# Kunden legt fremde Subdomain an?



## ispconfigusr3776 (31. Jan. 2014)

mir ist aufgefallen, dass ein Kunde B mit der website b.de einem anderen Kunden A und dessen Website a.de eine neue Subdomain unterschieben kann. Dazu legt er einfach ein neues Web an und gibt als Domäne x.a.de an. 

Das sollte doch so nicht möglich sein?!?


----------



## fuxifux (31. Jan. 2014)

Die Subdomain kann dem Kunden A nur dann wirklich untergeschoben werden, wenn man auch einen DNS-Eintrag dafür einrichten kann - und das sollte für Kunde B nicht möglich sein.


----------



## ispconfigusr3776 (31. Jan. 2014)

In diesem Fall läuft die DNS verwaltung auf einem anderen System, das DNS Modul von ISPConfig wird gar nicht genutzt. 

Der Server reagiert auf Anfragen für Domains a.de und b.de. Ich denke es sollte nicht möglich sein, dass ein Kunde einfach irgendwelche "Webs" mit irgendeinem Namen erzeugt, speziell nicht mit einem Subdomain-Namen.


----------



## nowayback (31. Jan. 2014)

Zitat von fuxifux:


> Die Subdomain kann dem Kunden A nur dann wirklich untergeschoben werden, wenn man auch einen DNS-Eintrag dafür einrichten kann - und das sollte für Kunde B nicht möglich sein.


das ist doch quatsch... die domain zeigt doch eh auf die server ip... und wenn - wie meist üblich - ein wildcard dns eintrag für die domain existiert, der auf die serverip zeigt, dann ist dem webserver egal welcher kunde eine subdomain anlegt. er ist zuständig, also antwortet er.



> Ich denke es sollte nicht möglich sein, dass ein Kunde einfach irgendwelche "Webs" mit irgendeinem Namen erzeugt, speziell nicht mit einem Subdomain-Namen.


das ist korrekt, es sollte nicht gehen.


----------



## Till (1. Feb. 2014)

Ich tippe mal darauf dass er vergessen hat die domain limits / domain modul zu aktivieren unter System > Interface config.


----------



## ispconfigusr3776 (2. Feb. 2014)

Zitat von Till:


> Ich tippe mal darauf dass er vergessen hat die domain limits / domain modul zu aktivieren unter System > Interface config.


Da nimmt der Till richig an. Die Einstellung ist ja gut versteckt. Kann man sie auch rückgängig machen, nachdem man Domains an Kunden delegierrt hat? Eine Domain auf den "leeren Kunden" umzuchreiben geht ja nicht.

Und wenn ich versuche die Zuordnung zu löschen, wird er ganz nervös bzgl der zugehörigen Maildomain. Der will doch da nicht etwa alles rausschmeißen, Web, Mail, DB, FTP, ...?


----------



## Till (2. Feb. 2014)

Du kannst eine domain aus den domainlmits nur löschen, wenn sie nicht als web oder mail domain verwendet wird, versuchst Du es trotzdem, dann erhältst Du eine Fehlermeldung.


----------



## ispconfigusr3776 (22. Mai 2014)

Was aber gar nicht funktioniert: Man kann eine erzeugte Zuordnung Kunde <> Domain nicht mehr ändern. Geht man in die Domain, wird in der Dropdown-Liste nur der aktuelle Kunde angezeigt - nicht änderbar.  

Seltsamerweise kann ich in der Website einen anderen Kunden zuordnen. Das erzeugt eine Inkonsistenz.

Und Löschen kann man eine Zuordnung ja auch nicht, wenn die Domain noch irgendwo referenziert ist. Oder habe ich das was falsch verstanden / gemacht?


----------



## ispconfigusr3776 (26. Mai 2014)

Nach mehreren Testläufen lässt sich nun folgendes Verhalten feststellen.

OK - Sobald die Domainzuordnung aktiviert wurde, können die Domains erfolgreich den kunden zugeordnet werden.

OK - Kunden können nur noch ihnen zugeordnete Domains verwalten.

BUG - Die Zuordnung lässt sich nicht löschen, solange Inhalte existieren.

BUG - Die Zuordnung lässt sich nicht ändern, weil ISPConfig keine anderen Kunden mehr anbietet. Das sieht mir nach einem Fehler in der Filterung aus. Er holt nur die Kunden für die Domain, statt alle Kunden (oder alle Kunden des Resellers).

BIGBUG - Trotz Zuordnung kann ich eine Website einem anderen Kunden unterschieben, der die Domain eigentlich gar nicht verwalten dürfte. Damin kann man wahrscheinlich größere Probleme auslösen. Hier kommunizieren die beiden Module nicht miteinander. 

@Till, siehst du das auch als Bugs oder handhaben wir hier nur etwas falsch?


----------



## Till (26. Mai 2014)

Entwicklervorgabe für die Funktion ist:

1) Das entfernen einer domain darf nicht möglich sein, solange es webseiten oder email Domains mit dieser Domain gibt. So ist es umgesetzt und es funktioniert, also kein Bug. Hab ich Dir in #7 ja geschrieben.

2) Es darf nicht möglich sein den User einer Domain im Domainlimit Modul zu ändern, da sich die Änderungen nicht auf bestehnde Webseiten auswirken würde. Dies ist derzeit so, also auch kein Bug.

3) Wenn Dir das was Du als "BigBug" bezeichnete möglich war wenn Du als Kunde eingelogged bist, dann ist es ein Bug. Wenn Du als Admin eingelogged warst, dann ist es keiner. Hängt also von Deinem Login ab.


----------



## ispconfigusr3776 (26. Mai 2014)

Dann ist ein Zuordnung also irreversibel - außer man löscht die gesamte Domain mit allen Daten und legt sie neu an.

Der Admin darf eine Inkonsistenz erzeugen, der User nicht. Bleibt die spannende Frage, was mit dem Reseller ist. Im Ernst, ich denke das System sollte keine Inkonsistenzen zulassen und eine Änderungen an der Website im Domain-Modul nachziehen, wenn dieses aktiv ist.


----------



## Till (26. Mai 2014)

> Der Admin darf eine Inkonsistenz erzeugen, der User nicht. Bleibt die spannende Frage, was mit dem Reseller ist. Im Ernst, ich denke das System sollte keine Inkonsistenzen zulassen und eine Änderungen an der Website im Domain-Modul nachziehen, wenn dieses aktiv ist.


Generell soll der admin das schon können, da er alle Rechte hat und sich eben auch über Limits wie quotas oder ein Domainlimit hinwegsetzen können soll. Ich werde aber mal sehen ob man zumindest eine warnung ausgibt.


----------

