Перенос пользователя в иную иерархию имен

Тема в разделе "Lotus - Администрирование", создана пользователем shershun4ik, 23 июл 2009.

Наш партнер Genesis Hackspace
  1. shershun4ik

    shershun4ik Гость

    Писал БД. Столкнулся с проблемой раздачи прав на отображаемые документы. Решил использовать readers-поля - не подошло из-за несоответствия организационной структуры предприятия и иерархии имен в Lotus (Все пользователи заведены как Имя_пользователя/Организация, а фактическое разделение более сложное). Решил создать нормальную иерархию. Создал ID-файлы для подразделений (ПодразделениеN/Организация). При попытке пересертифицировать пользователя Пользователь1/Организация сертификатом Подразделение1/Организация получаю ошибку "The following error occurred while trying to update the certificates stored in the Certifer id with whose from the directory on the server you selected: Entry not found in index. Do you wish to continue without updating the Certifier ID?"

    Я так понимаю, что он не может найти сертификат для обновления в Cert ID с сертификатом Подразделение1/Организация. Но сертификат Подразделение1/Организация был сертифицирован сертификатом Организация.

    Вопросы:
    1. Что это такое?
    2. Как побороть?
     
  2. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member
    Lotus team

    Регистрация:
    30 май 2006
    Сообщения:
    1.318
    Симпатии:
    4
    1.Пересаживание юзера с ветки на ветку - это не просто пересертификация. Там в Админке довольно муторная процедура по сдаче юзера старым сертификатором и приёму новым (участвуют оба ID-шника).
    2.Редко удаётся дерево имён полностью подогнать под орг.структуру
    а) банально не хватает уровней
    б) орг.структура в наши неспокойные времена пересматривается слишком часто
    в) часто бывает, что орг.структур БОЛЕЕ ОДНОЙ одновременно
    Может тогда не стоит и стараться/мучаться? Для орг.структуры у Person в АК есть отдельные полечки: LEVELx LEVELx_y ..
     
  3. shershun4ik

    shershun4ik Гость

    Скелет организационной структуры нашей организации не менялся уже около 8 лет. И для меня имеет смысл заморочиться приведением иерархии имен в порядок.

    В переводе help к администратору Domino 6.5.x (от ИнтерТраст) написано:

    Когда вы перемещаете пользователя в иерархической схеме имен, сертификат пользователя изменяется, таким образом, изменяется иерархия имени пользователя. Вы можете использовать процесс администрирования для перемещения имени пользователя в иерархической схеме имен.
    Например, если Alice Brown/Marketing/Acme оставляет работу в отделе Marketing и переходит работать в отдел Sales, вы можете сертифицировать ID пользователя с использованием сертификата /Sales/Acme, который в действительности, перемещает имя пользователя в иерархической схеме имен. Теперь полное, иерархическое имя пользователя будет Alice Brown/Sales/Acme


    Если там написано не то - где же правда? Как правильно произвести пересаживание пользователя с ветки на ветку?
     
  4. Sergey Berezka

    Sergey Berezka Гость

    Domino Administrator - People & Groups - Rename - Request Move to New Certifier
     
  5. shershun4ik

    shershun4ik Гость

    Так я тоже пробовал. Выдает ошибку "Error locating a Domino Directory entry for certifier OU=Подразделение1/O=Организация".
    Я понял, что не находится сам certifier (по русски - тот, кто сертифицирует). Как в DD прописать certifier?
     
  6. Мыш

    Мыш Well-Known Member
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.043
    Симпатии:
    10
    Дык он при создании помещается в АК - посмотрите в Configuration -> Certificates, в категории Notes certifiers.
     
  7. shershun4ik

    shershun4ik Гость

    Не было там его. Я ручками добавил при помощи Migrate Certifier. Сейчас проходит на ура. И, я надеюсь, последний вопрос по этой теме:
    Через какое время происходит смена имени в документе пользователя?
     
  8. Мыш

    Мыш Well-Known Member
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.043
    Симпатии:
    10
    А Вы когда Org Unit заводили в поле "Сервер" часом не Local оставили?

    Не помню - но "tell adminp pr all" в консоли хорошо помогает :)
     
  9. rins

    rins Гость

    Смена происхождит когда юзер цепляется с клиенского компьютера к сервереру и в его ID файле пробивается новое имя...
    Если орг. еденица не более 1 уровня - то достаточно одного сертификатора.

    На самом деле - не стоит заморачиватся доступом к документу на основании его OU... Гораздо гибче организация доступа на основании групп.
     
  10. shershun4ik

    shershun4ik Гость

    При создании Подразделение1/Организация точно писал текущий сервер, но до этого и Организация тоже не было в Certifier (Организация создавал не я). Подразделение1/Организация сертифицировалось при помощи Организация, когда ее еще небыло в DD, может поэтому Подразделение1/Организация и не добавилось?

    Организация нашего предприятия такова, что раздача прав идет на основе должностей (бывает когда права раздаются на основе функций работника).
    Это как в армии: "Командир должен знать все чем занимается его подчиненный, вне зависимости от сегодняшних задач подчиненного".

    Большое спасибо за помощь:
    Constantin A Chervonenko и rins - за то, что заставили еще раз подумать над актуальностью проблемы
    Sergey Berezka - за указатель в верном направлении
    Мегареспект Мыш - за исполнение роли поводыря.
     
  11. Мыш

    Мыш Well-Known Member
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.043
    Симпатии:
    10
    Хммм..Вы имеете в виду - Организации не было в АК?
     
  12. shershun4ik

    shershun4ik Гость

    Я имею ввиду Certifier Организация не было в DD. При сертификации пользователей или серверов, администраторы ручками выбирали ID-файл и вводили пароль. В Notes Certifiers было пусто.
     
  13. Мыш

    Мыш Well-Known Member
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.043
    Симпатии:
    10
    Это-то как раз нормально - личный ключ Certifier'a хранится в ID-файле, без него никак.
    Но записи в АК - и для Организации, и для Юнита - все равно должны быть. У Вас права доступа к АК точно полные? А к базе Certification Log?
     
  14. Sergey Berezka

    Sergey Berezka Гость

    пока в Administration Requests - Name move requests не подтвердите, процесс дальше не пойдет
     
  15. shershun4ik

    shershun4ik Гость

    Права доступа полные. Записей не было. Вот вспомнил еще: если при регистрации выбрать Use CA process в списке CA configured certifier была одна строка - None Assigned.
     
  16. Мыш

    Мыш Well-Known Member
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.043
    Симпатии:
    10
    Дык СА - это как бы вообще альтернативный механизм управления сертификатами. Я так понимаю, что Вы используете традиционный, лотусовый? Или у Вас СА поднят?
     
  17. shershun4ik

    shershun4ik Гость

    Используем традиционный лотусовый. Я это так, вспомнил, вдруг в этом что-то есть. И при переносе пользователя из /Организация в Подразделение1/Организация после выбора старого Certifier он ничего не показывал в новом. Вот так. После Migrate Certifier стал отображать.
     
  18. Мыш

    Мыш Well-Known Member
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.043
    Симпатии:
    10
    ЗЫ. Что-то у Вас не так настроено, ИМХО. Во избежание последующих проблем советую все-таки еще раз проверить права доступа... Кстати - у Вас названия Организации/Юнита русские или латинские? С русским проблемы вылезают периодически (от версии к версии) , не рекомендую использовать...
     
  19. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member
    Lotus team

    Регистрация:
    30 май 2006
    Сообщения:
    1.318
    Симпатии:
    4
    Группы хороши, когда домен один. Когда доменов (и АК, и админов) много, это дыра...
     
  20. shershun4ik

    shershun4ik Гость

    To Мыш: Имена латинские. С кривостью настройки я согласен. Вот и разбираем "наследство" от предыдущих админов.
    To Constantin A Chervonenko полностью поддерживаю мнение о группах. Но это только в том случае, если административно-территориальная структура организации стабильна, если это не так, то надо рассматривать каждый случай в отдельности.
     
Загрузка...

Поделиться этой страницей