open | Schulportfolio

Qualitätsdokumentation leicht gemacht

Benutzer-Werkzeuge

Webseiten-Werkzeuge


praxistipps:accesscontrol

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

praxistipps:accesscontrol [30.05.2018 19:51]
Frank Schiebel [Beispiel: Eingeschränkter Bereich]
praxistipps:accesscontrol [12.12.2018 15:54]
Zeile 1: Zeile 1:
-====== Zugriffsrechte anpassen ====== 
- 
-Du Zugriffsrechte innerhalb des Portfolios lassen sich im Prinzip beliebig granuliert vergeben. Bevor man damit beginnt, Zugriffsrechte zu vergeben, die über den Auslieferungszustand von open|Schulportfolio hinausgehen,​ sollte man sich allerdings unbedingt mit dem Zugrunde liegenden Konzept vertraut machen, da man andernfalls leicht in chaotische Zustände abgleitet, die dann viel Arbeit nach sich ziehen können. 
- 
-{{  :​praxistipps:​acl:​acl01.png?​200|}} 
-Die Einstellungen für die Zugriffsrechte können nur Portfolioadministratoren verändern, zu diesem Zweck dient ein Konfigurationseditor den man über ''​Admin->​Zugangsverwaltung''​ erreicht. 
- 
-Im Folgenden werden die Prinzipien an praktischen Beispielen erläutert. 
- 
-===== Ausgangssituation ===== 
- 
-Nach einer Neuinstallation stellt sich die Situation wie folgt dar - es sind 5 Zugriffsregeln vordefiniert. ​ 
- 
-{{:​praxistipps:​acl:​acl02.png|}} 
- 
-Jeder Regeln beinhaltet 3 Informationen:​ Den Namensraum/​die Portfolioseite auf den/die sich sie Regel bezieht, der Benutzer/​die Benutzergruppe,​ für den/die die Regel gilt und die Rechte, die diesem Benutzerkreis für die angegebene Seite eingeräumt werden. Höhere Berechtigungen schließen niedrigere mit ein. Anlegen, Hochladen und Entfernen gilt nur für Namensräume,​ nicht für einzelne Seiten. 
- 
-Ein Namensraum entspricht in der DokuWiki-Nomenklatur einem Verzeichnis beziehungsweise einem  Unterverzeichnis,​ in welchem sich wiederum Seiten oder weitere Namensräume befinden. 
- 
-Die Regeln oben bedeuten der Reihe nach folgendes: 
- 
-  * **(1)** Auf alle Seiten ''​*''​ haben die Mitglieder der Gruppe ''​@ALL'',​ also alle Benutzer, die zum Portfolio surfen, keine Rechte. Diese Regel hat zur Folge, dass sämtliche Portfolio-Inhalte erst sichtbar werden, nachdem man sich angemeldet hat. 
-  * **(2)** Alle Mitglieder der Gruppe ''​@teachers''​ dürfen alle Seiten ''​*''​ lesen. Diese regel hat zur Folge, dass die Lehrer die Inhalte lesen aber nicht bearbeiten dürfen.((Beim Einsatz in der paedML Linux können sich die Schüler ebenfalls am Portfolio anmelden, da sie abernicht Mitglieder der Gruppe ''​teachers''​ sind, sehen sie keine Inhalte)) 
-  * **(3)** Die Mitglieder der Gruppe ''​@portfoliored''​ dürfen in allen Namensräumen und auf allen Seitem ''​*''​ alles, auch Seiten löschen. 
-  * **(4)** Die Inhalte im Namensraum ''​allusers''​ dürfen von jedem (auch nicht angemeldeten Benutzer gelesen werden. Dort befinden sich Icons u.ä., ohne diese Regel sieht die Login-Seite möglicherweise nicht besonders gut aus. 
-  * **(5)** Die Inhalte unterhalb des Namensraums ''​wiki:​logo''​ dürfen von jedem Benutzer gelesen werden - diese Regel ist nötig, damit ein geändertes Logo auch vor der Anmeldung angezeigt werden kann. 
- 
- 
-===== Neue Regel erstellen - Beispiel "​öffentlicher Bereich"​ ===== 
- 
-In diesem Beispiel soll eine Regel angelegt werden, um einen öffentlichen Bereich anzulegen, der von allen Benutzern eingesehen werden kann. 
- 
-Zunächst legt man einen Namensraum((Ein Namensraum entsteht automatisch,​ wenn man einer neuen Seiten den Namen des Namensraums durch eien Doppelpunkt getrennt voranstellt - legt man also z.B. die Seite ''​public:​start''​ an entshet automatisch der Namensraum ''​public''​)) an, in dem sich später alle öffentlichen Seiten befinden sollen, z.B. ''​public''​. ​ 
- 
