Korrekte Einträge in der ACL sind u. a.:

• Platzhaltereinträge
• Benutzer-, Server- und Gruppennamen (einschließlich Benutzer- und Gruppennamen von Internet-Clients)
• LDAP-Benutzer
• Anonymous, wird für den anonymen Internet- und IBM® Notes-Benutzerzugriff verwendet
• Datenbank-Replik-IDs

Fügen Sie der ACL Namen im hierarchischen Format hinzu, um eine höhere Sicherheit zu gewährleisten. Beispiel:

Sandra E Schmidt/West/Renovations/DE

Ralf Bocker/Vertrieb/FactoryCo

Platzhaltereinträge

Um den allgemeinen Zugriff auf eine Datenbank zu erlauben, können Sie hierarchische Namen mit einem Platzhalterzeichen (*) in die ACL eingeben. Sie können Platzhalter im allgemeinen Namen und in den Unterorganisationskomponenten verwenden.

Benutzern und/oder Servern, für die kein bestimmter Benutzer- oder Gruppennameneintrag in der ACL vorhanden ist und zu deren hierarchische Namen die Komponenten gehören, die einen Platzhalter enthalten, wird durch die entsprechenden Platzhaltereinträge die höchste Zugriffsebene zugewiesen.

Es folgt ein ACL-Eintrag im Platzhalterformat:

*/Illustration/Produktion/Renovations/DE

Dieser Eintrag gewährt die ausgewählte Zugriffsebene für:

Mary Tsen/Illustration/Produktion/Renovations/DE

Michael Bowling/Illustration/Produktion/Renovations/DE

Dieser Eintrag gewährt keine ausgewählte Zugriffsebene für:

Sandy Braun/Dokumentation/Produktion/Renovations/DE

Alan Nelson/Renovations/DE

Sie können einen Platzhalter nur im ACL-Eintrag ganz links verwenden. Den folgenden Eintrag können Sie beispielsweise nicht verwenden:

*/Illustration/*/Renovations/DE

zur Darstellung der folgenden Einträge:

Michael Bowling/Illustration/West/Renovations/DE

Karen Richards/Illustration/Ost/Renovations/DE

Setzen Sie beim Verwenden eines ACL-Platzhaltereintrags den Benutzertyp auf "Unbestimmt", "Gemischte Gruppe" oder "Personengruppe".

Benutzernamen

Sie können einer ACL die Namen von Einzelpersonen mit zertifizierten Notes-Benutzer-IDs oder von Internetbenutzern hinzufügen, die die Namens- und Kennwortauthentifizierung bzw. die SSL-Client-Authentifizierung verwenden.

• Geben Sie für Notes-Benutzer den vollständigen hierarchischen Namen für jeden Benutzer an, beispielsweise "Helmut Becker/Vertrieb/Renovations", unabhängig davon, ob sich der Benutzer in derselben hierarchischen Organisation wie der Server befindet, auf dem die Datenbank gespeichert ist.
• Geben Sie für Internetbenutzer den Namen an, der als erster Eintrag im Feld "Benutzername" des Personendokuments angezeigt wird.

  Anmerkung: Viele Aliasnamen können im Benutzernamensfeld eingegeben und für die Authentifizierung verwendet werden. Zum Ausführen der Sicherheitsautorisierungsprüfung wird jedoch der erste Name in der Liste verwendet. Dabei handelt es sich um den Namen, der für alle IBM Domino-Datenbank-ACLs in den Sicherheitseinstellungen des Serverdokuments und in den ACL-Dateien verwendet werden sollte.

Sie können einer ACL Servernamen hinzufügen, um die Änderungen zu steuern, die eine Datenbank von einer Datenbankreplik erhält. Damit eine höhere Sicherheit sichergestellt wird, verwenden Sie den vollständigen hierarchischen Servernamen (beispielsweise "Server1/Vertrieb/Renovations"), unabhängig davon, ob sich der Name des hinzugefügten Servers in einer anderen hierarchischen Organisation befindet als der des Servers, auf dem die Datenbank gespeichert ist.

Gruppennamen

Sie fügen der ACL einen Gruppennamen hinzu, z. B. "Training", um mehrere Benutzer oder Server darzustellen, die denselben Zugriff benötigen. Die Benutzer müssen in Gruppen mit einem primären hierarchischen Namen aufgeführt sein. Mitglieder von Gruppen können auch durch Platzhaltereinträge angegeben werden. Bevor Sie in einer ACL einen Gruppennamen verwenden können, müssen Sie die Gruppe im IBM Domino-Verzeichnis, in einem sekundären Domino-Verzeichnis oder in einem externen LDAP-Verzeichnis erstellen, das für die Gruppenautorisierung in der Datenbank für die Verzeichnisverwaltungsdatenbank (Directory Assistance) konfiguriert wurde.

Anmerkung: Stellen Sie sicher, dass alle Gruppennamen, die sie in einer ACL verwenden, gemäß den entsprechenden Richtlinien erstellt werden. Die Verwendung fehlerhafter Namen kann zu Zugriffsproblemen führen.

Tipp: Verwenden Sie für die Manager einer Datenbank individuelle Namen anstatt Gruppennamen. Wenn die Benutzer anschließend Erstellen -> Andere -> Spezial/Memo an Datenbankmanager senden auswählen, wissen sie, an wen sie sich wenden.

Gruppen stellen eine bequeme Möglichkeit dar, eine Datenbank-ACL zu verwalten. Die Verwendung einer Gruppe in der ACL bietet folgende Vorteile:

• Anstatt einer ACL eine lange Liste mit einzelnen Namen hinzuzufügen, können Sie einen Gruppennamen hinzufügen. Wenn eine Gruppe in mehreren ACLs aufgelistet ist, ändern Sie das Gruppendokument im Domino-Verzeichnis oder im LDAP-Verzeichnis, anstatt einzelne Namen in mehreren Datenbanken hinzuzufügen und zu löschen.
• Wenn Sie die Zugriffsebene für mehrere Benutzer oder Server ändern möchten, können Sie dies einmalig für die gesamte Gruppe erledigen.
• Verwenden Sie Gruppennamen, um die Verantwortlichkeiten von Gruppenmitgliedern oder die Organisation einer Abteilung oder eines Unternehmens darzustellen.

Gruppe vom Typ "Ausgeschieden"

Wenn Mitarbeiter aus einem Unternehmen ausscheiden, sollten Sie ihre Namen aus allen Gruppen im Domino-Verzeichnis entfernen und sie einer Gruppe "Nur Negativliste" hinzufügen, die zum Verweigern des Serverzugriffs verwendet wird. Die Negativliste im Serverdokument enthält die Namen der Notes-Benutzer und -Gruppen, die über keinen Zugriff auf Domino-Server mehr verfügen. Sie sollten auch sicherstellen, dass die Namen von ausgeschiedenen Mitarbeitern aus den ACLs aller Datenbanken in Ihrem Unternehmen entfernt werden. Wenn Sie eine Person aus dem Domino-Verzeichnis löschen, können Sie einen Gelöschten Benutzer zur Gruppe ohne Zugriff hinzufügen, falls eine solche Gruppe erstellt wurde. (Falls keine derartige Gruppe existiert, wird im Dialogfeld die Nachricht Keine Gruppe ohne Zugriff ausgewählt oder verfügbar angezeigt.)

LDAP-Benutzer

Sie können ein sekundäres LDAP-Verzeichnis für die Authentifizierung von Internetbenutzern verwenden. Anschließend können Sie die Namen dieser Internetbenutzer Datenbank-ACLs hinzufügen, um den Benutzerzugriff auf Datenbanken zu steuern.

Sie können im sekundären LDAP-Verzeichnis auch Gruppen erstellen, die die Namen der Internetbenutzer enthalten, und die Gruppen anschließend als Einträge in den Notes-Datenbank-ACLs hinzufügen. Ein Internetbenutzer kann beispielsweise versuchen, eine Datenbank auf einem Domino-Web-Server zu öffnen. Wenn der Web-Server den Benutzer authentifiziert und die ACL eine Gruppe mit der Bezeichnung "Web" enthält, kann der Server den Namen des Internetbenutzers zusätzlich zur Suche im primären Domino-Verzeichnis in der Gruppe "Web" suchen, die sich im fremden LDAP-Verzeichnis befindet. Beachten Sie, dass die Datenbank "Directory Assistance" auf dem Web-Server ein LDAP-Verzeichnisverwaltungsdokument für das LDAP-Verzeichnis mit der aktivierten Option "Gruppe erweitern" enthalten muss, damit dieses Szenario funktioniert. Sie können diese Funktion auch verwenden, um die Namen von Notes-Benutzern zu suchen, die in fremden LDAP-Verzeichnisgruppen zur Datenbank-ACL-Überprüfung gespeichert sind.

Wenn Sie einer Datenbank-ACL den Namen eines Benutzers oder einer Gruppe aus einem LDAP-Verzeichnis hinzufügen, verwenden Sie für den Namen das LDAP-Format. Verwenden Sie dabei als Trennzeichen Schrägstriche (/) anstelle von Kommas (,). Wenn der Name für einen Benutzer im LDAP-Verzeichnis beispielsweise folgendermaßen lautet:

uid=Sandra Schmidt,o=Renovations,c=DE

geben Sie in der Datenbank-ACL Folgendes ein:

uid=Sandra Schmidt/o=Renovations/c=DE

Wenn Sie den Namen einer nicht hierarchischen LDAP-Verzeichnisgruppe in eine ACL eingeben möchten, geben Sie nicht den Attributnamen, sondern lediglich den Attributwert an. Wenn der nicht hierarchische Name der LDAP-Gruppe beispielsweise wie folgt lautet:

cn=Manager

geben Sie in die ACL lediglich Folgendes ein:

Manager

Wenn Sie den Namen eines hierarchischen Gruppennamens eingeben möchten, schließen Sie auch LDAP-Attributnamen in ACL-Einträge ein. Wenn der hierarchische Name der Gruppe beispielsweise wie folgt lautet:

cn=Manager,o=Renovations

geben Sie in die ACL lediglich Folgendes ein:

cn=Manager/o=Renovations

Beachten Sie, dass die Attribute nicht in der ACL angezeigt werden, wenn die von Ihnen angegebenen Attributnamen genau den in Notes verwendeten Attributen entsprechen (cn, ou, o, c).

Wenn Sie in einer ACL beispielsweise diesen Namen eingeben:

cn=Sandra Schmidt/ou=West/o=Renovations/c=DE

Da die Attribute genau den von Notes verwendeten Attributen entsprechen, wird der Name in der ACL wie folgt angezeigt:

Sandra Schmidt/West/Renovations/DE

Korrekte ACL-Einträge für LDAP-Benutzer

Tabelle 1. Korrekte ACL-Einträge für LDAP-Benutzer

LDAP-DN	ACL-Eintrag
cn=Scott Davidson+ id=1234, ou=Vertrieb,o=Renovations	cn=Scott Davidson+id=1234/ou=Vertrieb/o=Renovations
cn=Scott Davidson,o=Renovations\, Inc	cn=Scott Davidson/o=Renovations, Inc Anmerkung: Wenn der LDAP-Name einen umgekehrten Schrägstrich, gefolgt von einem anderen Zeichen, enthält, lassen Sie diesen Schrägstrich beim Angeben des Namens in der Datenbank-ACL weg.
uid=smd12345,dc=Renovations,dc=Com	uid=smd12345/dc=Renovations/dc=Com
uid=Sandra Schmidt,o=Renovations,c=DE	uid=Sandra Schmidt/o=Renovations/c=DE

Anonymous

Jeder Benutzer oder Server, der auf einen Server zugreift, ohne zunächst eine Authentifizierung auszuführen, ist auf diesem Server unter dem Namen "Anonymous" bekannt. Der anonyme Datenbankzugriff wird Internetbenutzern und Notes-Benutzern zugewiesen, die keine Serverauthentifizierung ausgeführt haben.

Der anonyme Zugriff wird in der Regel für Datenbanken verwendet, die sich auf Servern befinden, die allgemein zugänglich sind. Sie können die Datenbankzugriffsebene, die einem anonymen Server oder Benutzer gewährt wurde, steuern, indem Sie den Namen "Anonymous" in der ACL angeben und eine entsprechende Zugriffsebene zuweisen. In der Regel weisen Sie anonymen Benutzern Leserzugriff zu.

Der Standard-ACL-Eintrag für "Anonymous" für alle Datenbankschablonendateien (.NTF-Dateien) weist die Zugriffsebene "Leser" auf, sodass die Benutzer oder Server erfolgreich von der Schablone lesen können, wenn sie .NSF-Dateien auf der Grundlage dieser Schablone erstellen oder aktualisieren.

Der Standard-ACL-Eintrag für "Anonymous" lautet für Datenbankdateien (.NSF-Dateien) "Kein Zugriff".

Tabelle 2. Bedingungen für anonymen Zugriff auf eine Datenbank

	Für Internetprotokolle aktivierter anonymer Zugriff	Für Internetprotokolle deaktivierter anonymer Zugriff
In der Datenbank-ACL aktivierter anonymer Zugriff	Die Benutzer greifen mit der Zugriffsebene "Anonymous" auf die Datenbank zu. Wenn der Zugriff "Anonymous" auf "Leser" gesetzt ist, erhalten die Benutzer, die auf die Datenbank zugreifen, Leserzugriff.	Die Benutzer werden zur Authentifizierung aufgefordert, wenn sie versuchen, auf Serverressourcen zuzugreifen. Wenn der Benutzer nicht in der Datenbank aufgeführt ist (aufgrund eines Gruppeneintrags, eines Platzhaltereintrags oder wenn der Benutzername ausdrücklich aufgelistet ist), dann greift der Benutzer mit der Zugriffsebene "-Default-" auf die Datenbank zu.
"Anonymous" wird in der Datenbank-ACL "Kein Zugriff" gewährt	Wenn anonymen Benutzern "Kein Zugriff" gewährt wurde (und die Berechtigungen zum Lesen und Schreiben öffentlicher Dokumente nicht aktiviert sind), dürfen sie nicht auf die Datenbank zugreifen und werden zur Authentifizierung aufgefordert. Wenn eine Authentifizierung stattfindet, wird der Name in der Datenbank-ACL geprüft, um die Zugriffsebene zu bestimmen, die für die Datenbank gewährt werden sollte.
In der Datenbank-ACL nicht aufgeführter anonymer Zugriff	Anonyme Benutzer greifen auf die Datenbank mit der Zugriffsebene "-Default-" zu. Wenn "-Default-" beispielsweise auf "Leser" gesetzt und in der ACL kein Eintrag "Anonymous" vorhanden ist, erhalten die Benutzer, die auf die Datenbank zugreifen, Leserzugriff.

Anonyme Benutzer (sowohl diejenigen, denen Zugriff auf eine Datenbank durch den Eintrag "Anonymous" gewährt wird, als auch diejenigen, denen Zugriff durch den Eintrag "-Default-" gewährt wird), die in der Datenbank eine Aktion ausführen möchten, die für ihre Zugriffsebene nicht erlaubt ist, werden zur Authentifizierung aufgefordert. Wenn "Anonymous" beispielsweise auf "Leser" gesetzt ist und ein anonymer Benutzer versucht, ein neues Dokument zu erstellen, wird dieser Benutzer zur Authentifizierung mit einem Namen und Kennwort aufgefordert.

Tipp: Wenn Sie möchten, dass alle Benutzer eine Datenbankauthentifizierung ausführen, müssen Sie sicherstellen, dass "Anonymous" in der Datenbank-ACL die Zugriffsebene "Kein Zugriff" zugewiesen ist und dass die Optionen "Öffentliche Dokumente lesen" und "Öffentliche Dokumente schreiben" nicht aktiviert sind. Fügen Sie der ACL den Internetbenutzernamen mit der gewünschten Zugriffsebene hinzu.

Der Domino-Server verwendet den Gruppennamen "Anonymous" lediglich zur Zugriffskontrolle. Wenn beispielsweise "Anonymous" in der Datenbank-ACL Autorenzugriff zugewiesen ist, wird der echte Name des Benutzers im Autorenfeld dieser Dokumente angezeigt. Der Domino-Server kann im Autorenfeld des Dokuments nur den echten Namen anonymer Notes-Benutzer anzeigen, jedoch nicht die Namen anonymer Internetbenutzer. Autorenfelder stellen niemals eine Sicherheitsfunktion dar, unabhängig davon, ob der anonyme Zugriff verwendet wird oder nicht. Wenn aus Sicherheitsgründen die Gültigkeit des Autorennamens benötigt wird, sollte das Dokument signiert sein.

Replik-IDs

Wenn Sie einem Agenten in einer Datenbank gestatten möchten, @DbColumn oder @DbLookup zum Abrufen von Daten von einer anderen Datenbank zu verwenden, geben Sie die Replik-ID der Datenbank ein, die den Agenten in der ACL der Datenbank mit den abzurufenden Daten enthält. Der Datenbank mit dem Agenten muss mindestens Leserzugriff für die Datenbank zugewiesen sein, die die abzurufenden Daten enthält. Beide Datenbanken müssen sich auf demselben Server befinden. Ein Beispiel für eine Replik-ID in einer Datenbank-ACL ist 85255B42:005A8fA4. Sie können die Replik-ID in Groß- und in Kleinbuchstaben eingeben, schließen Sie sie jedoch nicht in Anführungszeichen ein.

Wenn Sie der ACL die Replik-ID nicht hinzufügen, kann die andere Datenbank weiterhin Daten abrufen, sofern die Zugriffsebene "-Default-" Ihrer Datenbank auf "Leser" oder höher gesetzt ist.

