Ticket #535 (closed defect: worksforme)
a partir d'un compte 'admin', on peut se connecter root, et donc a /tous/ les comptes
| Reported by: | oarcher | Owned by: | larpoux |
|---|---|---|---|
| Priority: | normal | Milestone: | alternc-0.9.7 |
| Component: | Bureau: membres | Version: | alternc-0.9.3 |
| Severity: | feature | Keywords: | |
| Cc: |
Description
Quand on transforme un compte en compte d'administrateur, il peut se connecter sur n'importe quel compte (y compris root) en utilisant 'Liste de tous les comptes'.
Ca serait bien que l'admin n'ai acces qu'aux comptes qu'il a créé. Le top serai d'avoir un quotas de comptes a créer pour un compte admin.
Change History
comment:2 Changed 7 years ago by denis
Oui et pour complèter cette demande, le mieux serait de mettre ça par défaut mais de permettre à un compte admin d'avoir des droits sur tous les comptes.
comment:4 Changed 7 years ago by oarcher
Ok, ca n'a pas l'air d'etre compliqué a faire, le terrain a bien été préparé. A priori, voila comment faire:
- dans adm_login.php, decommenter:
if (!$admin->checkcreator($id)) { C'etait commenté en vue d'une prochaine fonctionnalité, ou bien ca a été desimplémenté ?
- dans m_admin.php
checkcreator est deja la ;) on pourrait a la rigueur la transformer en fonction recursive pour renvoyer true si le compte a été créé par un compte admin parent de l'admin $cuid.
- il y aurrai probablement d'autres fonctions ou il faudrait verifier checkcreator, comme adm_panel.php.
- Sinon, Larpoux a l'air d'avoir fait des patchs interressant sur le sujet dans ses mail 'gestion en arborescence des membres' de Nov 2005. Est-ce que ca a été committé ?
Je veux bien m'assigner cette feature, je peux avoir les privileges mantis correspondants ?
comment:5 Changed 7 years ago by larpoux
La CNT se propose de travailler sur ce bug rapidement car il est important pour nous.
Une gestion de quotas est également prévu, ce qui a l'avantage de résoudre d'une manière simple la problématique de savoir si un membre a le droit ou non de créer d'autres membres (il suffit de lui mettre un quota à 0) sans pour autant lui donner un droit d'administration total (par exemple voir les membres qui ne sont pas en dessous, modifier les paramètres systèmes, modifer les default-quotas, etc...)
La gestion des autres quotas est également dans le pipe, mais c'est probablement un peu plus difficile car il ne faut pas qu'un membre (même administrateur) puisse exploser un de ses quotas indirectement en déléguant à ses membres un droit à des ressources qui dépasserait ce qui lui a été alloué. Je pense que si un membre crée des sous-membres, il peut lui allouer des quotas mais que ces quotas doivent lui être retiré de ce qu'il peut utiliser lui-même ou de ce qu'il peut allouer à d'autres sous-membres.
Une idée que nous avons également en projet sur ce sujet et de présenter à l'administrateur une réelle arborescence des membres et sous-membres qu'il gère (avec une représentation pseudo-graphique), et permettant de clicker sur un des neouds de l'arbre (ou une de ses feuilles) pour selectionner le membre sur lequel il veut opérer. Il n'aura donc plus une vision "a plat" de tous les membres dont il a une responsabilité, et ça va lui permettre d'avoir une vision synthétique de ce que ses membres directs ont put éventuellement créer comme sous-membres.
comment:6 Changed 7 years ago by denis
Pour moi il faut une gestion simple , il devrait y avoir trois types de comptes:
root -> Droit de création/suppression de tous les comptes + accès au panel administrateur + accès à l'admin sql général
admin -> Droit de création de comptes + suppression/accès/modifs des quotas uniquement aux comptes qu'il a crée.
Membre
Pour ton idée de représentation graphique, la page qui liste les comptes crée par un admin devrait être suffisant...
comment:7 Changed 7 years ago by oarcher
Attention. Il est tres probable que le compte admin heberge un portail sur un domaine style general.net, et que les comptes utilisateurs créés hebergent des sous domaines style particulier.general.net. Or on ne peu pas creer de sous domaine particulier.general.net si general.net n'est pas declaré dans le compte utilisateur. par contre, on peut heberger le domaine particulier.general.net, a condition de ne pas heberger le dns. La wildcard du fichier de description de zone est donc importante. Je ne sais pas si il y a une relation avec le #221.
comment:10 Changed 7 years ago by anonymous
bonjour,
la CNT a t elle fini sur ce feature?
++
comment:12 Changed 5 years ago by anarcat
- Status changed from new to closed
- Resolution set to worksforme
- Milestone changed from alternc-0.9.8 to alternc-0.9.7
Bon, d'après ce que je peux voir ici, le problème original est réglé, c'est à dire qu'il n'y a pas de lien "se connecter" dans un listing "tous les comptes" d'un super-utilisateur non-root.
Réouvrir un autre bug si vous désirez les autres fonctionnalités décrites dans le reste du bug.
Il me semble que ce que vous soumettez n'est pas un bug mais une demande de fonctionnalité...