Autor Thema: Security Frage  (Gelesen 1824 mal)

Offline Myron

  • Aktives Mitglied
  • ***
  • Beiträge: 246
  • Geschlecht: Männlich
    • www.myphotoart.at
Security Frage
« am: 18.05.04 - 12:01:18 »
Hallo

Vielleicht steh ich ja auf der Leitung oder es ist wirklich eine Berechtigte Frage...

Wenn ich eine Datenbank vom ServerA nach ServerB einer anderen Organisation repliziere, haben die Leute (LocalDomainAdmins) vom ServerB zugriff weil diese Gruppe in der ACL drin steht. Wenn die Admins vom ServerB auch eine Gruppe erstellen, die ebenfalls so lautet wie eine vom ServerA haben sie ebenfalls Zugriff (mit entsprechenden Rechten der Gruppe) falls ich LocalDomainAdmins entfernen würde.
Wie schafft man das, dass alle Leute vom ServerB, egal was sie machen, nur Lesezugriff haben? Geht das?

Grüße
Einst sagte mal ein IBMler zu Gates.. : Junger Mann, Geld macht man mit Hardware.. :-) Hohoho
--
http://www.myphotoart.at
http://www.similon.at

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re:Security Frage
« Antwort #1 am: 18.05.04 - 13:06:44 »
So spontan würde ich sagen das man die Gruppe einfach rauswirft aus der ACL - oder Ihr halt nur Rechte fürs lesen gibt...

Gruss
Martin
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re:Security Frage
« Antwort #2 am: 18.05.04 - 13:10:32 »
So spontan würde ich sagen das man die Gruppe einfach rauswirft aus der ACL - oder Ihr halt nur Rechte fürs lesen gibt...

Gruss
Martin
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Myron

  • Aktives Mitglied
  • ***
  • Beiträge: 246
  • Geschlecht: Männlich
    • www.myphotoart.at
Re:Security Frage
« Antwort #3 am: 18.05.04 - 13:24:07 »
Hallo

Schon, aber dann haben die Datenbankbesitzer vom ServerA auch nur mehr Lesezugriff. Oder meinst du, dass man die Personen direkt in die ACL schreibt ohne Gruppen?

Grüße
Einst sagte mal ein IBMler zu Gates.. : Junger Mann, Geld macht man mit Hardware.. :-) Hohoho
--
http://www.myphotoart.at
http://www.similon.at

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re:Security Frage
« Antwort #4 am: 18.05.04 - 13:26:37 »
Du kannst doch auch eigene Gruppen machen und über diese die Berechtigungen regeln.... - so mache ich das immer.

Man kann das sicherlich verschieden regeln - bei uns fangen alle Berechtigungsgruppen mit ... an und stehen deshalb ganz hinten. Mit Einzelrechten würde ich wenn irgendwie möglich nie arbeiten...

Gruss
Martin
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Myron

  • Aktives Mitglied
  • ***
  • Beiträge: 246
  • Geschlecht: Männlich
    • www.myphotoart.at
Re:Security Frage
« Antwort #5 am: 18.05.04 - 13:32:57 »
Hallo

Ja schon.. aber wenn die vom ServerB auch eine Gruppe in ihrem DominoDirecory erstellen die auch so heißt wie die vom ServerA, bekommen sie ebenfalls Zugriff auf diese Datenbank. Das möchte ich eigentlich verhindern.

Grüße
Einst sagte mal ein IBMler zu Gates.. : Junger Mann, Geld macht man mit Hardware.. :-) Hohoho
--
http://www.myphotoart.at
http://www.similon.at

Offline max.power

  • Senior Mitglied
  • ****
  • Beiträge: 314
  • Geschlecht: Männlich
Re:Security Frage
« Antwort #6 am: 18.05.04 - 14:49:08 »
hi,

ich würde bei den replizierparametern die replizierung der ACL abschalten.
beim zielserver muss dann der admin dafür sorgen, dass "seine" leute halt nur leserecht haben.

lg,
max

Offline Lossa

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.404
  • Geschlecht: Männlich
    • alphaTrain
Re:Security Frage
« Antwort #7 am: 18.05.04 - 15:48:00 »
Hi,

warum hast du ein Problem damit, das die anderen mehr Rechte haben als Leser. Wenn die sich eine Gruppe erstellen, die dann eben die Managerrechte deiner DB hat, bedeutet das doch noch lange nicht, das Dokumentänderungen auch zurück repliziert werden.
Da die ACL Einträge nur Textstrings sind kann ich immer eine Gruppe anlegen und habe automtisch die Rechte dieser Gruppe. Du kannst nur eine ACL so setzen, das nur du Sie pflegen kannst (Konsitente ACL). Sollte dann die Gegenstelle die ACL ändern wird die DB nicht mehr Repliziert!

Viele Grüße

Ulrich Lossa
Aktiv als Notes Admin und Entwickler seit Version 1.
Freier Trainer und Berater.
Zertifiziert für alle Versionen SA und DB.
HCL Certified Administrator
IBM Certified Advanced Application Developer (PCLP AD)
IBM Certified Advanced System Administrator (PCLP SA)
IBM Certified Instructor for System Administration and Application Development ( CLI)
IBM Certified Instructor for Websphere Software
IBM Certified Instructor for DB2
http://www.alphatrain.de
Lossa@alphatrain.de

Offline Myron

  • Aktives Mitglied
  • ***
  • Beiträge: 246
  • Geschlecht: Männlich
    • www.myphotoart.at
Re:Security Frage
« Antwort #8 am: 18.05.04 - 17:45:43 »
Hallo

Stimmt, ich werde das so einstellen, dass wir nur in eine Richtung replizieren und dem anderen server nur leserechte gebe.

Vielen Dank für die Hilfe

Grüße
Einst sagte mal ein IBMler zu Gates.. : Junger Mann, Geld macht man mit Hardware.. :-) Hohoho
--
http://www.myphotoart.at
http://www.similon.at

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Security Frage
« Antwort #9 am: 18.05.04 - 17:48:13 »
Genau so ist das ja auch gedacht  ;)

Bernhard

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz