]> git.proxmox.com Git - pve-access-control.git/blobdiff - PVE/AccessControl.pm
only add Permissions.Modify to SysAdmin role
[pve-access-control.git] / PVE / AccessControl.pm
index 72ec12dc455a3fc45a36e673cadbc96b5a6e6874..331823e3b5130aa77b01d4187fad8e920070d441 100644 (file)
@@ -540,7 +540,6 @@ my $privgroups = {
            'VM.Modify', 
            'VM.Allocate', 
            'VM.Migrate',
-           'Permissions.Modify',
        ],
        user => [
            'VM.Console', 
@@ -554,12 +553,11 @@ my $privgroups = {
        root => [
            'Sys.PowerMgmt',     
            'Sys.Modify', # edit/change node settings
-           'Sys.UserAdd', # add/delete users
        ],
        admin => [
+           'Permissions.Modify',
            'Sys.Console',    
            'Sys.Syslog',
-           'Sys.UserMod', # modify users settings
        ],
        user => [],
        audit => [
@@ -567,11 +565,10 @@ my $privgroups = {
        ],
     },
     Datastore => {
-       root => [
+       root => [],
+       admin => [
            'Datastore.Allocate',
-           'Permissions.Modify',
        ],
-       admin => [],
        user => [
            'Datastore.AllocateSpace',
        ],
@@ -579,6 +576,15 @@ my $privgroups = {
            'Datastore.Audit',
        ],
     },
+    User => {
+       root => [],
+       admin => [
+           'User.Modify',
+           'User.Allocate',
+       ],
+       user => [],
+       audit => [],
+    },
 };
 
 my $valid_privs = {};
@@ -653,12 +659,14 @@ sub add_role_privs {
 sub normalize_path {
     my $path = shift;
 
-    $path =~ s|/+|/|;
+    $path =~ s|/+|/|g;
 
     $path =~ s|/$||;
 
     $path = '/' if !$path;
 
+    $path = "/$path" if $path !~ m|^/|;
+
     return undef if $path !~ m|^[[:alnum:]\-\_\/]+$|;
 
     return $path;
@@ -906,6 +914,44 @@ sub parse_user_config {
            } else {
                warn "user config - ignore invalid path in acl '$pathtxt'\n";
            }
+       } elsif ($et eq 'pool') {
+           my ($pathtxt, $comment, $vmlist, $storelist) = @data;
+
+           if (my $path = normalize_path($pathtxt)) {
+               # make sure to add the pool (even if there are no members)
+               $cfg->{pools}->{$path} = { vms => {}, storage => {} } if !$cfg->{pools}->{$path};
+
+               $cfg->{pools}->{$path}->{comment} = PVE::Tools::decode_text($comment) if $comment;
+
+               foreach my $vmid (split_list($vmlist)) {
+                   if ($vmid !~ m/^\d+$/) {
+                       warn "user config - ignore invalid vmid '$vmid' in pool '$path'\n";
+                       next;
+                   }
+                   $vmid = int($vmid);
+
+                   if ($cfg->{vms}->{$vmid}) {
+                       warn "user config - ignore duplicate vmid '$vmid' in pool '$path'\n";
+                       next;
+                   }
+
+                   $cfg->{pools}->{$path}->{vms}->{$vmid} = 1;
+                   
+                   # record vmid ==> pool relation
+                   $cfg->{vms}->{$vmid} = $path;
+               }
+
+               foreach my $storeid (split_list($storelist)) {
+                   if ($storeid !~ m/^[a-z][a-z0-9\-\_\.]*[a-z0-9]$/i) {
+                       warn "user config - ignore invalid storage '$storeid' in pool '$path'\n";
+                       next;
+                   }
+                   $cfg->{pools}->{$path}->{storage}->{$storeid} = 1;
+               }
+
+           } else {
+               warn "user config - ignore invalid path in pool'$pathtxt'\n";
+           }
        } else {
            warn "user config - ignore config line: $line\n";
        }
@@ -1128,6 +1174,16 @@ sub write_user_config {
 
     $data .= "\n";
 
+    foreach my $path (keys %{$cfg->{pools}}) {
+       my $d = $cfg->{pools}->{$path};
+       my $vmlist = join (',', keys %{$d->{vms}});
+       my $storelist = join (',', keys %{$d->{storage}});
+       my $comment = $d->{comment} ? PVE::Tools::encode_text($d->{comment}) : '';      
+       $data .= "pool:$path:$comment:$vmlist:$storelist:\n";
+    }
+
+    $data .= "\n";
+
     foreach my $role (keys %{$cfg->{roles}}) {
        next if $special_roles->{$role};
 
@@ -1196,6 +1252,9 @@ sub write_user_config {
 sub roles {
     my ($cfg, $user, $path) = @_;
 
+    # NOTE: we do not consider pools here. 
+    # You need to use $rpcenv->roles() instead if you want that.
+
     return 'Administrator' if $user eq 'root@pam'; # root can do anything
 
     my $perm = {};
@@ -1244,18 +1303,14 @@ sub roles {
            $perm = $new; # overwrite previous settings
            next;
        }
-
-       #die "what herea?";
     }
 
-    my $res = {};
-    if (!defined ($perm->{NoAccess})) {
-       $res = $perm; 
-    }
+    return ('NoAccess') if defined ($perm->{NoAccess});
+    #return () if defined ($perm->{NoAccess});
    
     #print "permission $user $path = " . Dumper ($perm);
 
-    my @ra = keys %$res;
+    my @ra = keys %$perm;
 
     #print "roles $user $path = " . join (',', @ra) . "\n";