Das Notes Forum

Domino 9 und frühere Versionen => ND9: Entwicklung => Thema gestartet von: Omegas am 18.06.15 - 16:49:10

Titel: @UserRoles nur mit Konsistenzer ACL?
Beitrag von: Omegas am 18.06.15 - 16:49:10

Hey,

ich habe ja schon einige Eigenheiten von Notes gesehen, aber das hier ist eine, die absolut nicht in meinen Kopf will. Wie ich eben feststellte und auch in der KB nachlesen konnte, funktioniert @UserRoles in der Formelsprache nur dann, wenn die konsistenze ACL eingeschaltet ist.

Warum ist das so? Gibt es dafür einen tieferen Grund?

Scheinbar gilt dies nur für die Formelsprache, da ich z.B. einem Dokument direkt eine Rolle als Leser zuweisen kann und es egal ist, ob die konsistenze ACL eingeschaltet ist, oder nicht.

Titel: Re: @UserRoles nur mit Konsistenzer ACL?
Beitrag von: Tode am 18.06.15 - 17:14:07

Das hast Du nicht ganz korrekt gelesen:

@UserRoles funktioniert AUF LOKALEN DATENBANKEN nur, wenn die konsistente ACL eingeschaltet ist.
Durch diesen Haken wird die ACL und damit die Rollen auch Lokal erzwungen, ohne den Haken zieht die ACL nur auf Servergestützten Datenbanken.

Warum das so ist: Keine Ahnung, aber das ist schon seit ich denken kann so.

Titel: Re: @UserRoles nur mit Konsistenzer ACL?
Beitrag von: koehlerbv am 19.06.15 - 23:36:46

Zitat von: Tode am 18.06.15 - 17:14:07

Warum das so ist: Keine Ahnung, aber das ist schon seit ich denken kann so.

Verbindlich für die Auswertung einer ACL ist immer das Domino Directory, welche *verbindlich* nicht auf einer lokalen Maschine vorhanden sein kann. Daher ist lokal ein Benutzer immer ein "lokaler Manager" in einer Notes-Datenbank, Rollen können nicht ausgewertet / zugeordnet werden, und Verifizierungen der Gültigkeit von Dokumenten finden erst bei einer Replizierung mit einem Domino statt. Würde dies nicht passieren, könnte sich jeder halbwegs denkfähige User ansonsten sein eigenes names.nsf so zurecht basteln, dass er sich notwendige Rechte verschaffen kann.

Bei der Erstellung einer lokalen Replik einer Datenbank mit einer konsistenten ACL wird der erforderliche Teil der Datenbank-ACL als unveränderlicher Snapshot in der lokalen Replik abgelegt und damit wirkt die ACL auch lokal - aber immer nur mit dem Stand der Erstellung der Replik. Das bedeutet auch: Erhält ein Benutzer A eine Rolle über seine Mitgliedschaft in einer Gruppe, dann kann er / sie damit lokal arbeiten. Wird später ein weiterer Benutzer B in die Gruppe aufgenommen und die lokale Replik von A an B übergeben, so kann B damit *NICHT* so arbeiten wie A (er bekommt ggf. gar keinen Zugriff), da der ACL-Snapshot ihn nicht kennt.

Das Gesamtkonzept der konsistenten ACL ergibt also tatsächlich sehr viel Sinn.

Bernhard

Titel: Re: @UserRoles nur mit Konsistenzer ACL?
Beitrag von: cg-home am 20.06.15 - 11:06:47

Schön erklärt Bernhard,

wir müssen auch in einigen bzw. allen Anwendungen mit Rollen mit der kACL arbeiten.
Worauf man eben wegen dem Zugriffs-Snapshot noch achten muss:

- Datenbanken kopieren vom Server zur lokalen Nutzung geht nicht
- ACL Änderung kann lokale neureplizierung erforderlich machen

Ist jefenfalls bei uns so, gerade der erste Punkt ist für uns nervig.
Unsere CRM Anwendung hat Rollen und somit kACL aktiv und kann nicht
kopiert werden, sondern muss repliziert werden. Je nach Zugriffsrecht
kann das wegen der Menge an Daten 2-3 Tage dauern.

Gruß Christian