Das Notes Forum

Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: mcilly am 01.02.07 - 13:52:50

Titel: Verständnisfrage erweiterte ACL (max. Zugriff)
Beitrag von: mcilly am 01.02.07 - 13:52:50

Hi zusammen!

Standardmäßig ist ja der Max. Internet-Namens- und Kennwortzugriff in der erweiterten ACL auf "Editor" gestellt. Macht es nicht Sinn diesen bei den wichtigsten DBen auf "Leser", oder gar auf "Kein Zugriff" zu setzen? Ausser, man will übers Web administrieren, aber davon abgesehen, würde ich das bei allen DBen auf "Kein Zugriff" setzen.

Gut, schlecht, Erfahrungen? Danke.

Titel: Re: Verständnisfrage erweiterte ACL (max. Zugriff)
Beitrag von: m3 am 01.02.07 - 13:57:01

Wie immer die Frage, "was willst Du damit erreichen"?
Die Admin-Hilfe im Kapitel "Maximum Internet name-and-password access" lässt sich doch eh sehr schön über die Vor- und Nachteile aus.

Titel: Re: Verständnisfrage erweiterte ACL (max. Zugriff)
Beitrag von: Steve_O. am 01.02.07 - 14:03:22

Es macht natürlich nur Sinn, sich darüber Gedanken zu machen, wenn ein http läuft...

Titel: Re: Verständnisfrage erweiterte ACL (max. Zugriff)
Beitrag von: mcilly am 01.02.07 - 14:50:34

Ach, ihr habt ja so recht. Tud mir leid für meine Unachtsamkeit, dass mir das auch noch passiert, dass ich die Hilfe auslasse.

Erreichen will ich, dass die DBen einfach nicht übers Web erreichbar sind. D.h., würde jemand mein Passwort sniffen und meine ID kappen, wie und warum auch immer, sollte er damit vom Inet aus nix anfangen können.

Ja, der HTTP läuft natürlich, ich möchte aber - ausser mein Mailfile samt redirector - nix von extern nutzen. Deshalb ist es auch unnötig, dass man das prinzipiell mittels Editor erlaubt. Anonymous steht sowieso in der ACL mit "kein Zugriff", aber es geht ja darum, dass es nicht einmal mit gültiger ID und PW funktionieren soll.

Titel: Re: Verständnisfrage erweiterte ACL (max. Zugriff)
Beitrag von: mcilly am 02.02.07 - 14:29:50

Alles klar. Also, wenn ich die Hilfe richtig verstanden habe, dann zählt für User, die per Web auf eine DB losgehen immer der "Maximale Internet-Namens- und Kennwortzugriff".

D.h. nun, wenn ich das NAB per ACL für mich als Manager versehe, den "Maximalen Internet-Namens- und Kennwortzugriff" jedoch auf "Kein Zugriff" setze, dann ist es im Web nicht erreichbar. Auch nicht von mir als Admin mit Username und Passwort (Meldung "...you are not authorized to access names.nsf").

Warum diese Einstellung in den meisten Sys DBen nicht standard auf "Kein Zugriff" gesetzt ist, kann ich mir jedoch nicht erklären. Das würde doch die Sicherheit emens erhöhen! Erst, wenn man Zugriff übers Inet braucht, dann vergibt man sich den. Würde mich noch über den ein oder anderen Kommentar freuen. Habt ihr in euren DBen den Inet Zugriff über diese Funktion beschränkt, oder ist euch das egal?

Danke schon mal an alle...