Revision 70938860
Correction de plusieurs bugs dans la vérification des permissions de l'arbre de sélection des groupes du formulaire de recherche de VigiBoard.
git-svn-id: https://vigilo-dev.si.c-s.fr/svn@6799 b22e2e97-25c9-44ff-b637-2e5ceca36478
vigiboard/controllers/root.py | ||
---|---|---|
697 | 697 |
""" |
698 | 698 |
|
699 | 699 |
# Si l'identifiant du groupe parent n'est pas |
700 |
# spécifié, on retourne la liste des groupes racines,
|
|
701 |
# fournie par la méthode get_root_hosts_groups.
|
|
700 |
# spécifié, on retourne la liste des groupes |
|
701 |
# racines, fournie par la méthode get_root_groups.
|
|
702 | 702 |
if parent_id is None: |
703 |
return self.get_root_host_groups()
|
|
703 |
return self.get_root_groups() |
|
704 | 704 |
|
705 | 705 |
# TODO: Utiliser un schéma de validation |
706 | 706 |
parent_id = int(parent_id) |
... | ... | |
724 | 724 |
user = get_current_user() |
725 | 725 |
GroupHierarchy_aliased = aliased(GroupHierarchy, |
726 | 726 |
name='GroupHierarchy_aliased') |
727 |
supitem_groups.join( |
|
727 |
supitem_groups = supitem_groups.join(
|
|
728 | 728 |
(GroupHierarchy_aliased, |
729 |
GroupHierarchy_aliased.idchild == SupItemGroup.idgroup), |
|
729 |
or_( |
|
730 |
GroupHierarchy_aliased.idchild == SupItemGroup.idgroup, |
|
731 |
GroupHierarchy_aliased.idparent == SupItemGroup.idgroup |
|
732 |
)), |
|
730 | 733 |
(DataPermission, |
731 |
DataPermission.idgroup == GroupHierarchy_aliased.idparent), |
|
734 |
or_( |
|
735 |
DataPermission.idgroup == \ |
|
736 |
GroupHierarchy_aliased.idparent, |
|
737 |
DataPermission.idgroup == \ |
|
738 |
GroupHierarchy_aliased.idchild, |
|
739 |
)), |
|
732 | 740 |
(USER_GROUP_TABLE, USER_GROUP_TABLE.c.idgroup == \ |
733 | 741 |
DataPermission.idusergroup), |
734 | 742 |
).filter(USER_GROUP_TABLE.c.username == user.user_name) |
... | ... | |
742 | 750 |
|
743 | 751 |
return dict(groups = groups, leaves = []) |
744 | 752 |
|
745 |
def get_root_host_groups(self):
|
|
753 |
def get_root_groups(self): |
|
746 | 754 |
""" |
747 | 755 |
Retourne tous les groupes racines (c'est à dire n'ayant |
748 | 756 |
aucun parent) d'hôtes auquel l'utilisateur a accès. |
... | ... | |
775 | 783 |
|
776 | 784 |
root_groups = root_groups.join( |
777 | 785 |
(GroupHierarchy, |
778 |
GroupHierarchy.idchild == SupItemGroup.idgroup),
|
|
786 |
GroupHierarchy.idparent == SupItemGroup.idgroup),
|
|
779 | 787 |
(DataPermission, |
780 |
DataPermission.idgroup == GroupHierarchy.idparent),
|
|
788 |
DataPermission.idgroup == GroupHierarchy.idchild),
|
|
781 | 789 |
(USER_GROUP_TABLE, USER_GROUP_TABLE.c.idgroup == \ |
782 | 790 |
DataPermission.idusergroup), |
783 | 791 |
).filter(USER_GROUP_TABLE.c.username == user.user_name) |
vigiboard/tests/functional/test_group_selection_tree.py | ||
---|---|---|
1 |
# -*- coding: utf-8 -*- |
|
2 |
""" |
|
3 |
Teste l'arbre de sélection des groupes du formulaire de recherche |
|
4 |
""" |
|
5 |
from nose.tools import assert_true, assert_equal |
|
6 |
from datetime import datetime |
|
7 |
import transaction |
|
8 |
|
|
9 |
from vigiboard.tests import TestController |
|
10 |
from vigilo.models.session import DBSession |
|
11 |
from vigilo.models.tables import SupItemGroup, Host, Permission, StateName, \ |
|
12 |
Event, CorrEvent, User, UserGroup, \ |
|
13 |
DataPermission |
|
14 |
|
|
15 |
from utils import populate_DB |
|
16 |
|
|
17 |
class TestGroupSelectionTree(TestController): |
|
18 |
"""Teste l'arbre de sélection des groupes du formulaire de recherche.""" |
|
19 |
|
|
20 |
def setUp(self): |
|
21 |
super(TestGroupSelectionTree, self).setUp() |
|
22 |
populate_DB() |
|
23 |
|
|
24 |
def test_get_inexistent_group(self): |
|
25 |
"""Récupération de l'étage de l'arbre pour un groupe inexistant""" |
|
26 |
|
|
27 |
# L'utilisateur est authentifié avec des permissions étendues. |
|
28 |
# Il cherche à obtenir la liste des groupes fils d'un groupe |
|
29 |
# qui n'existe pas, il ne doit donc obtenir aucun résultat. |
|
30 |
response = self.app.get('/get_groups?parent_id=%d' % -42, |
|
31 |
extra_environ={'REMOTE_USER': 'access'}) |
|
32 |
json = response.json |
|
33 |
|
|
34 |
# On s'assure que la liste de groupes retournée est bien vide |
|
35 |
self.assertEqual( |
|
36 |
json, {'leaves': [], 'groups': []} |
|
37 |
) |
|
38 |
|
|
39 |
# L'utilisateur est authentifié et fait partie du groupe 'managers'. |
|
40 |
# Il cherche à obtenir la liste des groupes fils d'un groupe |
|
41 |
# qui n'existe pas, il ne doit donc obtenir aucun résultat. |
|
42 |
response = self.app.get('/get_groups?parent_id=%d' % -42, |
|
43 |
extra_environ={'REMOTE_USER': 'manager'}) |
|
44 |
json = response.json |
|
45 |
|
|
46 |
# On s'assure que la liste de groupes retournée est bien vide |
|
47 |
self.assertEqual( |
|
48 |
json, {'leaves': [], 'groups': []} |
|
49 |
) |
|
50 |
|
|
51 |
def test_get_group_when_not_allowed(self): |
|
52 |
"""Récupération de l'étage de l'arbre sans les droits""" |
|
53 |
|
|
54 |
# Récupération du groupe utilisé lors de ce test. |
|
55 |
group2 = SupItemGroup.by_group_name(u'group2') |
|
56 |
|
|
57 |
# L'utilisateur n'est pas authentifié. |
|
58 |
# Il cherche à obtenir la liste des groupes fils d'un groupe donné. |
|
59 |
response = self.app.get('/get_groups?parent_id=%d' % group2.idgroup, |
|
60 |
status=401) |
|
61 |
|
|
62 |
# L'utilisateur est authentifié avec des permissions |
|
63 |
# restreintes. Il cherche à obtenir la liste des groupes fils |
|
64 |
# d'un groupe auquel il n'a pas accès, même indirectement. |
|
65 |
response = self.app.get('/get_groups?parent_id=%d' % group2.idgroup, |
|
66 |
extra_environ={'REMOTE_USER': 'limited_access'}) |
|
67 |
json = response.json |
|
68 |
|
|
69 |
# On s'assure que la liste de groupes retournée est bien vide |
|
70 |
self.assertEqual( |
|
71 |
json, {'leaves': [], 'groups': []} |
|
72 |
) |
|
73 |
|
|
74 |
def test_get_group_when_allowed(self): |
|
75 |
"""Récupération de l'étage de l'arbre avec les droits""" |
|
76 |
|
|
77 |
# Récupération des groupes utilisés lors de ce test. |
|
78 |
root = SupItemGroup.by_group_name(u'root') |
|
79 |
maingroup = SupItemGroup.by_group_name(u'maingroup') |
|
80 |
group1 = SupItemGroup.by_group_name(u'group1') |
|
81 |
group2 = SupItemGroup.by_group_name(u'group2') |
|
82 |
|
|
83 |
# L'utilisateur est authentifié et fait partie du groupe 'managers'. |
|
84 |
# Il cherche à obtenir la liste des groupes fils d'un groupe donné. |
|
85 |
response = self.app.get('/get_groups?parent_id=%d' % root.idgroup, |
|
86 |
extra_environ={'REMOTE_USER': 'manager'}) |
|
87 |
json = response.json |
|
88 |
|
|
89 |
# On s'assure que la liste retournée contient |
|
90 |
# bien les groupes fils de ce groupe parent |
|
91 |
self.assertEqual( |
|
92 |
json, { |
|
93 |
'leaves': [], |
|
94 |
'groups': [ |
|
95 |
{'id': maingroup.idgroup, 'name': maingroup.name} |
|
96 |
] |
|
97 |
} |
|
98 |
) |
|
99 |
|
|
100 |
# L'utilisateur est authentifié avec des permissions |
|
101 |
# étendues. Il cherche à obtenir la liste des groupes |
|
102 |
# fils d'un groupe auquel il a directement accès. |
|
103 |
response = self.app.get('/get_groups?parent_id=%d' % root.idgroup, |
|
104 |
extra_environ={'REMOTE_USER': 'access'}) |
|
105 |
json = response.json |
|
106 |
|
|
107 |
# On s'assure que la liste retournée contient |
|
108 |
# bien les groupes fils de ce groupe parent |
|
109 |
self.assertEqual( |
|
110 |
json, { |
|
111 |
'leaves': [], |
|
112 |
'groups': [ |
|
113 |
{'id': maingroup.idgroup, 'name': maingroup.name} |
|
114 |
] |
|
115 |
} |
|
116 |
) |
|
117 |
|
|
118 |
# Le même utilisateur cherche à obtenir la liste des |
|
119 |
# groupes fils d'un groupe auquel il a indirectement accès. |
|
120 |
response = self.app.get('/get_groups?parent_id=%d' % maingroup.idgroup, |
|
121 |
extra_environ={'REMOTE_USER': 'access'}) |
|
122 |
json = response.json |
|
123 |
|
|
124 |
# On s'assure que la liste retournée contient |
|
125 |
# bien les groupes fils de ce groupe parent. |
|
126 |
self.assertEqual(json, { |
|
127 |
'leaves': [], |
|
128 |
'groups': [ |
|
129 |
{'id': group1.idgroup, 'name': group1.name}, |
|
130 |
{'id': group2.idgroup, 'name': group2.name} |
|
131 |
] |
|
132 |
}) |
|
133 |
|
|
134 |
# L'utilisateur est authentifié avec des permissions |
|
135 |
# restreintes. Il cherche à obtenir la liste des groupes |
|
136 |
# fils d'un groupe auquel il n'a pas accès, mais a toutefois |
|
137 |
# le droit d'accéder à un des groupes fils en question. |
|
138 |
response = self.app.get('/get_groups?parent_id=%d' % maingroup.idgroup, |
|
139 |
extra_environ={'REMOTE_USER': 'limited_access'}) |
|
140 |
json = response.json |
|
141 |
|
|
142 |
# On s'assure que la liste retournée contient bien ce groupe fils. |
|
143 |
self.assertEqual( |
|
144 |
json, { |
|
145 |
'leaves': [], |
|
146 |
'groups': [ |
|
147 |
{'id': group1.idgroup, 'name': group1.name} |
|
148 |
] |
|
149 |
} |
|
150 |
) |
|
151 |
|
|
152 |
# Le même utilisateur cherche à obtenir la liste des groupes |
|
153 |
# fils d'un groupe de niveau encore supérieur. |
|
154 |
response = self.app.get('/get_groups?parent_id=%d' % root.idgroup, |
|
155 |
extra_environ={'REMOTE_USER': 'limited_access'}) |
|
156 |
json = response.json |
|
157 |
|
|
158 |
# On s'assure que la liste retournée contient bien |
|
159 |
# le groupe parent du groupe auquel il a accès. |
|
160 |
self.assertEqual( |
|
161 |
json, { |
|
162 |
'leaves': [], |
|
163 |
'groups': [ |
|
164 |
{'id': maingroup.idgroup, 'name': maingroup.name} |
|
165 |
] |
|
166 |
} |
|
167 |
) |
|
168 |
|
|
169 |
def test_get_root_group_when_allowed(self): |
|
170 |
"""Récupération des groupes racines de l'arbre avec les droits""" |
|
171 |
|
|
172 |
# Récupération du groupe utilisé lors de ce test. |
|
173 |
root = SupItemGroup.by_group_name(u'root') |
|
174 |
|
|
175 |
# L'utilisateur est authentifié et fait partie du groupe 'managers'. |
|
176 |
# Il cherche à obtenir la liste des groupes racines de l'arbre. |
|
177 |
response = self.app.get('/get_groups', |
|
178 |
extra_environ={'REMOTE_USER': 'manager'}) |
|
179 |
json = response.json |
|
180 |
|
|
181 |
# On s'assure que la liste retournée contient bien le groupe racine. |
|
182 |
self.assertEqual( |
|
183 |
json, { |
|
184 |
'leaves': [], |
|
185 |
'groups': [ |
|
186 |
{'id': root.idgroup, 'name': root.name} |
|
187 |
] |
|
188 |
} |
|
189 |
) |
|
190 |
|
|
191 |
# L'utilisateur est authentifié avec des permissions étendues. |
|
192 |
# Il cherche à obtenir la liste des groupes racines de l'arbre. |
|
193 |
response = self.app.get('/get_groups', |
|
194 |
extra_environ={'REMOTE_USER': 'access'}) |
|
195 |
json = response.json |
|
196 |
|
|
197 |
# On s'assure que la liste retournée contient bien le |
|
198 |
# groupe racine, auquel cet utilisateur a directement accès. |
|
199 |
self.assertEqual( |
|
200 |
json, { |
|
201 |
'leaves': [], |
|
202 |
'groups': [ |
|
203 |
{'id': root.idgroup, 'name': root.name} |
|
204 |
] |
|
205 |
} |
|
206 |
) |
|
207 |
|
|
208 |
# L'utilisateur est authentifié avec des permissions restreintes. |
|
209 |
# Il cherche à obtenir la liste des groupes racines de l'arbre. |
|
210 |
response = self.app.get('/get_groups', |
|
211 |
extra_environ={'REMOTE_USER': 'limited_access'}) |
|
212 |
json = response.json |
|
213 |
|
|
214 |
# On s'assure que la liste retournée contient bien le |
|
215 |
# groupe racine, auquel cet utilisateur a indirectement accès. |
|
216 |
self.assertEqual( |
|
217 |
json, { |
|
218 |
'leaves': [], |
|
219 |
'groups': [ |
|
220 |
{'id': root.idgroup, 'name': root.name} |
|
221 |
] |
|
222 |
} |
|
223 |
) |
|
224 |
|
|
225 |
def test_get_root_group_when_not_allowed(self): |
|
226 |
"""Récupération des groupes racines de l'arbre sans les droits""" |
|
227 |
|
|
228 |
# Récupération du groupe utilisé lors de ce test. |
|
229 |
root = SupItemGroup.by_group_name(u'root') |
|
230 |
|
|
231 |
# L'utilisateur n'est pas authentifié, et cherche |
|
232 |
# à obtenir la liste des groupes racines de l'arbre. |
|
233 |
response = self.app.get('/get_groups', status=401) |
|
234 |
|
|
235 |
# Création d'un nouvel utilisateur et d'un nouveau groupe |
|
236 |
usergroup = UserGroup(group_name=u'new_users') |
|
237 |
vigiboard_perm = Permission.by_permission_name(u'vigiboard-access') |
|
238 |
usergroup.permissions.append(vigiboard_perm) |
|
239 |
user = User( |
|
240 |
user_name=u'new_user', |
|
241 |
fullname=u'', |
|
242 |
email=u'user.has.no@access', |
|
243 |
) |
|
244 |
user.usergroups.append(usergroup) |
|
245 |
DBSession.add(user) |
|
246 |
|
|
247 |
# L'utilisateur est authentifié mais n'a aucun accès. Il |
|
248 |
# cherche à obtenir la liste des groupes racines de l'arbre. |
|
249 |
response = self.app.get('/get_groups', |
|
250 |
extra_environ={'REMOTE_USER': 'new_user'}) |
|
251 |
json = response.json |
|
252 |
|
|
253 |
# On s'assure que la liste retournée est bien vide. |
|
254 |
self.assertEqual( |
|
255 |
json, { |
|
256 |
'leaves': [], |
|
257 |
'groups': [] |
|
258 |
} |
|
259 |
) |
|
260 |
|
Also available in: Unified diff