Context Navigation

← Previous Change
Wiki History
Next Change →

Changes between Version 1 and Version 2 of TracFineGrainedPermissions

Timestamp:: Sep 2, 2019, 4:56:56 PM (5 years ago)
Author:: trac
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

TracFineGrainedPermissions

-              v1
+              v2
+= Fine grained permissions
 [[PageOutline(2-5, Contents, floated)]]
+= 粒度が細かいパーミッション = #Finegrainedpermissions
+Trac 0.11 より前は、リポジトリブラウザ サブシステムだけで「粒度が細かいパーミッション (fine grained permissions)」を定義することができました。
+.11 以降、カスタマイズした **パーミッションポリシーのプラグイン** を各所に使用するための共通のメカニズムが導入されたので、すべての種類の Trac リソースのあらゆるアクションについて、そのリソースの特定バージョンのレベルまで含めて許可/拒否を設定できるようになりました。
+Note: Trac 0.12 では、 `authz_policy` はオプションモジュールとして実装されました( `tracopt.perm.authz_policy.*` 配下 ) 。したがって、デフォルトでインストールされ、 Trac の管理 Web インタフェースの //プラグイン// パネルで簡単に有効にすることができます。
+== パーミッションポリシー == #PermissionPolicies
+様々なパーミッションポリシーを実装することができます。 Trac にはいくつかの例を同梱しています。
+現在有効なポリシーは TracIni の中で設定されているコンフィグレーションによって決定します:
+例
+{{{
+[trac]
+permission_policies = AuthzSourcePolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
+}}}
+このリストの1番目の [#AuthzSourcePolicy] ポリシーについては、下記に記載しています。続く !DefaultPermissionPolicy では、 TracPermissions に記載されている従来型の粒度が粗いパーミッションチェックを行ないます。そして3番目の !LegacyAttachmentPolicy は添付ファイルに対して、粒度の粗いパーミッションチェックを行ないます。
+使用可能なオプションの選択肢として、 Authz 形式のシステムにてとても一般的なパーミッションポリシーを提供する [#AuthzPolicy] があります。
+詳細については、 [trac:source:branches/0.12-stable/tracopt/perm/authz_policy.py authz_policy.py] を参照して下さい。
+もう一つの評判のよいパーミッションポリシーである、 [#AuthzSourcePolicy] は pre-0.12 で再実装され、新しいシステムでは、 Subversion のリポジトリに限定して粒度の細かいパーミッション設定をサポートするようになりました。
+その他の例については、 [trac:source:branches/0.12-stable/sample-plugins/permissions sample-plugins/permissions] を参照して下さい。
+=== !AuthzPolicy === #AuthzPolicy
+==== 設定方法 ==== #Configuration
+* [http://www.voidspace.org.uk/python/configobj.html ConfigObj] をインストールする (0.12 でも必要)
+* authz_policy.py を plugins にコピーする  (Trac 0.11でのみ必要)
+* [http://swapoff.org/files/authzpolicy.conf authzpolicy.conf] ファイルを適当な場所 (望ましくは、 Web サーバ起動ユーザ以外が読み取りできないセキュアな領域) に配置する。ファイルに非ASCII文字が含まれる場合は UTF-8 で保存してください
+* `trac.ini` ファイルをアップデートする:
+. `[trac]` セクションの [TracIni#trac-section permission_policies] を編集する
+{{{
+[trac]
+...
+permission_policies = AuthzPolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
+}}}
+. 新規に `[authz_policy]` セクションを追加する
+{{{
+[[TracGuideToc]]
+There is a general mechanism in place that allows custom **permission policies** to grant or deny any action on any Trac resource, or even specific versions of a resource.
+That mechanism is `AuthzPolicy`, an optional component in `tracopt.perm.authz_policy.*` which is not activated by default. It can be activated via the //Plugins// panel in the Trac administration module.
+See TracPermissions for a more general introduction to Trac permissions and permission policies.
+== Permission Policies
+A great diversity of permission policies can be implemented and Trac comes with a few examples.
+The active policies are determined by a [TracIni#trac-permission_policies-option configuration setting]:
+{{{#!ini
+[trac]
+permission_policies = DefaultWikiPolicy,
+ DefaultTicketPolicy,
+ DefaultPermissionPolicy,
+ LegacyAttachmentPolicy
+}}}
+* [#DefaultWikiPolicyandDefaultTicketPolicy DefaultWikiPolicy] controls readonly access to wiki pages.
+* [#DefaultWikiPolicyandDefaultTicketPolicy DefaultTicketPolicy] provides elevated privileges in the ticket system for authenticated users.
+* !DefaultPermissionPolicy checks for the traditional coarse-grained permissions described in TracPermissions.
+* !LegacyAttachmentPolicy uses the coarse-grained permissions to check permissions on attachments.
+Among the optional choices, there is [#AuthzPolicy], a very generic permission policy, based on an Authz-style system. See
+[trac:source:branches/1.4-stable/tracopt/perm/authz_policy.py authz_policy.py] for details.
+Another permission policy [#AuthzSourcePolicy], uses the [http://svnbook.red-bean.com/nightly/en/svn.serverconfig.pathbasedauthz.html path-based authorization] defined by Subversion to enforce permissions on the version control system.
+See also [trac:source:branches/1.4-stable/sample-plugins/permissions sample-plugins/permissions] for more examples.
+=== !AuthzPolicy
+==== Configuration
+* Put an empty conf file (`authzpolicy.conf`) in a secure location on the server, not readable by users other than the webuser. If the  file contains non-ASCII characters, the UTF-8 encoding should be used.
+* Update your `trac.ini`:
+. modify the [TracIni#trac-permission_policies-option permission_policies] option in the `[trac]` section:
+{{{#!ini
+[trac]
+permission_policies = AuthzPolicy, DefaultWikiPolicy, DefaultTicketPolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
+}}}
+. add a new `[authz_policy]` section and point the `authz_file` option to the conf file:
+{{{#!ini
 [authz_policy]
 authz_file = /some/trac/env/conf/authzpolicy.conf
 }}}
 . [/admin/general/plugin WebAdmin]でプラグインを有効にするか、 `[components]` のセクションを編集する
 {{{
+. enable the plugin through [/admin/general/plugin WebAdmin] or by editing the `[components]` section:
+{{{#!ini
 [components]
-...
-# Trac 0.12
 tracopt.perm.authz_policy.* = enabled
+# for Trac 0.11 use this
+#authz_policy.* = enabled
+}}}
+==== 使用方法 ==== #UsageNotes
+パーミッションポリシーを指定する順序はとても重要です。
+ポリシーは設定された順序で評価されます。
+個々のポリシーはパーミッションチェックに対して `True`, `False`, `None` を返します。 ポリシーが明示的にパーミッションを許可する場合は、 `True` を返します。明示的に拒否する場合は、 `False` を返します。そして、パーミッションを許可も拒否もできない場合、 `None` が返されます。
+Note: 戻り値が `None` の場合のみ、 ''次の'' パーミッションポリシーに問い合わせを行います。
+どのポリシーも明示的にパーミッションを許可しない場合、最終的な結果は `False` となります
+(つまり、権限なしとみなされます)。
+`authzpolicy.conf` は `.ini` スタイルの設定ファイルです:
+{{{
+}}}
+==== Usage Notes
+Note the order in which permission policies are specified: policies are implemented in the sequence provided and therefore may override earlier policy specifications.
+A policy will return either `True`, `False` or `None` for a given permission check. `True` is returned if the policy explicitly grants the permission. `False` is returned if the policy explicitly denies the permission. `None` is returned if the policy is unable to either grant or deny the permission.
+NOTE: Only if the return value is `None` will the ''next'' permission policy be consulted. If none of the policies explicitly grants the permission, the final result will be `False`, i.e. permission denied.
+The `authzpolicy.conf` file is a `.ini` style configuration file:
+{{{#!ini
 [wiki:PrivatePage@*]
 john = WIKI_VIEW, !WIKI_MODIFY
 …
 * =
 }}}
+* config ファイルの各セクションは Trac のリソース記述子との照合に用いる
+  グローバルなパターンです。記述子は以下のような形式です:
+* Each section of the config is a glob pattern used to match against a Trac resource descriptor. These descriptors are in the form:
 {{{
 <realm>:<id>@<version>[/<realm>:<id>@<version> ...]
 }}}
+  リソースを親から子の順に、左から右へ記述します。不特定な
+  コンポーネントがある場合は、 `*` で置き換えられます。バージョンのパターンが
+  明示的に記されていなければ、すべてのバージョン (`@*`) が暗黙的に追加されます。
+  例: WikiStart ページを照合する
+{{{
+Resources are ordered left to right, from parent to child. If any component is inapplicable, `*` is substituted. If the version pattern is not specified explicitly, all versions (`@*`) is added implicitly. Example: Match the WikiStart page:
+{{{#!ini
 [wiki:*]
 [wiki:WikiStart*]
 …
 }}}
+  例: WikiStart の 添付ファイル `wiki:WikiStart@117/attachment/FOO.JPG@*`
+  を照合する
+{{{
+Example: Match the attachment `wiki:WikiStart@117/attachment:FOO.JPG@*` on WikiStart:
+{{{#!ini
 [wiki:*]
 [wiki:WikiStart*]
 [wiki:WikiStart@*]
+[wiki:WikiStart@*/attachment/*]
+[wiki:WikiStart@117/attachment/FOO.JPG]
+}}}
+* セクションは設定ファイルに書かれている '''順に''' 現在の Trac のリソース記述子に対して
+  チェックされます。'''順番は重要です'''
+* 一度 セッションにマッチすれば、'''順に''' 現在のユーザ名がセッションの
+  キー (ユーザ名) と照合されます
+  * キー (ユーザ名) の前に `@` を付けると、グループとして処理されます
+  * 値 (パーミッション) の前に `!` を付けると、そのパーミッションは
+    拒否されます
+  通常の Trac パーミッションのルールを適用していれば、ユーザ名は、 'anonymous', 'authenticated', <username>  '*' 等とマッチするはずです。 || '''Note:''' ユーザによって作成された (例えば、ブラウザ上から //管理 / 権限// (英語版では //Admin / Permissions//) の '権限グループの追加' (英語版では 'adding subjects to groups')) グループには使えません。詳細については [trac:#5648 #5648] を参照してください。 ||
+例えば、 `authz_file` が次の内容を含み:
+{{{
+[wiki:WikiStart@*/attachment:*]
+[wiki:WikiStart@117/attachment:FOO.JPG]
+}}}
+* Sections are checked against the current Trac resource descriptor '''IN ORDER''' of appearance in the configuration file. '''ORDER IS CRITICAL'''.
+* Once a section matches, the current username is matched against the keys (usernames) of the section, '''IN ORDER'''.
+  * If a key (username) is prefixed with a `@`, it is treated as a group.
+  * If a value (permission) is prefixed with a `!`, the permission is denied rather than granted.
+The username will match any of 'anonymous', 'authenticated', <username> or '*', using normal Trac permission rules.
+|| '''Note:''' Other groups which are created by user (e.g. by 'adding subjects to groups' on web interface page //Admin / Permissions//) cannot be used. See [trac:#5648] for details about this missing feature. ||
+For example, if the `authz_file` contains:
+{{{#!ini
 [wiki:WikiStart@*]
 * = WIKI_VIEW
 …
 * = !WIKI_VIEW
 }}}
 デフォルトパーミッションが次のような内容の場合:
+and the default permissions are set like this:
 {{{
 john           WIKI_VIEW
 jack           WIKI_VIEW
 # anonymous に WIKI_VIEW は付与されていない
 }}}
+結果:
   * WikiStart の全てのバージョンは、 (匿名ユーザも含む) 全員が閲覧できます
   * !PrivatePage は john が表示可能です
   * 他のページは john と jack が表示可能です
+# anonymous has no WIKI_VIEW
+}}}
+Then:
+  * All versions of WikiStart will be viewable by everybody, including anonymous
+  * !PrivatePage will be viewable only by john
+  * other pages will be viewable only by john and jack
 Groups:
 {{{
+{{{#!ini
 [groups]
 admins = john, jack
 …
 }}}
 結果:
 - すべてのアクセスがブロックされます (ホワイトリストアプローチ)。しかし
 - admins グループはすべてにおいて TRAC_ADMIN 権限を取得しており、
 - devs グループは Wiki ページを閲覧可能です
 リポジトリの例 (閲覧ソースの詳細設定):
 {{{
 # 単一のリポジトリ:
+Then:
+- everything is blocked (whitelist approach), but
+- admins get all TRAC_ADMIN everywhere and
+- devs can view wiki pages.
