• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Перенос адресной книги на другой сервер

  • Автор темы Eugenus
  • Дата начала
E

Eugenus

Здравствуйте, уважаемые лотусники. Такой вопрос - появилась необходимость поднять отдельный лотусный сервер и перенести в его адресную книгу всех юзеров из адресной книги работающего сервера. Как бы это сделать безболезненно ? Полностью заменить адресную книгу нового сервера старой, поправив конфигурационные документы ? Просто скопировать все документы из Peoples и Groups ? Может существуют какие-то методики или рекомендации к этому вопросу ?
Я только начинаю администрировать, поэтому не представляю, какие траблы могут возникнуть в процессе...Заранее благодарен за помощь.
 
K

Klido

поднять отдельный лотусный сервер
на сколько отдельный? если вообще отдельный - зачем там старая АК?

1. Или новый сервер в том же домене - тогда подкладывается реплика текущей АК (хелп - установка очередного сервера в домене)
2. В другом домене (вообще отдельный) - устанавливаются доверительные отношения между серверами, производится обмен репликами АК и настраивается Directory Assistant, в которм взаимно подключаются нужные АК.
 
E

Eugenus

Спасибо. Скорее всего понадобится поднимать отдельный сервер в отдельном домене. Теперь буду копать в эту сторону. Если не трудно, можно чуть подробнее про то, как установить доверительные отношения между серверами ?
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
А можно подробнее про задачу? И зачем там иметь всех пользователей из существующего домена?
 
E

Eugenus

Ну в общем вся эта канитель связана с коллизиями и сепаратизмом внутри компании...Один департамент раскалывается на два разных, при этом новообразованный департамент требует полной независимости и собственный сервер....Не знаю как насчет поставить оба сервера в один домен, это нужно обсудить, но скорее всего идея одобрена не будет, да и я пока не очень разбираюсь в преимуществах того или иного подхода, вот как раз изучаю этот вопрос..Так вот, оба эти отдела испольуют одну и ту же адресную книгу, поскольку занимаются той же самой деятельностью, что и до раскола...Посоветуйте пожалуйста, как бы мне решить проблему переноса книги (или другие альтернативные варианты).
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
при этом новообразованный департамент требует полной независимости и собственный сервер...

Вот понять бы - для каких целей им нужен собственный сервер? Чем конкретно не устраивает имеющийся?
Скажем, если отдел разработки требует собственный сервер с целью тестить на нем новые версии Domino/своих программ и периодически его при этом ронять - могу понять. Если имеющийся сервер очень сильно загружен - тоже могу понять. Если нужен какой-то отдельный выход во внешний мир (POP3/SMTP/HTTP) - тоже понятно. Если территориально отдел находится в другом месте - тоже все ясно...

Все вышеперечисленное не помешает новому серверу находиться в том же домене.

ЗЫ. Когда мы говорим о новом домене, то подразумеваем создание нового cert.id? Его имеет смысл создавать, если в дальнейшем предполагается передать полномочия администрирования Domino сторонним лицам. Т.е., новую организацию эти лица смогут обслуживать (зная пароль на новый cert.id), а исходную - нет (если не знают пароль на имеющийся cert.id).

Так вот, если создается новый cert.id, то можно создать полностью новый сервер, скопировать в новую АК документы Person "сепаратистов", исправить в документах поле "Домен" на новое и затем пересертифицировать их ID-файлы новым cert.id на новом сервере. По идее, должно сработать. Да, и почтовые ящики, ессно, надо перенести...
 
E

Eugenus

Да, уже точно известно, что домен будет отдельный. А есть ли возможность как-нибудь автоматически пересетифицировать ID-файлы новым cert.id ? Возможно есть какой-нибудь скрипт ?
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
А есть ли возможность как-нибудь автоматически пересетифицировать ID-файлы новым cert.id ? Возможно есть какой-нибудь скрипт ?
Можно попробовать, конечно, обновить сертификаты только в АК (Recertify selected people) - в надежде, что когда пользователи будут логиниться, их id-файлы обновятся автоматом. Но не уверен, что сработает. Самый надежный путь, конечно, это завести заново. :) Тем более, если Вы решили создавать полностью новый сервер.
 
H

HotDog

1. Ставьте сервер в новом домене
2. Настраиваете доступ
3. Делаете кросc-сертификацию нужных ID (сервеных друг с другом обязательно)
4. Настраиваете Directory Assistance
5. Перебрасываете пользователей из AK старого домена в АК нового лотусиными средствами.

5-й Пункт где-то на сайте IBM был расписан, как перебросить пользователей из одного домена в другой. Поищите
 
E

Eugenus

Посоветуйте пожалуйста книги или другие источники, где я могу подробнее прочитать о кросс-сертификации и Directory Assistance ?
 
H

HotDog

Посоветуйте пожалуйста книги или другие источники, где я могу подробнее прочитать о кросс-сертификации и Directory Assistance ?


Да хотябы загляните в закрепленные темы.
Если не знаете с чего начать, сходите на специализированные курсы по NDSA8...
 
H

HotDog

Так вот, если создается новый cert.id, то можно создать полностью новый сервер, скопировать в новую АК документы Person "сепаратистов", исправить в документах поле "Домен" на новое и затем пересертифицировать их ID-файлы новым cert.id на новом сервере. По идее, должно сработать. Да, и почтовые ящики, ессно, надо перенести...


А как же certlog?
 
E

Eugenus

Почитал о Directory Assistance, но что-то не совсем понимаю, для чего именно она мне необходима - насколько я понял, Directory Assistance нужна для того, чтобы дать возможность аутентифицироваться клиентам через интернет с помощью сертификатов, находящихся в сторонних каталогах..Очень прошу, объясните, зачем для реализации моей задачи ставитьти и настраивать Directory Assistance. Я в общем-то не против, но хотелось бы понимать, к чему это...По идее ведь адресная книга будет своя для каждого из доменов, или это необходимо , чтобы авторизовать пользователей одного домена в другом ?
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Очень прошу, объясните, зачем для реализации моей задачи ставитьти и настраивать Directory Assistance
В Вашем случае нужна для того, чтобы пользователи, находящиеся в разных Domino-доменах, могли общаться между собой по лотусовой почте. Если такая задача не стоит, то настойка DA не нужна :)
 
E

Eugenus

Мыш норм написал, работает схема скопировать старых и ресертифицировать в новом сертификате...
[/quot
Спасибо, скоро начну тестить этот способ) Стало быть то, что пользователя не будет в certlog, ни на что не повлияет ? Или при пересертификации они все появятся в этой базе ?
 
E

Eugenus

Потестил, проблема таки всплыла...Скопировал документ пользователя в новую адресную книгу, пробую ресертифицировать - выдает ошибку с текстом типа "Объект не найден в certlog"...Выходит, что инфа об объекте ресетифкации таки должна храниться в certlog, что в общем весьма логично...Значит следует еще скопировать для всех пользователей кроме документов person еще и их документы из certlog или есть другие варианты ?
 
H

HotDog

Потестил, проблема таки всплыла...Скопировал документ пользователя в новую адресную книгу, пробую ресертифицировать - выдает ошибку с текстом типа "Объект не найден в certlog"...Выходит, что инфа об объекте ресетифкации таки должна храниться в certlog, что в общем весьма логично...Значит следует еще скопировать для всех пользователей кроме документов person еще и их документы из certlog или есть другие варианты ?
:newconfus:
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!