Autor Thema: Konsistente ACL  (Gelesen 3527 mal)

Offline Micha-BRLN

  • Senior Mitglied
  • ****
  • Beiträge: 306
  • Geschlecht: Männlich
  • In der Ruhe liegt die Kraft...
    • Handball über alles!
Konsistente ACL
« am: 13.02.04 - 09:51:33 »
Guten Morgen alle zusammen,

Ich stell mich mal ganz dumm  ::) : Wir haben hier ein Zugriffsproblem und sind nun im Verlauf der Klärung in einer Diskussion angekommen, bei der wir nicht mehr weiter wissen bzw. keiner die genaue Antwort hat - was gaaaanz genau bewirkt die konsistente ACL?

Schon mal vielen Dank im Voraus für Euer Verständnis...

Beste Grüße,

Micha
36 x Domino 8.5 HF1 / VMWare Server 2.0
3500 Clients 6.5.2 + 8.5/W2K+WXP

klaussal

  • Gast
Re:Konsistente ACL
« Antwort #1 am: 13.02.04 - 10:08:38 »
... aus der designer-hilfe  ;D

Sie können sicherstellen, daß eine ACL in allen Datenbankrepliken auf Servern sowie in allen lokalen Repliken, die Benutzer auf Workstations oder Laptops erstellen, identisch bleibt.
Wählen Sie die Einstellung "Konsistente ACL über alle Repliken dieser Datenbank erzwingen" für eine Replik, deren Server über Managerzugriff für andere Repliken verfügt, damit die Zugriffskontrolliste in allen Serverrepliken einer Datenbank identisch bleibt. Wenn Sie eine Replik auswählen, deren Server nicht über Managerzugriff für andere Repliken verfügt, schlägt die Replizierung fehl, da der Server nicht über den erforderlichen Zugriff zum Replizieren der Zugriffskontrolliste verfügt.
Die Erzwingung einer konsistenten Zugriffskontrolliste bietet keine zusätzliche Sicherheit für lokale Repliken. Wenn Sie Daten in lokalen Repliken sichern möchten, verschlüsseln Sie die Datenbank.
Hinweis  Ändert ein Benutzer die ACL einer lokalen oder Remote-Server-Datenbankreplik, wenn die Option zur Erzwingung einer konsistenten Zugriffskontrolliste ausgewählt ist, wird die Replizierung der Datenbank abgebrochen. Im Protokoll erscheint die Meldung, daß die Replizierung nicht fortgesetzt wurde, weil keine einheitliche ACL in allen Repliken gewährleistet werden konnte.
So erzwingen Sie eine konsistente Zugriffskontrolliste vom Arbeitsbereich aus
Gehen Sie wie folgt vor, um eine konsistente ACL für eine einzelne Datenbank zu erzwingen.
  1.   Überprüfen Sie, daß Ihnen in der Datenbank-ACL Managerzugriff zugewiesen ist.
  2.   Wählen Sie das Datenbanksymbol auf Ihrer Lesezeichenseite aus. Verfügt die Datenbank über mehrere Repliken, so wählen Sie das Datenbanksymbol eines Servers aus, der über Managerzugriff in der Datenbank-ACL der anderen Repliken verfügt.