+Some repository examples (Browse Source specific):
+{{{#!ini
+# A single repository:
 [repository:test_repo@*]
 john = BROWSER_VIEW, FILE_VIEW
+# John は test_repo に対して BROWSER_VIEW と FILE_VIEW の権限を持つ
+# すべてのリポジトリ:
+# John has BROWSER_VIEW and FILE_VIEW for the entire test_repo
+# The default repository (requires Trac 1.0.2 or later):
+[repository:@*]
+john = BROWSER_VIEW, FILE_VIEW
+# John has BROWSER_VIEW and FILE_VIEW for the entire default repository
+# All repositories:
 [repository:*@*]
 john = BROWSER_VIEW, FILE_VIEW
 # John はすべてのリポジトリに対して BROWSER_VIEW と FILE_VIEW の権限を持つ
 }}}
 より詳細なリポジトリのアクセス許可:
 {{{
 # John は  trunk/src/some/location/ へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+jack = BROWSER_VIEW, FILE_VIEW
+# Jack has BROWSER_VIEW and FILE_VIEW for all repositories
+}}}
+Very granular repository access:
+{{{#!ini
+# John has BROWSER_VIEW and FILE_VIEW access to trunk/src/some/location/ only
 [repository:test_repo@*/source:trunk/src/some/location/*@*]
 john = BROWSER_VIEW, FILE_VIEW
+# John は trunk/src/some/location のリビジョン 1 へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+# John has BROWSER_VIEW and FILE_VIEW access to only revision 1 of all files at trunk/src/some/location only
 [repository:test_repo@*/source:trunk/src/some/location/*@1]
 john = BROWSER_VIEW, FILE_VIEW
+# John は trunk/src/some/location の 'somefile' へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+# John has BROWSER_VIEW and FILE_VIEW access to all revisions of 'somefile' at trunk/src/some/location only
 [repository:test_repo@*/source:trunk/src/some/location/somefile@*]
 john = BROWSER_VIEW, FILE_VIEW
+# John は trunk/src/some/location のリビジョン 1 の 'somefile' へアクセスする場合のみ、BROWSER_VIEW と FILE_VIEW の権限を持つ
+# John has BROWSER_VIEW and FILE_VIEW access to only revision 1 of 'somefile' at trunk/src/some/location only
 [repository:test_repo@*/source:trunk/src/some/location/somefile@1]
 john = BROWSER_VIEW, FILE_VIEW
 }}}
+Note: Timeline での通知を John に表示するためには、上記パーミッションリストに CHANGESET_VIEW を追加する必要があります。
+==== 利用不可となる機能 ==== #MissingFeatures
+粒度が細かいパーミッションでは!DefaultPermissionPolicyで行っていたような (管理画面での) グループ機能は備わっていません ([trac:#9573 #9573], [trac:#5648 #5648] 参照)。パッチは一部利用可能です( [trac:#6680 #6680] にある authz_policy.2.patch を参照してください)
+利用不可となる機能:
+{{{
+Note: In order for Timeline to work/visible for John, we must add CHANGESET_VIEW to the above permission list.
+==== Missing Features
+Although possible with the !DefaultPermissionPolicy handling (see Admin panel), fine-grained permissions still miss those grouping features (see [trac:#9573], [trac:#5648]). Patches are partially available, see authz_policy.2.patch, part of [trac:ticket:6680 #6680].
+You cannot do the following:
+{{{#!ini
 [groups]
 team1 = a, b, c
 …
 }}}
 パーミッショングループも同様にサポートされていません。下記のことができません:
 {{{
+Permission groups are not supported either, so you cannot do the following:
+{{{#!ini
 [groups]
 permission_level_1 = WIKI_VIEW, TICKET_VIEW
 …
 }}}
+=== !AuthzSourcePolicy  (mod_authz_svn のようなパーミッションポリシー) === #AuthzSourcePolicy
+この文書が書かれている時点では、 Trac 0.11 以前にリポジトリへの厳密なアクセス制御に使用されていた、古い「粒度が細かいパーミッション」システムは、パーミッションポリシーのコンポーネントにコンバートされました。しかし、ユーザの視点では、実現できる機能に大きな違いはありません。
+「粒度が細かいパーミッション」の制御に定義ファイルを必要とします。この定義ファイルは Subversion の mod_authz_svn で使用しているものを使います。
+このファイルの形式と Subversion での用法に関する情報は、 svn book の Server Configuration (サーバ設定) の章にある [http://svnbook.red-bean.com/en/1.5/svn.serverconfig.pathbasedauthz.html Path-Based Authorization (ディレクトリごとのアクセス制御)] の項を参照してください。
+例:
+{{{
+=== !AuthzSourcePolicy  (`mod_authz_svn`-like permission policy) #AuthzSourcePolicy
+`AuthzSourcePolicy` can be used for restricting access to the repository. Granular permission control needs a definition file, which is the one used by Subversion's `mod_authz_svn`.
+More information about this file format and about its usage in Subversion is available in the [http://svnbook.red-bean.com/en/1.7/svn.serverconfig.pathbasedauthz.html Path-Based Authorization] section in the Server Configuration chapter of the svn book.
