Ограничить доступ

Тема в разделе "Lotus - Администрирование", создана пользователем deeeman, 26 мар 2015.

  1. deeeman

    deeeman Well-Known Member

    Регистрация:
    4 дек 2007
    Сообщения:
    382
    Симпатии:
    0
    Добрый день!
    Нужна консультация по вопросам

    В Lotus сейчас у группы людей есть полные админские права. В эту группу входят:
    1. Администраторы компании, которые вводят / редактируют / удаляют пользователей (внутренние);
    2. Администраторы прочих баз;
    3. Разработчики баз в Lotus;

    Нужно:
    1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.
    2.И если есть возможность каким либо образом шифровать или паролить почтовые базы, чтобы админы не могли скопировать базу и открыть ее в другом Lotus или локально.
    Думаю действия такие: (поправьте)

    1. Знаю что есть волшебная кнопка Full Access Administrations, возможно ей пользуются.
    Запретить ее в настройках серверного документа вкладка Security - Full Access administrators?

    2. Далее думаю нужно пройтись по почтовым базам и удалить группу Administrations, и поставить вместо нее свою, в которой будут только нужные люди.

    3. Админов думаю нужно оставить в разделах на вкладке Security серверного документа:
    Чтобы они могли работать с Адресной Книжкой и другими базами.

    Full Access administrators: убрать
    Administrators: оставить
    Database Administrators: оставить
    Full Remote Console Administrators: оставить

    4. Что сделать с шифрованием?

    5. где можно систематизировать логи того какие люди куда лазиют?
     
  2. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    795
    Симпатии:
    78
    Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

    следующие пункты 1,2,3 уже не обязательны.
    Нужно включить механизм управления ID файлами, что бы админы не могли :
    а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
    б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery
     
  3. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    хорошо, что агент подписанный сервером решает все эти ограничения :p
     
  4. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    795
    Симпатии:
    78
    Какие - все? расшифрует письмо, восстановит пароль на ид из агента, или через C API выдернет ид из ид ваулт?
    если чел почитает как сделать выше, то прочитает и еще что то полезное:)
    А так - тут вот возникаю сомнения, что админ способен почту отослать с клиента :))) так шта...
     
  5. deeeman

    deeeman Well-Known Member

    Регистрация:
    4 дек 2007
    Сообщения:
    382
    Симпатии:
    0
    Шифрование писем - хорошая идея!
    а где можно почитать про механизмы управления ID?

    И еще: если у админов уже есть где то спрятан idшник пользователя, а мы тут стараемся: зашифровали письма, включили различные защиты.. а он взял под id зашел и привет...
    Заново регать\обновлять всем id?
     
  6. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    795
    Симпатии:
    78
    Как обычно - в хелпе.
    А вообще - ToxaRat отчасти прав в том плане, что от админа защиты почти нет и в данном случае у вас нужно вводить понятие support а не админов.
     
  7. garrick

    garrick Lotus team
    Lotus team

    Регистрация:
    26 окт 2009
    Сообщения:
    770
    Симпатии:
    50
    Нельзя админа лишить всех прав на базу. Любую базу и почтовую тоже. Если у вас что-то сломается, кто вам чинить будет? Обязательно должен быть кто-то, обладающий полными административными правами, разбирающийся во всей этой кухне. И этот "кто-то" никак не простой пользователь. Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.
     
  8. aameno2

    aameno2 Well-Known Member

    Регистрация:
    27 янв 2009
    Сообщения:
    484
    Симпатии:
    12
    В принципе задача не имеет решения. Это бессмысленно, согласен с Тохой. Да и агента не надо, tcpdump в помощь)
    А уж листочки с паролями, несмотря на страшные кары за это, никто не отменял.
    Насколько я помню, в лотусе нет синхронизации паролей одного ид на разных машинах и вы конечно можете поменять пароли но..... Это к вопросу "они уже сохранили ид".
    А если админы потеряли доверие....только увольнять.
     
  9. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    сессионный ключ вычислять придется ;)
     
  10. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    первую мою часть все поняли - если есть агент от сервера он получает доступ ко всем базам и всем нешифрованным вещам и благодаря DXML может даже код поменять во всех местах....
    а вторая часть всё так же проста - письмо "не сразу" шифрованное - а значит есть куча мест где можно сделать его копию ДО шифрования :p
    другое дело когда письмо приходит на сервер уже шифрованное....но опять таки есть момент когда оно перестаёт быть шифрованным...

    при должном понимании домино можно будучи обычным юзером - только зарегенным уже через час получить полного админа... всего-то потребуется отредактировать парочку документов...
     
  11. deeeman

    deeeman Well-Known Member

    Регистрация:
    4 дек 2007
    Сообщения:
    382
    Симпатии:
    0
    Да именно так!

    Ребят, не гните палку... понятно что от хакера нет защиты, но там обычные админы.
    не будут они заниматься всем этим... просто любям посмотреть чужие письма.
    Просьба напишите по существу что можно сделать.

    1. включить шифрование писем
    2. убрать людей из Full Access
    3. в глобальной группе administrators убавить админов, но как тогда они будут создавать юзверей? есть для этого другая группа?
    4. либо в почтах переделать ACL

    что еще?

    дайте для поиска слова? не могу найти.
     
  12. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    795
    Симпатии:
    78
    "domino ID Vault" "domino ID recovery".
    В зависимости от того, что настроено...
     
  13. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    журналирование и пофиг админ я или нет ;)
     
  14. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    если подписывается опред. ключем - ничё не произойдет
     
  15. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    подписывание тут до места
    если речь о шифровании - то это удел весьма маленького процента, чтение такой почты админами любителями уже само по себе риск
    но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта ;)
     
  16. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать
     
  17. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном ;)

    еще скажите никто из вас так АК не правил, не имея к ней полный доступ
     
  18. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    если в АКЛ не прописан - не поменяет
    фэйковый сервер не поднять если нет управления сетью
     
  19. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.046
    Симпатии:
    18
    берешь реплику
    подбрасываешь на другой сервере
    FA
    меняешь
    обратно реплицируешь

    фейковый сервер он и локальный может быть, зачем же его в сеть сразу кидать ;)
     
  20. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.073
    Симпатии:
    299
    ты слова "нет прав" принципиально не хочешь видеть
    опиши схему с сетью - у тя какое-то рассогласование получается
    -в сеть поставить сервер низя (с именами кот. уже присут)
    -реплику скопировать на сервер низя (нет прав)
    -создать док сервера, в АК, низя
    -изменить док сервера в АК низя
    -к серванту нет доступа иначе как с клиента нотес
    [DOUBLEPOST=1427658413,1427658273][/DOUBLEPOST]т.е. "админы" имеют права, но в рамках, остальное - под согласование и совместные действия (можно с безопасником)
     
Загрузка...

Поделиться этой страницей