Objektorientierter Entwurf und Entwicklung von Domino Anwendungen

March 8, 2010, 6:00 am

≫ Next: Einführung in die Entwicklung von Composite Applications

≪ Previous: Werkzeuge für objektorientierte Entwicklung von Domino Anwendungen

$

0

0

Beim diesjährigen Entwicklercamp 2010 in Gelsenkirchen haben wir unsere Erfahrungen und Vorgehensweisen bei der Entwicklung von Domino Anwendungen mit objektorientierten Ansätzen, Mitteln und Werkzeugen vorgestellt.

Das Vortragsmaterial findet sich hier Objektorientierte Entwicklung

Siehe hierzu auch: Werkzeuge für objektorientierte Entwicklung von Domino Anwendungen

---

Einführung in die Entwicklung von Composite Applications

March 8, 2010, 7:00 am

≫ Next: Vorhandene Domino Anwendungen zu Verbundanwendungen umgestalten

≪ Previous: Objektorientierter Entwurf und Entwicklung von Domino Anwendungen

$

0

0

Beim diesjährigen Entwicklercamp 2010 in Gelsenkirchen haben wir eine HandsOn Session zum obigen Thema durchgeführt. Die Beispieldateien hierfür stellen wir gern zur Verfügung. Die Anleitung für die Durchführung einer eigenen Übung und die Themeneinführung finden sich hier.

Vorhandene Domino Anwendungen zu Verbundanwendungen umgestalten

March 9, 2010, 12:15 am

≫ Next: Verbundanwendung aus einer existieren Anwendung erzeugen

≪ Previous: Einführung in die Entwicklung von Composite Applications

$

0

0

Vorhandene Domino Anwendungen verwenden leider nicht das moderne Ansichten-Design aus z.B. der Maildatenbank von 8.5. Die nachfolgende Vorgehensweise erlaubt es, vorhandene Domino Anwendungen zu Verbundanwendungen umzugestalten um das zusätzliche Feature der  "JavaViews" zu verwenden.
Das nachfolgende Beispiel basiert auf der Diskussionsschablone von IBM Lotus Notes ND 7. Eine Anwendung anhand dieser Schablone wird als Ausgangsbasis verwendet und mit folgenden Schritten angepasst:

Verbundanwendung aus einer existieren Anwendung erzeugen
Starteigenschaft der Datenbank ändern
Den CAE verwenden
Komponenteneigenschaften bearbeiten
Erweiterte Komponenteneigenschaften bearbeiten



 

Verbundanwendung aus einer existieren Anwendung erzeugen

March 9, 2010, 12:15 am

≫ Next: Starteigenschaft der Datenbank ändern

≪ Previous: Vorhandene Domino Anwendungen zu Verbundanwendungen umgestalten

$

0

0

Um mit dem Composite Application Editor (CAE) arbeiten zu können, muss eine Notes Datenbank als Verbundanwendung definiert werden. Hierzu sind die nachfolgende Schritte notwendig:

1. Im Designer zu "Verbundanwendungen - Anwendungen" navigieren. Ein Klick auf „Neu Verbundanwendung“

2. Hier die Eigenschaften der neuen Verbundanwendung

3. Nach Klick auf „OK“ wird das generierte WSDL angezeigt

4. Nach schließen des WSDLs wird die Definition mit Namen angezeigt

Nächster Schritt: Starteigenschaft der Datenbank ändern

Zurück zum Verbundanwendungen - Index

Starteigenschaft der Datenbank ändern

March 9, 2010, 4:00 am

≫ Next: Den CAE verwenden

≪ Previous: Verbundanwendung aus einer existieren Anwendung erzeugen

$

0

0

Um mit dem Composite Application Editor (CAE) arbeiten zu können, muss nachdem eine Notes Datenbank als Verbundanwendung definiert wurde, die Starteigenschaft der Datenbank geändert werden. Danach kann dann die Datebank mit dem CAE weiterentwickelt werden:

1. Die Eigenschaften der Anwendung im Designer anzeigen

2.        Das Eigenschaftsfenster startet mit dem Tab „Allgemein“

3. Nach dem Klick auf den „Starten“ Tab folgende Eigenschaften auswählen

4. Klick auf das „x“ zum Speichern und Schließen des Eigenschaften Dialogs

Nächster Schritt: Den CAE verwenden

Zurück zum Verbundanwendungen - Index

Den CAE verwenden

March 9, 2010, 11:00 pm

≫ Next: Komponenteneigenschaften bearbeiten

≪ Previous: Starteigenschaft der Datenbank ändern

$

0

0

Nach dem Ändern der Starteigenschaft der Anwendung kann nun mit dem CAE gearbeitet werden.

