Обход ограничения по авторс полю

[ToxaRat]

У каждого текстового поля есть ограничение по его размеру, в данном случае речь идёт о поле типа Авторс - отвечающее за то, кто имеет право видеть и редактировать документ. Тут срабатывает несколько ограничений сразу - все summary поля не должно превышать в сумму 32К и размер одного поля не больше 32К. Понятное дело, что если нам нужно явно в документе указать 100 пользователей у нас это не получится - а надо!
Одним из способов обойти это ограничение есть сохранять в поле не полное каноническое имя типа CN=Name\O=OgrName\U=UA а лишь его крайткой формы Name
Это позволяет забить в поле практически в 2 раза больше значений.

Теперь внимание вопрос

В настройках сервера можно забить, чтобы пи авторизации через ВЕБ в качестве логина использовать shortname (больше вариантов для авторизации - уменьшает уровень безопасности, Internet authentication: More name variations with lower security)

Так вот, как включить доступ к документу по shortname дабы забить туда еще больше значение?

 

[lmike]

а как получается - что так много уникальных сочетаний, ощутимых по кол-ву элементов, нужно создавать
потому как ежели сочетаний не много и/или они не уникальны - группы

 

[ToxaRat]

а как получается - что так много уникальных сочетаний, ощутимых по кол-ву элементов, нужно создавать
потому как ежели сочетаний не много и/или они не уникальны - группы

ограничение по группе наступит быстре чем ограничение по лотус-имени

к примеру в базу имеет доступ 2К пользователей, группами тут не обделаешься

 

[TIA]

ут срабатывает несколько ограничений сразу - все summary поля не должно превышать в сумму 32К и размер одного поля не больше 32К.

Размер всех SUMMARY полей 64кб. Из них AUTHORS и READERS не более 32к.

к примеру в базу имеет доступ 2К пользователей, группами тут не обделаешься

Обделаешься. Один пользователь на группу и всё будет в шоколаде.

Так вот, как включить доступ к документу по shortname дабы забить туда еще больше значение?

По shortname должны пустить, если его включить в Readrs/Authors документа. В 5ке это было неотключаемо сейчас не знаю.

 

[ToxaRat]

По shortname должны пустить, если его включить в Readrs/Authors документа. В 5ке это было неотключаемо сейчас не знаю.

ты не понимаешь
захожу в базу жирным клиентом
есть документ в нём в авторс поле написано:
1) "CN=Anton Kovalenko/O=BKC" - документ вижу и редактирую
2) "Anton Kovalenko" - документ виду и редактирую
3) "Anton" - это мой шортнейм , не виду и не редактирую - а вот надо чтобы как и по 2 предыдущим вариантом - был доступ

 

[TIA]

1) "CN=Anton Kovalenko/O=BKC" - документ вижу и редактирую
2) "Anton Kovalenko" - документ виду и редактирую
3) "Anton" - это мой шортнейм , не виду и не редактирую - а вот надо чтобы как и по 2 предыдущим вариантом - был доступ

ShortName - это №2. Проверь @Names([CN];@UserName). А что ты называешь short name на самом деле это given name.

 

[ToxaRat]

ShortName - это №2. Проверь @Names([CN];@UserName). А что ты называешь short name на самом деле это given name.

я веду речь о поле Short name/UserID: в карточке пользователя в АК
по нему можно авторизироваться в вебе и вот его бы хотелось использовать для доступа к документу

 

[nvyush]

я веду речь о поле Short name/UserID: в карточке пользователя в АК
по нему можно авторизироваться в вебе и вот его бы хотелось использовать для доступа к документу

КМК, после web-авторизации по Short Name пользователю всё равно сопоставляется его каноническое имя из АК, т.е. @Username вернёт "CN=Anton Kovalenko/O=BKC", а не "Anton". В ACL есть волшебная кнопка Effective Access..., которая позволяет увидеть не только уровень и привилегии доступа, но и все сопоставленные пользователю имена. Среди них нет Short Name.
Если ёмкости Authors-поля не хватает, можно попробовать привязывать к документам документы-карточки с минимальным набором полей (для представлений) и заполненным под завязку Authors-полем. При переполнении создавать ещё одну карточку. При открытии карточки серверным агентом прописывать пользователя в авторы в документа и открывать его, при сохранении — исключать. Сложно, но по другому только группы.

 

[ToxaRat]

Если ёмкости Authors-поля не хватает, можно попробовать привязывать к документам документы-карточки с минимальным набором полей (для представлений) и заполненным под завязку Authors-полем. При переполнении создавать ещё одну карточку. При открытии карточки серверным агентом прописывать пользователя в авторы в документа и открывать его, при сохранении — исключать. Сложно, но по другому только группы.

