[Allegro] avanti und Register 11

Thomas Berger ThB at Gymel.com
Mi Jan 26 11:12:40 CET 2011 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Lieber Herr Eversberg,

>> ... vorletztes Jahr einiges an Arbeit aufgewandt, damit nicht nur die
>> naheliegende Moeglichkeit der direkten Eingabe von "x ...." im
>> Schreibfeld bei niedrigen Zugriffststufen unterbunden wird, sondern
>> auch indirektere Moeglichkeiten abgeklemmt werden. Das Ergebnis war
>> durchwachsen, fuer manches braucht man nun eine hoehere Zugriffstufe
>> zum Lesen als zum Schreiben...
>>
> Für welche z.B.?
> Das Schreiben unter Kontrolle eines FLEXes ist etwas anderes als das
> vom Nutzer frei ausgelöste Schreiben eines Datensatzes! Sie meinen
> vermutlich ersteres, das ja z.B. bei der OPAC-Selbstbedienung auch
> dem Endnutzer möglich ist - aber eben streng kontrolliert.

Ich meinte eigentlich, dass ein Benutzer mit wenig Rechten zwar
RTF-Dateien in sein Arbeitsverzeichnis schreiben darf, diese aber
aus Angst vor eingebetteten Flexen nicht ins Anzeigefenster
zurueckladen darf...


>> ... Interessanterweise ist es mir allerdings
>> gelungen, durch Anheben der Benutzerrechte in der avanti.conf den
>> Zugriff zu ermoeglichen, wobei ich die Zugriffsstufe fuer die
>> Datenbank als solche auf 0 lassen konnte: Was das wirklich bedeutet
>> und ob ich damit unbeabsichtigt doch die Datenbank zum Schreiben
>> freigegeben habe, ist mir ohne weitere Tests noch nicht klar.
>>
> Was genau haben Sie dazu in der  avanti.con  geschrieben?

Der datenbankspezifische Abschnitt sah so aus:

[bohans]
directory=/data/allegro/h2kdbs/ulb
Konfiguration=hnono
IndexParameter=hans
access=0
opac=OPAC:0



und der Job so:

&
qrix DST 2000/01/01
if error write "error: " Err newline
@ db=bohans id=opac/OPAC
AVANTI:EOJ


(in der .hpi:
I DST ;B. "Bearbeitungsdaten"
)

Ergebnis:

error:  - [cr][lf]
AVANTI:EOR[lf]



Aendere ich in der Konfiguration nur die "opac"-Zeile auf

opac=OPAC:3

aendert sich das Ergebnis auf

    6 1999/12/28 K
    2 2000/01/05 K
    1 2000/01/07
    4 2000/01/10
    2 2000/01/10 K
    7 2000/01/11
    2 2000/01/11 K
    3 2000/01/12
    1 2000/01/12 K
    3 2000/01/13


[Ergaenzen um:

find #1
put

liefert dann gluecklicherweise

Server hat keine Berechtigung![lf]
N:<E223> Schreibversuch ohne Berechtigung[lf]

(Ungut am Rande: Die erste Meldungszeile hat kein "x:<Ennn> "
Es ist wichtig, von Avanti unaufgefordert hineingespu(c)kte
Meldungen ganz zweifelsfrei erkennen zu koennen, da sie u.U.
einer anderen Zeichencodierung unterliegen als das erwartete
Resultat)


Setze ich auch generell
access=3

ist das Verhalten anders: Avanti liefert leere Resultate
(der Account, unter dem avanti laeuft, hat naemlich kein
Schreibrecht auf die Datenbank ;-)

Wuenschenswert in solchen Faellen waere allerdings ein
Eintrag in der avanti-Log-Datei...


Fazit: access=0 fuer die Datenbank bedeutet nicht automatisch,
dass die individuellen Zugriffsstufen fuer die in avanti.conf
eingetragenen Benutzer automatisch auf 0 heruntergesetzt werden.

Bug oder Feature?




>> [Hintergrund dieser Mail: In allegro-HANS sind auch die
>> Datumsstempel als personenbezogene Daten ...
> Was ist daran personenbezogen?

die angehaengten Bearbeiterkennungen. Merke: Auch Bibliotheks-
mitarbeiter sind Personen und haben Rechte.


>> verlagert. Und nun will ich in einer Web-Anwendung auf die
>> Aenderungen eines bestimmten Datums zugreifen:
> Und das klappt per find-Befehl im FLEX nicht? Evtl. müßten Sie für
> diesen Zweck der Datenbank noch einen anderen logischen Namen
> geben, mit eigenem Abschnitt in der avanti.con, in dem eine höhere
> Berechtigung stünde. Dieser logische Name würde dann nur in den
> betreffenden Skripten benutzt, wo es wichtig ist.

Das waere dann so eine Art Eskalationsmechanismus: Normalbetrieb
mit Recht 0, fuer erweiterte Funktionalitaet wird auf einen
anderen Benutzer mit mehr Rechten umgeschaltet. Eine fest eincodierte
Sperre auf das reale Register 11 (auch bei Zugriff ueber symbolische
Registernamen) scheint mir allerdings zu unflexibel und eher eine
zusaetzliche Komplikation, wenn man so einen Mechanismus implementieren
will.

Aber wie sieht das eigentlich bei a30 aus: Ist hier die Vollsperre
von Register 11 ein nuetzliches Feature, weil viel mit access=0
gearbeitet wird?




viele Gruesse
Thomas Berger
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (Cygwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iJwEAQECAAYFAk0/85gACgkQYhMlmJ6W47MdGAP+N3Dh72tM1dBKGRUsnYJEH3Qs
+Q+JlNg/LRKylSfGm4srUeVhLwoXj4LKR3asldkmwP85K9O7xH5r0lXGSBqhkXkR
A7gFImz1sRAbUARkHI9m7O+q5jILSB5UZU2MIzf+nb6RtVTLlzhAuhIZIpJFzv3O
YWSfz6KSIOOAM6Ube+c=
=zmS+
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste Allegro