1. Die Anwendung im Notes Standard Client neu öffnen und die „Anwendung bearbeiten“

2.        CAE nach dem Start, eventuell muss auf die „Kompentenbibliothek“ gewechselt werden

3. Per Drag and Drop von der Komponentenleiste einen „Notes Mail-Navigator“ in das mittlere Fenster ziehen

4. Im Designer unter „Eigenschaften“ auf „Dokument-IDs“ wechseln

5. Die Datenbank-Replik-ID selektieren und in die Zwischenablage kopieren

Nächster Schritt: Komponenteneigenschaften bearbeiten

Zurück zum Verbundanwendungen - Index

Komponenteneigenschaften bearbeiten

March 10, 2010, 11:00 pm

≫ Next: Erweiterte Komponenteneigenschaften bearbeiten

≪ Previous: Den CAE verwenden

$

0

0

Im Composite Application Editor (CAE) werden die Komponenteneigenschaften wie folgt bearbeitet:

1. Mit Klick der rechten Maustaste auf das Objekt „Notes Mail-Navigator“ der Seitennavigation kann das Eigenschaftsfenster geöffnet werden

2. Auf dem Tab „Komponenteneinstellungen“ den Komponentennamen und die Notes-URL anpassen. Die Replik-ID der Datenbank befindet sich von S.45/5 in der Zwischenablage. Mit „OK“ bestätigen

Hinweis: Die oben verwendete Replik-ID der Datenbank muss dabei der aktuellen Datenbank entsprechen

3. Per Drag and Drop von der Komponentenleiste eine "Notes Mail-Ansicht" auf das mittlere Fenster ziehen

4.        Die Komponente erscheint dann in der Komponentenleiste auf dem Seitennavigator

5. Mit Klick der rechten Maustaste auf das Objekt „Notes Mail-Ansicht“ der Seitennavigation kann das Eigenschaftsfenster geöffnet werden

6. Die Komponenteneigenschaften werden mit den Anzeigeeinstellungen gestartet

7.        Auf dem Tab „Komponenteneinstellungen“ den Komponentennamen und die Notes-URL anpassen. Die Replik-ID der Datenbank befindet sich von S.45/5. in der Zwischenablage. Mit „OK“ bestätigen

8. Nun werden die „Java-View“ Komponenten im Mittelteil des CAE angezeigt

9. Nach „Datei-Speichern und Schließen“ wird der CAE beendet und das „Java-View“ Design im Notes Client angezeigt.

Letzter Schritt: Erweiterte Komponenteneigenschaften bearbeiten

Zurück zum Verbundanwendungen - Index

Erweiterte Komponenteneigenschaften bearbeiten

March 11, 2010, 11:00 pm

≫ Next: Lotus Notes 7.01 Linux Client Installation

≪ Previous: Komponenteneigenschaften bearbeiten

$

0

0

Weiterführende Komponenteneingenschaften werden hier konfiguriert:

1. Im Aktionen Menü gibt es ganz am Ende „Anwendung bearbeiten“, wenn es sich um eine Verbundanwendung handelt

Datenbanktitel anzeigen und Twistie ausschalten

2. Mit Klick der rechten Maustaste auf das Objekt "Notes Mail-Navigator" der Seitennavigation kann das Eigenschaftsfenster geöffnet werden

3. In den Anzeigeeinstellungen wird die Titelleiste aktiviert

4. Unter „Erweitert“ mit „Hinzufügen“ eine neue Zeile erzeugen und  com.ibm.rcp.showSwitch -> false als Werte hinzufügen und „OK“ klicken.
Die aus dem Mailfile bekannt Umschaltmimik zwischen Mail, Kalender und Aufgaben wird damit deaktiviert. Durch das Einblende der Titelzeile würde diese sonst angezeigt

5. Nach „Datei-Speichern und Schließen“ wird der CAE beendet und das neue „Java-View“ Design im Notes Client angezeigt.

6. Der Datenbanktitel wird nun im „runden“ Design angezeigt und ein Umschalttwistie ist auch nicht vorhanden. Die „Anzeigen“ Schaltfläche hat aber leider noch keine Funktion.

