Заведение нового пользователя

  • Автор темы Автор темы anna
  • Дата начала Дата начала
A

anna

Коллеги, подскажите, пожалуйста.
Когда заводится новый юзер в лотус, это делается под id сертификатора, у которого очень широкий спектр полномочий. То есть, предполагается, что это должен админ системы. А нам надо передать функционал заведения пользователя рядовому сотруднику, так, чтобы он лишнего не попортил даже при желании.
Заранее спасибо!
 
lmike сказал(а):
не совсем понятно...
создать ИД может один, наделить пользователя (связанного с ИД) правами - другой
Нажмите, чтобы раскрыть...
Ну, про очередь регистрации я знаю немного. Тут как раз случай такой - чтобы совсем без вмешательства лотус-админа и выдачи серт.ид
 
Если не хотите выдавать id-файл сертификата, можно его мигрировать в CA.
 
Teal сказал(а):
Если не хотите выдавать id-файл сертификата, можно его мигрировать в CA.
Нажмите, чтобы раскрыть...
Интересно, надо посмотреть, как это. И это позволит ограничить сотрудника-регистратора только возможностью заводить пользователей?
 
CA нужно будет запустить без пароля (т.е. при миграции не задавать пароль)
поставить его в загрузку с сервером
настроить выбор CA клиент-админе (ну там и полиси пробить нужные...)
в этом случае сертифайера выдавать не нужно
НО для vaultID нужен сервак версии ЕМНИП более 8.5.1 (для работы с CA) и сам волт управляется через ИД, пишут что CA работать будет
[DOUBLEPOST=1459850824,1459850712][/DOUBLEPOST]я волт настраивал, но еще не регал новых юзеров (через CA с волтом)
просто через CA уж лет несколько регаю (забыл где сертифайр лежит ;) )
 
anna сказал(а):
И это позволит ограничить сотрудника-регистратора только возможностью заводить пользователей?
Нажмите, чтобы раскрыть...
Это позволить не выдавать сам файл сертификатора человеку, а дать права на его использование(регистрация, сертификация...)
 
С волт и с СА как совместно так и отдельно проблем нет - все работает как часы
 
Итак, по итогам - CA нормально работает. Однако, при регистрации юзеров через CA, нужно делать ряд волшебных пассов руками:
1) в базе Administration Requests в виде Certificate Requests выделять новые записи и в действиях нажимать Approve Selected Requests
2) После этого еще в консоли приходится делать tell adminp process all
иначе не выходит.
 
Всё должно работать автоматом, если полностью настроено.
Уже не упомню всех деталей, но в ICL для искомого админа вы прописали права Registration Authorities?
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