<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
On 12/01/2010 05:07 PM, Adam Young wrote:
<blockquote cite="mid:4CF6C71F.3060306@redhat.com" type="cite">
  <meta content="text/html; charset=ISO-8859-1"
 http-equiv="Content-Type">
The attached patch is required on top of the changes, as the admin user
no longer has any rolegroup, and thus would see the self service api. 
It should be pushed with this patch.<br>
</blockquote>
posted the wrong version.  THis one checks for presence of the group
admins.<br>
<blockquote cite="mid:4CF6C71F.3060306@redhat.com" type="cite"><br>
  <br>
  <br>
On 12/01/2010 04:01 PM, Rob Crittenden wrote:
  <blockquote cite="mid:4CF6B7BA.10906@redhat.com" type="cite">Simo
Sorce
wrote: <br>
    <blockquote type="cite">On Thu, 18 Nov 2010 23:11:51 -0500 <br>
Rob Crittenden<a moz-do-not-send="true" class="moz-txt-link-rfc2396E"
 href="mailto:rcritten@redhat.com"><rcritten@redhat.com></a> 
wrote: <br>
      <br>
      <blockquote type="cite">Re-implement access control using an
updated model. <br>
        <br>
The new model is based on permissions, privileges and roles. Most <br>
importantly it corrects the reverse membership that caused problems <br>
in the previous implementation. You add permission to privileges and <br>
privileges to roles, not the other way around (even though it works <br>
that way behind the scenes). <br>
        <br>
A permission object is a combination of a simple group and an aci. <br>
The linkage between the aci and the permission is the description of <br>
the permission. This shows as the name/description of the aci. <br>
        <br>
        <a moz-do-not-send="true" class="moz-txt-link-freetext"
 href="ldap:///self">ldap:///self</a> and groups granting groups
(v1-style) are not supported <br>
by this model (it will be provided separately). <br>
        <br>
ticket 445 <br>
        <br>
WARNING. The patch is humongous and changes a whole slew of stuff. It <br>
patches cleanly against the master right now but it is quite delicate <br>
so the sooner this is reviewed (without pushing anything else) the <br>
better. <br>
        <br>
The self-tests all pass for me as well as some spot checking. <br>
        <br>
Also note that I currently define a single role and it has no <br>
privileges. We will need to fill that in soon. <br>
      </blockquote>
      <br>
      <br>
Sorry Rob, but before I can ACK a change of this proportion in the <br>
Security model I want a wiki page with the model explained clearly and <br>
in detail. <br>
      <br>
I am vetoing this patch until we have that. <br>
      <br>
Note, I am *not* saying the patch is wrong, only that reviewing it w/o <br>
a reference model is basically impossible and it touches sensitive <br>
security stuff so I can't just let it pass hoping we got everything <br>
right. <br>
      <br>
Simo. <br>
      <br>
    </blockquote>
    <br>
Adam found a bug when installing the DNS server. Updated patch
attached. <br>
    <br>
rob <br>
    <pre wrap=""><fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
Freeipa-devel mailing list
<a moz-do-not-send="true" class="moz-txt-link-abbreviated"
 href="mailto:Freeipa-devel@redhat.com">Freeipa-devel@redhat.com</a>
<a moz-do-not-send="true" class="moz-txt-link-freetext"
 href="https://www.redhat.com/mailman/listinfo/freeipa-devel">https://www.redhat.com/mailman/listinfo/freeipa-devel</a></pre>
  </blockquote>
  <br>
  <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
Freeipa-devel mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Freeipa-devel@redhat.com">Freeipa-devel@redhat.com</a>
<a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/freeipa-devel">https://www.redhat.com/mailman/listinfo/freeipa-devel</a></pre>
</blockquote>
<br>
</body>
</html>