Aktivieren der horizontalen/vertikalen Vorschau

1. Die nachfolgende Eigenschaft muss bei jeder Ansicht, welche als „Java-View“ angezeigt werden soll, aktiviert werden.
Ein Doppelklick auf „Alle Dokumente“ öffnet diese im Designer.

2. Eigenschaftsdialog der Ansicht öffnen

3. Dieser sieht nach dem öffnen wie folgt aus

4. Auf dem „Info“ Tab muss die Option „Umschalter für vertikale/horizontale Darstellung anzeigen“ unter „Notes verwendet das Eclipse-basierte UI“ aktiviert sein

5. Die Ansicht speichern

6. Für diese Ansicht kann nur die seitliche Vorschau ausgewählt werden

Zurück zum Verbundanwendungen - Index

---

Lotus Notes 7.01 Linux Client Installation

March 16, 2010, 4:50 am

≫ Next: Verwendung von Datenbankgrößenbeschränkungen in Lotus Domino

≪ Previous: Erweiterte Komponenteneigenschaften bearbeiten

$

0

0

Zu Evaluierungszwecken benötigten wir einen Lotus Notes 7.01 Client unter Linux. Zum Glück gibt es ja im Internet diverse Ressourcen, die das recht gut beschreiben. Eine meiner Ansicht nach sehr gute ist die von Julian Robichaux.

Nach dieser Anleitung habe ich mir Centos 4.3 besorgt und installiert. Julian beschreibt in seiner Anleitung im Step 0, dass er zuerst ein Update auf die aktuelle Version mit up2date (bzw. yum) durchführt. Dies sollte man *nicht* tun, da Centos selbstständig auf Version 4.8 updated und das Mozillapaket, welches zur Installation des Lotus Notes Client benötigt wird,  dann in einer falschen Version installiert ist. Somit lässt sich der Client nicht installieren.

Julians Anleitung funktioniert ansonsten einwandfrei.

Verwendung von Datenbankgrößenbeschränkungen in Lotus Domino

March 20, 2010, 4:13 am

≫ Next: Erweiterung bestehender Anwendungen um Java views

≪ Previous: Lotus Notes 7.01 Linux Client Installation

$

0

0

Für neue Administratoren oder jene, die ihre Systeme auf Domino 8 aktualisiert haben, haben wir in Kooperation mit IBM Training ein kurzes Trainingsvideo (in englisch) erstellt, dass die Konfiguration detailliert erläutert.

Diese und weitere Einzelheiten vermitteln wir Teilnehmern unserer Update Kurse D8720MDE



Vielleicht sehen wir uns beim nächsten Kurs?

Erweiterung bestehender Anwendungen um Java views

March 20, 2010, 4:16 am

≫ Next: Einrichtung von Domino Internet Password Lockout

≪ Previous: Verwendung von Datenbankgrößenbeschränkungen in Lotus Domino

$

0

0

Für neue Entwickler oder jene, die ihre Systeme auf Domino 8 aktualisiert haben, haben wir in Kooperation mit IBM Training ein kurzes Trainingsvideo (in englisch) erstellt, dass die notwendigen Schritte detailliert erläutert.

Diese und weitere Einzelheiten vermitteln wir Teilnehmern unserer Update Kurse D8421MDE



Vielleicht sehen wir uns beim nächsten Kurs?

Einrichtung von Domino Internet Password Lockout

March 20, 2010, 4:18 am

≫ Next: QuickR Connectors unbeaufsichtigt installieren

≪ Previous: Erweiterung bestehender Anwendungen um Java views

$

0

0

Für neue Administratoren oder jene, die ihre Systeme auf Domino 8 aktualisiert haben, haben wir in Kooperation mit IBM Training ein kurzes Trainingsvideo (in englisch) erstellt, dass die Konfiguration detailliert erläutert.

Diese und weitere Einzelheiten vermitteln wir Teilnehmern unserer Update Kurse D8720MDE



Vielleicht sehen wir uns beim nächsten Kurs?

QuickR Connectors unbeaufsichtigt installieren

March 25, 2010, 6:20 am

≫ Next: Der Countdown läuft ...

≪ Previous: Einrichtung von Domino Internet Password Lockout

$

0

0

Unbeaufsichtigte Installation

Administratoren können Connectors im unbeaufsichtigten Modus über die Eingabeaufforderung aktualisieren oder installieren.

