Hi Leute,
ich habe da ein kleines Problem ... gibt es eine einfache bzw. generelle Möglichkeit den Benutzerzugriff auf einen Lotus Domino Server via http auf einzelne Benutzer bzw. Gruppen des Domino Directories zu beschränken (aller SMTP-Konfiguration)
Bin für jede Antwort dankbar ... bye and take care ... Frank
...ich verstehe die Frage nicht ganz!
Nur der hat Zugriff der im Personendokument ein Internetpasswort hat, und wenn natürlich anonymus ausgesperrt ist...
Holja
... da habe ich mich wohl etwas zu knapp ausgedrückt ... Also,
die Situation schildert sich wie folgt ...
bei dem erwähnten Server handelt es sich um ein Konglomerat aus Mail-, Applikations- und Webserver.
Generell besteht für alle Benutzer der Domäne der Zugriff auf diesen Server (Serverdokument -> Sicherheit -> Serverzugriff). Ein anonymer Zugriff ist generell unterbunden. Die ACls der Datenbanken sind sauber gepflegt ("anonymous" mit "no access"). Dies soll auch alles so bleiben. Nun möchte jedoch der Kunde, dass nur einzelne Personen besser jedoch Gruppen via http auf dem Domino Server zugreifen sollen. Ok, ich könnte über einen Agent aus den Personendokumenten das Feld "Internet-Kennwort" leeren. Das kann aber nicht der Weg sein.
Ich habe keinen Parameter für die Konfigurationsdatei gefunden ... keine generelle Einstellung und die httpd gibt auch nicht viel her !!!
Version des Domino Servers: 5.0.11, englisch
Serverversion: MS Windows 2000 SP3, englisch
Habt ihr noch eine Idee ?
Hy,
Probiers mal damit.
Cu
Martin
Aus der Admin Hilfe:
Serverdateien vor dem Zugriff eines Web-Clients schützen
Sie können ein Dateischutzdokument erstellen, wenn Sie die Dateien auf dem Festplattenlaufwerk des Servers schützen möchten. Dateischutzdokumente steuern den Zugriff, der einem Web-Browser-Client auf die Dateien gewährt wird. Wenn Sie für die Dateien, auf die Browser-Benutzer zugreifen können (beispielsweise HTML, JPEG und GIF), einen zwingenden Dateisystemschutz fordern möchten, geben Sie für diese Dateitypen die Zugriffsebene und die Namen der Personen an, die darauf Zugriff haben sollen.
Der Dateisystemschutz kann für CGI-Scripte, Servlets und Agenten angewandt werden. Allerdings kann der Dateischutz nicht auf andere Dateien ausgeweitet werden, auf die diese Scripte, Servlets oder Agenten zugreifen. Beispiel: Sie können Dateischutz auf ein CGI-Script anwenden und den Zugriff auf die Gruppe "Web-Administratoren" beschränken. Wenn das CGI-Script jedoch ausgeführt wird und andere Dateien öffnet (oder wenn es veranlaßt, daß andere Scripte ausgeführt werden), wird nicht mit dem Dateischutzdokument überprüft, ob die Mitglieder der Gruppe "Web-Administratoren" auf diese Dateien zugreifen dürfen.
Der Dateisystemschutz gilt jedoch für Dateien, die auf andere Dateien zugreifen, beispielsweise HTML-Dateien, die Bilddateien öffnen. Wenn ein Benutzer Zugriff auf eine bestimmte HTML-Datei hat, jedoch nicht auf die JPEG-Datei, die von der HTML-Datei verwendet wird, zeigt Domino die JPEG-Datei nicht an, wenn der Benutzer die HTML-Datei öffnet.
Sie können ein Dateischutzdokument für ein Verzeichnis oder eine einzelne Datei erstellen. Vorgabepfad ist das Domino Data-Verzeichnis. Sie können auch Dateischutzdokumente für andere Verzeichnisse erstellen. Es empfiehlt sich durchaus, Dateischutzdokumente für alle Verzeichnisse zu erstellen, auf die Web-Benutzer zugreifen können.
Standardmäßig enthält das Domino Verzeichnis ein Dateischutzdokument für das Verzeichnis "domino\adm-bin", das erstellt wird, wenn der Server nach der Installation zum ersten Mal wieder startet. Dieses Dateischutzdokument gewährt Administratoren Schreib-/Lese-/Ausführzugriff auf das Verzeichnis. Alle anderen Benutzer werden auf "Kein Zugriff" gesetzt. Domino bezieht die Liste der Administratoren aus dem Feld "Administratoren" im Serverdokument, wenn der Server zum ersten Mal gestartet wird. Die Administratorliste wird nicht im Dateischutzdokument aktualisiert, wenn Sie nach dem erstmaligen Starten des Servers Namen zum Feld "Administratoren" hinzufügen. Benutzer haben Zugriff auf alle anderen Dateien und Verzeichnisse auf dem Server, bis Sie ein Dateischutzdokument erstellen.
Es ist nicht erforderlich, den Dateisystemschutz für den Schutz von Datenbankdateien (.NSF) zu verwenden. Verwenden Sie Datenbank-ACLs für deren Schutz.
So erstellen Sie ein Dateischutzdokument
1. Führen Sie einen der folgenden Schritte aus:
Klicken Sie in Domino Administrator auf "Konfiguration" und dann auf "Server".
