MediaWiki/Extension/Lockdown
The Lockdown extension implements a way to restrict access to specific namespaces and special pages to a given set of user groups. This provides a more finely grained security model than the one provided by the default $wgGroupPermissions and $wgNamespaceProtection settings.
The following pages about the security model used by MediaWiki per default may be helpful to understand the instructions below: * Manual:User rights
Installation
- herunter Sie die Datei(en) Lockdownin deiner extensions/Mappe.
- Fügen Sie den folgenden Code am Ende Ihrer LocalSettings.php hinzu :
wfLoadExtension ( 'Lockdown' ); - Konfigurieren Sie nach Bedarf
- "Jawohl" Fertig – Navigieren Sie in Ihrem Wiki zu Special:Version , um zu überprüfen, ob die Erweiterung erfolgreich installiert wurde.
Aufgrund von Problemen (siehe auch dieses Thema ) scheint diese Erweiterung mit MediaWiki 1.27.x bis 1.30.x nicht wie erwartet zu funktionieren. Diese Probleme wurden jedoch für MediaWiki 1.31 und höher behoben!
Beispiel
So verwenden Sie Lockdown für Folgendes: * Zugriff auf Spezial:Export für eingeloggte Benutzer (registrierte Benutzer) verhindern
- Bearbeitung des Projektnamensraums auf eingeloggte Benutzer beschränken (registrierte Benutzer)
Sie können dann Folgendes verwenden:
$wgSpecialPageLockdown [ 'Exportieren' ] = [ 'Benutzer' ]; $wgNamespacePermissionLockdown [ NS_PROJECT ][ 'edit' ] = [ 'user' ];
Siehe unten für eine Erklärung und weitere Beispiele.
Konfiguration
Beachten Sie, dass die Lockdown-Erweiterung nur verwendet werden kann, um den Zugriff einzuschränken, nicht um ihn zu gewähren. Wenn der Zugriff durch eine integrierte Einstellung von MediaWiki verweigert wird, kann er nicht mit der Lockdown-Erweiterung zugelassen werden.
$wgSpecialPageLockdown
$wgSpecialPageLockdownkönnen Sie für jede spezielle Seite festlegen, welche Benutzergruppen Zugriff darauf haben. Um beispielsweise die Verwendung von Special:Export auf angemeldete Benutzer zu beschränken, verwenden Sie this in LocalSettings.php:
$wgSpecialPageLockdown [ 'Exportieren' ] = [ 'Benutzer' ];
Beachten Sie, dass einige spezielle Seiten "nativ" eine bestimmte Berechtigung erfordern. Zum Beispiel erfordert Special:MovePage, das zum Verschieben von Seiten verwendet werden kann, das " move"-Berechtigung (wird standardmäßig nur angemeldeten Benutzern gewährt). Diese Einschränkung kann nicht mit der Lockdown-Erweiterung aufgehoben werden.
Einige spezielle Seitentitel werden nicht so groß geschrieben, wie sie im Wiki erscheinen. Zum Beispiel ist Special:Recent C hanges Recent um es einzuschränken, brauchen Sie:
$wgSpecialPageLockdown [ 'Letzte Änderungen' ] = [ 'Benutzer' ];
Eine vollständige Liste spezieller Seitentitel finden Sie in der MessagesEn.php Datei $specialPageAliasesarray) oder verwenden Sie alternativ das "siteinfo" API-Modul wie zB /api.php?action=query&meta=siteinfo&siprop=specialpagealiases in Ihrem Wiki.
$wgActionLockdown
$wgActionLockdownkönnen Sie für jede Aktion welche Benutzergruppen Zugriff darauf haben. Um beispielsweise die Verwendung der Verlaufsseite auf angemeldete Benutzer zu beschränken, verwenden Sie dies in LocalSettings.php:
$wgActionLockdown [ 'Verlauf' ] = [ 'Benutzer' ];
Beachten Sie, dass einige Aktionen auf diese Weise nicht gesperrt werden können. Insbesondere wird es nicht für die funktionieren ajaxHandlung.
$wgNamespacePermissionLockdown
$wgNamespacePermissionLockdownkönnen Sie einschränken, welche Benutzergruppen welche Berechtigungen für welchen Namensraum haben. Um beispielsweise nur Mitgliedern der Sysop-Gruppe Schreibzugriff auf den Projekt-Namespace zu gewähren, verwenden Sie Folgendes:
$wgNamespacePermissionLockdown [ NS_PROJECT ][ 'edit' ] = [ 'sysop' ];
Platzhalter für den Namensraum oder die Berechtigung (aber nicht beide gleichzeitig) werden unterstützt. Spezifischere Definitionen haben Vorrang:
$wgNamespacePermissionLockdown [ NS_PROJECT ][ '*' ] = [ 'sysop' ]; $wgNamespacePermissionLockdown [ NS_PROJECT ][ 'read' ] = [ '*' ];
$wgNamespacePermissionLockdown [ '*' ][ 'move' ] = [ 'autoconfirmed' ];
Die ersten beiden Zeilen beschränken alle Berechtigungen im Namensraum des Projekts auf Mitglieder der Sysop-Gruppe, erlauben aber dennoch das Lesen für jedermann. Die dritte Zeile begrenzt die Seite in allen Namespaces auf Mitglieder der automatisch bestätigten Gruppe.
Beachten Sie, dass Sie auf diese Weise keine Berechtigungen erteilen können , die nicht durch die integrierte $wgGroupPermissions-Einstellung zugelassen wurden. Folgendes nicht , Änderungen im Haupt-Namespace zu überwachen:
$wgNamespacePermissionLockdown [ NS_MAIN ][ 'Patrouille' ] = [ 'Benutzer' ];
Stattdessen müssten Sie dieses Recht zuerst in $wgGroupPermissions vergeben und es dann mit $wgNamespacePermissionLockdown wieder einschränken:
$wgGroupPermissions [ 'Benutzer' ][ 'Patrouille' ] = true ;
$wgNamespacePermissionLockdown [ '*' ][ 'patrouille' ] = [ 'sysop' ]; $wgNamespacePermissionLockdown [ NS_MAIN ][ 'Patrouille' ] = [ 'Benutzer' ];
Beachten Sie, dass beim Einschränken des Lesezugriffs auf einen Namespace die Einschränkung leicht umgangen werden kann, wenn der Benutzer Lesezugriff auf einen beliebigen anderen Namespace hat: Indem eine lesegeschützte Seite als Vorlage eingefügt wird, kann sie sichtbar gemacht werden. Um dies zu vermeiden, müssten Sie die Verwendung von Seiten aus diesem Namensraum als Vorlagen verbieten, indem Sie die ID des Namensraums zu $wgNonincludableNamespaces hinzufügen :
$wgNamespacePermissionLockdown [ NS_PROJECT ][ 'read' ] = [ 'user' ]; $wgNonincludableNamespaces [] = NS_PROJEKT ;
Sie können Lockdown natürlich auch mit benutzerdefinierten Namespaces verwenden, die mit $wgExtraNamespaces :
// benutzerdefinierte Namespaces definieren $wgExtraNamespaces [ 100 ] = 'Private' ; $wgExtraNamespaces [ 101 ] = 'Privatgespräch' ;
// "Lese"-Berechtigung auf angemeldete Benutzer beschränken $wgNamespacePermissionLockdown [ 100 ][ 'read' ] = [ 'user' ]; $wgNamespacePermissionLockdown [ 101 ][ 'read' ] = [ 'user' ];
// verhindern, dass Seiten aus diesem Namespace aufgenommen werden $wgNonincludableNamespaces [] = 100 ; $wgNonincludableNamespaces [] = 101 ;
Beachten Sie, dass benutzerdefinierte Namespaces immer paarweise definiert werden sollten, der eigentliche Namespace (mit einer geraden ID) und der zugehörige Talk-Namespace (mit einer ungeraden ID).
Wenn Sie Konstanten verwenden möchten, um auf Ihre Namespaces zu verweisen, müssen Sie diese definieren:
// Konstanten für Ihre benutzerdefinierten Namespaces definieren, für eine besser lesbare Konfiguration define ( 'NS_PRIVATE' , 100 ); definieren ( 'NS_PRIVATE_TALK' , 101 );
// benutzerdefinierte Namespaces definieren $wgExtraNamespaces [ NS_PRIVATE ] = 'Private' ; $wgExtraNamespaces [ NS_PRIVATE_TALK ] = 'Privatgespräch' ;
// "Lese"-Berechtigung auf angemeldete Benutzer beschränken $wgNamespacePermissionLockdown [ NS_PRIVATE ][ 'read' ] = [ 'user' ]; $wgNamespacePermissionLockdown [ NS_PRIVATE_TALK ][ 'read' ] = [ 'user' ];
// Einschluss von Seiten aus diesem Namespace verhindern $wgNonincludableNamespaces [] = NS_PRIVATE ; $wgNonincludableNamespaces [] = NS_PRIVATE_TALK ;
Sie könnten auch array_fill() , um mehrere Namespaces auf einmal einzuschränken, z. B. wenn Sie die Namespaces 0 bis 2009 auf die Bearbeitung nur durch Sysops beschränken wollten:
$wgNamespacePermissionLockdown = array_fill ( 0 , 2010 , [ 'edit' => [ 'sysop' ] ] );
$wgNamespacePermissionLockdown vs. $wgActionLockdown
$wgActionLockdownwird wesentlich früher (im MediaWikiPerformAction-Hook ) im Request-Handling-Prozess überprüft als $wgNamespacePermissionLockdown(was im getUserPermissionsErrors-Hook ).
Wenn eine Aktion das $wgActionLockdownnicht zulassen versucht wird, wird ein Berechtigungsfehler angezeigt. Ebenfalls, $wgNamespacePermissionLockdownteilt dem Endbenutzer mit, welche Gruppen die Aktion ausführen dürfen.
Gruppen
können Sie steuern, welcher Benutzer zu welchen Gruppen gehört Special:Userrights . Es werden nur bestehende Gruppen vorgeschlagen, aber Sie können eine neue Gruppe "erstellen", indem Sie einen Eintrag dafür in $wgGroupPermissions erstellen (auch wenn Sie dort eigentlich keine Berechtigung setzen müssen, aber sie muss auf der linken Seite erscheinen des Arrays). Zum Beispiel:
$wgGroupPermissions [ 'somegroupname' ][ 'read' ] = true ;
Weitere Informationen finden Sie unter Hilfe:Benutzerrechte , Handbuch:Benutzerrechte und Handbuch:Benutzerrechteverwaltung .
Zusätzliche Maßnahmen
Bilder und andere hochgeladene Dateien können weiterhin angezeigt und auf jeder Seite eingefügt werden. Schutzmaßnahmen für den Image-Namensraum verhindern dies nicht. Sie Handbuch: Bildautorisierung Informationen zum Verhindern des unbefugten Zugriffs auf Bilder Siehe auch: * NSFileRepo
Bekannte Probleme
Es ist bekannt, dass Lockdown für MW 1.27.x bis 1.30.x gebrochen wurde [1 ]. Mögliche Nebenwirkungen der Verwendung sind: * Unvollständige Liste der Namespaces, die unter der Registerkarte Erweitert von Special:Search und auf der speziellen Seite für ReplaceText angezeigt werden
- Das Suchfeld bietet für bestimmte Namensräume keine automatische Vervollständigung mehr an
Eine Problemumgehung besteht möglicherweise darin, alle Namespaces unter $wgContentNamespaces aufzulisten , aber der Erfolg ist nicht garantiert. Eine andere vorübergehende Lösung besteht darin, eine Version vor den Breaking Commits zu verwenden, wie in Topic:Tr4xxpln3fnpz3eu beschrieben .
Siehe auch
- Kategorie:Erweiterungen für Benutzerrechte
- GroupManager (BlueSpice) - zum Hinzufügen, Bearbeiten und Löschen von Benutzergruppen
- PermissionManager (BlueSpice) - zur Verwaltung von Benutzerrechten auf Benutzergruppen
- UserProtect – Ermöglicht pro Benutzer pro Recht pro Seite Schutz
- AccessControl - Ermöglicht das Einschränken des Zugriffs auf bestimmte Seiten und Dateien
- CategoryLockdown – Ermöglicht das Einschränken des Zugriffs nach Kategorie und Gruppe