• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Агент от имени Admina не правит документы

  • Автор темы LIGHT
  • Дата начала
L

LIGHT

Написал агента который делает следующее, когда сохраняется документ ответ, в родителей вверх до упора в поле дописываются определенные данные.

Сам агент работает 100% так как задумано
Но такое чувство что установка работать агенту от имени пользователя с правами на редактирование документов в БД не подцепляется. Т.е он правит только те доки на которые у текущего пользователя есть право редактировать а остальные нет. Может кто чего посоветует.

Sub Initialize

'****************************************************************************
*********
Dim ws As New notesuiworkspace
Dim uidoc As notesuidocument
Dim doc As notesdocument
Dim parentdoc As notesdocument
Dim db As NotesDatabase
Dim newReaders As Variant
Dim parentReaders As Variant
Dim OkReaders As Variant

Set uidoc = ws.CurrentDocument
Set doc = uidoc.Document
Set db = doc.ParentDatabase
newReaders = doc.GetItemValue("ReadersListDump")

Set parentDoc = doc
Do
Set parentDoc = db.GetDocumentByUNID(parentDoc.ParentDocumentUNID)
parentReaders = parentDoc.GetItemValue("ReadersListDump")
parentDoc.ReplaceItemValue("ReadersListDump", Fulltrim(Arrayunique(Arrayappend(parentdoc.GetItemValue("ReadersListDump"), newReaders)))).isReaders = True
parentDoc.Save False, False
Loop While parentdoc.IsResponse
End Sub
Нажмите, чтобы раскрыть...

Не хотелось бы юзеру давать право редактора верхних доков.
 
M

morpheus

<!--QuoteBegin-LIGHT+1:07:2007, 00:04 -->
<span class="vbquote">(LIGHT @ 1:07:2007, 00:04 )</span><!--QuoteEBegin-->в родителей вверх до упора в поле дописываются определенные данные.
[snapback]70988" rel="nofollow" target="_blank[/snapback]​
[/quote]
а в может в документах других есть поля ридерс и юзер(от которого зап. агент ) не может их видеть?
 
L

LIGHT

Есть поля и ридерс и юзерз, и в них админ не прописан. Но в ACL Admin прописан как менагер и видит и правит все доки, ведь ACL преобладает над полями в доках. Вот и агент шуршит от имени Admina но не правит доки. Очень сильно похоже что он работает не от имени админа а от имени текущего юзера, т.к. правит только те доки где юзер прописан редактором.

Как ему волшебного пендуля поддать фиг его знает....
 
M

morpheus

<!--QuoteBegin-LIGHT+2:07:2007, 09:37 -->
<span class="vbquote">(LIGHT @ 2:07:2007, 09:37 )</span><!--QuoteEBegin-->ведь ACL преобладает над полями в доках.
[snapback]71046" rel="nofollow" target="_blank[/snapback]​
[/quote]
Кто Вам такое сказал ... с ридер-полями такое не катить ( за исключением фулл админ мода )

<!--QuoteBegin-LIGHT+2:07:2007, 09:37 -->
<span class="vbquote">(LIGHT @ 2:07:2007, 09:37 )</span><!--QuoteEBegin-->Очень сильно похоже что он работает не от имени админа а от имени текущего юзера
[snapback]71046" rel="nofollow" target="_blank[/snapback]​
[/quote]
Логи его посомтрите
 
L

LIGHT

Для: Morpheus :( блин дай мене тоже пиндуля где их смотреть? Видел шаблон БД AgetnLog так что-то все ни как не было нужды поднимать базу.
 
M

morpheus

Для: LIGHT
Наводящи вопрос - агент должен работать на сервере или на локале ? от имени админа?
 
L

LIGHT

Тогда появилась идея.
Если содать поле типа Authors и статично втолкать туда ACL роль типа "[Admin]" будет ли это подразумевать райское наслаждение?

<!--QuoteBegin-Morpheus+2:07:2007, 10:56 -->
<span class="vbquote">(Morpheus @ 2:07:2007, 10:56 )</span><!--QuoteEBegin-->Наводящи вопрос - агент должен работать на сервере или на локале ? от имени админа?
[snapback]71053" rel="nofollow" target="_blank[/snapback]​
[/quote]
Все на сервере.


Как я понимаю просто втолкать название лоли не пракатит, но если сделать вычесление юзеров принадлежащих этой роли. То... Хотя видел что агента можно запускать и от группы юзеров, как это реализуется?
 
M

morpheus

<!--QuoteBegin-LIGHT+2:07:2007, 09:57 -->
<span class="vbquote">(LIGHT @ 2:07:2007, 09:57 )</span><!--QuoteEBegin-->Тогда появилась идея.
Если содать поле типа Authors и статично втолкать туда ACL роль типа "[Admin]" будет ли это подразумевать райское наслаждение?
[snapback]71055" rel="nofollow" target="_blank[/snapback]​
[/quote]
Лучше ридерс, я так всегда делаю - любая форма в которой будет соблюдаться безопасность относительно имен/груп - делаеться поле типа ридер куда статично прописываю роль админа ( кстати сервер её тоже должен иметь )
 
L

LIGHT

Ой спасибо, сейчас буду пробовать... я правильно понял в поле тупо прописываем лоль "[Admin]"?
 
M

morpheus

Для: LIGHT
угу, и пересохранить доки придёться
 
L

LIGHT

Странно, в агенте прописал работать от имени группы Admins
Группе Admins в ACL этой БД дал роль Administrator
В форме доков создал поле Access_Admin типа Readers (затем пробовал Authors) поле вычисляемое = "[Administrator]"
Попробовал посоздавать доки, один фиг те доки где юзер не прописан Authors агент не правит.
 
L

LIGHT

Для: Morpheus есть еще какие ни будь мысли на этот счет?
 
L

LIGHT

Еще вопрос маленький что бы новую тему не заводить
Doc.Save False, False

Что здесь означает False False
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