XACL - erweiterte ACL beim names.nsf

[Steffen]

Hi,

ich hab mich schon versucht online sowie in der Hilfe darüber schlau zu machen und hab auch schon einiges auf unserem Testsystem ausprobiert.
Leider krieg ich nicht den richtigen Durchblick und meine Beschränkungen (Admins sollen das Fulladminfeld nicht ändern dürfen sondern im Endausbau nur der Sonderuser der dann da eingestellt wird)

Daher vorab die Fragen:
Kennt sich jemand damit aus?
Setzt es jemand überhaupt ein oder warum nicht?
Hat schon jemand eine solche Lösung geschaffen, dass wir als Admins aus revisorischen Gründen das Fulladminfeld nicht verändern darf sondern nur der 4Augenprinzip geschützte User.

Das die xacl ein leidiges Thema hab ich schon mitbekommen, daher auch die Frage nach erfahrenen Usern damit. Leider wurden wir von der Revision genau darauf angesprochen. 

Danke schonmal vorab

[Steffen]

Hmm, scheinbar gibt es ja nicht viele Leute die diese Funktion einsetzen?
Leider muß ich mich aufgrund einer Anforderung damit beschäftigen, scheitere am meinem Testsystem ( 8.0.2 ) allerdings immer.

Ich hoffe irgendjemand hat vielleicht noch einen Tip oder Denkansatz für mich, denn ich hab das GEfühl ich sitz auf der Leitung...

Alle Einstellungen die ich mache, werden scheinbar überhaupt nicht beachtet.

Gibt es noch irgendein Zauberwort was ich sagen muß? 

Nach folgendem Schema gehe ich bei der Aktivierung vor:
1. Eine gesicherte PersonenID ist vorhanden -> welche am Ende nur noch Zugriff auf das Feld haben soll

2. Diese Person ist in keiner Gruppe, Serverzugriff besteht über das Serverzugriffsfeld namentlich, ACL-Zugriff auf der Datenbank als Einzelperson mit Managerrechten und allen Rollen

3. Aktivierung des erweiterten Zugriffs auf dem Dominoverzeichnisses (names.nsf)
      -Bestätigen der ACL und einige Sekunden warten bis der Vorgang beendet wurde

4. Über den ACL-Punkt "erweiterten Zugriff" stelle ich das Ziel auf oberster Ebene ( / )

5. füge die gesicherte Person (aus Punkt 1) in der Liste hinzu, gehe in den Punkt "Masken und Feldzugriff", wähle bei Maske "Server" aus, wähle bei Felder "FullAdmin" sowie dort die Option Lesen=Zulassen und Schreiben=Zulassen aus und bestätige mit OK

6. füge "Vorgabe" (also den -Default-Eintrag) hinzu, gehe in den Punkt "Masken und Feldzugriff", wähle bei Maske "Server" aus, wähle bei Felder "FullAdmin" sowie dort die Option Lesen=Zulassen und Schreiben=Ablehnen aus und bestätige mit OK

7. Bestätige alles mit OK

Nach einem Server- und Clientneustart kann aber auch ein anderer Admin/Manager das Feld ändern was ich eigentlich damit verhindern wollte.
Egal was ich in der XACL für Einstellungen mache, keine wirkt.

Hat jemand eine Vermutung woran das liegen könnte?

Grüße
Steffen

[Lossa]

Hallo Steffen,

ich verstehe was du willst und nun musst du Dir erstmal ein paar Sprüche anhören (na gut lesen).
1. Frei nach Radio Eriwan (sofern Du das kennst)
Geht das was ich machen will mit xACL?
Im Prinzip ja, aber...

2. Du hast den klassischen NRTFHE Fehler gemacht

3. Lese das uns es fällt Dir wir schuppen aus den Haaren:

An extended ACL cannot restrict the access of a user with Manager database access or an administrator with "Full Access administrators" access to a server (controlled through the Server document in the IBM® Lotus® Domino® Directory. An extended ACL also cannot prevent a user with Designer or Manager database access from modifying the directory design.

Was musst du machen:

Keiner deiner Admins darf als Manager Zugriff auf die names.nsf, müssen Sie ja auch nicht denn Editor oder sogar Autor reicht vollkommen aus um Domino administrieren zu können. Wenn du also eine sauber Struktur für deine Admins definiert hast und Sie alle über die Wunder des AdminP aufgeklärt hast, dann kannst du das umsetzen wie du es vor hast.
Dein sonstiger weg ist vollkommen korrekt nur eben das kleine feine Detail hat gefehlt.

Also viel Spass mit der xACL (und nimm nicht einen übersetzen Client sonder immer nur einen Englischen.)

[Steffen]

Hallo Lossa,

vielen Dank für deinen Hinweis. (ich nehme die Bürde der "Anmerkungen" natürlich auf mich  )
Hab mich von dem Gerede des Prüfers ein wenig zu sehr hippelig machen lassen und auf seine Worte getraut....was man ja nie machen sollte..... von der Wegen die Admins begrenzen und im nächsten Satz die Manger begrenzen..... das glaub ich "natürlich" weils sich für mich erstmal ganz logisch anhörte.
Auch in der Hilfe und meinem SysAdminbuch hab ich mir das eigentlich durchgelesen, diesen Part aber offensichtlich überlesen.

Naja, im zweiten Gedanken ists natürlich auch unlogisch, da der Manager die Beschränkungen ja auch wieder rausnehmen kann Amm Freitag Abend hab ichs auch noch rausbekommen, aber halt erst spät weil ich bei Admins auch immer von Managerrechten ausgehe ;-)

Ok, man muß halt nur eine sicherere Aufbewahrungsmethode für die "ManagerID" haben, wenn die CD(s) irgendwann in ein paar Jahren nicht mehr lesebar sind, ohoh.

THX nochmal

Grüße
Steffen