• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Связывание двух серверов 6.5

  • Автор темы Pacifyer
  • Дата начала
Статус
Закрыто для дальнейших ответов.
P

Pacifyer

На данный момент у меня в организации есть два логически несвязанных сервера под управлением Lotus Domino 6.5. Сервера находятся в одной локальной сети, каждый из них обслуживает один домен интернета, используя шлюзовой релей с Postfix.

Цель.
1) Создать между ними маршрут для непосредственной передачи почты друг другу минуя релей
2) Реплицировать друг другу адресные книги
3) Сделать доступной информацию о занятости между серверами

Очень прошу с наиболее возможными деталями описать как это сделать, ибо нет уже моих сил.
Главная проблема, затрудняющая разбирательство - это вечная путаница что же имеется в виду под словом "Домен" - это а) домен Лотус б) почтовый домен интернет в) название домена из документа домена.

Также одной из проблем является вынужденная установка сервера Домино на контроллер Active Directory, что сделало затруднительным использование LDAP. Просьба подсказать что можно сделать в этом случае, чтобы избежать проблем связи этих двух серверов.
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Если я правильно понял, то эти два сервера находятся в разных Домино доменах. Домино домен - это группа серверов использующих одну адресную книгу, как Public Adress Book.

Тогда надо
1) В каждой адресной книге (на одном и другом серверах) создать Adjacent Domain документ, где описать домен и Calendar server name.
2) Создать Connection document для каждого сервера, где также описать, что будут реплицироваться адресные книги и ходить почта.
3) Кроссертифицировать сервера (можно, конечно, и домены, если предполагается, что пользователи будут иметь доступ кдругому серверу).
4) Создать реплики адресных книг
5) Возможно, что надо будет подправить права досупа серверов к адресным книгам и серверу.
 
P

Pacifyer

Концептуально я себе представляю это все, проблема в том, что не получается сделать это на практике. Вот встречные вопросы.
В документе домена что имеется в виду
1) Adjacent domain name: это название домена Лотус или почтового?
2) Calendar server name: в каком виде? имя ДНС сервера его IP или в формате Лотус типа Lotus-server/DOMAIN

В документе connection
1) Source server, Source domain, Destination server, Destination domain - это какие имеются в виду? Названия а-ля лотус или а-ля ДНС?
2) При репликации адресный книг, это, как я понял names, не начнут ли они затирать одна другую или они объединятся в одну, в которой будет содержимое обеих?
3) Где я могу указать права доступа ДРУГОМУ серверу?
4) Понятие кроссертификации пока неясно

Хочу уточнить, мне досталась уже рабочая среда, поэтому я еще не специалист в этих вопросах, хотя уже перечитал тонны документации и книгу по администрированию.

Для опытных админов Лотуса многие мои вопросы из разряда "само собой разумеется", но именно в основополагающих вопросах я пока с трудом осваиваюсь...

Хотя админ со стажем, Постфикс и Эксчендж в моей крови...
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
В документе домена Лотусовые названия

В документе connection...

Если ты нажмешь левой кнопкой мыши на названии поля, то увидишь подсказку по нему.

При создании реплики файл надо назвать по-другому, чтобы они файлово не перезаписали друг друга.

Права указываются в ACL и на странице Security серверного документа

Без обид. Верится с трудом, что ты перечитал тонны документации. Вся эта инфа есть в обычном help администратора. А вопросы по правам и кроссертификации - начального уровня.
 
P

Pacifyer

Спасибо за ответы буду дальше разбираться

Никаких обид просто знаешь как начальством ставятся задачи - чтоб послезавтра работало и все тут. Нет возможности действительно спокойно разобраться.

Просто тут я столкнулся с рядом новых для себя понятий а-ля сертификация, сразу не разобрался, разбирался в чем понимал. Все потому, что слету. Также много где столкнулся с путаницей между доменами ДНС и Домино. Отсюда и грабли.

А доки я прочитал довольно много, просто еще не успел все усвоить, а результат нужен довольно срочно.
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Начальство всегда так...

По поводу новых для тебя понятий все это знакомо. Но надо.

Почитай книги Ионцева. Там все здорово объяснено. У него, кстати, есть и по почте.

Просто с Лотусом с наскока не получится. Сначала база, а потом кайф от администрирования. А то 5 минут наделаешь дел и будешь разгребать месяцами. Так и получается, что Лотус г... А он просто более требователен к знаниям, чем Exchange. Я это из своего собственного опута и опыта товарищей, которые с Exchange приходили.
 
P

Pacifyer

Ну вот, приехал. Слава богу это был экспериментальный сервер-полигон.

