Default für Maximum Internet name and password setzen?

[Gornet]

Hallo!

Es ist ausführlich dokumentiert, dass der Parameter "Maximum Internet name and password" auf Manager Access lauten muss, damit mit man über DIIOP Calls (CORBA remote) die ACL einer Datenbank ändern kann.
Soweit so gut.

Wie aber kann man den Default Wert ("Editor") für diesen Parameter generell verändern? So, dass er z.B. immer auf Manager lautet.

Ich finde leider nirgends dazu eine Info

Liebe Grüße

Gornet

[Gornet]

 
Hallo!

Ich habs gefunden:
In der Klasse ACL (JAVA - CORBA API, NCSO.jar)
ist die Methode

setInternetLevel(int level)

definiert.
Damit kann man mithilfe der statischen int Konstanten in der Klasse ACL für die Datenbank den gewünschten Wert setzen.

Jetzt frage ich mich nur, was das soll?

1. Man kann sich via DIIOP nicht via Zertifikat stark authentifizieren. Na gut.
2. Man kann dennoch die Credentials über SSL übertragen, das ist brauchbar, entschärft aber nicht den "Maximum Internet name and password" level.
3. Einen Defaultwert kann man (zumindest findet man das nicht wirklich leicht) nicht einstellen. Somit kann man für seine Administrations - Calls via DIIOP nicht ohne Eingriff via der lokalen Schnittstelle die ACLs verändern. Auch dann nicht, wenn man sich als Administrator (schwach) authentifiziert.
4. Aber dass man dann den Schranken "Maximum Intenet name and password" über DIIOP einfach wieder rauffahren kann, das kann doch wohl nicht der Plan sein?! 

security by obscurity

lg
Gornet

[Glombi]

Das wird aber doch wohl nur gehen, wenn Du Managerrecht auf die DB hast.

Ausserdem gilt die Einstellung für Zugriff via Browser.

Andreas

[Gornet]

Ad Managerrechte auf der DB:
Prämissen:
Domino 7.0
Zugriff auf Domino Objecte ausschließlich via DIIOP (JAVA API NCSO.jar)
DIIOP task running
Connection to DIIOP via SSL

Mit Managerrechten ist es nicht möglich, die ACL zu verändern, wenn " Maximum Internet name and password" auf Editor gesetzt ist.
Mit Managerrechten ist dies möglich, sobald der Wert auf "Manager" gesetzt ist.
Mit Managerrechten kann man den Parameter (Maximum Internet name and password) verändern.
Das ist getestet.
Das ist so, als würde man eine Tür zusperren und den Schlüssel stecken lassen.

Wie das mit Usern funktioniert, die nicht Managerrechte haben, habe ich noch nicht ausgetestet.

Ad Zugriff via Brower:
Die Einstellung gilt also definitiv auch für den Zugriff über DIIOP. Ob die Einstellung auch dafür gedacht ist, da bin ich nicht so sicher.

[Gornet]

 
Da war ich wohl doch etwas zu vorlaut:
Von DIIOP aus hat man NICHT das Recht, mit setInternetLevel(int level)
 den Parameter zu ändern. Das war ein Fehler beim Testen.

Domino verhält sich also konsistent.

Bleibt also die Frage offen, ob man einen Default - Wert für "Maximum Internet name and password" setzen kann.

lg
Gornet