• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

2 Доверенных Справочника На Сервере

  • Автор темы Nosferatus
  • Дата начала
N

Nosferatus

Прошу оказать знающих людей помощь!

У меня есть сервер со своей адресной книгой xxx's Directory (names.nsf). Также есть общая адресная книга ууу's Directory (pubdir.nsf). Общая адресная книга pubdir.nsf собирается на другом сервере путем объединения всех адресных книг names.nsf со всех серверов с помощью Extended DC. Затем реплика pubdir.nsf ложиться на мой сервер и которую я подключаю к своему серваку с помощью DA.
В Итоге у меня на серваке подключены два доверенных справочника (names и pubdir) в каждом из которых содержатся идентичные документы персон.

Проблема в следующем: Когда над документами персон моей адресной книге names.nsf выполняются какие-либо действия, затрагивающие изменения документа персон с помощью админ процесса (например: ресертификация, изменение интернет пароля, изминение информации о пользователе и т.д.), то в adminrequests появляется ошибка что действие не может быть произведено из-за того что документ пресон этого пользователя найден в нескольких доверенных адресных справочниках у которых один и тот же сервер администрирования my_server:
Errors: Title: yyy's Directory File name: my_server!!!PubDir.nsf; Error: Person documents for the 'Name(s) acted upon' were found in multiple trusted directories for which this server is the Administration Server.
Action comments: Person documents for User/Org were found in two trusted directories used by my_server: xxx's Directory and yyy's Directory.

Кстати такие ошибки появляются не по всем пользователям, а по некоторым единичным экземпляром, наверно особо "вредные" ;)

Кто-нибудь сталкивался с таким? И что надо сделать для устранения появления этих ошибок?
При этом мне надо сохранить возможность проверки наличия пользователя в адресной книге pubdir при подключения этого пользователя к моему серверу.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
а зачем текущий сервер администрирования для pubdir.nsf?
и зачем собирать все АК в одну, почему их реплики просто не включить в ДА?
 
N

Nosferatus

а зачем текущий сервер администрирования для pubdir.nsf?
В том то и дело, что для pubdir.nsf сервер администрирования другой (назовем его центральным), который и собирает эту адресную книгу.
А my_server является сервером администрирования только для names.nsf и da50.nsf

и зачем собирать все АК в одну, почему их реплики просто не включить в ДА?
Ну во-первых, у нас организовано подключение типа звезда: есть центральный сервер за него отвечает одна организация (назовем её узловой). Узловая организация подключает к центральному серверу другие организации и что бы на всех остальных 100+ серверах постоянно не вносить изменения в DA было организовано централизованное создание общей адресной книги pubdir.nsf на центральном сервере и её распространение по подчиненным серверам.
Во-вторых, другие организации они независимые друг от друга и взаимодействуют только через центральный сервер, т.е. я не могу взять реплику адресных книг других серверов, т.к. в ACL листах этих адресных книг меня и моего сервера нет.
В-третьих, ничего не измениться если я через DA подключу одну общую адресную книгу pubdir.nsf или все 100+ реплик адресных книг других серверов.

Я думаю тут дело в чем-то другом. Не для всех же пользователей выскакивает ошибка. Тут пришла мысль может ошибка выскакивает на определенные действия над пользователями.
вот пока зафиксированны список таких действий (может еще какие-нибудь появятся):
Change HTTP Password in Domino Directory
Modify User Information Stored in Domino Directory

У кого какие мысли на этот счет? В чем может быть проблема?
 
B

Baneslaer

У нас аналогичная топология, но ошибок таких не выскакивает.
У вас случайно не настроена кросс доменная синхронизация для админ процесса?

А что в запросах, которые обрабатываются неправильно написано в поле Databases processed:?
 
N

Nosferatus

У вас случайно не настроена кросс доменная синхронизация для админ процесса?
Нет, у нас только лотусовая организация одна на всех, а лотусовые домены у каждого свои. Поэтому admin4.nsf не реплицируется.
А вообще это реально синхронизировать admin4.nsf между различными доменами?

А что в запросах, которые обрабатываются неправильно написано в поле Databases processed:?
Databases processed: None
 
N

Nosferatus

Неужели ни у кого нет предположений из-за чего это все происходит?
Прошу помочь любыми предположениями
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
В Итоге у меня на серваке подключены два доверенных справочника (names и pubdir) в каждом из которых содержатся идентичные документы персон.
Я полагаю, надо убрать дубликаты. И не смотреть на то, что проблема только с некоторыми пользователями - идея с дубликатами изначально плохая, ИМХО.
 
