• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Web-авторизация

  • Автор темы nvyush
  • Дата начала
N

nvyush

Здравствуйте все!

Возникла задача - ограничить доступ пользователей к своей почте из интернет. При попытке открытия почтовой базы дополнительно к логин/пароль проверять, есть ли пользователь в заданной группе в names.nsf, если нет - пошел на фиг. Выяснил, что форма логина - $$LoginUserForm в domcfg.nsf, но как и куда она обращается никак не соображу.

Кто подскажет, в какую сторону копать?
 
N

nvyush

тебе в раздел администрирования

Задачка-то от администратора (сертифицированного!!!). Он говорит, что такое можно сделать только программированием, а его этому не учили...
А я лотус изучал по книжке Эллиота и хэлпу.
 
K

Klido

мда... ограничить доступ проверкой на вхождение в группу... грамотнее как в inotes - после логина пароля ещё и пароль на id лотусиное, которое либо в АК, либо в почтовом ящике... и почту шифровать всю...

ну а так - на открытии базы проверить вхождение user-а в группу и если нет - не открывать... под клиента легко, под вэб - не пробовал, но наверняка похоже...
 
R

RAJ

если под веб выделен отдельный сервер,
разместите реплики почтовых баз только "нужных" людей :)
 
N

nvyush

мда... ограничить доступ проверкой на вхождение в группу... грамотнее как в inotes - после логина пароля ещё и пароль на id лотусиное, которое либо в АК, либо в почтовом ящике... и почту шифровать всю...

ну а так - на открытии базы проверить вхождение user-а в группу и если нет - не открывать... под клиента легко, под вэб - не пробовал, но наверняка похоже...

Если б у баз было событие QueryOpen, то можно было бы делать проверку там и запрещать открытие, но такого события нет :(. К тому же у базы все события только под клиента :(.

Как сделать проверку вхождения в группу на собаках я представляю, но куда ее воткнуть???

если под веб выделен отдельный сервер,
разместите реплики почтовых баз только "нужных" людей :)

сервер один
 
K

Klido


бредим дальше... :)
а ПАПКУ на сервере с ограниченным доступом для группы и туда - файлы почты поместить? :(


ну а познавательно, если не секрет, от чего вы собрались таким образом защищаться?
реально выше был правильный ответ - задача админская и ему в раздел администрирования :(
 
R

RAJ

а если так:
закрыть по умолчанию доступ к iNotes Redirect и
открыть только нужной группе
 
K

Klido

закрыть по умолчанию доступ к iNotes Redirect и
открыть только нужной группе

они не хотят ограничивать доступ всем, они похоже хотят, чтоб некоторые не могли читать почту, а в приложениях, например, работать могли... почти единственное, что приходит в голову из разумных объяснений...
 
R

RAJ

они не хотят ограничивать доступ всем, они похоже хотят, чтоб некоторые не могли читать почту, а в приложениях, например, работать могли... почти единственное, что приходит в голову из разумных объяснений...

так iNotes Redirect только за почту и отвечает :)
а в остальные базы будет пускать
 
N

nvyush

так iNotes Redirect только за почту и отвечает :)
а в остальные базы будет пускать

Смысл в том, чтоб веб-доступ был только у пользователей, включенных в определенную группу, не важно - почта или другие базы.
Сейчас это сделано тем, что пользователи не могут установить себе интернет-пароль (по умолчанию доступ к names.nsf только на чтение). Возникла необходимость в сейм-тайм и соответственно в интернет-паролях для всех.
Редирект не катит - если пользователь знает путь и имя своей базы, то редирект обходится явным прописыванием пути в адресной строке браузера.
 
R

RAJ

давайте доступ по IP-адресам на 80/443 порт
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
а не проще ли тем язерам, которые не должны входить в свой ПЯ
указать в ALC ПЯ на последней закладке Максимальный доступ через инет - Нет доступа?
:)
 
R

RAJ

а не проще ли тем язерам, которые не должны входить в свой ПЯ
указать в ALC ПЯ на последней закладке Максимальный доступ через инет - Нет доступа?
:)

так вроде они хотят, чтобы часть юзеров пускало
 
K

Klido

Максимальный доступ через инет - Нет доступа

и если юзеров много - гемора много, но оно подходит
Tip You can use this setting to prevent Internet users from accessing the database using name-and-password authentication. By setting it to "No Access," the database would then be accessible only to Notes users or Internet users who authenticate using SSL client certificates.
 
N

nvyush

а не проще ли тем язерам, которые не должны входить в свой ПЯ
указать в ALC ПЯ на последней закладке Максимальный доступ через инет - Нет доступа?
:)

Юзеров много, лазить по всем ящикам и настраивать всем ACL таким образом очень геморрно, к тому же это не решает проблемы доступа к базам приложений.
 
R

RAJ

Юзеров много, лазить по всем ящикам и настраивать всем ACL таким образом очень геморрно, к тому же это не решает проблемы доступа к базам приложений.

в админке можно пакетно управлять базами: Ctrl+A, ACL Manage....
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
domcfg направляет в базу с формой MappingLoginForm (обычно dclf.nsf)
на форму можно записать поле, кот. заполнится агентом (с правами сервера) при открытии
в это поле внести список юзеров из нужных групп
и не давать сабмит, при совпадении

опровержение - агент не пущается (увы)
 
N

nvyush

domcfg направляет в базу с формой MappingLoginForm (обычно dclf.nsf)
на форму можно записать поле, кот. заполнится агентом (с правами сервера) при открытии
в это поле внести список юзеров из нужных групп
и не давать сабмит, при совпадении

Спасибо, попробую
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!