<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.2963" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Verdana size=2><SPAN class=590003805-17092006>I'd be grateful 
for some quick help in understanding the OpenCms security model, which is 
surprisingly poorly documented given its significance.</SPAN></FONT></DIV>
<DIV><FONT face=Verdana size=2><SPAN 
class=590003805-17092006></SPAN></FONT> </DIV>
<DIV><FONT face=Verdana size=2><SPAN class=590003805-17092006>1.  If I 
deactivate the 'Guests' group, and even the 'Guest' user as well, I can still 
browse my OpenCms site when not logged in.  Of course, I'm only doing this 
to experiment with OpenCms security - but could someone tell me why this is 
possible?  Is it a bug or am I missing something?</SPAN></FONT></DIV>
<DIV><FONT face=Verdana size=2><SPAN 
class=590003805-17092006></SPAN></FONT> </DIV>
<DIV><FONT><SPAN class=590003805-17092006><FONT face=Verdana size=2>2.  
What right does the abbreviation 'l' (for 'lima') correspond to?  For all 
groups and users in a default installation and for any resource, 'l' is shown 
preceded by the negative sign... but what is it?  As an example, the 
Administrators group's rights for a resource are given as 
+r+w+v+c+d-l.</FONT></SPAN></FONT></DIV>
<DIV><FONT face=Verdana size=2><SPAN 
class=590003805-17092006></SPAN></FONT> </DIV>
<DIV><FONT face=Verdana size=2><SPAN class=590003805-17092006>3.  What is 
the difference between 'read' and 'view'?  Is it that 'read' corresponds to 
reading a resource's contents, and 'view' just to seeing that the resource 
exists (and presumably reading its properties)?</SPAN></FONT></DIV>
<DIV><FONT face=Verdana size=2><SPAN 
class=590003805-17092006></SPAN></FONT> </DIV>
<DIV><FONT face=Verdana size=2><SPAN class=590003805-17092006>4.  When 
adding resource permissions on a resource, it is possible to explicitly allow or 
deny various rights (read, write, control and direct publish).  There is 
also an 'overwrite inherited' checkbox.  Does this mean that (i) without 
'overwrite inherited', settings made here for r, w, c and d apply only if 
they haven't been explicitly set on an ancestor resource, and (ii) if 'overwrite 
inherited' is checked, then settings made here for those rights apply whether or 
not set on an ancestor?  And are 'allow' and 'deny' treated equally in this 
respect, does an explicit denial not require 'overwrite 
inherited'?</SPAN></FONT></DIV>
<DIV><FONT face=Verdana size=2><SPAN 
class=590003805-17092006></SPAN></FONT> </DIV>
<DIV><FONT face=Verdana size=2><SPAN 
class=590003805-17092006>Julie</SPAN></FONT></DIV></BODY></HTML>