Login nicht über das Namens- und Adressbuch

[Lotuseffekt]

Hallo Notes-Forum.
Ich kenne dieses Forum schon seit langer Zeit und habe schon hier und da sehr viel mitnehmen können.

Heute stelle ich allerdings meine erste Frage:
Von meinem Vorgesetzten habe ich die Aufgabe bekommen, mich über die Möglichkeit zu informieren ein Login aus dem Web zu erreichen, ohne über das Namens- und Adressbuch zu gehen. Laut unseren Administratoren entstehen Lizenzkosten von 90,-€ pro User wenn ein Login aus dem Web über das Namens- und Adressbuch (sekundäre Adressbuch) geht. Natürlich möchte mein Chef hier Lizenzkosten einsparen, daher ist der Wunsch entstanden eine Möglichkeit anzubieten, für (selbstentwickelte) Notes-Web-Applikationen, die nur für einen bestimmten Benutzerkreis zugänglich sein sollten,
eine Art Benutzerverwaltung einzurichten. Im Grunde genommen eine Art 'Namens- und Adressbuch'. Zum Thema 'Login' habe ich einige Threads gelesen, aber leider verweisen die meisten auf das Namens- u. Adressbuch und das möchte ich ja eigentlich vermeiden.
Meine Frage an das Notes-Forum lautet: Gibt es evtl. Erfahrungen oder auch Lösungen wie man dieses Lizenzproblem umgehehen kann. Wäre für jede denkbare Anregung dankbar.

[Thomas Schulte]

Das ist lizenztechnisch vollkommen wurscht. Wenn du "named" User hast dann sind Lizenzgebühren fällig. Es gibt aber von IBM Server Lizenzen bei denen du dann auf diesem (Anwendungs) Server beliebig viele User drauflassen darfst.
Der Einbau eines eigenständigen BenutzerManagments für Domino Anwendungen im Web ist rechtlich gesehen eine dunkelgraue Zone.

[Glombi]

Bzgl. Lizenzen empfehle ich diesen Beitrag:

http://atnotes.de/index.php?topic=29630.0


Andreas

[Lotuseffekt]

Vielen Dank für die beiden Beiträge.... zu den Lizenzen habe ich die entsprechende Informationen jetzt.

Aber gibt es auch Anregungen zu meinem o.g. Problem? Gibt es evtl. Erfahrungen im Bereich einer eigenständigen Benutzerverwaltung, die außerhalb des Namens- und Adressbuchs liegt?

Ich habe mir folgendes anhand eines fiktiven Beispielprojektes überlegt .... über zahlreiche Kritik bin ich sehr dankbar.
Nehmen wir mal an, es sollte in unterschiedlichen Abständen eine Teilnehmerbefragung zu diversen Themen durchgeführt werden. An dieser Befragung können aber nur ausgewählte Benutzer teilnehmen, die sich zuvor angemeldet haben.
Eine Datenbank dient für die Verwaltung von Benutzern. Hier kann sich jeder registrieren lassen mit einem persönlichen Benutzernamen und Passwort. Natürlich kann man die Komplexität und Funktionalität weiter ausbauen. Eine weitere Datenbank, die den Fragebogen (oder auch andere Logikfunktionen) enthält, prüft beim jeden Seiteaufruf über Web-Query-Open-Agenten, ob der Benutzer in der Benutzerverwaltung existiert. Die übergebenen Parameter werden über die URL mitgegeben. (z.B. server/dbpfad/xxx/opendocument?user=test&password=(DC9FF2F52054818D246C1CB8283896A7)) Sollte der Benutzer nicht zu finden sein, wird dieser auf die Registrierungsseite weitergeleitet.... Falls dieser bekannt ist, kann dieser die Seite sehen und bearbeiten...

Für eure Antworten schon jetzt vielen Dank.

[Lotuseffekt]

Ich wollte gerne das Thema von oben noch einmal in die Runde werfen... und bin über zahlreiche Anregungen und Kritikpunkte sehr dankbar.
Viele Grüße
VFrank

[Ayhan]

Meine Erfahrungen:

Zu den zeiten, als Express-Lizenzierungen noch nicht vorhanden bzw. zu teuer waren hatte ich eine sehr ähnliche Applikation geschrieben. Ich hatte jedoch bei jedem Login des Benutzers eine Session-ID generiert - diese war dann für x Stunden gültig. Den Benutzer habe ich dann über die URL (UserName + Session-ID) geprüft. War die Kombination aus User-Name + Session-ID ungültig, so habe ich damals in der Maske (die über mit mehreren Teilmasken aufgebaut war) einen JS-Redirect auf die Login-Seite.

Die Login-Seite hat so funktioniert:
User-Name + PW-Field;
Der User füllt diese Felder aus und wird danach kurz auf einen Agenten weitergeleitet, der Username + PW checkt; Stimmt die Kombination, wird eine Session-ID (war eine 20 stellige zufällige Buchstaben-Zahlenkombination) generiert und im Benutzerprofil hinterlegt. Auf den folgeseiten wird dann immer diese Kombination (die über die URL übergeben wird) geprüft.

An sich müsste eine solche Anwendung ebenfalls pro User lizenziert werden. Wie Thomas das auch geschrieben hat macht ihr euch eigentlich dadurch strafbar.

Ich kann mir nicht vorstellen, dass der Aufwand + Risiko sich anstatt einer Express-Lizenzierung lohnen wird.