Тестирование прав пользователей. DAX 4.0.

[petergunn]

С согласия автора первоначальной реализации, после некоторой модификации выкладываю проект для тестирования прав групп пользователей и настроек RLS использовавшийся на внедрении Dynamics Ax 4.0. Фактически это программный запуск клиента Dynamics Ax под некоторым логином (что ранее практиковалось консультантами в 3.0 для целей проверки прав).
Основная идея реализации основана на временной подмене SID для тестируемого логина пользователя Dynamics Ax:
Amand: Доступ в Microsoft Dynamics AX 4.0 без Active Directory

В параметрах необходимо указать конфигурационный файл (экспортировать из Microsoft Dynamics AX Configuration Utility) с которым запускалось приложение.

[sukhanchik]

Навеяло этой темой. Решил выложить модификацию сей утилиты (да простят меня ее авторы, что я ее немного переработал)
Исходная версия утилиты работала следующим образом:
1. Подменялся SID у нужного пользователя
2. Запускалась новая Аксапта с параметром /WAIT, т.е. исходное приложение ожидало завершение нового приложения
3. SID менялся обратно.

У данного алгоритма есть 2 существеных недостатка.
1. Если что-то где-то как-то сбойнет и исходное приложение вылетит до завершения нового, то потом придется ручками в БД возвращать на место SIDы
2. Как показала практика - не стоит трогать SID у пользователя Admin, т.к. это может привести к результатам из п.1

Ну и конечно - хочется чтобы была одна кнопка на стандартной форме пользователей.

В связи с этим - алгоритм изменился на следующий:
1. Идет проверка на запрет запуска утилиты из под Admin-а и от имени Admin-а
2. Подменяется SID у тестируемого пользователя (как было)
3. Если Аксапта запускалась через конфигурационный файл (в командной строке был указан axc-шник) - то новая Аксапта запускается с этим же конфигурационным файлом. Если конфигурационного файла не было - то Аксапта запускается с тем же портом, что и исходная, но в usr-слое и другими параметрами по умолчанию. Аксапта запускается без параметра WAIT, т.е. исходное приложение не ожидает завершения нового.
4. После запуска новой Аксапты исходная система "ловит" новую запись этого SIDа, сделанную в таблице SysClientSessions. В процессе "ловли" она ждет 10 секунд появления этой записи. Если не дожидается - то выдает запрос - "Подождать/Отменить?", после чего либо снова ждет, либо возвращает SIDы на место. В любом случае - либо после отмены в запросе, либо после перехвата записи - исходный SID возвращается на место.

Таким образом, получается, что таблица UserInfo несет в себе некорректные записи только на этапе запуска второй Аксапты и последовательно можно запустить несколько Аксапт под разными пользователями. Пользователь, под которым запущена вторая Аксапта может быть и отключен после запуска - это никак не влияет на его работоспособность (все проверяется только при запуске).
Поэтому, считаю, что модификация данной утилиты сделает ее более безопасной в использовании.

Ну и конечно все вынесено в отдельную кнопку, которая вешается на стандартную форму SysUserInfo (\Администрирование\Пользователи).

[Vadik]

Я сейчас наверное какую-нибудь глупость спрошу, но Run as на уже настроенном ярлыке чем не устраивает?

[sukhanchik]

Необходимость сей утилиты осознаешь - когда настраиваешь права пользователей.

RunAs обладает 2 недостатками:
1. Нужно знать пароль пользователя (внедренец будет собирать пароли пользователей, особенно после запуска?)
2. Нужно иметь этого пользователя в AD (заказчик прям так и кидается дать внедренцу полные права в AD ). Либо (если дело происходит на локале) - надо создавать кучу пользователей самому (особенно, если тестируется функционал, напрямую зависящий от различных ролей пользователей)
А так - можно иметь тестового пользователя и на нем отлаживать права групп пользователей, рлсы и т.д.

[Ivanhoe]

Цитата:

Сообщение от Vadik

Я сейчас наверное какую-нибудь глупость спрошу, но Run as на уже настроенном ярлыке чем не устраивает?

А можно по-подробнее, как сделать Run as на ярлыке? На ax32.exe - понятно, а как на *.axc? или на *.cmd, когда много разных версий Аксапты?

[AlexArh]

Цитата:

Сообщение от Ivanhoe

А можно по-подробнее, как сделать Run as на ярлыке? На ax32.exe - понятно, а как на *.axc? или на *.cmd, когда много разных версий Аксапты?

Вместо прямого запуска *.axc используйте ярлык на ax32.exe с указанием файла конфигурации в качестве параметра. Что то вроде:
"C:\Program Files\Microsoft Dynamics AX\40\Client\Bin\Ax32.exe" "Путь\Конфиг_Файл.axc"

[blokva]

Цитата:

Сообщение от Ivanhoe

А можно по-подробнее, как сделать Run as на ярлыке? На ax32.exe - понятно, а как на *.axc? или на *.cmd, когда много разных версий Аксапты?

можно, например, вот такой .cmd файлик забомбить:

PHP код:

runas /savecred /user:userName@domainName "\"C:\Program Files\Microsoft Dynamics AX\40\Client\Bin\Ax32.exe\" \"С:\Program Files\Microsoft Dynamics AX\40\Client\work4.axc\"" 


первый раз спросит пароль а потом запомнит (если политика позволяет конечно )

[Link]

Цитата:

Сообщение от sukhanchik

Навеяло этой темой. Решил выложить модификацию сей утилиты (да простят меня ее авторы, что я ее немного переработал)
Исходная версия утилиты работала следующим образом:
1. Подменялся SID у нужного пользователя
2. Запускалась новая Аксапта с параметром /WAIT, т.е. исходное приложение ожидало завершение нового приложения
3. SID менялся обратно.

У данного алгоритма есть 2 существеных недостатка.
1. Если что-то где-то как-то сбойнет и исходное приложение вылетит до завершения нового, то потом придется ручками в БД возвращать на место SIDы
2. Как показала практика - не стоит трогать SID у пользователя Admin, т.к. это может привести к результатам из п.1

Ну и конечно - хочется чтобы была одна кнопка на стандартной форме пользователей.

В связи с этим - алгоритм изменился на следующий:
1. Идет проверка на запрет запуска утилиты из под Admin-а и от имени Admin-а
2. Подменяется SID у тестируемого пользователя (как было)
3. Если Аксапта запускалась через конфигурационный файл (в командной строке был указан axc-шник) - то новая Аксапта запускается с этим же конфигурационным файлом. Если конфигурационного файла не было - то Аксапта запускается с тем же портом, что и исходная, но в usr-слое и другими параметрами по умолчанию. Аксапта запускается без параметра WAIT, т.е. исходное приложение не ожидает завершения нового.
4. После запуска новой Аксапты исходная система "ловит" новую запись этого SIDа, сделанную в таблице SysClientSessions. В процессе "ловли" она ждет 10 секунд появления этой записи. Если не дожидается - то выдает запрос - "Подождать/Отменить?", после чего либо снова ждет, либо возвращает SIDы на место. В любом случае - либо после отмены в запросе, либо после перехвата записи - исходный SID возвращается на место.

Таким образом, получается, что таблица UserInfo несет в себе некорректные записи только на этапе запуска второй Аксапты и последовательно можно запустить несколько Аксапт под разными пользователями. Пользователь, под которым запущена вторая Аксапта может быть и отключен после запуска - это никак не влияет на его работоспособность (все проверяется только при запуске).
Поэтому, считаю, что модификация данной утилиты сделает ее более безопасной в использовании.

Ну и конечно все вынесено в отдельную кнопку, которая вешается на стандартную форму SysUserInfo (\Администрирование\Пользователи).

Спасибо!
Обновил для 2009 версии. Тестировалось на SP1 RU7.

[kalex]

Тот же самый проект, перенесенный на AX 2012.

[Oz]

Цитата:

Сообщение от kalex

Тот же самый проект, перенесенный на AX 2012.

Коллеги! А есть ли у кого-нибудь положительный опыт использования это утилиты на DAX 2012?
Как я вижу, сессия под другим пользователем запускается. Однако, так как непосредственно после её старта запускающая сессия должна возвращать SID'ы пользователей на место, запущенная сессия оказывается нежизнеспособна - любые попытки что то открыть на ней приводят к немедленному падению.
Удалось ли кому-нибудь побороть этот эффект и таки воспользоваться этой полезной фичей?

[Ivanhoe]

У меня работает. После переноса на 2012 какую-то мелочь пришлось поправить в коде.

[Oz]

Т.е. таких проблем сразу не было?
Уточню: у вас DAX 2012 R3?

[Link]

Если вам нужно тестирование прав, то для 2012 МС выпустил утилиту Security Development Tool . Мы используем на R2, полёт нормальный.

[Ivanhoe]

Утилита хороша, но как проверить в ней пересечение нескольких ролей?

Привожу код метода, который у меня работал и на R2, и сейчас работает на R3.

X++:

public boolean runas(UserId _userId)
{
    UserInfo                            locUserInfo;
    UserInfo                            tmpUserInfo;

    UserInfo                            userInfoRunAs;
    UserInfo                            tmpUserInfoRunAs;

    FileName                            fileConfiguration;
    int                                 iResult;
    int64                               numSessions;
    SysClientSessions                   sysClientSessions;
    int                                 timeStart;
    OverwriteSystemfieldsPermission     permission;
    xInfo                               xInfo = new xInfo();

    #WinAPI
    #Admin
    ;

    if(_userid == curuserid() || _userId == #AdminUser || curuserid() == #AdminUser)
    {
        throw error("!!!"); // тут метка про невозможность запуска
    }

    permission = new OverwriteSystemfieldsPermission();
    permission.assert();

    tmpUserInfo.setTmp();  //  для временного хранения текущего состояния
    tmpUserInfoRunAs.setTmp();
    try
    {
        ttsbegin;
        locUserInfo = xUserInfo::find(true, curuserid());
        tmpUserInfo.data(locUserInfo);

        userInfoRunAs = xUserInfo::find(true, _userId);
        tmpUserInfoRunAs.data(userInfoRunAs);

        //  подменить network привязку login'а
        userInfoRunAs.networkDomain = locUserInfo.networkDomain;
        userInfoRunAs.networkAlias = locUserInfo.networkAlias;
        userInfoRunAs.sid = locUserInfo.sid;
        userInfoRunAs.enable = NoYes::Yes;

        if(userInfoRunAs.validateWrite())
           userInfoRunAs.update();

        //  отключить активность текущего пользователя
        locUserInfo.sid = '';
        locUserInfo.enable = NoYes::No;

        if(locUserInfo.validateWrite())
           locUserInfo.update();
        ttscommit;
    }
    catch
    {
        return false;
    }


    fileConfiguration = '"' + xInfo::configuration() + '"';
    if (!WinApi::fileExists(fileConfiguration))
    {
        fileConfiguration = '-aos2=' + strreplace(conpeek(SysEmailSMTPPassword::currentAOSInstance(), 1), '@', ':');
    }
    select count(RecId) from sysClientSessions
        where sysClientSessions.userId    == userInfoRunAs.Id   &&
              sysClientSessions.sid       == userInfoRunAs.sid  &&
              sysClientSessions.Status    == 1;
    numSessions = sysClientSessions.RecId;
    iResult = WinAPI::shellExecute(xInfo::componentName(), fileConfiguration, '', #ShellExeOpen, #SW_SHOWNORMAL, false);

    if (iResult)
    {
        sysClientSessions.disableCache(true);
        timeStart = timenow();
        do
        {
            select count(recId) from sysClientSessions
                where sysClientSessions.userId    == userInfoRunAs.Id   &&
                      sysClientSessions.sid       == userInfoRunAs.sid  &&
                      sysClientSessions.Status    == 1;
            if (abs(timenow() - timeStart) > 10)
            {
                if (box::yesNo("...", DialogButton::No) == DialogButton::Yes) // тут текст, что клиент не успел стартовать - ждать еще или нет
                {
                    timeStart = timenow();
                }
                else
                {
                    break;
                }
            }
        }
        while (sysClientSessions.RecId <= numSessions);
    }

    //  восстановить исходное состояние данных
    ttsbegin ;
    locUserInfo        = xUserInfo::find(true, curuserid());
    locUserInfo.enable = tmpUserInfo.enable;
    locUserInfo.sid    = tmpUserInfo.sid;
    locUserInfo.defaultPartition = tmpUserInfo.defaultPartition;

    if(locUserInfo.validateWrite())
       locUserInfo.update();

    userInfoRunAs                   = xUserInfo::find(true, _userId);
    userInfoRunAs.networkDomain     = tmpUserInfoRunAs.networkDomain;
    userInfoRunAs.networkAlias      = tmpUserInfoRunAs.networkAlias;
    userInfoRunAs.sid               = tmpUserInfoRunAs.sid;
    userInfoRunAs.enable            = tmpUserInfoRunAs.enable;
    userinfoRunAs.defaultPartition  = tmpUserInfoRunAs.defaultPartition;

    if(userInfoRunAs.validateWrite())
       userInfoRunAs.update();
    ttscommit;

    CodeAccessPermission::revertAssert();

    return !iResult;
}

[Lusietta]

Добрый день, а как бы реализовать этот проект в 3.0?

[raz]

Цитата:

Сообщение от Lusietta

Добрый день, а как бы реализовать этот проект в 3.0?

Повторный логин без перезапуска аксапты

[Lusietta]

спасибо, буду пробовать

[Link]

Цитата:

Сообщение от Ivanhoe

Утилита хороша, но как проверить в ней пересечение нескольких ролей?

Я добавляю нужные роли к тестируемой в узел Sub Roles. Так можно тестировать сразу несколько ролей. В принципе достаточно удобно.