Права и ограничения для пользователей доверенного сервера

anna

Lotus team
03.06.2014
400
7
#1
Многоуважаемый All! Кроссертифицированы два сервера "Рабочий" и "Внешний" - в разных доменах, в разных организациях. Как правильно прописывать ограничения (в ACL)? Какой по умолчанию доступ имеют пользователи "внешнего" к "рабочему"? Какой по умолчанию доступ имеет сервер?
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 586
272
#2
зависит от АКЛ и настроек серверного дока
если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
ЕМНИП, может коллеги поправят
 

Мыш

Премиум
12.02.2008
1 097
10
#3
зависит от АКЛ и настроек серверного дока
если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
ЕМНИП, может коллеги поправят
Почему не смогут? Должны смочь - по причине кросс-сертификации.
Соббсно, по умолчанию у чужих будут такие же права доступа к базам, как у -Default-
Другое дело, если на нашем сервере стоит галка "Compare public keys..." и нет реплики чужой адресной. Тогда не смогут... Или если фаерволом закрыты чужие IP-адреса. В общем, нюансы могут быть... :)
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 586
272
#6
На да, и это тоже :) Короче - возможность аутентифицироваться можно зарезать различными способами :))))
я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет
 

Мыш

Премиум
12.02.2008
1 097
10
#7
я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет
Вы про поле "Access server"? Дык по умолчанию оно не пустое разве? Честно гря, не знаю, как в новых версиях, с нуля давно уже не ставил :) А при пустом как раз ВСЕ могут...
 

anna

Lotus team
03.06.2014
400
7
#8
Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
 

Wanderer

Lotus team
23.03.2006
415
16
#9
Разделим предоставление доступа на несколько уровней.
  1. На уровне серверного документа. Смотрим, что прописано на вашем сервере во вкладке Security в полях Access server, Not Access Server. Если кликнуть на названия этих полей, то выскочит подсказка, на что эти поля влияют и что будет, если поле пустое.
    Поле Access Server по умолчанию пустое - это значит, что доступ к серверу имеют абсолютно все. Так не рекомендуют делать, как минимум, пропишите туда маску типа */OU/O для вашего домена и для соседних доменов, если им доступ нужен тоже для всех. Как максимум, вписать в поле Access Server группы доступа. А группы доступа наполняете тем составом, кому хотите предоставить доступ. Например, обязательно впишите туда LocalDomainServers (чтобы ваши сервера не остались без доступа), LocalDomainAdmins и OtherDomainServers. Также добавьте туда группу доступа, куда включены пользователи.
    Будьте внимательны с полем Access Server. Как только вы начнете туда что-то вписывать, то те, кого вы забыли перечислить в данном поле, доступ к серверу потеряют.
    Поле Not Access Server используется для явного запрета и имеет приоритет над полем Access Server - туда добавляем группы доступа типа Deny Access. Такие группы полезны для добавления туда уволенных сотрудников. Кого вы туда впишите, тот и не будет иметь доступ - это к вашему вопросу, что будет, если вы впишете туда сервера. В таком случае, только эти сервера и не будут иметь доступ.
  2. На уровне ACL баз данных. После того, как мы прошли первый уровень доступа на уровне сервера, далее идет проверка на доступ к базе, к которой обращается сервер или пользователь. При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае), а также группы LocalDomainServers и OtherDomainServers. По умолчанию, в предустановленных типовых базах для LocalDomainServers выдаются права на уровне редактора, а для OtherDomainServers - читатель. Поэтому в LocalDomainServers размещают обычно сервера из своего домена, а в OtherDomainServers - внешние и сторонние сервера. В ACL, а также в группах доступа, вы также можете использовать маски типа */OU/O.
 

Мыш

Премиум
12.02.2008
1 097
10
#10
Разделим предоставление доступа на несколько уровней.
При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае)​
Не совсем уж везде. Скажем, в ACL баз mail*.box не факт, что надо запрещать :)
 

Мыш

Премиум
12.02.2008
1 097
10
#11
Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
У нас тут типичная путаница с аутентификацией (АУ) и авторизацией АВ). Если запретить чужим АУ (полем Access Server, фаерволлом и т.п.) , то никто (ни сервер, ни юзер) никуда вообще не зайдет. Соббсно гря, это все как бы один большой лотусовый фаерволл, просто правила фильтрации определяются на разных этапах АУ.
АВ уже определяет права доступа пользователей и серверов к базам. Тут будут работать права -Default-, если права для чужих не указаны явно.
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 586
272
#12
и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
ну вручную-то зачем ;)
как и указывали коллеги - вполне можно использовать группы, а вот где они определяются...
можно в АК, можно в ДА, но там только "одна" запись может подставлять свои группы тоже (начиная с 6-ки 1-а доп. запись с "внешней" АК + 1-а ЛДАП)