• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Служба общего входа

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
В общем вопрос такой
как без синхронизации LDAP сделать так, чтобы виндусовый пароль тут же подхватывался лотусиным
1) При установке клиента - виндовый и лотус разные
2) На старых клиентах - виндовый и лотус = или разные
3) Политиками и для старых и для новых
4) Служба входа работает/не работает
5) ИД на разных компах
6) VaultID заменён
7) При тихой устновки
8) При смартапгрейте

уточню момент
политиками настроил чтобы и служба общего входа работала
но
при обычном инсталле спрашивается пароль на ИД что был вбит при регистрации (что логично)
и потом при принудительной его замене спрашивается новый пароль(что не логично) - хотелось чтобы этого окна не было а сразу забивался виндовый и никаких окон
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Настраивайте Notes Federated Login и будет вам счастье.
Авторизация клиента Notes, iNotes, Traveler производится через сервер ADFS посредством SAML-аутентификации, не используя Lotus пароль.

Первичная настройка клиента Notes также может запускаться, авторизовываться и настраиваться автоматом так, что пользователь при первом старте клиента получает настроенный клиент, минуя всякие запросы и настройки.

В оффлайне же, при недоступности сервера ADFS, отлично срабатывает связка Notes Federated Login с Notes Shared Login.

При развертывании я пользовался всякими презентациями, где все было разжевано подробно. С ходу их не нашел, но могу поделиться в личку сохраненными у себя презентациями в оффлайне.
Но в сети на сайте HCL есть развернутый гайд в pdf-файле - Implementing_Domino_SAML :

Ну и если будут вопросы по ходу развертывания, могу тут подсказать чего.
 
  • Нравится
Реакции: Lazarus

Lazarus

Green Team
11.06.2020
26
1
BIT
0
Первичная настройка клиента Notes также может запускаться, авторизовываться и настраиваться автоматом так, что пользователь при первом старте клиента получает настроенный клиент, минуя всякие запросы и настройки.
Привет, много где искал, разбирал варианты, но так и не нашёл и не придумал как можно "убить" первоначальную настройку полностью, самый минимум - новый пользователь запустив ярлык должен хотя бы ввести пароль от id-файла (сервер, юзернейм и т.д. заполняются через файл конфига установленный в notes.ini в programdata), но как убрать даже этот запрос, так найти и не смог...
P.S. пользаки могут сменить ПК, и нужно, чтобы на новой тачке так же было без первоначальной настройки.
На серваке уже настроен NFL и дополнительно включен NSL (сервер 9.0.1)
Буду благодарен за информацию.
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Если на стороне сервера все настроено, то для беспарольной первичной настройки клиента необходимо:
1. Разместить файл deploy.nsf в папке \framework\rcp\deploy\extras\ програмной папки, где установлен клиент Notes (конфигурации Standard).
Например, если клиент установлен по дефолту, то сюда:
C:\Program Files (x86)\IBM\Notes\framework\rcp\deploy\extras
Файл же deploy.nsf - по сути, это адресная книжка, в которой должен быть размещен сертификат adfs. Он у вас уже размещен в DD, если настраивали сервер.
Файл deploy.nsf создается путем импорта сертификатов из DD, выделив требуемые сертификаты и выбрав действие Export Certificates to Deploy Database.
2. В programdata в файле notes.ini должен быть добавлен следующий параметр: FORCE_PROCESS_DEPLOY_NSF=1
3. В programdta должен быть заполнен setups.txt, чтобы не запрашивался сервер, юзернейм и прочее (это у вас уже сделано)
Юзернейм должен быть в формате канонического имени (CN=.../OU=.../O=....)

Вот инструкция поподробнее
 
Последнее редактирование:
  • Нравится
Реакции: rinsk, Lazarus и alexas1

Lazarus

Green Team
11.06.2020
26
1
BIT
0
Если на стороне сервера все настроено, то для беспарольной первичной настройки клиента необходимо:
1. Разместить файл deploy.nsf в папке data в следующей подпапке: deploy/extras
Файл deploy.nsf - это адресная книжка, в которой должен быть размещен сертификат adfs. Он у вас уже размещен в DD, если настраивали сервер.

2. В programdata в файле notes.ini должен быть добавлен следующий параметр: FORCE_PROCESS_DEPLOY_NSF=1
3. В programdta должен быть заполнен setups.txt, чтобы не запрашивался сервер, юзернейм и прочее (это у вас уже сделано)
К сожалению так и не смог добиться положительного результата, по прежнему запрашивает пароль при запуске клиента.
Что сделано:
-создан deploy.nsf (экспортом из security\certificates) - при создании выбраны галочками все сертификаты. (единственный нюанс - в документации на hcl по ссылке требуется names.nsf версии выше 8.5 для экспорта сертификата, на руках версия файла R6 стандартная при установке админского клиента версии 9.0.1)
-закинут на другой ПК, где обычный клиент (без дизайнера и админа) в user\appdata\********\data\deploy\extras
-в programdata в notes.ini добавлена строчка FORCE_PROCESS_DEPLOY_NSF=1
-проверено на двух серверах, на одном связка NSL+NFL, на втором только NFL, новый пользователь, пароль Lotus равен AD

Возможно не хватает какого-то действия по настройке NFL или ещё чего-то, ибо сервера настраиваются впервые (сам ещё немного клешнями клац-клац)
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
-закинут на другой ПК, где обычный клиент (без дизайнера и админа) в user\appdata\********\data\deploy\extras
Упс! Рабочий день был плотный, писал второпях и на автопилоте)
Допустил ошибку в своем описании, deploy.nsf надо в папку, куда установлен Notes, класть, а не в пользовательскую.
Необходимо найти там папку \framework\rcp\deploy\extras\ и разместить там файл.
Например, если по дефолту, то сюда:
C:\Program Files (x86)\IBM\Notes\framework\rcp\deploy\extras

Это если речь о клиенте типа Standard, а не Basic.
В инструкции в инете так и указано:
Note: When you install Notes (standard configuration), deploy.nsf is created in the extras directory in the install kit and installed to the Notes framework\rcp\extras directory. If using Notes (basic configuration) install kit customization, the deploy.nsf should be installed to the user's data directory.

Поправил свой текст в предыдущем посте, чтобы форумян не путать.
 
  • Нравится
Реакции: Lazarus

Lazarus

Green Team
11.06.2020
26
1
BIT
0
Упс! Рабочий день был плотный, писал второпях и на автопилоте)
Допустил ошибку в своем описании, deploy.nsf надо в папку, куда установлен Notes, класть, а не в пользовательскую.
Необходимо найти там папку \framework\rcp\deploy\extras\ и разместить там файл.
Например, если по дефолту, то сюда:
C:\Program Files (x86)\IBM\Notes\framework\rcp\deploy\extras
Хм, я вот в инструкции видел про расположение, но не смог правильно перевести, и пробовал папку framework в пользовательской data создавать :)))
Перекинул, но теперь другая проблема:
1592978187123.png
На обоих серверах пишет, что файл учётной записи занят, а после попытки подключения (ведь за "далее" уже установлены настройки), говорит, что id файла на сервере не обнаружено...

Есть мысли что ещё может быть не так?
 
Последнее редактирование:

Lazarus

Green Team
11.06.2020
26
1
BIT
0
На обоих серверах пишет, что файл учётной записи занят
При переключении на английский клиент 1593070789341.png поисковик выдал несколько ответов по английскому варианту, но всё-таки ничего вразумительного... :( Хэлп, плиз
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Сообщение, что файл учетной записи занят - просто неинформативное сообщение о какой-то ошибке. Были разные проблемы, а текст ошибки всегда был один и тот же.
Я бы посмотрел на стороне сервера логи в этот момент.

А при настроенном клиенте точно срабатывает механизм NFL? При беспарольном клиенте в Безопасности Пользователя (File\Security\User Security) фигурирует надпись, что ид-файл не сохранен на диске, а загружен из хранилища и хранится в оперативной памяти? Т.е. в поле Файл Учетной Записи должна быть запись - что учетка в памяти, а не в файле *.id Это признак, что работает механизм NFL (notes federated login), а не NSL (notes shared login).

Если все работает, а не хочет только первичная настройка клиента подхватывать механизм NFL, необходимо дебаг id vault включать - на стороне сервера и клиента.
Вот хороший документ -
На стр.44 там приведены параметры для сервера и клиента, которые включают отладку.
 
  • Нравится
Реакции: Lazarus

Lazarus

Green Team
11.06.2020
26
1
BIT
0
А при настроенном клиенте точно срабатывает механизм NFL? При беспарольном клиенте в Безопасности Пользователя (File\Security\User Security) фигурирует надпись, что ид-файл не сохранен на диске, а загружен из хранилища и хранится в оперативной памяти? Т.е. в поле Файл Учетной Записи должна быть запись - что учетка в памяти, а не в файле *.id Это признак, что работает механизм NFL (notes federated login), а не NSL (notes shared login).
Да, естественно через примерно минуту политика накатывается, а там и сообщение появляется и в настройках гласит, что в памяти файл.

Сообщение, что файл учетной записи занят - просто неинформативное сообщение о какой-то ошибке. Были разные проблемы, а текст ошибки всегда был один и тот же.
Капец, два дня потратил на бесчисленное количество запросов в гугол разносторонних )))) а оказывается ошибка может вообще означать другое... л-логика, л-лотусь )))

Книжку по SAML эту я читал конечно, ночью уж не полезу на рабочий сервак, завтра посмотрю и отпишусь по результату.
Спасибо огромное за подсказку :)
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
А, что еще может быть - удостоверьтесь, что username, который используется в setup.txt для передачи имени пользователя в настройки клиента при первом старте, записан в полном каноническом виде: CN=.../OU=.../O=....
Как помню, использование shortname - не давало успешного срабатывания NFL
 
  • Нравится
Реакции: Lazarus

Lazarus

Green Team
11.06.2020
26
1
BIT
0
А, что еще может быть - удостоверьтесь, что username, который используется в setup.txt для передачи имени пользователя в настройки клиента при первом старте, записан в полном каноническом виде: CN=.../OU=.../O=....
Как помню, использование shortname - не давало успешного срабатывания NFL
Иииииииии.... в точку!
За сегодня много всего перепробовал, и уже собирался сюда прикладывать лог, когда увидел это сообщение. Смена в конфиге на каноническое имя вызывает дополнительные проблемы, но самое главное работает.
Так же ещё одной проблемой было то, что в C:\Program Files (x86)\IBM\Notes\framework\rcp\deploy\extras не было прав на запись, дал себе права и одной ошибкой в логе стало меньше.

Проверил на сервере где NSF+NSL - не сработало. Как я понимаю (вроде видел такую информацию где-то, но это не точно) - в связке работать не будет и надо будет NSL вырубить? Ну либо там я чего-то не сделал из тех манипуляций, которые делал на первом серваке.
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
У меня всё работает именно в связке NFL+NSL.
Там где недоступен NFL, сработает NSL - такова идеология работы этих двух механизмов, если они включены вместе.
У меня политиками отключено где-то срабатывание NSL (если перемещаемый профиль Windows или терминальная сессия), где-то - срабатывание NFL (на гостевых или некорпоративных ПК).

С каноническим именем тоже дошел не сразу. До этого пришлось включить дебаг на сервере и клиенте и потратить несколько дней))
Почему-то в инструкциях и презентациях я совета про каноническое имя не встретил.
 
  • Нравится
Реакции: Lazarus

Lazarus

Green Team
11.06.2020
26
1
BIT
0
У меня всё работает именно в связке NFL+NSL.
Там где недоступен NFL, сработает NSL - такова идеология работы этих двух механизмов, если они включены вместе.
У меня политиками отключено где-то срабатывание NSL (если перемещаемый профиль Windows или терминальная сессия), где-то - срабатывание NFL (на гостевых или некорпоративных ПК).

С каноническим именем тоже дошел не сразу. До этого пришлось включить дебаг на сервере и клиенте и потратить несколько дней))
Почему-то в инструкциях и презентациях я совета про каноническое имя не встретил.
Ну я вообще через отладку только додумался доступ на редактирование себе к папке \framework\rcp\deploy\extras дать, а так сколько смотрел, всё одно, если бы не подсказка, то я бы и не вспомнил, что видел про каноническое имя тут:
просто это было вкупе со всем остальным (много чего искал) и сам бы не додумался :)))
В общем на одном сервере всё вроде бы ништяк, а на втором пока не идёт, раз проблема не в связке, значит где-то с сертификатами. Пока смотрим и тестируем.

Вообще тема эта интересная и для других мне кажется было бы правильнее её в гайды куда-нибудь тут :)
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Дополнил свой пост про требование канонического имени в юзернейме - чем не гайд теперь ;) Кому надо, тот найдет.
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Да, вместе или порознь - не имеет значения. Беспарольная настройка должна работать.
 

Lazarus

Green Team
11.06.2020
26
1
BIT
0
У меня политиками отключено где-то срабатывание NSL (если перемещаемый профиль Windows или терминальная сессия)
Привет, столкнулись с тем, что на терминалках глючит NFL - зависает при запуске (периодически), после убивания процессов LN и повторном запуске нормально отрабатывает. Версия Domino 9.
У тебя такая же была проблема? Обойти не получилось? В документации опять же про такой вариант ничего нет (это же не совсем перемещаемый профиль)
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
15
Привет, столкнулись с тем, что на терминалках глючит NFL - зависает при запуске (периодически), после убивания процессов LN и повторном запуске нормально отрабатывает. Версия Domino 9.
У тебя такая же была проблема? Обойти не получилось? В документации опять же про такой вариант ничего нет (это же не совсем перемещаемый профиль)
Ну клиент при старте зависает везде так или иначе у разных пользователей по разным причинам, но это частные случаи. А на терминале, можно сказать, самая стабильная конфигурация, т.к. у всех пользователей однородная среда и настройки, в отличие от зоопарка из компьютеров и ноутбуков.
Стоит проверить логи клиента, или включить расширенные логи клиента по части аутентификации. А для начала - убедиться, что папка с клиентом добавлена в исключения антивируса, например.
 

Lazarus

Green Team
11.06.2020
26
1
BIT
0
Ну клиент при старте зависает везде так или иначе у разных пользователей по разным причинам, но это частные случаи. А на терминале, можно сказать, самая стабильная конфигурация, т.к. у всех пользователей однородная среда и настройки, в отличие от зоопарка из компьютеров и ноутбуков.
Стоит проверить логи клиента, или включить расширенные логи клиента по части аутентификации. А для начала - убедиться, что папка с клиентом добавлена в исключения антивируса, например.
Да в логах пока не вижу в упор ничего такого )) Суть в том, что на обычных тачках NFL работает нормально, на терминалках без NFL нормально. Стоило на пользователей с терминалками накатить политику и deploy.nsf кинуть - так начался рандомайзер ))) У кого-то всё норм, у кого-то приходится через отрубание процессов с повторным запуском. Пока ломали голову, мне напомнили коллеги про твоё сообщение, что терминалки на NSL использовал, вот решил спросить
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!