Добрый день!
Возможно кто уже решал подобную задачу и сможет помочь:
Как пользователю ограничить просмотр таблиц и редактирование записей в зависимости от его IP-адреса?
Например:
Если Пользоваетль#1 заходит в КБ с IP 1.1.1.1, то он имеет доступ к просмотру таблиц "Контрагенты" и "Отчеты"
Если Пользоваетль#1 заходит в КБ с IP отличного от 1.1.1.1, то он имеет доступ только к просмотру таблиц "Отчеты".
1
Ограничение доступа по IP-адресу
Автор Виктор, 15 апр. 2014 20:26
Сообщений в теме: 7
#1
Отправлено 15 Апрель 2014 - 20:26
#2
Отправлено 16 Апрель 2014 - 09:12
Такого функционала не предусмотрено на данный момент. Либо вы блокируете всю КБ по IP, либо закрываете доступ к отдельным таблицам/отчетам, но только через права доступа на основе групп пользователей.
#3
Отправлено 16 Апрель 2014 - 12:03
CbCoder (16 Апрель 2014 - 09:12) писал:
Такого функционала не предусмотрено на данный момент. Либо вы блокируете всю КБ по IP, либо закрываете доступ к отдельным таблицам/отчетам, но только через права доступа на основе групп пользователей.
В перспективе такой функционал будет?
Его отсутствие прямая угроза безопасности.
#4
Отправлено 16 Апрель 2014 - 13:59
В чем там угроза безопасности? Приведите конкретный пример. Если есть какая-то дыра - это скорее повод нам ее заделать, чем добавлять новые костыли.
Добавлять подобный функционал мы вряд ли будем, т.к. иначе придется дублировать всю систему доступа, что понесет большие накладные расходы и утяжелит программу.
Добавлять подобный функционал мы вряд ли будем, т.к. иначе придется дублировать всю систему доступа, что понесет большие накладные расходы и утяжелит программу.
#5
Отправлено 22 Апрель 2014 - 15:17
Суть заключается в следующем (пример):
Есть группа сотрудников с правами на просмотр и редактирование таблицы "Заказы" и просмотр отчета "Прибыль".
Как сделать так, чтоб при входе с доверенного пула IP адресов (рабочее место - офис) они могли просматривать и редактировать записи в таблице "Заказы", а также просматривать отчет "Прибыль", а во всех остальных случаях (удаленны доступ с домашнего компьютера и пр. ситуаций) только просмотр отчета "Прибыль"?
Это реальный пример из нашей ситуации, когда злоумышленники проникли в КБ (таблица "Заказы") через домашний компьютер сотрудника!
В данный момент функционал Кб позволяет полностью блокировать доступ по IP, но это не выход, т.к. определенной группе сотрудников (например руководители) нужен удаленный доступ к выборочным таблицам или отчетам КБ.
Что делать? Как защититься?
Есть группа сотрудников с правами на просмотр и редактирование таблицы "Заказы" и просмотр отчета "Прибыль".
Как сделать так, чтоб при входе с доверенного пула IP адресов (рабочее место - офис) они могли просматривать и редактировать записи в таблице "Заказы", а также просматривать отчет "Прибыль", а во всех остальных случаях (удаленны доступ с домашнего компьютера и пр. ситуаций) только просмотр отчета "Прибыль"?
Это реальный пример из нашей ситуации, когда злоумышленники проникли в КБ (таблица "Заказы") через домашний компьютер сотрудника!
В данный момент функционал Кб позволяет полностью блокировать доступ по IP, но это не выход, т.к. определенной группе сотрудников (например руководители) нужен удаленный доступ к выборочным таблицам или отчетам КБ.
Что делать? Как защититься?
#6 Гость_Roman_*
Отправлено 22 Апрель 2014 - 15:49
Можно подключить внешний файл functions_custom.php в папке include и там разграничивать доступ примерно таким образом
$script_php = substr($_SERVER['PHP_SELF'], strrpos($_SERVER['PHP_SELF'],"/")+1); if ($_SERVER['REMOTE_ADDR'] != "192.168.1.1" && $script_php != "report.php") // Если IP не доверенный и выполняется доступ не к отчёту, сообщение с ошибкой die("Access error!");
#7
Отправлено 22 Апрель 2014 - 16:44
Roman (22 Апрель 2014 - 15:49) писал:
Можно подключить внешний файл functions_custom.php в папке include и там разграничивать доступ примерно таким образом
$script_php = substr($_SERVER['PHP_SELF'], strrpos($_SERVER['PHP_SELF'],"/")+1); if ($_SERVER['REMOTE_ADDR'] != "192.168.1.1" && $script_php != "report.php") // Если IP не доверенный и выполняется доступ не к отчёту, сообщение с ошибкой die("Access error!");
Спасибо за совет, но у меня Saas-версия и подобный функционал не реализовать.
А что если сделать две группы, например "Manager-full" и "Manager-light" с различными правами, а при авторизации сотрудника назначать ему ту или иную группу в зависимости от IP? Это возможно?
#8 Гость_Roman_*
Отправлено 22 Апрель 2014 - 16:51
Вполне реализуемо и на SaaS. Настройки - Дополнительно - Менеджер файлов - Внешние файлы. Добавляете в список файл include/functions_custom.php, и после сохранения появляется возможность редактировать этот файл.
Ваш вариант с переназначением групп так же должен работать, можно использовать функционал системных вычислений.
Ваш вариант с переназначением групп так же должен работать, можно использовать функционал системных вычислений.
Количество пользователей, читающих эту тему: 3
0 пользователей, 3 гостей, 0 анонимных