Jeżeli w obiekcie istnieją chronione operacje, które może wykonywać tylko uprawniony użytkownik, wtedy obiekt zawiera również kartę "
Uprawnienie". Karta ta zawiera listę wszystkich uprawnień danego obiektu, nie może być zmienienia przez użytkownika i jest zależna od rodzaju obiektu (np. poszczególne akcje listy praw dostępu obiektu
PmaRoot w karcie "
Uprawnienia" będą inne niż akcje w liście praw dostępu obiektu
PmaPanel w karcie "
Uprawnienia").
Przy pomocy przycisku
Edycja uprawnień można dla każdego uprawnienia edytować listę uwierzytelnionych grup użytkowników, dla których dana operacja będzie zezwolona.
Dzięki przyszeregowywaniu poszczególnych uprawnień w obiektach poszczególnym
grupom użytkowników (a nie poszczególnym użytkowników czy lokalnym czy sieciowym) można w prosty sposób dodawać i odejmować użytkowników jak lokalnych tak i sieciowych. Użytkowników tych następnie trzeba przyszeregować do odpowiednich grup użytkowników i nie są konieczne żadne zmiany w poszczególnych obiektach. Zmiany użytkowników wykonuje się centralnie w karcie "
Użytkownicy". Grupy posiadają w ten sposób znaczenie logiczne i są wykorzystywane właśnei do definicji uprawnień (np.
$ADMIN,
$OPER,
GUESTS, itd.).
Przegląd systemowych użytkowników i grup użytkowników:
$ANY: systemowa grupa użytkowników, przedstawia dowolnego lokalnego lub sieciowego użytkownika (zalogowany, niezalogowany).
$ANY_LOCAL: systemowa grupa użytkowników, przedstawia dowolnego użytkownika lokalnego (zalogowany, niezalogowany).
$ANY_NET: systemowa grupa użytkowników, przedstawia dowolnego użytkownika sieciowego (zalogowany, niezalogowany).
$ADMIN: systemowa grupa użytkowników, przedstawia grupę użytkowników z uprawnieniami administratora.
$OPER: systemowa grupa użytkowników, przedstawia grupę użytkowników z uprawnieniami zwykłej obsługi.
$NOUSER_LOCAL: użytkownik systemowy, przedstawia niezalogowanego użytkownika lokalnego.
$NOUSER_NET: użytkownik systemowy, przedstawia niezalogowanego użytkownika sieciowego.
W zasadzie istnieją dwie możliwości powstania wymógu na wykonanie zabezpieczonej operacji w uruchomionej aplikacji:
- wymóg powstał lokalnie: lista grup użytkowników w uprawnieniach zostanie porównana z na bieżąco zalogowanym użytkownikiem
- wymóg powstał w sieci: lista grup użytkowników w uprawnieniach zostanie porównana z użytkownikiem sieciowym dane którego znajdują się w wymógu na wykonanie danej operacji
Weryfikacja uprawnień zalogowanego użytkownika do wykonania zapezpieczonej operacji. Właściwa weryfikacja jest wykonywana w następujących krokach:
1) Określenie czy zapotrzebowanie na wykonanie operacji powstało lokalnie lub w sieci.
2) Określenie identyfikatora użytkownika lokalnego lub użytkownika sieciowego, który wywołał zapotrzebowane. W przypadku kombinacji użytkownika sieciowego uwierzytalnianego poprzez nazwę i hasło i użytkownika sieciowego uwierzytelnianego poprzez adres IP mogą być dwa identyfikatory.
3) Porównanie identyfikatora użytkownika z grupami użytkowników w uprawnieniach. Wykonanie operacji jest zezwolone jeżeli użytkownik jest członkiem którejkolwiek z uprawnionych grup użytkowników. W przypadku dwu identyfikatorów użytkowników jest wykonywane porównanie dla każdego identyfikatora osobno i wystarczy, jeżeli sukcesem zakończy się dowolne z nich.
Wszelkie porównania podczas wyszukiwania obecności identyfikatora użytkownika w grupach użytkowników są zakończone sukcesem zaraz po odnalezieniu dowolnej grupy użytkowników, której użytkownik jest członkiem.
Jeżeli natomiast użytkownik nie zostanie odnaleziony na całej liście, wtedy wyszukanie kończy się niepowodzeniem i wykonani eoperacji nie jest dozwolone.