2.10. Административные задачи

2.10.1. Создание групп пользователей

Диалог создания новой группы представлен на Рис. 2.59.. Для открытия этого окна необходимо открыть панель управления (см. Рис. 2.3.) и выбрать там: Группы пользователей ‣ Создать.

../../_images/admin_controlpanel_usergroup_create.png

Рис. 2.59. Окно создания новой группы.

В диалоге необходимо указать полное и краткое наименование группы и нажать кнопку Создать. Полное наименование служит в качестве описания.

Примечание

Название группы должно содержать только цифры и буквы.

2.10.2. Создание пользователя

Диалог создания нового пользователя представлен на Рис. 2.60.. Для открытия этого окна необходимо открыть панель управления (см. Рис. 2.3.) и выбрать там: Пользователи ‣ Создать.

В диалоге необходимо указать:

  • Полное имя пользователя (например, Иванов Иван Иванович).
  • Имя пользователя – логин (например, ivanov).
  • Пароль для входа.

Выбрать, к какой группе относится пользователь – в списке будут отображены имеющиеся группы. Если необходимой группы в списке нет, то ее необходимо создать (см. Создание групп пользователей).

Далее необходимо нажать кнопку Создать.

../../_images/admin_controlpanel_user_create.png

Рис. 2.60. Окно создания пользователя.

2.10.3. Настройка прав доступа

NextGIS Web строится на ресурсном подходе - каждый компонент системы (слой, группа, сервис) является ресурсом. NextGIS Web обладает расширенными настройками прав доступа к ресурсам.

Права доступа можно назначить как при создании ресурса (см. Добавление ресурсов), так и при его изменении (см. Настройки слоёв). Для этого в диалоге создания/изменения ресурс необходимо перейти на вкладку «Права доступа» (см. Рис. 2.61.).

../../_images/access_rights_tab.png

Рис. 2.61. Вкладка настроек прав доступа.

В данной вкладке можно назначать, отменять или изменять права доступа. Для одного ресурса могут быть назначены различные права доступа пользователей и/или групп. Диалог настроек правил доступа представлен на рис. Рис. 2.62..

../../_images/access_rights_dialog.png

Рис. 2.62. Диалог настроек правил доступа.

Диалог включает в себя следующие элементы:

  • Действие.
  • Субъект.
  • Право.
  • Ресурс.
  • Распространять.

Действие определяет типы правила - запрещающее или разрешающее.

Примечание

По-умолчанию все запрещено.

Субъект - пользователь или группа, на которых распространяется правило.

Право - определяет разрешенные или запрещенные действия с ресурсом. Существуют следующие виды прав:

  • Все ресурсы: Все права.
  • Ресурс: Все права.
  • Ресурс: Управление дочерними ресурсами.
  • Ресурс: Управление правами доступа.
  • Ресурс: Чтение.
  • Ресурс: Создание.
  • Ресурс: Изменение.
  • Ресурс: Удаление.
  • Сервис: Все права.
  • Сервис: Подключение.
  • Сервис: Настройка.
  • Структура данных: Все права.
  • Структура данных: Запись.
  • Структура данных: Чтение.
  • Соединение: Все права.
  • Соединение: Запись параметров соединения.
  • Соединение: Чтение параметров соединения.
  • Соединение: Использование соединения.
  • Веб-карта: Все права.
  • Веб-карта: Просмотр.
  • Данные: Все права.
  • Данные: Запись.
  • Данные: Чтение.
  • Метаданные: Все права.
  • Метаданные: Запись.
  • Метаданные: Чтение.

Ресурс - на какие ресурсы распространять. Это актуально для группы ресурсов, где необходимо назначить права определенным типам ресурсов. Если нет необходимости в выборе типов ресурсов или все ресурсы в группе одинаковые, то ставиться «Все ресурсы».

Чекбокс «Распространять» определяет, распространять ли правило на ресурсы в подгруппы или нет. Обратите внимание, что установка прав на ресурс нижнего уровня, и распространение их не отменяет необходимости устанавливать их на ресурсы верхнего уровня. Например, дав доступ на чтение на группу ресурсов вложенную в другие группы, но не дав соответствующих прав на группы верхнего уровня относительно текущей, вплоть до корневого ресурса, пользователь не получит доступа к подпапке.

Права могут назначаться ресурсам, даже которым не соответствуют явно, например, право «Веб-карта: Просмотр» может быть назначено группе ресурсов, и, если включен переключатель «Распространять», то право будет распространяться на все веб-карты в данной группе и всех подгруппах.

Рассмотрим права подробнее.

Все ресурсы: Все права - разрешает или запрещает любые действия с ресурсами.

Ресурс: Все права - разрешает или запрещает любые действия с ресурсами, за исключением групп ресурсов.

Ресурс: Управление дочерними ресурсами - разрешает или запрещает изменение настроек дочерних ресурсов.

Ресурс: Управление правами доступа - разрешает или запрещает управлять правами доступа к ресурсу.

Ресурс: Чтение - разрешает или запрещает чтение ресурсов.

Ресурс: Создание - разрешает или запрещает создание ресурсов.

Ресурс: Изменение - разрешает или запрещает модифицировать ресурсы.

Ресурс: Удаление - разрешает или запрещает удалять ресурсы.

Сервис: Все права - разрешает или запрещает любые действия с сервисом.

Сервис: Подключение - разрешает или запрещает выполнять подключения к сервису.

Сервис: Настройка - разрешает или запрещает изменять настройки сервиса.

Структура данных: Все права - разрешает или запрещает любые действия со структурой данных.

Структура данных: Запись - разрешает или запрещает изменять структуру данных.

Структура данных: Чтение - разрешает или запрещает чтение структуры данных.

Соединение: Все права - разрешает или запрещает любые действия с соединениями.

Соединение: Запись параметров соединения - разрешает или запрещает модифицировать соединения.

Соединение: Чтение параметров соединения - разрешает или запрещает чтение параметров соединения.

Соединение: Использование соединения - разрешает или запрещает использовать соединение (будут ли доступны пользователю слои или данные из соединения).

Веб-карта: Все права - разрешает или запрещает любые действия над веб-картой.

Веб-карта: Просмотр - разрешает или запрещает просмотр веб-карты.

Данные: Все права - разрешает или запрещает любые действия над данными.

Данные: Запись - разрешает или запрещает модификацию данных.

Данные: Чтение - разрешает или запрещает чтение данных.

Метаданные: Все права - разрешает или запрещает любые действия над метаданными.

Метаданные: Запись - разрешает или запрещает модифицировать метаданные.

Метаданные: Чтение - разрешает или запрещает читать метаданные.

При назначении прав на тот или иной ресурс следует учитывать права на составляющие его ресурсы. Например, для предоставления доступа к WMS сервису необходимо дать следующие права:

  • Сервис: Подключение - разрешение на само подключение.
  • Ресурс: Чтение - разрешение на все ресурсы (векторные и растровые слои), опубликованные в WMS сервисе.
  • Структура данных: Чтение - разрешение на все ресурсы (векторные и растровые слои), опубликованные в WMS сервисе.
  • Данные: Чтение - разрешение на все ресурсы (векторные и растровые слои), опубликованные в WMS сервисе.

Если у вас сложная система с несколькими отдельными картами, и с ней должны работать разные пользователи, то можно создать группы пользователей. Для групп можно настраивать права доступа по отдельности.

2.10.4. Примеры настроек прав доступа

Дать гостю права на просмотр карты

Примечание

Гости будут иметь возможность видеть админку и ходить по всем папкам, кроме специально закрытых.

../../_images/access_rights_group_for_quest_0.png

Рис. 2.63. Задать в свойствах корневой группы ресурсов.

../../_images/access_rights_group_for_quest_webmaps.png

Рис. 2.64. Задать в свойствах группы ресурсов с веб-картами.

../../_images/access_rights_group_for_quest_geodata.png

Рис. 2.65. Задать в свойствах группы ресурсов с геоданными.

Дать гостю права на просмотр карты

Примечание

Гости смогут только видеть веб-карту и слои в каталоге, а всё остальное будет закрыто

../../_images/access_rights_group_for_quest_10.png

Рис. 2.66. Задать в свойствах корневой группы ресурсов.

../../_images/access_rights_group_for_quest_webmaps12.png

Рис. 2.67. Задать в свойствах группы ресурсов с веб-картами.

../../_images/access_rights_group_for_quest_geodata13.png

Рис. 2.68. Задать в свойствах группы ресурсов с геоданными.

Дать одному пользователю права на одну группу ресурсов

../../_images/access_rights_group_for_user_1.png

Рис. 2.69. Задать в свойствах группы ресурсов.

../../_images/access_rights_group_for_user_2.png

Рис. 2.70. Задать в свойствах корневой группы ресурсов.

Дать группе пользователей право на ввод данных через мобильное приложение

Создайте отдельную группу пользователей (в примере - «Openstreetmap users») и отдельную группу ресурсов.

../../_images/access_rights_group_for_mobile_import_1.png

Рис. 2.71. Задать в свойствах группы ресурсов.

../../_images/access_rights_group_for_mobile_import_2.png

Рис. 2.72. Задать в свойствах корневой группы ресурсов.

2.10.5. Изменение пароля пользователя

Для смены пароля пользователя можно воспользоваться веб интерфейсом. Также существует возможность изменить пароль пользователя из командной строки:

Примечание

Указание нового пароля пользователя в командной строке потенциально не безопасно.

env/bin/nextgisweb --config config.ini change_password user password
env/bin/nextgisweb --config config.ini change_password user password