Full Access Administration - За и Против

Тема в разделе "Lotus - Администрирование", создана пользователем puks, 20 авг 2007.

  1. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Много было высказываний о том, что это Зло. Хотелось услышать почему? Меня, например, это очень часто выручало, очобенно в случаях, когда организации отдают слишком много прав пользователям, а те удаляют всех, кроме себя из ACL. Или когда админы на местах слишком умными оказываются, а потом все перестает работать. Конечно, как всякое сильнодействующее средство, оно требует сбалансированной секьюрити (что тоже было бы неплохо обсудить) . Но это уже вопрос, не касающийся того хорошее само средство или нет. Ведь от того, что некоторые оставляют дырки в системе, мы не говорим, что сама система г.... А для новичков это будет полезно для понимания выработки правильной политики безопасности.
     
  2. morpheus

    morpheus скриптописец

    Регистрация:
    7 авг 2006
    Сообщения:
    3.927
    Симпатии:
    0
    Вот от этого как раз и зАКРЫТЬ по полной программе
    <!--QuoteBegin-puks+20:08:2007, 18:32 -->
    <span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->А для новичков это будет полезно для понимания выработки правильной политики безопасности
    [snapback]75810" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    ФА зло не потому что он есть, а потому что один клик мышки может привести к самым непредсказуеммым последстиям - режим без ограничений наоборот убивает само понимание человеком режимов безопасости.

    ФА - нужная вещь с прямыми руками и светлым мосКОМ!! Пользоваться только в случае ядерной войны


    Причина
    <!--QuoteBegin-puks+20:08:2007, 18:32 -->
    <span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->когда организации отдают слишком много прав пользователям
    [snapback]75810" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    Следстие
    <!--QuoteBegin-puks+20:08:2007, 18:32 -->
    <span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->Меня, например, это очень часто выручало
    [snapback]75810" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    А тут вы сами виноваты
     
  3. K-Fire

    K-Fire Гость

    Когда у конторы нет денег на нормального админа, и даже этот админ потом увольняется, и у какой-то важной БД не прописаны правильно права - тут единственный выход FAA.

    Знаете, клик мыши делает человек, и значит действия человека могут привести к самым непредсказуеммым последстиям. А опция это только средство. BTW такой человек может и удалить все базы с диска, и тут вам уже никакие опции не помогут :)


    P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
     
  4. morpheus

    morpheus скриптописец

    Регистрация:
    7 авг 2006
    Сообщения:
    3.927
    Симпатии:
    0
    <!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
    <span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->Знаете
    [snapback]75862" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    Знаю, я же написал
    <!--QuoteBegin-Morpheus+21:08:2007, 10:17 -->
    <span class="vbquote">(Morpheus @ 21:08:2007, 10:17 )</span><!--QuoteEBegin-->ФА - нужная вещь с прямыми руками и светлым мосКОМ!
    [snapback]75850" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    <!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
    <span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
    [snapback]75862" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    здеся
     
  5. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Morpheus+21:08:2007, 03:17 -->
    <span class="vbquote">(Morpheus @ 21:08:2007, 03:17 )</span><!--QuoteEBegin-->А тут вы сами виноваты
    [snapback]75850" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    Ни в чем я не виноват. Вы забываете, что в 99 процентах админы не являются решающим голосом при создании политики. Есть исторически сложившаяся практика, есть политические причины, есть тупость менеджмента, который считает, что он все знает, есть ... (добавить, исходя из собственного опыта). И вот в таких условиях нам приходится работать и выкручиваться. Как говорится, ты виноват лишь тем, что хочется мне кушать. И часто ФА - единственный вариант.
     
  6. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
    Т.е. человеку (админу/злоумышленнику), имеющему физический доступ к носителям баз, ФА не нужен, в этом случае и так весь ACL идет лесом.
    Никакие компутерные защиты не могут повысить безопасность сверх того, что обеспечено организационными мерами (охрана, печать на дверях, ключи под расписку, 1й отдел etc), дай бог, что-б не понизили.

    А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
     
  7. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
    [snapback]75890" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    И что тебе даст локальный доступ при ACL на локальной копии? И как ты будешь открывать локально, если у тебя нет доступа к удаленной консоли?

    И чем ФА отличается от удаленной консоли сисадмина со всеми правами в домене?

    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
    [snapback]75890" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    Ты так говоришь, как-будто все время сидишь и работаешь под ФА. И я не поверю, что ты не знаешь, что на самом деле ОЧЕНЬ сложно (то есть нужно иметь огромный опыт и знания), чтобы не оставить следов. Да и любое включение ФА отражается в логе.

    И потом. Вы что хотите сказать, что как админы не имеете полного доступа и без ФА к пользовательским почтовым файлам (в то время, как они имеют Editor), почти всем приложениям и PAB?
     
  8. K-Fire

    K-Fire Гость

    А если базы шифрованы? А если админ имеет возможность только удаленно иметь доступ к Lotus-серверу и не имеет к машине?

    В целом я согласен - бесконтрольный доступ с этой опцией - проблема в слабоорганизованном процессе администрирования, но вот я не думаю, что эта проблема серьезная.

    P.S. Тем кому эта опция помогала сохранить время - ей рады, те кому она доставила проблемы потребовавшие кучу времени - ей не рады. ИМХО такая ситуация всегда и везде возникает когда человек использует какие-то технические средства.
     
  9. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Я говорил только об ACL
    Так для того и сделали (админы, которые мышей не ловят, вынудили). Но безопасность данных понижается
    FA по определению бесконтрольный. Где есть ответственные данные - проблема серьезная.
     
  10. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:24 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:24 )</span><!--QuoteEBegin-->FA по определению бесконтрольный.
    [snapback]75952" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    Поясни, пожалуйста, что именно не контролируется.
     
  11. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует (Enf.consist.ACL легко счищается). Операционка, для которой нет клиента? Расшариваем диск/копируем базу в др.среду/просто отвинчиваем диск.
    Да, как в логе отражается чтение документов?

    Уд.консоль.. домен.. сисадмин.. Т.е. нет ОС кроме Unix и сисадмин пророк его? ЛаНда: удаленная консоль такое-же зло, как и ФА. Безопасную систему защищенного документооборота с ними построить невозможно (чуть загнул: если не шифровать ВСЕ ПОДРЯД).

    ФА не имею, бо не админ уже 5 лет.
    В моей конторе админ не имеет Манагерского доступа ко всем ПЯ

    Зачем ты открыл этот топик, если не желаешь читать ответы?

    Доступ к чужим данным
     
  12. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Зачем ты открыл этот топик, если не желаешь читать ответы?
    [snapback]75954" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    Я внимательно читаю все ответы. И стараюсь их понять в меру моей понимаемости. Так что уж извини, если что не понял. Такая уж у меня понимаемость. ;) Топик я открыл для обмена мнениями.

    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует
    [snapback]75954" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    Я так и понял. Создал базу на сервере. Установил себе права не менеджера. Поставил ConsistACL. Скопировал ее файлово локально. Прав - нет. Ничего сделать не могу. В ФА все работает.

    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Да, как в логе отражается чтение документов?
    [snapback]75954" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    А что в логе не отражается включение ФА? А в log.nsf в Usage view? В User Activity в Database Properties - User Detail ?

    <!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
    <span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->В моей конторе админ не имеет Манагерского доступа ко всем ПЯ
    [snapback]75954" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    И как решаются проблемы конечных пользователей, когда требуется доступ больший, чем у него есть? Локальным доступом? Кстати, а какой у него доступ?

    Какую бы систему ты не строил, тебе нужна отправная точка, построенная на доверии. Иначе у тебя получается система вообще никем не котролируемая. Это может быть одна точка или баланс. Ведь так в любом деле. Каждый имеет полные права в рамках своих обязанностей.
     
  13. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    дубль..
     

    Вложения:

    • agnt.txt
      Размер файла:
      1,7 КБ
      Просмотров:
      64
  14. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    На! "Возьмите люди, пользуйтесь.."(с)
    Код (Text):
    'RemoveEnfC_ACL:

    Option Declare

    Declare Function NSFDbOpen Lib "nnotes.dll" (Byval pathName As String, hDB As Long) As Integer
    Declare Function NSFDbReadACL Lib "nnotes.dll" (Byval hDB As Long, hACL As Long) As Integer
    Declare Function ACLGetFlags Lib "nnotes.dll" (Byval hACL As Long, dwFlags As Long) As Integer
    Declare Function ACLSetFlags Lib "nnotes.dll" (Byval hACL As Long, dwFlags As Long) As Integer
    Declare Function NSFDbStoreACL Lib "nnotes.dll" (Byval hDB As Long, Byval hACL As Long, objectID As Long, method As Long) As Integer
    Declare Function NSFDbClose Lib "nnotes.dll" (Byval hDB As Long) As Integer

    Const ACL_UNIFORM_ACCESS = 1
    Sub Initialize
    Const msg = "Enter the path to the local database:"
    Dim choice As String
    Dim db As NotesDatabase
    Dim filePath As String
    Dim result As Integer
    Dim hDB As Long
    Dim hACL As Long
    Dim flags As Long

    Dim ws As New NotesUIWorkspace
    Dim session As New NotesSession

    choice = session.GetEnvironmentString("Directory", True) & "\"
    choice = ws.Prompt(3, "Enter Path", msg, choice, "")
    If choice = "" Then Exit Sub
    If Instr(choice, session.GetEnvironmentString("Directory", True)) <> 0 Then
    choice = Strright(choice, session.GetEnvironmentString("Directory", True))
    End If
    While Left(choice, 1) = "\"
    choice = Mid(choice, 2)
    Wend
    result = NSFDbOpen(filePath, hDB)
    result = NSFDbReadACL(hDB, hACL)
    result = ACLGetFlags(hACL, flags)
    If flags And ACL_UNIFORM_ACCESS Then
    flags = flags Xor ACL_UNIFORM_ACCESS
    result = ACLSetFlags(hACL, flags)
    result = NSFDbStoreACL(hDB, hACL, 0, 0)
    Else
    Print "The flag is not set. Nothing changed."
    End If
    result = NSFDbClose(hDB)
    End Sub
    Неужто у тебя нет? "Не верю.."
    Не в курсе. Не админю давно. Логи наши админы прячут. Да и подделать их (при наличии физического доступа/ФА) - легкое движение левой задней ноги.
    Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
    За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
    Какое может быть ДОверие к власти? К абсолютной (которая развращает абсолютно) - абсолютно никакого. Разве что - вера в бого-данность монарха.
    К демократической власти доверия тоже мало, но есть Уверенность в действии механизмов сдержек и противовесов. Основной механизм - разделение властей.
    LND позволяет построить аналогичный механизм, например:
    - сисадмин: единственный, кто может настраивать сервер (Server/Administrator), создавать базы имеет доступ к АК более, чем автор. Отвечает за работоспособность сервака
    - офицер(ы) безопасности: единственный держатель cert.id соотв.уровня. Отвечает за доступ людей в сеть.
    - прикладной админ: единственный Manager конкретной базы данных. Отвечает за доступ к конкретным данным
     
  15. K-Fire

    K-Fire Гость

    Константин, а кто мешает недобросовестному админу задаунить сервак, открыть локально нужную базу любой тулзой игнорирующей права, добавить себя, нахимичить, убрать себя, подчистить логи?
    Я сам не пробовал, но думаю сбросить всю базу в DXL а потом воссоздать обратно с изменениями которые ни в каких логах не будут видны - дело нехитрое.

    FAA не единственное средство позволяющее админу влезть в базу к которой у него не было прав. Оно просто самое простое. Т.е. экономящее время. Если вы в некоей вашей организации не доверяете админам - это чисто организационная проблема, не имеющая никакой связи с функционалом администраторского клиента. Вы согласны?


    кстати, не поленился и посмотрел в админском хелпе - опцию FAA можно отключать, есть параметр в Notes.ini.
     
  16. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Отсутствие наличия физического доступа. Если на серваке лежат критически важные/юридически значимые данные, то он сам стоит в отдельном помещении, под охраной
    М.б.. Но правА потребуются Манагерские
    Конечно. 1-е и самое ломовое - физический доступ. A ФА - это back-door в охраняемое помещение.
    Конечно. Я о том и толкую, как ОРГАНИЗОВАТЬ юридически значимый ЭДО.
    Знаю. Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
     
  17. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    <!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 05:05 -->
    <span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 05:05 )</span><!--QuoteEBegin-->Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
    За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
    [snapback]76037" rel="nofollow" target="_blank[/snapback]​
    [/quote]

    У нас не так. Практически везде, где я работал, я был единственным админом. Как я уже говорил, что только в ОЧЕНЬ крупных сетях надо несколько админов. Кроме того, это еще и невыгодно в финансовом плане. Если админ не может решить какой-либо проблемы достаточно быстро, то открывается случай с IBM.
    Действительно для каждой базы есть админы, но это люди двух типов: разработчики и обычные менеджеры. И те и другие практически всегда не знают хорошо администрирование. Поэтому опять административные задачи лежат на администраторе, который имеет полные права. Просто он не лезет в дизайн и никогда не даст прав без разрешения менеджера (оно ему надо?).
    Что касается почтовых файлов, то встречаются два типа прав. Либо пользователю дают менеджера (из-за исторически сложившейся политики и отсутствия знаний), либо редактора (что более разумно). В любом случае, админ имеет полные права на почтовые базы, или может получить такие права, так как ситуация, когда ему удаленно надо исправлять пользовательские проблемы (а вы понимаете, что почта-то по важнее всего остального будет) встречается практически каждый день.

    <!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 09:02 -->
    <span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 09:02 )</span><!--QuoteEBegin-->Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
    [snapback]76060" rel="nofollow" target="_blank[/snapback]​
    [/quote]
    Да. Редактировать можно только через notes.ini .

    Попробовал код. Вышибает 6.5.4 клиента стабильно.
     
  18. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Кстати, еще один довод в пользу ФА.
    В крупных конторах на Западе конфигурация следующая. Есть несколько основных серверов. Они расположены как в главном офисе, так и в других местах для надежности работы. Как-то замучаешься ездить. А что делать с серверами, которые вообще расположены в другом конце света? А тебе надо работать с десятками таких серверов. Конечно, включаешь ФА не каждый день, но у меня раз 5 за месяц набирается.
     
  19. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Свежий пост из дружественного форума:
    :unsure: - и это без тени сомнения.

    А вы говорите...
     
  20. K-Fire

    K-Fire Гость

    Блондинки не считаются :unsure:
     
Загрузка...
Похожие Темы - Full Access Administration
  1. Omh
    Ответов:
    2
    Просмотров:
    1.304
  2. Oksana
    Ответов:
    5
    Просмотров:
    3.107
  3. Kseniya
    Ответов:
    0
    Просмотров:
    40
  4. SvetlanaL
    Ответов:
    0
    Просмотров:
    472
  5. Warc51857
    Ответов:
    4
    Просмотров:
    1.869

Поделиться этой страницей