Sametime - Zugriffsfragen

  • Moinmoin,


    Sametime die nächste ... diesmal nicht Update, sondern Betrieb (Umgebung: Windows Server 2008R2, Domino 8.5.2FP4 HF477, Sametime 8.5.2, OHNE Websphere!):


    Um die Zugriffe zum ST Server zu steuern, habe ich im NAB eine Gruppe angelegt ("IMNutzergruppe"). Diese habe ich auch im Serverdokument - Bereich "Sicherheit" im Bereich "Serverzugriff" hinterlegt.
    Analog habe ich eine zweite Gruppe angelegt ("IMNutzergruppe_DenyAccess"), die im ich bei "kein Serverzugriff" hinterlegt habe.
    Soweit - so gut. Nun habe ich einen Testuser, der zunächst einmal in keiner der beiden Gruppen eingefügt war .. und wie es auch sein sollte, hatte dieser Testuser keinen Zugriff auf den ST Server. Nun hatte ich diesen einmal in die IMNutzergruppe eingetragen und ... wie es sein soll, konnte der nun den ST Server zum Chatten etc. nutzen. Nun kommt mein Rätsel: ich habe den Testuser zunächst nur wieder aus der IMNutzergruppe entfernt, so daß er keinen Zugriff mehr haben sollte ... und ... nix wars. Er konnte des ST Server weiter nutzen. Also, was macht der Admin: Rein mit dem Testuser in die IMNutzergruppe_DenyAccess-Gruppe: Also jetzt exlizit den Zugriff verweigern. Das ist im übrigen auch die einzige Gruppe im NAB, wo der eingetragen ist.


    Aber auch DAS brachte nichts; der Testuser kann weiterhin Sametime nutzen.


    Und das ist dann doch wenig logisch.Hmmh :S


    Da wäre ich doch mal auf eine Lösung gespannt ... so Ihr so ein Phänomen auch kennt und vielleicht sogar besagte Lösung habt ...



    Besten Dank schon einmal!



    Greetz Hannes

  • Da der Sametime Zugriff über den HTTP Task gesteuert wird greifen die Access Settings nur wenn du diese auch fürs HTTP protokoll aktiviert hast.


    Ist das der Fall ?


    Abgesehen davon werden Zugriffsgruppeninfos gecacht, d.h. um es sauber zu testen musst du entweder warten, oder aber Cache leeren bzw Server neustarten

  • Dazu hätte ich eine kurze Rückfrage.


    Wie melden sich die User an? Benutzername (Emailadresse) und Passwort oder Domino SSO Notes/Sametime Token?


    Wie reagiert der Community Server wenn du den HTTP Task neu startest nachdem du den User aus der entsprechenden
    Gruppe heraus genommen hast? Kann der user dann immer noch zugreifen oder nicht mehr?

    ...


    Die größte Schwäche des Stärkeren besteht in seiner Arroganz.

  • Moin,



    @taurec, kurze Frage: wo genau stelle ich dies ("Da der Sametime Zugriff über den HTTP Task gesteuert wird greifen die Access Settings nur wenn du diese auch fürs HTTP protokoll aktiviert hast") ein?



    Server wurde neu gestartet



    @MThomas, Benutzer melden sich via Bernutzername und Passwort an



    HTTP Task hatte ich auch schon neu gestartet, User konnte und kann auch heute noch zugreifen ... :(

  • Danke,


    ich werde das mal probieren (kann aber derzeit - da Nutzung durch User - den HTTP nicht einfach mal durchstarten. Gebe aber Bescheid, ob es geklappt hat :)


    Greetz Hannes

  • Moin,



    sorry für die ein kleines bischen spätere Rückmeldung;



    ich habe diese Einstellung (Server Dokument\Reiter Ports\Internet Ports, Einstellung Enfore Server Access Settings je Protokoll ) tatsächlich noch nicht gehabt und neulich nachgezogen. Nach einem Neustart des Sametime heute morgen - keine Änderung: der besagte Testuser darf immer noch zugreifen. :-/



    Any other idea?



    Schöne Grüße Hannes

  • Eine Frage: Der Sametime ist aber nicht zufällig zur Nutzung von LDAP statt des Domino Directories konfiguriert ?


    Ansonsten wäre noch die Frage wie die ACl Settings der Sametime Config Datenbanken aussehen, ist da evtl Anonymous berechtigt ?

  • Hi taurec, dochdoch, der Sametime nutzt das LDAP.


    Und .. hab gerade nochmals nachgesehen ... Anonymous darf auf den SD-Config-DB´s nichts (Typ "Unbestimmt" und "Kein Zugriff" ... )


    :-0


    Grüße Hannes

  • Und die Gruppen sind nicht vom Typ "Mail only"?

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Moin,


    RockWilder: nee die Gruppen sind von Typ Multi Purpose. Sowohl die Hauptgruppe als auch die in der Hauptgruppe eingetragenen kaskadierten Gruppen ...


    @taurec ... verstehe Deine Frage nicht ganz :-o


    besagter Nutzer, der eigentlich kein Recht haben sollte, ST zu nutzen, dies aber eigenartigerweise hat, ist in KEINER der ST-zugriffsberechtigten Gruppen enthalten ...

  • taurec meinte damit vermutlich 2 Dinge:
    1) hast du die User manuell in die Gruppe eingetrage oder per Script? Das kann den Unterschied ausmachen, ob im Item "Members" dann "CN=Lieschen Mueller/O=Certifier" oder einfach nur "Lieschen Mueller/Certifier" enthalten ist.
    2) sind die User mit dem vollqualifizierten Namen eingetragen? Also: "Lieschen Mueller/Certifier" oder einfach nur "Lieschen Mueller".

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Moin,


    1. Die (bis auf die dritte Ebene) kaskadierten Gruppen existierten vorher schon. Ich gehe davon aus, das sie händlich befüllt wurden (war vor meiner Zeit hier). im Item Members steht sie so CN=Lieschen Mueller/O=Certifier


    2. Die MItglieder sind mit dem vollqualifiziertem Namen eingetragen