missing rights checks in service catalog

[btry]

see this thread: http://forum.glpi-project.org/viewtopic.php?id=158783

Bonjour,
Je souhaite mettre en place GLPI 9.1.6 + formcreator 2.5.2, j'ai créé plusieurs groupes afin d'envoyer les tickets créés par mes formulaires vers le groupe concerné.
Le soucis intervient lors de l'affichage des tickets créés, tous mes groupes voient tous les tickets, ils ne peuvent pas accéder aux tickets des autres groupes mais ils sont affichés.
Ce problème d'affichage n'intervient que lors de l'utilisation des catalogues de services simplifiés ou étendus.

[johnnydasilvavaz]

Bonjour,
Merci d'avoir ouvert le ticket je n'ai pas eu le temps de le faire.
En complément d'information le problème ne se produit que lors de l'utilisation de l'interface simplifiée dans le profil de l'utilisateur, en interface standard pas de soucis.

[btry]

Bonjour

J'ai besoin de savoir comment vous avez configuré vos profils d'interface simplifiée pour reproduire.

Avez vous coché la case Voir tickets des groupes ? Avez décoché d'autres cases ?

Je souhaite également savoir ce que vous entendez par envoyer les tickets créés par mes formulaires vers le groupe concerné. Quelle configuration se cache derrière ?

Une fois que j'aurai reproduit, je pourrai chercher la solution.

[johnnydasilvavaz]

Bonjour,

Voici une capture d'écran des droits configurés sur le profil en question.

Pour ce qui est de l'envoi des formulaires c'est juste que dans "destination" le ticket est attribué au groupe dans lequel se trouve l'utilisateur avec le profil simplifié.

[ladenree76000]

bonjour,
est ce que vos compteurs de tickets sont corrects ?
j'ai le même symptôme ( liste de tous les tickets même si je n'ai que "voir mes tickets") et les compteurs de tickets en haut à gauche sont aussi pour tous les tickets et pas "mes tickets";

j'ai trouvé un workaround pour le compteur (#709) en admettant que l'interface simplifiée et le catalogue de services n'est que pour "mes tickets".

pour la liste des tickets, je n'ai pas trouvé : j'ai juste pu ajouter le filtre par défaut mais l'utilisateur peut le modifier.

je ne vois pas dans la classe "issue" ce qui crée cette liste ( pour y ajouter and requester_id=".$_SESSION['glpiID'].")

ça serait plus propre de gérer en fonction du profil, ça serait un vrai fix mais je ne sais pas (encore) faire

[btry]

Bonjour

@ladenree76000
Il faut prendre en compte le fait que le catalogue de service ne manipule pas des tickets mais des "issues".

Votre problème et celui de @jin60 sont proches, mais pas identiques. Je pense que #709 devrait focaliser sur le problème de lenteur et qu'il faudrait créer un ticket distinct pour le problème de droit que vous avez.

[ladenree76000]

oui au départ j'avauis 2 problèmes dans le #709 :
-une lenteur due à mes 51000 issues
-le compteur qui affiche toutes les issues de tout le monde et la liste des issues qui affiche toutes les issues.
c'est pour le 2eme point que je me suis joint à ce post.

(cependant, en gérant les droits, j'ai moins d'issues à afficher et l'effet de bord est que ça va beaucoup plus vite : je n'ai aucun post only avec 51000 tickets )

[btry]

@jin60

J'ai créé deux utilsiateurs UA et UB avec le profil self-service, appartenant respectivement aux groupes GA et GB. ensuite j'ai créé deux formulaires FA et FB, assignant respectivement GA et GB.

Cela correspond il à votre situation ?

[johnnydasilvavaz]

Bonjour

Oui c'est bien ça sauf que UA et UB n'ont pas le même profil.

[btry]

@ladenree76000 : je pense avoir trouvé le bug pour votre cas.

@jin60 je pense que le même bug vous impacte (donc au final, vos deux problèmes auraient la même source).

C'est un bug qui a été corrigé dans GLPI 9.2, également corrigé à ce jour dans la branche 9.1/bugfixes, et qui pourra être résolu si GLPI 9.1.7 voit le jour.

Voilà la ligne fautive dans GLPI 9.1.6. Elle devrait être supprimée.
https://github.com/glpi-project/glpi/blob/9.1.6/inc/search.class.php#L2787

Voilà pour référence le commit où la ligne a été supprimée :
glpi-project/glpi@8ed23a8#diff-a801c52129f44d50ab6d1db9f049c4b7L2783

Je vous invite tous les deux à tester cela hors production et me faire un retour.

[johnnydasilvavaz]

Je confirme, testé à l'instant et l'affichage est correct.
Merci beaucoup.

[btry]

Parfait, merci.

J'ai aussi un retour positif en interne, il ne reste que le retour de @ladenree76000

[ladenree76000]

j'ai réinstallé formcreator 2.5.2 out of the box.
les compteurs affichent bien les tickets de l'utilisateur OK
la liste des tickets est celle dont l'utilisateur est demandeur ou observateur OK.
avec le profil voir les tickets de es groupes : OK
c'est rapide.

je vais vérifier que la correction n'introduit pas d'effet de bord sur l'interface GLPI mais ça ne concenerait à priori pas le plugin.

[btry]

je vais vérifier que la correction n'introduit pas d'effet de bord sur l'interface GLPI mais ça ne concernerait à priori pas le plugin.

Tout à fait d'accord. Je suis confiant vu que le code fautif contient clairement une incohérence.

Etant donné que le bug n'et pas dans le plugin, mais GLPI, qu'il est corrigé en 9.2 et que les prochaines releases du plugin ne seront comaptibles qu'avec GLPI 9.2 (sauf si on a besoin de releaser une 2.5.3) je pense qu'on peut clore ce ticket.

[btry]

Bonjour

Pas d'objection à ma proposition, donc je ferme.