Guida di Lotus Domino Designer 8.5 - Voci accettabili nella LCA

GESTIONE DELL'APPLICAZIONE

Voci accettabili nella LCA
Le voci accettabili nella LCA includono:

Voci con caratteri jolly
Nomi di utenti, server e gruppi (inclusi nomi di utenti e gruppi per i client Internet).
nomi alternativi
Utenti LDAP
Anonimo, che può essere usato per l'accesso anonimo degli utenti Internet e Notes
ID di replica del database

La lunghezza massima di ogni voce è 225 caratteri.

Aggiungere i nomi alla LCA nel formato gerarchico assegnato dall'amministratore del server IBM® Lotus® Domino(TM). Ad esempio:

CN=Sandra E Smitti/OU=Nord/O=Acme/C=IT

Per ulteriori informazioni sulla creazione di schemi di nomi gerarchici, vedere Guida per l'amministratore di Lotus Domino.

Voci con caratteri jolly

Per generalizzare l'accesso a un database, si possono usare i nomi gerarchici con un carattere jolly (*) nella LCA. È possibile usare caratteri jolly nei componenti di nomi comuni e unità organizzative.

Agli utenti e/o ai server che non hanno già una voce per il nome utente o gruppo specifica nella LCA, e i cui nomi gerarchici includono i componenti che contengono un carattere jolly, viene assegnato il livello di accesso più alto specificato da ognuna delle voci dei caratteri jolly corrispondenti.

Di seguito viene mostrata la voce della LCA in formato di carattere jolly:

*/Grafica/Produzione/Acme/IT

Questa voce concede il livello di accesso selezionato a:

Maria Zeni/Grafica/Produzione/Acme/IT

Michela Bruni/Grafica/Produzione/Acme/IT

Questa voce non concede il livello di accesso selezionato a:

Sandro Boschi/Documentazione/Produzione/Acme/IT

Aldo Nelli/Acme/IT

È possibile usare un carattere jolly solo all'estrema sinistra della voce della LCA. Quando si usa una voce della LCA con caratteri jolly, impostare il tipo di utente come Non specificato, Gruppo misto o Gruppo di persone.

Nomi utente

È possibile aggiungere a una LCA i nomi di qualsiasi persona che disponga di un ID utente IBM® Lotus® Notes® certificato, oppure di utenti Internet che si autenticano mediante nome e password o mediante un client SSL.

Per gli utenti Notes, immettere il nome gerarchico completo per ogni utente, ad esempio Gianni Smitti/Vendite/Acme, indipendentemente dall'appartenenza o meno dell'utente all'organizzazione gerarchica del server che contiene il database.
Per gli utenti Internet, immettere il primo nome che appare nel campo Utente del documento Persona. È possibile immettere più alias nel campo Nome utente, ma la prima voce viene usata per eseguire il controllo delle autorizzazioni di sicurezza, per questo si consiglia di usare la prima voce in tutte le LCA di Domino, ossia le LCA dei server file e del database.

Per maggiori informazioni sull'accesso ai database degli utenti Internet anonimi, vedere Accesso anonimo

Per ulteriori informazioni sull'impostazione di un livello di accesso massimo per gli utenti Internet, vedere Accesso massimo nome e password Internet.

Nomi del server

Si possono aggiungere alla LCA i nomi di altri server per controllare le modifiche che il database riceve dalle repliche contenute in quei server. Per garantire una maggiore sicurezza, usare il nome gerarchico completo del server, ad esempio, Server1/Vendite/Acme, indipendentemente dal fatto che il server aggiunto si trova in un'organizzazione gerarchica diversa da quella del server che contiene il database.

Nomi di gruppo

Si possono aggiungere alla LCA gruppi (ad esempio, Formazione) che rappresentano più utenti o server che richiedono lo stesso accesso. Gli utenti devono essere elencati in gruppi con un nome gerarchico principale o alternativo. I gruppi possono anche avere delle voci con caratteri jolly come componenti. Prima di utilizzare un nome di gruppo in una LCA, è necessario creare il gruppo nell'elenco indirizzi di Domino o nell'elenco LDAP che è stato configurato per l'allargamento dei gruppi nel database Indirizzamento facilitato.

Suggerimento Per i gestori del database, è preferibile utilizzare nomi singoli e non nomi di gruppi. Quindi, quando gli utenti scelgono Crea - Altro - Memo a gestore del database, essi possono sapere a chi stanno inviando il memo.

I gruppi forniscono un modo conveniente per gestire la LCA di un database. L'uso di un gruppo nella LCA offre i vantaggi elencati di seguito.

A una LCA è possibile aggiungere un nome di gruppo invece che un lungo elenco di nomi singoli. Se un gruppo viene elencato in più di una LCA, modificare il documento del gruppo nell'elenco indirizzi di Domino o nell'Elenco LDAP, invece che aggiungere ed eliminare i singoli nomi in più database.
È possibile modificare il livello di accesso per diversi utenti o server contemporaneamente.
I nomi dei gruppi possono rispecchiare le responsabilità dei componenti del gruppo o l'organizzazione di una divisione o società.

Suggerimento È anche possibile usare i gruppi per consentire ad alcuni utenti di controllare l'accesso al database senza assegnare loro l'accesso Gestione o Impostazione. Ad esempio, è possibile creare gruppi nell'elenco indirizzi di Domino per ogni livello di accesso al database richiesto, aggiungere i gruppi a una LCA e permettere a utenti specifici di possedere i gruppi. Questi utenti possono quindi modificare i gruppi, ma non possono modificare l'impostazione del database.

Gruppo di fine rapporto

Quando i dipendenti lasciano l'organizzazione, l'amministratore di Domino dovrebbe rimuoverne i nomi da tutti i gruppi dell'elenco indirizzi di Domino e aggiungerli al gruppo relativo alla fine dei rapporti, a cui è negato l'accesso ai server. Collaborare con l'amministratore del server per accertarsi che i nomi dei dipendenti licenziati siano rimossi dalle LCA di tutti i database dell'organizzazione. Assicurarsi che il gruppo di fine rapporto venga aggiunto alle LCA e a questo venga assegnato il livello Nessun accesso.

È anche possibile usare il gruppo Nega accesso per questo scopo. Il gruppo Nega accesso contiene i nomi degli utenti Notes che non hanno più accesso ai server Domino. Quando si elimina una persona dall'elenco indirizzi di Domino, è possibile scegliere l'opzione "Aggiungi utente eliminato al gruppo Accesso negato", è stato creato un gruppo di questo tipo. (Se non ci sono gruppi di questo tipo, la finestra di dialogo mostra "Nessun gruppo Accesso negato selezionato disponibile").

Per ulteriori informazioni sul gruppo Accesso negato, vedere la Guida per l'amministratore di Lotus Domino.

Nomi alternativi

Un nome alternativo è un alias facoltativo che un amministratore assegna a un utente Notes registrato, spesso per pubblicare un nome in due set di caratteri diversi, come ad esempio inglese e kanji. È possibile aggiungere i nomi alternativi a una LCA. Un nome alternativo fornisce lo stesso livello di sicurezza del nome gerarchico primario dell'utente. Un esempio di un nome di utente in formato alternativo è Sandra Smitti/NANord/NAVendite/NAAcme, dove NA è un nome alternativo.

Utenti LDAP

È possibile usare un elenco LDAP esterno per autenticare gli utenti Web. È possibile aggiungere i nomi di questi utenti Internet alle LCA dei database per controllare l'accesso degli utenti ai database.

Nell'elenco LDAP secondario è anche possibile creare gruppi che includano i nomi degli utenti Internet e quindi aggiungere i gruppi come voci alle LCA dei database Notes. Ad esempio, un utente Internet potrebbe cercare di accedere a un database su un server Web Domino. Se il server Web autentica l'utente e se la LCA contiene un gruppo chiamato "Web", il server può cercare il nome dell'utente Web nel gruppo "Web", situato nell'Elenco LDAP esterno, oltre a cercare la voce nell'elenco indirizzi primario di Domino. Si noti che, perché questa situazione si verifichi, il database Indirizzamento facilitato sul server Web deve includere un documento Indirizzamento facilitato LDAP per l'elenco LDAP in cui è abilitata l'opzione Espansione gruppi. Questa funzione può essere usata anche per cercare i nomi registrati in gruppi dell'elenco LDAP esterno, con lo scopo di controllare la LCA del database, .

Quando si aggiunge il nome di un utente o gruppo dell'elenco LDAP alla LCA database, usare il formato LDAP per il nome, ma usare una barra (/), invece che una virgola (,), come delimitatori. Ad esempio, se il nome di un utente nell'elenco LDAP è:

uid=Sandra Smittti,o=Acme,c=IT

immettere ciò che segue nella LCA del database:

uid=Sandra Smitti/o=Acme/c=IT

Per immettere il nome di un gruppo non gerarchico dell'elenco indirizzi LDAP in una LCA, immettere solo il valore dell'attributo, non il nome. Ad esempio, se il nome non gerarchico del gruppo LDAP è:

cn=gestori

nella LCA immettere solo:

gestori

Per immettere il nome di un gruppo non gerarchico, includere i nomi degli attributi LDAP nelle voci della LCA. Ad esempio, se il nome gerarchico del gruppo è:

cn=gestori,o=acme

nella LCA immettere:

cn=gestori/o=acme

Si noti che se i nomi degli attributi specificati corrispondono esattamente a quelli usati in Notes - cn, ou, o, c - la LCA non mostrerà gli attributi.

