Help us understand the problem. What is going on with this article?

Redmineを読み取り専用にしたいけど、どうしよう?

More than 3 years have passed since last update.

はじめに

この記事は、Unofficial Redmine Cooking の2016年度版アドベントカレンダー用記事も兼ねております。
Unofficial Redmine Cooking のサイトについては、末尾にご案内します。合わせてご興味のある方はご覧いただけると幸いです!

脈絡ないですが、いつもRedmine作業ふくめRubyMineにがお世話になっていますので、「るびまい子さん」(勝手キャラ)を添えてみました...。

るびまい子さん.png

それでは、以下、内容です。

やりたいこと

やりたいこと:

  • Redmineの参照は許可するけれど、更新は全て止めたい

理由 / 背景:

  • サーバの移転・移行により新サーバにデータを同期させる間、データの整合性を担保するため更新を防ぎたい
  • ただし、チケットやWikiは参照させたいため、Sorryページへの切り替えやメンテナンスプラグインの利用でない方法をとりたい

予算や潤沢なリソース(マシン)があって、切り替えが瞬断〜1時間くらいで済むのなら、このような作業は不要かと思います。
以前管理者をしていた際には、そこまでの環境は準備できなかったため、Redmineのメジャーバージョンアップの際は一ヶ月くらい前から日程を決めてアナウンスをしておき、準備を重ねた上でメンテナンス・バージョンアップを行なっていました。
方法自体はよくある新しいサーバに環境を構築しておき、ある時点からのデータを新環境側に同期させた上でDNS切り替え、というものでした。

Redmine以外での方法など

一番の目的は「書き込みを阻止したい」です。必ずしも、技術的な対応でなくとも、ユーザさんに周知の上で運用で更新を回避することができれば、それが良いのかなと思います。

ただ、どうしてもAPI経由でプログラムなどで更新がリクエストされてしまうことはあります。
そのあたり厳密に対応するために、当時考えていたのはこのようなことでした。(今はもっと楽で良い方法がいろいろあると思います!)

  • DBでの対応が可能なら、読み取り専用モードにする
  • 更新系のリクエスト (CRUD) を受け付けないようにフロント、Webサーバ側の設定を調整する

ただし、POSTを阻止してしまうとログインができなくなったりしますし、DBの読み取り専用モードでも、認証や監査対応などでデータをなにかしらのテーブルに書き込みが必要なケースもあるあもしれません。
ということで、もう1つ考えられるのが、ユーザのパーミッションを落としてしまう、というもの。

つまり、View xxxxx だけに変更してしまうというものです。

Viewのパーミッションだけに絞る

Redmineの権限は、ロールベースになっています。Rolesテーブルを見て判断になりますので、ここをいじればよさそうです。
ですが...。

  • permissionsという列に権限セットが格納されている
  • 正規化はされておらず、1つのフィールドにyaml形式のデータで権限がベタ書きされている

数個〜数十個以上ある権限を調整するのは大変です。なので、こんな感じでやればいいかとおもいます。

1. Read Only用のロール作成

View_xxxx (必要に応じてShow xxx) の権限セットを持った、Read Only用のロールを作ります。
設定はGUIの管理画面から実施です。
チェックボックスで選択する権限以外にも、ユーザ表示やプライベートチケットの参照用権限もありますが、今回の件はそちらはいじらないままにします。

permissions-set.png

出来上がったpermissionsの内容はこの通り。
実際は、プラグイン導入だと権限セットが増えてしまいますが、最低限プロジェクト、チケット、Wikiの閲覧は可能です。

- :view_calendar
- :view_documents
- :view_files
- :view_gantt
- :view_issues
- :view_changesets
- :browse_repository
- :view_time_entries
- :view_wiki_pages
- :view_wiki_edits

2. その他のロールのpermissionsを修正

さて、メンテナンスでRead Onlyに切り替えたい時間がやってきました。
何をするかというと、そう。ReadOnlyロールと同等の内容にその他のRoleのpermissionsを書き換えてしまうのです。

もしこの対象のRedmineを、メンテナンス後はそのまま使いたいということであれば、権限を元に戻さないといけません。
その場合にそなえて、Rolesテーブルは一時テーブルや別スキーマにバックアップさせておきましょう^^;

