Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 2159 views
  • Users 0 members are here
Options
Suggested

[2.070][NOTABUG] GM ACL when 2 admins set different privileges for same user

BuBU
Hi

1/ in acc webadmin create user1 and user2
2/ make them "Allowed Users" for Gateway Manager
3/ log in acc as admin
4/ in Management >> Access Control set user1 for a given device as useradmin and set user2 as "Eligible users and groups"
5/ in Management >> Access Control set user2 with Monitoring privilege only for the same device as before
6/ log in acc as user2, you will see that u have only privileges for the device for Monitoring only (which is fine)
7/ log in acc as user1
8/ in Management >> Access Control set user2 with Reporting privilege only
9/ you will see that user2 has now only privileges for reporting
10/ in acc as your admin user apply once again without changing anything the access control (which was monitoring only)
11/ user2 has now monitoring only privileges [:)]

So that means that the final user will have privileges depending on the last user who applied things for him !...

I would have expected (at least) the privileges to be always the same, which can be:
a/ combinaison of all privileges given by all users (in that case reporting+monitoring)
b/ privileges given by the higher privileged users (here the admin)

Actually, I've no preferences between that 2 choices...

Thx
Parents
  • 0
    Hello,

    this is not a bug. A user that has rights to change the rights of a user can do so if he chooses to. That mean he can revoke rights a different user has granted. However a user can only change the rights for stuff he has rights too.  So if user1 only has rights for device A he can only change the rights for device A. Other rights user2 might have he is not able to change. 

    Note: There are no automatic updates for rights on the rights page as that might result in lost updates due to local changes being overwritten. So reload the page before you do your changes The rights the user sets will be the rights the user will have afterward no matter who has set the rights. If two people change rights the same time the last saved rights will be used.

    Thorsten
  • 0 in reply to Thorsten Zachmann
    Hello,

    this is not a bug. A user that has rights to change the rights of a user can do so if he chooses to. That mean he can revoke rights a different user has granted. However a user can only change the rights for stuff he has rights too.  So if user1 only has rights for device A he can only change the rights for device A. Other rights user2 might have he is not able to change. 

    Note: There are no automatic updates for rights on the rights page as that might result in lost updates due to local changes being overwritten. So reload the page before you do your changes The rights the user sets will be the rights the user will have afterward no matter who has set the rights. If two people change rights the same time the last saved rights will be used.

    Thorsten


    this is quite confusing to allow that ! As the first user (ie admin) will not understand why his changes have been overwriten... This is at least a documentation issue ! [:)]
    But why not simply forbiding to make a user eligible for more than one user ? with a message saying that the user is already eligible by another user (blablabla...)

    thx
  • 0 in reply to BuBU
    Hi BuBU,

    You have been digging very deep again [:)]

    I am afraid, this behavior is inarguable and works as designed.

    You will encounter the same behavior in any operating system where several user administrators can potentially cancel out each others modifications to the rights of a specific user.

    Also, the use-case of two administrators simultaneously changing the access rights of a single user for a specific device is IMHO of exotic nature.

    Your suggestion to simply forbid a second administrator to change rights of another user when another administrator is already eligible to do so is too complicated to implement and will reduce flexibility in a multi-client system.

    Nevertheless, we will honor your report with some additional information in the manual, but we won't award any points this time.

    Thanks for testing and have a nice weekend!

    Regards,
    Henning
  • 0 in reply to megaposer
    Hi BuBU,

    You have been digging very deep again [[[:)]]]

    I am afraid, this behavior is inarguable and works as designed.

    You will encounter the same behavior in any operating system where several user administrators can potentially cancel out each others modifications to the rights of a specific user.

    Also, the use-case of two administrators simultaneously changing the access rights of a single user for a specific device is IMHO of exotic nature.

    Your suggestion to simply forbid a second administrator to change rights of another user when another administrator is already eligible to do so is too complicated to implement and will reduce flexibility in a multi-client system.

    Nevertheless, we will honor your report with some additional information in the manual, but we won't award any points this time.

    Thanks for testing and have a nice weekend!

    Regards,
    Henning


    ok no problems... my concern was that the second admin or each useradmin does not see that rights are set differently by another admin... (which is not the case in OSes [[[:)]]]
    Anyway, actually don't using that feature in prod, so fine with me [[[:)]]]

    thx
Reply
  • 0 in reply to megaposer
    Hi BuBU,

    You have been digging very deep again [[[:)]]]

    I am afraid, this behavior is inarguable and works as designed.

    You will encounter the same behavior in any operating system where several user administrators can potentially cancel out each others modifications to the rights of a specific user.

    Also, the use-case of two administrators simultaneously changing the access rights of a single user for a specific device is IMHO of exotic nature.

    Your suggestion to simply forbid a second administrator to change rights of another user when another administrator is already eligible to do so is too complicated to implement and will reduce flexibility in a multi-client system.

    Nevertheless, we will honor your report with some additional information in the manual, but we won't award any points this time.

    Thanks for testing and have a nice weekend!

    Regards,
    Henning


    ok no problems... my concern was that the second admin or each useradmin does not see that rights are set differently by another admin... (which is not the case in OSes [[[:)]]]
    Anyway, actually don't using that feature in prod, so fine with me [[[:)]]]

    thx
Children
No Data
Unfiltered HTML