• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Заведение нового пользователя

  • Автор темы anna
  • Дата начала
A

anna

Коллеги, подскажите, пожалуйста.
Когда заводится новый юзер в лотус, это делается под id сертификатора, у которого очень широкий спектр полномочий. То есть, предполагается, что это должен админ системы. А нам надо передать функционал заведения пользователя рядовому сотруднику, так, чтобы он лишнего не попортил даже при желании.
Заранее спасибо!
 
A

anna

lmike сказал(а):
не совсем понятно...
создать ИД может один, наделить пользователя (связанного с ИД) правами - другой
Нажмите, чтобы раскрыть...
Ну, про очередь регистрации я знаю немного. Тут как раз случай такой - чтобы совсем без вмешательства лотус-админа и выдачи серт.ид
 
T

Teal

Member
08.02.2008
11
0
BIT
8
Если не хотите выдавать id-файл сертификата, можно его мигрировать в CA.
 
A

anna

Teal сказал(а):
Если не хотите выдавать id-файл сертификата, можно его мигрировать в CA.
Нажмите, чтобы раскрыть...
Интересно, надо посмотреть, как это. И это позволит ограничить сотрудника-регистратора только возможностью заводить пользователей?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
CA нужно будет запустить без пароля (т.е. при миграции не задавать пароль)
поставить его в загрузку с сервером
настроить выбор CA клиент-админе (ну там и полиси пробить нужные...)
в этом случае сертифайера выдавать не нужно
НО для vaultID нужен сервак версии ЕМНИП более 8.5.1 (для работы с CA) и сам волт управляется через ИД, пишут что CA работать будет
[DOUBLEPOST=1459850824,1459850712][/DOUBLEPOST]я волт настраивал, но еще не регал новых юзеров (через CA с волтом)
просто через CA уж лет несколько регаю (забыл где сертифайр лежит ;) )
 
T

Teal

Member
08.02.2008
11
0
BIT
8
anna сказал(а):
И это позволит ограничить сотрудника-регистратора только возможностью заводить пользователей?
Нажмите, чтобы раскрыть...
Это позволить не выдавать сам файл сертификатора человеку, а дать права на его использование(регистрация, сертификация...)
 
Z

Zema777

С волт и с СА как совместно так и отдельно проблем нет - все работает как часы
 
A

anna

Итак, по итогам - CA нормально работает. Однако, при регистрации юзеров через CA, нужно делать ряд волшебных пассов руками:
1) в базе Administration Requests в виде Certificate Requests выделять новые записи и в действиях нажимать Approve Selected Requests
2) После этого еще в консоли приходится делать tell adminp process all
иначе не выходит.
 
Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
16
Всё должно работать автоматом, если полностью настроено.
Уже не упомню всех деталей, но в ICL для искомого админа вы прописали права Registration Authorities?
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