Форум программистов, компьютерный форум, киберфорум
HCL Notes: Администрирование
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.91/76: Рейтинг темы: голосов - 76, средняя оценка - 4.91
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
1

Политика паролей

18.03.2015, 17:09. Просмотров 14857. Ответов 38
Метки нет (Все метки)

Добрый.
Необходим совет и помощь.
Решили изменить текущую парольную политику, хотя менять то чего нет невозможно...
Итак, теперь пароли будут меняться, история паролей и т.д.
Что есть:

Клиенты 7-9, id-ки разбросаны на разных машинах
Web-доступ к почте
Traveler
SameTime
Внешние конекшены к ПЯ из других почтовых программ (технические ПЯ)

Что накопали:
Перевыпустить ID файлы не можем - шифрование.
С клиентами проще: политика паролей, ID Vaults для синхронизации паролей в ID (как я понимаю это должно сработать)
Web-доступ тоже не проблема, но сложнее: интернет пароль синхронизируем вместе с паролем лотуса. Не все пользователи могут использовать web-доступ (нужно согласование), но это тоже решается. Либо ACL к ящику поменять, хотя лучше сделать "прослойку", со списками - меньше головной боли в будущем.
Traveler - головная боль... пароль можно сменить только вручную на устройстве...
SameTime - никаких проблем.

Если не синхронизировать интернет пароль с паролем лотуса, то менять его не будут - это факт.
Но если его сменить - надо менять в Traveler...

В чем вопросы:
1. Необходим единый вход в систему, то есть пароль ОС = паролю Lotus.
В этом есть трудности, если штатно делать - интеренет пароль не меняется...
Как можно реализовать "единый вход"?
Нашел упоминание про


необходимо создать политику безопасности и выставить галочку "общий пароль для Notes"
будем пробовать. Нам необходимо менять интернет пароль тоже, в этом загвоздка...
Может есть еще способы сделать единый вход?
Он нам очень нужен...

2. Как сделать "прослойку" для web? Не Lotus, внешняя технология нужна.
Пользователь открывает страницу вводит логин пароль, если его нет в списках - доступа нет, если есть - перенаправление уже в лотус. Логин/пароль вводить уже не должно требовать, затем тут же переадресация на его ПЯ.
Что именно использовать?
Сколько времени это настраивать?

3. Traveler...
Так как сменить можно только вручную, то проблема будет у сотрудников в командировке или где-то еще. Когда нет возможности передать пароль... Вот тут вопрос "Как передать сотруднику пароль?"
Еще про traveler - android выводит окно, что пароль неверный и его можно сразу ввести, а на iOS предупреждения нет, почта просто не обновляется...
Если кто-то занимался парольной политикой для Traveler - прошу поделится опытом, мы не знаем как делать...
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
18.03.2015, 17:09
Ответы с готовыми решениями:

Политика и архивирование
Приветствую Вас, товарищи! Проблема следующая: Создал явную политику, в которой есть настройка...

Политика Desctop
Хочу попробовать поигратся с политиками, увы опыта нет. Первое что желаю сделать это блокировку...

Орг. политика не применяется к юзеру
Добрый день, уважаемые участники! Есть несколько документов Policy Settings (Desktop, Security...

Безопасность Id и паролей
Какие аргументы можно привести против открытого хранения ID и паролей? В смысле все ID хранятся...

38
0 / 0 / 0
Регистрация: 14.01.2009
Сообщений: 257
22.03.2015, 12:23 21
Цитата Сообщение от savl
Вторым способом пользуются, мало, но пользуются. Тут единый вход сделать не получится, но этот вопрос решенный - обязаны вводить.
для толстого клиента AD не нужен....он модифицирует id пользователь+компьютер
для web доступа - можно ему просто сделать уч запись в AD и пусть под этими данными коннектится
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
22.03.2015, 13:14 22
Цитата Сообщение от erdi
Соответственно содержание из этого поле прописать сотруднику в качестве доп имени.
У меня в ST 8 как то кривело все, когда из АД возвращалось поле ка доп имя... если как @Subset(Fullanme;1) то все норм. Думаю это из за того что в LtpaToken именно это имя (доп) и вносилось.
И еще момент - по поводу POP3\IMAP. Домино - в версии 6.5-7-8 - другие не использовал тогда. После авторизации во внешнем LDAP ждет от него атрибутов для почтового файла и т.п. По этому нужно во внешнем LDAP добавить соотв. атрибуты. Для примера - агент:


LotusScript
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
Sub Initialize
Dim server As Variant
Dim servername As Variant
Dim UserName As Variant
Dim password As Variant
Dim DSO As Variant
Dim Obj As Variant
Dim Sch As Variant
Dim newatt As Variant
serverName="192.168.5.54"
UserName="administratoru"
password="pass"
Server="LDAP://" & serverName & "/RootDSE"
Получаем обьект LDAP:
Set DSO=GetObject("LDAP:")
Подключаемся к серверу
Set obj=DSO.OpenDSObject(server,UserName,password,0)
Подключаемся к схеме АД
Set Sch=DSO.OpenDSObject("LDAP://" & serverName & "/" & obj.Get("schemaNamingContext"),UserName,password,0)
************ Создаем новые атрибуты ****************
Создаем MailDomain
Set newatt = sch.create("attributeSchema","cn=mailDomain")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.11"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
Создаем MailServer
Set newatt = sch.create("attributeSchema","cn=mailServer")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.12"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
Создаем MailFile
Set newatt = sch.create("attributeSchema","cn=mailFile")
newatt.put "attributeId","2.16.840.1.113678.2.2.2.2.13"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
 
Как вариант - создаем mailPreferenceOption для определения формата почты
If False Then
Set newatt = sch.create("attributeSchema","cn=mailPreferenceOption")
newatt.put "attributeId","0.9.2342.19200300.100.1.47"
newatt.put "oMSyntax",64
newatt.put "attributeSyntax","2.5.5.12"
newatt.put "isSingleValued",True
newatt.setinfo
End If
Дополнительные атрибуты
* FullName
* MailDomain
* MailAddress
* Location
* ListName
* Member
* Mail
* AltFullName
* MessageStorage
* AltFullNameLanguage
uid
EncryptIncomingMail
 
 
Обновляем схему АД
obj.Put "schemaUpdateNow", 1
obj.Setinfo
Msgbox |Завершено создание дополнительных атрибутов.
Далее необходимо руками добавить атрибуты:
MailDomain, MailServer,MailFile в класс MailRecipient.
|
 
End Sub
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
23.03.2015, 11:42 23
Цитата Сообщение от rinsk
Для однозначного сопоставления имени пользователя в лоту и АД нужно определится с ключом. Им может быть например shortname в нотес и sAMAccountName в АД . Простеньким скриптом на чем угодно прописываете FullName в поле otherMailbox АД например и используете это поле в DA.
здесь еще вопрос - для всех ли нужно сопоставление?!

и возвращаясь к теме фронта - там можно просто прописать сопоставление в любой вариант доступный nginx (да хоть в файл)
как вариант - надергать лдап клиентом имена, подкорректировать список разрешённых
только как мысль про SPNEGO но без домины https://github.com/stnoonan/sp... inx-module
если про SSO



Цитата Сообщение от rinsk
По этому нужно во внешнем LDAP добавить соотв. атрибуты
по доп. атрибутам могут виндоодмины возбухнуть (вполне резонно ;) )
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
09.04.2015, 08:48 24
Цитата Сообщение от erdi
для толстого клиента AD не нужен....он модифицирует id пользователь+компьютер
Вот так и сделали.
Итак, все ок, смену пароля запустили.
1. Инициатор смены пароля - Lotus, так же если ранее был единый вход - меняется пароль в ОС
2. Интернет пароль синхронизируем с клиентом.
3. У кого только Web доступ получают письмо, в котором ссылка где сменить пароль. Естественно за несколько дней.
4. Traveler - если человек в ояисе, помогаем настраивать, если отсутствует - говорим как настроить.
Если УЗ уже залочена, а человек вне офиса - высылаем ссылку где сменить интернет-пароль.

А еще у нас хотят лотусовую почту на эксчендж заменить.
Думаю далее за клиента возьмуться, но пока только почта.
0
0 / 0 / 0
Регистрация: 14.01.2009
Сообщений: 257
09.04.2015, 09:14 25
Цитата Сообщение от savl
А еще у нас хотят лотусовую почту на эксчендж заменить.
если есть купленная чанга, то почему бы и нет....часть пользователей на чанге, часть на лотусе
единственный минус - нет штатного шифрования и подписания писем(ну это больше для параноиков)
мы сейчас, например разделили почту на лотусовую, тем кто пользуется СЭД и Dovecot+postfix на сервере, а на клиенте thunderbird+roundcube по imap протоколу. LDAP поднят на лотусе, который ведет единый список всех пользователей почты+списки рассылки. Для thunderbird+roundcube сквозная авторизация через AD
0
0 / 0 / 0
Регистрация: 07.02.2010
Сообщений: 1,063
09.04.2015, 11:04 26
Цитата Сообщение от rinsk
Что бы отключить проверку и-нет паролей через names.nsf, в da просто прописывается ваш notes домен и снимается галки использования names для аудинтификации. И будут браться пароли только с внешнего LDAP.
Эммм, не понял идею. Т.е., можно типа запретить аутентификацию в основной адресной книге и заставить Домину аутентифицировать пользователей через внешний LDAP? Или имеются в виду дополнительные адресные книги?
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
09.04.2015, 11:19 27
Цитата Сообщение от Мыш
запретить аутентификацию в основной адресной книге
Да - для inet протоколов.
Иначе он ищет и там и там



Цитата Сообщение от Мыш
через внешний LDAP? Или имеются в виду
для всех.
0
0 / 0 / 0
Регистрация: 07.02.2010
Сообщений: 1,063
09.04.2015, 12:04 28
@rinsk, спасибо. Ммммм... А вот нельзя ли при этом использовать не внешний, а собственный, лотусовый LDAP? Смысл: хочется заюзать account lockout для лотусового pop3-сервера, а в 8-ке - поправьте, если ошибаюсь - подбор паролей через POP3 не блокируется (через LDAP - блокируется).
ЗЫ. Сорри, что не по теме - не хотелось создавать отдельную ветку...
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
09.04.2015, 12:07 29
ОФФ


Цитата Сообщение от savl
А еще у нас хотят лотусовую почту на эксчендж заменить.
Думаю далее за клиента возьмуться, но пока только почта.
эффективные манагеры становятся все эффективней...
вот бы нанимать для таких ... независимую комиссию, кот. следит за расходами, и часть стр-ры держим на домине, а часть на чанге
измеряем кол-во простоев, заявок, ограничений по интеграции (и затраты на неё), доп. сервисы кот. придется поднять, расходы на бэкапы и время восстановления, стоимость процесса миграции
ну и конечно - цена лицензий
еще неплохо добавить цену на электроэнергию ;)
мне такие решения всегда напоминают политическую возню
за многие годы работы в крупной компании - я наблюдаю движение к хаосу
был кластер домины, были приложения (волдвайд), почта была на чанге и на домине, перевели на чангу
я никогда не видел столько головняка для ИТ, чангу централизовали (т.е. убрали местные сервера), потом отдали на аутсорц
с каждым переносом проблемы усугублялись - время решения увеличивалось
в АД развернулся настоящий АД
до сих пор есть приложение (на домине), в Германии, кот. никуда не смогли перенести (ни в ШП ни в САП), а прошло 15 лет
но манагенры, всех мастей, домину не любят ;) И это несмотря на то - что поддержка (глобальная ИТ) у нас от ИБМ (правда - индусами )
про внедрение САП, с индусскими доработками - отдельная история

любая миграция процесс очень неоднозначный и начинать его "просто так" - это безумие
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
09.04.2015, 12:13 30
Цитата Сообщение от Мыш
паролей через POP3
а ченить в сторону прокси? (готового решения не гуглил) и др. момент - а зачем вам поп3?
0
0 / 0 / 0
Регистрация: 07.02.2010
Сообщений: 1,063
09.04.2015, 12:18 31
@lmike, задача дурная, но именно такая - POP3 + 8.5. Насчет Dovecot - да, копаю и в эту сторону...
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
09.04.2015, 12:23 32
Цитата Сообщение от Мыш
через LDAP - блокируется
Это точная информация? По доке account lockout работает только по HTTP...
А так - давно когда то делал - еще на 65, что бы инет работал только у конкретного OU... В da прописывал то ли соотв. base DN то ли атрибут какой то в фильтре - но работало.
0
0 / 0 / 0
Регистрация: 07.02.2010
Сообщений: 1,063
09.04.2015, 13:35 33
Цитата Сообщение от rinsk
Это точная информация? По доке account lockout работает только по HTTP...
Нууу... вроде, да. SMTP-клиент настроен на аутентификацию (не напрямую, через прокси!) в Доминошном LDAP - и учетки блокируются. Вот, скажем, я поменял интернет-пароль пользователю (издеваюсь типа


[10602:00007-2292149104] 04/08/2015 10:59:03 PM ldap: CN=Vasily Pupkin/O=Org authentication failure using internet password: User is locked out
HTTP, IMAP и пр. не подняты, больше пароли подбирать нечем, вроде как. Но POP3 при этом работает :-( Сервер - 8.5.3FP6.
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
09.04.2015, 13:59 34
Цитата Сообщение от Мыш
- и учетки блокируются
Ну тогда - и POP3 будет блокироваться, если будет через LDAP авторизоваться.
Дерзай - расскажешь

upd:
Webauth_verbose_trace=1
LDAPDEBUG=1
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
09.04.2015, 14:14 35
Вот еще нашел INET_AUTHENTICATE_WITH_SECONDARY=1 - может все проще?
Покопался в хелпе современном - http://www-01.ibm.com/support/knowl...ctoryassystanceandclientauthentication_t.dita
****
Note: A servers primary Domino Directory is always enabled for client authentication. This is true even if you create a Directory Assystance document for the primary Domino Directory and do not select Make thys domain available to: Notes clients and Internet Authentication/Authorization.
****
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
09.04.2015, 15:23 36
Цитата Сообщение от lmike
"просто так" - это безумие
Ну у нас почти именно так и есть. Новый IT директор хочет показать плюс работы - ввод exchange плюс его работы.
Только что на встрече с МС был, жесть...
Шифрования нет, но можно сделать...
DAOS нет, но есть shared directory. К слову мы не успели развернуть DAOS, потому что как его мигрировать я просто не представляю.
Разворот серверов зависит от AD леса...
И это все при работающем лотусе, потому что СЭД перенести это АД будет. Особенно кадровый модуль (тут полностью своя коробка уже, 1С не даст и половины)
То есть надо будет еще и адресные книги синхронизировать... Короче, пушной зверек маячит, но пока запасаюсь гренками и квасом.
Может быть предстоит второй опыт миграции Exchange -> Lotus, но сначала Lotus -> Exchange.


--- Добавлено 10 апр 2015. Первое сообщение размещено 10 апр 2015 ---

Это при том, что аналог Traveler есть, но вместе они на устройстве не работают - какие-то проблемы.
И еще чтобы нормально смигрировать, только недавно(!!!) появилась поддержка лотусовых серверов версии 9
К слову, механизмов миграции на Exchange практически нет, очень мало и решения не развиваются, потому что все кто хотел - уже смигрировали.
0
0 / 0 / 0
Регистрация: 14.01.2009
Сообщений: 257
09.04.2015, 15:54 37
Цитата Сообщение от savl
К слову, механизмов миграции на Exchange практически нет, очень мало и решения не развиваются, потому что все кто хотел - уже смигрировали.
как вспомню скока времени убил на то, чтобы корректно настроить с нужными параметрами и лотус и AD и чангу, скольких админов задолбал - аж вздрогнул.....причем один и тот же механизм не работал на разных версиях AD и чанги, т.е. чтобы все заработало нужно чтобы AD и чанга были именно той версии, для которой настраиваешь. Если что-то отличалось - не работало.
Переводить AD на новые версии - к этому готовятся минимум полгода, а если учитывать постепенный перевод....нафиг...нафиг....
0
0 / 0 / 0
Регистрация: 20.11.2019
Сообщений: 1
20.11.2019, 17:14 38
коллеги, кому-то удалось собрать работающий DSAPI фильтр для линукс для переброса анонимуса с линуксового сервера домино на виндовый для аутентификации?
поделитесь, пожалуйста?
0
0 / 0 / 0
Регистрация: 19.11.2019
Сообщений: 4
21.11.2019, 07:29 39
Мигрируете с Lotus?
В какой-то момент консультанты удаляются на безопасное расстояние, чтобы посчитать выручку от очередной жертвы сделки... Перед этим они убеждают ИТ-директора, что причина всех проблем проекта – отсутствие поддержки ключевых людей (особенно тех, которые говорили, что это глупая затея) и препятствия, которые те чинили консультантам с самого начала.

https://www.slideshare.net/vta... p01russian
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
21.11.2019, 07:29

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Синхронизация паролей..НЕ ПРОХОДИТ
настроил синхронизацию пароль но дает следующую ошибку Title: ARZ EDC File name:...

Синхронизация web и notes паролей
Коллеги, если настроен единый логин Windows Single Sign-On (авторизуемся в виндовз -> в нотес...

Политика безопасности паролей в АД
Доброе утро! У меня Windows 2003 R1, в актив директории раньше без труда создавал учетную запись...

Генераторы мастер паролей на биосы (сброс неизвестных паролей биоса)
Народ, кто каким пользуется например вот https://bios-pw.org


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
39
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.