Bewertungsreihenfolge von ACL-Einträgen

ACL-Einträge werden in einer bestimmten Reihenfolge bewertet, um die Zugriffsebene zu bestimmen, die einem authentifizierten Benutzer gewährt wird, der versucht, auf die Datenbank zuzugreifen. Wenn die Serverauthentifizierung eines Benutzers fehlschlägt und der Server den Zugriff dennoch zulässt, wird der Zugriff so behandelt, als würde es sich beim Namen des Benutzers um "Anonymous" handeln.

• Die ACL überprüft zunächst, ob der Benutzername mit einem bestimmten Eintrag in der ACL übereinstimmt. Die ACL prüft alle übereinstimmenden Benutzernamen. Beispielsweise würde "Sandra E Schmidt/West/Renovations" mit den Einträgen "Sandra E Schmidt/West/Renovations/DE" und "Sandra E Schmidt" übereinstimmen. Für den Fall, dass zwei verschiedene Einträge für eine Person über unterschiedliche Zugriffsebenen verfügen (die z. B. von verschiedenen Administratoren zu unterschiedlichen Zeitpunkten angewendet wurden), würde dem Benutzer, der versucht, auf die Datenbank zuzugreifen, die höchste Zugriffsebene sowie alle Zugriffsberechtigungen der beiden Einträge für diesen Benutzer in der ACL gewährt.

  Anmerkung: Wenn Sie in der ACL lediglich den allgemeinen Namen eingeben (z. B. Sandra E Schmidt), stimmt dieser Eintrag nur überein, wenn sich der Benutzername und der Datenbankserver in derselben Domänenhierarchie befinden. Wenn der Benutzer beispielsweise "Sandra E Schmidt" ist, deren hierarchischer Name "Sandra E Schmidt/West/Renovations" und der Datenbankserver "Fertigung/FactoryCo" lauten, erhält der Eintrag "Sandra E Schmidt" nicht die richtige Zugriffsebene für ACLs auf dem Server "Fertigung/FactoryCo". Der Name muss im vollständigen hierarchischen Format angegeben werden, damit der Benutzer die richtige Zugriffsebene für die ACLs auf den Servern in anderen Domänen erhält.

• Wenn keine Benutzernamensübereinstimmung durchgeführt werden kann, prüft die ACL, ob eine Übereinstimmung anhand des Gruppennamenseintrags möglich ist. Wenn eine Person versucht, auf die Datenbank zuzugreifen, und mit mehreren Gruppeneinträgen übereinstimmt (wenn die Person beispielsweise Mitglied von "Vertrieb" ist und diese Gruppe die beiden Gruppeneinträge "Renovations Vertrieb" und "Vertriebsmanager" enthält), wird dieser Person die höchste Zugriffsebene sowie alle Zugriffsberechtigungen der beiden Einträge für diese Gruppe in der ACL zugewiesen.

  Anmerkung: Wenn der Benutzername mit einem expliziten Eintrag in der ACL übereinstimmt und gleichzeitig Mitglied einer Gruppe ist, die auch in der ACL aufgeführt ist, wird dem Benutzer immer die Zugriffsebene des expliziten Eintrags zugewiesen, selbst wenn die Gruppenzugriffsebene höher ist.

• Wenn keine Gruppennamensübereinstimmung gefunden werden kann, prüft die ACL, ob eine Übereinstimmung anhand des Platzhaltereintrags möglich ist. Wenn eine Person, die versucht, auf die Datenbank zuzugreifen, mit mehr als einem Platzhaltereintrag übereinstimmt, wird dieser Person die höchste Zugriffsebene gewährt sowie alle Zugriffsberechtigungen sämtlicher übereinstimmender Platzhaltereinträge.
• Wenn ein Benutzer, der auf die Datenbank zuzugreifen versucht, sowohl über einen Gruppen- als auch über einen Platzhaltereintrag verfügt, erfolgt der Zugriff über den Gruppeneintrag. Wenn die Gruppe "Vertrieb" beispielsweise über Leserzugriff und der Platzhaltereintrag "*/West/Renovations" über Managerzugriff verfügt und beide Einträge für einen bestimmten Benutzer gelten, erhält dieser Leserzugriff auf die Datenbank.
• Wenn schließlich keine Übereinstimmung anhand der Datenbank-ACL-Einträge gefunden wird, wird der Person die für den Eintrag "-Default-" definierte Zugriffsebene zugewiesen.

Zugehörige Tasks
Maximaler Internetnamens- und Kennwortzugriff
Gruppen erstellen und ändern
Alternative Sprache und alternativen Namen zu einer Benutzer-ID hinzufügen
Datenbank-ACL konfigurieren

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe