Hallo zusammen,
kann man in Leser- und Autorenfelder den Stern als Platzhalter für User verwenden oder handle ich mir damit Probleme ein?
Ich möchte das Bearbeitungsrecht auf eine Domäne begrenzen.
Funktioniert der Eintrag CN=*/O=meine_Domain/C=DE in einem Autoren- oder Leserfeld?
Gruß
Lizzy
Nein, der Entry, wie von dir hier angegeben, wird nie funktionieren. Außer, du hast eine Entität, die "*" mit Namen heißt. Das wirst du aber kaum hinbekommen. Und dass "O=" für "Domain" steht, wäre mir auch neu.
Wildcards sind darüber hinaus eine verdammenswerte Seuche in Leser- und Autorenfeldern. Was du willst, sind Rollen.
IBM hält ein paar erhellende Informationen vor, die ohne Weiteres mit der Suchmaschine des geringstens Misstrauens auffindbar sind. Die kann ich nur empfehlen.
Schade, aber danke für die Info.
Das mit den Rollen ist mir schon klar, die verwende ich auch.
Es geht um eine Datenbank, die mit einer zweiten Firma geteilt/repliziert wird.
Nur die Mitarbeiter der Firma 1 (und auch hier nur ein Teil der Mitarbeiter) dürfen bearbeiten.
Firma 2 darf nur lesen.
Ich dachte, ich könnte das damit absichern.
Wenn ich nur mit Rollen arbeite, könnte der Admin der Firma 2 ja die Rolle zuteilen. Aber da muss ich dann wohl auf den Admin vertrauen.
Oder gibts dafür vielleicht noch eine andere Lösung?
Gruss
Lizzy
Gib dem Server der Firma 2 nur Leserechte auf die Replik von Firma 1. Selbst wenn der Admin dort an der ACL und/oder die User an den Dokumenten rumpfuschen, wird es nicht zurück repliziert. Bröseln die durch falsche Rechtezuteilung den Datenbestand, ist es deren Problem, nicht deines.
wenn du die Daten so sauber getrennt haben willst, würde ich eine Kopie der Anwendung anlegen. Dann repliziert nix mehr und Admin A und Admin B können sich berechtigen oder nicht - wie sie es wollen.
Gruß
Dirk
Eine Kopie wird nicht funktionieren, weil von unserer Seite neue Dokumente eingestellt werden und andere gelöscht werden, und das soll an die andere Firma weitergehen.
Leserechte für Server ist gut, aber dazu hab ich noch ein paar Fragen:
Wenn der Server der Firma2 nur Leserechte hat, werden dann Leser- und Autorenfelder sauber repliziert?
Bzw braucht der Server nicht auf jeden Fall Entwickler, damit das Design mit repliziert wird?
Wird das befüllte Profildokument repliziert?
Kann ich írgendwo angeben, daß Rollen nicht mitrepliziert werden sollen?
Danke
Frage 1) Übergib der Firma 2 ein Replikstumpf deiner Anwendung (damit die Replik-ID stimmt) und für alle Fälle ein Template deiner DB (damit das Design stimmt). Letzteres sollte nicht nötig sein, wenn die ACL in Firma 2 korrekt eingestellt ist, schadet aber nichts.
Frage 2) Ist hiermit beantwortet.
Frage 3) Wenn auf der Replik von Firma 2 die ACL stimmt, dann ja
Frage 4) Du kannst Replizierparameter auf deiner Replik einstellen. Davon würde ich aber eher abraten: es macht die Sache nicht unbedingt übersichtlicher und muss bei etwaigen Änderungen immer im hinterkopf behalten werden. Sonst wundert man sich, warum irgendwas nicht so tut, wie erwartet.
Wenn ich Firma 2 ein Template übergebe, in dem nur die für sie relevanten Rollen enthalten sind,
und wenn dann in den Replizierungsoptionen unter dem Reiter "Senden" der Haken bei "Änderungen an Paramenter für lokale Sicherheit an andere Repliken senden" nicht gesetzt ist,
dann sollten doch keine weiteren Rollen (die in unserer Replik vorhanden sind) weiterrepliziert werden.
Oder bin ich da falsch dran?
