• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Регистрация Юзеров Через Tdi. Проблема С Безопасностью

  • Автор темы divankin
  • Дата начала
D

divankin

Пытаюсь сделать автоматическую регистрацию пользователей из AD в Lotus. ADSync отмел как более не поддерживаемый и просто незапускающийся на 64бит виндах. Поэтому мучаюсь с Tivoli Directory Integrator 7.1
C AD интеграцию удалось настроить, правда пока без паролей. В Лотусе создать пользователя тоже удается, но без id-шки. А если пробовать включить режим с созданием id -файла то выдается ошибка
ID=4 005, Error Text=Notes error: You are not authorized to add Person documents in this Domino Directory

Что по меньшей мере странно. Ибо
-как я уже сказал документ пользователя создается, если не пытаться создавать id файл
-создаю под полным админом
-права везде манагерские
-роли все есть, включая UserCreator и UserModifier
-ограничение на максимальный доступ через интернет пробовал делать манагерским
-в конфигурации сервера указано, что являюсь всевозможным админом и имею право запускать любые скрипты

У кого есть какие идеи где еще можно добавить прав? Или возможно поделиться опытом интеграции регистрации пользователей через TDI?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
не сталкивался с TDI, а как он с доминой сопрягается? прописывает свой адын/эксмжр?
если так - то права д.б. у сервера! домины, на роли и прочая

Добавлено: я так понимаю - ИД пытаетесь сохранить в АК, может не стоит?!
 
R

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Divankin сказал(а):
Пытаюсь сделать автоматическую регистрацию пользователей из AD в Lotus. ADSync отмел как более не поддерживаемый и просто незапускающийся на 64бит виндах. Поэтому мучаюсь с Tivoli Directory Integrator 7.1. Коннектор работает с Лотус через Diiop
C AD интеграцию удалось настроить, правда пока без паролей. В Лотусе создать пользователя тоже удается, но без id-шки. А если пробовать включить режим с созданием id -файла то выдается ошибка
ID=4 005, Error Text=Notes error: You are not authorized to add Person documents in this Domino Directory

Что по меньшей мере странно. Ибо
-как я уже сказал документ пользователя создается, если не пытаться создавать id файл
-создаю под полным админом
-права везде манагерские
-роли все есть, включая UserCreator и UserModifier
-ограничение на максимальный доступ через интернет пробовал делать манагерским
-в конфигурации сервера указано, что являюсь всевозможным админом и имею право запускать любые скрипты

У кого есть какие идеи где еще можно добавить прав? Может быть какие-нибудь особые разрешения для JVM или Diiop?
Или просто поделитесь опытом интеграции регистрации пользователей через TDI
Нажмите, чтобы раскрыть...

А разве TDI хакает АД пароль пользователя?

К TDI пару раз подступался - но он показался всеж монстроватым... В итоге заюзал LS...
 
D

divankin

lmike

Спасибо. Дал серверу UserCreator и UserModifier - заработало.


rinsk сказал(а):
А разве TDI хакает АД пароль пользователя?

К TDI пару раз подступался - но он показался всеж монстроватым... В итоге заюзал LS...
Нажмите, чтобы раскрыть...

Зачем хакает? Как я понял, там настраивается обмен сертификатами и AD сама отдает пароль, да еще и сама сообщает при изменении пароля.

В принципе с TDI на свежую голову несложно разобраться. Грубо говоря настраиваешь два подключения, настраиваешь два mapping'a и готово.
При этом поля все и в AD, и в Domino известны. Поэтому странно, что нигде нет простого типового решения, ни в комплекте TDI, ни на сайте IBM, ни просто в инете.

P.S. Если соберетесь настраивать синхронизацию паролей, устанавливайте TDI Identity Edition, причем при установке нужно выбрать все опции, иначе коннекторов с паролями не будет.
 
R

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Divankin сказал(а):
lmike

Спасибо. Дал серверу UserCreator и UserModifier - заработало.

Зачем хакает? Как я понял, там настраивается обмен сертификатами и AD сама отдает пароль, да еще и сама сообщает при изменении пароля.

В принципе с TDI на свежую голову несложно разобраться. Грубо говоря настраиваешь два подключения, настраиваешь два mapping'a и готово.
При этом поля все и в AD, и в Domino известны. Поэтому странно, что нигде нет простого типового решения, ни в комплекте TDI, ни на сайте IBM, ни просто в инете.

P.S. Если соберетесь настраивать синхронизацию паролей, устанавливайте TDI Identity Edition, причем при установке нужно выбрать все опции, иначе коннекторов с паролями не будет.
Нажмите, чтобы раскрыть...

Эт здорово - если пароли синхронизирует. Мне вот интересно - как отрабатывает переименование пользователя? Если несколько раз подряд изменить имя пользователя ну или прару раз потаскать из OU в OU то по идее должны сформироваться несколько админ запросов - и как они отрабатывают при этом?
 
M

Mario1985

Divankin сказал(а):
Пытаюсь сделать автоматическую регистрацию пользователей из AD в Lotus. ADSync отмел как более не поддерживаемый и просто незапускающийся на 64бит виндах. Поэтому мучаюсь с Tivoli Directory Integrator 7.1
C AD интеграцию удалось настроить, правда пока без паролей. В Лотусе создать пользователя тоже удается, но без id-шки. А если пробовать включить режим с созданием id -файла то выдается ошибка
ID=4 005, Error Text=Notes error: You are not authorized to add Person documents in this Domino Directory

Что по меньшей мере странно. Ибо
-как я уже сказал документ пользователя создается, если не пытаться создавать id файл
-создаю под полным админом
-права везде манагерские
-роли все есть, включая UserCreator и UserModifier
-ограничение на максимальный доступ через интернет пробовал делать манагерским
-в конфигурации сервера указано, что являюсь всевозможным админом и имею право запускать любые скрипты

У кого есть какие идеи где еще можно добавить прав? Или возможно поделиться опытом интеграции регистрации пользователей через TDI?
Нажмите, чтобы раскрыть...

Здравствуйте, пытаюсь создать коннектор mode = update, при любом Session Type , но постоянно ругается: error java.lang.NullPointerException. Notes.jar подложил в TDI, .id тоже подложил, DIIOP, LDAP, HTTP запущены в Domino. JAVA установлена на IE8

В Console выводит:
CTGDKC098I Domino Users Connector's local Notes thread started.
CTGDKC010I Will use regular database search in Iterator and Lookup modes.
CTGDKC096I Opening Session to Domino Server: Session Type='LocalClient',, Hostname='10.0.0.2', User ID='null', Requested IIOP/SSL='false'.
CTGDKC095I Session to Domino Server is created.
CTGDKC100I Domino Users Connector's local Notes thread terminated.


Пожалуйста, напишите, ЧТО не так?
 
M

Mario1985

При подключении консоли TDI выдаются предупреждения:

Conflict for 'com.ibm.tdi.rcp.nvb':HandlerActivation(commandId=com.ibm.tdi.rcp.nvb,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.NullBehavior
Action),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)
HandlerActivation(commandId=com.ibm.tdi.rcp.nvb,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.NullBehavior
Action),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)
Conflict for 'com.ibm.tdi.rcp.publishal.action':HandlerActivation(commandId=com.ibm.tdi.rcp.publishal.action,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.PublishALAct
ion),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)
HandlerActivation(commandId=com.ibm.tdi.rcp.publishal.action,
handler=ActionDelegateHandlerProxy(null,com.ibm.tdi.eclipse.actions.PublishALAct
ion),
expression=WorkbenchWindowExpression(org.eclipse.ui.internal.WorkbenchWindow@7a0
67a06),sourcePriority=16384)

Уже workspace сменил
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