• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Работа с ключами

  • Автор темы motogarri
  • Дата начала
  • Теги
    key
M

motogarri

Привет. Появилась необходимость автоматизировать смену публичного ключа. Чтобы пользователю просто нажать кнопку "Сменить ключ", ввести пароль и все. Админу улетел запрос на заверение нового ключа.
Что-то не могу найти ничего такого ни в скрипте ни в апи. Может сталкивался кто?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
motogarri сказал(а):
смену публичного ключа
Нажмите, чтобы раскрыть...
ключи в ИД - это и есть основа аутентификации пользователя, смена ключей - смена пользователя (с утерей всех шифрованных доков/полей)
или речь идет о смене "других" ключей, не связанных с ИД?
 
M

motogarri

Именно об этих ключах. В интерфейсе девятки это выглядит так:
1. File/Security/User Security
2. Набор пароля
3. Your identity/Your Certificates
4. Нажать кнопку Other Actions/Create New Public Keys
5. Выбрать Mail Protocol, нажать кнопку Resubmit
6. Ввести почтовый адрес, отправить

При некоторых условиях, пользователю иногда нужно сменить ключи (такие моменты возникают, почему не могу сказать), это сложно. Для многих это вообще непреодолимое препятствие. Вот, ищу способ облегчить им жизнь.

Видел, что с помощью notes api можно извлечь публичный ключ из id файла. Это тоже пригодилось. А вот как-бы его сменить и отправить запрос на заверение администратору.
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
motogarri сказал(а):
При некоторых условиях, пользователю иногда нужно сменить ключи
Нажмите, чтобы раскрыть...
на уровне vault есть
User key rollover
The ID vault server takes care of the User key rollover process. For all vaulted users, the option for users to create new publics keys from a Notes client is disabled. User key rollover is automatically triggered as configured via policy when needed, and is also automatically completed of by the ID vault. An advantage of this is that users will never receive dialogs related to User key rollover. Also, User key rollover will always only be initiated once on the ID vault server. Users should not attempt rolling over keys using pre-Notes 8.5 clients themselves, as this could lead to discrepancies between the user's local ID file and the vaulted ID file.
Нажмите, чтобы раскрыть...
[doublepost=1487584301,1487581285][/doublepost]что бы ассоциировать с вопросом
For IBM® Lotus® Domino® 6 and earlier servers, creating and certifying a new public key requires the following procedures, which are described below:

  • The user creates the new public key and submits it for certification.
  • The certification administrator certifies the user's public key with a IBM® Lotus® Notes® certificate and adds it to the Domino Directory.
  • The user merges the new certificate into the user's ID file.
For Domino 7 and later servers, administrators can use the key rollover process for creating new public keys through a security settings policy document. Users can also trigger key rollover through the User Security dialog box.
Нажмите, чтобы раскрыть...
 
B

Baneslaer

ToxaRat сказал(а):
1) вот и я спрашиваю ЗАЧЕМ?
2) шифрованные доки читаются личным ключем а не публичным
Нажмите, чтобы раскрыть...

человек спрашивает, как вместо кучи нажиманий по кнопкам сделать одну удобную всем кнопку...
соответственно ответ на вопрос Зачем? - Затем=)
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Baneslaer сказал(а):
человек спрашивает, как вместо кучи нажиманий по кнопкам сделать одну удобную всем кнопку...
соответственно ответ на вопрос Зачем? - Затем=)
Нажмите, чтобы раскрыть...
одна удобная кнопка есть у админа
зачем юзерам вообще что-то нажимать?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
да и в принципе - ресертификация персоны, КМК, даст смену ключа
 
Мыш

Мыш

Lotus Team
12.02.2008
1 219
29
BIT
66
Не проще ли пользователя перерегистрировать с тем же именем? Эта процедура точно создаст новые ключи.
Вопрос- как подсунуть новый ID... Если настроен Vault, то в API есть ф-ции для работы с ним....
 
Мыш

Мыш

Lotus Team
12.02.2008
1 219
29
BIT
66
Constantin A Chervonenko сказал(а):
Предварительно придётся существующего юзера ДЕрегистрировать. Что тоже геморрой
Нажмите, чтобы раскрыть...
А зачем ДЕрегистрировать? В стародавние времена :) проблему забытых паролей от ID-файлов решали именно перерегистрацией пользователя прям поверх... Ессно, базу почтовую надо как-то сохранить, доступ к зашифрованным документам утратится... Кстати, с зашифрованными не помню как проблема-то решается при штатной замене ключей - старые сохраняются в ID что ли?...
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Мыш сказал(а):
А зачем ДЕрегистрировать? В стародавние времена :) проблему забытых паролей от ID-файлов решали именно перерегистрацией пользователя прям поверх... Кстати, с зашифрованными не помню как проблема-то решается при штатной замене ключей - старые сохраняются в ID что ли?...
Нажмите, чтобы раскрыть...
Гм.. Поверх? Вообще-то оно брыкаться будет - неуникальные имена и всё такое.. "В стародавние времена" просто удаляли док-т из АК и тогда уж регистрировали
Да, старые ключи в ID по идее должны сохраняться. Ведь на них завязана аутентификация, а не только шифрование. Вдруг юзер ткнётся в домен, куда его новые ключи не дошли ещё?
[doublepost=1490113680,1490113547][/doublepost]
ToxaRat сказал(а):
вернёмся к истокам - зачем это потребовалось вообще?
Нажмите, чтобы раскрыть...
Полагаю - паранойя. Периодическая плановая замена ключей. А если и не плановая (при дискредитации) - а в конторе самопальный IDM
 
M

motogarri

Там все сложно в организационном плане. Именно пользователь должен сменить свой ключ, а администратор у себя его заверить. Я уже понял, что не получится "свою" кнопку сделать.
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
motogarri сказал(а):
Именно пользователь должен сменить свой ключ, а администратор у себя его заверить. Я уже понял, что не получится "свою" кнопку сделать.
Нажмите, чтобы раскрыть...
"И это правильно, товарищи!"(с)
Вы представляете, если-бы начальник 1-го отдела в-тихомолку шмонал карманы сотрудников и подкидывал им другие ключи от сейфов и личные печати? А потом привлекал к ответственности на том основании, что дверь опечатана не той печатью!

Вы рассматриваете что-то подобное. Секретные документы и юр.значимые подписи - это серьёзно. Они невозможны без ответственного/сознательного отношения сотрудника
 
ToxaRat

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
Constantin A Chervonenko сказал(а):
Вы рассматриваете что-то подобное. Секретные документы и юр.значимые подписи - это серьёзно. Они невозможны без ответственного/сознательного отношения сотрудника
Нажмите, чтобы раскрыть...
ну дык - юзайте етокены всякие - очень ответственно вставить флешку и с помощью её авторизироваться, а там уже нормальный лотус ИД, завереный и умеющий правильно работать с токеном
и эффект присутствия офигенный
и журналирование можно вести
и токен не авторизировать по выходным

чо не так?

а если это старый совок с ИД файловой помойкой на компе юзера - то где гарантия, что комп не включил сосед и в отпуске не зашёл под коллегой?

чтобы понять проблему - нужно самому стать проблемой :)
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