• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Подскажите как систематично привести все в порядок!

  • Автор темы NeoSimvolist
  • Дата начала
N

NeoSimvolist

Ситуация:
Один домен
Около 40 серверов
Примерно 15 адресных книг (у некоторых серверов общие книги) и ... да я знаю что для одного домена одна адресная книга, но так уже было до меня

На каждом сервере есть реплики всех 15 адресных книг, объедены DA

Если откровенно все в принципе работает, но вот какой ценой..
Чтобы заставить что то реплиц-я, нужно в ACL базы указать имена всех серверов,
а их 40 и на каждом сервере по 20 БД(модульная система, но не об этом речь).
Я полагаю это из за кучи Адресных книг. Получается что группы из одной адресной книги не
действительны для серверов юзающих другие адресные книги.
 
K

Klido

если есть одинаковые группы серверов, например, LocalDomainServers и они одного состава, то, указав такую группу в ACL получим желаемый результат. При обращении к реплике на удаленном сервере обращающийся сервер будет проверяться по наличию в группе и (при условии, что у него есть доступ к серверу) всё будет отрабатывать...
вроде так...
 
R

RAJ

NeoSimvolist сказал(а):
Получается что группы из одной адресной книги не
действительны для серверов юзающих другие адресные книги.
Нажмите, чтобы раскрыть...

В каждой DA вы можете указать только одну доп.адресную книгу чьи группы будут использоваться
 
K

Klido

ну а реально надо сделать либо разыменование доменов - по кол-ву книг, либо объединение оных.. это не так что бы должго и сложно, зато будет правильно...
а сертификатов сколько у вас?
 
N

NeoSimvolist

Klido сказал(а):
если есть одинаковые группы серверов, например, LocalDomainServers и они одного состава, то, указав такую группу в ACL получим желаемый результат. При обращении к реплике на удаленном сервере обращающийся сервер будет проверяться по наличию в группе и (при условии, что у него есть доступ к серверу) всё будет отрабатывать...
вроде так...
Нажмите, чтобы раскрыть...

На самом деле я на это надеялся, но по какойто причине так не работает, приходится всетаки вставлять имена каждого сервера в ACL чтобы было все гуд! НЕ знаете почему?

Klido сказал(а):
а сертификатов сколько у вас?
Нажмите, чтобы раскрыть...

Столько же сколько и книг!

Добавлено:
Klido сказал(а):
ну а реально надо сделать либо разыменование доменов - по кол-ву книг, либо объединение оных.. это не так что бы должго и сложно, зато будет правильно...
а сертификатов сколько у вас?
Нажмите, чтобы раскрыть...

На счет объединения поподробнее моно? ) Кажеться это все чревато хождением на кадое клиентское место и т.п. Разве нет? Если да то это исключено.
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
NeoSimvolist
вот задумался, может вам поможет мигрировать всех юзверей в одну АК?
 
K

Klido

ToxaRat сказал(а):
мигрировать всех юзверей в одну АК
Нажмите, чтобы раскрыть...
оно и есть объединение/слияние :rolleyes:
у них много сертификатов, для одной АК надо провести серию мероприятий...
как по мне - развести в 15 доменов проще и быстрее... книги есть, сертификаты есть, коннекшены тоже есть... заменить имея домена в документах сервера, документах персон в соответствующих АК и поправить коннекшены для междоменной маршрутизации... полдня работы... ну потом DA перенастроить, понятно...
 
A

Akupaka

NeoSimvolist сказал(а):
Один домен
Нажмите, чтобы раскрыть...
может перевести все сервера на одну адреску?
если разный сертификатор, то тут есть условия.
если не используется шифрование и подпись, то можно пересоздать одноименных пользователей под нужным сертификатором.
если используется только шифрование, то можно расшифровать базу, пересоздать пользователя под нужным сертификатором, а потом зашифровать под новым ключем.
если используется подпись, тот тут, вероятно, просто так не провернешь, придется думать как переподписывать.
все вышесказанное не подкреплено опытом! лишь догадки! ответственности не несу :rolleyes:


Добавлено: Klido
а в чем смысл настраивать разные домены и т.п.? чем это проще для управления?
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Мне кажется, что в документации все четко объяснено:

===========
When a database access control list (ACL) includes a group located in a server's primary IBM® Lotus® Domino™ Directory, the server automatically can look up the members of that group when authorizing a user's database access. You can store groups used for database authorization in one directory in addition to the primary Domino Directory. This one additional directory can be a secondary Domino Directory, an Extended Directory Catalog, or a remote LDAP directory. Note that if the primary Domino Directory and the one additional directory both contain a group used for database authorization with the same name, a server uses the group in the primary Domino Directory.
===========

Подробно смотрим "Directory assistance and group lookups for database authorization" в административном хэлпе.
 
K

Klido

puks сказал(а):
Мне кажется, что в документации все четко объяснено
Нажмите, чтобы раскрыть...
собственно об этом я и написал во 2-м посте, всё работает

Добавлено: Akupaka
Akupaka сказал(а):
в чем смысл настраивать разные домены и т.п.? чем это проще для управления?
Нажмите, чтобы раскрыть...
я не говорил, что проще для управления :rolleyes: проще разрулить текущую ситуацию в грамотно, а потом уже тратить время на то, что ты и описал - ресертификация, миграция, дешифрация и пр.
так тратим ну 1 день и получаем хоть и неправильную по сути, но правильную по смыслу систему, а если сразу думать глобально - план мероприятий, согласование отсутствия доступов на время мероприятий и т.д.

хотя если и так всё работает, а ресурсов нет - можно и не заморачиваться :) только настроить разыменование групп...
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