doc: update documentation with own_prefix policy rules
authorAlban Crequy <alban.crequy@collabora.co.uk>
Sun, 4 Mar 2012 15:18:38 +0000 (15:18 +0000)
committerAlban Crequy <alban.crequy@collabora.co.uk>
Thu, 22 Mar 2012 11:28:58 +0000 (11:28 +0000)
https://bugs.freedesktop.org/show_bug.cgi?id=46886

cmake/bus/dbus-daemon.xml
doc/dbus-daemon.1.in

index c6f4db0720488548f961b92ce23bbbbcae9c6fbe..f331699c73476d1d6f2d42807b8c1f5c0504ab7a 100644 (file)
@@ -512,6 +512,7 @@ statements, and works just like &lt;deny&gt; but with the inverse meaning.</para
    eavesdrop="true" | "false"
 
    own="name"
+   own_prefix="name"
    user="username"
    group="groupname"
 </literallayout> <!-- .fi -->
@@ -590,6 +591,13 @@ the character "*" can be substituted, meaning "any." Complex globs
 like "foo.bar.*" aren't allowed for now because they'd be work to
 implement and maybe encourage sloppy security anyway.</para>
 
+<para>&lt;allow own_prefix="a.b"/&gt; allows you to own the name "a.b" or any
+name whose first dot-separated elements are "a.b": in particular,
+you can own "a.b.c" or "a.b.c.d", but not "a.bc" or "a.c".
+This is useful when services like Telepathy and ReserveDevice
+define a meaning for subtrees of well-known names, such as
+org.freedesktop.Telepathy.ConnectionManager.(anything)
+and org.freedesktop.ReserveDevice1.(anything).</para>
 
 <para>It does not make sense to deny a user or group inside a &lt;policy&gt;
 for a user or group; user/group denials can only be inside
index b063e6439630237cce3f6b9c3b578224b369e530..53856e91f278bb29eabf26ba605f3d6d861969a9 100644 (file)
@@ -501,6 +501,7 @@ The possible attributes of these elements are:
    eavesdrop="true" | "false"
 
    own="name"
+   own_prefix="name"
    user="username"
    group="groupname"
 .fi
@@ -572,6 +573,15 @@ the character "*" can be substituted, meaning "any." Complex globs
 like "foo.bar.*" aren't allowed for now because they'd be work to
 implement and maybe encourage sloppy security anyway.
 
+.PP
+<allow own_prefix="a.b"/> allows you to own the name "a.b" or any
+name whose first dot-separated elements are "a.b": in particular,
+you can own "a.b.c" or "a.b.c.d", but not "a.bc" or "a.c".
+This is useful when services like Telepathy and ReserveDevice
+define a meaning for subtrees of well-known names, such as
+org.freedesktop.Telepathy.ConnectionManager.(anything)
+and org.freedesktop.ReserveDevice1.(anything).
+
 .PP
 It does not make sense to deny a user or group inside a <policy>
 for a user or group; user/group denials can only be inside