Autor Thema: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt  (Gelesen 3083 mal)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Ich habe eine lokale Replik einer Schablone, die ich anpasse. Am Freitag habe ich in dieser gearbeitet, Design angepasst, etc.

Heute habe ich eine Replik auf unseren Server gestellt und festgestellt:
Mensch, auf der DB hast Du ja nur Leser- Rechte...

Also: Replik auf dem Server löschen, ACL lokal anpassen, neu replizieren....

DENKSTE ! Die lokale Replik lässt mich nun auch nicht mehr "rein".

Seit R6 kommt es immer mal wieder vor, dass die ACL von Datenbanken lokal zieht, obwohl sie keine konsistente ACL haben.
Wie kriege ich diesen komischen lokalen Schutz jetzt wieder weg ?

Für Tipps bin ich dankbar.

Tode

P.S.: Wie ich auf dem Server drankomme über Serverclient oder signierte Agents die mit der NotesACL- Klasse spielen, ist mir klar. Aber der Aufwand ist mir dann doch jedesmal zu hoch für eine DB, die gestern lokal noch offen war, und heute plötzlich nicht mehr.
P.P.S: Die Standards (Kachel runter, Desktop komprimieren, Cache löschen) habe ich natürlich als erstes durchgemacht...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Re: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt
« Antwort #1 am: 30.01.07 - 10:48:01 »
Was ist, wenn du nochmal eine Replik auf den Server schmeißt und dann mit dem Full Admin Access drauf los gehst? ACL anpassen und dann wieder lokal zurückreplizieren?
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt
« Antwort #2 am: 30.01.07 - 17:33:08 »
Natürlich kenne ich auch den FullAccess- Admin. Und damit ist es natürlich auch kein Problem.
Ausserdem habe ich mir den Zugriff schon lange wieder besorgt.

Es ging mir eigentlich mehr um die Grundsatzfrage.
Es ist nämlich mordsmässig peinlich, wenn man eine Datenbank an einen Kunden verschickt OHNE Verschlüsselung und OHNE Konsistente ACL und dieser die DB trotzdem nicht öffnen kann, wegen dieses seltsamen Verhaltens.

Natürlich kann ich vor jedem verschicken Default auf Manager setzen, aber ich suche hier eigentlich keinen Workaround sondern eine Erklärung für dieses "tolle" Verhalten.

Trotzdem Danke für Deinen Post.

Tode
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt
« Antwort #3 am: 30.01.07 - 18:17:27 »
Hallo Torsten,

ich habe nun schon wirklich viele Templates mit R6 erzeugt (und an Kunden verschickt), aber dieses Verhalten ist mir noch nie untergekommen. Wenn die DB (incl. aller Repliken) eine "offene" ACL hat, dann gab es noch nie ein Problem.

Kannst Du die Umstände noch etwas eingrenzen? R6-Versionen? Weiteres ...?

Bernhard

Glombi

  • Gast
Re: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt
« Antwort #4 am: 30.01.07 - 20:28:22 »
Das scheint ein Feature ab R6 zu sein: Die KBASE sagt

Creating a Local Replica Copy in Notes/Domino 6.x Appears to Enable "Enforce a Consistent ACL"

Product:   Lotus Domino  >  Not Applicable  >  Versions 6.0, 6.5
Platform(s):   Platform Independent
Doc Number:   1162433

Problem

In Notes/Domino R5, if you open a database locally, and if the advanced ACL property "Maintain a consistent ACL across all replicas" is NOT used, you have the effective access of a Manager.  In 6.x, however, if you create a local replica of a database on the server, and you maintain a connection to the server, the local replica enforces the ACL settings of the replica on the server.
Steps to reproduce:
1.  Create a local database in R5.  The ACL will not be enforced, and the @userroles will not display any roles.

2.  Replicate that database to a Domino 6.x server and open it.

3.  Remove Manager access from yourself and make yourself Reader via the ACL.

4.  Attempt to compose a document; you cannot.

Based on the way it worked in Notes 5.x, you would expect that Local databases should not use the ACL and should have no security unless "Enforce a consistent Access Control List" is turned on (which it is not.)



Solution
This behavior was reported to Lotus software Quality Engineering but was found not to be a software problem; it was an intentional functionality change.

From Notes Help (6.x):
"Enforcing a consistent access control list"
If you replicate a database locally, the database ACL recognizes your access as it is known to the server.  This happens automatically for local replication, regardless of whether "Enforce a consistent access control list" is enabled."

The purpose of enforcing a consistent ACL in this manner is to ensure that other ACL properties such as roles work for local replicas. In R5 for example, roles in the local replica could not be used unless Enforce a Consistent ACL was enabled.

In order to be able to access the local database with full rights you must make a copy of the database, not a replica.

Andreas

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt
« Antwort #5 am: 30.01.07 - 23:17:22 »
Wenn ich das richtig verstehe, dann müssten für dieses Szenario die Zugriffsrechte mitkopiert werden. Aber das wird Torsten für ein Template doch nicht machen, oder?

Bernhard

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Lokale Replik OHNE Konsistente ACL: Trotzdem geschützt
« Antwort #6 am: 31.01.07 - 14:14:13 »
ok... it's not a bug, it's a Feature...

Wenn mir jetzt noch jemand erklärt, warum dann meine Kunden die Schablonen, die ich Ihnen schicke, zu 99% öffnen können, dann bin ich ja schon zufrieden...

Wenn dieser KB- Artikel gelten würde, dann dürften die Kunden ja die Schablonen alle nicht öffnen können...

Aber egal... mit dem KB- Eintrag hat sich das für mich erledigt... Weiss nicht, warum ich den nicht selbst gefunden habe...

Danke an alle
Tode
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz