• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Настройка входа без пароля (с паролем Windows)

A

anna

Сорри, я пока не настоящий админ.
На вкладке File-Security стоит: "Подключаться к Notes с параметрами подключения ОС" - да
Когда меняем пароль в винде, то снова начинает запрашивать пароль в Нотес.
Почему?
Влияет ли, где лежит id файл на компе у пользователя или нет?
 
savl

savl

Lotus Team
28.10.2011
2 597
310
BIT
177
anna сказал(а):
Когда меняем пароль в винде, то снова начинает запрашивать пароль в Нотес.
Почему?
Нажмите, чтобы раскрыть...
Синхронизация должна пройти, а это не сразу.
Какая-то служба на компе пользователя должна работать.
На прошлом месте работы делали так, потом ушли от этого: сделали сквозной вход иначе: Чистили реестр и удаляли службы, синхронизации больше не было. То есть лотус хватал пароль ОС и заходил под ним + политика на пользователей + настройки сервера.

Есть два механизма Client Single LogOn и Notes Shared LogIn
Мы вроде на последний перешли, он для 9-ки и выше и есть ограничения.
Ссылка скрыта от гостей


Вот еще
Ссылка скрыта от гостей
 
garrick

garrick

Lotus Team
26.10.2009
1 349
151
BIT
176
Специальная служба должна быть установлена при инсталляции клиента. Если установлена, то возможно она не запущена.
 
A

anna

Вот какая штука получается - если у пользователя id файл выдан из IDVault, стоит галка "Подключаться к Notes с параметрами подключения ОС", запущен сервис, пользователь админ на своем компе - все равно при смене пароля в винде (как обычно, раз в 90 дней) запрашивает ввод нового пароля в Нотес.
Сравнили с другими пользователем, у которого пароль не запрашивается - сравнили все: полиси синопсисы сравнили - все одинаковое, настройки учетки в АК, местоположение id, то, как выдан id -все одинаково. У одного все ок, у другого - запрашивает. Куда копать?
 
Последнее редактирование модератором:
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
гм.. В классическом Notes паролём шифруется часть ID-шника. При смене пароля в Windows КТО перешифровывает *.id (когда Notes м.б. и не запущен даже)??
Полагаю, синхронизация будет поддерживаться при ОБРАТНОМ порядке: Вы в нотес меняете пароль к id-файлу - одновременно меняется и в windosw
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
131
Специальная служба как раз и выдает предложение о синхронизации пароля нотес с окнами.
Если вас интересует вход с паролем АД, смотрите на saml
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
aameno2 сказал(а):
Специальная служба как раз и выдает предложение о синхронизации пароля нотес с окнами.
Если вас интересует вход с паролем АД, смотрите на saml
Нажмите, чтобы раскрыть...
ну там нужно в комплексе смотреть
Ссылка скрыта от гостей
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
131
lmike сказал(а):
ну там нужно в комплексе смотреть
Нажмите, чтобы раскрыть...
Дык да. Но без saml будет только служба единого входа. А это не совсем то, что хочет топикастер насколько я понял.
З.Ы. Ну да, spnego kerberos etc....но это очевидно)
 
Последнее редактирование:
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
@aameno2 упор еще на то, что настроить IdP - достаточно многостадийная операция
 
S

swyatogor

Green Team
24.02.2014
593
24
BIT
0
На сколько я помню, то связка лотус+винда работает именно в этой последовательности..
Заведение пользователей делается из лотуса и синхрятся в винду..
удаление пользователей делается в лотусе и синхрятся в винду..
аналогично и пароль.. менять его нужно из среды лотуса.. при смене служба скажет, введите действующий пароль АД (винды), если введете, то пароли Винды и лотуса синхронизируются.. и будут влетать в лотус без запроса.. но тут (по крайней мере раньше такое встречалось) бывает неприятная весчь.. не понятно с чего служба ССО в винде вставала в определенную позу - раком.. а вот что она делала уже не помню.. толи ваще логин в лотус не работал.. толи винда накрывалась тазиком... помоему первое - это было на лотус 6.5.4 и 7.0.2.. на более новых не проверял..
Принцип аналогичен смене пароля в толстом клиенте - синхронизируется с web-паролем.. смена web-пароля - нет..
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
131
Это стандартный метод. Не сильно удобный. Речь идет, и по ссылке @lmike описано, про тру сквозную авторизацию.
А для того, чтобы она заработала нужна большая связка из saml,idp,kerberos. Честно говоря, я видел ее работу только в мультиках от ибм)
 
erdi

erdi

Green Team
20.08.2008
264
17
BIT
0
Неоднократно писал, как активировать запуск лотуса без запроса пароля. У нас только безопасники используют пароль.
делается это через политики на сервере. вроде десктопная политика, вторая вкладка, выставляется чекбокс на "Общем входе". Политику можно на всю организацию сразу накатить, а можно конкретно пользователям прописать в карточке. Политика накатывается на клиента при входе на сервер. В настройках безопасности клиента выставляешь чекбокс также использовать общий вход. Данный общий вход изменяет id файл пользователя, т.е. данный id как бы привязывается к данному компьютеру. Поэтому с данной опцией не нужен active directory и домен, работает если компьютер вообще домашний и без сервера, но в клиенте есть политики безопасности.
Но здесь есть один нюанс и он главный. Старая и новая сквозная авторизация в лотусе не работает. Поэтому или охота или рыбалка. Т.е. если не хотим менять пароль в лотусе, после того как изменили пароль в винде, то необходимо снести службу единого вххода и выставить в настройках безопасности пользователя чек бокс "Общий вход". Без удаления службы, новая авторизация не заработает
 
erdi

erdi

Green Team
20.08.2008
264
17
BIT
0
lmike сказал(а):
это все написано по ссылке, момент еще в том, что "это" не будет действовать на интернет пароль
Нажмите, чтобы раскрыть...
ни в одной ссылке нет упоминания про то, что старый общий вход и новый не только не совместим, а еще и старый блокирует новый. Также в прямых ссылках не увидел что это делается через политики.
для интернет паролей - перед лотусом ставим апач или ngnix с модулем авторизации в AD и также получаем сквозную авторизацию
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
erdi сказал(а):
ни в одной ссылке нет упоминания про то, что старый общий вход и новый не только не совместим
Нажмите, чтобы раскрыть...
я отметил несколько др. момент ;)
про остальное
When Notes Shared Login is enabled, Notes IDs no longer have Notes passwords. Instead, a complex "secret" is used to protect the ID. This secret is encrypted using a Microsoft Windows security mechanism and saved locally on users' computers.

Enabling Notes Shared Login alters the ID so that shared login works only on the computer on which the feature is activated. This is a requirement because the feature relies on a Windows security infrastructure specific to that computer.

Notes Shared Login provides the following benefits:

  • Users need to remember only their Windows passwords.
  • Notes shared login works without interruption when Windows passwords are changed either by users or by administrators on a Windows domain controller.
  • Administrators use policies to control who uses the feature and whether its use is required or optional.
  • Administrators are not required to manage Notes passwords or assist users who have forgotten their passwords because there are no longer Notes passwords.
Нажмите, чтобы раскрыть...
erdi сказал(а):
перед лотусом ставим апач или ngnix с модулем авторизации в AD
Нажмите, чтобы раскрыть...
ну собственно это очень дополнительные действия ;)
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