Как поменять пароль главного админа сервера?

Тема в разделе "Lotus - Администрирование", создана пользователем KAZ, 12 июн 2009.

  1. KAZ

    KAZ Гость

    Так уж получилось что доступ к id главного админа сервера имеют все кому не лень и пароль все знают...
    впорос: как изменить пароль главного админа сервера и назначить ему новую айдишку ?
     
  2. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Для новичка легче всего создать нового пользователя и дать ему те же права. А старого удалить. Хотя и тут могут быть подводные камни (подписи агентов и тп)
     
  3. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    сменить пароль. настроить пользователя на проверку паролей при входе (правда, на сервер)...
    хотя, возможно, вариант с заменой юзера не так плох, но тогда придется аккуратно перенести права, а это может занять время и т.п.
     
  4. KAZ

    KAZ Гость

    Случилось нечто страшное, я в Current Server Document поставил Not access server для админа и теперь немогу зайти на сервер, помогите срочно !!!! как изменить Current Server Document локально?, а то ведь я даже теперь немогу снять блокировку так как на сервер не заходит

    скажите какой файл в лотусе отвечает за Current Server Documet, а то у меня есть бэкап но он совсем старый, я подумал может я просто заменю файлик который отвечает за Current Server
     
  5. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    ну почему они сначала делают?!! )))

    и что, никого больше нету с нужными правами?
    попробуй файлово скопировать names.nsf с сервака на локальный комп куда-то в папочку, например, lotus/notes/data/serverNames/
    но не замени ею локальный names.nsf, в общем.
    посмотри кто там имеет доступ...
    если ничего хорошего не сможешь выяснить, то попробуй под айдишкой сервера зайти в клиент и открыть базу, дальше ты знаешь...

    потом придется остановить сервер, чтобы подсунуть ему names.nsf, либо попытаться репликнуть ее, но лучше файлом...

    если ничего лучше не посоветуют, попробуй мой вариант :lol:
     
  6. KAZ

    KAZ Гость

    ФУУуууФф СПАСИБО ТЕБЕ Akupaka, я так сделал и теперь норм захожу на сервер! Спасибо еще раз...
    Давайте теперь снова по первому вопросу, так значит нового юзака создать , а как отобрать права у старого админа?
     
  7. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    ))) ты уже отобрал один раз! тебе мало?
    вообще, админ на сервере определяется по наличию определенных записей в Names.nsf в серверном документе...
    но кроме этого есть еще множество баз! каждая со своим уникальным ACL!
    поэтому процесс смены прав не такой простой... нужно многое обдумать... а может есть стандартный способ, порой в справке админа, на IBM'е...
    а главное! не спеши!
     
  8. KAZ

    KAZ Гость

    Убрал админа, создал нового, но теперь проблема остался сервер, ведь серверу права не ограничишь, а под ним тоже заходят и делают что хотят....
    Как быть, неужели сервер переустанавливать придется и создавать новую айдишку?
     
  9. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    что это за организация такая?.. О.о еще скажи, что банк! ;)
    не знаю даже, что и посоветовать... ну, как вариант убрать у сервера права на выполнение кода...
    но к базам доступ запретить полностью, наверное, будет неверно... сменить пароль можно, но при каждом запуске придется его вводить...
    можно ходить и бить по рукам, пока не отдадут последнюю копию айдишки ;)
     
  10. Alexander (Criz)

    Alexander (Criz) Гость

    Надо в ACL баз учётке сервера точно указать что он SERVER (User Type), и тогда юзеры не смогут подключаться под учёткой сервера, а сам сервер сохранит свои права....
     
  11. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Эт - да.. Но хацкеры сёрверной ID-шкой фоновые агенты подпишут
     
  12. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    так - ради смеха :)
    завести CA на административном сервере (назначить свой, д.б. не менее двух серверов)
    и перегенерять им id админа :( и его учетку через adminp (над деталями - подумать), у них будет невалидный ИД каждый день :), даже ежели новый у вас запросят
    СА - шоб сертификатор не понадобился
    два сервера - типа шоб базы CA небыло и adminp работал тока на одном
    или сертификат отзывать регулярно
     
  13. Alexander (Criz)

    Alexander (Criz) Гость

    Кстати, а подписывать агенты и базы ID сервера (соответственно давать права на выполнение агентов), это насколько нормально? Встречал разные мнения, кто как думает?
     
  14. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    А на фига юзерам права дизайнера и права на запуск агентов на сервере? Единственное, правда, с ООО могут быть траблы - не помню точно, под кем он в новых версиях пускается.... Ну или своего написать, в конце концов :)
     
  15. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    IMHO - это порочная, но общепринятая практика. В один из недостатков оной я и ткнул: смена пароля серверной id-шки не лишит хаЦкеров возможности подписывать фоновые агенты от имени сервера. Т.е. у них будет возможность выполнить на сервере любой код, доступиться к любым (почти) данным
     
  16. Klido

    Klido Гость

    дык там организация - у всех есть админский id и серверный id, наверное у каждого есть и все юзерские id :)

    реально когда я в подобной ситуации был:
    - вкл. проверку ключей на сервере (можно и паролей заодно - смотря что за бардак по обычным юзерам, чтоб самому не захлебнуться ;))
    - смена ключей админским id (старые не пустит, остается возможность подписи кода)
    - создание нового админа, ввод его во все админские группы и FA
    - запрет всем остальным операций с базами (создание реплик, баз и шаблонов)
    - переподписывание всего кода (раз бардак - баз там мало :))
    - вывод скомпрометированного админа (или удаление), тяжелый случай, если на него зашито что-то вроде интертрастовского СМ

    по серверу:
    - поход в СБ и доклад, что у кого-то есть такой важный файл :) (в принципе, если СБ хорошая - уже можно дальше забить )
    - поднимаем рядом сервер и всё переносим туда, старый убиваем
    - сложнее, если и cert.id у всех валяется... тогда всех - в новый сертификат

    по серверу - есть более тонкие способы - смена ключа сервера:
    Поскольку политики применяются только к пользователям, а не к серверам, а также из-за того, что серверы не могут запустить вручную процесс смены ключей, сделать это должны администраторы. Делается это при помощи набора полей на закладке Administration (Администрирование) документа Server, как показано на рис. 5.9.
    http://www.intuit.ru/department/security/s...domino/5/6.html
    Страшно менять :)
     
Загрузка...

Поделиться этой страницей