Ad esempio, se si immette questo nome in una LCA:

cn=Sandra Smitti/ou=Nord/o=Acme/c=IT

dato che gli attributi corrispondono esattamente a quelli utilizzati da Notes, il nome apparirà nella LCA come:

Sandra Smitti/Nord/Acme/IT

Accesso anonimo

L'accesso anonimo al database viene concesso agli utenti Internet e Notes che non si sono autenticati con il server. È possibile controllare il livello di accesso al database concesso a un utente o server anonimo immettendo il nome Anonimo nella Lista Controllo Accessi e assegnando un livello di accesso appropriato. Di regola, gli utenti hanno accesso Lettura al database.

La seguente tabella descrive i diversi modi in cui un utente anonimo può accedere a un database:

Accesso specificato Accesso anonimo specificato per il protocollo Internet Accesso anonimo non abilitato per il protocollo Internet

Accesso anonimo abilitato nella LCA del database Gli utenti accedono al database con il livello di accesso della voce Anonimo. Ad esempio, se l'accesso Anonimo viene impostato a Lettura, gli utenti anonimi che accedono al database hanno l'accesso Lettura. Agli utenti viene richiesto di autenticarsi quando tentano di accedere a qualsiasi risorsa sul server. Se l'utente non viene elencato nel database (attraverso una voce del gruppo, un carattere jolly o se il nome dell'utente viene elencato esplicitamente), allora l'utente accede al database con il livello di accesso -Predefinito- per la voce.

Anonimo non elencato nella LCA del database Gli utenti anonimi accedono al database con il livello di accesso -Predefinito- per la voce. Ad esempio, se l'accesso -Predefinito- viene impostato a Lettura e non c'è alcuna voce Anonimo nella LCA, gli utenti anonimi che accedono al database hanno accesso Lettura.

Anonimo assegnato a "Nessun accesso" nella LCA del database
Nota I privilegi "Leggi e scrivi documenti pubblici" devono essere disabilitati
Agli utenti deve essere richiesto di autenticarsi quando tentano di accedere a questo database. Una volta autenticati, verrà loro concesso il livello di accesso appropriato assegnato nella LCA.

Agli utenti anonimi (quelli cui è assegnato l'accesso a un database mediante la voce Anonimo e quelli che accedono mediante la voce -Predefinito-) che cercano di eseguire un'operazione non autorizzata dal loro livello di accesso, verrà richiesto di autenticarsi. Ad esempio, se Anonimo viene impostato su Lettura, e un utente anonimo tenta di creare un nuovo documento, all'utente viene richiesto di autenticarsi con un nome e una password.

Suggerimento Se si desidera che tutti gli utenti si autentichino su un database, accertarsi che nella LCA del database sia impostato Anonimo con livello di accesso Nessun accesso e aggiungere il nome dell'utente Internet alla LCA con il livello di accesso che si desidera assegnare all'utente. È anche necessario accertarsi che i privilegi Leggi documenti pubblici e Scrivi documenti pubblici non siano abilitati nella LCA.

Il server Domino utilizza il nome di gruppo Anonimo esclusivamente per controlli di accesso. Ad esempio, se Anonimo ha accesso Autore alla LCA del database, il vero nome dell'utente appare nel campo Autori dei documenti creati dall'utente nel database. Il server Domino può visualizzare nel campo Autori del documento il nome vero degli utenti Notes anonimi ma non degli utenti Web anonimi. I campi Autori non costituiscono mai una funzione di sicurezza, indipendentemente dall'utilizzo dell'accesso anonimo; se la validità del nome dell'autore è necessaria per la sicurezza, il documento dovrebbe essere firmato.

ID di replica

Per consentire a un agente contenuto in un database di usare @DbColumn o @DbLookup per richiamare dati da un altro database, immettere l'ID di replica del database contenente l'agente nella LCA del database contenente i dati da recuperare. Il database contenente l'agente deve avere almeno accesso Lettura al database che contiene i dati da recuperare. Entrambi i database devono essere sullo stesso server. Un esempio di ID di replica nella LCA di un database è 85255B42:005A8fA4.

Se non si aggiunge l'ID di replica alla Lista Controllo Accessi, l'altro database può comunque accedere ai dati se il livello di accesso standard del proprio database è Lettura o superiore.

Per determinare l'ID di replica di un database, scegliere File - Database - Proprietà e fare clic sulla linguetta Info. Oppure scegliere File - Database - Tavola sinottica, e selezionare Replica.

Per aggiungere un ID di replica alla LCA

Immettere o copiare e incollare l'ID di replica dalla finestra di dialogo Tavola sinottica nella LCA o immettere l'ID di replica ID che si ottiene dalla pagina Info della finestra delle proprietà del database. Si può immettere l'ID di replica in caratteri maiuscoli o minuscoli, ma non racchiuderlo fra virgolette.

Ordine di valutazione delle voci della LCA

Le voci della LCA sono valutate in un ordine specifico per determinare il livello di accesso che sarà concesso a un utente Notes autenticato che tenta di accedere al database.

La LCA controlla prima il nome utente per vedere se corrisponde a una delle voci della LCA. La LCA controlla tutti nomi utente corrispondenti. Ad esempio, Sandra E Smitti/Nord/Acme corrisponderà alle voci Sandra E Smitti/Nord/Acme/IT e Sandra Smitti. Nel caso in cui due voci diverse per una persona abbiano livelli di accesso diversi (ad esempio, applicati in diversi momenti da diversi amministratori), all'utente che tenta di accedere al database verrà concesso il livello di accesso superiore e la possibilità di unire i privilegi di accesso delle due voci per quell'utente nella LCA. Ciò può accadere anche se l'utente ha nomi alternativi.
Nota Se si immette solo il nome comune nella LCA (ad esempio, Sandra E Smitti), tale voce corrisponde solo se il nome dell'utente e il server del database si trovano nella stessa gerarchia di dominio. Ad esempio, se l'utente è Sandra E Smitti, il cui nome gerarchico è Sandra E Smitti/Nord/Acme e il database è Manufacturing/FactoryCo, la voce Sandra E Smitti non otterrà il livello di accesso corretto per le LCA sul server Manufacturing/FactoryCo. Il nome deve essere immesso in formato gerarchico completo affinché l'utente possa ottenere il livello corretto di accesso per le LCA su server in altri domini.
Se non si trovano corrispondenze con il nome utente, la LCA controlla l'eventuale corrispondenza con i nomi di gruppo. Se una persona che tenta di accedere al database corrisponde a più di una voce di gruppo, ad esempio, se la persona è un componente di Vendite e le due voci di gruppo per Vendite sono Vendite/Nord/Acme e Vendite/Acme, alla persona viene concesso il livello di accesso superiore e la possibilità di unire i privilegi di accesso delle due voci per quel gruppo nella LCA.
Nota Se l'utente corrisponde a una voce esplicita nella LCA ed è componente di un gruppo anch'esso elencato nella LCA, l'utente ottiene sempre il livello di accesso assegnato alla voce esplicita, anche se il livello di accesso del gruppo è più alto.
Se non si trovano corrispondenze con il nome di gruppo, la LCA controlla l'eventuale corrispondenza con la voce contenente i caratteri jolly. Se una persona che tenta di accedere al database corrisponde a più di una voce con carattere jolly, alla persona viene concesso il livello di accesso superiore e la possibilità di unire i privilegi di accesso di tutte le voci dei caratteri jolly corrispondenti.
Se una voce di gruppo e una voce dei caratteri jolly si applicano entrambe a un utente che tenta di accedere al database, l'utente ottiene l'accesso assegnato alla voce di gruppo. Ad esempio, se il gruppo Vendite possiede l'accesso Lettura e la voce dei caratteri jolly */Nord/Acme possiede l'accesso Gestione ed entrambe le voci si applicano a un utente, tale utente otterrà l'accesso Lettura per il database.
Se non si trovano corrispondenze tra le voci della LCA del database, alla persona viene concesso il livello di accesso definito per la voce - Default-.

Vedere anche

Impostazione della LCA di un database

Voci predefinite nella LCA

Glossario

Guida sulla Guida

Contenuto completo della Guida

Glossario

Accesso specificato	Accesso anonimo specificato per il protocollo Internet	Accesso anonimo non abilitato per il protocollo Internet
Accesso anonimo abilitato nella LCA del database	Gli utenti accedono al database con il livello di accesso della voce Anonimo. Ad esempio, se l'accesso Anonimo viene impostato a Lettura, gli utenti anonimi che accedono al database hanno l'accesso Lettura.	Agli utenti viene richiesto di autenticarsi quando tentano di accedere a qualsiasi risorsa sul server. Se l'utente non viene elencato nel database (attraverso una voce del gruppo, un carattere jolly o se il nome dell'utente viene elencato esplicitamente), allora l'utente accede al database con il livello di accesso -Predefinito- per la voce.
Anonimo non elencato nella LCA del database	Gli utenti anonimi accedono al database con il livello di accesso -Predefinito- per la voce. Ad esempio, se l'accesso -Predefinito- viene impostato a Lettura e non c'è alcuna voce Anonimo nella LCA, gli utenti anonimi che accedono al database hanno accesso Lettura.
Anonimo assegnato a "Nessun accesso" nella LCA del database Nota I privilegi "Leggi e scrivi documenti pubblici" devono essere disabilitati	Agli utenti deve essere richiesto di autenticarsi quando tentano di accedere a questo database. Una volta autenticati, verrà loro concesso il livello di accesso appropriato assegnato nella LCA.