Autor Thema: Zugriffskontrolle Verständnisfrage  (Gelesen 3559 mal)

Offline e2e4

  • Aktives Mitglied
  • ***
  • Beiträge: 127
Zugriffskontrolle Verständnisfrage
« am: 11.09.03 - 16:56:24 »
Salut,

und wieder versuche ich ein wenig tiefer die Hintergründe von LN zu verstehen ;)

Ich habe eine Adressdatei (Schablone: StdR4PersonalAddressBook/de) die auf dem Server gespeichert ist. Auf diese Datei gewähre ich einer Gruppe mit folgenden Einstellungen

Benutzertyp: Personengruppe
Zugriff: Leser
- öffentliche Dokumente lesen
- öffentliche Dokumenten replizieren oder kopieren

Zugriff.

Beim Öffnen dieser Datenbank erscheint folgende Meldung:

"Sie sind zur Durchführung dieser Operation nicht berechtigt!"

Adressbucheinträge können danach aber problemlos gelesen werden.

Wo kann ich jetzt nachsehen wer oder was diese Fehlermeldung erzeugt?

Grüße, e2e4
Domino-Server Release 6.0.2CF1 for UNIX
Domino-Client Release 6.0.1CF1

Offline JoJo

  • Senior Mitglied
  • ****
  • Beiträge: 486
  • Geschlecht: Männlich
  • Gibt es Leben ausserhalb des PCs?
Re:Zugriffskontrolle Verständnisfrage
« Antwort #1 am: 11.09.03 - 17:03:56 »
Das hört sich sehr nach ECL-Warnung an. Die kannst du (für jede Workstation einzeln) mit Datei-Sicherheit-Benutzersicherheit-Tätigkeiten anderer mal ansehen. Abzuändern wär' sie theoretisch auch da. Für einen ersten Test solltest du das auch tun. Allerdings wirst du es sicher bevorzugen mit Policies zu arbeiten, wenn es um die Modifikation der ECL für die gesamte Domäne geht.
lg, JoJo

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Zugriffskontrolle Verständnisfrage
« Antwort #2 am: 11.09.03 - 17:12:57 »
Da würde ich jetzt mal den Debugger bemühen ... Das persönliche Adreßbuch könnte ja durchaus versuchen, persönliche Einstellungen zu updaten - habe mit sowas noch nicht (selbst) auf dem Server experimentiert.

Sag' mal an, wenn Du was ermittelt hast.

Bernhard

PS: Wenn Du die Gruppe in der ACL geupdated hast, hast Du auch sichergestellt, daß der Server die Änderungen komplett geschnallt hat ?

Offline JoJo

  • Senior Mitglied
  • ****
  • Beiträge: 486
  • Geschlecht: Männlich
  • Gibt es Leben ausserhalb des PCs?
Re:Zugriffskontrolle Verständnisfrage
« Antwort #3 am: 11.09.03 - 17:14:40 »
Also ich bleib' bei meinem ECL-Tip. Folgendes ist mir dazu noch auf die Schnelle eingefallen:

Vor einer Test-Modifikation der ECL musst du die fragliche DB natürlich via Admin-Client/Register Dateien-Werkzeuge mit einer ID signieren. Am besten eine ID extra für diese Zwecke. Danach eben diesen User (mit der soeben angsprochenen ID) in die ECL aufnehmen & entsprechend berechtigen. Dann hören die Warnmeldungen auf.

Da die ECL ein weites Feld ist hier noch 2 Links:

LN5 (als Grundlage wichtig): http://www-10.lotus.com/ldd/today.nsf/8a6d147cf55a7fd385256658007aacf1/3a9da544637a69b2852568310078b649/$FILE/ECL.pdf

ND6 (da hat sich einiges geändert): http://www-10.lotus.com/ldd/today.nsf/3c8c02bbcf9e0d2a85256658007ab2f6/232e604b847d2cad88256ab90074e298?OpenDocument

Das pdf zu dem der letzte Link führt, behandelt nicht nur die ECL. Es ist also nicht so viel zu lesen, wie es auf den ersten Blick scheint. Das Thema 'Signieren' wird übrigens von der Admin-Hilfe recht gut abgehandelt.
« Letzte Änderung: 11.09.03 - 17:18:11 von JoJo »
lg, JoJo

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Zugriffskontrolle Verständnisfrage
« Antwort #4 am: 11.09.03 - 17:39:40 »
Die ECL? Kann ich mir nicht vorstellen, daß die damit was zu tun hat. Die gibt Warnungen aus und unterbindet Aktionen, wenn der User die Warnung mit "ne, ne, nicht machen!" quittiert.

