Gruppen vs. Konsistente ACL

[rar]

Hallo ihr alle!
Folgendes Problem hat sich jetzt wiedereinmal bei mir aufgetan....

In einer Datenbank ist die Konststente ACL angehacklt. Zugriff auf die DB hat eine Gruppe mit User A und User B mit z.B. Editorrechten. (Muß Lokal auch sein --> Deshalb konsistente ACL)

Wenn ich jetzt als User A eine Lokale Replik dieser DB erstelle, hab ich auch Zugriff auf diese DB. User B wird dieser aber verweigert. Obwohl er in derselben Gruppe steht.

Wie kann ich es anstellen, daß alle aus der Gruppe in der ACL  Zugriff auf die DB haben?

Hoffentlich habt ihr eine (oder mehrere) Idee(n)....

lG
-rar

[mangler]

Hallo rar,

hat der User denn eine aktuelle, lokale Replik des Serveradressbuches?

Hast du schon mal die Replik gelöscht und neu angelegt?

Gruss mangler

[koehlerbv]

Bei der kACL ziehen lokal Gruppen nicht. Soll ein weiterer User lokal auf die DB zugreifen können (was ja eigentlich gar nicht so vorgesehen ist), dann muss er explizit namentlich in der ACL stehen.

Bernhard

[Driri]

Oder man legt die Gruppe im lokalen Adreßbuch an. Das sollte auch funktionieren.

[koehlerbv]

Nee, das ist Notes konsequent. Sonst könnte man sich ja einfach bei LocalDomainServers eintragen und könnte so jede kACL aushebeln.

Bernhard

[Driri]

Hmm...bin mir ziemlich sicher, daß ich das schon mal erfolgreich so exerziert habe. Ich teste das noch mal.

[Driri]

Okay, habs getestet. Ich nehm alles zurück  

Obwohl mir da immer noch was im Hinterkopf rumschwirrt mit lokalen Gruppen und so. Vielleicht hab ich das einfach nur durcheinander geschmissen.

Auf jeden Fall Sorry für die Falschinformation. Ich gelobe Besserung  

[rar]

Ich hab auch schon gelesen, daß es gehen sollte, wenn man die Gruppe im PAB hat, habe es aber nicht nachvollziehen können.

Eine lokale Replik des Serveradressbuches habe ich nicht. Wie müsste die Replik denn heißen?

Und die User namentlich in der ACL eintragen geht bei uns leider nicht.
Theoretisch müsste es doch irgendwie gehen. Der eine User A kommt ja auf die DB drauf. Obwohl er nicht namentlich in der ACL eingetragen ist...

[koehlerbv]

Eine Replik des öfftl. Adressbuchs kannst Du lokal nennen wie Du willst und dann mit diesem Namen in die NOTES.INI eintragen.

User A kommt übrigens auch ohne namentliche Erwähnung in die DB, da er sie angelegt hat. Auch sowas wird bei einer kACL gespeichert.

Bernhard

[Glombi]

Okay, habs getestet. Ich nehm alles zurück  

Obwohl mir da immer noch was im Hinterkopf rumschwirrt mit lokalen Gruppen und so. Vielleicht hab ich das einfach nur durcheinander geschmissen.

Auf jeden Fall Sorry für die Falschinformation. Ich gelobe Besserung  

Hast Du auch - nachdem Du die Gruppe im persönlichen NAB angelegt hast - <CTRL>+<SHIFT>+<F9> gedrückt?
Damit geht es nämlich.

Andreas

[Driri]

Öh, äh, nee, hab ich natürlich nicht.

Stimmt aber, dann funktionierts ja doch.  

[Glombi]

Nee, das ist Notes konsequent. Sonst könnte man sich ja einfach bei LocalDomainServers eintragen und könnte so jede kACL aushebeln.

Bernhard

Hi Bernhard,
prinzipiell geht das so, aber die LocalDomainServers stehen meistens als Servergruppe in der ACL und dann kommt man nicht an die DB. Aber wenn man den Namen einer Gruppe nimmt, die als Personengruppe eingetragen ist, geht das.
Die kACL ist kein Sicherheitsfeature.
Natürlich kann man auf derart manipulierte Dokumente nicht auf den Server zurückreplizieren.

kACL steht bei mir ja noch auf der Liste für BP - ich gehe es demnächst an...

Andreas

[rar]

Danke für die Hilfen  

Ich habe jetzt mal so zum Test eine lokale Replik des Serveradressbuches angelegt und in der Notes.ini eingetragen. Dann hab ich eine Replik meiner DB erstellt und siehe da.... Alle haben richtigen Zugriff drauf.

Jetzt noch eine kleine Akte X:
Ich habe dann die Replik des Adressbuches und der DB gelöscht und den Eintrag aus der Notes.ini entfernt. Als ich dann eine Neue Replik der DB erstellt habe, hat alles wunderbar funktioniert. Komisch.

-rar

[rar]

  Hurra. Problem ist nun gelöst

Falls jemand mal das gleiche Problem hat und die Lösung sucht...

Es reicht, wenn eine Gruppe, die gleich heißt im PAB angelegt wird und der User, der Lokal Zugriff haben soll, dort eingetragen wird.
Anschließend muß man nur die Ansicht ($ServerAccess) aktualisieren. Dann gehts.
Ich möchte die lokale Replik aus einem Portal öffnen.
Mit folgendem Code hats geklappt:

Sub Click(Source As Button)
  On Error 4060 Goto Zugriff
  Dim ws As New NotesUIWorkspace
  Dim session As New NotesSession
  Dim db As Notesdatabase
  Dim strPfad As String   
   
  strPfad = "Pfad"   
  Set db = session.GetDatabase("", strPfad ,False)
  Call ws.OpenDatabase("", strPfad , , , True )
  Exit Sub
   
Zugriff:    
  Set  db = GruppeAktualisieren(strPfad)
  Resume Next
End Sub

Function GruppeAktualisieren(strPfad) As NotesDatabase
  Dim session As New NotesSession
  Dim dbNames As NotesDatabase
  Dim viewGr As NotesView
  Dim viewSA As NotesView
  Dim doc As NotesDocument
  Dim namUser As New NotesName(session.UserName)
  Dim namMember As NotesName
  Dim item As NotesItem
  Dim intDabei As Integer
 
  intDabei = False
  Set dbNames = session.GetDatabase("","names.nsf")
  Set viewGr = dbNames.GetView("Groups")
  Set doc = viewGr.GetDocumentByKey("kACL",True)
  If doc Is Nothing Then
    Set doc = New NotesDocument(dbNames)
    With doc
      .GroupType = "2"
      .ListOwner = namUser.Canonical
      .LocalAdmin = namUser.Canonical
      .AvailableForDirSync = "1"
      .DocumentAccess = "[GroupModifier]"
      .GroupTitle = "2"
      .ListName = "Gruppenname"
      .Members = namUser.Canonical
      .Type = "Group"
      .Form = "Group"
      Call .ComputeWithForm(True,True)      
      Call .Save(True,True)
    End With
  Else
    Forall x In doc.Members
      Set namMember = New NotesName(x)
      If namUser.Canonical = namMember.Canonical Then
        intDabei = True   
      End If
    End Forall
    If intdabei = False Then
      Set item = doc.GetFirstItem("Members")   
      Call item.AppendToTextList( namUser.Canonical )
      Call doc.Save(True,True)
    End If      
  End If
  Set viewSA = dbNames.GetView("($ServerAccess)")
  Call viewSA.Refresh()
  Set GruppeAktualisieren = session.GetDatabase("",strPfad,False)
End Function

lg
-rar