Политика паролей

@sovt · Регистрация: 27.10.2011

Author24 — интернет-сервис помощи студентам

Добрый.
Необходим совет и помощь.
Решили изменить текущую парольную политику, хотя менять то чего нет невозможно...
Итак, теперь пароли будут меняться, история паролей и т.д.
Что есть:

Клиенты 7-9, id-ки разбросаны на разных машинах
Web-доступ к почте
Traveler
SameTime
Внешние конекшены к ПЯ из других почтовых программ (технические ПЯ)

Что накопали:
Перевыпустить ID файлы не можем - шифрование.
С клиентами проще: политика паролей, ID Vaults для синхронизации паролей в ID (как я понимаю это должно сработать)
Web-доступ тоже не проблема, но сложнее: интернет пароль синхронизируем вместе с паролем лотуса. Не все пользователи могут использовать web-доступ (нужно согласование), но это тоже решается. Либо ACL к ящику поменять, хотя лучше сделать "прослойку", со списками - меньше головной боли в будущем.
Traveler - головная боль... пароль можно сменить только вручную на устройстве...
SameTime - никаких проблем.

Если не синхронизировать интернет пароль с паролем лотуса, то менять его не будут - это факт.
Но если его сменить - надо менять в Traveler...

В чем вопросы:
1. Необходим единый вход в систему, то есть пароль ОС = паролю Lotus.
В этом есть трудности, если штатно делать - интеренет пароль не меняется...
Как можно реализовать "единый вход"?
Нашел упоминание про

необходимо создать политику безопасности и выставить галочку "общий пароль для Notes"

будем пробовать. Нам необходимо менять интернет пароль тоже, в этом загвоздка...
Может есть еще способы сделать единый вход?
Он нам очень нужен...

2. Как сделать "прослойку" для web? Не Lotus, внешняя технология нужна.
Пользователь открывает страницу вводит логин пароль, если его нет в списках - доступа нет, если есть - перенаправление уже в лотус. Логин/пароль вводить уже не должно требовать, затем тут же переадресация на его ПЯ.
Что именно использовать?
Сколько времени это настраивать?

3. Traveler...
Так как сменить можно только вручную, то проблема будет у сотрудников в командировке или где-то еще. Когда нет возможности передать пароль... Вот тут вопрос "Как передать сотруднику пароль?"
Еще про traveler - android выводит окно, что пароль неверный и его можно сразу ввести, а на iOS предупреждения нет, почта просто не обновляется...
Если кто-то занимался парольной политикой для Traveler - прошу поделится опытом, мы не знаем как делать...

@yrdy · 22.03.2015, 12:23

Сообщение от savl

Вторым способом пользуются, мало, но пользуются. Тут единый вход сделать не получится, но этот вопрос решенный - обязаны вводить.

для толстого клиента AD не нужен....он модифицирует id пользователь+компьютер
для web доступа - можно ему просто сделать уч запись в AD и пусть под этими данными коннектится

@rymsk · 22.03.2015, 13:14

Сообщение от erdi

Соответственно содержание из этого поле прописать сотруднику в качестве доп имени.

У меня в ST 8 как то кривело все, когда из АД возвращалось поле ка доп имя... если как @Subset(Fullanme;1) то все норм. Думаю это из за того что в LtpaToken именно это имя (доп) и вносилось.
И еще момент - по поводу POP3\IMAP. Домино - в версии 6.5-7-8 - другие не использовал тогда. После авторизации во внешнем LDAP ждет от него атрибутов для почтового файла и т.п. По этому нужно во внешнем LDAP добавить соотв. атрибуты. Для примера - агент:

LotusScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
Sub Initialize
Dim server As Variant
Dim servername As Variant
Dim UserName As Variant
Dim password As Variant
Dim DSO As Variant
Dim Obj As Variant
Dim Sch As Variant
Dim newatt As Variant
serverName="192.168.5.54"
UserName="administratoru"
password="pass"
Server="LDAP://" & serverName & "/RootDSE"
Получаем обьект LDAP:
Set DSO=GetObject("LDAP:")
Подключаемся к серверу
Set obj=DSO.OpenDSObject(server,UserName,password,0)
Подключаемся к схеме АД
Set Sch=DSO.OpenDSObject("LDAP://" & serverName & "/" & obj.Get("schemaNamingContext"),UserName,password,0)
************ Создаем новые атрибуты ****************
Создаем MailDomain
Set newatt = sch.create("attributeSchema","cn=mailDomain")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.11"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
Создаем MailServer
Set newatt = sch.create("attributeSchema","cn=mailServer")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.12"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
Создаем MailFile
Set newatt = sch.create("attributeSchema","cn=mailFile")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.13"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
 