N

Nosferatus

Я полагаю, надо убрать дубликаты. И не смотреть на то, что проблема только с некоторыми пользователями - идея с дубликатами изначально плохая, ИМХО.
К сожалению убрать моих пользователей из общей адресной книги не выход на то она и общая, что там содержатся все пользователи- всех серверов, и собираю эту книгу не я :)
Мне кажется, что проблема в том, что общая адресная книга воспринимается моим сервером, как доверенная или в том, что для общей адресной книги мой сервер воспринимается, как сервер администрирования?
Неужели ни у кого на сервере нет общих адресных книг???

Добавлено: Кто-нибудь знает на что, кроме доверенного доступа через инет, влияет параметр Trusted for Credentials в DA???
Может в этом дело?
 
N

Nosferatus

И можно ли DA50.nsf установить сервер администрирования в None? К чему это может привести?
Я сейчас так сделал, послежу будут ли появляться "мои" ошибки/
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Добавлено: Кто-нибудь знает на что, кроме доверенного доступа через инет, влияет параметр Trusted for Credentials в DA???
Может в этом дело?
Мысль интересная. У меня нет HTTP, этот параметр установлен в No для всех АК. Проблем не замечал, по крайней, мере, прием/отправка почты работает.
 
N

Nosferatus

Мысль интересная. У меня нет HTTP, этот параметр установлен в No для всех АК. Проблем не замечал, по крайней, мере, прием/отправка почты работает.

Да, этот параметр на маршрутизацию не влияет, а вот пользователи из этих книг нормально проходят авторизацию на сервере по обычному лотусовому порту (1352)? Просто у меня в настройках безопасности стоит пускать пользователей только с доверенных адресных книг.
 
N

Nosferatus

Да, этот параметр на маршрутизацию не влияет, а вот пользователи из этих книг нормально проходят авторизацию на сервере по обычному лотусовому порту (1352)? Просто у меня в настройках безопасности стоит пускать пользователей только с доверенных адресных книг.
Отвечаю же на свой вопрос:
при установки в DA параметра Trusted for Credentials в No выше описанные ошибки исчезли и в admin4.nsf все задачи отработали без ошибок, но при этом пользователей из других адресных книг перестало пускать т.к. при их доступе к серверу проверяются открытые ключи.

И как быть в такой ситуации? Безопасность не хочется понижать :-(
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
А если изменить полные имена у дубликатов в Вашей "глобальной" адресной книге? Скажем, добавить всем букву отчества или изменить имя организации? Т.е., Vasya Pupkin/Org превратить в Vasya A Pupkin/Org или Vasya Pupkin/Org2. Правда тогда могут быть проблемы с шифрованием почты. В общем, надо потренироваться "на кошках"...

UPDATE. Мдя. не подумавши я написАл. Если ВСЕХ пользователей так изменить, то авторизоваться-то они не смогут... Мож, селективную репликацию этой базы организовать?
 
N

Nosferatus

А если изменить полные имена у дубликатов в Вашей "глобальной" адресной книге? Скажем, добавить всем букву отчества или изменить имя организации? Т.е., Vasya Pupkin/Org превратить в Vasya A Pupkin/Org или Vasya Pupkin/Org2. Правда тогда могут быть проблемы с шифрованием почты. В общем, надо потренироваться "на кошках"...
не получится, после первой же репликации все встанет на круги своя...
А вообще менять имена это не выход тогда будут проблемы не только с шифрованием, но и с маршрутизацией и еще что-нибудь вылезет.

Чувствую, что должна быть какая-нибудь настройка позволяющая обрабатывать админ процессом только адресную книгу сервера, а на другие не обращать внимание. А где она находится ума не приложу.

Может кто знает про такую настройку?

Я даже менял сервер администрирования у da50.nsf, не помогло.
 
N

Nosferatus

вот пока зафиксированны список таких действий (может еще какие-нибудь появятся):
Change HTTP Password in Domino Directory
Modify User Information Stored in Domino Directory

Теперь точно могу сказать какие действия не отрабатывают:
Change HTTP Password in Domino Directory

Остальные (сертификация и изминение альтернативного имени) отрабатывают нормально
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!