Full Access Administration - За и Против

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#1
Много было высказываний о том, что это Зло. Хотелось услышать почему? Меня, например, это очень часто выручало, очобенно в случаях, когда организации отдают слишком много прав пользователям, а те удаляют всех, кроме себя из ACL. Или когда админы на местах слишком умными оказываются, а потом все перестает работать. Конечно, как всякое сильнодействующее средство, оно требует сбалансированной секьюрити (что тоже было бы неплохо обсудить) . Но это уже вопрос, не касающийся того хорошее само средство или нет. Ведь от того, что некоторые оставляют дырки в системе, мы не говорим, что сама система г.... А для новичков это будет полезно для понимания выработки правильной политики безопасности.
 

morpheus

скриптописец
07.08.2006
3 915
1
#2
Вот от этого как раз и зАКРЫТЬ по полной программе
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->А для новичков это будет полезно для понимания выработки правильной политики безопасности
[snapback]75810" rel="nofollow" target="_blank[/snapback]​
[/quote]

ФА зло не потому что он есть, а потому что один клик мышки может привести к самым непредсказуеммым последстиям - режим без ограничений наоборот убивает само понимание человеком режимов безопасости.

ФА - нужная вещь с прямыми руками и светлым мосКОМ!! Пользоваться только в случае ядерной войны


Причина
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->когда организации отдают слишком много прав пользователям
[snapback]75810" rel="nofollow" target="_blank[/snapback]​
[/quote]

Следстие
<!--QuoteBegin-puks+20:08:2007, 18:32 -->
<span class="vbquote">(puks @ 20:08:2007, 18:32 )</span><!--QuoteEBegin-->Меня, например, это очень часто выручало
[snapback]75810" rel="nofollow" target="_blank[/snapback]​
[/quote]

А тут вы сами виноваты
 
K

K-Fire

Гость
#3
Когда у конторы нет денег на нормального админа, и даже этот админ потом увольняется, и у какой-то важной БД не прописаны правильно права - тут единственный выход FAA.

ФА зло не потому что он есть, а потому что один клик мышки может привести к самым непредсказуеммым последстиям
Знаете, клик мыши делает человек, и значит действия человека могут привести к самым непредсказуеммым последстиям. А опция это только средство. BTW такой человек может и удалить все базы с диска, и тут вам уже никакие опции не помогут :)


P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
 

morpheus

скриптописец
07.08.2006
3 915
1
#4
<!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
<span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->Знаете
[snapback]75862" rel="nofollow" target="_blank[/snapback]​
[/quote]
Знаю, я же написал
<!--QuoteBegin-Morpheus+21:08:2007, 10:17 -->
<span class="vbquote">(Morpheus @ 21:08:2007, 10:17 )</span><!--QuoteEBegin-->ФА - нужная вещь с прямыми руками и светлым мосКОМ!
[snapback]75850" rel="nofollow" target="_blank[/snapback]​
[/quote]

<!--QuoteBegin-K-Fire+21:08:2007, 11:17 -->
<span class="vbquote">(K-Fire @ 21:08:2007, 11:17 )</span><!--QuoteEBegin-->P.S. Оффтоп: У одного нашего клиента появилась вакансия админа, подскажите где тут эту вакансию можно будет опубликовать?
[snapback]75862" rel="nofollow" target="_blank[/snapback]​
[/quote]
здеся
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#5
<!--QuoteBegin-Morpheus+21:08:2007, 03:17 -->
<span class="vbquote">(Morpheus @ 21:08:2007, 03:17 )</span><!--QuoteEBegin-->А тут вы сами виноваты
[snapback]75850" rel="nofollow" target="_blank[/snapback]​
[/quote]
Ни в чем я не виноват. Вы забываете, что в 99 процентах админы не являются решающим голосом при создании политики. Есть исторически сложившаяся практика, есть политические причины, есть тупость менеджмента, который считает, что он все знает, есть ... (добавить, исходя из собственного опыта). И вот в таких условиях нам приходится работать и выкручиваться. Как говорится, ты виноват лишь тем, что хочется мне кушать. И часто ФА - единственный вариант.
 

Constantin A Chervonenko

Well-Known Member
Lotus team
30.05.2006
1 333
4
#6
Когда у конторы нет денег на нормального админа, и даже этот админ потом увольняется, и у какой-то важной БД не прописаны правильно права - тут единственный выход FAA.
Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
Т.е. человеку (админу/злоумышленнику), имеющему физический доступ к носителям баз, ФА не нужен, в этом случае и так весь ACL идет лесом.
Никакие компутерные защиты не могут повысить безопасность сверх того, что обеспечено организационными мерами (охрана, печать на дверях, ключи под расписку, 1й отдел etc), дай бог, что-б не понизили.

А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#7
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
[snapback]75890" rel="nofollow" target="_blank[/snapback]​
[/quote]
И что тебе даст локальный доступ при ACL на локальной копии? И как ты будешь открывать локально, если у тебя нет доступа к удаленной консоли?

И чем ФА отличается от удаленной консоли сисадмина со всеми правами в домене?

<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 06:19 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 06:19 )</span><!--QuoteEBegin-->А ФА как раз ПОНИЖАЕТ этот уровень, позволяя делать ВСЕ бесконтрольно и удаленно (БЕЗ физического доступа)
[snapback]75890" rel="nofollow" target="_blank[/snapback]​
[/quote]

Ты так говоришь, как-будто все время сидишь и работаешь под ФА. И я не поверю, что ты не знаешь, что на самом деле ОЧЕНЬ сложно (то есть нужно иметь огромный опыт и знания), чтобы не оставить следов. Да и любое включение ФА отражается в логе.

И потом. Вы что хотите сказать, что как админы не имеете полного доступа и без ФА к пользовательским почтовым файлам (в то время, как они имеют Editor), почти всем приложениям и PAB?
 
K

K-Fire

Гость
#8
Все, что можно починить через ФА, можно починить и БЕЗ НЕГО - доступившись к базам локально.
А если базы шифрованы? А если админ имеет возможность только удаленно иметь доступ к Lotus-серверу и не имеет к машине?

В целом я согласен - бесконтрольный доступ с этой опцией - проблема в слабоорганизованном процессе администрирования, но вот я не думаю, что эта проблема серьезная.

P.S. Тем кому эта опция помогала сохранить время - ей рады, те кому она доставила проблемы потребовавшие кучу времени - ей не рады. ИМХО такая ситуация всегда и везде возникает когда человек использует какие-то технические средства.
 

Constantin A Chervonenko

Well-Known Member
Lotus team
30.05.2006
1 333
4
#9
Я говорил только об ACL
А если админ имеет возможность только удаленно иметь доступ к Lotus-серверу и не имеет к машине?
Так для того и сделали (админы, которые мышей не ловят, вынудили). Но безопасность данных понижается
В целом я согласен - бесконтрольный доступ с этой опцией - проблема в слабоорганизованном процессе администрирования, но вот я не думаю, что эта проблема серьезная.
FA по определению бесконтрольный. Где есть ответственные данные - проблема серьезная.
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#10
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:24 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:24 )</span><!--QuoteEBegin-->FA по определению бесконтрольный.
[snapback]75952" rel="nofollow" target="_blank[/snapback]​
[/quote]

Поясни, пожалуйста, что именно не контролируется.
 

Constantin A Chervonenko

Well-Known Member
Lotus team
30.05.2006
1 333
4
#11
И что тебе даст локальный доступ при ACL на локальной копии? И как ты будешь открывать локально, если у тебя нет доступа к удаленной консоли?

И чем ФА отличается от удаленной консоли сисадмина со всеми правами в домене?
Ты так говоришь, как-будто все время сидишь и работаешь под ФА. И я не поверю, что ты не знаешь, что на самом деле ОЧЕНЬ сложно (то есть нужно иметь огромный опыт и знания), чтобы не оставить следов. Да и любое включение ФА отражается в логе.

И потом. Вы что хотите сказать, что как админы не имеете полного доступа и без ФА к пользовательским почтовым файлам (в то время, как они имеют Editor), почти всем приложениям и PAB?
Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует (Enf.consist.ACL легко счищается). Операционка, для которой нет клиента? Расшариваем диск/копируем базу в др.среду/просто отвинчиваем диск.
Да, как в логе отражается чтение документов?

Уд.консоль.. домен.. сисадмин.. Т.е. нет ОС кроме Unix и сисадмин пророк его? ЛаНда: удаленная консоль такое-же зло, как и ФА. Безопасную систему защищенного документооборота с ними построить невозможно (чуть загнул: если не шифровать ВСЕ ПОДРЯД).

ФА не имею, бо не админ уже 5 лет.
В моей конторе админ не имеет Манагерского доступа ко всем ПЯ

Зачем ты открыл этот топик, если не желаешь читать ответы?

Поясни, пожалуйста, что именно не контролируется.
Доступ к чужим данным
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#12
<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Зачем ты открыл этот топик, если не желаешь читать ответы?
[snapback]75954" rel="nofollow" target="_blank[/snapback]​
[/quote]
Я внимательно читаю все ответы. И стараюсь их понять в меру моей понимаемости. Так что уж извини, если что не понял. Такая уж у меня понимаемость. ;) Топик я открыл для обмена мнениями.

<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Я сказал: физический доступ к носителям (комп+диски). Локальный клиент. ACL не действует
[snapback]75954" rel="nofollow" target="_blank[/snapback]​
[/quote]

Я так и понял. Создал базу на сервере. Установил себе права не менеджера. Поставил ConsistACL. Скопировал ее файлово локально. Прав - нет. Ничего сделать не могу. В ФА все работает.

<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->Да, как в логе отражается чтение документов?
[snapback]75954" rel="nofollow" target="_blank[/snapback]​
[/quote]
А что в логе не отражается включение ФА? А в log.nsf в Usage view? В User Activity в Database Properties - User Detail ?

<!--QuoteBegin-Constantin A Chervonenko+21:08:2007, 11:51 -->
<span class="vbquote">(Constantin A Chervonenko @ 21:08:2007, 11:51 )</span><!--QuoteEBegin-->В моей конторе админ не имеет Манагерского доступа ко всем ПЯ
[snapback]75954" rel="nofollow" target="_blank[/snapback]​
[/quote]

И как решаются проблемы конечных пользователей, когда требуется доступ больший, чем у него есть? Локальным доступом? Кстати, а какой у него доступ?

Какую бы систему ты не строил, тебе нужна отправная точка, построенная на доверии. Иначе у тебя получается система вообще никем не котролируемая. Это может быть одна точка или баланс. Ведь так в любом деле. Каждый имеет полные права в рамках своих обязанностей.
 

Constantin A Chervonenko

Well-Known Member
Lotus team
30.05.2006
1 333
4
#14
Создал базу на сервере. Установил себе права не менеджера. Поставил ConsistACL. Скопировал ее файлово локально. Прав - нет. Ничего сделать не могу.
На! "Возьмите люди, пользуйтесь.."(с)
Код:
'RemoveEnfC_ACL: 

Option Declare

Declare Function NSFDbOpen Lib "nnotes.dll" (Byval pathName As String, hDB As Long) As Integer
Declare Function NSFDbReadACL Lib "nnotes.dll" (Byval hDB As Long, hACL As Long) As Integer
Declare Function ACLGetFlags Lib "nnotes.dll" (Byval hACL As Long, dwFlags As Long) As Integer
Declare Function ACLSetFlags Lib "nnotes.dll" (Byval hACL As Long, dwFlags As Long) As Integer
Declare Function NSFDbStoreACL Lib "nnotes.dll" (Byval hDB As Long, Byval hACL As Long, objectID As Long, method As Long) As Integer
Declare Function NSFDbClose Lib "nnotes.dll" (Byval hDB As Long) As Integer

Const ACL_UNIFORM_ACCESS = 1 
Sub Initialize
Const msg = "Enter the path to the local database:"
Dim choice As String
Dim db As NotesDatabase
Dim filePath As String
Dim result As Integer
Dim hDB As Long
Dim hACL As Long
Dim flags As Long 

Dim ws As New NotesUIWorkspace
Dim session As New NotesSession

choice = session.GetEnvironmentString("Directory", True) & "\"
choice = ws.Prompt(3, "Enter Path", msg, choice, "")
If choice = "" Then Exit Sub
If Instr(choice, session.GetEnvironmentString("Directory", True)) <> 0 Then
choice = Strright(choice, session.GetEnvironmentString("Directory", True))
End If
While Left(choice, 1) = "\"
choice = Mid(choice, 2)
Wend 
result = NSFDbOpen(filePath, hDB)
result = NSFDbReadACL(hDB, hACL)
result = ACLGetFlags(hACL, flags)
If flags And ACL_UNIFORM_ACCESS Then
flags = flags Xor ACL_UNIFORM_ACCESS
result = ACLSetFlags(hACL, flags)
result = NSFDbStoreACL(hDB, hACL, 0, 0)
Else
Print "The flag is not set. Nothing changed."
End If
result = NSFDbClose(hDB) 
End Sub
Неужто у тебя нет? "Не верю.."
А что в логе не отражается включение ФА? А в log.nsf в Usage view? В User Activity в Database Properties - User Detail?
Не в курсе. Не админю давно. Логи наши админы прячут. Да и подделать их (при наличии физического доступа/ФА) - легкое движение левой задней ноги.
И как решаются проблемы конечных пользователей, когда требуется доступ больший, чем у него есть? Локальным доступом? Кстати, а какой у него доступ?
Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
Какую бы систему ты не строил, тебе нужна отправная точка, построенная на доверии. Иначе у тебя получается система вообще никем не котролируемая. Это может быть одна точка или баланс. Ведь так в любом деле. Каждый имеет полные права в рамках своих обязанностей.
Какое может быть ДОверие к власти? К абсолютной (которая развращает абсолютно) - абсолютно никакого. Разве что - вера в бого-данность монарха.
К демократической власти доверия тоже мало, но есть Уверенность в действии механизмов сдержек и противовесов. Основной механизм - разделение властей.
LND позволяет построить аналогичный механизм, например:
- сисадмин: единственный, кто может настраивать сервер (Server/Administrator), создавать базы имеет доступ к АК более, чем автор. Отвечает за работоспособность сервака
- офицер(ы) безопасности: единственный держатель cert.id соотв.уровня. Отвечает за доступ людей в сеть.
- прикладной админ: единственный Manager конкретной базы данных. Отвечает за доступ к конкретным данным
 
K

K-Fire

Гость
#15
Константин, а кто мешает недобросовестному админу задаунить сервак, открыть локально нужную базу любой тулзой игнорирующей права, добавить себя, нахимичить, убрать себя, подчистить логи?
Я сам не пробовал, но думаю сбросить всю базу в DXL а потом воссоздать обратно с изменениями которые ни в каких логах не будут видны - дело нехитрое.

FAA не единственное средство позволяющее админу влезть в базу к которой у него не было прав. Оно просто самое простое. Т.е. экономящее время. Если вы в некоей вашей организации не доверяете админам - это чисто организационная проблема, не имеющая никакой связи с функционалом администраторского клиента. Вы согласны?


кстати, не поленился и посмотрел в админском хелпе - опцию FAA можно отключать, есть параметр в Notes.ini.
 

Constantin A Chervonenko

Well-Known Member
Lotus team
30.05.2006
1 333
4
#16
Константин, а кто мешает недобросовестному админу задаунить сервак, открыть локально нужную базу любой тулзой игнорирующей права, добавить себя, нахимичить, убрать себя, подчистить логи?
Отсутствие наличия физического доступа. Если на серваке лежат критически важные/юридически значимые данные, то он сам стоит в отдельном помещении, под охраной
Я сам не пробовал, но думаю сбросить всю базу в DXL а потом воссоздать обратно с изменениями которые ни в каких логах не будут видны - дело нехитрое.
М.б.. Но правА потребуются Манагерские
FAA не единственное средство позволяющее админу влезть в базу к которой у него не было прав.
Конечно. 1-е и самое ломовое - физический доступ. A ФА - это back-door в охраняемое помещение.
Если вы в некоей вашей организации не доверяете админам - это чисто организационная проблема, не имеющая никакой связи с функционалом администраторского клиента.
Конечно. Я о том и толкую, как ОРГАНИЗОВАТЬ юридически значимый ЭДО.
кстати, не поленился и посмотрел в админском хелпе - опцию FAA можно отключать, есть параметр в Notes.ini.
Знаю. Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#17
<!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 05:05 -->
<span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 05:05 )</span><!--QuoteEBegin-->Не понял вопроса. У конкретного приложения/базы обязательно есть "прикладной админ", тот, кто ОТВЕЧАЕТ за данные в ем. Он (и только он) имеет право рулить правами к конкретным данным. Сисадмином он не является (даже манагером - не всегда). У вас не так?
За данные в приложении "почта" отвечает хозяин ПЯ. Корпоративным стандартом права юзера могут быть и урезаны (Editor), но тогда никакой ответственности он нести не может. Принудительное делегирование как прав, так и обязанностей.
[snapback]76037" rel="nofollow" target="_blank[/snapback]​
[/quote]

У нас не так. Практически везде, где я работал, я был единственным админом. Как я уже говорил, что только в ОЧЕНЬ крупных сетях надо несколько админов. Кроме того, это еще и невыгодно в финансовом плане. Если админ не может решить какой-либо проблемы достаточно быстро, то открывается случай с IBM.
Действительно для каждой базы есть админы, но это люди двух типов: разработчики и обычные менеджеры. И те и другие практически всегда не знают хорошо администрирование. Поэтому опять административные задачи лежат на администраторе, который имеет полные права. Просто он не лезет в дизайн и никогда не даст прав без разрешения менеджера (оно ему надо?).
Что касается почтовых файлов, то встречаются два типа прав. Либо пользователю дают менеджера (из-за исторически сложившейся политики и отсутствия знаний), либо редактора (что более разумно). В любом случае, админ имеет полные права на почтовые базы, или может получить такие права, так как ситуация, когда ему удаленно надо исправлять пользовательские проблемы (а вы понимаете, что почта-то по важнее всего остального будет) встречается практически каждый день.

<!--QuoteBegin-Constantin A Chervonenko+22:08:2007, 09:02 -->
<span class="vbquote">(Constantin A Chervonenko @ 22:08:2007, 09:02 )</span><!--QuoteEBegin-->Надеюсь, удаленно, через Админ-клиент он НЕ доступен?
[snapback]76060" rel="nofollow" target="_blank[/snapback]​
[/quote]
Да. Редактировать можно только через notes.ini .

Попробовал код. Вышибает 6.5.4 клиента стабильно.
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#18
Кстати, еще один довод в пользу ФА.
В крупных конторах на Западе конфигурация следующая. Есть несколько основных серверов. Они расположены как в главном офисе, так и в других местах для надежности работы. Как-то замучаешься ездить. А что делать с серверами, которые вообще расположены в другом конце света? А тебе надо работать с десятками таких серверов. Конечно, включаешь ФА не каждый день, но у меня раз 5 за месяц набирается.
 

Constantin A Chervonenko

Well-Known Member
Lotus team
30.05.2006
1 333
4
#19
Свежий пост из дружественного форума:
в Deny Access юзера небыло, добавила отдельно его в Access server, не помогло, а вот когда добавила его в Full Access administrators, тогда стало все нормально
:unsure: - и это без тени сомнения.

А вы говорите...