Как вариант - создаем mailPreferenceOption для определения формата почты
If False Then
Set newatt = sch.create("attributeSchema","cn=mailPreferenceOption")
newatt.put "attributeId","0.9.2342.19200300.100.1.47"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
End If
Дополнительные атрибуты
* FullName
* MailDomain
* MailAddress
* Location
* ListName
* Member
* Mail
* AltFullName
* MessageStorage
* AltFullNameLanguage
uid
EncryptIncomingMail
 
 
Обновляем схему АД
obj.Put "schemaUpdateNow", 1
obj.Setinfo
Msgbox |Завершено создание дополнительных атрибутов.
Далее необходимо руками добавить атрибуты:
MailDomain, MailServer,MailFile в класс MailRecipient.
|
 
End Sub

@tmyky · 23.03.2015, 11:42

Сообщение от rinsk

Для однозначного сопоставления имени пользователя в лоту и АД нужно определится с ключом. Им может быть например shortname в нотес и sAMAccountName в АД . Простеньким скриптом на чем угодно прописываете FullName в поле otherMailbox АД например и используете это поле в DA.

здесь еще вопрос - для всех ли нужно сопоставление?!

и возвращаясь к теме фронта - там можно просто прописать сопоставление в любой вариант доступный nginx (да хоть в файл)
как вариант - надергать лдап клиентом имена, подкорректировать список разрешённых
только как мысль про SPNEGO но без домины https://github.com/stnoonan/sp... inx-module
если про SSO

Сообщение от rinsk

По этому нужно во внешнем LDAP добавить соотв. атрибуты

по доп. атрибутам могут виндоодмины возбухнуть (вполне резонно ;) )

@sovt · 09.04.2015, 08:48

Сообщение от erdi

для толстого клиента AD не нужен....он модифицирует id пользователь+компьютер

Вот так и сделали.
Итак, все ок, смену пароля запустили.
1. Инициатор смены пароля - Lotus, так же если ранее был единый вход - меняется пароль в ОС
2. Интернет пароль синхронизируем с клиентом.
3. У кого только Web доступ получают письмо, в котором ссылка где сменить пароль. Естественно за несколько дней.
4. Traveler - если человек в ояисе, помогаем настраивать, если отсутствует - говорим как настроить.
Если УЗ уже залочена, а человек вне офиса - высылаем ссылку где сменить интернет-пароль.

А еще у нас хотят лотусовую почту на эксчендж заменить.
Думаю далее за клиента возьмуться, но пока только почта.

@yrdy · 09.04.2015, 09:14

Сообщение от savl

А еще у нас хотят лотусовую почту на эксчендж заменить.

если есть купленная чанга, то почему бы и нет....часть пользователей на чанге, часть на лотусе
единственный минус - нет штатного шифрования и подписания писем(ну это больше для параноиков)
мы сейчас, например разделили почту на лотусовую, тем кто пользуется СЭД и Dovecot+postfix на сервере, а на клиенте thunderbird+roundcube по imap протоколу. LDAP поднят на лотусе, который ведет единый список всех пользователей почты+списки рассылки. Для thunderbird+roundcube сквозная авторизация через AD

@ныш · 09.04.2015, 11:04

Сообщение от rinsk

Что бы отключить проверку и-нет паролей через names.nsf, в da просто прописывается ваш notes домен и снимается галки использования names для аудинтификации. И будут браться пароли только с внешнего LDAP.

Эммм, не понял идею. Т.е., можно типа запретить аутентификацию в основной адресной книге и заставить Домину аутентифицировать пользователей через внешний LDAP? Или имеются в виду дополнительные адресные книги?

@rymsk · 09.04.2015, 11:19

Сообщение от Мыш

запретить аутентификацию в основной адресной книге

Да - для inet протоколов.
Иначе он ищет и там и там

Сообщение от Мыш

через внешний LDAP? Или имеются в виду

для всех.

@ныш · 09.04.2015, 12:04

@rinsk, спасибо. Ммммм... А вот нельзя ли при этом использовать не внешний, а собственный, лотусовый LDAP? Смысл: хочется заюзать account lockout для лотусового pop3-сервера, а в 8-ке - поправьте, если ошибаюсь - подбор паролей через POP3 не блокируется (через LDAP - блокируется).
ЗЫ. Сорри, что не по теме - не хотелось создавать отдельную ветку...

@tmyky · 09.04.2015, 12:07

ОФФ

Сообщение от savl

А еще у нас хотят лотусовую почту на эксчендж заменить.
Думаю далее за клиента возьмуться, но пока только почта.

эффективные манагеры становятся все эффективней...
вот бы нанимать для таких ... независимую комиссию, кот. следит за расходами, и часть стр-ры держим на домине, а часть на чанге
измеряем кол-во простоев, заявок, ограничений по интеграции (и затраты на неё), доп. сервисы кот. придется поднять, расходы на бэкапы и время восстановления, стоимость процесса миграции
ну и конечно - цена лицензий
еще неплохо добавить цену на электроэнергию ;)
мне такие решения всегда напоминают политическую возню
за многие годы работы в крупной компании - я наблюдаю движение к хаосу
был кластер домины, были приложения (волдвайд), почта была на чанге и на домине, перевели на чангу
я никогда не видел столько головняка для ИТ, чангу централизовали (т.е. убрали местные сервера), потом отдали на аутсорц
с каждым переносом проблемы усугублялись - время решения увеличивалось
в АД развернулся настоящий АД
до сих пор есть приложение (на домине), в Германии, кот. никуда не смогли перенести (ни в ШП ни в САП), а прошло 15 лет
но манагенры, всех мастей, домину не любят ;) И это несмотря на то - что поддержка (глобальная ИТ) у нас от ИБМ (правда - индусами )
про внедрение САП, с индусскими доработками - отдельная история

любая миграция процесс очень неоднозначный и начинать его "просто так" - это безумие

@tmyky · 09.04.2015, 12:13

Сообщение от Мыш

паролей через POP3

а ченить в сторону прокси? (готового решения не гуглил) и др. момент - а зачем вам поп3?

@ныш · 09.04.2015, 12:18

@lmike, задача дурная, но именно такая - POP3 + 8.5. Насчет Dovecot - да, копаю и в эту сторону...

@rymsk · 09.04.2015, 12:23

Сообщение от Мыш

через LDAP - блокируется

Это точная информация? По доке account lockout работает только по HTTP...
А так - давно когда то делал - еще на 65, что бы инет работал только у конкретного OU... В da прописывал то ли соотв. base DN то ли атрибут какой то в фильтре - но работало.

@ныш · 09.04.2015, 13:35

Сообщение от rinsk

Это точная информация? По доке account lockout работает только по HTTP...

Нууу... вроде, да. SMTP-клиент настроен на аутентификацию (не напрямую, через прокси!) в Доминошном LDAP - и учетки блокируются. Вот, скажем, я поменял интернет-пароль пользователю (издеваюсь типа

[10602:00007-2292149104] 04/08/2015 10:59:03 PM ldap: CN=Vasily Pupkin/O=Org authentication failure using internet password: User is locked out

HTTP, IMAP и пр. не подняты, больше пароли подбирать нечем, вроде как. Но POP3 при этом работает :-( Сервер - 8.5.3FP6.

@rymsk · 09.04.2015, 13:59

Сообщение от Мыш

- и учетки блокируются

Ну тогда - и POP3 будет блокироваться, если будет через LDAP авторизоваться.
Дерзай - расскажешь

upd:
Webauth_verbose_trace=1
LDAPDEBUG=1

@rymsk · 09.04.2015, 14:14

Вот еще нашел INET_AUTHENTICATE_WITH_SECONDARY=1 - может все проще?
Покопался в хелпе современном - http://www-01.ibm.com/support/knowl...ctoryassystanceandclientauthentication_t.dita
****
Note: A servers primary Domino Directory is always enabled for client authentication. This is true even if you create a Directory Assystance document for the primary Domino Directory and do not select Make thys domain available to: Notes clients and Internet Authentication/Authorization.
****

@sovt · 09.04.2015, 15:23

Сообщение от lmike

"просто так" - это безумие

Ну у нас почти именно так и есть. Новый IT директор хочет показать плюс работы - ввод exchange плюс его работы.
Только что на встрече с МС был, жесть...
Шифрования нет, но можно сделать...
DAOS нет, но есть shared directory. К слову мы не успели развернуть DAOS, потому что как его мигрировать я просто не представляю.
Разворот серверов зависит от AD леса...
И это все при работающем лотусе, потому что СЭД перенести это АД будет. Особенно кадровый модуль (тут полностью своя коробка уже, 1С не даст и половины)
То есть надо будет еще и адресные книги синхронизировать... Короче, пушной зверек маячит, но пока запасаюсь гренками и квасом.
Может быть предстоит второй опыт миграции Exchange -> Lotus, но сначала Lotus -> Exchange.

--- Добавлено 10 апр 2015. Первое сообщение размещено 10 апр 2015 ---

Это при том, что аналог Traveler есть, но вместе они на устройстве не работают - какие-то проблемы.
И еще чтобы нормально смигрировать, только недавно(!!!) появилась поддержка лотусовых серверов версии 9
К слову, механизмов миграции на Exchange практически нет, очень мало и решения не развиваются, потому что все кто хотел - уже смигрировали.

@yrdy · 09.04.2015, 15:54

Сообщение от savl

К слову, механизмов миграции на Exchange практически нет, очень мало и решения не развиваются, потому что все кто хотел - уже смигрировали.

как вспомню скока времени убил на то, чтобы корректно настроить с нужными параметрами и лотус и AD и чангу, скольких админов задолбал - аж вздрогнул.....причем один и тот же механизм не работал на разных версиях AD и чанги, т.е. чтобы все заработало нужно чтобы AD и чанга были именно той версии, для которой настраиваешь. Если что-то отличалось - не работало.
Переводить AD на новые версии - к этому готовятся минимум полгода, а если учитывать постепенный перевод....нафиг...нафиг....

@ipakhomov · 20.11.2019, 17:14

коллеги, кому-то удалось собрать работающий DSAPI фильтр для линукс для переброса анонимуса с линуксового сервера домино на виндовый для аутентификации?
поделитесь, пожалуйста?

@Makarov Andrey · 21.11.2019, 07:29

Мигрируете с Lotus?
В какой-то момент консультанты удаляются на безопасное расстояние, чтобы посчитать выручку от очередной жертвы сделки... Перед этим они убеждают ИТ-директора, что причина всех проблем проекта – отсутствие поддержки ключевых людей (особенно тех, которые говорили, что это глупая затея) и препятствия, которые те чинили консультантам с самого начала.

