• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Права и ограничения для пользователей доверенного сервера

A

anna

Многоуважаемый All! Кроссертифицированы два сервера "Рабочий" и "Внешний" - в разных доменах, в разных организациях. Как правильно прописывать ограничения (в ACL)? Какой по умолчанию доступ имеют пользователи "внешнего" к "рабочему"? Какой по умолчанию доступ имеет сервер?
 
Последнее редактирование модератором:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
зависит от АКЛ и настроек серверного дока
если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
ЕМНИП, может коллеги поправят
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
зависит от АКЛ и настроек серверного дока
если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
ЕМНИП, может коллеги поправят
Почему не смогут? Должны смочь - по причине кросс-сертификации.
Соббсно, по умолчанию у чужих будут такие же права доступа к базам, как у -Default-
Другое дело, если на нашем сервере стоит галка "Compare public keys..." и нет реплики чужой адресной. Тогда не смогут... Или если фаерволом закрыты чужие IP-адреса. В общем, нюансы могут быть... :)
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
На да, и это тоже :) Короче - возможность аутентифицироваться можно зарезать различными способами :))))
я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет
Вы про поле "Access server"? Дык по умолчанию оно не пустое разве? Честно гря, не знаю, как в новых версиях, с нуля давно уже не ставил :) А при пустом как раз ВСЕ могут...
 
A

anna

Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Разделим предоставление доступа на несколько уровней.
  1. На уровне серверного документа. Смотрим, что прописано на вашем сервере во вкладке Security в полях Access server, Not Access Server. Если кликнуть на названия этих полей, то выскочит подсказка, на что эти поля влияют и что будет, если поле пустое.
    Поле Access Server по умолчанию пустое - это значит, что доступ к серверу имеют абсолютно все. Так не рекомендуют делать, как минимум, пропишите туда маску типа */OU/O для вашего домена и для соседних доменов, если им доступ нужен тоже для всех. Как максимум, вписать в поле Access Server группы доступа. А группы доступа наполняете тем составом, кому хотите предоставить доступ. Например, обязательно впишите туда LocalDomainServers (чтобы ваши сервера не остались без доступа), LocalDomainAdmins и OtherDomainServers. Также добавьте туда группу доступа, куда включены пользователи.
    Будьте внимательны с полем Access Server. Как только вы начнете туда что-то вписывать, то те, кого вы забыли перечислить в данном поле, доступ к серверу потеряют.
    Поле Not Access Server используется для явного запрета и имеет приоритет над полем Access Server - туда добавляем группы доступа типа Deny Access. Такие группы полезны для добавления туда уволенных сотрудников. Кого вы туда впишите, тот и не будет иметь доступ - это к вашему вопросу, что будет, если вы впишете туда сервера. В таком случае, только эти сервера и не будут иметь доступ.
  2. На уровне ACL баз данных. После того, как мы прошли первый уровень доступа на уровне сервера, далее идет проверка на доступ к базе, к которой обращается сервер или пользователь. При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае), а также группы LocalDomainServers и OtherDomainServers. По умолчанию, в предустановленных типовых базах для LocalDomainServers выдаются права на уровне редактора, а для OtherDomainServers - читатель. Поэтому в LocalDomainServers размещают обычно сервера из своего домена, а в OtherDomainServers - внешние и сторонние сервера. В ACL, а также в группах доступа, вы также можете использовать маски типа */OU/O.
 
  • Нравится
Реакции: Мыш и anna

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Разделим предоставление доступа на несколько уровней.
При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае)​
Не совсем уж везде. Скажем, в ACL баз mail*.box не факт, что надо запрещать :)
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
У нас тут типичная путаница с аутентификацией (АУ) и авторизацией АВ). Если запретить чужим АУ (полем Access Server, фаерволлом и т.п.) , то никто (ни сервер, ни юзер) никуда вообще не зайдет. Соббсно гря, это все как бы один большой лотусовый фаерволл, просто правила фильтрации определяются на разных этапах АУ.
АВ уже определяет права доступа пользователей и серверов к базам. Тут будут работать права -Default-, если права для чужих не указаны явно.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?
ну вручную-то зачем ;)
как и указывали коллеги - вполне можно использовать группы, а вот где они определяются...
можно в АК, можно в ДА, но там только "одна" запись может подставлять свои группы тоже (начиная с 6-ки 1-а доп. запись с "внешней" АК + 1-а ЛДАП)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!