ACL Nutzer Beschränkung ???

[CrystalPalace]

Hallo an alle !

Ich dreh gerade an Lotus Notes durch !  
Ich habe ein Adressbuch mit ca. 93000 Einträgen. dieses parse ich mit Lotus Script durch und schreibe bestimmte Einträge in die ACL einer zweiten Datenbank, damit diese Zugriff darauf bekommen.
Dabei treten zweierlei Probleme auf:
1. Der Notes Client 5.07a stürzt ungefähr alle 200 Einträge ab - Daten gehen gott sei dank nicht verloren.
2. Nach mehr als 1000 Einträgen meldet (falls überhaupt) Lotus Notes dass die ACL voll sei !!

In der Hilfe habe ich nur eine Beschränkung  der Rollen in der ACL gefunden, nicht aber eine max. Anzahl...

Falls mir jemand helfen kann, wie das löse, wäre ich sehr verbunden-müsste dann kein eigenes User Management implementieren...


Grüße,

CrystalPalace

[Semeaphoros]

Warum keine Gruppen?

und: wie stürzt das Ding denn ab? Fehlermeldung? RBOD?

[TMC]

Hi Crystal,

wenn ich das so lese bekomme ich das Gefühl dass Du die ACL etwas "missbrauchst".

Die ACL ist nicht dafür vorgesehen, hunderte von Einträgen reinzuschreiben.

Daher gibt es auch Limits (siehe Designer-Hilfe).

Um was geht es Dir denn, ich bin mir sicher, man kann dies auch ohne ACL - Einträge lösen.

Matthias

[TMC]

ups, mal wieder eine Posting-Überschneidung, Jens :-)

[Semeaphoros]

Da werden wir uns wohl dran gewöhnen müssen .....

Immerhin inhaltlich keine Konflikte, wenn wir also Feldreplikation verwenden, gibts keinen Konflikt

[TMC]

jo, man könnte das für's Ergebnis also praktisch mergen :-)

[Semeaphoros]

Genauso sehe ich das ---    TMCphoros

[koehlerbv]

Also, ich sehe das eher anders herum, Kristallpalast: Notes dreht an Dir durch.
Die ACL-Einträge sind limitiert (siehe DesignerHelp, wie schon erwähnt), so ist das in anderen Programmen ja auch.

93.000 NAB-Einträge wirst Du nie und nimmer vernünftig in eine ACL übertragen können (jetzt auch mal von den Limits völlig abgesehen). An einem User-Management und einer mehr als sauberen Gruppen-Organisation kannst Du da gar nicht vorbeikommen. Da hilft Dir kein Agent, wenn die Organsiation nicht stimmt.

Ich würde - besonders in diesem Fall - sagen: Erst denken, dann programmieren.

Bernhard

[CrystalPalace]

Ich glaube ich habe mich in meinem ersten Posting etwas unsauber ausgedrückt:

Also, ich möchte nicht alle 93000 Einträge in die ACL kopieren.
Ich muss aus diesen 93000 nur einen bestimmten Bruchteil herausfiltern, der ein Kriterium erfüllt. Dann bleiben ca. 2000 über.
Diese 2000 werden als reale Benutzer (CN,O,OU,etc) in die ACL der zweiten DB eingetragen mit unterschiedlichen Rechten und  selbstdefinierten Rollen(ca 36)...
Das Benutzen von Gruppen hatten wir auch schon angedacht, haben das aber verworfen, da es ein Problem gab, per LotusScript die zugewiesenen Rollen auszulesen ( diesen Part hat aber ein Kollege programmiert, daher weiss ich nicht mehr genau woran es genau lag).

Zu der Fehlermeldung: Meistens schmiert der Notes Client einfach ab, ohne das irgendetwas angezeigt wird. Ganz selten taucht auch mal die Dialogbox auf, das die ACL voll ist.
Das passiert auch mit dem neuen CLient 6.0.1 CF1.

@TMC:
Von "Missbrauch" der ACL würde ich aber nicht sprechen, denn dafür ist doch eine ACL da: Benutzer Rechte und Rollen zuzuweisen...ich habe aber nun mal ca. 2000 potentielle Nutzer, denen ich Rechte zuweisen muss.
Ich habe mal in der 5er Hilfe nachgeschaut, dort aber nur eine Rollen-Limitierung (80) gefunden, nicht aber eine maximale Benutzer-Beschränkung. Wenn es diese gibt, wie hoch ist die denn?

@koehlerbv:
Das Notes an mir durchdrehen könnte - kann definitv sein Liegt aber daran, wie wir das System einsetzen müssen...


Gute Nacht wünscht

Christian

[Semeaphoros]

Ein paar Zahlen für R5:

What is the maximum number of entries in an Access Control List?   950 names

What is the maximum number of roles in an access control list?   75 Roles

What is the maximum number of ACL groups a user can be member of?   4096 5.0.9 up (pre-5.0.9, a bug may crash server over 3000 groups)

What is the maximum number of groups that can be nested?   20 levels or up to 64k of group name and person name characters, whichever is lower (~30k of data using @UserNamesList or @UserRoles)
   (in R4: 6 levels)

[ata]

... da wirst du um ein Gruppenkonzept nicht herum können. Du muß also aufdröseln, welche Zugriffsrechte sich mit welchen Rollen unterscheiden lassen...

... wenn du ganze OU's und O's gemeinsam mit Rechten ausstattest, dann eben entsprechende Verschachtelungen vornehmen => in der Namensgebung kannst du grundlegendes für die Orientierung hinterlegen, zb. Rollenkürzel...

... ansonsten sind die Rollen eines Users nur dann interessant, wenn der User die DB auch verwendet. Für diesen Fall lege ich beim Öffnen der DB ein Profildok pro User an, in welchem ich den letzten Stand der Dinge registriere => @Userroles - diese Docs kann ich dann im Backend auslesen...

ata

[CrystalPalace]

@ata:
Wir haben uns mittlerweile auch für diesen Weg entschieden und legen die Infos in einer eigenen DB ab auf die wir dann zugreifen können...Hat unsere Probleme doch erheblich verringert  


Vielen Dank für die vielen Inputs !!

Christian