Gruppenzugriff bei zwei Domänen

[jr]

Hallo zusammen,

ich habe hier bei einem Kunden ein größeres Problem und komme nicht weiter. Irgend wo mache ich einen Denkfehler oder habe etwas vergessen. Vielleicht kann mir jemand von Euch helfen. Es geht um eine Firmenübernahme und den Zugriff auf Datenbanken mit zwei verschiedenen IDs. Damit es nicht zu umfangreich wird, vereinfache ich es ein wenig.

- Die beiden Domänen (Ich nenne sie hier ORG1 und ORG2, auch wenn das eigentlich die O ist) sind nicht benachbart (eine Adjacent Domain ist nicht erlaubt). Es gibt aber immerhin eine Querzulassung von ORG1 zu ORG2.
- Jeder User hat 2 IDs (Fritz/aa/ORG1 und Fritz/bb/ORG2)
- Es geht um den Zugriff auf Datenbanken in /ORG1 mit IDs aus /ORG2
- Alle Dokumentenrechte (Reader, Author, etc.) bleiben erst mal außen vor, es geht jetzt nur um den Datenbankzugriff
- Die Arbeitsumgebung beim User ist auf /ORG2 abgestimmt
- Die Zugriffe auf NAB, GruppenAdressbuch und DA in /ORG1 funktionieren mit den /ORG2-IDs problemlos (*/ORG2 ist überall als Leser eingetragen)
- Ich melde mich mit Fritz/bb/ORG2 an.
- Nun greife ich auf einen Server SRV/ORG1 zu - Funkioniert.
- Ich öffne eine Datenbank in der Fritz/bb/ORG2 in der ACL steht - Funktioniert.
- Ich greife auf das Gruppenadressbuch zu - Funktioniert.
- In der Gruppe ABC im Grupenadressbuch steht sowohl Fritz/aa/ORG1 als auch Fritz/bb/ORG2
- Wenn ich eine Datenbank auf SRV/ORG1 öffne, in der die Gruppe ABC mit ausreichenden Rechten steht, dann meldet das System, dass ich keinen Zugriff habe.

Warum ist das so? Wo liegt mein Denkfehler? Wenn ich auf eine Datenbank auf Server SRV/ORG1 zugreife, dann müsste er doch für die Gruppenauflösung auch die Adressbücher auf diesem Server benutzen, oder? Wie kann ich es anstellen, dass der User wie gewohnt auf seine Datenbank kommt.

Es wäre nett, wenn mir hier jemand helfen könnte.

Im Voraus vielen Dank,

Joachim

[Cebe1]

Ich denke das Problem liegt möglicherweise in der Gruppenauflösung, die an der Stelle nicht funktioniert.
Versuche es doch mal mit der Zugriffsberechtigung nur für einen Benutzer.

[jr]

Hallo,

danke für die Antwort. Mir ist schon klar, dass es an der Gruppenauflösung liegt, die Frage ist nur, warum? Wenn ich die User einzeln in die ACL eintrage funktionert es ja. Nur wenn sie in Gruppen stehen, klappt es nicht. Und meines Erachtens sollte die Gruppenauflösung auf dem Server passieren, auf dem die Datenbank liegt.

Gruß,

Joachim

[Cebe1]

Meinst Du mit Gruppenadressbuch das ÖNAB / Domino Verzeichnis ?

[jr]

Hallo,

nein. Es gibt das NAB (names.nsf) und es gibt ein zweites Adressbuch, dass nur Gruppen enthält (z. B. groups.nsf). Über die DA werden beide Adressbücher zusammengeführt, so dass sie gleichwertig benutzt werden können. Ich vermute, das der Fehler genau hier liegt, denn wenn ich eine Gruppe aus dem Gruppenadressbuch lösche in das NAB kopiere, dann funktoinert es anscheinend.

Gruß,

Joachim

[jr]

Sorry,

Kommando zurück, es funkioniert auch nicht, wenn die Gruppe im globalen Nab (names.nsf) ist.

Gruß,

JR

[Wolfgang]

... ist womöglich als Gruppentyp "nur Mail" ausgewählt?

Gruß
Wolfgang

[MCPvsTron]

Hallo,

prinzipiell gilt. Gegen Gruppen die in einem Adressbuch über DA eingebunden sind kann der Server bei einem Notes Zugriff nicht authentifizieren. Die Gruppe muss im primären NAB angesiedelt sein und dann die einzelnen Anwender der anderen Domäne enthalten, diese Gruppe dann in die ACL eintragen.

MfG
Christian

[jr]

Hallo,

vielen Dank für die Antworten. Die Gruppen sind schon korrekt. Sie funktionieren bisher ja auch problemlos mit den Einträgen der eigenen Domäne. Es war mir aber nicht klar, dass die Gruppen nur im NAB korrekte authentifiziert werden. Ich kann es aber leider erst morgen prüfen, da ich heute bei einem anderen Kunden bin.

Nochmals Danke.

Gruß,

Joachim