Bernhard

Offline joringel

  • Aktives Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
Re:Zugriffskontrolle Verständnisfrage
« Antwort #5 am: 11.09.03 - 17:46:51 »
Im pers. Adressbuch mit dem ersten Öffnen der DB ein Profildokument (einzusehen unter Actions - Edit Address Book Preferences) mit der Maske 'DirectoryProfile' (_nicht_ Public) erstellt (im PostOpen der DB), daher die Fehlermeldung. Deine Anwender brauchen also mindestens Autoren-Recht oder Du bastelst am Design der DB. Allerdings ist ein _persönliches_ Adressbuch von der Gestaltung her ev. nicht für die Nutzung durch mehrere Anwender geeignet.

Gruss Joringel
Nenne nie einen Server 'Lokal'...

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Zugriffskontrolle Verständnisfrage
« Antwort #6 am: 11.09.03 - 17:52:56 »
Aaah - das bestätigt meine Vermutung und erspart mir, sicherheitshalber selbst mal den Debugger zu bemühen.

Aus meiner Erfahrung, besser: Eigenem Erleben: Das R4-PersNAB ist verwendbar, da speichern bei uns auf dem Server einige Leutchen gemeinsame zu nutzende Adressen.
Offensichtlich sollte die DB dann aber wenigstens einmal von jemanden mit mind. Autorrechten geöffnet werden. Wenn die anderen (Leser) dann Frieden ahben, war's das, ansonsten: Debuger 'rausholen und alle Stellen ändern, in denen beim blossen Zugriff Dokumente geändert werden müssten (Viel Spaß ;-)

Bernhard

Offline e2e4

  • Aktives Mitglied
  • ***
  • Beiträge: 127
Re:Zugriffskontrolle Verständnisfrage
« Antwort #7 am: 11.09.03 - 18:30:34 »
Uff, das war 'ne ganz schöne Menge Tobak für mich ... aber danke für die Antworten :)

Ich versuche mal der Reihe nach vorzugehen, damit soviel wie möglich für mich verständlich wird.

Zitat
Das hört sich sehr nach ECL-Warnung an. Die kannst du (für jede Workstation einzeln) mit Datei-Sicherheit-Benutzersicherheit-Tätigkeiten anderer mal ansehen.

Okay, ich habe dort mal den Haken bei aktiviert und hatte nach erneutem Öffnen dieselbe Fehlermeldung.

DEFAULT - Zugriff zulassen auf aktuelle Datenbank (bei geöffnetem Adressbuch)

Zitat
Da würde ich jetzt mal den Debugger bemühen ...

Soweit bin ich in der Notes-Administration noch (lange) nicht, diesen finde ich im Designer?

Zitat
Wenn Du die Gruppe in der ACL geupdated hast, hast Du auch sichergestellt, daß der Server die Änderungen komplett geschnallt hat ?

Nach einem Server-Neustart sollte er es doch, oder?

Zitat
Vor einer Test-Modifikation der ECL musst du die fragliche DB natürlich via Admin-Client/Register Dateien-Werkzeuge mit einer ID signieren.

Das habe ich jetzt noch nicht probiert, da ich die anderen Antworten schon gelesen habe (halte ich mir also noch offen ;))

Danke aber für die Links!

Zitat
Das R4-PersNAB ist verwendbar, da speichern bei uns auf dem Server einige Leutchen gemeinsame zu nutzende Adressen.

Hmmm, diese Schablone habe ich auch bei aktivieren der "erweiterten Schablonen" nicht finden können. Wird sie standardmäßig installiert und sind dort auch die Kategorien + Suchmöglichkeiten über Schlüsselwörter integriert?

Grüße, e2e4

Domino-Server Release 6.0.2CF1 for UNIX
Domino-Client Release 6.0.1CF1

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Zugriffskontrolle Verständnisfrage
« Antwort #8 am: 11.09.03 - 19:08:42 »
Ich versuche auch mal, Deine Fragen peu-à-peu zu beantworten (soweit ich kann):
- Den Debugger solltest Du nur benutzen, wenn Du Dich in der Programmierung auskennst. Vergiß' also bitte diesen Hinweis von mir.

- Nach einem Neustart sollte der Server allemal die Änderungen im NAB und in den ACLs der DBs geschnallt haben - da können wir also schon mal was ausschliessen.

- Mit einer bekannten ID neue DBs signieren sollte man sowieso machen wegen der ECL, aber ohne das erklärt das auch nicht diese Fehlermeldungen.

- Die von mir erwähnte DB basiiert auf der Schablone, die Du erwähnt hast - das ist also das gleiche.

Hast Du schon mal probiert, die DB mit Manager-Zugriff zu öffnen ? Was passiert danach, wenn jemand mit Nur-Leser-Rechten die DB öffnet ?

Wir kriegen die Sau schon noch geschlachtet !

So long,
Bernhard

Offline JoJo

  • Senior Mitglied
  • ****
  • Beiträge: 486
  • Geschlecht: Männlich
  • Gibt es Leben ausserhalb des PCs?
Re:Zugriffskontrolle Verständnisfrage
« Antwort #9 am: 11.09.03 - 19:28:54 »
Mhm. Das mit der ECL nehm' ich zurück. Das war's wohl nicht. Habe soeben eine derartige Warnung provoziert. Der Titel der Warnung lautet 'Sicherheitsalarm'. Davon hat e2e4 nix geschrieben.

Die Adressbuchvorgaben hab ich mir angesehen. Die von Joringel erwähnte Maske 'Directory Profile' konnte ich im persönichen AB nicht finden. Wo ist die? Ob mindestens Autoren-Rechte nötig sind, bleibt für mich also vorerst offen. Ist aber ein heisser Tip. Sonst haben wir ja auch keinen mehr.  ;D

Ein praktischer Test wäre, die DB komplett neu anzulegen. Der einzige Unterschied zum Status Quo: Default bekommt Autoren-Recht.

Zu deiner letzten Frage e2e4: Die Schablone von R4 wirst du wohl nur von jemandem bekommen können, der noch einen 4er-Client laufen hat.
« Letzte Änderung: 11.09.03 - 19:30:58 von JoJo »
lg, JoJo

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Zugriffskontrolle Verständnisfrage
« Antwort #10 am: 11.09.03 - 19:43:45 »
Vorab: Ich habe auch nicht gerade die Zeit, die selbe Umgebung wie sie e2e4 verwendet, nachzubauen.
Die Schablone scheint aber wirklich das 4er PersNAB zu sein, und das habe ich auch hier bzw, diente als Vorlage für eien DB für eine DB hier bei uns in der Firma.

Es steht wieder mal die Frage: Der Fragesteller stellt eine Frage, aber wir wissen nicht, was er eigentlich erreichen will. Vielleicht gibt es ja eine andere Lösung - wie so oft.

Erstmal sollten wir schauen, ob e2e4's Versuch, die DB mit höheren Zugriffsrechten zu öffnen, etwas bringt.

Bernhard

Offline deten

  • Frischling
  • *
  • Beiträge: 11
  • Geschlecht: Männlich
  • a bikers work is never done...
Re:Zugriffskontrolle Verständnisfrage
« Antwort #11 am: 23.09.03 - 09:44:00 »
 ???

Ist die im Adressbuch hinterlegte Gruppe evtl. nur eine Mailgruppe. Ich hatte mal den Fall das eine Mailgruppe als ACL Eintrag in einer Datenbank eingetragen wurde, und der Zugriff nicht so funktionierte wie gedacht (wie bei dieser Problematik hier). Bitte die Gruppe im Adresßbuch (Domino Directory) ohne eine bestimmte Art anlegen oder abändern.

Viel Erfolg weiterhin

deten

Offline e2e4

  • Aktives Mitglied
  • ***
  • Beiträge: 127
Re:Zugriffskontrolle Verständnisfrage
« Antwort #12 am: 28.09.03 - 14:43:56 »
Vielen Dank für alle diese Anregungen - ich versuche sobald ich dafür Zeit habe mich diesem Thema nochmal intensiv zu widmen :)

Grüße, e2e4
Domino-Server Release 6.0.2CF1 for UNIX
Domino-Client Release 6.0.1CF1

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz