Проблемы с безопасностью

  • Автор темы SkinGreek
  • Дата начала
S

SkinGreek

#1
Всем привет, прошу прощение за избитую тему.

В общем буквально вчера LWF спокойно писал в DomDoc документы. Сегодня прихожу - запускаю бизнесс-процесс, он валится на активности создания документа - пишет "Notes error: You cannot update or delete the document(s) since you are not listed as an allowable Author for this document"
При этом и DomDoc и Lotus Workflow был сконфигурирован еще давно и незначительно меняли конфигурацию пару дней назад. После это проверяли - все работало.
Конфигурация следующая.
LWF база подписана LWF-админом
Access Profile в LWF для конекта к DomDoc настроен на Notes аутентфикацию(через web кодировка падала и работать было вообще не возможно)
К базам DomDoc'а и LWF Admin и сервер имеют доступ на запись и имеют роль [Administator](роль DomDoc'а)
Роль [Administator] прописана в настройках безопасности подшивок как Managers, так же группа в которую входит LWF Admin прописана в настройках безопасности подшивок как Editors.

Когда это все работало доки создавались от имени сервера(он был их создателем)

Документацию читал, вроде все настройки мне понятны. Единственное я до сих пор не могу понять, если говорят что агент выполняется от имени подписчика агента(если он выполняется на сервере), то почему документы создавались от имени сервера?

Единственная разница между вчерашним и сегоднешним днем - мы подняли на время виртуальную машину для проверки переноса наших поделок заказчику. То есть подняли одноименный сервер по существующему server.id и cert.id, и копирнули туда папку data.
При этом старый сервер был потушен. Теперь потушен новый клон.
Вчера мы по сути запускали их параллельно, но работали с ними отдельно, через локальные Notes. Почему сейчас все рухнуло не понятно.

Помогите разобраться с этим плз, а то чую сдачу проекта сольем из-за этой непонятности:blink:

еще такое дополнение - кода ручками запускаю OS Domino Workflow Backgrounder под LWF админом - все пишет нормально. когда же жду когда он сам запустить(по шадулеру) либо запускаю его через вспомогательного агнета RunOnServer пишет ошибку. хотя прав на подшивку у сервера гораздо больше чем у LWF админа
 

Akupaka

А че я?.. О.о
04.10.2007
3 360
1
#2
сделай того под кем выполняешь действия минимум редактором к базе в которой правки происходят...
у тебя чел - автор, а поля authors он не прописан...

мож, ты не под тем локейшном работаешь?..

возможно, кто-то из вас переподписал базу не тем именем... если все было сервером подписано, когда работало, то проверь агенты и библиотеки кем подписаны, мож поправил кто че...
 
S

SkinGreek

#3
сделай того под кем выполняешь действия минимум редактором к базе в которой правки происходят...
В том то и дело что не ясно под кем он выполняется , агент подписан LWFAdmin, а документы создаются под сервером, но эта тему я подниму чуть ниже...
у тебя чел - автор, а поля authors он не прописан...
Так как это не мои документы а функционал дом дока, то могу предположить авторов он расставляет в зависимости от настроек безопасности подшивки(секции)
возможно, кто-то из вас переподписал базу не тем именем... если все было сервером подписано, когда работало, то проверь агенты и библиотеки кем подписаны, мож поправил кто че...
Вся БД подписана LWFAdmin и после изменения я переподписываю.такие ньюансы я уже понял и за этим слежу.
сейчас работает следующим образом.
Есть 2 группы
Код:
Domino.Doc Universal Editors
| - LWFAdmin
Domino.Doc Universal Managers
| - domino-server/org
Эти группы я пригласил в настроки безопасности секции(на уровне DomDoc)
В редакторы поставил Domino.Doc Universal Editors
В менеджеры поставил Domino.Doc Universal Managers
Кеш групп обновил.
На тестовой подшивке установил наследование для редакторов и ридеров(для менеджеров наследование нет, но как я понял роль Administrator во всех подшивках является менеджером)

На БД подшивок и БД документов я поставил практически одинаковые права.
Доступ Author разрешены все маневры с документами. Отличаются они только набором ролей

Domino.Doc Universal Editors выполняет роль Author
Domino.Doc Universal Managers выполняет роли Administrator и Author(Думаю вторая роль избыточна ну это еще раз надо просмотреть документацию и проверить)


Когда расставлены такие права - агент из LWF писать не может.
Но когда я дал роль Administrator группе Domino.Doc Universal Editors в БД документов данной секции, усе заработало. Как то это не совсем понятно, ибо в этой группе находится только LWFAdmin(а как я не раз говорил автором документов устанавливается сервер)

Ради теста перенес LWFAdmin в группу менеджеров, и обновил кеш групп в DomDoc. После этого он не смог увидеть профили(типы документов, и связанный с ним набор дополнительных полей) документов(при создания domdoc-документа я назначаю различные профили.

Вот так вот обстоят дела, конечно это хорошо, что все ж получилось чтоб это все хоть как-то заработало, но жутко неприятно недопонимать как настроить чтоб оно работало при минимальных правах))

ЗЫ прошу прощения если объяснялся путанно и обрывисто, структурировать по другому все что есть и к чему это привело я не смог(
 

Akupaka

А че я?.. О.о
04.10.2007
3 360
1
#4
чесгря, я выводы не смогу сделать, т.к. не юзаю указанные продукты, кроме нотеса...
 
S

SkinGreek

#5
ну я скинул для того что может кому придется встретится с той же траблой, хотя может я и сталкнулся с ней из-за не полново понимания как работает лотус в общем и домдок в частности:eek:
Конфигурацию я описал при которой все сработало, но единственное не дает мне покоя вопрос под кем же выполняется агент и под кем он пытается писать в DomDoc.
Но в принципе оч надеюсь что я и без этого понимания доживу более менее спокойно до конца проекта, и с лекой душой слезу с нотуса, уж больно м с ним как то не поладили:(