Auflösung von ACL-Gruppen über Directory Assistance geht nicht

[theBastian]

Guten Morgen allerseits,

ich habe ein Problem mit meinen ACL-Gruppen.
Für jede Anwendung habe ich im Domino Directory eine Gruppe, in der dann meist die Gruppen der zugriffsberechtigten Abteilungen usw. sind.

Jetzt sollen einige Personen aus einer benachbarten Domain auf meine DB zugreifen. Das Directory dieser Domain ist über Directory Assistance eingebunden.

Leider löst mein Domino Server zwar die Berechtigungen auf, wenn einzelne User der Domain in meiner ACL-Gruppe stehen, nicht aber, wenn ich eine Gruppe auswähle.

Beim Eintrag für das DD der benachbarten Domain ist Group Authorization aktiviert.

Gibt es da irgendwelche Limite für ACL-Gruppen?

Danke Euch schonmal im voraus.
Sebastian

[m3]

You can store groups used for database authorization in one directory in addition to the primary Domino Directory. This one additional directory can be a secondary Domino Directory, an Extended Directory Catalog, or a remote LDAP directory.

Das Adressbuch das Einzige für Group-Authorization?

[theBastian]

Ja, es stehen nur mein Primary Directory und das der benachbarten Domain drin. Und nur bei dem ist Group Authorization aktiv, da es im Primary ja immer funktioniert, egal ob an- oder ausgeschaltet.

[m3]

Für Dein primäres DD hast Du aber hoffentlich keinen DA Eintrag, oder?

[theBastian]

Doch. So wie ich das verstanden habe, brauchen das die Server, die nur ein Configuration Directory haben. Oder ist das nicht notwendig?

[m3]

Ahhh, der Server hat nur ein CD! Wann hättest Du uns diese relevante Info denn verraten?

Damit ist es aber klar. Du hast das DD mit Gruppenauflösung in der DA, also kann im zweiten Adressbuch keine Gruppenauflösung mehr stattfionden.
Wie ich oben schon zitiert habe, Gruppenauflösung geht nur in EINEM der Adressbücher, die in der DA eingetragen sind.

[theBastian]

Sorry, das mit dem CD muss mir irgendwie entfallen sein. 

Kennst Du ev. einen Workaround für dieses Problem?

[m3]

Ja, das CD durch ein DD ersetzen und nur das weitere Adressbuch in der DA einbinden.

Alternativ dazu könntest Du Dir ev. auch mit einem Extended Directory Catalog helfen. Aber da müsste ich Dein Setup genauer kennen, damit ich weiß, ob das hilft.

[theBastian]

Ich lese mir mal die Voraussetzungen für einen Extended Directory Catalog in der Hilfe durch. Mal sehen ...

[theBastian]

Na gut, nachdem ich die mir Infos dazu durchgelesen habe, werde ich wohl für die Übergangszeit eine Gruppe in meinen DD mit den Usern anlegen.

Zuviel Aufwand für eine Sache, die nur bis zur Migration genutzt wird.

Danke Dir trotzdem für Deine Mühe.