Salve a tutta la comunità,
mi scuso se propongo un problema già in qualche modo risolto, ma ad una prima ricerca non ho trovato risposte al mio problema.
Ho creato un nuovo utente che potrà effettuare la login al sito ma non voglio che possa cambiare la password, perchè l'utenza servirà a più persone. Io avrei preferito creare un'utenza per ogni persona, con la sua brava password da modificare/richiedere, come vuola la filosofia Drupal, ma chi decide ha preferito per non complicarsi la vita fare un'utenza unica. A me però la vita è stata complicata, perchè già vedo qualcuno in vena di fare scherzi che cambia la password! Ho messo il mio indirizzo e-mail come indirizzo a cui inviare la password, almeno per avere la visibilità in tempo reale di quel che succede, però preferirei disabilitare del tutto la possibilità di richiedere una nuova password dalla pagina user.
Grazie
Daniela
Come eliminare la pagina 'Richiedi nuova password?'
Lun, 16/04/2007 - 15:04
#1
Come eliminare la pagina 'Richiedi nuova password?'
Convinci chi decide che è la cosa più sbagliata che possa fare, digli che almeno (con utenze multiple) ogniuno è respondsabile di ciò che fa, per esempio se uno rilascia informazioni sensibili) con l'utenza unica come fai a provare chi è stato? Per non parlare dei problemi di accesso contemporaneo...
Se proprio devi fare così potresti intervenire sul codice del modulo, ma poi se uno accede con il link diretto? Mi sa che fai prima ad inibire l'accesso alla pagina utente a livello di .htaccess, anche se IMHO è una PESSIMA (a dir poco) soluzione.
Ciao
Marco
--
My blog
Working at @agavee
Salve Mavimo,
purtroppo ci ho provato e non è possibile procedere diversamente. Ma dipingo meglio la situazione. Il sito di cui si parla (www.aias-suiseki.it) è il sito di un associazione, di cui anch'io faccio parte (e saremo in tutto una trentina di persone), che si occupa di un arte, alquanto bizzarra, che riguarda i suiseki, cioè le belle pietre. Poichè l'unica utenza che può entrare è la mia, con il ruolo di amministratore del sito, ho per prima cosa disabilitato la possibilità di creare nuove utenze; quindi è un sito per i soli visitatori anonimi, da navigare ma non implementabile da parte dei visitatori. Adesso però l'associazione ha voluto fare una pagina visualizzabile ai soli soci in regola con l'iscrizione; non vogliono n utenze per la difficoltà di avere in tempo reale, ad inizio anno, la situazione di chi è in regola con la quota associativa e chi no. A inizio anno io dovrò cambiare la password, che verrà comunicata solo a chi sarà in regola con l'iscrizione. Neanche il visitatore socio che si logga avrà la possibilità di pubblicare/modificare i contenuti del sito; potrà solo vedere una pagina che i visitatori anonimi non vedranno. In questo contesto non è poi così grave avere un'unica utenza per n persone, tanto non possono fare nulla!
L'unico guaio che possono combinare è cambiare la password, che impedirebbe poi agli altri soci di entrare, anche se io appena avvertita potrei ripristinare la password originaria. Ma ... preferirei evitare !!!
Non ho però ben capito tecnicamente il tuo suggerimento, nè quale può essere il problema dovuto ad eventuali accessi contemporanei con la stessa utenza, immagino.
Grazie e farò tesoro di qualunque consiglio o suggerimento
Daniela
Assegna al tuo utente un ruolo specifico che andrai a creare automaticamente, dopodichè scarica il modulo Path Access, abilitalo, e alle impostazioni del modulo, (nella 5 dovresti averle sotto Gestione Utenti) specifica per il tuo ruolo creato che non vuoi fargli visualizzare la pagina delle impostazioni utente (che dovrebbe essere ?q=user/user_id).
Ovviamente puoi aggiungere anche altre pagine...
Per far scomparire l'accesso alla pagina di richiesta nuova pass puoi tramite CSS nascondere la voce del link e inserire come vietata questa pagina (?q=user/password) sia per l'utente non autenticato che per quello appartenente al ruolo specificato prima...
Ciao TheCrow,
i'm sorry, ma non ho capito se si tratta di due modalità operative diverse(la prima tramite Path Access, la seconda tramite il vietrae la pagina) oppure se si tratta di un unico modo che prevede due passi diversi.
Tra l'altro ho omesso un'informazione importante : il sito è in Drupal 4.7 : me ne scuso, è un errore da principiante.
Comunque, non ho capito bene la seconda parte del suggerimento, che mi sembra una bella dritta, sempre che con la 4.7 si possa fare : il ruolo lo avevo già creato, perchè è così che ho disabilitato all'utente 'Socio' tutto e di più, tranne la visualizzazione dei contenuti, ma dove posso vietare la pagina "?q=user/password" ?
Daniela
Ciao, anche io ho fatto una cosa del genere per un associazione con 4 tipi di utenze differenti (Guest/R-O/R-W/Admin), e proprio per questo ho attivato più utenze (con i privilegi di sola lettura e pubblicazione commenti, ma questo non importa) e a inizio anno (dopo 15 gg dallo scadere del pagamento quote, ma qui poi decidi tu) disabilito tutti gli utenti che non sono in regola, fai conto che su 200 persone al max a me è capitato di averne una 50 da bloccare e una 10 da aggiungere, poi man mano riattivo quelle che pagano e se non pagano vengono lasciati bloccati fino a fine anno, se ancora non hanno pagato vengono depennati dal libro soci (nel nostro statuto è specificato che uno può pagare la quota anche il 31/12, quindi non li posso eliminare prima).
Lasciando un unica utenza, se in sola lettura, non dovresti avere problemi con gli accessi contemporanei, ma nel momento in cui vorrai dargli i permessi di scrittura di commenti? o se qualcuno manda in giro la password anche a gente che non c'entra nulla? nel momento in cui hai utenze diverse lo becchi sbito, altrimenti non puoi far altro che prenderne atto e dare una nuova password a tutti... insomma a me pare una cosa vveramente pessiama (scusa se mi ripeto..).
Credo che creare 30 utenze all'inizio e aggiungere man mano quelle che te lo chiedono non sia un così grosso problema, anzi.
Ciao
Marco
--
My blog
Working at @agavee
Ciao Mavimo,
per me non è certo un problema, anzi, è la prima cosa che come 'webmaster' ho consigliato, anzi l'avevo dato per scontato! Chi si è spaventato è stata l'associazione, quando ho chiesto, per procedere alla creazione delle utenze, l'elenco aggiornato dei soci. Ho spiegato che si aumentava la sicurezza ma... non mi hanno ascoltato, probabilmente perchè non hanno ancora un elenco aggiornato dei soci, e sanno che sarà così fino a fine anno. Vabbè, a me non resta che limitare i danni impedendogli l'unica cosa che possono fare, la modifica della password, altrimenti tra curiosi e dispettosi non farò altro che ripristinare passwords; per quanto riguarda eventuali modifiche al sito, non ne possono fare, e così sarà per sempre, visto che non vogliono implementare forum, eccetera. Non c'è neanche la possibilità di lasciare commenti!!! Vacci a dare un'occhiata : www.aias-suiseki.it
Daniela
Con lo stesso modulo devi disattivare sia le pagine del profilo che quella relativa al recupero password se vuoi che nessuno la cambi in seguito...
Il modulo Path Access è disponibile allo stesso indirizzo anche per la 4.7, solo che durante l'installazione ho dovuto creare le tabelle a mano, (nonostante fosse incluso il file .install) e ho dovuto anche caricare il modulo path. Inoltre come da avviso devi anche scaricare e installare Role Weights.
Fatto questo se vai all'indirizzo ?q=admin/access/path/ ti da una scheda dove per ogni ruolo creato puoi impedire l'accesso a un insieme di pagine o lasciare che coloro che appartengono a un dato ruolo possono visitare solo le pagine che metti in lista.
Mi sembra l'unico modulo che possa aiutarti.
Anche se non avete un elenco soci aggornato non è un problema, man mano che arrivano si aggiungono (ci si mette 10 sec ;) ), se proprio non vuoi farli aspettare puoi date una spece di codice da inserire nella richiesta di attivazione, se il codice è corretto far generare in automatico l'utente. In ogni caso la scelta sta a voi, fate come volete.
Ciao
Marco
--
My blog
Working at @agavee
Ciao TheCrow,
ho una versione del sito in locale e quindi ho subito cominciato a fare le prove : ho scaricato i moduli Path_access e Role_Weights, ho eseguito gli script di creazione tabelle, ma quando abilito il modulo Path_access mi da questo errore :
Fatal error: Call to undefined function: drupal_bootstrap() in c:\programmi\easyphp1-7\www\aias\modules\path_access\path_access.module on line 32
Se asterisco la chiamata drupal_bootstrap() rifunziona ma in realtà non so poi se il modulo funzionerà correttamente.
Bah, è tardi, adesso vado a casa, domani guarderò se la comunità mi salva ancora una volta...
Daniela
Forse non mi sono spiegata, io non conto niente nell'associazione,posso dare un consiglio informatico ma è poi la presidenza che decide ed io mi devo adeguare. Tra l'altro per me era molto più semplice creare 30 utenze piuttosto che rompere voi della comunità, studiare le soluzioni proposte, scaricare i moduli consigliati , provare il tutto in locale, e solo se è tutto OK rifare tutto sul sito on line!
Oppure no?
Magari mi dessero 'sti benedetti nomi dei soci!
Daniela
Scusa, non era mia intenzione farti innervosi, solo ceh credevo he facendo parte del'assciazione teenssero in considerazioni i pareri di chi ne sa qualce cosa (in questcaso tu), evidentemente non è così :P
Se vuoi una soluzione veloce dopo aver fatto tutto apri il modulo user e commnta il codice all'interno della funzione di cabiamento password (o lascialo solo per l'utente 1, ovvero l'admin, ovvero). In questo modo sicuramente non possono modificare la password in nessun modo.Se poi vuoi nascondere anche il link puoi, da ciss impostarlo come hidden.
Non è una soluzoine pulità, ma la più veloce che mi viene in mente.
Ciao
Marco
--
My blog
Working at @agavee
Path che fa parte del core di Drupal?
Che minor version della 4.7 hai? (sulla 4.7.6 in locale non ho avuto questo problema, magari prova ad aggiornare).
Per caso hai attiva la cache?
Ok, pare che dopo aver fatto un pò di impicci i tuoi suggerimenti abbiano dato il risultato voluto!
Primo, altro che 4.7 .... il sito l'ho fatto più di un anno fa e mi ero dimenticata che è addirittura la 4.6.3. Quindi ho scaricato il modulo path_access corretto, il modulo role_weights c'è solo a partire dalla 4.7 quindi... è quello che ho utilizzato. In effetti non ho la possibilità di impostare per ogni ruolo il peso però pare che non gliene importi granchè, anche perchè nel file install c'erano da fare due insert e io le ho fatte, per non sbagliare!
Path era abilitato, comunque, e la cache disabilitata.
Dopo qualche difficolta a capire dove si impostavano le pagine permesse/vietate per ruolo (pensa, negli alias degli url!) e per capire la sintassi corretta per l'identificazione della pagina..... funziona tutto!!! Ovviamente in locale.
Fa solo una cosa strana : se l'utente cerca di visualizzare una delle pagine vietate, viene visualizzato un messaggio di errore in inglese "You are not authorized to access this page." e da quel momento in poi alcuni link sono visualizzati in inglese : Esci diventa log out, Entra diventa log in, eccetera. Con il modulo Locale ho fatto la traduzione della frase ma senza risultati. E' una di quelle stupidaggini che dopo aver fatto tanto rischia di vanificare tutto!
L'unico suggerimento che non ho capito riguarda la modifica al css, immagino tu intenda il foglio di stile. Innanzitutto, quale? Quello del tema oppure drupal.css? E poi, cosa devo mettere a hidden?
Ci siamo quasi....
Daniela
tranquillo! Anzi, anche le discussioni non propriamente tecniche possono essere interessanti per tutti! Tra l'altro, ripeto di essere perfettamente d'accordo con te, sulla convenienza di creare n utenze per n persone, ma anche ieri sera mi è stato detto : 'Ma così una volta fatto il lavoro è per sempre, mentre nell'altro modo ogni anno devi lavorare per allineare le utenze con le iscrizioni'. Senza parole.
Vabbè, sembra che con i vostri suggerimenti io sia riuscita a disabilitare le pagine pericolose assai, quindi grazie!
Daniela
Per la versione 4.6 il modulo Role Weight non mi è servito e il percorso per arrivare alla pagina delle configurazioni stavolta è ?q=admin/path/access (per la cronaca).
La pagina dell'errore la puoi personalizzare dalle impostazioni sotto ?q=admin/settings (errore 403).
Per quanto riguarda la voce di menù che si ritrasforma in inglese, invece di tradurla col modulo localization vai direttamente sotto ?q=admin/menu e traducila da li.
Il css da modificare è quello che viene incluso nelle tue pagine, dipende dal tema che usi, credo che drupal.css venga incluso in tutti i temi ma non garantisco niente, al limite fai una ricerca testuale nel sorgente generato dai temi che usi per il sito.
Avevo suggerito di nascondere le voci sul blocco di login relative alla richiesta password, puoi farlo riadattando il codice seguente dopo aver sostituito l'esatto id del tuo blocco login:
#block-user-0 .content .item-list {visibility:hidden;
height:0;
}
Ne sai di cose, tu! Drupal mi pare una scatola piena di possibilità che non finisci mai di scoprire, se hai un pò di tigna per incaponirti sulle cose oppure se qualcuno ti dà delle dritte. A chi mi dice che con Drupal tutti possono fare un sito senza essere dei programmatori rispondo sempre che forse ci fai un sitino standard ma prova a spiegare cosa è un foglio di stile a chi non è del mestiere e già si perdono. Sono piena di amici non informatici che hanno voluto che gli spiegassi l'ABC di Drupal ma che poi hanno mollato subito. E' un prodotto completo e complesso, se lo vuoi manovrare bene.
Allora, il problema delle voci che si trasformano in inglese dopo che si cerca di visualizzare una pagina non autorizzata si è eliminato da solo dopo aver creato una pagina di default per l'errore 403.
L'eliminazione del link 'Richiedi nuova password' dal blocco di login ha funzionato e mi servirà per il futuro , ma per questo sito avevo già disabilitato il blocco di login perchè comunque non doveva essere un sito loggabile se non da me amministratore, e mi prendeva troppo spazio sulle colonne di ds/sn. L'accesso con login viene effettuato tramite una voce di menu a cui ho associato il percorso "user".
Mi pare tutto; grazie e spero un domani, chissà, di poter aiutare un mio pari inesperto come hai fatto tu!
Daniela
Mavimo, tanto per farti capire con chi a volte si deve collaborare, mi sono dimenticata di raccontarti una chicca... E' un anno che ho realizzato il sito, in via assolutamente amichevole, per la mia associazione, ed è un anno che dico che qualcun'altro, oltre me, dovrebbe sapere come fare modifiche e pubblicare contenuti, perchè se a me prende un coccolone o se mi sfragno con la macchina sul GRA (...può succedere...) l'associazione si ritrova con un bel giocattolo inutilizzabile. Ma è fiato sprecato: per pigrizia e/o per paura nessuno si è proposto di affiancarmi, e l'unica cosa che si è fatto è la creazione di un'utenza diversa dalla mia abilitata al ruolo di amministratore, almeno se diparto improvvisamente sanno come entrare! Ma chi entrerà cosa sarà capace poi di fare???? Spero proprio di non dipartire........
Daniela
Hehehe...immagino; io ho fatto una bella busta con i parametri di accesso e chiusa, consegnata al segretario, dicendo ceh non mi prendo responsabilità se succede qualceh cosa e la busta è aperta, ma almeno se dovesse succedermi qualche cosa (SGRAT SGRAT) possono accedere lo stesso, se poi non c'è nessuno che sappia dove mettere mano proprio non ci posso fare nulla :D
Ciao
Marco
--
My blog
Working at @agavee