ovirt笔记：基于ovirt4.0的虚拟资源管理的权限分析

前言

虚拟资源管理平台是在ovirt4.0的基础上开发的，从原有的一个admin用户扩展成三个管理员用户和普通用户，下面简单分析一下其实现权限管理的原理。

数据库表

主要包括三张表：roles（角色表）、roles_group(角色与操做组关系表)、permissions（权限表）
角色RoleType有五种：SystemAdmin、SecurityAdmin、AuditAdmin、UserRole、QuotaConsumer

• roles

• roles_group角色与操做组关系表（操做组id就是actionGroup中的id，也就是动做组的id,）

• permissions权限信息表(也至关于角色和用户的关联表，表示某个用户拥有对某个操做对象的权限，操做对香指存储，虚拟机，模板等对象)

定义操做：

经过VdcActionType进行操做自定义，经过枚举设置操做与操做组的从属关系，而ActionGroup是定义操做组（或者说动做组）
好比瘦客thinClient做为一个操做组，则其包括好多种操做，好比登陆VdcLogin和退出VdcLogout等等

// VdcLogin
    VdcLogin(5003, ActionGroup.THINCLIENT, QuotaDependency.NONE),
    VdcLogout(5004, ActionGroup.THINCLIENT, QuotaDependency.NONE),

• 经过00500_insert_roles.sql初始化角色权限

• 权限验证事务：系统中全部操做Command都提供getPermissionCheckSubjects方法，用来定义执行操做的权限列表

permissionList权限列表中，包含权限对象PermissionSubject,权限对象的属性以下：

• 在系统的各类command的执行时，会检测权限，每一个操做Command执行，必须定义操做权限列表，不然会直接提示没有操做权限：

• 最终经过存储过程进行权限查询get_entity_permissions

知足权限的条件判断（1,2必须知足，3,4,5知足其中一个）

1. 系统登陆用户系统登陆用户(user_id) 所属的 角色(role)，必须与 操做组(action_group_id) 在 roles_groups 表中有对应关系

role_id IN( SELECT role_id FROM roles_groups WHERE action_group_id = v_action_group_id)
2.必须拥有须要删除的虚拟机的权限（ 或者 所属群集、数据中心的权限。有待探讨）
AND (object_id IN(SELECT id FROM fn_get_entity_parents(v_object_id,v_object_type_id)))
3.功能分配了everyone权限
v_everyone_object_id := getGlobalIds('everyone');
ad_element_id = v_everyone_object_id
4.功能分配了该登陆用户的权限
ad_element_id = v_user_id
5.功能分配了该登陆用户所属用户组的权限
ad_element_id IN(SELECT * FROM getUserAndGroupsById(v_user_id)

权限的增长和删除：

经过 AddPermissionCommand操做添加权限

经过RemovePermissionCommand的paramPermission操做删除权限，根据权限ID删除
getDbFacade().getPermissionDao().remove(perms.getId());