]> git.proxmox.com Git - pve-access-control.git/blobdiff - PVE/API2/User.pm
projects / pve-access-control.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
use User.Allocate instead of User.Add/User.Delete
[pve-access-control.git] / PVE / API2 / User.pm
diff --git a/PVE/API2/User.pm b/PVE/API2/User.pm
index 6504ab9f29bbdf0bbe4f4165be94cf6aa920418d..6f4aff1c84b19baa9c6218d0bb7e926f3c95a7fb 100644 (file)
--- a/PVE/API2/User.pm
+++ b/PVE/API2/User.pm
@@ -37,7 +37,10 @@ __PACKAGE__->register_method ({
     path => '', 
     method => 'GET',
     description => "User index.",
-    permissions => { user => 'all' },
+    permissions => { 
+       description => "The returned list is restricted to users where you have 'User.Modify' or 'User.Allocate' permissions on '/access' or on a group the user belongs too. But it always includes the current (authenticated) user.",
+       user => 'all',
+    },
     parameters => {
        additionalProperties => 0,
        properties => {
@@ -67,7 +70,7 @@ __PACKAGE__->register_method ({
 
        my $res = [];
 
-       my $privs = [ 'User.Modify', 'User.Delete' ];
+       my $privs = [ 'User.Modify', 'User.Allocate' ];
 
        my $canUserMod = $rpcenv->check_any($authuser, "/access", $privs, 1);
        my $groups = $rpcenv->filter_groups($authuser, $privs, 1);
@@ -98,6 +101,10 @@ __PACKAGE__->register_method ({
     protected => 1,
     path => '', 
     method => 'POST',
+    permissions => { 
+       description => "You need 'User.Allocate' permissions to '/access/groups/<group>' for any group specified, or 'User.Allocate' on '/access' if you pass no groups.",
+       check => ['userid-group', ['User.Allocate'], groups_param => 1],
+    },
     description => "Create new user.",
     parameters => {
        additionalProperties => 0,
@@ -176,6 +183,9 @@ __PACKAGE__->register_method ({
     path => '{userid}', 
     method => 'GET',
     description => "Get user configuration.",
+    permissions => { 
+       check => ['userid-group', ['User.Modify']],
+    },
     parameters => {
        additionalProperties => 0,
        properties => {
@@ -212,6 +222,9 @@ __PACKAGE__->register_method ({
     protected => 1,
     path => '{userid}', 
     method => 'PUT',
+    permissions => { 
+       check => ['userid-group', ['User.Modify'], groups_param => 1 ],
+    },
     description => "Update user configuration.",
     parameters => {
        additionalProperties => 0,
@@ -289,7 +302,7 @@ __PACKAGE__->register_method ({
     method => 'DELETE',
     description => "Delete user.",
     permissions => { 
-       check => ['userid-group', ['User.Delete']],
+       check => ['userid-group', ['User.Allocate']],
     },
     parameters => {
        additionalProperties => 0,
Access control framework