• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Несколько иерархических имён пользователя

L

lionk

На всякий случай переспрошу тут.

Может ли у пользователя быть одновременно несколько иерархических имён?
Например
CN=Julia Herlihy/OU=Sales/OU=East/O=Acme/C=US
CN=Julia Herlihy/OU=Support/OU=West/O=Acme/C=US

В персон докумет в поле Fulname оно то вписывается, а вот АЦЛ доступ на второе имея не работает
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
А какое имя в ID-файле пользователя значится? Возможно, это следствия неправильного переименования/перемещения пользователя.
 
L

lionk

У пользователя нет ID-файла. Это веб пользователь.

Точнее пользователь авторизируется по первому имени.
Если создать документ с ридер полем, в котором второе имя то пользователь этот документ не видит.
 

savl

Lotus Team
28.10.2011
2 591
309
BIT
138
@lionk а если он авторизуется под вторым именем, то увидит, да?
Для сервера (и базы) это может и один пользователь, а для документа это 2 разных пользователя. Насколько я знаю Readers/Authors не проверяют names.nsf, шифрование может проверить - ключ получить.
@Username у них разный будет... В виде CN=... и на одном из уровней он не совпадет.
В ACL базы можно вписать так: */Acme/US
Тогда все что до * не будет иметь значения и доступ к базе будет открыт для всех у кого после * указано /Acme/US + общие права согласно правам этой записи в ACL.
А вот с документами пройдет ли такой трюк я не могу сказать... Это надо пробовать.
Возможно, если вписать CommonName, то видимость будет для двоих - не проверял.
Можно создать группу и прописывать её в доступ, а можно роль.
 
  • Нравится
Реакции: Мыш

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Насколько я знаю Readers/Authors не проверяют names.nsf
Не проверяют. Классика жанра - общая база док-тов, реплицируемая между серверами двух разных орг-ций. Чужой АК может и не быть, Readers же работать будут.
А @UserNamesList в вебе работает? Вывести ее результат, это и будут все имена, по идее...
UPD. Проверил @UserNamesList: основное иерархическое имя, Alternate Name и Common Name. Других имен (даже иерархических) из FullName не подцепил...
 
Последнее редактирование:
L

lionk

Других имен (даже иерархических) из FullName не подцепил...
тоже и у меня

а если он авторизуется под вторым именем, то увидит, да?
ну это я не совсем корректно описал,
логинюсь я под кратким юзернеймом. если вписывать второе иерархическое имя то не логинится.

ну я так и хотел.


Мне это нужно было вот для чего.
Решил я себе одну приблуду набыдлокодить, ну типа чтобы навык не терять, и побыстрому.
Условно есть разветлённый граф документов, в каждом документе ридерс поле, пользователь должен видеть две ветки этого графа от указанного корня. Граф большой пользователи со временем могут появляться случайно, и у каждого свой "коренной" документ. Соответсвенно два пользователя с соседними "корнями" должны совместно видеть одну "ветку", и не видеть вторую каждого.
Вот я и думал чтоб при появлении каждого пользователя не вписывать его в каждый документ, метить ветки так */Acme/US, а пользователей добавлять как членов "организации ветки".
ib4: групы и роли юзать не выйдет.


В общем спасибо что подтвердили что алиасов у пользователей быть не может.
 

Domino-Designer

Людям надо поморгать!
Lotus Team
06.12.2011
616
223
BIT
9
А через "двуязычие" ?
На одном языке
CN=Julia Herlihy/OU=Sales/OU=East/O=Acme/C=US
На другом
CN=Julia Herlihy/OU=Support/OU=West/O=Acme/C=US
...
 
  • Нравится
Реакции: Мыш

swyatogor

Green Team
24.02.2014
593
24
BIT
0
@lionk, а вот это Вы зря)).. по альтернативному имени вполне себе авторизуется пользователь в ридерс полях
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!