-{{:​praxistipps:​acl:​acl03.png?​800|}} 
- 
-  * Dann wählt man im Zugangseditor den Namensraum aus [1] 
-  * Im Auswahlfeld [2] wählt man die Gruppe, in diesem Fall @ALL aus, da die Regel ja die Berechtigungen für alle Benutzer beeinflussen soll 
-  * Dann wählt man die Gruppe durch Klick auf ''​Auswählen''​ [3] aus. Es erscheint eine Maske für die Zugriffsrechte. 
- 
-{{:​praxistipps:​acl:​acl04.png|}} 
- 
-  * Nun wählt man hier ''​Lesen''​ aus, da für den Namensraum ''​public''​ gelten soll, dass alle dort alles lesen dürfen. ​ 
- 
-Nach dem anschließenden Speichern der Regel erhält man diese in der Tabelle. ​ 
- 
-{{:​praxistipps:​acl:​acl05.png?​800|}} 
- 
-Nun können alle Benutzer auf alle Seiten unterhalb des Namensraums ''​public''​ zugreifen. 
- 
-===== Beispiel: Eingeschränkter Bereich ===== 
- 
-In diesem Beispiel soll ein Eingeschränkter Bereich innerhalb des Portfolios angelegt werden, z.B. ein Bereich, den nur Mitglieder der Schulleitung einsehen und bearbeite können. 
- 
-Um einen eingeschränkten Bereich anzulegen sind zwei Regeln nötig, wie im folgenden Screenshot zu sehen: 
- 
-{{:​praxistipps:​acl:​acl06.png|}} 
- 
-  * Die erste Regel verbietet den Zugriff auf den Namensraum ''​restricted:​schulleitung''​ für alle Benutzer, insbesondere für die Mitglieder der Gruppe ''​@portfoliored''​. 
-  * Die zweite Regel gestattet den Mitgliedern der Gruppe ''​@portfolioslt'' ​ vollen Zugriff auf die Inhalte des Namensraums ''​restricted:​schulleitung''​. 
- 
-Insgesamt dürfen also nur die Mitglieder der Gruppe ''​@portfolioslt''​ diesen Bereich einsehen oder bearbeiten. 
- 
-Die Gruppen muss man natürlich definieren: Bei Verwaltung der Benutzer direkt im Portfolio muss man den jeweiligen Benutzern die Gruppe im Benutzereditor mitgeben, mehrere Gruppen durch Komma getrennt. ​ 
- 
-Bei Verwaltung der Benutzer im LDAP muss man im Schulnetz die entsprechenden Projektgruppen anlegen - für die paedML Linux muss man also für die Regel in diesem Beispiel das Projekt ''​p_portfolioslt''​ anlegen und alle Mitglieder der Schulleitung in diesem Projekt zu Mitgliedern machen. In diesem Fall muss man die Gruppe im Wiki einfach direkt im ACL-Formular eintragen, da die Gruppen aus dem LDAP/AD nicht in der Auswahlliste angezeigt werden: 
- 
-{{ :​praxistipps:​auswahl_133.png |}} 
- 
- 
- 
-===== Beispiel: Eine Seite, die nur von einem Benutzer bearbeitet werden darf ===== 
- 
-Zugriffsrechte können auch für einzelne Seiten und einzelne Benutzer festgelegt werden. In diesem Beispiel soll eine Seite nur für einen Benutzer bearbeitbar sein, alle anderen sollen die Seite nur lesen können. 
- 
-<note important>​Dieses Verfahren sollte man vermeiden, das es in der Betreuung einen hohen Aufwand verursacht. Besser ist es, die Bearbeitungsrechte systematisch über Gruppen für ganze Namensräume zu vergeben.</​note>​ 
- 
-{{:​praxistipps:​acl:​acl07.png?​800|}} 
- 
-  * In der Zugriffsverwaltung die Seite auswählen - hier ''​portfolio:​ergebnisse:​start''​ 
-  * Dann im Auswahlfeld ''​Benutzer''​ wählen und den Benutzernamen ins Feld eingeben.((Achtung:​ Es wird nicht geprüft, obman sich hier vertippt!)) 
-  * Nun ''​Auswählen''​ und die Zugriffsrechte einstellen. Für einzelne Seiten kann man nur zwischen //keine, lesen// und //​bearbeiten//​ wählen. Dann ''​Speichern''​. 
- 
-{{:​praxistipps:​acl:​acl08.png|}} 
- 
-Um den Mitgliedern der Gruppöe portfoliored die Bearbeitungsrechte für die Seite zu entziehen, benötigt man wie oben eine zweite Regel, die das erledigt, so dass die Gruppe ''​portfoliored''​ die Seite ''​portfolio:​ergebnisse:​start''​ nur noch lesen darf. 
- 
-Das Ergebnis sieht dann so aus: 
- 
-{{:​praxistipps:​acl:​acl09.png?​800|}} 
- 
  
praxistipps/accesscontrol.txt · Zuletzt geändert: 12.12.2018 15:54 (Externe Bearbeitung)