Benutzerzugriffe sperren Http

[tron55]

Hallo

schöne Weihnachten , solange man das noch sagen darf!

Ich habe mal eine Frage zu einem Thema über das ich aus Neugier gestolpert bin aber zu dem  ich leider nur alte Informationen gefunden habe
(http://atnotes.de/index.php/board,2/action,display/threadid,14952.html)

Zu der Zeit als dieser Thread aktuell war, hat man Leute die aus einer Firma ausgeschieden waren in die DENY List gesteckt damit diese nicht mehr auf den Server einloggen konnten - nur dummerweise galt das nicht automatisch für den Webzugriff.

Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...

Weiß jemand ob das in der Version immer noch so ist?

Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das  in der Active Directory möglich ist?

Gibt es gar keine Möglichkeit stärker zu diffenzieren wer sich überhaupt anmelden darf aus der DD?
Eine simple Liste mit zB Hilde Gänseklein , Karl Knopf etc wäre doch eigentlich eine sinnvolle Sache gewesen ... wenn Bernd Ösewicht dann nicht auf der Liste steht darf er halt nicht.

Gruß

[Axel]

Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...

Weiß jemand ob das in der Version immer noch so ist?

Wenn ich mich recht erinnere gibt es im Serverdokument eine Einstellung die das verhindert. Leider kann ich im Moment nicht nachschauen.

Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das  in der Active Directory möglich ist?

Nein.

Gibt es gar keine Möglichkeit stärker zu diffenzieren wer sich überhaupt anmelden darf aus der DD?
Eine simple Liste mit zB Hilde Gänseklein , Karl Knopf etc wäre doch eigentlich eine sinnvolle Sache gewesen ... wenn Bernd Ösewicht dann nicht auf der Liste steht darf er halt nicht.

Was meinst du mit "...stärker zu differenzieren"? Wer im DD steht darf prinzipiell, außer er steht in der DenyAccess-Gruppe.
Allerdings kann man über die Sicherheitseinstellungen im Serverdokument das einiges einstellen.

Aber was macht das für einen Sinn jemanden in DD aufzunehmen und ihm dann keine Zugriff auf den Domino zu gewähren. In dem Fall braucht man ihn auch nicht in DD einzufügen.

Axel

[tron55]

Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...

Weiß jemand ob das in der Version immer noch so ist?

Wenn ich mich recht erinnere gibt es im Serverdokument eine Einstellung die das verhindert. Leider kann ich im Moment nicht nachschauen.

Das würde mich mal interessieren wie die heißt ,weil wie in dem Thread zu nachzulesen konnte man in 6.5 nur das Internetpasswort wegnehmen.
Wenn ich mir nun einen 5000+ Personenbetrieb vorstelle ist das schon arges Gefrickel davon auszugehen das jeder Admin in den verschiedenen Organisationen auch immer daran denkt das Internetpasswort auszutragen... oder im Nachhinein zu überprüfen ob das auch wirklich überall passiert ist.

Kann man möglicherweise etwas unterbinden indem man im Serverdokument "Check Password" aktiviert?

Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das  in der Active Directory möglich ist?

Nein.

Das ist irgendwie schwach von Notes..

Gibt es gar keine Möglichkeit stärker zu diffenzieren wer sich überhaupt anmelden darf aus der DD?
Eine simple Liste mit zB Hilde Gänseklein , Karl Knopf etc wäre doch eigentlich eine sinnvolle Sache gewesen ... wenn Bernd Ösewicht dann nicht auf der Liste steht darf er halt nicht.

Was meinst du mit "...stärker zu differenzieren"? Wer im DD steht darf prinzipiell, außer er steht in der DenyAccess-Gruppe.
Allerdings kann man über die Sicherheitseinstellungen im Serverdokument das einiges einstellen.

Aber was macht das für einen Sinn jemanden in DD aufzunehmen und ihm dann keine Zugriff auf den Domino zu gewähren. In dem Fall braucht man ihn auch nicht in DD einzufügen.

Axel

Ok vielleicht habe ich etwas falsch verstanden aber genau das ist doch nicht der Fall.
Wenn jemand in der DenyAccess steht darf er sich nicht mit mit seinem Notes Client im LAN am Server anmelden - aber auf dem HTTP Task darf er es dummerweise, genau das war ja das Problem in dem Thread dessen URL ich gepostet hatte.

Es kann ja außerdem durchaus möglich sein das ich bestimmte User auf den HTTP Task (zb Vorstand und GF) zugreifen lassen will und andere sollen sich nur im Lan anmelden können.

[m3]

Policies und "Enforce password expiration" sind Stichwörter für die Suche in der Admin-Hilfe.

Auch gut ist "Enforce server access settings"

Domino server access is defined in the Server document in the Domino Directory. If a user is listed in a deny access list or is not listed in an allowed access list, then the user cannot be granted access to the server. In Lotus Domino 5, server access settings in the Server document were not applied to users accessing the server with a Web browser. However, Lotus Domino 6 allows the enforcement of the server permission for Web users

[Axel]

Solange Person X noch ein Internetpasswort hatte konnte Sie fleißig über jeden Webbrowser einloggen und Mails lesen/forwarden ect ...

Weiß jemand ob das in der Version immer noch so ist?

Wenn ich mich recht erinnere gibt es im Serverdokument eine Einstellung die das verhindert. Leider kann ich im Moment nicht nachschauen.

Das würde mich mal interessieren wie die heißt ,weil wie in dem Thread zu nachzulesen konnte man in 6.5 nur das Internetpasswort wegnehmen.
Wenn ich mir nun einen 5000+ Personenbetrieb vorstelle ist das schon arges Gefrickel davon auszugehen das jeder Admin in den verschiedenen Organisationen auch immer daran denkt das Internetpasswort auszutragen... oder im Nachhinein zu überprüfen ob das auch wirklich überall passiert ist.

Kann man möglicherweise etwas unterbinden indem man im Serverdokument "Check Password" aktiviert?

So ich habe mal in meinem Archiv gekramt.

Im Server Dokument auf dem Reiter "Ports" und dort unter "Internet Ports" muss die Option "Enforce server access settings"  auf "Yes" gesetzt sein.

Sonst kann der User, obwohl er in der DenyAccess-Gruppe drin ist, trotzem über HTTP auf den Server zugreifen.

Axel

[tron55]

Sehr cool.

Vielen Dank euch Beiden.

[tron55]

Hallo ,

muss doch noch mal stören.

In einem Podcast habe ich gesehen das man unseren besprochenen Task auch ganz anders erledigen kann.

Scheinbar gibt es hier eine Domäne : beispieldomäne.local und dort sind die aktiven user unterwegs.

Dann gibt es dort ganz normal die Deny List und diese enthält eine Gruppe : Deny Group.

!In dieser Gruppe werden alle Personen eingetragen die keinen Zugriff mehr haben sollen.
!Und die Gruppe selbst schein t irgendwo versteckt zu sitzen ... ich kann mir keinen genauen Reim darauf machen.

Die Deny Gruppe taucht in der Auflistung der Dominogruppen nicht auf nur in dem Reiter "Deny Access Groups" und die Personendokumente tauchen auch nicht auf unter "Personen und Gruppen"

Aus reiner Neugier hat jemand eine Idee wie die das gemacht haben?

[ascabg]

Hallo,

Sie Dir dch einfach mal die Selektionsformael fuer die betreffende Ansicht an.
(war im Uebrigen auch in der Version 7 schon so)

Und die Personendokumente muesse nicht mehr vorhanden sein. Diese koennen bereits geloescht worden sein.


Andreas

[tron55]

Gerne , wo seh ich die?
Ich hätte ja jetzt inituitiv den Designer aufgemacht...

[ascabg]

Und in diesem dann die entspechende Ansicht.

Hier findest Du dann die ViewSelection.


Andreas

[tron55]

Ok sorry du erklärst das prinzipiell sehr gut aber ich hab keinen Plan wie ich diese Gruppe suche oder öffne im Designer.
Weil Sie ja im Adminclient gar nicht richtig auftaucht habe ich keine Ahnung wo ich suchen muss.

Ich versuche mich mal etwas sch lauer zu googeln -vielleicht klappts.
Ansonsten trotzdem danke für die Hilfe.

[ascabg]

Hier noch ein kleiner Screenshot des Punktes den ich meine.


Andreas

[tron55]

Ok ich bin etwas unsicher ob ich alles richtig gemacht habe daher hier erstmal der Status:

Ich habe

- Den Designer geöffnet
- "open application" gedrückt
- auf dem Mailserver um den es geht die names.nsf geöffnet.
- dort unter "Views"konnte ich "server\Deny Acces Group" anwählen.
- dann "View Selection" und dort steht dann

SELECT Type = "Group" & GroupType = "3" & Form = "Group"

[ascabg]

Stimmt schon mal soweit.


Andreas

[Axel]

Ok ich bin etwas unsicher ob ich alles richtig gemacht habe daher hier erstmal der Status:

Ich habe

- Den Designer geöffnet
- "open application" gedrückt
- auf dem Mailserver um den es geht die names.nsf geöffnet.
...

Ich hoffe du weißt was du tust und werkelst nicht am produktiven Domino Directory herum. Das könnte böse Folgen haben.

Axel

[tron55]

Bisher habe ich nur geschaut und keinen Parameter geändert.


Da die Gruppe nicht im AdminClient unter Groups/by Organisation auftaucht (im Designer dann aber schon) kann es sein das der Task gelöst wurde indem man die Gruppe dort erstellt hat, die Gruppe aber dann in einer anderen Organsation parkt?

Ich bin jetzt mal mutig und behaupte das es die Selektionsformel ja irgendwie nicht sein kann.

[tron55]

Weiß jemand außerdem ob es möglich ist in Notes User zeitgesteuert zu disablen, ähnlich wie das  in der Active Directory möglich ist?

Nein.

Endlich kann ich auchmal einen Mehrwert erzeugen
Doch!

und zwar indem man dem  Personendokument eine explizite Richtlinie zuordnet die sagt "deine ID läuft am 01.01. ab"

Gruß

[umi]

Die Selektions stimmt schon.
Wenn Du eine neue Gruppe anlegst kannst Du über das Feld Group Type auswählen, was das für ne Gruppe ist
Multi-Purpose, ACL-Only... und eben Deny Access Group

[stoeps]

Endlich kann ich auchmal einen Mehrwert erzeugen
Doch!

und zwar indem man dem  Personendokument eine explizite Richtlinie zuordnet die sagt "deine ID läuft am 01.01. ab"

Gruß

Hmm,
1. mit welcher Richtlinie (bzw. welchem Setting Document) setzt du den Ablauf einer ID Datei?
2. wie wirkt sich das auf den http-Zugriff aus?

Grüsse
Christoph