home *** CD-ROM | disk | FTP | other *** search
/ PC World 1997 November / PCWorld_1997-11_cd.bin / software / programy / komix / DATA.Z / crud.tcl < prev    next >
Text File  |  1996-08-12  |  8KB  |  247 lines
  1. #
  2. # Default Access SetUp for Default four Phase schema
  3. #
  4.  
  5. # Check if it is a redefinition of the access rights or a 
  6. # new definition of users, roles and access rights
  7. set redef ""
  8. if { [string trim $ucgargv] == "-r" } {
  9.   set redef "True"
  10.   puts "Using -r flag: redefine Access Rights for current roles"
  11. }
  12.  
  13. # source TCL what will readin the setup files into global variables
  14. # userlist - List of User
  15. # roleinfo - Array of Role Access Information indexed on RoleName
  16. # userroleinfo - Array of UserLists indexed on RoleName
  17. # projectconf - Arry of Project configurations indexed on ProjectName
  18.  
  19. source readsetup.tcl
  20.  
  21. # Build the actionsMaps for allowed, prohibited and undefined access rights
  22. # This interface offers a simple CRUD access scheme:
  23. #
  24. # C = Create maps to Insert, ModifyStatus Actions
  25. # R = Read   maps to Read Action
  26. # U = Update maps to Modify, Freeze, Unfreeze and ModifyStatus Actions
  27. # D = Delete maps to Remove, Destroy Actions
  28. # M = Manage maps to Control Action
  29. #
  30. # see page 86 for the explantion of the bitmap built here
  31.  
  32. set AllowedMap(C)            [expr 2|8|32|512]
  33. set AllowedMap(R)             8
  34. set AllowedMap(U)            [expr 16|128|256|512]
  35. set AllowedMap(D)            [expr 4|64]
  36. set AllowedMap(M)            1
  37.  
  38.  
  39. # At securityLevel level active the SuperUser Role in order to undefinedmap 
  40. # control actions. This can only done by the corporate owner (ot4omt?)
  41. # Note: this seems also possible by setting the M4 variable(s)
  42. # M4_corproles_<corpname> (and/or M4_projroles_<projname>)
  43. proc setSuperUser { securityLevel } {
  44.    $securityLevel activate "SuperUser" 
  45. }
  46.  
  47. #
  48. # Add the users from the global userlist to the Corporate Level
  49. #
  50. proc addUsers { corp } {
  51.     global userlist
  52.     foreach user $userlist {
  53.         puts "Addding User Name $user to the Corporate Level"
  54.         $corp createUser $user
  55.     }
  56. }
  57.  
  58. #
  59. # Add Roles on Corporate Level and connect listed users to the roles
  60. #
  61. proc addRolesAndUsers { securityLevel corp } {
  62.    # Users list per role are listed in the userroleinfo Array
  63.    # All Roles are listed as index in the roleinfo list
  64.    global userroleinfo
  65.    global roleinfo
  66.    set createdroles {}
  67.    foreach roleline $roleinfo {
  68.     set role [string trim [lindex $roleline 0]]
  69.     # Check if the role was not created yet, and skip to next role if so.
  70.     if { [lsearch $createdroles $role] != -1 } {
  71.            continue
  72.         } 
  73.         lappend createdroles $role
  74.     puts "Adding role '$role' to Corporate level ..."
  75.     set rolehnd [$corp createRole $role]
  76.     # Now add the Users for this role 
  77.         # It can be that there where no users defined for the Role..
  78.     if { [info exists userroleinfo($role)] == 1 } {
  79.            foreach user $userroleinfo($role) {
  80.           set tmp  [split $user ':']
  81.           set user [string trim [lindex $tmp 0]]
  82.           set def  [string trim [lindex $tmp 1]]
  83.           puts "    Adding user '$user' for Role '$role' ..."
  84.           if { "$def" == "N" } {
  85.              set use "defaultOff"
  86.               }
  87.           if { "$def" == "Y" } {
  88.              set use "defaultOn"
  89.               }
  90.           set urhnd [$securityLevel createUserRoleLink $user $rolehnd $use]
  91.            }
  92.         }
  93.    }
  95.  
  96. #
  97. # Define the access rights on the controlled (list) objects
  98. # maskout invalid actions if needed
  99. #
  100. proc ModifyAccess { obj role am pm um { islist 0 } } {
  101.  
  102.    # In case of a List Childright all the actions are valid
  103.    if { $islist } {
  104.       # Take care of the childrights of the list
  105.       $obj modifyNewChildRights $role $am $pm $um
  106.    }
  107.  
  108.    # Mask-out possible unvalid access rights for the (list) object
  109.    set validactions [$obj controlledActions]
  110.    set am           [expr $validactions & $am]
  111.    set pm           [expr $validactions & $pm]
  112.    set um           [expr $validactions & $um]
  113.    $obj modifyPermission $role $am $pm $um
  115.  
  116. proc setAccessRights { client project config role phasevers crudlist } {
  117.  
  118.    global AllowedMap
  119.    global ProhibitMap
  120.  
  121.    # Derive the allowed/prohibited/undefined maps from the crudlist
  122.     
  123.    # UNRESOLVED 24/02/95 alru/keru
  124.    # There are two ways to do this
  125.    #
  126.    # 1: allow the actions as specified and prohibit the inverse allowed map
  127.    # 2: undefine the actions as specified and prohibit the inverse undef map
  128.    #
  129.    # Some expirimenting is needed to see and check which option provides
  130.    # the best access scheme.
  131.    # One of the problems is that the default role always exists, and
  132.    # could lead to a prohibit, since the right was allowed to another role
  133.    set allowedmap 0
  134.    foreach access $crudlist {
  135.       set allowedmap  [expr $allowedmap|$AllowedMap($access)]
  136.    }
  137.    set prohibitmap  [expr 1023 - $allowedmap]
  138.    set undefinedmap 0
  139.  
  140.  
  141.    # Now we are ready to modify the Permission for this selected PhaseVersion
  142.    puts "\t\t\t>PhaseVersion"
  143.    ModifyAccess $phasevers $role $allowedmap $prohibitmap $undefinedmap
  144.  
  145.    # Besides protecting the phaseverion itself, we need to protect
  146.    # the 'versionable' object Phase
  147.    set phasehdl [$phasevers phase]
  148.    puts "\t\t\t>Phase"
  149.    ModifyAccess $phasehdl $role $allowedmap $prohibitmap $undefinedmap
  150.  
  151.    # Besides modifying access rights on the version itself, we need
  152.    # to modify the access rights for all new versions of the phase 
  153.    puts "\t\t\t>phaseVersionList"
  154.    set pvlhdl [$phasehdl phaseVersionList]
  155.    ModifyAccess $pvlhdl $role $allowedmap $prohibitmap $undefinedmap 1
  156.  
  157.    # The Other Controlled Lists (PhaseSystemLinkList & SystemList) are
  158.    # located in the class PhaseVersion.
  159.  
  160.    # Modify Access on the Controlled List PhaseSystemLinkList
  161.    puts "\t\t\t>PhaseSystemLinkList"
  162.    set psllhdl [$phasevers systemVersionLinkList]
  163.    ModifyAccess $psllhdl $role $allowedmap $prohibitmap $undefinedmap 1
  164.  
  165.    # Modify Access on the Controlled List systemList
  166.    puts "\t\t\t>systemList"
  167.    set systemlist [$phasehdl systemList] 
  168.    ModifyAccess $systemlist $role $allowedmap $prohibitmap $undefinedmap 1
  169. }
  170.  
  171. # Main Program
  172.  
  173. # Access via the ClientContext Class
  174. set client [ClientContext::global]
  175.  
  176. # Get the current security level from the client contect
  177. # used to activate/list the effective roles.
  178. set securityLevel [$client currentSecurityLevel]
  179.  
  180. # Get the Corporate handle from the ClientContext
  181. set corp  [$client currentCorporate]
  182. set cname [$corp name]
  183. setSuperUser $securityLevel
  184.  
  185. # Add the Indicated Users to the Corporate Level
  186. if { "$redef" == "" } {
  187.    addUsers $corp
  188. }
  189.  
  190. # Connect the Users to the defined Roles according the setupfile
  191. if { "$redef" == "" } {
  192.    addRolesAndUsers $securityLevel $corp
  193. }
  194.  
  195. # Define the Access Rights for the defined Roles
  196.  
  197. # Need to get thes from somewhere
  198.  
  199. foreach projconf $projectconf {
  200.  
  201.    set tmp [split $projconf ',']
  202.    set project [lindex $tmp 0]
  203.    set config  [lindex $tmp 1]
  204.  
  205.    # Now locate the current Phases of the Indicated project & configuration
  206.    # Go down to the Configuration Level to see the Phases
  207.    $client downLevel $project
  208.    set projhnd [$client currentProject]
  209.  
  210.    # In order to have access control rights to the Phase 
  211.    # setSuperUser also on the project security Level
  212.    set projectSecurityLevel [$client currentSecurityLevel]
  213.    setSuperUser $projectSecurityLevel
  214.  
  215.    # No go down to the Configuration Level (where the Phases are)
  216.    $client downLevel $config
  217.    set confhnd [$client currentConfig]
  218.    puts ""
  219.    puts "Project       : [$projhnd name]"
  220.    puts "Configuration : [$confhnd text]"
  221.    puts ""
  222.  
  223.    # Wildcards used in phase names, need to loop trough phase names
  224.    # of the current configuration, and expand the wildcard
  225.    foreach phasevers [$confhnd phaseVersions] {
  226.     set phasehdl [$phasevers phase]
  227.     set phasename [$phasehdl name]
  228.     puts "\tPhase $phasename"
  229.           foreach roleline $roleinfo {
  230.      set roleline   [split $roleline '|']
  231.          set role       [string trim [lindex $roleline 0]]
  232.             set phasepat   [string trim [lindex $roleline 1]]
  233.      # Check for string match
  234.      if { [string match "$phasepat" $phasename] } {
  235.             set tmpcrud   [string trim [lindex $roleline 2]]
  236.         set crudlist  [split $tmpcrud '-']
  237.         puts "\t\tSet AccessRights for role '$role' to $crudlist"
  238.             setAccessRights $client $project $config $role $phasevers $crudlist
  239.            }
  240.         }
  241.    }
  242.  
  243.    # go back to the Corporate Level for the next pass in this loop
  244.    $client upLevel
  245.    $client upLevel
  246. }
  247.