| Jiří Krákora | Sekundární NAB a ACL |
| Zdravím,
mám na serveru dvě adresní knihy. V té sekundární vytvářím skupiny pro ACL jednotlivých aplikací, abych je mohl lépe spravovat. Takže třeba do skupiny App.Project.Editors umístím všechny lidi, kteří mají být v projektovém řízení editory, tu skupinu pak přidám do ACL té aplikace a přidělím jí potřebná práva. Pokud jsou v té skupině všichni lidé explicitně vyjmenováni, fungujou přístupy bez problémů, ale jakmile do té skupiny přidám jinou skupinu, její členové už práva nemají. Zjevně vadí zanořování skupin. Nedá se s tím něco udělat? Nechce se mi opouštět tento model správy práv, který se dobře menežuje.
Díky, Lokutus. |
| Luboš Černý | Group Authorisation |
09.02.2010
11:37:43
ID: 3114.1
| V definici DA je potřeba pro sekundární NAB povolit Group Authorization na Yes. Pak to "rozbaluje" členy skupiny až do 20 úrovně vnoření ... |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
09.02.2010
12:08:12
ID: 3114.2
 
| To zaškrtnuté mám.
Zkoušel jsem použít i skupiny v primární adresní knize, ale ani tam zanoření nefunguje. |
| VZ | Zaškrtnuté? |
09.02.2010
12:52:39
ID: 3114.3
| Group Authorization dá nastavit na Yes nebo No, ale zaškrtávání tam není. |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
09.02.2010
13:07:50
ID: 3114.4
| Uf, jasně. Myslel jsem jako že tam mám Yes, samozřejmě. :-)
link1
link2
link3 |
| Luboš Černý | Trusted for credentionals |
09.02.2010
13:25:40
ID: 3114.5
| Když to letmo porovnám s mojí verzí, tak ještě zapnout Trusted for credentionals. Jinak se to zdá být dobře ... |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
09.02.2010
14:05:53
ID: 3114.6
| Teď jsem zjistil další zajímavou věc.
Uživatelé, které jsem tam dopoledne explicitně přidal, mi stále hlásí, že tam přístup nemají, i přestože já se tam s kopií jejich UserID dostanu v pohodě. Zkoušeli i restartovat klienta a stejně pořád nic. To je nějaké pokročilé kešování? Neměl bych protočit server? Zkoušel jsem v obou adresních knihách Shift+F9. Taky nepomohlo. |
| VZ | Je to určitě na serveru? |
09.02.2010
14:22:46
ID: 3114.7
| Neděláte ty změny skupin a ACL třeba omylem na lokální replice names.nsf nebo na jiném serveru?
Shift+F9 nebude asi moc platné, protože přeindexuje pouze aktuální pohled. Lepší by bylo Ctrl+Shift+F9, ale v takovém případě by bylo jednodušší použít z konzoly:
load updall names.nsf
a případně ještě
dbcache flush |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
09.02.2010
14:35:13
ID: 3114.8
| Změny dělám na produkčním serveru. Lokální repliku NAB ani nikdo nemá. |
| VZ | Notes Log |
09.02.2010
15:36:01
ID: 3114.9
| Nejsou v log.nsf na serveru nějaké chyby jako plný disk, chyba zápisu do databáze, poškozená databáze, atp.? |
| Martin Hansgut | Re: Sekundární NAB a ACL |
admin
09.02.2010
17:29:12
ID: 3114.10
| To "zanořování" jsi nikdy před tím nepoužíval nebo se uvedený problém vyskytuje až od nějaké doby (po nějakém update)? Na jaké verzi Domino serveu se problém vyskytuje? |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
09.02.2010
19:34:58
ID: 3114.11
| V logu kromě pár "Error indexing view" nic není.
Server je verze 7.0.4.
Nikdy jsme to nepoužívali. Zavedl jsem to teprve nedávno, dneska poprvé jsem použil zanořené skupiny. |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
09.02.2010
19:37:03
ID: 3114.12
| Pardon. Ty hlášky zní samozřejmě "Error updating view #..." a týkají se některých poštovních databází. |
| VZ | Typy skupin, doména, ext. access? |
10.02.2010
08:50:24
ID: 3114.13
| Jaké jsou typy těch vnořených skupiny (Multipurpose, Mail Only, ....)?
Jsou ve stejné doméně jako server a uživatelé anebo mají doménu prázdnou?
Je v ACL v NAB zapnuto "Enable Extended Access"? |
| Jiří Krákora | Re: Sekundární NAB a ACL |
IT
11.02.2010
15:44:47
ID: 3114.14
| Děkuji za reakce. Teď už to funguje.
Enable Extended Access zapnutý nebyl, ani jsem nevěděl, že něco takového existuje. Při zapínání se mě to asi dvakrát zeptalo, jestli to myslím vážně, tak jsem se podíval do helpu, ale nevyčetel jsem z toho, co tak závažného zapínám. Každopádně po aktivaci už přístupy přes zanořené skupiny fungují. Ještě to otestuji v té sekundární adresní knize, ale myslím, že by to mělo být v pořádku.
Děkuji. Lokutus |
| Martin Hansgut | Re: Sekundární NAB a ACL |
admin
11.02.2010
16:15:18
ID: 3114.15
| No, myslím si, že zapnutím "Enable Extended Access" se to určitě neopravilo. Já tuto položku mám vypnutou a funguje mě to. VZ to spíš myslel tak, že pokud to je zapnuté, tak by to nemuselo fungovat. |
| VZ | Co provede Extended ACL |
11.02.2010
16:47:05
ID: 3114.16
| V podstatě to přidá do dokumentů v names.nsf pole typu Readers, které umožní globálně určovat, co kdo může číst. Takže po zapnutí a nastavení pravidel pro Extended ACL (viz Admin. help) pak určití uživatelé nedokáží poslat poštu jiným uživatelům, protože je prostě nevidí. Např. při instalaci Sametime R7 Limited Use na Domino R7 instalátor požadoval to EACL vypnout a se zapnutým EACL to prostě nešlo nainstalovat. Po instalaci Sametime to bylo možné zase zapnout.
Ale že by to zapnutí EACL mělo až takový vliv i na přístupy do jednotlivých DB? Že by tam bylo předtím nastavené na Group dokumentech nějaké omezení individuálně - čtení skupin či uživatelů pouze pro vybrané uživatele a server by mezi těmi čtenáři nebyl? Pak by to zapnutí Extended ACL mohlo buď resetnout ty existující Readers pole anebo přidat server všude mezi čtenáře. Ale jsou to jen spekulace. |