以下の権限は、permissions列とは別の列で定義されています。ここを調整してしまうと、たとえばプロジェクトのプライベートチケットが見えなくなったりしてしまいます。ここは更新には関わらないので、そのままにしておきます。

  • Issue visibillity
  • Time logs visibility
  • Users visibility
  • All roles managed

SQLで修正する場合

DBにも依存しますが、このような感じ。

UPDATE roles 
  SET permissions = (SELECT permissions 
                      FROM roles 
                      WHERE id = 6 
                      AND name = 'ReadOnly')
6 rows affected in 33ms

update-by-sql.png

Consoleで修正してみる場合

rails consoleを利用することもできます。
また、同じサーバのメンテナンスのみでメンテナンス終了後は権限をもとに戻したい場合は、別の作業用のディレクトリに REDMINE_ROOTをコピーしておき、そこからconsoleだけ起動して操作でもいいかもしれません。
(rebootさせるような場合には利用できないので、SQLで実施、権限はバックアップ用テーブルに書き出しておき、あとで戻すのが良いと思います)

$ export RAILS_ENV=production
$ bundle exec rails c

# consoleのセッションの中でバックアップ用のオブジェクトを用意
>> backup_permissions = {}
>> Role.find_each { |role| backup_permissions[role.id] = role.permissions }

# 中身確認
>> backup_permissions

# ReadOnlyロールの中身抽出
>> readonly_permissions = Role.find_by_name('ReadOnly').permissions

# 権限変更!
>> Role.find_each { |role| role.permissions = readonly_permissions; role.save! }

# 作業が終わったので権限をもどす
>> Role.find_each { |role| backup_permissions[role.id] = role.permissions }

以下は、RubyMineからrails consoleを起動して設定を適用している例です。

rails-console.png

consoleを利用する場合は、別にunicornやwebrickのプロセス起動(Webのサービスを起動)する必要はありません。
また、もし本番環境のDBと手元の端末が接続できるとか、ポートフォワードでDBとの接続だけでも利用できるなら、ご自身のマシンからrails consoleだけ実行したりもできます。

このあたりは運用の方針(DBや本番環境へのアクセスが厳密に規定されているとか)によって実施できる環境が変わるかと思います。
sshでリモート接続して作業される場合は、screen等でセッションが切れてもrails consoleのプロセスが消えないようにしておくといいかと思います。

適用後のサンプル

こちらは、権限を落とした場合:

readonly-jsmith.png

こちらは、権限を戻したあと:

rollback-jsmith.png

このような感じになります。

やっぱり運用でカバー&ユーザさんを信用する場合

さて、思いつく方法を考えてみましたが、やっぱり面倒くさい...。
「書き込みしないでね」というアナウンスは十分に行なったし、ユーザさんの良識を信用してそのままメンテナンスする場合もふくめ、ぜひBanner Pluginをご活用いただけたらと思います。

use-banner.png

View Customize Pluginを使って、更新系のボタンをdisabledに置き換えてしまう、というのもありかもしれませんね。

よろしければ、こちらの記事もご覧になってみてくださいね。

それでは!

備考:Unofficial Redmine Cooking について

Redmineを運用されている方は、少なからず公式サイトでは載っていないような一部改造・カスタマイズするといった経験はお持ちではないかと思います。そういったノウハウを蓄積して、各自がRedmineをより効率的に活用できることを目指したサイトになります。

この記事は、上記サイトのアドベントカレンダー企画への参加として書かせていただきました。

過去の経験を元にしていますので、今ではもっと便利な方法があったり、クラウド環境だから気にしないという方も多いと思います。
「わたしの環境ではこういう方法を取っていますよ!」というのもあれば、ぜひコメントなどいただけると幸いです!
(札束で解決、というのももちろんOK!)

akiko-pusu
コツコツと学習しながらのメモを書いています。Redmineのプラグイン開発に関連するものが多めです。記事にご興味を持っていただけたら嬉しいです!
https://daily-postit.hatenablog.com
crowdworks
21世紀の新しいワークスタイルを提供する日本最大級のクラウドソーシング「クラウドワークス」のエンジニアチームです!
https://crowdworks.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした