Доступ уволенного сотрудника

Тема в разделе "Lotus - Администрирование", создана пользователем oleg7, 26 ноя 2009.

Наш партнер Genesis Hackspace
  1. oleg7

    oleg7 Гость

    Если администратор увольняется и при этом он имеет id админа, то насколько я понимаю он может иметь доступ к базам удаленно. Правильно ли я понимаю, если да, то как этого можно избежать?
     
  2. Gray

    Gray Well-Known Member
    Lotus team

    Регистрация:
    10 май 2005
    Сообщения:
    94
    Симпатии:
    0
    Если у вас Домина висит голой ж. в инет, тогда - да. Правильнее всего - обеспечить отсутствие доступа к серверу.
    Если все-же Домино должен быть открыт в инет явно (веб-сервер). Тогда вначале поменяйте инет пароль в карточке админа. включите проверку пароля в id:
    Administration - Configuration - вкладка Securit ставим галочку Check passwords on Notes IDs: Yes

    Через некоторое время, как все успокоится, и вы проверите систему на предмет подписанных баз и агентов - передподпишите все, после чего просто переименуйте старый админский аккоунт для нового админа.
     
  3. Klido

    Klido Гость

    1. Сменить публичные ключи.
    2. Физически ограничить возможность "удаленно" иметь доступ уволившемуся.
     
  4. ToxaRat

    ToxaRat Чёрный маг
    Команда форума Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.137
    Симпатии:
    19
    oleg7
    в секуюрити сервера так же укажи что доступ к нему имеют лишь те, кто есть в АК
    естественно когда админа удалишь его запись из АК тоже админ процессами подчисти
    на всякий случай внеси его в группы NotAccess и пропиши её тоже в секюрити на запрет - Not access server:
    проследи чтобы сервер никому "не доверял в обход АК" - Passthru Use
     
  5. oleg7

    oleg7 Гость

    ToxaRat
    Но при увольнении удаляется лишь карточка самого Администратора, но есть еще admin.id, которую нехотят переименовывать, менять пароли и т.д.
     
  6. Klido

    Klido Гость

    ? что значит карточка? Вроде были админы Иванов и Петров и юзали один admin.id? Срочно меняйте модель администрирования. У каждого должна быть персональный доступ.
     
  7. ToxaRat

    ToxaRat Чёрный маг
    Команда форума Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.137
    Симпатии:
    19
    oleg7
    но по большому счету и эти все средства фигня
    так как правильный админ сольет себе всё АК и сможет вломиться на ваш сервер как под учеткой юзера так и под учеткой филиального сервера и будете вы плакать :rolleyes:
    поэтому выплатите ему ЗП, вручите подарок и поцелуйте - дабы он на вас зло не держал :ya_lamo:
     
  8. oleg7

    oleg7 Гость

    ToxaRat
    да у нас в компании никто зло и не держит и ЗП платят все, просто хотелось знать насколько вольно может пользовать админ базами после увольнения и можно ли это присекать.
     
  9. ToxaRat

    ToxaRat Чёрный маг
    Команда форума Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.137
    Симпатии:
    19
    oleg7
    я так смотрю по вашим многочисленным темам, что теперь новым админом будете именно вы? :rolleyes:
    не проще ли пройти полноценный курс администрирования?
    и если админ смышленный то он всегда сможет иметь доступ к вашему серверу
    пожалуй исключение составит лишь полная ресертификация всего или завести всё заново
     
  10. Klido

    Klido Гость

    эээ, это если физически доступ к нему будет - в смысле удаленно на порт... но надо быть извращенцем, чтоб периметр не закрывать...
     
  11. ToxaRat

    ToxaRat Чёрный маг
    Команда форума Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.137
    Симпатии:
    19
    да всё гораздо проще, погляди на динамику вопросов от oleg7 - как он может защитить перимерт если у них уходит единственный спец по лотусу
    тут всё четко прогназируемо
     
  12. Klido

    Klido Гость

    ну если у них эникейщиство развито - тогда да, а реально спец по лотусу к периметру отношения не имеет :rolleyes:
     
  13. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member
    Lotus team

    Регистрация:
    30 май 2006
    Сообщения:
    1.318
    Симпатии:
    4
    Удаление записи из АК не обязательно приводит к запрету доступа соотв. юзера к серверу. Если НЕ включена сверка публичных ключей, юзер может аутентифицироваться по ключу сертификатора.
    Включение сверки - тоже не панацея (т.к. осложняет доступ для кросс-сертифицированных юзеров). IMHO самый правильный путь - поместить уволенного в AccessDeny-группу
     
Загрузка...

Поделиться этой страницей