• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Кроссертификация

  • Автор темы sholomka
  • Дата начала
S

sholomka

Здравствуйте. Есть сервер Домино, который стоит на AS400 и есть сервер Домино, который стоит на WIN2003 сервере. Разные домино домены. Задача вот какая: нужна связь с АК Домино на AS400, чтобы не создавать новую на WIN2003. То есть надо, чтобы использовалась одна Domino Directory для этих двух серверов Домино.
На сервере 1 есть АК нашей организации, с этой АК надо связать сервер2. С сервером 2 интегрирована система обучения. Груба говоря, чтобы сотрудники нашей организации, без всякой регистрации, имели доступ к системе обучения, надо связать эти два сервера. Это дает дополнительный бонус в том, что сотрудники зайдя на эту систему, будут иметь уже привязку к своим почтовым файлам. Не надо будет регистрировать отдельно каждого сотрудника.
Вопрос в чем, какой оптимальный способ можно применить?
1 оставить всеже разные домены и организации - в этом случае используем кросс сертификаты и directoty assistance
2 всеже мигрируем в другой домен - тут вариантов множество самое простое это перенести документы пользователей и серверов в другую ак и удалить их в старой (ВЕЗДЕ имя домена нужно менять )

Иерархия такая:

Server1/O1/UA - i5 OS
Server2/O2 -WIN2003

кросс-сертификаты созданы на одном и на втором сервере, коннекшн документы созданы.
Процедура создания кроссов:
С помощью cert.id первого сервера кросс-сертифицирую server.id второго сервера и наоборот.
А directory assisatance, как я понимаю, нужно будет уже использовать для сквозной аутентификации, то есть создаю, к примеру, на втором сервере и подключаю АК домена первого сервера к серверу 2...
trace server1:
unable to connect to server1 on LAN (your public key not found in the name and address book)
unable to find any path to server1 because your public key not found in the name and address boo
trace server2:
error connecting to server server2, server error:you not authorized to use the server

Дело в том, что кросс делаю впервые. Может не хватает опыта разобраться из-за чего именно у меня не получается. Быть может, не те ID-шники использую? Может в чем-то еще проблема?
 
M

morpheus

почему не приведите паралельное обсуждение ?
 
S

sholomka

почему не приведите паралельное обсуждение ?
потому что никто толком не помог, а я выписал самые основные, самые главные моменты, с помощью которых можно не ссылаться на это обсуждение.))
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Правильно ли я понимаю, что у тебя все твои сотрудники на сервере 1 ? И надо им дать доступ к серверу 2, где у тебя обучалка?

Кстати, если ты используешь группы для авторизации, то почитай в документации, как дир.ас. с ними работает.
 
S

sholomka

Правильно ли я понимаю, что у тебя все твои сотрудники на сервере 1 ? И надо им дать доступ к серверу 2, где у тебя обучалка?

Кстати, если ты используешь группы для авторизации, то почитай в документации, как дир.ас. с ними работает.
Да, ты прав, все сотрудники на сервере 1. Дать доступ на сервер 2. Обучалка на сервере 2. Грубо говоря и надо досту к этой обучалке. Эта обучалка - это Workplace Collaborative Learning 2.7.0.2, ldap сервером которой является Домино сервера 2. WCL устанавливается вместе с websphere portal server и websphere application server. На этом портале есть портлеты "почта" и "календарь", которые настроены с Домино сервером 2. Груба говоря при аутентификации/идентификации пользователя на портале эти портлеты автоматически распознают его почтовый файл. Так как наши сотрудники имеют таковые, то конечно хочется, чтобы, заходя на портал, они видели свой почтовый файл. Для этого сначала надо связать два сервера, а потом сделать сквозную аутентификацию для того, чтобы был доступ к Domino Directory первого сервера, чтобы юзвери могли регаться! Стопор идет на кроссе. Вот потому и думаю, что неправильно делаю или где запрятался слон? )
 
S

sholomka

С кроссом разобрались. Дело было в настройках сервера нашей организации.
Сейчас возникла проблема другого характера. Создал я кросс. Сделал реплику АК первого сервера, создал DA, в нем прописал имя:
Domain type: Notes
Domain name: SIS
Company name:
Search order:
Make this domain
available to: Notes Clients & Internet Authentication/ Authorization; LDAP Clients
Group Authorization: Yes
Enabled: Yes

Server Name Domino Directory Filename Enabled
Replica1: Portal/bcomua sisnames.nsf Yes

В серверном документе второго сервера не забыл прописать название самого DA.
В итоге, что получается. Портал видит только группы АК первого сервера, то есть сервера нашей организации, и естественно юзеров только в этих группах, отдельно юзверов АК первого сервера он не видит. А АК второго сервера, то есть портала - видит и так и эдак. Авторизация этих юзверов, то есть юзеров организации, - проходит нормально, но портлеты не отображаются, выдают ошибку. Возникает такая мысль, что портал не видит этот АК как LDAP. Тоже самое, если проверять утилитой LDAP Search по хосту второго сервера, то он видит только своих юзверей, юзверей портала, а юзверей нашей организации - нет.
Единственное, что получилось сделать, это настроить портлет "почта" для этих юзеров, настроил простой репликой их почтовых файлов с сервера 1, хотя календарь все равно не отображается. Хотя странно, ведь это один и тот же файл nsf...
Может что-то неправильно настроил. Может DA только группы видит? Сижу сейчас, ищу.
Если будут какие-то мысли, пишите. Заранее благодарен...)
Спасибо. С Уважением.
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Я тебе писал, чтобы ты внимательно почитал в хэлпе как ДА работает с группами (особенно, если есть вложенности).

Directory assistance and group lookups for database authorization

_http://mail.binhphuoc.gov.vn/help/help65_admin.nsf/b3266a3c17f9bb7085256b870069c0a9/f380b641d0a35e3c85256dff004b137f?OpenDocument

Но для твоей версии могут быть тонкости.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!