Hallo,
ich sitze gerade an einer Anwendung, in der über Leserfelder verschiedene Datenbereiche voneinander getrennt werden sollen. Dafür habe ich den Einsatz von Rollen vorgesehen. Das werden allerdings so ca. 15-20 Rollen und nun stellt sich mir die Frage, wie man dafür am sinnvollsten eine Gruppenstruktur im Directory anlegt, um bei der Pflege der unterschiedlichen Berechtigungskombinationen nicht total durchzudrehen.
Folgendes Szenario habe ich mir jetzt überlegt :
- 1 Gruppe mit Editorzugriff in der ACL
- n Gruppen mit Leserzugriff in der ACL und jeweils einer der Rollen zugewiesen
Jetzt bin ich mir unsicher, ob das so funktionieren würde. Soweit ich weiß, ziehen bei mehreren Gruppenzugehörigkeiten die höchsten Rechte. Und ich meine, daß sich die Rollen aus den Gruppen addieren.
Damit müßte man dann ja Editoren in die Editorgruppe und in die jeweiligen Rollen-Gruppen stecken und die Leser nur in die jeweiligen Rollen-Gruppen.
Die Suche bei Google war jetzt nicht so ergiebig oder ich habe nicht die richtige Query benutzt. In der Admin-Hilfe steht folgendes :
If an individual trying to access the database happens to match more than one group entry - ... - then the individual is granted the highest access level, as well as the union of the access privileges of the two entries for that group in the ACL.
Habe ich das dann richtig verstanden und das oben skizzierte Konstrukt funktioniert oder habe ich einen Denk-/Verständnisfehler ?
Ich möchte jetzt ungerne anfangen, das Konstrukt so umzusetzen und dann nachher doof aus der Wäsche gucken