В результате установки (как я делаю вывод) ACL сервера меня (клиента) перестало пускать на сервер вообще... Похоже это связано с непоставленной галочкой с поле Access Server.

Думаю этот экземпляр Лотуса я похоронил... Буду переустанавливать...
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Да подожди ты переустанавливать.

Что значит в результате переустановки ACL? Что конкретно ты менял и где?
 
30.05.2006
1 345
12
BIT
0
Ну вот, приехал. Слава богу это был экспериментальный сервер-полигон.

В результате установки (как я делаю вывод) ACL сервера меня (клиента) перестало пускать на сервер вообще... Похоже это связано с непоставленной галочкой с поле Access Server.

Думаю этот экземпляр Лотуса я похоронил... Буду переустанавливать...
Инструкция по взлому:
Опускаешь сервер (с консоли или вместе с операционкой - если сервис)
Запускаешь на этой-же машинке клиента Нотес и лезешь в АК как в локальную базу. Чинишь
 
P

Pacifyer

<!--QuoteBegin-puks+26:02:2007, 18:11 -->
<span class="vbquote">(puks @ 26:02:2007, 18:11 )</span><!--QuoteEBegin-->Что значит в результате переустановки ACL? Что конкретно ты менял и где?
[snapback]57347" rel="nofollow" target="_blank[/snapback]​
[/quote]
Я изменил в документе сервера в поле Access Server добавил сервер другого домена, но не поставил галочку дл ядоступа пользователей из доверенных ДД.

Как результат пустое значение того параметра предусматривало доступ любого пользователя, а указание сервера явно включило фильтрацию, запретив доступ всем кроме того сервера, а значит и мне как пользователю.

<!--QuoteBegin-Constantin A Chervonenko+27:02:2007, 10:16 -->
<span class="vbquote">(Constantin A Chervonenko @ 27:02:2007, 10:16 )</span><!--QuoteEBegin-->Инструкция по взлому:
Опускаешь сервер (с консоли или вместе с операционкой - если сервис)
Запускаешь на этой-же машинке клиента Нотес и лезешь в АК как в локальную базу. Чинишь
[snapback]57410" rel="nofollow" target="_blank[/snapback]​
[/quote]

Спасибо огромное, очень ценная информация на будущее. К сожалению я так и не смог проверить на практике, ибо до написания этого поста уже переустановил сервер. Т.к. он был чистым полигоном и не содержан ничего нового то я без особой жалости его снес.
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
А еще лучше внести себя (или группу) в поле Full Access Administrators в серверном документе. Тогда можно будет открыть любую базу на сервере административным клиентов в режиме Full Access доступа.
 
P

Pacifyer

Возвращаясь к нашим баранам.

С вопросом сертификации я разобрался, сервера кросс-сертифицированы.

Привожу выдержки из документов серверов:

DOMAIN1:
==========================================
Server name: test-lotus/DOMAIN1
Server title: corp test server
Domain name: domain1
Fully qualified Internet host name: test-lotus.domain1.lan

DOMAIN2:
==========================================
Server name: Lotus_server/DOMAIN2
Server title: main server
Domain name: DOMAIN2.LAN
Fully qualified Internet host name: Lotus_server.domain2.lan


Создал документы Adjacent Domain. В них указал по типу этого

DOMAIN1:
==========================================
- Adjacent domain name: DOMAIN2
- Calendar server name: Lotus_server/DOMAIN2

DOMAIN2:
==========================================
- Adjacent domain name: DOMAIN1
- Calendar server name: test-lotus/DOMAIN1

Документы Connection я создал на обоих серверах. Заполнил так:
DOMAIN1:
==========================================
Connection type: Local Area Network Usage priority: Normal
Source server: test-lotus/DOMAIN1 Destination server: Lotus_server/DOMAIN2
Source domain: DOMAIN1 Destination domain: DOMAIN2
Use the port(s): TCPIP Optional network address: 192.168.0.21

Replication task: Enabled Routing task: Mail Routing
Replicate databases of: Low & Medium & High priority Route at once if: 1 messages pending
Replication Type: Pull Push Routing cost: 1
Files/Directory Paths to Replicate: (all if none specified) Router type: Push Only


DOMAIN2:
==========================================
Connection type: Local Area Network Usage priority: Normal
Source server: Lotus_server/DOMAIN2 Destination server: test-lotus/DOMAIN1
Source domain: DOMAIN2 Destination domain: DOMAIN1
Use the port(s): TCPIP Optional network address: 192.168.0.113

Replication task: Enabled Routing task: Mail Routing
Replicate databases of: Low & Medium & High priority Route at once if: 1 messages pending
Replication Type: Pull Push Routing cost: 1
Files/Directory Paths to Replicate: (all if none specified) Router type: Push Only

Теперь гвоздь с репликацией. Я так понимаю сервера еще до сих пор толком не знают о существовании друг друга... Информации в документах Connection явно не хватает.