это я знаю и храню как резервный вариант, от того тема и называется "обход ограничения" а не "альтернативы"

так можно ли как-то задействовать шортнейм?

 

[nvyush]

так можно ли как-то задействовать шортнейм?

КМК, только созданием одноимённых групп с включением в них соответствующих пользователей. Вот только допустит ли это АК и не свихнётся ли при этом сервер?

 

[Zeka]

Ссылка скрыта от гостей

 

[ToxaRat]

КМК, только созданием одноимённых групп с включением в них соответствующих пользователей. Вот только допустит ли это АК и не свихнётся ли при этом сервер?

не, группы это зло или как пишут американцы - ящик пандоры, что тоже самое

Reader fields for large user populations]]>

всё это я прекрасно знаю

мне то как раз интересней поковыряться в ином направлении, есть вход по шортнейму через веб авторизацию, может есть такой вход и на документ

придумать алиас на пользователя это вариант, фактически это и есть аналог шортнейма, обозвать меня не "CN=Anton Kovalenko/O=BKC" а "A79" меня более чем устроило бы, как задействовать это "A79" на документ?

 

[nvyush]

не, группы это зло или как пишут американцы - ящик пандоры, что тоже самое

Я имел ввиду не динамические группы, а группы с именем Short Name, у которых в Members единственный член с соответствующим именем. Т.е. сколько пользователей, столько и групп. Если АК такое позволит и серверу крышу не снесёт — будет работать.

Кстати, появилась бредовая идея — если найти в АК представление, по которому строится список имён пользователя и дописать туда Short Name — может и без групп заработает?

 

[ToxaRat]

Я имел ввиду не динамические группы, а группы с именем Short Name, у которых в Members единственный член с соответствующим именем. Т.е. сколько пользователей, столько и групп. Если АК такое позволит и серверу крышу не снесёт — будет работать.

уже при 100 группах возникают серьезные проблемы - кешится от 30 до 2 часов
виды еле работают
не то

Кстати, появилась бредовая идея — если найти в АК представление, по которому строится список имён пользователя и дописать туда Short Name — может и без групп заработает?

не будет, так как в ИД пользователя шортнейм тоже должен быть, а его там нет

 

[rinsk]

не будет, так как в ИД пользователя шортнейм тоже должен быть, а его там нет

А если значение ShortName добавит в FullName ?
Если не изменяет склероз, то как то добавлял в FullName Domain/user и оно работало в ACL...

 

[ToxaRat]

Если не изменяет склероз, то как то добавлял в FullName Domain/user и оно работало в ACL...

то что вы добавите от руки в FullName аж никак не отразится в user.id и доступа на докуемнте не будет

 

[nvyush]

то что вы добавите от руки в FullName аж никак не отразится в user.id и доступа на докуемнте не будет

А причём тут user.id? Групп и ролей там тоже нет, однако же доступ к документу возможен и по имени группы и по роли. Было бы время/желание/тестовый_сервер_которого_не_жалко, я бы поигрался с представлением "($ServerAccess)" в АК (в плане добавления туда документов пользователей и вывода ShortName как имени группы). Хотя с другой стороны, и на Short Name много не сэкономишь.

 

[ToxaRat]

А причём тут user.id? Групп и ролей там тоже нет, однако же доступ к документу возможен и по имени группы и по роли.

обьясняю, когды вы заходите в базу пробивается ваше полное и краткое имя, а оно есть в группах а роли вешаются или на имя или на группу

 

[rinsk]

то что вы добавите от руки в FullName аж никак не отразится в user.id и доступа на докуемнте не будет

User.id тут непричем - при работе с Ldap например вполне работает доступ с DN, прописанный в Readers...

 

[nvyush]

когды вы заходите в базу пробивается ваше полное и краткое имя, а оно есть в группах а роли вешаются или на имя или на группу

КМК, когда открывает БД по Canonical Name (первичному и альтернативному) строятся */ группы, из АК берутся группы доступа, затем по ACL ищутся роли, соответствующие всем полученным именам. Любое из имён может использоваться для доступа к документу.
При web-доступе сперва по Short Name в АК ищется Canonical Name, далее аналогично.
Версия основана на результатах нажатия кнопки Effective Access... в ACL.
Исходя из изложенного могу предположить, что единственный способ дать доступ к документам по Short Name — это "заставить" Lotus думать, что это ещё одна группа пользователя. Если все функции идентификации обращаются исключительно к представлениям АК и не открывают документы, то есть шанс "допилить" нужные представления нужным образом. Только надо ли оно?