Autor Thema: Notes Webaccess "härten"?  (Gelesen 2621 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Notes Webaccess "härten"?
« am: 03.09.07 - 07:00:08 »
Hallo,

bisher bin ich davon ausgegangen, dass nur die DWA7-Schablone den Webaccess ermöglicht und die Standard-Mail-Schablone Mail7 eben nicht.
Demzufolge sind die Restriktionen was Passwörter etc betrifft nicht gerade sehr stark. Bei einigen Notes-Accounts handelt es sich um Wechsel-Arbeitsplätze wie Azubis oder Produktion. Die haben leider nur sehr leichte Kennwörter.
Die DWA7-User haben ausreichend starke Kennwörter, die für Webaccess geeignet sind.

Lange Rede kurzer Sinn... Kann ich mit Notes-Boardmitteln ausschließlich DWA7-User für Webaccess zulassen und alle anderen aussperren?

Derzeit fällt mir lediglich ein, die Mail7-Schablone zu verwuschteln und die Web-Views zu deaktivieren.

Wäre mir sehr lieb, wenn es hier eine saubere Lösung gäbe.  ???

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Christopher

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.060
  • Geschlecht: Männlich
  • Dumm ist der, der dummes tut.
Re: Notes Webaccess "härten"?
« Antwort #1 am: 03.09.07 - 08:08:50 »
Hm gute Frage evtl. wäre die sauberste Lösung für die Webuser einen sepperaten Server zu betreiben. Auf dem anderen Server wird der HTTP Task deaktiviert. Was anderes fällt mir da jetzt nicht ein.
Client & Server R 5.011
Principal Certified Lotus Professional R5 System Administration
Microsoft Certified Systems Engineer 2000
Microsoft Certified Systems Administrator 2000
Microsoft Certified Systems Administrator 2003
Microsoft Certified Systems Engineer 2003

Offline m3

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Du möchtest also nicht den Server "härten", sondern eigentlich den Zugriff über das Web auf eine bestimmte Gruppe, unabhängig von der Datenbank beschränken?

IMHO wird das mit Bordmitteln nicht gehen.

Du könntest IMHO:
a) die Benutzername/Passwort Anmeldung deaktivieren und den berechtigten ein Internet-Zertifikat zur Anmeldung geben (Handling?)
b) ein DSAPI schreiben, das nur die Anmeldung von Benutzern, die in einer Gruppe sind, zulässt
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: Notes Webaccess "härten"?
« Antwort #3 am: 03.09.07 - 09:19:40 »
Wenn Du Geld ausgeben möchtest kannst Du den Server z.B. mit SecureDomino härten...


mehr Infos hier:
http://timetoact.de/ttacms.nsf/id/SecDomEN

Das wird aber nicht billig......
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Notes Webaccess "härten"?
« Antwort #4 am: 03.09.07 - 09:42:44 »
Ich hatte "härten" geschrieben, da ich die Funktion Webzugriff für Mail7 entfernen wollte. Somit eine Funktion, die nicht notwendig ist.  ;)

Das Entfernen der Kennwörter ist leider nicht möglich, da sonst kein Sametime möglich ist.
(Ist ja imho dummerweise dasselbe Kennwort)

Das Anschaffen und Betreiben eines zusätzlichen Notes-Servers ist wohl die sauberste Lösung, obwohl ich wohl die Mail-DBs der User lediglich zu diesem Server replizieren würde.
Ich fand die Lösung nur mit Kanonen nach Spatzen schiessen, wenn es eine Notes-eigene Lösung gegeben hätte. (Ist ja auch nicht gerade billig: Kosten für Server, Serverlizenz ...)

Die SecureDomino-Software klingt recht vielversprechend, allerdings ist mit Geld ausgeben erstmal ungünstig. Vielleicht kann ich es bei der Investplanung 2008 berücksichtigen lassen.

Hatte gehofft, es gibt irgendwo ein Access-Filter, wer (User / Schablone) darf und wer nicht.

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline pinodriver

  • Frischling
  • *
  • Beiträge: 3
Re: Notes Webaccess "härten"?
« Antwort #5 am: 03.09.07 - 09:58:18 »
Hi schroederk, sofern nur DWA-User per Browser auf genau diesen Server zugreifen sollen, kannst du bei allen anderen den Zugriff über die "erweiterte ACL" "Max. Internet-Namens-  und Kennwortzugriff" steuern. Alle die nicht auf Ihre (Mail-)Datenbanken zugreifen dürfen bekommen den Eintrag "no access".
Über einen Vhost und der Redirect-DB für DWA kannst du den Zugriff über eine Gruppe steuern.
Hoffe ich habe mich nicht zu umständlich/schwierig ausgedrückt
« Letzte Änderung: 03.09.07 - 10:02:09 von pinodriver »

Offline m3

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Notes Webaccess "härten"?
« Antwort #6 am: 03.09.07 - 10:02:02 »
Hi schrederk, sofern nur DWA-User per Browser auf genau diesen Server zugreifen sollen, kannst du bei allen anderen den Zugriff über die "erweiterte ACL" "Max. Internet-Namens-  und Kennwortzugriff" steuern. Alle die nicht auf Ihre (Mail-)Datenbanken zugreifen dürfen bekommen den Eintrag "no access".
WOW. Geschickt.  :)
Daran hätt ich gar nicht gedacht.

Zitat
Über einen Vhost und der Redirect-DB für DWA kannst du den Zugriff über eine Gruppe steuern.
Da kann ich dir leider nicht folgen. Etwas ausführlicher?
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline pinodriver

  • Frischling
  • *
  • Beiträge: 3
Re: Notes Webaccess "härten"?
« Antwort #7 am: 03.09.07 - 10:26:22 »
Zitat
Über einen Vhost und der Redirect-DB für DWA kannst du den Zugriff über eine Gruppe steuern.
Da kann ich dir leider nicht folgen. Etwas ausführlicher?
Zitat

Auf deinem Mailserver richtest du einen virtuellen Server ein. Es wird aus dem Template "dwaredirect" (iwaredir.ntf) die Redirect-DB für DWA erstellt und in dem virtuellem Server als Einstiegspunkt hinterlegt. In der DB wird eine ACL-Gruppe als "leser" eingetragen. Nur authorisierte Benutzer können nun das Script ausführen lassen, welches den Pfad zur Mail-DB aus dem Adressbuch ausliest und den URL umschreibt. Nicht-authorisierte bekommen einen Hinweis. Die DB ist nicht für die Sicherheit sondern für die Anwenderfreundlichkeit geschrieben worden. Die DBen müssen über die erweiterte ACL gesichert werden.

Offline m3

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Notes Webaccess "härten"?
« Antwort #8 am: 03.09.07 - 10:28:24 »
Auf deinem Mailserver richtest du einen virtuellen Server ein. Es wird aus dem Template "dwaredirect" (iwaredir.ntf) die Redirect-DB für DWA erstellt und in dem virtuellem Server als Einstiegspunkt hinterlegt. In der DB wird eine ACL-Gruppe als "leser" eingetragen. Nur authorisierte Benutzer können nun das Script ausführen lassen, welches den Pfad zur Mail-DB aus dem Adressbuch ausliest und den URL umschreibt. Nicht-authorisierte bekommen einen Hinweis. Die DB ist nicht für die Sicherheit sondern für die Anwenderfreundlichkeit geschrieben worden. Die DBen müssen über die erweiterte ACL gesichert werden.
Ah, OK. Also nur für die bessere "Optik".
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Notes Webaccess "härten"?
« Antwort #9 am: 03.09.07 - 10:59:25 »
sofern nur DWA-User per Browser auf genau diesen Server zugreifen sollen, kannst du bei allen anderen den Zugriff über die "erweiterte ACL" "Max. Internet-Namens-  und Kennwortzugriff" steuern. Alle die nicht auf Ihre (Mail-)Datenbanken zugreifen dürfen bekommen den Eintrag "no access".

Das hört sich ja sehr gut an...   :-*
Und das hat keinen Einfluss auf den Notes-Client-Funktionalitäten bzw. auf Sametime, lediglich Webaccess?
Wenn nicht, dann wäre das meine Lösung!  :D
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline pinodriver

  • Frischling
  • *
  • Beiträge: 3
Re: Notes Webaccess "härten"?
« Antwort #10 am: 03.09.07 - 11:18:10 »
Notes: Auf Notes hat es keine Einflüsse, da es sich hier um http und nicht nrpc requests handelt.
Sametime: Sametime hat ja sozusagen nichts mit Mail zu tun. Sofern du nicht mit einem Browser auf die Mail-DBen zugreifst (ausgenommen natürlich die DWA-Postfächer) hat es keine Einflüsse.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz