Traveler 9.0.1 DA und Berechtigung

    Hallo zusammen,


    über den Traveler-Server können die User aktuell auf alle über DA konfigurierten Adressbücher zugreifen.
    Aktuelle Konfig:
    * Der Notes.ini-Paramter NTS_LOOKUP_ENFORCE_ACL=1 ist in der INI des Traveler-Servers gesetzt.
    * Die DA sind ebenfalls im Traveler-Server gesetzt.
    * Der Traveler-Server hat Manager-Rechte auf die names.nsf des Home-Servers.


    Hat jemand eine Ahnung, wo noch angesetzt werden kann? Ich kann mir nicht vorstellen, dass diese Sicherheitslücke "Standard" ist.


    Vielen Dank


    Grüße
    Ralph

    Wieso? Das sind doch bekannte Mechanismen. Funktioniert im Notes-Client doch auch nicht anders.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Im Notes-Client kann ein Benutzer zwar über das Dropdown ein über DA konfiguriertes Adressbuch auswählen (wenn DA, Arbeitsumgebung und hinterlegter Server passen), bekommt dann aber eine Fehlermeldung, wenn er nicht berechtigt ist.
    Wählt er das gleiche Adressbuch dagegen im Traveler hat er Zugriff auf alle Kontakte im Adressbuch, obwohl er laut ACL nicht berechtigt ist.

    Weil sich auch nicht der User meldet, sondern der Server. Und der ist deinen Angaben nach Manager.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hallo RockWilder,
    Server ist Manager: das ist die Konfigurationsempfehlung vom IBM-Support damit dieser die ACL auslesen kann. Ich frage mich, wozu der INI-Eintrag NTS_LOOKUP_ENFORCE_ACL=1 dann überhaupt gut ist wenn der Server eh macht was er will?
    Ich frage mal anders: ist es Standard, dass der Traveler hinsichtlich über DA eingebundene Adressbücher alle Berechtigungen ignoriert? Wenn nein, wie wäre der Lösungsansatz?
    Danke.

    Bei dem Parameter, den es schon seit langer Zeit gibt, nur eben seit 8.5.3 per default auf "1" gesetzt (vorher: "0"), geht es weniger um den Zugriff auf DBs, sondern IIRC um Zugriff auf Feldinhalte, wenn es Leserfelder sind.
    Irgendwie war da was, dass Berechtigungen von Leserfeldern nicht beachtet wurden und beim DD-Lookup eben diese Feldinhalte mit ausgegeben wurden, obwohl die anfragende ID eigentlich keinen Zugriff auf das Feld hatte. Oder irgendwie so ... so ganz bekomme ich es nicht mehr zusammen. Schonmal die Suchmaschine des geringsten Misstrauens und/oder die IBM-KB damit beschäftigt?


    Beim Traveler ist es AFAIK aber so, dass nicht der User, bzw. sein Endgerät, den Server fragt, sondern der Traveler fragt sich selbst. Von daher kann dein Konstrukt nicht wie von dir angedacht funktionieren. Du kannst zwar versuchen, einen DC so zu verbiegen, dass bestimmte User, wenn sie bestimmten Gruppen angehören, bestimmte Kontakte sehen oder auch nicht. Aber wozu soll das gut sein? Unterm Strich ist das alles Humbug: kennt ein User eine Adresse, kann er sie verwenden. Den Server juckt es dann nicht, ob der User die Adresse aus unerfindlichen Gründen hätte nicht kennen dürfen. Der Server kennt die Adresse, bzw. weiß, dass er sie rausrouten soll, und tut das dann auch.


    Zugriffsbeschränkungen auf reinkaskadierte Adressbücher sind seitdem es diese Möglichkeit im Domino hat, eine never ending story. Long story short: einfach bleiben lassen und gut ist.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Sorry, aber hier wird einiges ganz schön durcheinandergewirbelt.


    1. Wenn ein Benutzer eine Adressbuchsuche anstösst, dann sucht der Traveler- Server, soweit ist das richtig. ABER:


    - Der Traveler- Server sucht per Default NICHT bei sich selbst, sondern auf dem Mail- / Home- Server des Benutzers. Will man das Verhalten ändern, dann muss man den Parameter NTS_TRAVELER_AS_LOOKUP_SERVER auf true ändern. Die DA des Travelers ist also vollkommen irrelevant (ohne den genannten INI- Eintrag)


    - Der Traveler- Server berücksichtigt per DEFAULT die Berechtigungen des Benutzers und filtert die Ergebnisse entsprechend. Damit arbeitet er ANDERS als es der Notes- Client tut, der bei einem Type- Ahead- Lookup ALLE Ergebnisse bekommt, auch wenn der Benutzer weder Zugriff auf die Datenbank noch auf das Dokument hat, denn hier macht tatsächlich der Server den Lookup und schert sich nicht um die Userberechtigungen.
    Dieses Verhalten des Traveler lässt sich über die Variable NTS_LOOKUP_ENFORCE_ACL steuern.
    ACHTUNG: VOR Traveler Version 8.5.3 Upgrade Pack 2 Interim Fix 2 war der Default für den Wert 0, seither ist der Defaultwert 1, muss also nicht mehr dediziert gesetzt werden.


    Insofern: Wenn trotz fehlendem Zugriff auf die Datenbank auf dem MAIL- HOME- Server die falschen Ergebnisse zurückgeliefert werden, dann ist das ein Bug...


    Was ich nicht verstehe: Wie wählt man mit dem Traveler ein Adressbuch aus? Ist mir da irgendwas durchgegangen? Da gibt es doch nur die globale Suche, und keine Unterschiedung nach definiertem Adressbuch, oder doch?

    Danke für Deine Antwort,
    Suchmaschine: natürlich hab ich das. Dort wird das Problem oft beschrieben. Alles reduziert sich jedoch auf das Setzen des INI-Eintrages.
    Wir haben bei IBM ein Ticket eröffnet. Antwort folgt...

    Hallo Tode,


    - Der Traveler- Server sucht per Default NICHT bei sich selbst, sondern auf dem Mail- / Home- Server des Benutzers. Will man das Verhalten ändern, dann muss man den Parameter NTS_TRAVELER_AS_LOOKUP_SERVER auf true ändern. Die DA des Travelers ist also vollkommen irrelevant


    --> das ist richtig. Aber, wenn auf dem Traveler die DA angelegt wird, dann sieht der Client-Benutzer diese Einträge im Dropdown der Adressbücher (wenn er eine neue Mail schreiben will) nicht. Denn die DAs werden in Abhängigkeit des Servers, der in der Arbeitsumgebung angegeben ist angezeigt.


    Wie wählt man mit dem Traveler ein Adressbuch aus?
    --> gar nicht. Wenn du im Traveler zB bei "An" anfängst den Namen zu tippen, dann durchsucht er einfach alle Adressbücher auf die er (besser: der Benutzer --> genau da liegt das Problem) Zugriff hat. In der Traveler-Konfig kann eingestellt werden, wieviele Buchstaben nötige sind, damit die Suche beginnt.


    Insgesamt beschreibst du eigentlich das was logisch wäre, aber eben nicht funktioniert. Bug? Kann sein.