nuevo rol diferente de ROLE_USER

[joanOpenKM]

Hola,
He creado un nuevo rol a parte de los que hay por defecto ROLE_USER y ROLE_ADMIN
Lo he asignado a un nuevo usuario que he creado.
Intento entrar a OpenKM con ese usuario y se genera el siguiente error:

com.openkm.core.RepositoryException: PathNotFoundException: 7cf01393-cbdf-478b-8bc0-1b2d4a387d9d : /okm:trash

He buscado por la documentación y he leído que todos los usuarios deben estar asignados al ROLE_USER:
"Remember that every user should have assigned the ROLE_USER or ROLE_ADMIN to log into OpenKM"

¿Para qué sirve entonces la opción de crear un nuevo ROL?

Mi intención es agrupar a los usuarios en grupos para compartir los permisos.
¿Estoy haciendo alguna cosa mal?
Joan

[jllort]

Es muy sencillo el ROLE_USER y ROLE_ADMIN te sirven para pasar la pagina de login ( credenciales de seguridad ) como todos los usuarios tienen que tenerlos no se deben propagar en los nodos okm:root okm:categories y okm:templates eso puede ser un error y sin querer dar privilegios a quien no tiene que tenerlos

La idea es que todo usuario tenga como mínimo 2 roles el ROLE_USER ( para logearse ) y el ROLE_QUE_HAYAS_CREADO y que es el que te dará privilegios una vez estes en el repositorio logeado.

[joanOpenKM]

Hola,
Gracias por la respuesta!
Pensé que esa era la razón pero no sabía como poder darle dos ROLES a un mismo user..... Acabo de ver que la casilla es multiselección

Gracias,
Joan

[joseba.egana]

Buenas Joan,

No es obligatorio tener a los usuarios en 2 roles diferentes, es verdad que según el caso sea mejor o no,es decir, en el caso de que tengas 100 usuarios te sale mejor hacer lo que te han comentado antes (que cada usuario tenga 2 roles , ROLE_USER y otro "el tuyo") pero en el caso de que tengas pocos usuarios y solo quieres que tenga 1 solo role ya que quieres limitar al usuario mas que otros te aconsejo hacer lo siguiente:

-Al crear el usuario dale ROLE_USER y luego inicia sesión con ese usuario
-Una vez iniciado sesión, sal y vuelve a entrar como administrador
-Ahora cambia el ROLE del usuario cliente con el que acabas de entrar con el ROLE que querías darle antes
-Como te has iniciado antes no te da error y puedes entrar con otro ROLE diferente
-Eso si,esto es un coñazo en caso de que tengas muchos usuarios, ya que tienes que andar dando y quitando los ROLEs a cada usuario constantemente.

Espero que te sirva, yo por lo menos lo he hecho y funciona perfectamente

Casi se me olvida, yo a la propuesta del administrador le veo un problema. Para que modificar 2 ROLES diferente pudiendo solo modificar 1 solo, aparte, si el ROLE_USER permite a todos los usuarios ver todas las carpetas y yo tengo mi ROLE que solo permite ver 1 carpeta en concreto y es este ultimo ROLE el que quiero implantar, no crees que habrá problemas de de lectura y permisos ?

Tal vez en la versión profesional no existe este tipo de conflicto entre los ROLES,pero no lo se

[jllort]

Esto de añadir y quitar roles constantemente no tiene sentido. A ver la seguridad es un tema muy sencillo y que no nos lo hemos inventado nosotros. Funciona como en todos los sitios pero con una particularidad:

* ROLE_USER y ROLE_ADMIN no deben propagarse en el repositorio, sólo deben utilizarse para pasar la página de autentificación y nada más
* En el repositorio se deben propagar el resto de roles
* La idea es que todo usuario como mínimo tenga 2 roles ( uno para autentificar - > ROLE_USER ) y otro que será el que le de privilegios en el repositorio ( uno o más )