Permisos en okm:root y clientes WEBDAV

[ccbaxter]

Hola

No se si lo siguiente se puede considerar un bug o simplemente una carencia, pero de cualquier forma creo que es algo que hay que señalar:

Jugando con los permisos y un par de clientes WEBDAV: Cyberduck y Netdrive me he encontrado con que ninguno de los dos respeta los permisos que se asignan a okm:root.

Si restringimos los permisos de un usuario para que sólo pueda ver y escribir en una carpeta que cuelga del raíz, nos encontramos con que efectivamente el usuario sólo ve esa carpeta tanto desde la interfaz web como desde un cliente WEBDAV, pero mientras en la interfaz WEB el okm:root se mantiene de lectura ( aparece en color rojo para que quede más claro ) en los 2 clientes WEBDAV el usuario puede escribir debajo de okm:root y esto claramente me parece un problema de seguridad.

Saludos.

[jllort]

Danos un par de capturas de pantalla donde veamos la seguridad del okm:root y desde el escritorio los privilegios sobre el directorio okm:root. Por lo que dices se puede crear una carpeta ahí, aunque no tengas privilegios, no ?

[ccbaxter]

Pues aquí lo tienes:

En esta imagen se ven los dos roles asignados al raíz sólo con permiso de lectura:

Permisos en okm:root
okm_root01.png (25.25 KiB) Viewed 5408 times

En esta otra se ve la carpeta creada por el usuario cliente1 bajo okm:root

Este usuario tiene asignados los roles UserRole y ClientRole y como se va ha creado una carpeta bajo el raíz a pesar de los permisos. La prueba está hecha con Cyberduck pero ocurre lo mismo con Netdrive.

okm_root02.png (19.75 KiB) Viewed 5408 times

Saludos.

[jllort]

Esto es un bug ... esta semana hemos empezado a cambiar toda la implementación de webdav. Espero que en breve este disponible en el nightly build para poder probar-se ( creo que tenemos una semana mas de trabajo con esto ).

[pavila]

En estos momentos está disponible la nueva implementación de WebDAV, que podrás evaluar instalando la nighbuild de OpenKM 5.1.8. La ruta de WebDAV a cambiado a http://localhost:8080/OpenKM/webdav.

[ccbaxter]

Hola, acabo de bajar y probar la versión 5.1.8-SNAPSHOT (build: 7300) con estos resultados:

Cyberduck sigue permitiendo la escritura en el raíz a pesar de los permisos

okm_root : Permiso SÓLO de lectura para BaseRole y ClientRole
cliente1: ClientRole UserRole

okm_root_cyberduck01.png (19.88 KiB) Viewed 5375 times

Netdrive se comporta de forma ligeramente distinta, permite la escritura en el raíz pero cambia el nombre que le damos a la carpeta por "Nueva carpeta".
En la imagen se puede ver el nombre que puse inicialmente desde el explorador y el nombre cambiado en OpenKM después de refrescar.

okm_root_netdrive01.png (77.11 KiB) Viewed 5375 times

En el log aparece

Code: Select all

2011-10-13 11:46:27,851 ERROR [com.openkm.webdav.resource.FolderResource] PathNotFoundException: okm:root/Prueba

después de crear la carpeta "Prueba"

Saludos.

[pavila]

Creo que lo tengo solucionado. He creado este ticket para gestionar este fallo en http://issues.openkm.com/view.php?id=1854 . He subido una corrección que la podrás ver en la nightbuild de esta noche, o sea, que la podrás bajar mañana.

[ccbaxter]

Hola, ahora parece que ya funciona correctamente.

Acabo de probar con la versión 5.1.8-SNAPSHOT (build: 7322) con Cyberduck y Netdrive.

Cyberduck

Sale error de "I/O Error" cuando el usuario sin permisos intenta crear una carpeta bajo okm:root

El log indica un acceso denegado

Code: Select all

2011-10-24 14:08:02,938 WARN  [com.openkm.module.direct.DirectFolderModule] /okm:root/soy_cliente1: not allowed to add or modify item
javax.jcr.AccessDeniedException: /okm:root/soy_cliente1: not allowed to add or modify item

Netdrive

Parece que deja crear la carpeta bajo okm:root pero no es cierto porque desaparece si actualizamos la vista en el explorador, supongo que es un comportamiento un tanto "inusual" pero consigue lo que se espera.


Gracias.

[pavila]

Eso que hace el Netdrive puede ser debido a la caché que implementa. Da por hecho que se puede crear la carpeta, pero realmente no se ha creado y al refrescar ya no sale. No sé si habrá alguna forma de evitar que esto pase. Si alguien la sabe, sus comentarios serán bien recibidos