Обход ограничения по авторс полю

Тема в разделе "Lotus - Программирование", создана пользователем ToxaRat, 1 фев 2011.

  1. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    У каждого текстового поля есть ограничение по его размеру, в данном случае речь идёт о поле типа Авторс - отвечающее за то, кто имеет право видеть и редактировать документ. Тут срабатывает несколько ограничений сразу - все summary поля не должно превышать в сумму 32К и размер одного поля не больше 32К. Понятное дело, что если нам нужно явно в документе указать 100 пользователей у нас это не получится - а надо!
    Одним из способов обойти это ограничение есть сохранять в поле не полное каноническое имя типа CN=Name\O=OgrName\U=UA а лишь его крайткой формы Name
    Это позволяет забить в поле практически в 2 раза больше значений.

    Теперь внимание :) вопрос ;)

    В настройках сервера можно забить, чтобы пи авторизации через ВЕБ в качестве логина использовать shortname (больше вариантов для авторизации - уменьшает уровень безопасности, Internet authentication: More name variations with lower security)

    Так вот, как включить доступ к документу по shortname дабы забить туда еще больше значение?
     
  2. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    а как получается - что так много уникальных сочетаний, ощутимых по кол-ву элементов, нужно создавать
    потому как ежели сочетаний не много и/или они не уникальны - группы
     
  3. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    ограничение по группе наступит быстре чем ограничение по лотус-имени

    к примеру в базу имеет доступ 2К пользователей, группами тут не обделаешься
     
  4. TIA

    TIA :-)
    Lotus team

    Регистрация:
    15 май 2009
    Сообщения:
    790
    Симпатии:
    0
    Размер всех SUMMARY полей 64кб. Из них AUTHORS и READERS не более 32к.
    Обделаешься. Один пользователь на группу и всё будет в шоколаде.
    По shortname должны пустить, если его включить в Readrs/Authors документа. В 5ке это было неотключаемо сейчас не знаю.
     
  5. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    ты не понимаешь
    захожу в базу жирным клиентом
    есть документ в нём в авторс поле написано:
    1) "CN=Anton Kovalenko/O=BKC" - документ вижу и редактирую
    2) "Anton Kovalenko" - документ виду и редактирую
    3) "Anton" - это мой шортнейм , не виду и не редактирую - а вот надо чтобы как и по 2 предыдущим вариантом - был доступ
     
  6. TIA

    TIA :-)
    Lotus team

    Регистрация:
    15 май 2009
    Сообщения:
    790
    Симпатии:
    0
    ShortName - это №2. Проверь @Names([CN];@UserName). А что ты называешь short name на самом деле это given name.
     
  7. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    я веду речь о поле Short name/UserID: в карточке пользователя в АК
    по нему можно авторизироваться в вебе и вот его бы хотелось использовать для доступа к документу
     
  8. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    КМК, после web-авторизации по Short Name пользователю всё равно сопоставляется его каноническое имя из АК, т.е. @Username вернёт "CN=Anton Kovalenko/O=BKC", а не "Anton". В ACL есть волшебная кнопка Effective Access..., которая позволяет увидеть не только уровень и привилегии доступа, но и все сопоставленные пользователю имена. Среди них нет Short Name.
    Если ёмкости Authors-поля не хватает, можно попробовать привязывать к документам документы-карточки с минимальным набором полей (для представлений) и заполненным под завязку Authors-полем. При переполнении создавать ещё одну карточку. При открытии карточки серверным агентом прописывать пользователя в авторы в документа и открывать его, при сохранении — исключать. Сложно, но по другому только группы.
     
  9. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    это я знаю и храню как резервный вариант, от того тема и называется "обход ограничения" а не "альтернативы"

    так можно ли как-то задействовать шортнейм?
     
  10. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    КМК, только созданием одноимённых групп с включением в них соответствующих пользователей. Вот только допустит ли это АК и не свихнётся ли при этом сервер?
     
  11. Zeka

    Zeka Well-Known Member

    Регистрация:
    1 сен 2009
    Сообщения:
    219
    Симпатии:
    0
  12. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    не, группы это зло или как пишут американцы - ящик пандоры, что тоже самое

    всё это я прекрасно знаю

    мне то как раз интересней поковыряться в ином направлении, есть вход по шортнейму через веб авторизацию, может есть такой вход и на документ

    придумать алиас на пользователя это вариант, фактически это и есть аналог шортнейма, обозвать меня не "CN=Anton Kovalenko/O=BKC" а "A79" меня более чем устроило бы, как задействовать это "A79" на документ?
     
  13. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    Я имел ввиду не динамические группы, а группы с именем Short Name, у которых в Members единственный член с соответствующим именем. Т.е. сколько пользователей, столько и групп. Если АК такое позволит и серверу крышу не снесёт — будет работать.

    Кстати, появилась бредовая идея — если найти в АК представление, по которому строится список имён пользователя и дописать туда Short Name — может и без групп заработает?
     
  14. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    уже при 100 группах возникают серьезные проблемы - кешится от 30 до 2 часов
    виды еле работают
    не то

    не будет, так как в ИД пользователя шортнейм тоже должен быть, а его там нет
     
  15. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    795
    Симпатии:
    78
    А если значение ShortName добавит в FullName ?
    Если не изменяет склероз, то как то добавлял в FullName Domain/user и оно работало в ACL...
     
  16. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    то что вы добавите от руки в FullName аж никак не отразится в user.id и доступа на докуемнте не будет
     
  17. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    А причём тут user.id? Групп и ролей там тоже нет, однако же доступ к документу возможен и по имени группы и по роли. Было бы время/желание/тестовый_сервер_которого_не_жалко, я бы поигрался с представлением "($ServerAccess)" в АК (в плане добавления туда документов пользователей и вывода ShortName как имени группы). Хотя с другой стороны, и на Short Name много не сэкономишь.
     
  18. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    обьясняю, когды вы заходите в базу пробивается ваше полное и краткое имя, а оно есть в группах а роли вешаются или на имя или на группу
     
  19. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    795
    Симпатии:
    78
    User.id тут непричем - при работе с Ldap например вполне работает доступ с DN, прописанный в Readers...
     
  20. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    КМК, когда открывает БД по Canonical Name (первичному и альтернативному) строятся */ группы, из АК берутся группы доступа, затем по ACL ищутся роли, соответствующие всем полученным именам. Любое из имён может использоваться для доступа к документу.
    При web-доступе сперва по Short Name в АК ищется Canonical Name, далее аналогично.
    Версия основана на результатах нажатия кнопки Effective Access... в ACL.
    Исходя из изложенного могу предположить, что единственный способ дать доступ к документам по Short Name — это "заставить" Lotus думать, что это ещё одна группа пользователя. Если все функции идентификации обращаются исключительно к представлениям АК и не открывают документы, то есть шанс "допилить" нужные представления нужным образом. Только надо ли оно?
     
Загрузка...

Поделиться этой страницей