Sicherheit beim Document Manager

15.07.2006 von Martin Kuppinger

Die Sicherheit beim Domino Document Manager orientiert sich an der mehrstufigen Struktur mit Bibliotheken, Dateiablagen, Ordnern und Dokumenten. Entsprechend können auf allen Ebenen Sicherheitseinstellungen vorgenommen werden. Im Folgenden lernen Sie die wichtigsten Einstellungen und Konzepte kennen.

Eine grundlegende Entscheidung zur Sicherheit wird bereits bei der Installation mit den dort konfigurierten Sicherheitsgruppen vorgenommen. Hier gibt es fünf Gruppen:

Domino.Doc Site Administrators ist die wichtigste Gruppe, weil in dieser die Administratoren der gesamten Domino Document Manager-Infrastruktur enthalten sind. Es sind die einzigen Benutzer, die Bibliotheken erstellen und Systemaktualisierungen vornehmen können.
Die Gruppe Domino.Doc Administrators. hat ebenfalls umfassende administrative Berechtigungen, darf aber eben keine Bibliotheken erstellen.
Benutzer der Domino.Doc File Cabinet Creators dürfen keine Einstellungen für Bibliotheken ändern. Sie können eigene Dateiablagen sowie Teilmasken für die Erstellung neuer Ordner- und Dokumenttypen erstellen, jedoch standardmäßig keine Benutzer administrieren.
Eine weitere Gruppe ist Domino.Doc Users. In dieser finden sich alle Benutzer, die keine administrativen Berechtigungen haben. Benutzer müssen in dieser oder einer der zuvor genannten Gruppen enthalten sein, um überhaupt mit dem Domino Document Manager arbeiten zu dürfen.
Die Gruppe Domino.Doc Address Book Editors schließlich wird automatisch in die ACL des Domino Directory aufgenommen. Ihr werden die erforderlichen Rollen für das Erstellen und Ändern von Benutzern und Gruppen zugewiesen (Bild 2).

Bild 2: Die ACL-Einstellungen für das Domino Directory.

Diesen Gruppen müssen – wie allen anderen in diesem Artikel erläuterten Gruppen – die Benutzer über den Domino Administrator im Bereich People & Groups und dort bei den Groups des aktuellen Domino Directory zugewiesen werden.

Bibliotheken

Bei der Einrichtung von Bibliotheken sind weitere Festlegungen möglich. Hier gibt es fünf Gruppen:

Library Administrator Group: Diese Gruppe enthält die Benutzer mit administrativen Berechtigungen für genau diese Bibliothek. Im Gegensatz zu den Gesamtadministratoren hat die Gruppe keine Berechtigungen zur Verwaltung von Systemeinstellungen.Address Book Editor Group: Diese Gruppe darf Änderungen am Adressbuch vornehmen.
File Cabinet Creator Group: Diese Gruppe darf Änderungen an den Dateiablagen der aktuellen Bibliothek vornehmen.
Users Group: Die Gruppe umfasst Benutzer, die die Bibliothek verwenden dürfen.
Eine letzte Gruppe, Domino.Doc Servers, kann nicht modifiziert werden.

Der Name der Gruppen wird standardmäßig aus dem Standardnamen, der auch auf Systemebene verwendet wird, und dem Namen der Bibliothek gebildet. Das ist durchaus sinnvoll, da dadurch bei der Verwaltung von Gruppen und ACLs sofort sichtbar ist, zu welcher Bibliothek die Gruppen gehören. Daher ist es empfehlenswert, den Namen der Bibliothek vom vorgeschlagenen Wert in der Art von Domino.Doc 8 in eine sprechende Bezeichnung zu verändern.

