Paperless-Frage

DaVu

Huhu

Ich habe jetzt "paperless-ng" und "paperless-ngx" getestet und mir fällt auf, dass wenn ich einen Benutzer anlege, dieser erstmal keinerlei Berechtigungen hat, aber dennoch alles machen darf bis auf sich an der Admin-Seite anmelden. Ich habe auf Github einen offenen Issue für "paperless-ng" gefunden, der in dem Fall unbeantwortet ist (liegt wohl daran, dass der Entwickler das nicht mehr weiter macht).

Auf "paperless-ngx" habe ich dazu auf die Schnelle nichts gefunden. Bevor ich mich jetzt an den Entwickler wende, gibt es hier ja den ein oder anderen, der das schon einsetzt. Habt ihr es hinbekommen, dass ein zusätzlicher User beispielsweise nur Dokumente sehen aber nicht löschen darf? Ich kann mit allen angelegten Nutzern auch ohne die explizite Zuweisung der Berechtigung immer sämtliche Dokumente löschen.

Das würde ich gern verhindern wollen

noob_at_pc

Paperless NG ist tot - NGX der Nachfolger.

das Thema mit den Benutzern ist noch etwas seltsam in der Tat und kam auch bereits mehrfach im Git auf, aber die Jungs wollen das so wie es ist erstmal belassen und sind zufrieden mit.

Es gibt mehrer Ecken zum setzen der Berechtigungen.

im Dokument selber, für die Tags, Korrespondenten und Dokumententypen, für die Benutzer & Gruppen unter den Einstellungen auf der linken Seite, sowie im Django Admin Portal im Bereich Authentifizierung und Autorisierung.

Eine Kombination aus denen bringt Teilerfolg.

Bei mir habe ich es geschafft, das es User gibt die Dateien hinzufügen & bearbeiten dürfen aber nichts löschen. Das Löschen auf einen bestimmten Dokumententyp oder Korrespondeten einzuschränken funktioniert nicht. Dort gibt es nur die Möglichkeit zu sagen er darf nur schauen oder auch bearbeiten.

Unter den Einstellungen auf der Linkenseite habe ich festgelegt, dass die Standard Gruppe nicht löschen darf aber ansonsten mit arbeiten kann.

Das Problem ist, es gibt noch keine festgelegte oder konfigurierbare Hirarchie in dem System.

Ich möchte z.B. sagen Dokumententyp Rechnung darf nur ich löschen aber sonst keiner. Ein Anderer will das Abhängig vom Korrespondeten Umsetzen ... was überschreibt wann welche Rechte oder schränkt wie warum ein? Der Part fehlt bisher noch. Auch nach Kontakt mit dem Entwicklern kam da nicht viel positives Feedback. Es ist wie es ist und so soll es sein.

Wichtig ist die Dateiberechtigung - verändere ich hier nichts, kann auch nur der User selbst das Dokument sehen ...

Es gibt also hier und da noch ein paar Optimierungsmöglichkeiten.

Zusammengefasst:

Dokumente die ich selbst ins Paperless schiebe sind automatisch in meinem besitz und können von Niemanden gesehen / bearbeitet werden. Ich muss dem Dokument die Rechte geben.

Dokumente die extern kommen z.B. über ein Scanvorgang in den Consume Pfad oder eine Mail Adresse haben zunächst keinen Besitzer und sind somit für alle Einsehbar.

Des weiteren muss ich unter den Einstellungen erstmal sagen was darf der Benutzer / die Gruppe überhaupt

Dann kann ich die Verwendung von den Tags / Dokumententypen / Korrespondenten noch einmal einschränken.

Automatisiert geht eine Kombination derzeit nicht. Ein Dokumententyp o.Ä. hat keine Auswirkung auf die Dateirechte.

DaVu

Zitat von noob_at_pc

Paperless NG ist tot - NGX der Nachfolger

Japp, habe ich auch schon gelesen. Denen ging's wohl so wie OpenELEC seiner Zeit als dann LibreELEC geboren wurde.

Vielen Dank für deine Ausführungen. Das werde ich mal testen. Diese Matrix mit den Haken habe ich so gar nicht gefunden. Vielleicht habe ich es auch nicht richtig aufgesetzt. Ich habe einfach das hier befolgt: https://hub.docker.com/r/linuxserver/paperless-ngx

und da dann einfach das Docker-Kommando:

Code

docker run -d \
  --name=paperless-ngx \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Germany/Berlin \
  -p 8000:8000 \
  -v /path/to/appdata/config:/config \
  -v /path/to/appdata/data:/data \
  --restart unless-stopped \
  lscr.io/linuxserver/paperless-ngx:latest

genommen. Redis habe ich raus geworfen und die Timezone umgestellt. Und ja, natürlich habe ich auch den Pfad zur Config und Data geändert

Wenn es mal produktiv gehen sollte, würde ich noch ein Version-Pinning machen und auf "latest" verzichten. Fehlt mir da noch was, oder ist das erstmal basically das, was man so braucht?

noob_at_pc

Dann fehlen dir ein paar entscheidene Punkte Hier mal meine Konfig mit ein paar Erklärungen dazu. Interessant ist das Thema Volumes Zeile 32 und Dateistruktur Zeile 72

btw. ja Version Pinning werde ichjetzt auch endlich mal Umsetzen, ist einfach besser.

