• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Права доступа к документам

  • Автор темы VooDoo
  • Дата начала
Статус
Закрыто для дальнейших ответов.
V

VooDoo

Дорогие гуру, взываю к вашей помосчи.

Имеем:

- База, на которой стоит сайт.
- Виды, формы, документы, агенты
- 2 категории пользователей - Anonymous и Group1 + администраторы

Требуется:

В пределах одной базы разграничить права доступа к определенным документам, формам, видам, агентам для гостей и отдельной группы людей. При этом гость может видеть заголовки закрытых документов, но при переходе по ссылке, а также при переходе на закрытые разделы сайта у него должен запрашиваться логин-пароль на доступ.



Что пытался сделать:

- разграничить права в свойствах форм-представлений-агентов. Отображются заголовки новостей, но в итоге под гостем просто пишет

Error 404
HTTP Web Server: Lotus Notes Exception - File does not exist

- разграничить права в свойствах базы (сделать Гостей "Корреспондентами"). В итоге вместо заголовков пишет Not found

Помогите кто может, кто может помогите.

Если нужна доп. инфа - спрашивайте.

Спасибо.
 
D

Domino6

Сделать секцию с разграничениями по доступу

1. Вне секции все что необходимо для анонимусов
 
V

VooDoo

Для: Domino6, а для слабо понимающих? Что есть секция?
И еще один момент. Новости публикуются одна за другой и разграничение на закрыто-открыто определяется установкой галочки в соответствующем месте формы.

Т.е. вопрос следующий: как сделоть закрытую секцию и как до кучи туда отбирать документы, помеченные признаком "закрыто"?

Спасибо.
 
M

morpheus

<!--QuoteBegin-VooDoo+10:07:2007, 10:01 -->
<span class="vbquote">(VooDoo @ 10:07:2007, 10:01 )</span><!--QuoteEBegin-->как сделоть закрытую секцию и как до кучи туда отбирать документы, помеченные признаком "закрыто"?
[snapback]71868" rel="nofollow" target="_blank[/snapback]​
[/quote]
Секция делаеться Create - Section - Controled Access
ну а документы туда забульбенивать лучше в виде ссылок
 
V

VooDoo

Для: Morpheus, ага. Попробую щяз. Спасибо.
 
V

VooDoo

Покопался...
похоже это, не совсем то.

Скажите, возможно ли (и как?) сделать следующую штуку:

при заходе на закрытые разделы или при переходе по ссылке на закрытую новость выполняется проверка пользователя и если это Anonymous, то выбрасывается форма входа по логину-паролю?
 
M

morpheus

Для: VooDoo
В лотус такой принцип -если нет доступа значит не видит, нет доступа к документу - значит не видит его ну и т.д. Понимаете к чему я клоню ?
 
V

VooDoo

Для: Morpheus, ага. Печально. Т.е. вы хотите сказать что кроме как разносить по разным базам закрытые-открытые разделы или же делать форму входа в явном виде, способа другого нету?
 
M

morpheus

Для: VooDoo
я не настолько знаком с вэбом что бы утверждать это на 100%, но по моему это будет не так геморойно
 
V

VooDoo

Для: Morpheus, в том то и беда, что сейчас сайт стоит на нескольких базах, большая часть из которых закрыта дял анонимов. И всё вроде как работает. Но поставили задачу все перенести на одну базу. Вот и мучаюсь со своими скудными познаниями.

Ок, а как запихнуть лотусную форму авторизации под логином-паролем на страницу сайта? Пока я вижу решение только в этом, в свете последних открытий.
 
V

VooDoo

Т.е. при заходе на закрытый раздел запускается агент в котором руским по белому написано

if strUser$ = "Anonymous" then
Call rti.AppendText("У вас нет доступа к данным, войдите в систему под своим аккаунтом")
вставляем форму логина

Else выводим инфу

Можно так? и что писать? :)
 
D

Domino6

<!--QuoteBegin-VooDoo+10:07:2007, 12:16 -->
<span class="vbquote">(VooDoo @ 10:07:2007, 12:16 )</span><!--QuoteEBegin-->Ок, а как запихнуть лотусную форму авторизации под логином-паролем на страницу сайта? Пока я вижу решение только в этом, в свете последних открытий
[snapback]71889" rel="nofollow" target="_blank[/snapback]​
[/quote]

делаеш проще
1. Сделать подформу с логином (текст предупреждение, поля имени и пароля)
2. Делаеш подформу с полями для показа
3. В форме ставиш вычисляемую подформу (если пользователь аноним и закрытые данные то 1-я подформа иначе 2-я)
 
V

VooDoo

Огромное всем спасибо. Щяз буду пробовать.
 
G

GROMILA

Надо заметить, что форум на www.intertrust.ru так сделан.
Можешь там поспрашать ишо.

Но вариантс вычисляемым формами мне нравится.
 
V

VooDoo

Вариант с формами рулит. Попробовал вставить по совету fvoice, вот такую штуку для подформы для гостей

Код: 
<form method="post" action="/names.nsf?Login" name="_MBALoginForm">
<input name="Username" value="" size=20 maxlength=50 autocomplete=off>
<input name="Password" value="" type="password" size=20 maxlength=50 autocomplete=off>
<input name="RedirectTo" value="/database.nsf" type=hidden>
<input type="submit" value="Войти">
</form>

возник небольшой казус: по ссылке names.nsf?Login выдает ошибку

Error 501
HTTP Web Server: Function Not Implemented Exception

я так понимаю, что єто надо что-то править в настройках сервака?
 
F

fvoice

посмотри базу domcfg.nsf (Domino Web Server Configuration), вместо _MBALoginForm, используй название формы указанное там, или собственную форму используй.

я так понимаю, что єто надо что-то править в настройках сервака?
Нажмите, чтобы раскрыть...

Серверный документ:
Security:
Internet authentication: More name variations with lower security
Internet protocols
Web Engine:
Session authentication: Single Server
restart http
для аутентификации использовать short name
Нажмите, чтобы раскрыть...

вот здесь я уже мучал форумчан с подобной проблемой
 
V

VooDoo

Для: fvoice, ага спасибки.

Еще момент: является ли имя формы login зарезервированным именем лотуса?

Сейчас я сделол на ссылках вычисляемый текст а-ля если зарегиный товарищ, то нормальная ссылка, если гость - то login?OpenForm в которой собсна поле для ввода логина-пароля.

Так вот, при перекидывании на login?OpenForm выскакивает стандартное лотусное окошко логина. Если залогиниццо в нем, то пускает на форму login, которая, понятное дело уже не нужна. И если в ней повторно региццо, то просто выскочит страничка с надписью Form Processed.

Таким образом возникает вопрос - как жеж быть? Переименовать форму?
 
F

fvoice

В RedirectTo помещается ссылка, куда нужно перейти в случае удачной авторизации
 
D

Domino6

<!--QuoteBegin-VooDoo+13:07:2007, 10:25 -->
<span class="vbquote">(VooDoo @ 13:07:2007, 10:25 )</span><!--QuoteEBegin-->Еще момент: является ли имя формы login зарезервированным именем лотуса?
[snapback]72195" rel="nofollow" target="_blank[/snapback]​
[/quote]

login это не имя формы а зарезервированный урл запрос (смотри хелп по урл запросам)
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