Der Zusammenhang zwischen diesen Gruppen ist im ersten Moment nicht ganz offensichtlich. Die Gruppen, die bei der Einrichtung des Domino Document Manager angelegt werden, dienen ausschließlich der Steuerung der Zugriffe auf die Anwendung. Die Gruppen, die pro Bibliothek erzeugt werden, erhalten Berechtigungen innerhalb der Bibliothek. Außerdem werden diese Gruppen in die jeweils übergeordnete Gruppe auf Systemebene aufgenommen. Die Gruppe Domino.Doc Users for Research wird also beispielsweise in die Gruppe Domino.Doc Users aufgenommen.

Die Zuordnung von Benutzern erfolgt daher auch in erster Linie auf der Ebene der einzelnen Bibliotheken.

Dateiablagen

Die Verwaltung der Zugriffsberechtigungen bei Dateiablagen erfolgt über die Schaltfläche Access Control. Dort kann über Invite Users and Groups in einem Dialogfeld festgelegt werden, wer zusätzlich als Benutzer für die Dateiablage definiert und welche Zugriffsberechtigungen diese Benutzer oder Gruppen erhalten sollen (Bild 3). Die so definierten Benutzer erhalten eine E-Mail, mit der sie eingeladen werden.

Bild 3: Benutzer für Dateiablagen müssen eingeladen werden.

Daneben können auch bisher nicht registrierte Benutzer eingeladen werden. Sie werden vom Domino Document Manager automatisch registriert.

Direkte Änderungen der Zugriffsberechtigungen werden nicht unterstützt. Stattdessen muss der Zugriff mit Revoke Access entzogen werden, um den Benutzer oder die Gruppe anschließend erneut mit anderen Berechtigungen einzuladen. Folgende Berechtigungen können definiert werden:

Reader erlaubt den lesenden Zugriff auf Dokumente, aber keine Veränderungen.
Ein Editor darf Dokumente erstellen und verändern. Solange keine Benutzer mit der Berechtigung Binder Creator erstellt wurden, können diese Benutzer auch Ordner erstellen.
Bei Binder Creator finden sich die Benutzer, die Ordner erstellen können. Sie haben automatisch auch Editoren-Rechte.
Manager dürfen die Sicherheitseinstellungen anpassen und den Check-In von Dokumenten erzwingen.

Ordner

Die Sicherheitseinstellungen für Ordner sind bei der Erstellung oder später im Profil möglich. Dabei werden die drei Gruppen

Leser,
Editoren und
Manager

unterschieden. Die Leser und Editoren entsprechen standardmäßig denen der übergeordneten Dateiablage. Es macht nur in Ausnahmefällen Sinn, diese Option zu verändern, weil das zu erheblichem administrativem Aufwand führt. Falls aber mit sehr vielen Ordnern in einer Dateiablage gearbeitet wird, kann es Situationen geben, in denen unterschiedliche Zugriffsberechtigungen zwingend sind.

Dokumente

Sicherheitseinstellungen für Dokumente leiten sich in der Regel von der Ordner-Sicherheit ab. Bei der Erstellung von Dokumenten sind aber auch andere Einstellungen möglich, indem die Standardoption All binder … and above abgewählt wird (Bild 4).

Bild 4: Die Einstellungen für Dokumente können bei der Erstellung angepasst werden.

LDAP-Integration

Ein bereits im vorangegangenen Artikel kurz angesprochenes Thema ist die LDAP-Integration. Dazu muss zunächst die Directory Assistance konfiguriert werden. Über die LDAP-Integration können anschließend Benutzer eingeladen werden. Wenn diese über das Web zugreifen, werden sie anschließend auf diesem Weg authentifiziert. Damit lässt sich der Domino Document Manager relativ einfach für andere Verzeichnisdienste öffnen. Unterstützt werden das Microsoft Active Directory, der IBM Tivoli Directory Server (SecureWay), der Sun Directory Server und das Domino Directory. Der Vorteil dieser Vorgehensweise ist, dass die Benutzer nicht alle im Domino Directory angelegt werden müssen. In Umgebungen, in denen der Domino Document Manager genutzt werden soll, aber nicht alle Benutzer mit Notes arbeiten, ist das eine sinnvolle Lösung.