Code

version: "3.4"
services:
  broker:
    image: docker.io/library/redis:6.0
    restart: unless-stopped
    volumes:
      - .../paperless/redisdata:/data ##selbsterklärend
  db:
    image: docker.io/library/postgres:13
    restart: unless-stopped
    volumes:
      - .../paperless/pgdata:/var/lib/postgresql/data ##selbsterklärend
    environment:
      POSTGRES_DB: paperless
      POSTGRES_USER: paperless
      POSTGRES_PASSWORD: paperless

  webserver:
    image: ghcr.io/paperless-ngx/paperless-ngx:latest
    restart: unless-stopped
    
    depends_on:
      - db
      - broker
    ports:
      - 8011:8000
    healthcheck:
      test: ["CMD", "curl", "-fs", "-S", "--max-time", "2", "http://localhost:8000"]
      interval: 30s
      timeout: 10s
      retries: 5
    volumes:
      - .../paperless/data/data:/usr/src/paperless/data        ##Daten für die Anwendung selbst wie indox, logs usw
      - .../paperless/data/media:/usr/src/paperless/media     ##dort liegen die PDF Dokumente
      - /.../paperless/data/export:/usr/src/paperless/export       ##export Pfad falls man daten exportieren will
      - .../paperless/data/consume:/usr/src/paperless/consume    ##SMB Freigabe in die ein Scanner die Daten reinschieben kann, hierauf hat auch meine NextCloud zugriff. Somit kann ich simpel dateien verarbeiten lassen. Alle Dokumente die hierdrin liegen haben KEINEN Besitzer und sind somit für ALLE Zugreifbar

    environment:
      PAPERLESS_REDIS: redis://broker:6379
      PAPERLESS_DBHOST: db

# The UID and GID of the user used to run paperless in the container. Set this
# to your UID and GID on the host so that you have write access to the
# consumption directory.

      USERMAP_UID: 1000
      USERMAP_GID: 100

# Additional languages to install for text recognition, separated by a
# whitespace. Note that this is
# different from PAPERLESS_OCR_LANGUAGE (default=eng), which defines the
# language used for OCR.
# The container installs English, German, Italian, Spanish and French by
# default.
# See https://packages.debian.org/search?keywords=tesseract-ocr-&searchon=names&suite=buster
# for available languages.

      PAPERLESS_OCR_LANGUAGES: deu eng     ##OCR Sprachen

# Adjust this key if you plan to make paperless available publicly. It should
# be a very long sequence of random characters. You don't need to remember it.

      PAPERLESS_SECRET_KEY: SECRETKEY

# Use this variable to set a timezone for the Paperless Docker containers. If not specified, defaults to UTC.

      PAPERLESS_TIME_ZONE: Europe/Berlin ##Zeitzone ist immer nützlich :D

# The default language to use for OCR. Set this to the language most of your
# documents are written in.

      PAPERLESS_OCR_LANGUAGE: deu+eng
      PAPERLESS_FILENAME_FORMAT: '{correspondent}/{created_year}/{created_month}/{title}'     ##Konfig wie Paperless die Daten ablegt. Meine Empfehlung: Struktur so aufbauen das sie im Notfall auch OHNE Paperless einen Sinn ergibt :) daher für mich der Aufbau

Alles anzeigen

DaVu

ok. Danke. Das mit den Volumes war mir schon bewusst

Du nimmst offensichtlich ein anderes Image. Ggf. ist da auch eine andere "paperöess-ngx" Version drin. Das Image werde ich mir mal anschauen.

Vielen Dank

noob_at_pc

achso, ja dann hätt mir das sparen können

Ich nehm halt das offizielle direkt von Paperless und nicht von wem anderes. Wenn ich bei Linuxserver schaue ist die Version vom Paperless auch schon über ein Jahr alt - da gabs das mit den Rechten noch nicht

DaVu

Das wird es dann eher sein

In deinem Link ist auch ein Abschnitt "Migrating from Linuxserver.io Image"

Paperless-Frage

Jetzt mitmachen!

Benutzer online in diesem Thema