<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    On 07/10/2015 04:17 PM, Martin Basti wrote:<br>
    <blockquote cite="mid:559FD3E2.5020503@redhat.com" type="cite">
      <meta content="text/html; charset=windows-1252"
        http-equiv="Content-Type">
      <div class="moz-cite-prefix">On 10/07/15 12:08, Stanislav Laznicka
        wrote:<br>
      </div>
      <blockquote cite="mid:559F9992.5070600@redhat.com" type="cite">Hi,
        <br>
        <br>
        Long time no post from me, time to make it up to you. <br>
        <br>
        I have been working on the the implementation of the design of
        time policies for HBAC rules on FreeIPA and SSSD sides. Attached
        is the current state of the FreeIPA solution. My comments and
        notes to the solution follow. <br>
        <br>
        The FreeIPA side backend base for time policies in HBAC seems
        working to me but still needs formal testing. Also, there is no
        conversion from the iCal format as previously requested and I
        personally would postpone this feature until the time policies
        functionality is rock solid. <br>
        <br>
        There were some uncertainties in the design as well. I ran into
        2 of these but more may come. <br>
        <br>
        The first thing is how to deal with weeks in a month. There are
        two possibilities. A week in month (as specified by the
        weekofmonth keyword in the time policies) may be understood as a
        period of time between two Sundays, so when a month starts on,
        say, Friday the 1st, weekofmonth=1 would specify days Friday,
        Saturday, Sunday and anything from that Sunday on would be a
        weekofmonth=2 and on. However, I think a week in a month may
        also be considered a period of time that equals 7 days of a
        month. In the previous example, a weekofmonth=1 would therefore
        also apply to the following days up until Friday the 8th,
        excluding this last day. Although I implemented the first case
        in the SSSD, I actually started thinking the second case
        scenario might be the right or "better" one. <br>
        <br>
        The other thing is which years should be allowed to be the input
        of the "year" keyword. Currently, I set the range for these
        values to 1970-2038 according to the Unix timestamp. I'm not
        sure if anyone would want to set it less than 1970, setting it
        for a higher value than 2038 might probably make sense in some
        very special cases, although I really can't think of a one. <br>
        <br>
        As for the WebUI, I am not really satisfied with the current
        state - the time zone select button requires saving the rule
        before any further setting on the page and the tables for
        setting the time rules don't allow editing the rules, which gets
        annoying fast. The WebUI for the time policies in HBAC was
        created for my Master's thesis purposes in a hurry and I will
        probably need to discuss it some more with Petr V. It works well
        for basic display and add/remove of the time rules, though. <br>
        <br>
        So, that is what I do now, aside from SSSD functionality.
        Please, let me know what your ideas are, especially about those
        weekofmonth and year issues. <br>
        <br>
        Cheers, <br>
        Stanislav Laznicka <br>
        <br>
        <fieldset class="mimeAttachmentHeader"></fieldset>
        <br>
      </blockquote>
      Please revert this change, 'replaces' keyword is used only for
      legacy permission. Changes in new permissions are handled
      automatically by update plugin.<br>
      <br>
      <pre wrap="">             'replaces': [
-                '(targetattr = "servicecategory || sourcehostcategory || cn || description || ipaenabledflag || accesstime || usercategory || hostcategory || accessruletype || sourcehost")(target = <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="ldap:///ipauniqueid=*,cn=hbac,$SUFFIX">"ldap:///ipauniqueid=*,cn=hbac,$SUFFIX"</a>)(version 3.0;acl "permission:Modify HBAC rule";allow (write) groupdn = <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="ldap:///cn=ModifyHBACrule,cn=permissions,cn=pbac,$SUFFIX">"ldap:///cn=Modify HBAC rule,cn=permissions,cn=pbac,$SUFFIX"</a>;)',
+                '(targetattr = "servicecategory || sourcehostcategory || cn || description || ipaenabledflag || timezone || accesstime || accesstimeexclude || usercategory || hostcategory || accessruletype || sourcehost")(target = <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="ldap:///ipauniqueid=*,cn=hbac,$SUFFIX">"ldap:///ipauniqueid=*,cn=hbac,$SUFFIX"</a>)(version 3.0;acl "permission:Modify HBAC rule";allow (write) groupdn = <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="ldap:///cn=ModifyHBACrule,cn=permissions,cn=pbac,$SUFFIX">"ldap:///cn=Modify HBAC rule,cn=permissions,cn=pbac,$SUFFIX"</a>;)',
             ],</pre>
      <br>
      Martin<br>
      <pre class="moz-signature" cols="72">-- 
Martin Basti</pre>
    </blockquote>
    Attaching the sequence of fixed patches.<br>
  </body>
</html>