Wenn Sie ein Dateischutzdokument für einen virtuellen Server erstellen, klicken Sie auf "Web - Web-Serverkonfigurationen".
2. Führen Sie einen der folgenden Schritte aus:
Öffnen Sie das Serverdokument des Servers, für den der Dateischutz gelten soll.
Wenn Sie ein Dateischutzdokument für einen virtuellen Server erstellen, öffnen Sie das Dokument "Virtueller Server".
3. Klicken Sie auf "Web", und wählen Sie "Dateischutz erstellen".
4. Klicken Sie auf das Register "Allgemein", und geben Sie in folgende Felder Werte ein:
Feld Eingabe
Betrifft Der Name des Servers (oder des virtuellen Servers), auf dem das Dateischutzdokument erstellt wird. Dieses Feld kann nur angezeigt, nicht bearbeitet werden.
IP-Adresse Die IP-Adresse des Servers, für den der Dateischutz gilt. Dieses Feld wird nur angezeigt, wenn Sie ein Dateischutzdokument für einen virtuellen Server erstellen.
Pfad Das Laufwerk, Verzeichnis oder die Datei, das/die Sie beschränken möchten. Der Pfad ist relativ zum Domino Data-Verzeichnis.
5. Klicken Sie auf das Register "Zugriffskontrolle", geben Sie einen Wert in dieses Feld ein, und speichern Sie anschließend das Dokument:
Feld Eingabe
Aktuelle Zugriffskontrolliste Benutzer und Gruppen, die auf die von Ihnen angegebenen Dateien und Verzeichnisse Zugriff haben, sowie die Art des gewährten Zugriffs. Ähnlich der Zugriffskontrolliste einer Datenbank wird die Zugriffskontrolliste stets mit dem Eintrag "Kein Zugriff" (Vorgabe) erstellt. Wie bei der Datenbankzugriffsliste erhalten nicht in der Liste aufgeführte Benutzer die unter "-Default-" festgelegten Zugriffsrechte.
Wenn Sie weitere Benutzer zu der Liste hinzufügen möchten, klicken Sie auf "Zugriffskontrolliste festlegen/ändern". Wählen Sie einen Benutzernamen oder eine Gruppe aus dem Domino Verzeichnis, oder geben Sie einen Namen in das Feld "Name" ein. Wählen Sie dann "Lese-/Ausführungszugriff (GET-Methode)" oder "Schreib-/Lese-/Ausführungszugriff (POST- und GET-Methode)" oder "Kein Zugriff". Klicken Sie auf "Weiter", um diesen Eintrag in die Zugriffsliste aufzunehmen.
Mit "GET" können Benutzer Dateien öffnen und Programme im Verzeichnis starten. "POST" wird normalerweise zum Senden von Daten an ein CGI-Programm verwendet. Daher sollte der Zugriff "POST" nur Verzeichnissen zugewiesen werden, die CGI-Programme enthalten. Bei "Kein Zugriff" wird einem bestimmten Benutzer oder einer Gruppe kein Zugriff gewährt.
Um einen Eintrag aus der Liste zu löschen, wählen Sie ihn aus, und klicken Sie auf "Löschen".
Wenn Benutzer anonym auf den Server zugreifen dürfen, geben Sie "Anonymous" in das Feld "Name" ein und weisen die entsprechenden Zugriffsrechte zu.
6. Geben Sie folgenden Befehl in der Konsole ein, um die Servereinstellungen zu aktualisieren:
tell http restart
7. Um das Dateischutzdokument anzuzeigen, klicken Sie auf "Web - Web-Serverkonfigurationen" im Register "Konfiguration". Domino zeigt das Dateischutzdokument als Antwort auf das Serverdokument an.
Siehe "Beispiele für die Steuerung des Web-Browser-Zugriffs auf Serverdateien".
Siehe auch
Web-Browser-Zugriff auf Serverdateien steuern
Wenn dein Domino server den zuweisung von ZWEI ip adressen, und damit zwei ports haben kann, und den Interne netzwerk einer IP adresse und den externe (und damit http) den andere, dann hast du einen chance, sonnst nicht.
Den user der sich authentifiziert am server wird ähnlich (wenn nicht identisch) behandelt wie einen notes user.
Wenn zwei ip adressen (und damit zwei ports) verwendet werden kannst du mittels einen notes ini variabele "Allow_Access_TCPIC2 = gruppen, users" den zugang auf diesen port beschränken.
Denk aber dran das damit alle andere KEIN erlaubnis mehr haben werden, und das auch ADMINS (wenn nicht explicit aufgelistet) keine zugriff mehr bekommen.
... hey ... das klingt gut und so einfach ... das könnte passen ... warum kommt man nie auf die einfachen Lösungen ... ich wusste doch das Detlef wieder mal recht hatte ... Du musst nur den Richtigen fragen ... bye and take care ... probiere ich doch gleich mal aus
Tja, leider geht das mit den allow und deny_access_portname NUR für nrpc protokoll, und ist es nicht möglich dieses weiter einzuschränken...
Lotus sagt aus das dieses überhaupt nicht möglich ist, ausser durch die authentification für diesen personen einfach auszuschalten, also deren internet kennwort löschen. Wer sich dann nicht authentifizieren kann, kommt nicht drauf...
