0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
1

Политика паролей

18.03.2015, 17:09. Показов 18143. Ответов 38
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Добрый.
Необходим совет и помощь.
Решили изменить текущую парольную политику, хотя менять то чего нет невозможно...
Итак, теперь пароли будут меняться, история паролей и т.д.
Что есть:

Клиенты 7-9, id-ки разбросаны на разных машинах
Web-доступ к почте
Traveler
SameTime
Внешние конекшены к ПЯ из других почтовых программ (технические ПЯ)

Что накопали:
Перевыпустить ID файлы не можем - шифрование.
С клиентами проще: политика паролей, ID Vaults для синхронизации паролей в ID (как я понимаю это должно сработать)
Web-доступ тоже не проблема, но сложнее: интернет пароль синхронизируем вместе с паролем лотуса. Не все пользователи могут использовать web-доступ (нужно согласование), но это тоже решается. Либо ACL к ящику поменять, хотя лучше сделать "прослойку", со списками - меньше головной боли в будущем.
Traveler - головная боль... пароль можно сменить только вручную на устройстве...
SameTime - никаких проблем.

Если не синхронизировать интернет пароль с паролем лотуса, то менять его не будут - это факт.
Но если его сменить - надо менять в Traveler...

В чем вопросы:
1. Необходим единый вход в систему, то есть пароль ОС = паролю Lotus.
В этом есть трудности, если штатно делать - интеренет пароль не меняется...
Как можно реализовать "единый вход"?
Нашел упоминание про


необходимо создать политику безопасности и выставить галочку "общий пароль для Notes"
будем пробовать. Нам необходимо менять интернет пароль тоже, в этом загвоздка...
Может есть еще способы сделать единый вход?
Он нам очень нужен...

2. Как сделать "прослойку" для web? Не Lotus, внешняя технология нужна.
Пользователь открывает страницу вводит логин пароль, если его нет в списках - доступа нет, если есть - перенаправление уже в лотус. Логин/пароль вводить уже не должно требовать, затем тут же переадресация на его ПЯ.
Что именно использовать?
Сколько времени это настраивать?

3. Traveler...
Так как сменить можно только вручную, то проблема будет у сотрудников в командировке или где-то еще. Когда нет возможности передать пароль... Вот тут вопрос "Как передать сотруднику пароль?"
Еще про traveler - android выводит окно, что пароль неверный и его можно сразу ввести, а на iOS предупреждения нет, почта просто не обновляется...
Если кто-то занимался парольной политикой для Traveler - прошу поделится опытом, мы не знаем как делать...
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
18.03.2015, 17:09
Ответы с готовыми решениями:

Политика и архивирование
Приветствую Вас, товарищи! Проблема следующая: Создал явную политику, в которой есть настройка...

Политика Desctop
Хочу попробовать поигратся с политиками, увы опыта нет. Первое что желаю сделать это блокировку...

Орг. политика не применяется к юзеру
Добрый день, уважаемые участники! Есть несколько документов Policy Settings (Desktop, Security...

Безопасность Id и паролей
Какие аргументы можно привести против открытого хранения ID и паролей? В смысле все ID хранятся...

38
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
18.03.2015, 18:11 2
у меня нет рецепта...
теперь не про домину
для чанги тоже не предлагает, для IOS, пароль сменить ;) (сколько раз люди обламывались)
а для робота - у нас ваще чехарда с клиентами к чанге - там подключаемся через глобальный прокси, к кот. еще нужна платная прога, а выше опред. версии - не нужна
вощем - забот вам мало, пароли синхронить ;)
а еще у каждого свой пароль в САП и +100500 др. свистоперделок - у юзверей мосх развивается
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
18.03.2015, 18:24 3
@lmike, понимаешь, это реально проблема, тут ничего не поможет - надо синхронить.
Кстати, у тебя nginx же есть, верно? На основе него можно сделать "прослойку", которую я описал? Долго это?
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
18.03.2015, 18:35 4
Цитата Сообщение от savl
Кстати, у тебя nginx же есть, верно? На основе него можно сделать "прослойку", которую я описал? Долго это?
я не настолько в нем спец :(
вторая часть - что должна делать прослойка?


