You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2018-09-18 10:10:08

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Bug ? Attribution d'habilitations

Bonjour,

Installation :  GLPI 9.3.1 sur Centos


La question :

Sous l'entité générale, nous avons plusieurs entités, sous divisées en sous entités également.

Racine
        ----> Entité générale 1
                 ----> sous entité générale 1
                 ----> sous entité générale 1   
                 ----> sous entité générale 1
                 ----> etc
        ----> Entité générale 2
                 ----> sous entité générale 2
                 ----> sous entité générale 2   
                 ----> sous entité générale 2
                 ----> etc
        ----> Entité générale
                 ----> sous entité générale 3
                 ----> sous entité générale 3   
                 ----> sous entité générale 3
                 ----> etc


Nous avons 5 niveaux de profils

super-admin ( réservé au deux admins GLPI)
admin responsable : pour les responsables de site (1 par entité générale)
technicien : pour les tech qui font les interventions
rédacteur :un par sous entité, qui saisis les demandes d'interventions
observateur : plusieurs par sous entités qui consultent les demandes uniquement


Sur chaque entité "générale" nous avons des admins de sites qui ont des droits récursifs sur leurs sous entités respectives.
Sur ces entités générales, les admins de site peuvent créer des utilisateurs dans leurs sous entités.


Sur la GLPI 9.3 les admin responsable n'avaient que le profil "admin responsable" en droit d'attribution. Si on ajoutais les droits en modification dans les profils dans la partie "administration puis profil"  alors ils avaient toute la liste des profils possible y compris le profil super-admin ce qui n'est pas possible.

Sur la GLPI 9.3.1 dans la partie "administration puis profil" rien n'est coché et pourtant toute la liste des profils apparait.


Comment restreindre l'accès à certains profils lors de l'attribution d'habilitations ?
Il ne faut en aucun cas que ces responsables de sites puissent avoir accès à autre chose que les profils "rédacteur" et "observateurs"

Merci d'avance.

Last edited by Benoit-ELIB (2018-09-18 10:45:48)

Offline

#2 2018-10-11 17:26:04

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

Un up pour mon sujet ... quelqu'un peut il m'aider ? merci.

Offline

#3 2018-10-18 15:14:54

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

Bonjour,

Je remonte mon sujet ... quelqu'un peut il m'apporter la réponse ?

Merci.

Offline

#4 2018-11-05 12:20:15

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

Bonjour,

Je viens de faire le test, bascule du GLPI 9.3.1 à 9.3.2 ... effectivement la liste des profils n'est plus la liste complète, par contre le seul profil accessible est celui de l'utilisateur. Or il y a des profils qui sont avec des droits inférieurs disponibles.

Il ne faudrait même pas que l'utilisateur puisse choisir son propre profil, puisque ce dernier a des droits étendus qu'il ne doit surtout pas pouvoir attribuer à d'autres ...

Problème non corrigé pour moi !

Est-il possible de faire quelque chose ? merci !

Offline

#5 2018-11-06 17:06:18

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

petit up du jour

Offline

#6 2018-11-07 09:21:26

fabibus
Member
From: Nantes
Registered: 2008-02-05
Posts: 171

Re: Bug ? Attribution d'habilitations

Benoit-ELIB wrote:

Bonjour,

Je viens de faire le test, bascule du GLPI 9.3.1 à 9.3.2 ... effectivement la liste des profils n'est plus la liste complète, par contre le seul profil accessible est celui de l'utilisateur. Or il y a des profils qui sont avec des droits inférieurs disponibles.

Il ne faudrait même pas que l'utilisateur puisse choisir son propre profil, puisque ce dernier a des droits étendus qu'il ne doit surtout pas pouvoir attribuer à d'autres .!

Bonjour,

J'ai eu le même soucis en 9.3.1, corrigé en 9.3.2 de délégation de droits.
Par contre, vérifie la liste des options de tes profils. Il faut que tous les droits des profils que tu délègue soit dans le profil de tes "admin responsable", même la plus insignifiante case a cocher...(y compris matériels a déléguer)
Le pire que j'ai eu est une action direct sur les bases de données car des paramètres avaient été mal positionné sur les profils lors de migrations majeures de versions...
Bon courage


Plateforme en exploitation : GLPI 10.0.3 + GLPiinventory 10.0.3sur Fedora 36
PHP 8.1.11 ,Apache/2.4.54, mysql 8

Offline

#7 2018-11-07 14:54:09

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

C'est ce que je pensais ... et pourtant cela ne fonctionne toujours pas chez nous.

Un responsable admin à le choix suivant en attribution :

responsable admin
redacteur


Par contre n'apparait pas dans la liste le profil observateur qui a pourtant des droits plus restreints que les autres profils
Ne devrait pas apparaitre le profil responsable admin

Il faudrait (en tout cas pour nous) que l'utilisateur final ne puisse attribuer des profils avec des droits strictement inférieurs 

Peux tu me dire ce que tu as modifié dans la BD ?

Offline

#8 2018-11-07 19:06:13

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Bug ? Attribution d'habilitations

La liste des profils sélectionnables correspond à la liste des profils ayant moins de droits que le profil avec lequel vous êtes connecté
et ce, pour TOUS les éléments composant le profil.
Si un seul élément est coché en plus, le profil est considéré comme supérieur au votre.

Donc vous pouvez vérifier ces valeurs dans la table glpi_profilerights


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#9 2018-11-07 22:07:15

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

D'accord je vais vérifier ça !

Par contre est il possible de les empêcher de mettre leur propre profil ? car ils ont des droits étendus que seuls ceux que j'ai déclaré comme admin responsables doivent avoir ce profil ...

Offline

#10 2018-11-08 10:36:54

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Bug ? Attribution d'habilitations

non leur profil pourra être sélectionné vu que la règle est "profils inférieur ou égal au vôtre"


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#11 2018-11-08 10:49:23

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

Une modification de la règle est elle envisageable ? pas de manière globale mais au moins sur notre GLPI ?

Offline

#12 2018-11-08 16:12:40

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Bug ? Attribution d'habilitations

Cela nécessite de faire un fork de GLPI et donc augure des problèmes futures lors de la montée en charge de version.

Ou alors vous écrivez un plugin qui bloque l'ajout d'un utilisateur si le profil accordé est le même que le profil de la session en cours


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#13 2018-11-08 18:36:11

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

Merci pour votre retour.

Je vous avouerai que je ne m'attendais pas à cette réponse là. Je ne suis pas un dev donc je suis dans l'incapacité d'écrire un plugin.

Je suis étonné que personne ne vous ai fait remonter cette demande. Pour moi cela constitue une "faille" dans la mesure ou si on distribue des droits étendus à certains utilisateurs,  permettant de gérer de leur coté des habilitations, il ne faut en aucun cas que ces derniers puissent mettre des droits élevés, sinon cela ouvre la porte à toutes les fenêtres ! wink 
Bien sur on peut se baser sur la confiance et partir du principe qu'ils ne le feront pas !
Mais dans notre cas, le serveur GLPI collecte plus de 250 sites distants différents, avec aujourd'hui 20.140 utilisateurs et 65.048 PC remontés dans l'inventaire. Il est donc difficile de suivre les actions de chacun !
Nous allons encore étendre cela à une 100ène de sites, ce qui portera au total le nombre d'utilisateurs à un peu plus de 30.000 et un parc d'environ 100.000 machines.
Sans compter les remontées snmp de tous les matériels actifs des différents sites etc ...

Offline

#14 2018-11-12 17:03:06

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Bug ? Attribution d'habilitations

Et pourquoi ne pas créer un profil particulier pour l'ajout des droits ?
Ce profil étant restreint, vous ne verrez pas les droits plus complets d'un administrateur


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#15 2018-11-28 16:39:42

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

C'est ce que nous essayons de faire avec ces profils "admin responsable"

Ils ont quelques droits étendus sur leur entité racine de secteur constituée de sous entités de sites.
Ils peuvent avoir l'accès au dashboard, à la gestion de leurs parcs et des utilisateurs de leur secteur , la gestion de tickets
Tout le reste est limité au super admin.Rien de plus.

Les rédacteurs ont accès au parc et à la création / consultation de tickets.