+Example:
+{{{#!ini
 [/]
 * = r
 …
 }}}
  * '''/''' = ''全員 read アクセスが可能です。これはデフォルトの動作となります''
  * '''/branches/calc/bug-142''' = ''harry は read/write アクセス権を持ち、 sally は read アクセス権のみを持ちます''
  * '''/branches/calc/bug-142/secret''' = ''harry はアクセス権を持たず、 sally は read アクセス権を持ちます (パーミッションはサブフォルダに継承されます)''
 ==== Trac の設定 ==== #TracConfiguration
+「粒度が細かいパーミッション」を有効にするには、 trac.ini ファイルの {{{[trac]}}} セクションに {{{authz_file}}} オプションを __設定しなければなりません__ 。オプションが空値に設定されていたり、そもそも指定されていない場合、パーミッションは適用されません。
 {{{
 [trac]
+ * '''/''' = ''Everyone has read access by default''
+ * '''/branches/calc/bug-142''' = ''harry has read/write access, sally read only''
+ * '''/branches/calc/bug-142/secret''' = ''harry has no access, sally has read access (inherited as a sub folder permission)''
+==== Trac Configuration
+To activate granular permissions you __must__ specify the {{{authz_file}}} option in the `[svn]` section of trac.ini. If this option is set to null or not specified, the permissions will not be used.
+{{{#!ini
+[svn]
 authz_file = /path/to/svnaccessfile
 }}}
 `auth_file` 内でシンタックス `[`''modulename''`:/`''some''`/`''path''`]` を使用する場合、以下の設定を追加してください:
 {{{
+If you want to support the use of the `[`''modulename''`:/`''some''`/`''path''`]` syntax within the `authz_file`, add:
+{{{#!ini
 authz_module_name = modulename
 }}}
 ''modulename'' には、 `[trac]` セクション中の `repository_dir` に設定したリポジトリと同じものを設定します。例えば `[trac]` セクション内の `repository_dir` に {{{/srv/active/svn/blahblah}}} を設定している場合は次のように設定します:
 {{{
 [trac]
+where ''modulename'' refers to the same repository indicated by the `<name>.dir` entry in the `[repositories]` section. As an example, if the `somemodule.dir` entry in the `[repositories]` section is `/srv/active/svn/somemodule`, that would yield the following:
+{{{ #!ini
+[svn]
 authz_file = /path/to/svnaccessfile
 authz_module_name = blahblah
+authz_module_name = somemodule
 ...
+repository_dir = /srv/active/svn/blahblah
+}}}
+Subversion の Authz ファイル {{{/path/to/svnaccessfile}}} では、 {{{[blahblah:/some/path]}}} のようにエントリを記載します。
+'''Note:''' Authz ファイルで使用するユーザ名と、 Trac で使用するユーザ名は __同じでなければなりません__。
+.12 では、 trac.ini の permission_policies に ''!AuthzSourcePolicy'' を必ず含めて下さい。さもないと、 authz のパーミッションファイルは無視されます。
+{{{
+[trac]
+permission_policies = AuthzSourcePolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
+}}}
+==== Subversion の設定 ==== #SubversionConfiguration
+通常は同じアクセスファイルを対応する Subversion リポジトリに適用します。 Apache のディレクティブには以下のように設定してください:
+{{{
+[repositories]
+somemodule.dir = /srv/active/svn/somemodule
+}}}
+where the svn access file, {{{/path/to/svnaccessfile}}}, contains entries such as {{{[somemodule:/some/path]}}}.
+'''Note:''' Usernames inside the Authz file __must__ be the same as those used inside trac.
+Make sure you have ''!AuthzSourcePolicy'' included in the permission_policies list in trac.ini, otherwise the authz permissions file will be ignored.
+{{{#!ini
+[trac]
+permission_policies = AuthzSourcePolicy, DefaultWikiPolicy, DefaultTicketPolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy
+}}}
+==== Subversion Configuration
+The same access file is typically applied to the corresponding Subversion repository using an Apache directive like this:
+{{{#!apache
 <Location /repos>
   DAV svn
 …
 }}}
+複数のプロジェクト Environment において、プロジェクト全体にどのようにアクセス制限を行うかについての情報は [trac:TracMultipleProjectsSVNAccess] を参照してください。
+== デバッグ用パーミッション #DebuggingPermissions
+trac.ini の設定:
+{{{
+For information about how to restrict access to entire projects in a multiple project environment see [trac:wiki:TracMultipleProjectsSVNAccess].
+=== !DefaultWikiPolicy and !DefaultTicketPolicy
+Since 1.1.2, the read-only attribute of wiki pages is enabled and enforced when `DefaultWikiPolicy` is in the list of active permission policies (`DefaultWikiPolicy` was named `ReadonlyWikiPolicy` from Trac 1.1.2 to 1.3.1). The default for new Trac installations in 1.3.2 and later is:
+{{{#!ini
+[trac]
+permission_policies = DefaultWikiPolicy,
+ DefaultTicketPolicy,
+ DefaultPermissionPolicy,
+ LegacyAttachmentPolicy
+}}}
+`DefaultWikiPolicy` returns `False` to deny modify, delete and rename actions on wiki pages when the page has the read-only attribute set and the user does not have `WIKI_ADMIN`, regardless of `WIKI_MODIFY`, `WIKI_DELETE` and `WIKI_RENAME` permissions. It returns `None` for all other cases, which causes the next permission policy in the list to be consulted.
+Since 1.3.2 `DefaultTicketPolicy` implements the following behaviors:
+* Authenticated user can edit their own comments.
+* Authenticated user with `TICKET_APPEND` or `TICKET_CHGPROP` can modify the description of a ticket they reported.
+* User with `MILESTONE_VIEW` can change  the ticket milestone.
+The wiki- and ticket-specific behaviors are implemented in permission policies so they can be easily replaced in case other behavior is desired.
+When upgrading from earlier versions of Trac, `DefaultWikiPolicy, DefaultTicketPolicy` will be appended to the list of `permission_policies` when upgrading the environment, provided that `permission_policies` has the default value (`ReadonlyWikiPolicy, DefaultPermissionPolicy, LegacyAttachmentPolicy` if upgrading from Trac 1.1.2 or later). If any non-default `permission_polices` are active, `DefaultWikiPolicy, DefaultTicketPolicy` **will need to be manually added** to the list. A message will be echoed to the console when upgrading the environment, indicating if any action needs to be taken.
+**!DefaultWikiPolicy and !DefaultTicketPolicy must be listed //before// !DefaultPermissionPolicy**. The latter returns `True` to allow modify, delete or rename actions when the user has the respective `WIKI_*` permission, without consideration for the read-only attribute. Similarly, some of the behaviors implemented in `DefaultTicketPolicy` won't be considered if `DefaultPermissionPolicy` is executed first.
+When active, the [#AuthzPolicy] should therefore come before `DefaultWikiPolicy, DefaultTicketPolicy`, allowing it to grant or deny the actions on individual resources, which is the usual ordering for `AuthzPolicy` in the `permission_policies` list.
+{{{#!ini
+[trac]
+permission_policies = AuthzPolicy,
+ DefaultWikiPolicy,
+ DefaultTicketPolicy,
+ DefaultPermissionPolicy,
+ LegacyAttachmentPolicy
+}}}
+The placement of [#AuthzSourcePolicy] relative to `DefaultWikiPolicy, DefaultTicketPolicy` does not matter since they don't perform checks on the same realms.
+For all other permission policies, the user will need to decide the proper ordering. Generally, if the permission policy should be capable of overriding the checks performed by `DefaultWikiPolicy` or `DefaultTicketPolicy`, it should come before the policy it overrides. If `DefaultWikiPolicy` or `DefaultTicketPolicy` should override the check performed by another permission policy, as is the case for those policies relative to `DefaultPermissionPolicy`, then the overriding policy should come first.
+== Debugging permissions
+In trac.ini set:
+{{{#!ini
 [logging]
 log_file = trac.log
 …
 }}}
 ウォッチコマンド:
 {{{
+Display the trac.log to understand what checks are being performed:
+{{{#!sh
 tail -n 0 -f log/trac.log | egrep '\[perm\]|\[authz_policy\]'
 }}}
+どんなチェックが行なわれているか見ることができます。より詳細な情報については、プラグインのソースに添付されているドキュメントを参照して下さい。
+See the sourced documentation of the plugin for more info.
 ----
 See also: TracPermissions,
 [http://trac-hacks.org/wiki/FineGrainedPageAuthzEditorPlugin TracHacks:FineGrainedPageAuthzEditorPlugin] は設定を編集するプラグインです。
+[http://trac-hacks.org/wiki/FineGrainedPageAuthzEditorPlugin FineGrainedPageAuthzEditorPlugin] for a simple editor.