Проблема с запретом доступа на сервер

abbdomino · 09.03.2023

Здравствуйте

Обнаружилась проблема с неработающим запретом на доступ к серверу.
Представим текущую настройку на сервере в разделе безопасность. Галка на юзеров в трастед лист не стоит.

Server Access Who can

Access server: XXX1
Not access server: XXX2

При использовании логина XXX2 в Notes и попытки открытия сервера - на сервер не пускает, всё нормально.
Однако при подключении с этого же логина по http через браузер - на сервер пускает, даёт посмотреть базы и т.д.

Где надо копать?

lmike · 09.03.2023

abbdomino сказал(а):
Здравствуйте

Обнаружилась проблема с неработающим запретом на доступ к серверу.
Представим текущую настройку на сервере в разделе безопасность. Галка на юзеров в трастед лист не стоит.

Server Access Who can

Access server: XXX1
Not access server: XXX2

При использовании логина XXX2 в Notes и попытки открытия сервера - на сервер не пускает, всё нормально.
Однако при подключении с этого же логина по http через браузер - на сервер пускает, даёт посмотреть базы и т.д.

Где надо копать?

не помню достоверно, но на вебдоступ только ACL

savl · 09.03.2023

В серверном доке, всё что с Http связано.
Возможно, что первой закладки хватит, частично.
А вот полностью отключать анона порой нельзя, без этого нельзя будет авторизоваться.
Так как для авторизации нужен доступ на names.nsf
Так что по базам для закрытия нужно будет пройтись.
Если в ACL нет записи для Anonymous , то он идёт как -Default-

aameno2 · 09.03.2023

Запрет не действует на веб.

rinsk · 10.03.2023

savl сказал(а):
В серверном доке, всё что с Http связано.
Возможно, что первой закладки хватит, частично.
А вот полностью отключать анона порой нельзя, без этого нельзя будет авторизоваться.
Так как для авторизации нужен доступ на names.nsf
Так что по базам для закрытия нужно будет пройтись.
Если в ACL нет записи для Anonymous , то он идёт как -Default-
Посмотреть вложение 67334 Посмотреть вложение 67335

А вот полностью отключать анона порой нельзя, без этого нельзя будет авторизоваться.

Можно - рулится через HTTPPUBLICURLS

savl · 10.03.2023

rinsk сказал(а):
Можно - рулится через HTTPPUBLICURLS

Это что именно?

rinsk · 10.03.2023

savl сказал(а):
Это что именно?

Ссылка скрыта от гостей

Т е можно откл доступ анонимусу, оставив только конкретный ресурс для логина

abbdomino · 10.03.2023

Нашёл как вырубить доступ

Если поставить Yes, юзера больше не пускает и по http

savl · 11.03.2023

abbdomino сказал(а):
Нашёл как вырубить доступ

Если поставить Yes, юзера больше не пускает и по http

Потому что есть site document для данного сервера, это отдельные документы в names.nsf.
Они имеют приоритет настроек http параметров, вот этот переключатель и говорит: "не важно что у нас в site, берем настройки строго отсюда".

abbdomino · 13.03.2023

savl сказал(а):
Посмотреть вложение 67383

Потому что есть site document для данного сервера, это отдельные документы в names.nsf.
Они имеют приоритет настроек http параметров, вот этот переключатель и говорит: "не важно что у нас в site, берем настройки строго отсюда".

Ваще не понимаю как это связано. Я переключил с Ноу на Ес. Что при этом изменилось подскажите? Откуда он брал Аксесс лист когда было Ноу?

savl · 13.03.2023

abbdomino сказал(а):
Ваще не понимаю как это связано. Я переключил с Ноу на Ес. Что при этом изменилось подскажите? Откуда он брал Аксесс лист когда было Ноу?

Не access list он брал, а настройки для web.
В names.nsf есть раздел, там документы должны быть, вот оттуда он настройки и берет, если No стоит.

abbdomino · 14.03.2023

savl сказал(а):
Не access list он брал, а настройки для web.
В names.nsf есть раздел, там документы должны быть, вот оттуда он настройки и берет, если No стоит.
Посмотреть вложение 67472

Я в курсе, что это такое

Но там же нет настройки по группам или конкретным пользователям кого пущать а кого нет. Максимум - анонимус или логин пароль для хттп или хттпс. Такое ограничение есть олько в настройках секурити самого сервера. Т.е. получается что через сайт нельзя ограничить доступ, приходится переключать галку на ес?

savl · 14.03.2023

abbdomino сказал(а):
Я в курсе, что это такое Но там же нет настройки по группам или конкретным пользователям кого пущать а кого нет. Максимум - анонимус или логин пароль для хттп или хттпс. Такое ограничение есть олько в настройках секурити самого сервера. Т.е. получается что через сайт нельзя ограничить доступ, приходится переключать галку на ес?

Нельзя потому что до авторизации ты не знаешь ни пользователя, ни группы - только анонимус и всё.
После авторизации - уже как раз начинает работать список, так как пользователя состыковали с его lotus_name (если просто) - он теперь известен серверу.
Еще раз: документ сайта имеет приоритет над серверным, то есть у тебя сейчас есть док, в котором разрешен проход анонимуса по http/s на сервер, ты выставил галку "форсировать" настройки и теперь применяется настройка из серверного документа.
нет никакого списка для http/s, есть только разрешение на вход и каким образом: анонимус, авторизация, сертификат.

Все сервисы Codeby

Поиск

Поиск

Проблема с запретом доступа на сервер

abbdomino

lmike

нет, пердело совершенство

savl

aameno2

rinsk

savl

rinsk

abbdomino

savl

abbdomino

savl

abbdomino

savl