Попытавшись создать реплику файла names.nsf с сервера test-lotus/DOMAIN1 в файл names_domain1.nsf сервера Lotus_server/DOMAIN2 (указав его вручную) я получил в консоли ошибку что для сервера Lotus_server/DOMAIN2 в ДД нет документа.

Отсюда вопрос - что я пропустил?

Также повторю: мне надо обменяться адресными книгами, устроить пересылку почты и обмен календарной информацией.

Пожалуйста просветите неуча ибо вопрос горит...
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Не было времени все просмотреть внимательно, но сразу же

1) Синтаксис имени Name\OUn\...\OU1\O@Domain
OU - Organization Unit
O - Organization

Ты же пишешь "Server name: test-lotus/DOMAIN1" . Ты с иерархическими именами разобрался? Ты не путаешь в лотусе Organization и Domain?

Как я понял второй сервер тоже внутренний и сейчас он тестовый. Зачем тебе вообще 2 лотусовых домена? Какую задачу ты решаешь?

Connection документа вполне достаточно, чтобы сервера знали как связаться с друг другом. В нем же описывается репликация разрешение на хождение почты. Но реплики ты должен создать руками. Правила раутинга определяются (в твоем случае) domain документом.
 
P

Pacifyer

Ух...

Ну я сразу сказал что у меня проблема с пониманием названий в Лотусе и различии доменов в частности...

Один сервер есть рабочий и настроенный. Второй я установил у себя тестовый.

Задача стоит олотусить несколько автономных подразделений, соединенных корпоративной сетью.

Я так понимаю имеющийся сервер настраивался не с большого ума, а я хочу с толком во всем разобраться.

С политикой именования я так понимаю я не разобрался, но делал все в меру своего понимания.

Я потому и написал выдержку из документов сервера, что боюсь что неправильно понял именно концепцию именования...

Поэтому просил бы показать как бы выглядела ПРАВИЛЬНАЯ конфигурация, если есть 2 ДНС домена и у них соответственно 2 сервера:
test-lotus.domain1.lan
Lotus_server.domain2.lan
Которые каждый релеит почту для своего домена интернет. Но это уже не важно. Главное что есть 2 полностью автономных сервера Домино и надо как-то их связать. Желательно не объединять их в какие-либо более сложные иерархические структуры, а оставить автономными...

Я понимаю, что прошу слишком много, но учусь быстро, и все пойму если хоть раз увижу.

Заранее премного благодарен
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Понимаешь, то, что сейчас тебе может казаться более сложной иерархической структурой, потом может оказаться самым разумным решением и легким по администрированию (вообще в Лотусе администрирование вообще очень простая вещь, если понимаешь базовые вещи).

Я спрашиваю про структуру, так как в Nоtes есть разные варианты решения.

1) Ты хочешь создавать для каждого подразделения отдельный лотусовый сервер? (Отдельный сервер еще не предполагает, что они должны быть в разных лотусовых доменах).
2) Они (вне лотусовой структуры) представляют одну организацию, но разные подразделения?
3) Они используют какие-нибудь общие базы?
4) Все ли они имеют более или менее нормальный доступ к интернет, т.е. не модем?
5) Почему вообще ты хочешь иметь разные Лотусовые домены? Ты хочешь иметь для них совершенно различные адресные книги? Почему? Будут ли они выбирать людей из других подразделений из какой-либо комбинированной адресной книги (если уж ты решишь иметь разные книги)?

Не привязывайся к ДНС доменам. Интернет почту можно получать и из разных доменов одним сервером.
 
P

Pacifyer

Сразу хочу поблагодарить за столь глубокую помощь.

Эти "подразделения" - самостоятельные компании, которых объединяет лишь топ менеджмент.
Рядовым сотрудникам вовсе не нужно знать о сотрудниках других компаний.
Но топ менеджмент хочет иметь идентичную систему для всех компаний. При этом использовать назначение задач и совещания между компаниями.

Также необходимо разделение глобальной адресной книги таким образом, чтобы сотрудники отдельно взятой компании из одной ардесной книги могли брать адреса сотрудников только локальной компании, а из других соответственно для других компаний, при этом адресные книги других компаний должны реплицироваться всем остальным.

В принципе возможно стоило бы сделать нескольно организационных единиц в одном домене, сервера соединены довольно быстрым постоянным каналом, но есть несколько обстоятельств.

