. Bu sekilde ozetlenebilir.
>
> Iyi geceler.
>
> On Sat, 2004-08-28 at 11:45 +0300, Tonguc Yumruk wrote:
> > Yanlmyorsam modler bir yapya sahiptiniz. rnein kullanclarn
> > modllere dorudan eriimini kaldrarak ie balayabilirsiniz. Modllere
> > yaplacak tm arlar bir gvenlik katman zerinden salanr. Bu
> > sayede her modln kendi ierisinde gvenlik kontrol yapmas ihtiyac
> > ortadan kalkar.
> > Hatta eer ii paranoyaklk seviyesine srklerseniz modllere yaplacak
> > her arnn bir MAC (Message Authentication Code) iermesi ve
> > modllerin uygun MAC iermeyen arlar altrmamas salanabilir. Bu
> > sayede modllere dorudan yaplacak tm arlarn n kesilmi olur.
> >
> > Gvenlik verisinin nasl tutulaca konusuna gelince. En basitinden
> > yle bir sistem olabilir. Bir tabloda ykl modllerin kayd tutulur.
> > Her modl iin de ayn unix dosya sistemlerindekine benzer sahip, grup
> > verisi ve izin bitleri tutulur. Veya biraz daha gelimi bir yap
> > isterseniz modl ad, kullanc|grup, izin tipi eklinde bir yap da
> > kullanlabilir. Bu daha esnek bir ACL yaps salayacaktr. Veya
> > kullanc izin seviyeleri bir aa yaps eklinde de tutulabilir.
> > Ksacas bu iin sonu yok...
> >
> > Yalnz bu noktada Donald E. Knuth'un bir szn hatrlatmak isterim:
> > Gvenlik, tpk doruluk gibi, bir sisteme sonradan eklenemez.
> > Security, like correctness, is not an add-on feature.
> >
> > Bu nedenle batan gvenlik tasarmn sk tutmanz tavsiye ederim...
> >
> > Thu, Aug 26, 2004 at 03:47:50PM +0300 Tarihinde Hseyin Ergn Demiki :
> > > Hazirladigimiz GPL projeye coklu kullanici destegi eklemek icin ugrasiyoruz.
> > > Istedigimiz role-based authorization. Kullanicilar olsun, gruplar olsun,
> > > belirli modullere veya onun componentlarina erisim izinleri olsun. Ornegin,
> > > hic,okuma,yazma,silme,admin gibi. Bir kullanici birden fazla gruba ait
> > > olabilir. Kullaniciya ozel izinler verilebilir.
> > >
> > > Dusundugumuz yontemler pek icimize sinmedi. Postnuke'un yapisi guzel, birde
> > > Jaas var onlari arastiriyoruz.
> > >
> > > Tum bu sistemi veritabaninda nasil tutariz, Kodla nasil implement ederiz?
> > > Daha once benzeri bir uygulama yapmissaniz veya bildiginiz bir proje varsa
> > > yardim edebilir misiniz?
> > >
> > > Tesekkurler.
> > >
> > > --
> > > Hseyin Ergn huseyin@su.sabanciuniv.edu
> > > Computer Scientist
> > > & Engineer Tel:90-216-483 9000 /2320
> > >
> >
>
>
>