Проблема с запретом доступа на сервер

shodaner

Green Team
04.02.2022
114
10
BIT
101
Здравствуйте

Обнаружилась проблема с неработающим запретом на доступ к серверу.
Представим текущую настройку на сервере в разделе безопасность. Галка на юзеров в трастед лист не стоит.

Server Access Who can

Access server: XXX1
Not access server: XXX2

При использовании логина XXX2 в Notes и попытки открытия сервера - на сервер не пускает, всё нормально.
Однако при подключении с этого же логина по http через браузер - на сервер пускает, даёт посмотреть базы и т.д.

Где надо копать?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
467
Здравствуйте

Обнаружилась проблема с неработающим запретом на доступ к серверу.
Представим текущую настройку на сервере в разделе безопасность. Галка на юзеров в трастед лист не стоит.

Server Access Who can

Access server: XXX1
Not access server: XXX2

При использовании логина XXX2 в Notes и попытки открытия сервера - на сервер не пускает, всё нормально.
Однако при подключении с этого же логина по http через браузер - на сервер пускает, даёт посмотреть базы и т.д.

Где надо копать?
не помню достоверно, но на вебдоступ только ACL
 

savl

Lotus Team
28.10.2011
2 624
314
BIT
528
В серверном доке, всё что с Http связано.
Возможно, что первой закладки хватит, частично.
А вот полностью отключать анона порой нельзя, без этого нельзя будет авторизоваться.
Так как для авторизации нужен доступ на names.nsf
Так что по базам для закрытия нужно будет пройтись.
Если в ACL нет записи для Anonymous , то он идёт как -Default-
1678375037306.png
1678375086617.png
 

rinsk

Lotus Team
12.11.2009
1 156
126
BIT
43
В серверном доке, всё что с Http связано.
Возможно, что первой закладки хватит, частично.
А вот полностью отключать анона порой нельзя, без этого нельзя будет авторизоваться.
Так как для авторизации нужен доступ на names.nsf
Так что по базам для закрытия нужно будет пройтись.
Если в ACL нет записи для Anonymous , то он идёт как -Default-
Посмотреть вложение 67334Посмотреть вложение 67335
А вот полностью отключать анона порой нельзя, без этого нельзя будет авторизоваться.
Можно - рулится через HTTPPUBLICURLS
 

shodaner

Green Team
04.02.2022
114
10
BIT
101
Нашёл как вырубить доступ
1678451410594.png


Если поставить Yes, юзера больше не пускает и по http

1678451451262.png
 
  • Нравится
Реакции: rinsk и aameno2

savl

Lotus Team
28.10.2011
2 624
314
BIT
528
Нашёл как вырубить доступ


Если поставить Yes, юзера больше не пускает и по http
1678518387950.png


Потому что есть site document для данного сервера, это отдельные документы в names.nsf.
Они имеют приоритет настроек http параметров, вот этот переключатель и говорит: "не важно что у нас в site, берем настройки строго отсюда".
 

shodaner

Green Team
04.02.2022
114
10
BIT
101
Посмотреть вложение 67383

Потому что есть site document для данного сервера, это отдельные документы в names.nsf.
Они имеют приоритет настроек http параметров, вот этот переключатель и говорит: "не важно что у нас в site, берем настройки строго отсюда".
Ваще не понимаю как это связано. Я переключил с Ноу на Ес. Что при этом изменилось подскажите? Откуда он брал Аксесс лист когда было Ноу?
 

savl

Lotus Team
28.10.2011
2 624
314
BIT
528
Ваще не понимаю как это связано. Я переключил с Ноу на Ес. Что при этом изменилось подскажите? Откуда он брал Аксесс лист когда было Ноу?
Не access list он брал, а настройки для web.
В names.nsf есть раздел, там документы должны быть, вот оттуда он настройки и берет, если No стоит.
1678730757491.png
 

shodaner

Green Team
04.02.2022
114
10
BIT
101
Не access list он брал, а настройки для web.
В names.nsf есть раздел, там документы должны быть, вот оттуда он настройки и берет, если No стоит.
Посмотреть вложение 67472
Я в курсе, что это такое :) Но там же нет настройки по группам или конкретным пользователям кого пущать а кого нет. Максимум - анонимус или логин пароль для хттп или хттпс. Такое ограничение есть олько в настройках секурити самого сервера. Т.е. получается что через сайт нельзя ограничить доступ, приходится переключать галку на ес?
 

savl

Lotus Team
28.10.2011
2 624
314
BIT
528
Я в курсе, что это такое :) Но там же нет настройки по группам или конкретным пользователям кого пущать а кого нет. Максимум - анонимус или логин пароль для хттп или хттпс. Такое ограничение есть олько в настройках секурити самого сервера. Т.е. получается что через сайт нельзя ограничить доступ, приходится переключать галку на ес?
Нельзя потому что до авторизации ты не знаешь ни пользователя, ни группы - только анонимус и всё.
После авторизации - уже как раз начинает работать список, так как пользователя состыковали с его lotus_name (если просто) - он теперь известен серверу.
Еще раз: документ сайта имеет приоритет над серверным, то есть у тебя сейчас есть док, в котором разрешен проход анонимуса по http/s на сервер, ты выставил галку "форсировать" настройки и теперь применяется настройка из серверного документа.
нет никакого списка для http/s, есть только разрешение на вход и каким образом: анонимус, авторизация, сертификат.
 
  • Нравится
Реакции: shodaner
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!