Во-первых есть в наличии уже развернутый 1 сервер. В нем все развернуто без организацционных единиц. Переноса его конфигурации и почтовых баз я хотел бы избежать, ибо баз 70, и все они имеют названия типа user01.nsf, спасибо настройщику, так что идентифицировать их и подключать весьма проблематично.

Также мне на данный момент нет резона реплицировать все почтовые базы между всеми серверами, хотя было бы интересно, если бы некоторые избранные пользователи из любого офиса могли получить доступ к своей почтовой базе, используя локальный сервер.

Прежде всего, этот проект на данном этапе в процессе разработки, но окончательно не утвержден. Я должен построить работающую модель взаимодействия серверов, после чего в случае положительного результата это будет внедряться повсеместно. Очень не хочется никоим образом нарушать работу существующего сервера.

Также, каждое подразделение имеет свой штат администраторов, поэтому хотелось изначально сделать сервера наиболее независимыми по возможности. Отсюда и идея с самостоятельными доменами. Также работа серверов не должна никоим образом нарушаться при отсутствии связи между друг другом.

Возможно я и ошибаюсь в своих выводах, уж больно поверхностны мои взгляды. Безусловно буду признателен за наставление на путь истинный.
 
30.05.2006
1 345
12
BIT
0
Эти "подразделения" - самостоятельные компании, которых объединяет лишь топ менеджмент.
Рядовым сотрудникам вовсе не нужно знать о сотрудниках других компаний.
Но топ менеджмент хочет иметь идентичную систему для всех компаний. При этом использовать назначение задач и совещания между компаниями.
...
Также необходимо разделение глобальной адресной книги таким образом, чтобы сотрудники отдельно взятой компании из одной ардесной книги могли брать адреса сотрудников только локальной компании, а из других соответственно для других компаний, при этом адресные книги других компаний должны реплицироваться всем остальным.
Так-так... Сетевой проект...

IMHO:
1."подразделения" - разные Нотес-домены. Тогда у них будут независимые АК
2.Дерево имен, думаю, общее. С=<имя холдинга>, OU1=<имя "подразделения"> Не придется мудрить с кросс-сертификатами. И для топов в дереве место есть (в корне)
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Домены разные, это точно.
Общее дерево не самый лучший вариант при совершенно автономных IT. Лучше уж пусть каждое подразделение имеет свое дерево. Кроссертифицировать сервера - не большая проблема.
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Для: Pacifyer

Был очень занят. Завтра распишу мой вариант.

Для: Constantin A Chervonenko

Костя!
Я тут спокойно обдумал твой вариант и появились вопросы. Я понимаю, что это теоретически возможно. А как это получается на практике? Понятное дело, что домен ты можешь прописать какой угодно и даже поменять потом, так как в ID он не прописывается. Ты действительно предлагаешь все в одном дереве или только по названию? Судя по тому, что кроссертифицировать ты не собираешься, то дерево ты хочешь иметь одно.
Но как ты поставишь новый сервер? Что ты ответишь на вопрос это первый сервер или уже нет? Если первый, то создаются новые сертификаты и новая адресная книга. Если не первый, то надо же указать адресную книгу, а мы хотим иметь их раздельными. Получается, что надо делать трюки с регистрацией сервера в существующей книге. Потом делать ее копию, ставить на новый сервер, удалять ненужные записи и тп.

Поправь, если я не прав. Просто я не делал такой установки. У тебя есть такой опыт?
 
30.05.2006
1 345
12
BIT
0
Ты действительно предлагаешь все в одном дереве или только по названию? Судя по тому, что кроссертифицировать ты не собираешься, то дерево ты хочешь иметь одно.
...
Но как ты поставишь новый сервер? Что ты ответишь на вопрос это первый сервер или уже нет? Если первый, то создаются новые сертификаты и новая адресная книга.
...
Поправь, если я не прав. Просто я не делал такой установки. У тебя есть такой опыт?
1 дерево или 2 - вопрос уже почти политический. Если хозяева общие - лучше одно. Рулить будет легче; подписи проверять. При кросс-сертификации же рядовым юзерам все равно будут вылезать запросы и создаваться доп.кросс-сертификаты - в Личной АК.
О регистрации. Не админил уже лет 5, завершил на 4.6.6. Там ТОЧНО была возможность зарегистрить 1-й сервер, но НЕсоздавать корневой сертификат (указамши существующий). Т.о. рожался новый домен, но в старом дереве. Сомневаюсь, что из 6-ки это вырезали. Разве что спрятали от шаловливых ручек новичка.
PS: иТрастовская книжка с инструкцией осталась в той конторе, где админил, не сошлюсь
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!