Les observateurs consultation de tickets.

Offline

#16 2018-11-29 15:29:40

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Bug ? Attribution d'habilitations

Non il faut créer un autre profil Admin droit qui sera utilisé uniquement pour l'attribution des droits (moins de droit que admin responsable donc ce profil ne pourra pas être sélectionné).


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#17 2018-12-07 11:53:07

Benoit-ELIB
Member
Registered: 2018-04-05
Posts: 33

Re: Bug ? Attribution d'habilitations

Bonjour,

Sur la plateforme de test, j'ai créé un profil "attrib profil" qui a moins de droits que le "admin responsable" mais qui a au moins les droits supérieurs ou égaux aux profils utilisateurs simple.

Dans la liste des profils sélectionnables, je ne vois que le profil "attrib profil", pas rédacteur ni observateur qui ont pourtant moins de droits que le "attrib profil"

J'ai l'impression que la règle profil ayant moins de droits ne fonctionne pas bien ... suis je le seul ?

Offline

#18 2021-12-14 19:16:08

Tola4269
Member
From: AURA - France
Registered: 2019-12-12
Posts: 72

Re: Bug ? Attribution d'habilitations

Bonsoir,

Désolé pour le déterage de topic vieux de 4 ans mais le problème reste le même en 2021 avec la version 9.5.6 !

comment être SUR que l'on a moins de case à cocher. J'en suis à plusieurs dizaines d'essais en vain. N'y a t il pas une règle PRECISE pour assurer la hiérarchie des profils ?

GLPI est vraiment très léger sur ce point et impossible de comprendre comment on peut voir la liste complète.

J'ai bien comparer deux profils, "admin" et "supervisor", mon "admin" à plus de cases de cochées et pourtant "supervisor" n'apparait pas dans la liste ! (ainsi que read-only, observer, etc...)

Désolé du déterrage mais je suis un peu pris en tenaille et je ne m'en sort pas.


Merci par avance pour toute aide sur ce sujet urgent maintenant.

Christophe


Serveur Debian 10.13, Apache 2.4.38, PHP 7.4.33 : GLPI 10.0.7. Plugins News 1.10.6, Behaviors 2.7.2, Datainjection 2.13.2, Formcreator 2.13.6, gantt 1.0.4, Pdf 3.0.0, phpsaml 1.2.1, mreporting 1.8.2, Reports 1.16.0

Offline

#19 2021-12-23 13:10:48

Tola4269
Member
From: AURA - France
Registered: 2019-12-12
Posts: 72

Re: Bug ? Attribution d'habilitations

Tola4269 wrote:

Bonsoir,

Désolé pour le déterage de topic vieux de 4 ans mais le problème reste le même en 2021 avec la version 9.5.6 !

comment être SUR que l'on a moins de case à cocher. J'en suis à plusieurs dizaines d'essais en vain. N'y a t il pas une règle PRECISE pour assurer la hiérarchie des profils ?

GLPI est vraiment très léger sur ce point et impossible de comprendre comment on peut voir la liste complète.

J'ai bien comparer deux profils, "admin" et "supervisor", mon "admin" à plus de cases de cochées et pourtant "supervisor" n'apparait pas dans la liste ! (ainsi que read-only, observer, etc...)

Désolé du déterrage mais je suis un peu pris en tenaille et je ne m'en sort pas.


Merci par avance pour toute aide sur ce sujet urgent maintenant.

Christophe

Dans le topic 282577, j'ai résolu cette demande par du SQL a lancer sur la BDD, puis une petite intervention sur un tableur et le tour est joué. Cette gestion des droits entre profils est néanmoins empirique et mérite une refonte complète (ou alors qu'on m'explique pourquoi non...).

Cdlt,

Christophe


Serveur Debian 10.13, Apache 2.4.38, PHP 7.4.33 : GLPI 10.0.7. Plugins News 1.10.6, Behaviors 2.7.2, Datainjection 2.13.2, Formcreator 2.13.6, gantt 1.0.4, Pdf 3.0.0, phpsaml 1.2.1, mreporting 1.8.2, Reports 1.16.0

Offline

Board footer

Powered by FluxBB