• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Шифрования сообщений в Domino Web Access. Ошибка в работе кластера.

  • Автор темы DSenchikhin
  • Дата начала
Статус
Закрыто для дальнейших ответов.
D

DSenchikhin

Всем доброе, утро, день вечер и ночь!

Проблема заключяется вот в чем. Не могу настроить шифрование почтовых сообщений в клиенте Domino Web Acceess :( . Причем расшифровывать могу зашифровывать не могу. При отправке выдается сообщения сертификат не найден в адресной книге. Долго бились над проблемой. Внесли айдишку в почтовую БД, что позволило расшифровывать сообщения. Выписали сертификат пользователя Х.509, внесли его в айдишку, во все адресные книги не помогает. Прочитали Некрасова раз 20, не поняли, там мутно написано, просто вода а конкретно что сделать не написано. Кто сталкивался с проблемой и смог ее победить помогите. :( . Как пишут издания нужно сджелать интернет кросс сертификат, бился головой об лед не смог сделать

Второй вопрос касается настройки кластера. Тут вообще встал в тупик. На сколько мне известно кластер в Домино может настроить даже ребенок, я не смог :( точнее включить то включил но один из серверов сразу начинает ругаться привожу строки из лога:

25.10.2007 23:22:47 Error connecting to server <имя сервера>: The remote server is not a known TCP/IP host.
25.10.2007 23:22:52 Cluster Database Directory started
25.10.2007 23:22:54 Finished initialization of Cluster Database Directory
25.10.2007 23:22:54 Unable to update Cluster Database Directory: Unable to find path to server. To trace this connection, use File - Preferences - User Preferences - Ports - Trace (Notes client) or Trace command (Domino server)

Причем вот что странно, первая строчка из куска лога. Ругается на конект, но он конектица сам к себе :) , как такое может быть? причем постоянно конектица. Отключаю кластер все нормально. я в замешательстве. кластер не функционирует :(
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
<!--QuoteBegin-DSenchikhin+24:10:2007, 22:35 -->
<span class="vbquote">(DSenchikhin @ 24:10:2007, 22:35 )</span><!--QuoteEBegin-->Ругается на конект, но он конектица сам к себе , как такое может быть?
[snapback]82943" rel="nofollow" target="_blank[/snapback]​
[/quote]

Раз делает, то значит может быть. А вот почему? Тут тебе надо бы рассказать как у тебя Ip прописаны и какая вообще сетевая конфигурация. А то, такое впечатление, что у тебя там много чего напутано (с учетом твоего предыдущего поста :) )

Кстати, а какая версия сервера?
 
C

collection

<!--QuoteBegin-DSenchikhin+25:10:2007, 04:35 -->
<span class="vbquote">(DSenchikhin @ 25:10:2007, 04:35 )</span><!--QuoteEBegin-->Причем вот что странно, первая строчка из куска лога. Ругается на конект, но он конектица сам к себе blink.gif , как такое может быть? причем постоянно конектица. Отключаю кластер все нормально. я в замешательстве. кластер не функционирует
[snapback]82943" rel="nofollow" target="_blank[/snapback]​
[/quote]
Телепартирую: коннектиться он сам к себе потому что имя сервера лотуса и имя машины сервера в днс не совпадают соответсвенно, при конфигурировании сервера по умолчанию в настройках порта tcpip сервера
в качестве Net адреса используется имя сервака лотусовое(CN), что в вашем случае неприемлемо. Для того чтобы это исправить открываем документ сервера:
Ports-Notes Network Ports-Net Adress
указываем имя хоста сервера
а вот что по этому поводу говорит хелп:
A Notes workstation or Domino server follows these steps to resolve the name of the Domino server to which it is trying to connect over NRPC.
Note If the Net Address field in the Server document contains a physical address -- a practice that is not recommended in a production environment-- the Notes Name Service performs the resolve directly, thus placing the burden of maintaining physical address changes on the Domino administrator.
1. If the workstation/server has a Connection document for the destination server that contains the protocol-specific name, the workstation/server passes the protocol-specific name to the protocol's name-resolver service. If the Connection document contains a physical address, the Notes Name Service performs the resolve directly. Normal-priority Connection documents are checked first, and then low-priority Connection documents.
Note Unlike in Server documents, adding physical addresses in Connection documents is not discouraged, since only the local workstation/server uses the Connection document.
2. To determine if the destination server's protocol-specific name is cached, the workstation checks the Location document and the server checks its own Server document. If the name is cached, the workstation/server uses the last-used Notes network port to determine the protocol and passes this value to the protocol's name-resolver service.
3. If the protocol-specific name is not cached, one of the following occurs, based on the list order of enabled Notes network ports:
For a Notes workstation connected to the home (messaging) server, Notes gives the common name of the destination Domino server to the home server, which looks in the Domino Directory for the Server document of the destination server. The home server locates the contents of the Net Address field for the Notes named network that the Notes workstation has in common with the destination server and passes this name to the protocol's name-resolver service. If the workstation and the destination server are in the same Domino domain but not in the same Notes named network, the home server locates the names of each protocol that the workstation has in common with the destination server and passes each to the appropriate protocol until a resolve is made. If the Notes workstation can't access its home server, it connects to its secondary Notes name server, which carries out the same actions as the home server.
For a Domino server, Domino checks the Server document for the destination server, locates the contents of the Net Address field for the Notes named network that the Domino server has in common with the destination server, and passes this name to the protocol's name-resolver service. If the destination server is in the same Domino domain as the Domino server, but not in the same Notes named network, the Domino server locates the protocol name of each protocol that it has in common with the destination server and passes each to the appropriate protocol until a resolve is made.
4. If Steps 1 through 3 do not produce the server's network address, the workstation/server offers the Domino common name of the destination server to the name-resolver service of each protocol, based on the order of the enabled network ports in the Server document.
 
D

DSenchikhin

По поводу IP, сервер имеет внутренний и внешний айпи. В хостах прописано сопостовление внутреннего IP с именем хоста, что впринципе логично. Я не пойму при чем туту сетевые настройки, ведь если сервер убрать из кластера он перестает конектица сам к себе :) . По поводу версии. Версия стоит 7.0 на Win 2003 Sever.

По поводу DWA в ходе эксперементов и биения головой об стену выяснили что если тот кому ты отправляешь сообщение есть в личной адресной книге (копия из Domino Directory) то выбрав его шифруется нормально, если выбрать того же пользователя из самой DD то фиг вам говорит нет сертификата. Заключение такое, что при попытки отправить шифрованное письмо обращаясь в адресную книгу сервера он не видит там public key. Если ему указать что брать пользователя из личной адреснойкниги то все ок. Вопрос: Почему?

Телепартирую: коннектиться он сам к себе потому что имя сервера лотуса и имя машины сервера в днс не совпадают соответсвенно, при конфигурировании сервера по умолчанию в настройках порта tcpip сервера
в качестве Net адреса используется имя сервака лотусовое(CN), что в вашем случае неприемлемо. Для того чтобы это исправить открываем документ сервера:
Ports-Notes Network Ports-Net Adress
указываем имя хоста сервера
т.е. как я понимаю что значение поля net adress и поля Fully qualified Internet host name должны быть одинаковы? если это так то они одинаковые :(
 
C

collection

Согласен с puks сетевую инфраструктуру обозначте!?
<!--QuoteBegin-DSenchikhin+25:10:2007, 06:12 -->
<span class="vbquote">(DSenchikhin @ 25:10:2007, 06:12 )</span><!--QuoteEBegin-->В хостах прописано сопостовление внутреннего IP с именем хоста
[snapback]82948" rel="nofollow" target="_blank[/snapback]​
[/quote]
логичнее было бы разрешать имя сервера на уровне днс
<!--QuoteBegin-DSenchikhin+25:10:2007, 04:35 -->
<span class="vbquote">(DSenchikhin @ 25:10:2007, 04:35 )</span><!--QuoteEBegin-->как я понимаю что значение поля net adress и поля Fully qualified Internet host name
[snapback]82943" rel="nofollow" target="_blank[/snapback]​
[/quote]
Имя сервера домино ServerDomino/Domain/RU
Имя хоста сервера ServerDNS.domain.ru
Занисите в поле net adress имя хоста сервера Net adress: ServerDNS
restart server
 
D

DSenchikhin

Все это есть и было, не первый сервер настраиваю. Говорю проблема возникает только при вхождении сервера в кластер...... :) отключаешь все нормально, причем это только но одном сервере кластера на другом все нормуль
 
O

Odyssey

<!--QuoteBegin-DSenchikhin+25:10:2007, 09:59 -->
<span class="vbquote">(DSenchikhin @ 25:10:2007, 09:59 )</span><!--QuoteEBegin-->Говорю проблема возникает только при вхождении сервера в кластер
[snapback]83007" rel="nofollow" target="_blank[/snapback]​
[/quote]

кажись у нас когда-то были те же грабли, проверь чтобы они были в одной NotesNetwork (документ сервера - Ports - Notes Network Ports)

PS и Maps exctractor запустить не помешает (в консоли load maps)
 
D

DSenchikhin

Всем огромное спасибо за ответы. Проблему решили. В хостах прописали по еще одной записи того сервера с кем конектица. :D :)

А вот с Domino Web Access полная засада :) собираемся писать в ИБМ
 
D

DSenchikhin

По поводу шифрования в DWA. Обратились в IBM получили ответ, что действительно существует проблема с распознованием сертификатов в domino directory. Проблема пофиксена в версии 7.0.3. Вот так. :) Осталось дождаться ее выхода
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Видишь как полезно указывать установленную версию.

А 7.0.3 не выхода надо дожидаться, а выкладывания. Если звезды станут завтра нормально, то выложу сервер и клиентов.
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!