1. Наш канал codeby в telegram. Пишем об информационной безопасности, методах защиты информации, о программировании. Не пропускай новости с кодебай, будь в тренде ! Подробнее ...

    Скрыть объявление

Enforce A Consistent Access Control List...

Тема в разделе "Lotus - Программирование", создана пользователем lmike, 16 сен 2011.

  1. lmike

    lmike нет, пердело совершенство
    Lotus team

    Репутация:
    3
    Регистрация:
    27 авг 2008
    Сообщения:
    6.406
    Симпатии:
    346
    нотусня 7.0.3
    ситуация несколько искусственная, но пришлось столкнуться
    Есть комп на кот. используется локальная реплика, и всё бы ничего, если бы не несколько юзеров (и соответ. ИД файлов) на этом писюке. Установка единым каталогом (дата не разнесёе по юзерам) и пользователь винды - один
    если я создам реплику, с выставленной галкой, под одним из юзеров - то группы будут работать, но только для этого юзера
    т.к. юзеров немного, выход - прописать их в АКЛ, и не юзать группы в редерс/авторс полях
    но хотельось бы знать - это принципиальная фича нотусни или с новыми релизами будт править/ уже исправили?
     
  2. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Репутация:
    0
    Регистрация:
    6 ноя 2007
    Сообщения:
    3.195
    Симпатии:
    24
    а эти группы в локальной АК вообще есть? ;)
     
  3. TIA

    TIA :-)
    Lotus team

    Репутация:
    0
    Регистрация:
    15 май 2009
    Сообщения:
    790
    Симпатии:
    1
    "Enforce" заставляет сохранять права пользователя, создавшего реплику в самой реплике, для дальнейшей проверки прав по ACL. Но это только для создавшего реплику пользователя. Другие не авторизуются, т.к. для этого требуется сохранять локально весь состав групп. Т.е. это принципиальная фича. Ворэраунд -- явное указание в ACL, либо многопользовательская установка. Во втором случае реплика должна создаваться под правами конечного пользователя. Ну, ты это и сам знаешь.


    Группы локальной АК учитываются если не установлен "Enforce"
     
  4. lmike

    lmike нет, пердело совершенство
    Lotus team

    Репутация:
    3
    Регистрация:
    27 авг 2008
    Сообщения:
    6.406
    Симпатии:
    346
    TIA спасибо, я надеялся, что сделают/лали фичу - типа дополнение прав, для каждого вновь реплицирующего с сервера (на уровне галочки в реплике)
     
  5. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    Откуда данные? Не исследовал специально, но, мне показалось, что нотес кеширует данные о пользователе у себя, а на уровне реплики ничего подобного не хранит.
     
  6. lmike

    lmike нет, пердело совершенство
    Lotus team

    Репутация:
    3
    Регистрация:
    27 авг 2008
    Сообщения:
    6.406
    Симпатии:
    346
    легко проверить ;)
    ставишь галку и включаешь юзеров в группу (АК на сервере)
    в АКЛ:
    -прописываешь группу! с авторс доступом
    -дефолту - Но-Аксец
    создаешь локальную реплику, под одним ИД, переключаешь ИД и пробуешь открыть базу (получишь облом)
    Причем, базу можешь перенести на др. комп, с нотуснёй и попробовать открыть под разными ИД (тока по ИД, кот. создал - будет открываться)
     
  7. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    Ну, все же документальное подтверждение от ибэма, если имеется, было бы интересно увидеть. А тесты это хорошо, но не всегда удается получить полную достоверную информацию. Вот ;)

    Хотя, возможно так и есть, и доступ все же хранится в реплике. Вспомнил, что на днях открывал реплику одной БД, взятой с сервера. Так она локально не хотела открываться, несмотря на то, что пользователь был в группе, которая прописана в ТУД (блин, мужики, эти транслитерированые термины, что вы используете, как-то не воспринимаются совсем), и клиент имел связь с сервером имен.
     
  8. lmike

    lmike нет, пердело совершенство
    Lotus team

    Репутация:
    3
    Регистрация:
    27 авг 2008
    Сообщения:
    6.406
    Симпатии:
    346
    а где другие? в хэлпе они как написаны? (хэлп дизайнера есть на русском?)
     
  9. nvyush

    nvyush Well-Known Member
    Lotus team

    Репутация:
    0
    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    А реплика не шифрованная была?
     
  10. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    Не, серверная. Пользователь, прописанный явно, без проблем получил доступ.
     
  11. TIA

    TIA :-)
    Lotus team

    Репутация:
    0
    Регистрация:
    15 май 2009
    Сообщения:
    790
    Симпатии:
    1
    >Ну, все же документальное подтверждение от ибэма, если имеется, было бы интересно увидеть. А тесты это хорошо, но не всегда удается получить полную достоверную информацию.
    Хелп достаточное подтверждение? ;)

    When a database is replicated locally, information about the group membership of the person doing the replication is stored in the database for use in ACL checking. If a person/identity other than the one doing the replication accesses the local replica, there will be no group membership information available for that person, and the ACL can use only the person's identity, not group membership, to check access.
     
  12. Akupaka

    Akupaka А че я?.. О.о

    Репутация:
    0
    Регистрация:
    4 окт 2007
    Сообщения:
    3.360
    Симпатии:
    2
    TIA ,
    вполне ;) Спасибо
     
Загрузка...
Похожие Темы - Enforce Consistent Access
  1. seoman2
    Ответов:
    18
    Просмотров:
    3.215

Поделиться этой страницей