Wenn es sich um die privaten Adressbücher der obersten Leitung handelt, darf dann jeder die Infos bekommen?
Wieso bekommt da automatisch JEDER die Info?
LDAP? Am Server? == alle können zugreifen.
Nein, LDAP heißt nicht zwangsläufig == Jeder. Es kommt drauf an, wie die ACL's eingerichtet wurden und was in der DA freigeschaltet wurde.
Das hatte ich in meinem Post aber schon dahingehend angerissen:
Mit Notes kann ich ganze Adreßbücher (natürlich auch mein eigenes) auf dem Server ablegen und bestimmten oder allen Nutzern (öffentlich) zur Verfügung stellen, mit Outlook und Exchange geht das natürlich genauso (Kontaktordner, öffentliche Ordner usw.).
...
So kann ich natürlich alle persönlichen Kontakte per LDAP abgreifbar machen - möchte ich das aber auch?
...
Und natürlich die interessante Frage, woher stammen die Anmeldedaten, die für die unterschiedlichen Zugriffsrechte benötigt werden - oder passiert alles mit einer einzigen Anmeldung? Fragen über Fragen, die ich dem Tk-Menschen stellen würde.
Ich wollte das Posting nicht zu sehr ausufern lassen, insbesondere weil mir klar war, dass hier manchmal nicht jeder alle Postings so detailliert lesen möchte.
Ich kann natürlich (und ich habe es auch nochmal vor meinem Posting gestern getestet) alle/bestimmte persönliche Adreßbücher in die DA aufnehmen. Bevor jetzt der eine sagt, die Aufnahme von Adreßbüchern auf Basis der PERNAMES.NTF in die DA ist nicht unterstützt: JAEIN. Offiziell steht zwar in der Beschreibung, dass nur die PUBNAMES.NTF verwendet werden darf aber ebenso offiziell gibt es eine Einstellung zum Zulassen der LDAP-Suche auf das persönliche Adreßbuch die natürlich nur in Serverrepliken funktioniert (zu finden in jedem Persönlichen Adreßbuch unter Werkzeuge > Vorgaben > Detaillierte LDAP-Anfragen in diesem Adreßbuch zulassen). Das ist widersprüchlich dokumentiert, weil die Hälfte der geneigten Leser das als Einstellung für LDAP-Anfragen auf andere LDAP-Verzeichnisse interpretiert, was aber nicht so ist.
Wie schon beschrieben funktioniert es mit dieser Einstellung und natürlich zusätzlich den ebenfalls schon genannten Randbedingungen dass die Replik auf einem Domino mit DA und LDAP-Task liegt. Die ACL der Datenbank sorgt dafür, daß nicht mehr jeder alle Adressen zu Gesicht bekommt. Worauf sich wiederum meine folgende Aussage bezog:
Und natürlich die interessante Frage, woher stammen die Anmeldedaten, die für die unterschiedlichen Zugriffsrechte benötigt werden - oder passiert alles mit einer einzigen Anmeldung?
Wenn sich jeder per LDAP auch mit den eigenen Credentials authentifiziert bekommt jeder auch nur die öffentlichen + eigenen Adressen in der Suche.
Nur, wie jetzt schon 2x zitiert, befürchte ich, dass die TK-Anlage ein General-Login mit eigenen Credentials spendiert bekommt und damit in der Tat wieder auf alles zugreifen kann. Was dann natürlich wieder nicht im Sinne des Erfinders ist.
Mit Exchange kann man da noch etwas anders "tricksen", da Exchange eine Art Override der Nutzeranmeldung kennt (sofern es aktiviert wurde). Damit kann sich ein Exchange-Admin (oder Spezial-User) ohne Kenntnis des Benutzerkennworts so anmelden als wäre er ein beliebiger Benutzer - und sieht damit natürlich die Daten auch aus Sicht des Nutzers. Ob das jetzt ein tolles Feature ist sei mal dahingestellt, da hier dem Mißbrauch Tür und Tor geöffnet wird. Notes kennt zwar auch den Full-Access-Admin, aber der kann im Gegensatz zu der Microsoft-Variante zwar alles sehen aber sich eben nicht vollständig und ohne Nachvollziehbarkeit als der jeweilige Benutzer ausgeben.
Es läuft also unterm Strich wieder auf die Frage hinaus, wie sich nun die TK-Anlage genau beim LDAP-Zugriff anmeldet und ob den Nutzern über irgendein Interface die Möglichkeit gegeben wird z.B. die eigenen Credentials wahlweise zu hinterlegen (oder zumindest über irgendeinen Mechanismus zur Verfügung zu stellen).
Carsten