https://www.slideshare.net/vta... p01russian

Новые блоги и статьи Все статьи Все блоги /
Kubernetes с Apache Flink для обработки данных в реальном времени Mr. Docker 17.05.2025 Kubernetes — это целая философия управления распределёнными приложениями. В отличие от "примитивных" решений вроде Docker Swarm, K8s (как его ласково называют в тусовке DevOps-инженеров) предлагает. . .	Использование декораторов в Python py-thonny 17.05.2025 Если вы когда-нибудь задумывались о том, как красиво расширить функциональность кода без лишней возни и дублирования, декораторы в Python — та самая волшебная палочка, которую вы искали. По сути, это. . .	Как некоторые отстают в навыках поиска информации в сети. Дублирование страницы открытого адреса в сети. Hrethgir 17.05.2025 . . . берём бразуер, для многих он является инструментом поиска информации в сети. Понятное дело, что чтобы переходить по сслыкам есть такая фишка - "открыть в новой вкладке", но, представим себе что вы. . .	Реализация многопоточных сетевых серверов на Python py-thonny 16.05.2025 Когда сталкиваешься с необходимостью писать высоконагруженные сетевые сервисы, выбор технологии имеет критическое значение. Python, со своей элегантностью и высоким уровнем абстракции, может. . .	C# и IoT: разработка Edge приложений с .NET и Azure IoT UnmanagedCoder 16.05.2025 Мир меняется прямо на наших глазах, и интернет вещей (IoT) — один из главных катализаторов этих перемен. Если всего десять лет назад концепция "умных" устройств вызывала скептические улыбки, то. . .
Гибридные квантово-классические вычисления: Примеры оптимизации EggHead 16.05.2025 Гибридные квантово-классические вычисления — это настоящий прорыв в подходах к решению сложнейших вычислительных задач. Представьте себе союз двух разных миров: классические компьютеры, с их. . .	Использование вебсокетов в приложениях Java с Netty Javaican 16.05.2025 HTTP, краеугольный камень интернета, изначально был спроектирован для передачи гипертекста с минимальной интерактивностью. Его главный недостаток в контексте современных приложений — это. . .	Реализация операторов Kubernetes Mr. Docker 16.05.2025 Концепция операторов Kubernetes зародилась в недрах компании CoreOS (позже купленной Red Hat), когда команда инженеров искала способ автоматизировать управление распределёнными базами данных в. . .	Отражение в C# и динамическое управление типами stackOverflow 16.05.2025 Reflection API в . NET — это набор классов и интерфейсов в пространстве имён System. Reflection, который позволяет исследовать и манипулировать типами, методами, свойствами и другими элементами. . .	Настройка гиперпараметров с помощью Grid Search и Random Search в Python AI_Generated 15.05.2025 В машинном обучении существует фундаментальное разделение между параметрами и гиперпараметрами моделей. Если параметры – это те величины, которые алгоритм "изучает" непосредственно из данных (веса. . .

@ныш 0 / 0 / 0 Регистрация: 07.02.2010 Сообщений: 1,063
	09.04.2015, 12:04
	@rinsk, спасибо. Ммммм... А вот нельзя ли при этом использовать не внешний, а собственный, лотусовый LDAP? Смысл: хочется заюзать account lockout для лотусового pop3-сервера, а в 8-ке - поправьте, если ошибаюсь - подбор паролей через POP3 не блокируется (через LDAP - блокируется). ЗЫ. Сорри, что не по теме - не хотелось создавать отдельную ветку... 0

@ныш 0 / 0 / 0 Регистрация: 07.02.2010 Сообщений: 1,063
	09.04.2015, 12:18
	@lmike, задача дурная, но именно такая - POP3 + 8.5. Насчет Dovecot - да, копаю и в эту сторону... 0

@rymsk 0 / 0 / 0 Регистрация: 12.11.2009 Сообщений: 882
	09.04.2015, 14:14
	Вот еще нашел INET_AUTHENTICATE_WITH_SECONDARY=1 - может все проще? Покопался в хелпе современном - http://www-01.ibm.com/support/knowl...ctoryassystanceandclientauthentication_t.dita ** Note: A servers primary Domino Directory is always enabled for client authentication. This is true even if you create a Directory Assystance document for the primary Domino Directory and do not select Make thys domain available to: Notes clients and Internet Authentication/Authorization. ** 0

@ipakhomov 0 / 0 / 0 Регистрация: 20.11.2019 Сообщений: 1
	20.11.2019, 17:14
	коллеги, кому-то удалось собрать работающий DSAPI фильтр для линукс для переброса анонимуса с линуксового сервера домино на виндовый для аутентификации? поделитесь, пожалуйста? 0

@Makarov Andrey 0 / 0 / 0 Регистрация: 19.11.2019 Сообщений: 4
	21.11.2019, 07:29
	Мигрируете с Lotus? В какой-то момент консультанты удаляются на безопасное расстояние, чтобы посчитать выручку от очередной жертвы сделки... Перед этим они убеждают ИТ-директора, что причина всех проблем проекта – отсутствие поддержки ключевых людей (особенно тех, которые говорили, что это глупая затея) и препятствия, которые те чинили консультантам с самого начала. https://www.slideshare.net/vta... p01russian 0