title image


Smiley Re: Nachfrage
> Aber mir ist jetzt noch nicht ganz klar, warum das Firmenadressbuch auf dem

> Passthru als zweites Adressbuch liegen soll. Wg. der Adressierung? Die würde ich

> doch eher mit einem Verzeichniskatalog vornehmen.



die Idee ging von der Situation aus, daß nur begrenzt viele Benutzer den Passthru überhaupt nutzen dürfen (also keinesfalls die gesamte Organisation). Dann kann man auf dem Passthru die Berechtigungen auch als "Positiv-Liste" verwalten (nicht nur als Deny-Access), indem einfach die relevanten Personendokumente dort liegen und alle anderen nicht.



> Und last but not least - warum ist diese Architektur beruhigender wenn der

> Notebookuser die Firma verlassen hat? Der würde doch so oder so in die

> DenyAccessGroup gesetzt werden.



Ja, das würde er. Aber diese Gruppe enthält nur Namen, der verlassene Benutzer hat mindestens ein gültiges Zertifikat in mindestens einer ID. Auch das ist wieder ein bißchen von der übrigen Firmenpolicy abhängig. In dem Fall, wo die Idee herkommt, wurden verlassene Benutzer aus dem Hauptadressbuch komplett entfernt. Da würden bei Power-Usern oder solchen, die einen Admin recht gut kennen (oder selber einer waren), doch noch ein paar theoretisch recht naheliegende Möglichkeiten bleiben. Umbenannte ID, uralte ID vor der letzten Umzertifizierung... auch hier: wenn der Passthru eine Positiv-Liste führt, die vom noch gültigen Zertifikat der verlassenen User-ID unabhängig ist, hast du bessere Karten.



Man könnte aber stattdessen auch die Personendokumente drinlassen (bis zum Ablauf des Zertifikats) und auf allen Servern "compare public keys" einschalten. Das ist wohl die Notes-mäßig "sauberere" Lösung, spart auch ein bißchen Admin-Arbeit und kostet dafür im laufenden Betrieb ein bißchen Serverlast.













geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: