AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
14.12.19 - 21:47:02
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News: Jetzt mit HCL Notes / Domino 11 und einem Extraboard für Nomad!
Schnellsuche:
+  Das Notes Forum
|-+  Domino 8 und frühere Versionen
| |-+  ND8: Entwicklung (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  ACL Rollen und Lesezugriffsrechte
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: ACL Rollen und Lesezugriffsrechte  (Gelesen 2257 mal)
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« am: 14.08.19 - 16:00:53 »


Hallo,

wir nutzen verschiedene Rollen, um bestimmte Zugriffe auf unterschiedliche Dokumente zu ermöglichen.
Ist jemand einer bestimmten Rolle nicht zugewiesen, soll aber auf ein bestimmtes Dokument in diesem Bereich Zugriff bekommen, wird er in das ReaderAccess / Author Feld eingetragen.
Es gibt jetzt die Anfrage, ob es möglich ist, nur bestimmten Personen Zugriff auf ein spezielles Dokument zu geben. D.h. die Rolle für dieses Dokument sollte deaktiviert werden, und nur das ReaderAccess Feld sollte funktionieren.
Jetzt frage ich mich, ob so etwas möglich ist.

Grüße
Gespeichert
Bastel123
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 307


« Antworten #1 am: 14.08.19 - 16:40:15 »

Wie steuern denn die Rollen den Zugriff?
Normalerweise stehen die Rollen dann in einem Leser/Autoren Feld.

Dann die Rolle raus und die User im Format "Max Mustermann/OU/O" eingetragen.

Sebastian
Gespeichert

Kaum macht man's richtig, schon funktioniert's.
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« Antworten #2 am: 14.08.19 - 17:30:39 »


Es wird im Code abgefragt, ob der User eine bestimmte Rolle hat.
Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11315


« Antworten #3 am: 14.08.19 - 18:00:50 »

Dann stimmt an eurem Konzept was nicht.

Die Rolle gehört, wie ein Individuum oder eine Gruppe in ein Leser/Autoren Feld.
Der eingeloggte User sieht dann nur „seine“ Dokumente.
Da brauch es keinen Code für.
Gespeichert
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« Antworten #4 am: 15.08.19 - 09:11:27 »


Jeder User kann schon seine eigenen Dokumente sehen,
das wurde in der Ansichtsauswahl durch Bedingungen realisiert.
Hier wird ein Feld mit dem aktuellen User verglichen.
Jeder User hat einen eigenen View und kann seine Dokumente sehen.

Es gibt aber viele weitere User, die keine Dokumente erstellen,
aber Zugriff auf bestimmte Dokumente erhalten sollen (über AllView), daher
zusätzlich verschiedene Rollen.
Ist jemand keiner bestimmten Rolle zugeordnet,
wird der Zugriff auf eine bestimmte Gruppen von Dokumenten verweigert.

Gespeichert
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« Antworten #5 am: 15.08.19 - 11:16:33 »


Ok ich glaube ich verstehe, wie ihr das meint.
Die Rollen stehen aber in keinem Feld im Dokument.
Es wird nur die Rollenzugehörigkeit des User geprüft, wie mit @UserRoles
Die Datenbank ist so schon realisiert, ob das Konzept nun gut oder schlecht ist, sei dahin gestellt.
Die ist schon älter und lange in Benutzung.
« Letzte Änderung: 15.08.19 - 11:18:54 von booltrue » Gespeichert
Peter Klett
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 2627



« Antworten #6 am: 15.08.19 - 12:04:31 »

D.h. Ihr habt ein völlig eigenes Verfahren, wie Ihr die Zugriffe auf die Dokumente steuert. Und nun fragst Du hier (in Deinem Ursprungspost), ob man das ändern kann?

Nun, wenn man das selber bauen kann, sollte man das auch selber ändern können. Was erwartest Du jetzt als Antwort?

Vermutlich greift Euer Code in den persönlichen Ansichten der Benutzer. Wenn der geändert wird, müssen danach ggf. die persönlichen Ordner aktualisiert werden, falls nicht alles sauber in Agenten ausgelagert wurde. Oder Ihr denkt doch mal über das Konzept nach und ändert es, unabhängig davon, ob das nun schon alt ist, oder nicht.
Gespeichert
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« Antworten #7 am: 15.08.19 - 16:13:45 »


Hab's nun gelöst, und ja, du hast recht, wenn man was selber macht, sollte man schon wissen, wie man es ändert.  Roll Eyes
Gespeichert
Bastel123
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 307


« Antworten #8 am: 15.08.19 - 16:25:27 »

Hast Du auf Leser/Autoren-Felder umgestellt (hier wird der beste Schutz geboten) oder deine bisherige Programmierung erweitert?

Wie verweigerst Du bisher den Zugriff auf die Dokumente?
Gespeichert

Kaum macht man's richtig, schon funktioniert's.
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« Antworten #9 am: 16.08.19 - 09:29:39 »


Generell passiert das meiste im Queryopen Event.
Dort wird die Rollenzugehörigkeit abgefragt.
Und falls der User dieser Rolle nicht zugehört,
wird eine Messagebox ausgegeben und continue=false gesetzt,
damit das Dokument nicht geöffnet werden kann.

Es gibt noch zwei Namen-Felder.
Das eine wird genutzt, um Usern Zugriff auf bestimmte Dokumente zu erlauben,
obwohl sie nicht in der entsprechenden Gruppe sind.
Das andere wird genutzt, um nur den Usern Zugriff auf Dokumente zu gewähren,
die in diesem Feld stehen, unabhängig von irgendwelchen Rollen.

Das alles ist vlt nicht schön, aber es funktioniert.

Gespeichert
Peter Klett
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 2627



« Antworten #10 am: 16.08.19 - 09:54:28 »

D.h. die Benutzer können die Dokumente sehen, dürfen sie aber nicht öffnen? Das taugt nicht wirklich zur Benutzersteuerung, da ja viel mehr Dokumente zu sehen sind, als notwendig. Und noch weniger taugt es zum Schutz der Daten, wenn die Benutzer die Dokumente nicht lesen DÜRFEN. Alle Informationen sind ja schließlich verfügbar, unabhängig davon, ob man das Dokument geöffnet bekommt oder nicht.
Gespeichert
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6290


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #11 am: 16.08.19 - 17:12:15 »

Schalt mal den Lotusscript- Debugger ein und stoppe beim öffnen die Verarbeitung in der ersten Zeile... schwups geht das Dokument auf... und das kann jeder User an jedem Client auch machen, er braucht nichtmal einen Designerclient. Security by obscurity war noch nie eine gute Idee... und dass jeder User sich einfach Ansichten bauen kann, die alle Dokumente zeigen, oder einfach in den Dokumenteigenschaften nachschauen kann, ist da noch gar nicht berücksichtigt.

Notes hat ein fantastisches - und kaum knackbares- sicherheitskonzept mit Leser- und Autorenfeldern und der ACL... das sollte man tunlichst auch nutzen, und nix eigenes bauen...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
booltrue
Frischling
*
Offline Offline

Beiträge: 42


« Antworten #12 am: 20.08.19 - 11:34:40 »


Danke für den Hinweis, und ja, damit ist die Sicherheit hinfällig.

Nochmals Danke für die vielen Tips und Hinweise, wie man das richtig realisiert.

 Smiley
Gespeichert
billygates
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 126


Ich kann 'proprietär' nicht mehr hören!


« Antworten #13 am: 04.12.19 - 14:48:13 »

Es gibt hier auch eine schöne Abhandlung zum Thema Leserfelder und Autorenfelder: https://atnotes.de/index.php/topic,51224.0.html
Gespeichert

25 Lotus Notes R7 & R8 Server
auf Win Server & Linux Suse SLES

5500 Lotus Notes R6.5 - R8 Clients & Web Access
auf Win 2000 Prof. & Win XP Prof.
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: