Права и ограничения для пользователей доверенного сервера

[anna]

Многоуважаемый All! Кроссертифицированы два сервера "Рабочий" и "Внешний" - в разных доменах, в разных организациях. Как правильно прописывать ограничения (в ACL)? Какой по умолчанию доступ имеют пользователи "внешнего" к "рабочему"? Какой по умолчанию доступ имеет сервер?

 

[lmike]

зависит от АКЛ и настроек серверного дока
если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
ЕМНИП, может коллеги поправят

 

[Мыш]

зависит от АКЛ и настроек серверного дока
если ничего не настраивали - никакого (не смогут аутентифицироваться со всеми вытекающими)
ЕМНИП, может коллеги поправят

Почему не смогут? Должны смочь - по причине кросс-сертификации.
Соббсно, по умолчанию у чужих будут такие же права доступа к базам, как у -Default-
Другое дело, если на нашем сервере стоит галка "Compare public keys..." и нет реплики чужой адресной. Тогда не смогут... Или если фаерволом закрыты чужие IP-адреса. В общем, нюансы могут быть...

 

[lmike]

Соббсно, по умолчанию у чужих будут такие же права доступа к базам, как у -Default-

если в доступе к серверу есть группа с "ними"

 

[Мыш]

если в доступе к серверу есть группа с "ними"

На да, и это тоже Короче - возможность аутентифицироваться можно зарезать различными способами )))

 

[lmike]

На да, и это тоже Короче - возможность аутентифицироваться можно зарезать различными способами )))

я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет

 

[Мыш]

я про что - что, по-умолчанию, ничего не прописано, а потому и доступа не будет

Вы про поле "Access server"? Дык по умолчанию оно не пустое разве? Честно гря, не знаю, как в новых версиях, с нуля давно уже не ставил А при пустом как раз ВСЕ могут...

 

[anna]

Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?

 

[Wanderstep]

Разделим предоставление доступа на несколько уровней.

1. На уровне серверного документа. Смотрим, что прописано на вашем сервере во вкладке Security в полях Access server, Not Access Server. Если кликнуть на названия этих полей, то выскочит подсказка, на что эти поля влияют и что будет, если поле пустое.
   Поле Access Server по умолчанию пустое - это значит, что доступ к серверу имеют абсолютно все. Так не рекомендуют делать, как минимум, пропишите туда маску типа */OU/O для вашего домена и для соседних доменов, если им доступ нужен тоже для всех. Как максимум, вписать в поле Access Server группы доступа. А группы доступа наполняете тем составом, кому хотите предоставить доступ. Например, обязательно впишите туда LocalDomainServers (чтобы ваши сервера не остались без доступа), LocalDomainAdmins и OtherDomainServers. Также добавьте туда группу доступа, куда включены пользователи.
   Будьте внимательны с полем Access Server. Как только вы начнете туда что-то вписывать, то те, кого вы забыли перечислить в данном поле, доступ к серверу потеряют.
   Поле Not Access Server используется для явного запрета и имеет приоритет над полем Access Server - туда добавляем группы доступа типа Deny Access. Такие группы полезны для добавления туда уволенных сотрудников. Кого вы туда впишите, тот и не будет иметь доступ - это к вашему вопросу, что будет, если вы впишете туда сервера. В таком случае, только эти сервера и не будут иметь доступ.
2. На уровне ACL баз данных. После того, как мы прошли первый уровень доступа на уровне сервера, далее идет проверка на доступ к базе, к которой обращается сервер или пользователь. При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае), а также группы LocalDomainServers и OtherDomainServers. По умолчанию, в предустановленных типовых базах для LocalDomainServers выдаются права на уровне редактора, а для OtherDomainServers - читатель. Поэтому в LocalDomainServers размещают обычно сервера из своего домена, а в OtherDomainServers - внешние и сторонние сервера. В ACL, а также в группах доступа, вы также можете использовать маски типа */OU/O.

 

[Мыш]

Разделим предоставление доступа на несколько уровней.

При настройках по умолчанию в ACL будут присутствовать Default (его лучше везде запрещать в любом случае)​

Не совсем уж везде. Скажем, в ACL баз mail*.box не факт, что надо запрещать

 

[Мыш]

Итак, вывод - внешние сервера после кроссертификации имеют доступ, определенный для Default. А пользователи?
И все-таки как управлять доступом этих серверов - прописать в ACL имя, сказать, что это сервер и определять доступ? это сработает? почему спрашиваю - наши-то сервера имеют серверные документы и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?

У нас тут типичная путаница с аутентификацией (АУ) и авторизацией АВ). Если запретить чужим АУ (полем Access Server, фаерволлом и т.п.) , то никто (ни сервер, ни юзер) никуда вообще не зайдет. Соббсно гря, это все как бы один большой лотусовый фаерволл, просто правила фильтрации определяются на разных этапах АУ.
АВ уже определяет права доступа пользователей и серверов к базам. Тут будут работать права -Default-, если права для чужих не указаны явно.

 

[lmike]

и прописаны в АК, оттуда и подставляются, а этих мы называем вручную. И если no acсess серверам, то и пользователям с них тоже no access? Или как?

ну вручную-то зачем
как и указывали коллеги - вполне можно использовать группы, а вот где они определяются...
можно в АК, можно в ДА, но там только "одна" запись может подставлять свои группы тоже (начиная с 6-ки 1-а доп. запись с "внешней" АК + 1-а ЛДАП)