Проблема с группами в АК

  • Автор темы 1KIA
  • Дата начала
1

1KIA

Помогите, пожалуйста, разобраться с группами.
Есть два разных сервера , с двумя доменами и разными АК
В АК1 есть группа "Все", в АК2 есть группа "Тест". Указываю в АК1 в группе "Все" группу "Тест", добавляю группу "Все " в ACL базы на сервере с АК1, когда пользователи из группы "Тест" (т.е. из АК2) пытаются открыть базу - пишет нет прав.
Что необходимо сделать, чтобы пользователи могли открыть бд?

Добавлено: удалите пожалуйста одну тему. Дубликат создался
 
R

rinsk

Lotus Team
12.11.2009
1 156
126
BIT
46
1KIA сказал(а):
Помогите, пожалуйста, разобраться с группами.
Есть два разных сервера , с двумя доменами и разными АК
В АК1 есть группа "Все", в АК2 есть группа "Тест". Указываю в АК1 в группе "Все" группу "Тест", добавляю группу "Все " в ACL базы на сервере с АК1, когда пользователи из группы "Тест" (т.е. из АК2) пытаются открыть базу - пишет нет прав.
Что необходимо сделать, чтобы пользователи могли открыть бд?

Добавлено: удалите пожалуйста одну тему. Дубликат создался
Нажмите, чтобы раскрыть...

если мне не изменяет склероз: группы берутся только из текущей базы. Как решение - поднять Extended Directory, агригировать туда все нужные базы и в DA указать что используется авторизация групп...
 
K

Klido

конечно, DA вам должен помочь... вообще - почему его нет до сих пор? :happy:
 
1

1KIA

в DA указано Group authorization:Yes
Это если я правильно поняла о DA
 
1

1KIA

Еще вопрос: есть Extended Directory Catalog, в нее входит две АК, если в DA я указываю ее и в документе ставлю Group authorization:Yes, то должно ведь срабатывать. Но пользователь не может открывать... Почему так происходит или для Extended Directory Catalog нельзя так делать?
 
K

Klido

DA попроще: взаимные реплики АК и их указываем в DA, там же групповая авторизация.... мож ещё какой ньюанс...
вообще пользователи-то имеют доступ к соседнему серверу? как? промежуточный или прямой?
 
R

rinsk

Lotus Team
12.11.2009
1 156
126
BIT
46
1KIA сказал(а):
в DA указано Group authorization:Yes
Это если я правильно поняла о DA
Нажмите, чтобы раскрыть...

там не все так очевидно...
если коротко можно не указывать АК2 в DA, а указать Ext Cat.
+ создать запись в DA для AK1 (NAMES.NSF!!) в которой СНЯТЬ галки авторизации и т.д.

Во всяком случает такая схема проходила под веб...

если не делать DA для names.nsf то при авторизации оно сразу натыкается на группу BCE и членов группы оно ищет только в names.nsf...

PS - мож и путаю - давно эт было...:(
 
1

1KIA

rinsk
нет, пользователи из группы с другого сервера так и не имеют доступ к базе
 
K

Klido

1KIA
они как к серверу попадают к другому?
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