Benutzeranmeldung sperren!

[Refizul]

Hi und Mahlzeit. Hoffe ihr habt was leckeres gefuttert  
So nun zu meinem Problem.
Ich habe einen Server, auf den Benutzer mit dem Internet-Browser auf ihre Mails und auf bestimmte Datenbanken Zugriff haben. Allerdings soll es nicht mehr möglich sein, sich als Benutzer mit seiner ID an den Server anzumelden. Also soll nur der Web-Zugriff möglich sein.
Ich hoffe ich konnte mein Problem präzise genug schildern. Ich bedanke mich schon mal im Voraus für eure Bemühungen.

Gruß Steven!

[Semeaphoros]

Hallo Luzifer

Eine offizielle Möglichkeit gibt es da wohl nicht, ich sehe jedenfalls nichts. Möglich, dass man das erreicht, wenn man eine Rezertifizierung macht und die Gültigkeitsdauer so einstellt, dass die IDs abgelaufen sind, das hat wahrscheinlich auf den Web-Zugriff keinen Einfluss.

[Refizul]

Des is ja blöd
Naja, ich lass das hier so stehen, vielleicht fällt irgendjemandem noch eine Möglichkeit ein. Trotzdem vielen Dank.

[Glombi]

Auch Mahlzeit.
Das ist ja eine putzige Anfrage. Kein Zugriff mit Notes Client sondern nur mit Browser.
Mal sehen... Evtl. für alle ein zweites Personendokument anlegen und dort einen anderen Namen verwenden. Dann für die "normalen" Notesnamen eine Access-Deny Gruppe anlegen, so dass diese nicht auf den Server zugreifen dürfen.

Andreas

[Manfred Dillmann]

Hallo Steven,

das geht:

Wenn Du im Serverdokument (Register Security) einer Person in das Feld "Not access server:" einträgst, wird nur der Notes-Zugriff, aber nicht der Zugriff über einen Browser gesperrt.

Ja, wenn ich ehrlich bin: DAS hätte ich auch nicht erwartet und habe das gerade mit dem 6.51er Server ausprobiert...

Verstehen kann ich es allerdings schon etwas: Es wird ja nicht die "normale" Client Authentifizierung aktiv, sondern es erfolgt ein Browser-Zugriff auf eine NSF. Und da gilt grundsätzlich die Einstellung pro Datenbank-ACL (Rechte müssen gegeben sein und Personendokument/Internet-Kennwort müssen existieren).

Wie Jens schon geschrieben hat: Ich denke nicht, dass dies im "Sinne des Erfinders" ist. Möglicherweise gibt es Auswirkungen in anderen Bereichen und es mag auch nicht mit allen Domino-Versionen funktionieren. Solltest Du also gründlich testen...

Gruss
Manfred

[Glombi]

@Manfred: Das ist aber erstaunlich  
Das hätte ich nicht vermutet.

Andreas

[Semeaphoros]

Manfred: Hast Du den HTTP-Task neu gestartet? Und wie ist das nach Serverstart? Wenns dann noch durchält, dann ist das wirklich interessant

[Refizul]

Danke! Find ich auch erstaunlich.  ich werd das mal alles soweit ausprobieren. Werd auch nochmal posten, wenn eine der vorgeschlagenen Möglichkeiten erfolgreich funktioniert.
Weiter so.
Ciao

[Manfred Dillmann]

Hallo Andreas!

>> @Manfred: Das ist aber erstaunlich
Das hätte ich nicht vermutet.<<

Ich doch auch nicht...

Das hat mich einfach interessiert und so habe ich es ausprobiert. Könnte das jemand mal verifizieren?

Man lernt nie aus...  

Gruss
Manfred

[Manfred Dillmann]

Hallo Jens !

>>Hast Du den HTTP-Task neu gestartet? Und wie ist das nach Serverstart? Wenns dann noch durchält, dann ist das wirklich interessant<<

Nö, habe ich nicht. Muss ich gleich noch testen...

Gruss
Manfred

[Manfred Dillmann]

@All

Ja, das funktioniert auch nach dem Neustart des HTTP-Tasks bzw. des gesamten Domino-Servers.

It's a BUG or a feature?  

Gruss
Manfred

[Semeaphoros]

Das ist allerdings eine Frage .....

Gegenüberlegung: wie sperren wir unter den gegebenen Umständen einen HTTP-User vom gesamten Server aus? Ok, wenn er nicht im Directory steht, kommt er nicht rein, aber das alleine kanns ja auch nicht sein.

[Glombi]

It's a BUG or a feature?  

Also, als ein Feature kann ich das beim besten Willen nicht sehen. Das heisst ja, das Access Deny Listen nicht funktionieren und sich ein pöser Pursche per Browser Zugang zum Server verschaffen kann.

Andreas

[Manfred Dillmann]

Hallo Jens !

>>Gegenüberlegung: wie sperren wir unter den gegebenen Umständen einen HTTP-User vom gesamten Server aus?<<

Hmm, habe ich mir vorhin auch schon überlegt und nur die Möglichkeit als sinnvoll betrachtet, dem User kein Internet-Kennwort zu geben. Mit dem Notes-Client kann er ja dann normal arbeiten.

Dann müssen natürlich alle Datenbanken bzgl. der ACL (Anonymous = Kein Zugriff) richtig eingestellt sein - aber das sollte ja grundsätzlich immer gegeben sein.

Gruss
Manfred

[Glombi]

Tja, es ist ein Feature! Toll!

Aus der KBASE (#141641 vom 19.02.2001):

Is It Possible to Restrict Certain Web Browser Users from Accessing the Domino Server?

Problem:

For Domino 4.5x, 4.6x, or 5.x, you can grant or deny Notes clients' access to the Domino server by including individual or group names in the Access Server or Not Access Server fields in the Server document of the Public Name & Address Book (NAB).  However, Domino Web server feature sets ignore any server restrictions you may specify in the Server document.  Is it possible to restrict access to the server to only specific Web browser users?

Solution:

This issue has been reported to Lotus Quality Engineering in the form of an enhancement request.

Currently, it is not possible to restrict access to the Web server by entering individual or group names in the server restrictions in the NAB.  The Restrictions section of the Server document applies only to Notes client connections.

Unless you allow Anonymous access, a Web user must have a Person document in the NAB with an entry in the HTTP password field to gain access to the Domino server.  Therefore, to deny access to Web users, either delete the Web user's Person document or delete the entry in the HTTP password field on their Person document.  If you have many users to deny, consider writing an agent to automate the process of deleting the HTTP password.

Additionally, always use the Access Control List (ACL) of each database to restrict access to the database.

[Manfred Dillmann]

Hallo Andreas!

>>Das heisst ja, das Access Deny Listen nicht funktionieren und sich ein pöser Pursche per Browser Zugang zum Server verschaffen kann.<<

Stimmt. Bei dem Feld "Not access server:" steht ja auch nicht, das dies nur für Notes-Client-Zugriffe gilt.

Daher meine Bitte: Wenn das jemand noch mal auf einer anderen Version als der 6.5.1 testen könnte - vielleicht ist das ja nur ein BUG?

Gruss
Manfred

[Semeaphoros]

Also, die ACLen sollten ja schon immer stimmen, aber davon dürfen wir de facto nicht ausgehen, das wäre sonst ideale Welt. Zudem gibt es Situationen, wo man zum Bleistift einen Einbruchversuch vermutet und einen User nur vorübergehend sperren will, während man weitere Untersuchungen macht ... da wäre ein Hauptschalter willkommen.

[Manfred Dillmann]

>> Tja, es ist ein Feature! Toll!<<

Juhuuuuuu!  

Gruss
Manfred