Datenbank Zugriff über das Web beschränken

[Riccardo Virzi]

Ich habe folgende Anforderung: auf einem vom Internet erreichbaren Server befinden sich die Maildatenbanken, mit denen die Anwender replizieren können. Auch der Zugriff über iNotes ist eingerichtet, soll aber nur bei manchen Maildatenbanken möglich sein.

Ich kenne 2 Möglichkeiten das umzusetzen:
1. über die ACL (maximaler Internet Zugriff)
Das funktioniert, hat aber den Nachteil, daß die Maildatenbank trotzdem geöffnet wird (Design kommt von der forms.ntf). Es werden zwar keine Mails und Ordner angezeigt, aber ich bekomme zum Beispiel die Meldung "sie haben x Alarme.....". Ist keine ideale Lösung.

2. über die Datenbank Einstellung "Öffnen über URL nicht zulassen" gemacht werden (siehe Screenshot)
Ich habe das getestet und folgendes festgestellt: hier bekomme ich eine Fehlermeldung mit "You are not authorized". Die Einstellung "Öffnen über URL nicht zulassen" wird aber beim Aktualisieren der Gestaltung von der Schablone überschrieben 
Die Option wird im Dokument "Datenbank Symbol" gespeichert. Wenn ich beim Datenbank Symbol einstelle "nicht durch Gestaltungsaktualisierung ändern", gilt das für das Icon, aber nicht für die Einstellung.
Das bedeutet: wenn das genutzt werden soll, geht das nur über zwei Mailschablonen: eine mit der Option gesetzt und eine ohne.

Die erste Lösung wird nicht gewünscht, es soll die zweite Möglichkeit umgesetzt werden. Hat jemand eine Idee, wie das ohne eine zweite Schablone geht? Oder gibt es vielleicht sogar eine dritte Möglichkeit, um den Zugriff auf eine Maildatenbank über das Web zu beschränken?

[CarstenH]

...auf einem vom Internet erreichbaren Server befinden sich die Maildatenbanken, mit denen die Anwender replizieren können. Auch der Zugriff über iNotes ist eingerichtet, soll aber nur bei manchen Maildatenbanken möglich sein.

...

Oder gibt es vielleicht sogar eine dritte Möglichkeit, um den Zugriff auf eine Maildatenbank über das Web zu beschränken?

Es gibt noch weitere Möglichkeiten, den Zugriff zu beschränken. Inwieweit die einsetzbar sind hängt aber davon ab was die jeweiligen Nutzer noch auf dem Server im Zugriff haben sollen. Also z.B. ob Nutzer A nur mit Notes-Client aber nicht mit einem Browser zugreifen darf oder er zwar mit beiden Clients (Notes+Browser) arbeitet aber nur auf seine Mails nicht zugreifen soll, auf andere DB's aber schon.

Ich zähle mal ein paar sich daraus ergebende weitere Möglichkeiten auf:
- HTTP-Kennwörter bestimmter Nutzer gezielt entfernen - keinerlei Zugriffe außer NRPC mehr möglich;
- in die iNotes/Forms Datenbanken Gruppen mit 'Berechtigten' bzw. 'nicht Berechtigten' (mit No Access) in die ACL eintragen um dein oben genanntes Problem zu umgehen;
- Verzeichnis-ACLs auf die Ordner iNotes und Mail anlegen, wobei man Mail sogar noch in mehrere Ordner splitten kann um sie unterschiedlich zu behandeln;
- den Zugriff über bestimmte Ports/IP-Adressen auf bestimmte Nutzergruppen beschränken/erlauben, damit kann von einigen mit dem Browser nicht mehr von extern zugegriffen werden, von intern oder via VPN aber schon;
- den extern zugänglichen Server als Durchgangsserver einrichten und die MailsDbs dort entfernen, auf die nicht per Browser zugegriffen werden soll, die Nutzer können sie per Durchgangsserver-Technik von einem weiteren, nicht direkt erreichbaren Server dennoch replizieren, Browser kommen da nicht ran.

Ich hoffe, da waren jetzt ein paar Ideen was noch so geht dabei.
Carsten

[Tannibal]

Davor hängt bestimmt ein Reverse Proxy o.ä.?
Ich würde den Zugriff auf /mail/ blockieren und nur explizit einzelne Pfade erlauben.