--- Добавлено 19 мар 2015. Первое сообщение размещено 19 мар 2015 ---

типа получить отлуп от домины - в ответ запросить клиента пароль новый?
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
18.03.2015, 19:18 5
Цитата Сообщение от lmike
типа получить отлуп от домины - в ответ запросить клиента пароль новый?
ммм... Я захожу на сайт, ввожу логин пароль. "Прослойка" проверяет есть ли я в её списке доступа, если нет - пошел вон.
Если есть - редирект на ПЯ, но без повторного ввода пароля.
Просто, если мы всем синхронизируем пароль в клиент и интернет пароль, то доступ через web будет у всех, а так нельзя :(
Вот и думаю как сделать...
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
18.03.2015, 20:07 6
ну тогда учите LUA ;) - нужно будет устанавливать куки на клинете и биндить их с юзером домины
http://planetlotus.org/profile... her_128492
и вод https://frostillic.us/f.nsf/po... 5B00766F18


--- Добавлено 19 мар 2015. Первое сообщение размещено 19 мар 2015 ---




$WSRU $lua_user
вот так, в результате получится юзер в домине
т.е. задача запросить авторизацию клиента, записать ему куку, по куке сопоставлять юзера


--- Добавлено 19 мар 2015 ---

есть вариант писать на Си - DSAPI, но мне он кажется более замороченным и рискованным ;)
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
18.03.2015, 20:19 7
есть за деньги и только для виндятки http://www.timetoact.de/ttacms.nsf/...ctive-directory-using-the-rpauth-dsapi-filter


--- Добавлено 19 мар 2015. Первое сообщение размещено 19 мар 2015 ---

вот пример на LUA http://www.stavros.io/posts/wr... le-in-lua/
и вот https://github.com/phaer/nginx... cation.lua
0
0 / 0 / 0
Регистрация: 14.01.2009
Сообщений: 257
19.03.2015, 08:58 8
приведу пару из своих ссылок по настройки сквозной авторизации для web, по которым я у себя настраивал
Configuring Microsoft Windows single sign-on on IBM WebSphere and Domino platforms
Deploying Windows single sign-on for Web clients (SPNEGO) in an existing Domino environment
Streamlining passwords and achieving SSO for users on Windows platforms
How to configure the Windows single sign-on (SSO) in existing Domino environment with SPNEGO technologies (Tutorial)
Вся трагичность заключается в том, что SPNEGO для Domino, IBM сделало только, если Domino установлено под виндой. Если, как у меня, Domino под Linux, а боевой кластер под Aix - это уже не работает. Для этого пришлось поднимать дополнительный пустой Domino сервер под виндой и воспользоваться этой библиотекой
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
19.03.2015, 09:20 9
Хм... Спасибо, с web понятно, знаем куда идти теперь.
А что с Travelerv можете посоветовать?
0
0 / 0 / 0
Регистрация: 14.01.2009
Сообщений: 257
19.03.2015, 10:01 10
Traveler авторизуется через http, DSAPI фильтр, который устанавливается для серверов не-виндовс перехватывает все эти запросы и прогоняет через SPNEGO, возвращая при этом этот же url с приписанным token. Т.е. чисто теоретически введя в Traveler доменное имя и пароль и с настроенным на Domino SSO - должен корректно пустить.
С травелером мало работал и всех тонкостей настройки уже и не помню там, но можно посмотреть здесь http://www-10.lotus.com/ldd/dominow...ding_secure_remote_access_to_Traveler_servers и пытаться настроить тревелел уже после того, как заработает web авторизация
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
19.03.2015, 10:06 11
@erdi, Спасибо, тоже почитаю.
Но главное с TRaveler мне нужен совет, как передавать пароль сотрудникам.
Особенно если они далеко, другая страна...
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
19.03.2015, 22:37 12
Цитата Сообщение от savl
Но главное с TRaveler мне нужен совет, как передавать пароль сотрудникам.
http://www-10.lotus.com/ldd/dominow...view_encrypted_mail_LNT8521&content=pdcontent
например шифрованным письмом
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
20.03.2015, 21:12 13
Если есть АД, то SAML самое то по идее - с 901 версии сервера.
SPNEGO - это для прозрачно аудинтификации из браузера или иных прог через kerberos в сети предприятия.
А вот интересна реализация 2-факторной аудинтификации при смене\забывания паролей. через SMS Gate\e-mail.
т.е. чел заходит на некий URL, вводит свой номер тел и ему приходит код. который он вводит на странице. введя этот код чел может сменить пароль в АД например.
Реализовать это в домино проблем нет...
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
20.03.2015, 23:22 14
@rinsk, мне показалось - возникла еще задача


Цитата Сообщение от savl
Просто, если мы всем синхронизируем пароль в клиент и интернет пароль, то доступ через web будет у всех, а так нельзя :(
"развязать" пользователей, на варианты решения кот. я и приводил ссылки
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
21.03.2015, 19:07 15
Дошло наконец)


Цитата Сообщение от savl
2. Как сделать "прослойку" для web? Не Lotus, внешняя технология нужна.
Пользователь открывает страницу вводит логин пароль, если его нет в списках - доступа нет, если есть - перенаправление уже в лотус. Логин/пароль вводить уже не должно требовать, затем тут же переадресация на его ПЯ.
Что именно использовать?
Сколько времени это настраивать?
Может проще использовать Internet lockout (http://www.ibm.com/developerworks/lotus/library/domino8-lockout/)
и явно заносить пользователей в базу inetlockout.nsf у которых не должно быть доступа?
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
21.03.2015, 19:18 16
Есть еще вариант - при использовании связки АД+комп+ID с одним паролем - авторизоваться напрямую в АД для и-нет протоколов. это затронет и inotes и травелер и pop3/imap.
В качестве LDAP фильтра использовать принадлежность к некой группе в АД "Все члены группы, включая вложенность групп (прим. 10) (memberOf:1.2.840.113556.1.4.1941:=cn=Test,ou=East,dc=Domain,dc=com)".
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
22.03.2015, 08:30 17
@rinsk, Отчлиное решение, да еще и на LN.


при использовании связки АД+комп+ID
У нас ж*** в AD, её даже причесывать не хотят.
Но можно инициировать все это дело в рамках задачи, попробуем пробить.
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
22.03.2015, 10:21 18
Цитата Сообщение от savl
У нас ж*** в AD, её даже причесывать не хотят.
Но можно инициировать все это дело в рамках задачи, попробуем пробить.
Но компы то в домене? И при старте компа юзвери вводят доменный пароль. В этом случае бардак в АД роли не играет и выступает поставщиком и-нет паролей.
Что бы отключить проверку и-нет паролей через names.nsf, в da просто прописывается ваш notes домен и снимается галки использования names для аудинтификации. И будут браться пароли только с внешнего LDAP.
Для однозначного сопоставления имени пользователя в лоту и АД нужно определится с ключом. Им может быть например shortname в нотес и sAMAccountName в АД . Простеньким скриптом на чем угодно прописываете FullName в поле otherMailbox АД например и используете это поле в DA.

P.S. SPNEGO пытался прикрутить - но как то нестабильно работало - наверн у нас тож бардак с керберосом. и если нет доступного домена оно не перекл на форму авторизации а постоянно вылезает диалог...
0
0 / 0 / 0
Регистрация: 27.10.2011
Сообщений: 2,124
22.03.2015, 11:35 19
Цитата Сообщение от rinsk
Но компы то в домене? И при старте компа юзвери вводят доменный пароль. В этом случае бардак в АД роли не играет и выступает поставщиком и-нет паролей.
Что бы отключить проверку и-нет паролей через names.nsf, в da просто прописывается ваш notes домен и снимается галки использования names для аудинтификации. И будут браться пароли только с внешнего LDAP.
Да, в домене, да, пароль доменный. Но имена пользаков в нем, адища... Порядок наводить надо, да и оказалось что приступили к этому, ждем-с...
Есть другой косяк. Удаленный доступ...
VPN + (2 варианта):
1. Доступ через удаленный стол - проблем нет, там AD
2. Прямой доступ, с компа вне домена.
Вторым способом пользуются, мало, но пользуются. Тут единый вход сделать не получится, но этот вопрос решенный - обязаны вводить.
0
0 / 0 / 0
Регистрация: 14.01.2009
Сообщений: 257
22.03.2015, 12:16 20
Когда в da прописываешь ldap к AD, то там можно указать любое поле из AD, которое должно возвращаться. Поэтому можно указать любое имеющее или же в AD заполнить какое-нить поле соответствующей записью с Domino, у нас например такое поле табельный номер сотрудника, т.к. только он уникален в разрезе организации и никогда не повторяется. Соответственно содержание из этого поле прописать сотруднику в качестве доп имени. И в конфигурации Domino указать что авторизация http с большим числом вариантов.
В бардак AD лучше не влазить, а брать то что там уже есть у всех - GUID
0
22.03.2015, 12:16
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
22.03.2015, 12:16
Помогаю со студенческими работами здесь

Синхронизация паролей..НЕ ПРОХОДИТ
настроил синхронизацию пароль но дает следующую ошибку Title: ARZ EDC File name:...

Синхронизация web и notes паролей
Коллеги, если настроен единый логин Windows Single Sign-On (авторизуемся в виндовз -> в нотес...

Политика безопасности паролей в АД
Доброе утро! У меня Windows 2003 R1, в актив директории раньше без труда создавал учетную запись...

Генераторы мастер паролей на биосы (сброс неизвестных паролей биоса)
Народ, кто каким пользуется например вот https://bios-pw.org


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru