regain manual

====== Idee: Zugriffsrechte-Management mit Hilfe von Active Directory und Kerberos ====== ===== Zusatzfeature ===== In der Trefferliste einer Intranet-Suche erscheinen nur Dokumente, für die der Suchende zumindest Leserechte hat. ===== Lösungsansatz ===== Die Infos darüber, ob ein Benutzer im Intranet angemeldet ist bzw. in welchen Dateien aus dem regain-Index er suchen darf, werden vom im [[http://de.wikipedia.org/wiki/Active_Directory|ADS]] implementierten [[http://de.wikipedia.org/wiki/Kerberos_(Informatik)|Kerberos-Protokoll]] bzw. aus den [[http://de.wikipedia.org/wiki/Access_Control_List|ACL]] zur Laufzeit ermittelt. ===== Vorteile ===== * Der Index muß nicht jedes mal, nachdem Sie den CrawlerAccessController geändert haben oder nachdem sich die Rechte eines Dokuments oder eines Benutzers geändert haben, neu erstellt werden. * Es muss nur ein EnterpriseSearchAccessController programmiert werden. ===== Implementierung ===== **Bei einer Suchanfrage:** * Der ''EnterpriseSearchAccessController'' bezieht über das [[http://de.wikipedia.org/wiki/Kerberos_(Informatik)|Kerberos-Protokoll]] Informationen darüber, ob der Suchende im Intranet angemeldet ist. * Falls //ja// werden aus dem regain-Index alle der Suchanfrage entsprechenden Dokumente ausgefiltert. * Falls //nicht// werden aus dem regain-Index Dokumente ausgefiltert, die ein ''anonymous''-Besucher sehen darf. * In der Trefferliste werden anhand von ACL-Listen nur die Dokumente aufgelistet, für die der Suchende Leserechte hat. ===== Änderungen im Quellcode ===== [[:de::features:access rights management|SearchAccessController]]-API muß vermutlich geändert werden. FIXME: Warum und wie? ===== Einschränkungen ===== * Der Lösungsansatz ist hier am Beispiel [[http://de.wikipedia.org/wiki/Active_Directory|Active Directory Service]] beschrieben, gilt aber auch für andere Verzeichnisdienste. * Es muss getestet werden, ob die Antwortzeiten der regain-Suche mit dieser Lösung akzeptabel bleiben. ===== Siehe auch ===== * Diskussion zu dieser Idee im Forum: [[http://forum.murfman.de/de/viewtopic.php?p=1312|EnterpriseSearchAccessController]] * [[:de::features:access rights management]] * [[:de:howto:personalized_search]] - Aufgabenstellung aus Anwender-Sicht, also eine Art "Fachkonzept" für diese Idee.