1.        Klicken Sie im Lotus Quickr-Connector-Abschnitt in der Fußzeile auf Download.
2.        Speichern Sie die Installationsdatei qkrconn.exe auf Ihrem Computer.
3.        Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das Verzeichnis, in dem Sie qkrconn.exe gespeichert haben.
4.        Geben Sie qkrconn.exe /Options(s) [Eigenschafteneinstellungen] ein. Die optionalen Parameter und öffentlichen Eigenschafteneinstellungen werden in den folgenden Tabellen aufgeführt:

Optionale Parameter	Beschreibung
/install	Installiert Connectors bzw. repariert Beschädigungen, falls bereits Connectors installiert sind.
/uninstall	Deinstalliert Connectors.
/quiet	Befehlszeilenmodus ohne Benutzerinteraktion. Wird nur für die Installation oder Deinstallation der Connectors verwendet, nicht zu Wartungszwecken.
/norestart	Führen Sie erst nach Abschluss der Installation einen Neustart durch.
/promptrestart	Fordert den Benutzer bei Bedarf zu einem Neustart auf.
/forcerestart	Der Computer wird nach der Installation immer neu gestartet.

Öffentliche Eigenschaft [PROPERTY=Eigenschaftswert]	Beschreibung
INSTALLDIR	Verzeichnis, in dem die Connectors installiert werden. Beispiel: INSTALLDIR=C:\Progra~1\IBM\QuickrConnectors.
ADDLOCAL	Geben Sie den zu installierenden Connector an: WindowsExplorer (erforderlich), MicrosoftOffice, LotusSametime, LotusNotes. Standardmäßig werden alle Connectors installiert. Beispiel: ADDLOCAL=WindowsExplorer,MicrosoftOffice.
QC_NOTES_TARGET_FOLDER	Bei der Connector-Installation für Lotus Notes erforderlich; gibt an, wo Lotus Notes installiert werden soll. Beispiel: QC_NOTES_TARGET_FOLDER=C:\Notes.
QC_SAMETIME_TARGET_FOLDER	Bei der Connector-Installation für Lotus Sametime erforderlich; gibt an, wo Lotus Sametime installiert werden soll. Beispiel: QC_SAMETIME_TARGET_FOLDER=C:\progra~1\IBM\Sametime.
QC_SAMETIME_PLUGINS_TARGET_FOLDER	Bei der Connector-Installation für Lotus Sametime erforderlich; gibt den Speicherort des Lotus Sametime-Plug-ins an. Beispiel: QC_SAMETIME_PLUGINS_TARGET_FOLDER=C:\progra~1\IBM\Sametime\plugins.

Beispiele

Beschreibung	Codemuster
Unbeaufsichtigte Deinstallation ohne Neustart	qkrconn.exe /uninstall /quiet /norestart
Unbeaufsichtigte Installation ohne Neustart und Einstellungen für Lotus Notes und Lotus Sametime.	qkrconn.exe /install /quiet /norestart QC_NOTES_TARGET_FOLDER=C:\notes QC_SAMETIME_TARGET_FOLDER=C:\progra~1\IBM\Sametime QC_SAMETIME_PLUGINS_TARGET_FOLDER=C:\progra~1\IBM\Sametime\plugins Die Eigenschaften des Typs 'QC_' sind auf Grund der Benutzerschnittstelle erforderlich, die zunächst die Möglichkeit zur Änderung aller in der Registry erkannten Werte bietet.
Unbeaufsichtigte Installation mit Neustart und reine Installation von Connectors für Windows Explorer und Microsoft Office.	qkrconn.exe /install /quiet /forcerestart INSTALLDIR=C:\Progra~1\IBM\QuickrSample ADDLOCAL=WindowsExplorer,MicrosoftOffice

5.        Führen Sie einen Warmstart des Systems durch.

Nachdem Sie Connectoren installiert oder aktualisiert haben, können Sie die Funktion zum Connector-Download über die QuickR-Site inaktivieren.

Der Countdown läuft ...

