Страница 1 из 1
Помогите! Потерялись права!
Добавлено:
12 ноя 2009, 09:40 Урал
Совершенно случайно обнаружил, что любой клиент, даже без логина на сервере NW 6.5 по //имя_сервера видит все тома на сервере, все папки и подпапки и имеет все права на них и файлы.... Я в шоке! Что делать?
Добавлено:
12 ноя 2009, 10:04 Dimerson
проверьте в коннектах кто с вашего IP числится в этот момент (в remote manager например)
Re: Помогите! Потерялись права!
Добавлено:
12 ноя 2009, 10:06 Владимир Горяев
Урал писал(а):Совершенно случайно обнаружил, что любой клиент, даже без логина на сервере NW 6.5 по //имя_сервера видит все тома на сервере, все папки и подпапки и имеет все права на них и файлы.... Я в шоке! Что делать?
А можно подробнее, как ето происходит, в чем выражается и как определяется?
В первую очередь, я бы посмотрел права объекта
Public.
Добавлено:
12 ноя 2009, 10:15 Урал
как происходит? Допустим, завершаю сеанс на своем компе, логинюсь "ТОЛЬКО на РАБОЧЕЙ СТАНЦИИ", в проводнике набираю \\Имя_сервера, и вижу все, абсолютно все включая \\Имя_сервера\_ADMIN тома, захожу в любой том, вижу все папки, могу удалить все что угодно, создать...любые права. Аналогично и с другого компьютера. А объект "Public" в дереве не виден....
Это autoexec.ncf
SEARCH ADD SYS:\ni\update\bin
set Bindery Context = O=cct
set Time Zone = PLT-5PDT
set Daylight Savings Time Offset = 1:00:00
set Start Of Daylight Savings Time = (MARCH SUNDAY LAST 2:00:00 )
set End Of Daylight Savings Time = (OCTOBER SUNDAY LAST 2:00:00 )
set Default Time Server Type = Single
set Bindery Context = O=cct
SET LEVEL 2 OPLOCKS ENABLED = OFF
SET CLIENT FILE CACHING ENABLED = OFF
# ЏаЁ¬Ґз ЁҐ. €д®а¬ жЁп ® з б®ў®¬ Ї®пбҐ, ЇаЁўҐ¤Ґ п ўлиҐ,
# ¤®«¦ ўбҐЈ¤ ЇаҐ¤иҐбвў®ў вм Ё¬ҐЁ ‘…ђ‚…ђЂ.
SEARCH ADD SYS:\JAVA\BIN
SEARCH ADD SYS:\JAVA\NWGFX\BIN
SEARCH ADD SYS:\JAVA\NJCLV2\BIN
SEARCH ADD SYS:\NI\UPDATE\BIN
# Џђ…„“Џђ…†„…Ќ€…!!
FILE SERVER NAME NOVELL
# -- Required for DirXML Driver for GroupWise
SEARCH ADD SYS:\SYSTEM\GWDRIVER
# Џђ…„“Џђ…†„…Ќ€…!!
# …б«Ё ‚л Ё§¬ҐпҐвҐ Ё¬п нв®Ј® бҐаўҐа , ‚л ¤®«¦л ®Ў®ўЁвм
# Ё¬п бҐаўҐа ў® ўбҐе «ЁжҐ§Ёпе, Є®в®алҐ § зҐл
# