Права и ограничения для пользователей доверенного сервера

Тема в разделе "Lotus - Администрирование", создана пользователем anna, 12 июл 2016.

  1. anna

    anna Lotus team
    Lotus team

    Регистрация:
    3 июн 2014
    Сообщения:
    312
    Симпатии:
    8
    Многоуважаемый All! Кроссертифицированы два сервера "Рабочий" и "Внешний" - в разных доменах, в разных организациях. Как правильно прописывать ограничения (в ACL)? Какой по умолчанию доступ имеют пользователи "внешнего" к "рабочему"? Какой по умолчанию доступ имеет сервер?
     
    #1 anna, 12 июл 2016
    Последнее редактирование: 12 июл 2016
  2. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.080
    Симпатии:
    300
    зависит от АКЛ и настроек серверного дока
    если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
    ЕМНИП, может коллеги поправят
     
  3. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.020
    Симпатии:
    8
    Почему не смогут? Должны смочь - по причине кросс-сертификации.
    Соббсно, по умолчанию у чужих будут такие же права доступа к базам, как у -Default-
    Другое дело, если на нашем сервере стоит галка "Compare public keys..." и нет реплики чужой адресной. Тогда не смогут... Или если фаерволом закрыты чужие IP-адреса. В общем, нюансы могут быть... :)
     
    #3 Мыш, 13 июл 2016
    Последнее редактирование: 13 июл 2016
  4. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.080
    Симпатии:
    300
    если в доступе к серверу есть группа с "ними"
     
  5. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.020
    Симпатии:
    8
    На да, и это тоже :) Короче - возможность аутентифицироваться можно зарезать различными способами :))))
     
  6. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.080
    Симпатии:
    300
    я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет
     
  7. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.020
    Симпатии:
    8
    Вы про поле "Access server"? Дык по умолчанию оно не пустое разве? Честно гря, не знаю, как в новых версиях, с нуля давно уже не ставил :) А при пустом как раз ВСЕ могут...
     
  8. anna

    anna Lotus team
    Lotus team

    Регистрация:
    3 июн 2014
    Сообщения:
    312
    Симпатии:
    8
    Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
    И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
     
  9. Wanderer

    Wanderer Lotus team
    Lotus team

    Регистрация:
    23 мар 2006
    Сообщения:
    368
    Симпатии:
    14
    Разделим предоставление доступа на несколько уровней.
    1. На уровне серверного документа. Смотрим, что прописано на вашем сервере во вкладке Security в полях Access server, Not Access Server. Если кликнуть на названия этих полей, то выскочит подсказка, на что эти поля влияют и что будет, если поле пустое.
      Поле Access Server по умолчанию пустое - это значит, что доступ к серверу имеют абсолютно все. Так не рекомендуют делать, как минимум, пропишите туда маску типа */OU/O для вашего домена и для соседних доменов, если им доступ нужен тоже для всех. Как максимум, вписать в поле Access Server группы доступа. А группы доступа наполняете тем составом, кому хотите предоставить доступ. Например, обязательно впишите туда LocalDomainServers (чтобы ваши сервера не остались без доступа), LocalDomainAdmins и OtherDomainServers. Также добавьте туда группу доступа, куда включены пользователи.
      Будьте внимательны с полем Access Server. Как только вы начнете туда что-то вписывать, то те, кого вы забыли перечислить в данном поле, доступ к серверу потеряют.
      Поле Not Access Server используется для явного запрета и имеет приоритет над полем Access Server - туда добавляем группы доступа типа Deny Access. Такие группы полезны для добавления туда уволенных сотрудников. Кого вы туда впишите, тот и не будет иметь доступ - это к вашему вопросу, что будет, если вы впишете туда сервера. В таком случае, только эти сервера и не будут иметь доступ.
    2. На уровне ACL баз данных. После того, как мы прошли первый уровень доступа на уровне сервера, далее идет проверка на доступ к базе, к которой обращается сервер или пользователь. При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае), а также группы LocalDomainServers и OtherDomainServers. По умолчанию, в предустановленных типовых базах для LocalDomainServers выдаются права на уровне редактора, а для OtherDomainServers - читатель. Поэтому в LocalDomainServers размещают обычно сервера из своего домена, а в OtherDomainServers - внешние и сторонние сервера. В ACL, а также в группах доступа, вы также можете использовать маски типа */OU/O.
     
    Мыш и anna нравится это.
  10. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.020
    Симпатии:
    8
    Не совсем уж везде. Скажем, в ACL баз mail*.box не факт, что надо запрещать :)
     
  11. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.020
    Симпатии:
    8
    У нас тут типичная путаница с аутентификацией (АУ) и авторизацией АВ). Если запретить чужим АУ (полем Access Server, фаерволлом и т.п.) , то никто (ни сервер, ни юзер) никуда вообще не зайдет. Соббсно гря, это все как бы один большой лотусовый фаерволл, просто правила фильтрации определяются на разных этапах АУ.
    АВ уже определяет права доступа пользователей и серверов к базам. Тут будут работать права -Default-, если права для чужих не указаны явно.
     
  12. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.080
    Симпатии:
    300
    ну вручную-то зачем ;)
    как и указывали коллеги - вполне можно использовать группы, а вот где они определяются...
    можно в АК, можно в ДА, но там только "одна" запись может подставлять свои группы тоже (начиная с 6-ки 1-а доп. запись с "внешней" АК + 1-а ЛДАП)
     
Загрузка...

Поделиться этой страницей