March 31, 2010, 3:00 am

≫ Next: Oldie but Goldie

≪ Previous: QuickR Connectors unbeaufsichtigt installieren

$

0

0

Nicht nur Menschen werden täglich älter. Auch Software-Systeme kommen "in die Jahre" und werden ausgemustert. In der IBM Terminologie heißt das "Lifecycle".
Hier die Lifecycle Begriffer kurz erläutert:

IBM Lifecycle Begriff	Bedeutung für Kunden
GA	"General Availability": Produkte werden von IBM ausgeliefert oder stehen im Download Bereich neu zur Verfügung.
EOL	"End of Life": das Produkt wird vom Markt genommen und wird nicht mehr länger verkauft.  Kunden mit Wartungsverträgen erhalten weiterhin neue Versionen oder Hot Fixes soweit verfügbar.
EOS	"End of Service": Ende der technischen Unterstützung (Telefonsupport) sowie Code Fixes.

Für alle, die wissen wollen, wie lange sie mit dem Update Ihrer System noch warten können, bevor sie in Schwierigkeiten (wegen mangelnder Unterstützung durch Hersteller und Partner) kommen, listet IBM alle Produkte mit ihrem Lebenszyklus hier auf. Sollten Sie z.B. noch nicht aktuelle Systeme (z.B. Notes / Domino 5 oder 6.5 - ja davon gibt es noch zahlreiche) im Betrieb haben, so helfen wir Ihnen, den Sprung in die aktuelle Web 2.0 Welt zu schaffen.

In diesem Zusammenhang sind die nächsten wichtigsten Termine extrahiert:

30. April 2010: EOS für Lotus Domino 6.5
29. April 2011: EOS für Lotus Domino 7.0

Oldie but Goldie

April 7, 2010, 5:52 am

≫ Next: MultiUser Installation funktioniert nicht

≪ Previous: Der Countdown läuft ...

$

0

0

Heute in einer frischen Testumgebung mit 2 Domino 8.5.1HF2 Windows Servern und einem 8.5.1 Linux Server aufgetaucht:

- Alle 3 Server waren in einem Cluster
- 1 Benutzer hatte als HomeServer die LinuxBox
- 1 Benutzer hatte als HomeServer eine WindowsBox

Der Benutzer der LinuxBox konnte nicht zum Raoming User migriert werden.

Komisch.
Gab es doch mal als Problem in R6 - und richtig, wenn in R6 beim Abarbeiten des AdminP Requests "Place Server's Notes Build Number into Server Record" Probleme auftauchten, konnte man die Benutzer dieses Servers nicht zu Roaming Usern konvertieren.

Was gilt es zu tun :

In das Serverdokument des entsprechenden Server einfach ein Feld "MajVer" mit dem Wert 8 (da Domino in der Version 8.5.1) als Number eintragen und schon kann man die Benutzer zu Roaming User konvertieren. Relativ einfach mit einem Formelspracheagent und diesem Code :

 FIELD MajVer := 8 

Es ist schon verwunderlich, dass dieses "Feature" auch noch in 8.5.1 existiert.

---

MultiUser Installation funktioniert nicht

April 23, 2010, 9:14 am

≫ Next: Was macht denn das Feld "$RespondedTo" und woher stammt es?

≪ Previous: Oldie but Goldie

$

0

0

Lotus Notes MultiUser Installationen funktionieren nicht, wenn Symantec Anti-Virus läuft. Diese Situation bringt Lotus Client Administratoren zur Verzweiflung!

MultiUser Installation geben jeweils unterschiedlichen Windows Benutzern der gleichen Workstation ihre eigenen (durch Windows geschützten und Lotus Notes Mechanismen separierten) persönlichen Datenbereichen und Einstellungen des Lotus Notes Clients.

Hierzu werden die lokalen Datenbereiche verschiedener Benutzer jeweils in Windows Profil des Benutzers (in ausgeblendeten Verzeichnissen) gespeichert:

Microsoft Windows XP:

C:\Documents and Settings\UserProfile\Local Settings\Application Data\Lotus\Notes\


Heute sind wir im Rahmen einer Kundeninstallation jedoch darauf gestoßen, dass dieser eine saubere Installation/Konfiguration verschiedener Benutzer nicht erreicht, weil statt der oben genannten Pfade folgender Datenpfad für jeden angemeldeten Benutzer verwendet wurde:

C:\Documents and Settings\LocalService\Local Settings\Application Data\Lotus\Notes\


Die Ursache für diesen Fehler ist in Symantec Anti-Virus Version 10.1.0.394, 10.1.4.4000, 10.1.5.5000, und 10.1.6.6000 begründet (siehe IBM Technote "1246563"). Wenn man den Virenscanner deaktiviert, funktioniert auch die Multi-User Separierung der Daten verschiedener Windows Benutzer wieder einwandfrei.

Was macht denn das Feld "$RespondedTo" und woher stammt es?

May 11, 2010, 11:15 pm

≫ Next: Sicherheitslücke oder beabsichtigte Funktion?

≪ Previous: MultiUser Installation funktioniert nicht

$

0

0

Zur Unterstützung spezifischer Mailfunktionen steuern Datenbankeigenschaften die Generierung von Feldern im Mailkontext. Diese Datenbankeigenschaften können jedoch in gemeinsam genutzten Datenbanken zu unerwünschten Nebeneffekten führen.

Um um in Mailfiles Spaltensymbole anzeigen zu können, welches Dokumente bereits beantwortet wurden, ist folgende Datenbankeigenschaft eingeführt worden

welche in Dokumente, die mit einer Antwortmaske beantwortet wurden das Feld "RespondedTo" setzt, wenn das Anwortdokument durch den Mailer des Lotus Notes Clients versendet wird (z.B. @Mailsend, MaiOptions-Feld o.ä.). Ähnliches geschieht, wenn Dokumente weitergeleitet werden (in diesem Fall enthält das Feld den Wert "2" statt "1").

In gemeinsam genutzten Datenbanken sollte dieses Attribut nur mit Vorsicht verwendet werden, da diese Datenbankeigenschaft (in Verbindung mit Mailfunktionen auf Masken) zu Replizier- und Speicherkonflikten führt, wenn verschiedene Benutzer Antworten auf das gleiche Dokument erstellen.

Sicherheitslücke oder beabsichtigte Funktion?

May 12, 2010, 11:00 pm

≫ Next: Per Programmdokument jeden Servertask zeitgesteuert neustarten

≪ Previous: Was macht denn das Feld "$RespondedTo" und woher stammt es?

$

0

0

Sicherheitsbeauftragte sollten das nachfolgend beschriebene Systemverhalten von Lotus Domino zum Anlass nehmen, ihre Betriebsvorgaben zu überprüfen, um im Bedarfsfall auch einzelnen Administratoren umgehend den Zugriff auf die Serverinfrastruktur entziehen zu können! "Bug" oder "Works as designed" - meine Einschätzung ist klar: Es ist ein Fehler wenn Benutzer auf Server zugreifen können, obwohl sie in der "Deny-Access-Liste" verzeichnet sind.

Ausgangssituation:

Im Rahmen eines Security Audits bei einem unserer Kunden haben wir Empfehlungen zur Erhöhung der Server- und Betriebssicherheit von Domino Servern durch standardisierte Einstellungen der Serverdokumente ausgesprochen, Hierzu zählten u.A.:

• Einrichtung einer speziellen "Admin" OU zur Registrierung von User.IDs für Administratoren: Benutzer  erhalten dann automatisch Zugriff auf bestimmte Server und Serverressourcen, ohne die Pflege von Gruppen, unter Verwendung von wildcard Notationen "*/ADMIN/MMI"
• Verwendung der wildcard-Notation z.B. In Serverdokument (Sicherheitseinstellungen), damit so zertifizierte Benutzer Zugriffe stets entsprechende Berechtigungen auf dem Server erhalten. Durch diese Vorgehensweise kann verhindert werden, dass administrative Benutzer von Gruppenmitgliedschaften abhängig sind (die man verlieren könnte, wenn ein Administrator-Kollege z.B. Aus Versehen das entsprechende Gruppendokument löscht).
• Anwendung dieser Strategie u.A. Auch für das "Full Access Administration" Feld im Serverdokument
  

Kaum das wir diese Strukturen bei diesem Kunden implementiert hatten, ergab es sich, dass einer der Administratoren das Unternehmen verlässt.

Löschung des ausscheidenden Administrators:

Im Rahmen der Löschung eines Benutzers (so auch der des Administrators (zertifiziert mit der "Admin" OU) ist dieser u.A. in die "Deny-access-Liste" aller Server eingetragen worden. Erstaunlicherweise hatte dieser (auch nachdem alle AdminP Aufträge abgearbeitet wurden und sein Benutzername in der "Deny-access-Liste" eingetragen war), immer noch Zugriff auf alle Server.






Die nähere Analyse ergab, das der Domino-Server (auf Grund der wildcard-Notierung des Administrators im "Full Access" Feld aller Server) den Eintrag in der "Deny-List" ignoriert. Hätte man dort eine Gruppe verwendet oder gar den Benutzer explizit eingetragen, so hätte AdminP durch die Löschung dem Administrator die Berechtigung entzogen.

Erschreckenderweise kann ein so authentifizierter Administrator unbegrenzt auf Serverressourcen lediglich unter Verwendung eines Lotus Notes Clients zugreifen (anders als die Dokumentation aussagt: "Um Vollzugriff zu erlangen, muss ein Benutzer 1. im entsprechenden Feld "Vollzugriff" des Serverdokumentes eingetragen sein, 2. einen Lotus Administrator Client verwenden, 3. den Vollzugriffsmodus über den entsprechenden Menüpunkt aktivieren").

Die Stellungnahme der IBM auf einen entsprechenden PMR sagt aus, dass die Auswertung der Felder "Full-Access" und "Deny-Access" des Serverdokumentes in dieser Reihenfolge erfolgt. Aus praktischen Erwägungen heraus haben wir lediglich einen Verbesserungsvorschlag einreichen können, dessen Umsetzung fraglich ist und dauern kann. Für die Praxis hat das jedoch unmittelbare Auswirkungen, wenn wir nicht kurzfristig mit einem HotFix rechnen können.

Dringende Empfehlung für aktuelle Domino Konfigurationen:
1.        Die Verwendung von separaten OUs für Administratoren und wildcard Notationen hat weiterhin eine Reihe von Vorteilen, jedoch einen entscheidenden Nachteil
2.        Um derart registrierte Administratoren ähnlich schnell vom Serverzugriffen auszuschließen wie normale Benutzer dürfen diese nicht über wildcard-Notation im "Full-Access" des Servers eingetragen sein. Dort sind stets entweder explizit einzelne Namen einzutragen (mit dem Nachteil das diese Informationen vom Server gecached werden) oder als Mitglied einer dort verzeichneten Gruppe (mit dem Nachteil des Verlustes von Vollzugriffen, wenn jemand aus Versehen die Gruppe löscht)

In jedem Fall heißt das, Vor- und Nachteile abzuwägen und die Serverkonfigurationen überprüfen/ändern, bis IBM in einem dem kommenden Release zuerst die "Deny-Access-Liste" eines Servers auswertet, bevor man durch Prüfung weitere Servereinstellungen entscheidet, was man denn konkret auf diesem Server tun darf.

Per Programmdokument jeden Servertask zeitgesteuert neustarten

July 14, 2010, 5:53 am

≫ Next: Foreign SMTP und SMTP Connection Dokument SMTP Mail-Routing Problem mit Domino 8.5

≪ Previous: Sicherheitslücke oder beabsichtigte Funktion?

$

0

0

Seit Version 6 gibt es den Serverkonsolenbefehl "restart task taskname". Leider funktioniert dies nicht per Programmdokument. Mit einem kleinen "Trick" überredet man das Programmdokument aber doch zum "restart task taskname".

Hierzu muss als Programm unter Windows die nserver.exe angegeben werden.
Als Kommandozeilenparameter -C "restart task taskname".

Ein Bild sagt mehr als tausend Worte:

Foreign SMTP und SMTP Connection Dokument SMTP Mail-Routing Problem mit Domino 8.5

July 16, 2010, 3:18 am

≫ Next: Delegation des eigenen Mailfiles schlägt fehl

≪ Previous: Per Programmdokument jeden Servertask zeitgesteuert neustarten

$

0

0

In Domino 8.5 scheint SMTP Mailrouting nicht wie dokumentiert mit Foreign SMTP und SMTP Connection Dokument zu funktionieren. Der in der Dokumentation Mail2 genannte Server routet nämlich keine Mails ins Internet, es kommt immer nur eine Fehlermeldung:

(xxx@xxxxxxxxxx) not listed in Domino Directory 

Mit dem Notes.ini Parameter

ROUTERIGNOREFOREIGNSMTPDOMAINS=1

kann man dem Mail2 Server jedoch mitteilen, dass er die Konfiguration des Foreign SMTP Dokuments ignorieren soll. Nach einem Serverneustart routet der Server dann auch Mails ins Internet.