Einschränken von Zugriff auf Connections und die Probleme mit Gruppen

- ibm ibm-connections security

Bekannterweise kann Lotus Connections nicht wirklich gut mit Gruppen umgehen, v.a. nicht wenn Domino als LDAP dient.

Nun wollen aber viele Kunden, dass nicht jederman in einer Firma auf Connections Zugriff haben. Dies habe ich bis anhin über die Security der einzelnen Applikationen in der WAS Admin Console gelöst:

Enterprise Applications > APP > Security role to user/group mapping

Hierbei musste aber unbedingt beachtet werden, dass entweder eine Gruppe einer Rolle zugewiesen wurde oderAll authenticated” ausgewählt wurde. Falls beides gemacht wird (was möglich ist), führt dies zu ziemlich unerwünschten Effekten, zB. sieht man zeitweise in den Activities auf einmal einige Aktionen unter “More Actions” nicht mehr.

Falls man Lotus Domino als LDAP Directory nutzt, müssen diese Gruppen hierarchisch angelegt werden (also: Gruppenname/Domäne), ansonsten werden sie nicht gefunden. Nested Groups werden gar nicht unterstützt. Zwar kann man Nested Groups in der WAS Admin Console für das Federated Directory aktivieren. Das Einschränken des Zugriffes über Nested Groups funktioniert aber trotzdem nicht.

Ein “einfacher” Workaround ist hier ein kleiner Agent, wie mir Stuart McIntyre netterweise mitgeteilt hat:

[25.01.11 13:59:10] Stuart McIntyre: Here’s my workaround… Write an agent in the directory that nightly updates an attribute in the person docs according to whether the users are in your chosen group(s). Typically we use the “Allow Foreign Directory Sync” attribute. Then add this check to the LDAP search criteria for TDI/WAS authentication…