  3.    Wählen Sie "Datei - Datenbank - Zugriff".
  4.   Klicken Sie auf das Symbol "Erweitert".
  5.   Wählen Sie "Konsistente ACL über alle Repliken dieser Datenbank erzwingen".
  6.   Klicken Sie auf "OK".
So deaktivieren Sie eine konsistente Zugriffskontrolliste vom Arbeitsbereich aus
  1.   Überprüfen Sie, daß Ihnen in der Datenbank-ACL Managerzugriff zugewiesen ist.
  2.   Wählen Sie das Datenbanksymbol auf Ihrer Lesezeichenseite aus. Verfügt die Datenbank über mehrere Repliken, so wählen Sie das Datenbanksymbol eines Servers aus, der über Managerzugriff in der Datenbank-ACL der anderen Repliken verfügt.
  3.   Wählen Sie "Datei - Datenbank - Zugriff".
  4.   Klicken Sie auf das Symbol "Erweitert".
  5.   Deaktivieren Sie "Konsistente ACL über alle Repliken dieser Datenbank erzwingen".
  6.   Klicken Sie auf "OK".
So erzwingen Sie eine konsistente Zugriffskontrolliste von Domino Administrator aus
Gehen Sie nach dieser Methode vor, um eine konsistente ACL für mehrere Datenbanken zu erzwingen.
  1.   Vergewissern Sie sich, daß Ihnen in allen ausgewählten Datenbank-ACLs Managerzugriff zugewiesen ist.
  2.   Wählen Sie im Serverfenster von Domino Administrator einen Server aus, der über Managerzugriff für die Datenbank verfügt, für die Sie eine konsistente ACL erzwingen möchten.
  3.   Klicken Sie auf das Register "Dateien", und wählen Sie eine oder mehrere Datenbanken aus dem Domino Data-Verzeichnis aus.
  4.   Wählen Sie im Werkzeugfenster den Befehl "Datenbank - ACL verwalten".
  5.   Klicken Sie auf das Symbol "Erweitert".
  6.   Wählen Sie die Option "Einstellung zur konsistenten ACL ändern".
  7.   Wählen Sie die Option "Konsistente ACL über alle Repliken dieser Datenbank erzwingen".
  8.   Klicken Sie auf "OK".
So deaktivieren Sie eine konsistente Zugriffskontrolliste von Domino Administrator aus
  1.   Vergewissern Sie sich, daß Ihnen in allen ausgewählten Datenbank-ACLs Managerzugriff zugewiesen ist.
  2.   Wählen Sie im Serverfenster von Domino Administrator einen Server aus, der über Managerzugriff für die Datenbank verfügt, für die Sie keine konsistente ACL mehr erzwingen möchten.
  3.   Klicken Sie auf das Register "Dateien", und wählen Sie eine oder mehrere Datenbanken aus dem Domino Data-Verzeichnis aus.
  4.   Wählen Sie im Werkzeugfenster den Befehl "Datenbank - ACL verwalten".
  5.   Klicken Sie auf das Symbol "Erweitert".
  6.   Wählen Sie "Einstellung zur konsistenten ACL ändern".
  7.   Wählen Sie die Option "Keine konsistente ACL erzwingen".
  8.   Klicken Sie auf "OK".
« Letzte Änderung: 13.02.04 - 10:10:03 von klaussal »

Offline Micha-BRLN

  • Senior Mitglied
  • ****
  • Beiträge: 306
  • Geschlecht: Männlich
  • In der Ruhe liegt die Kraft...
    • Handball über alles!
Re:Konsistente ACL
« Antwort #2 am: 13.02.04 - 10:27:14 »
Ok - folgender Hintergrund:

Wir arbeiten als Tochter eines Mineralölriesen mit dessen Notes-System und bekommen grundsätzlich keine Managerrechte auf unsere Datenbanken (max Designer). "Wir" sind zwei örtliche Admins, die eigentlich eher Schnittstelle zur Mutter und ansonsten Mädchen für alles was Notes betrifft.
Wir haben nun auch schon die eine oder andere Datenbank mit sensiblen Daten weltweit auf Laptops im Einsatz und wollen natürlich Missbrauch verhindern. Das erste war die Verschlüsselung der lokalen Repliken unserer Anwendungsdaten, damit auch wirklich nur der User mit der entsprechenden ID Zugriff bekommt. Macht eine konsistente ACL denn überhaupt Sinn? Wenn der User es will kann er doch trotzdem eine neue Kopei erstellen... Oder kann man das unterbinden???

Gruß Micha
36 x Domino 8.5 HF1 / VMWare Server 2.0
3500 Clients 6.5.2 + 8.5/W2K+WXP

klaussal

  • Gast
Re:Konsistente ACL
« Antwort #3 am: 13.02.04 - 10:30:00 »
... lokale kopien kann man hiermit verhindern(datenbankscript/postopen):

@If(@Name([CN]; @Subset(@DbName; 1)) != "" | @Name([Abbreviate]; @UserName) = "mein_name_steht hier/xxxx/DE";@Return(""); @Do(
@Prompt([OK];"Error"; "DB läuft nur auf einem Server !! Löschen Sie bitte die lokale Kopie.");
@PostedCommand([FileCloseWindow]) ) )

« Letzte Änderung: 13.02.04 - 10:32:44 von klaussal »

Offline Micha-BRLN

  • Senior Mitglied
  • ****
  • Beiträge: 306
  • Geschlecht: Männlich
  • In der Ruhe liegt die Kraft...
    • Handball über alles!
Re:Konsistente ACL
« Antwort #4 am: 13.02.04 - 10:34:34 »
Lokale Repliken sind aber trotzdem möglich?

Gruss Micha
36 x Domino 8.5 HF1 / VMWare Server 2.0
3500 Clients 6.5.2 + 8.5/W2K+WXP

Driri

  • Gast
Re:Konsistente ACL
« Antwort #5 am: 13.02.04 - 10:44:58 »
Generell schon. Aber lokale Änderungen an der ACL können bei konsistenter ACL nicht an den Server zurückrepliziert werden. D.h. der User hat nicht die Möglichkeit, sich über eine lokale Rechteänderung mehr Rechte zu verschaffen.

klaussal

  • Gast
Re:Konsistente ACL
« Antwort #6 am: 13.02.04 - 10:47:09 »
... die obige formel verhindert nur, dass der user eine lokale kopie per LoNo öffnen kann. erstellen und evtl. mit einem hex-editor bearbeiten, ansehen, etc. geht immer  :P

Offline Micha-BRLN

  • Senior Mitglied
  • ****
  • Beiträge: 306
  • Geschlecht: Männlich
  • In der Ruhe liegt die Kraft...
    • Handball über alles!
Re:Konsistente ACL
« Antwort #7 am: 13.02.04 - 10:57:14 »
Und somit kann zumindest die konsistente ACL wieder ausgehebelt werden...
36 x Domino 8.5 HF1 / VMWare Server 2.0
3500 Clients 6.5.2 + 8.5/W2K+WXP

BANXX

  • Gast
Re:Konsistente ACL
« Antwort #8 am: 13.02.04 - 10:59:32 »
Für das Aushebel reicht ein NOTES.INI Parameter. Nen Hex-Editor braucht man dazu nicht.

Offline Micha-BRLN

  • Senior Mitglied
  • ****
  • Beiträge: 306
  • Geschlecht: Männlich
  • In der Ruhe liegt die Kraft...
    • Handball über alles!
Re:Konsistente ACL
« Antwort #9 am: 13.02.04 - 11:08:36 »
Guckst Du hier:

http://spotlight.de/zforen/alts/m/alts-1066764972-9419.html

Kurzinhalt:
"...schau Dir die Db mal im Hexeditor an, dort suchst Du nach den ersten Eintrag in der ACL, 12 Bytes davor änderst Du Byte &H01 in &H00 und die konsistente ACL ist weg...."

Gruss Micha

36 x Domino 8.5 HF1 / VMWare Server 2.0
3500 Clients 6.5.2 + 8.5/W2K+WXP

Driri

  • Gast
Re:Konsistente ACL
« Antwort #10 am: 13.02.04 - 12:04:01 »
Die konsistente ACL ist auch kein Sicherheitsfeature.

Um Datenbanken wirklich abzudichten, gibts andere Möglichkeiten, wie z.B. Verschlüsselung.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz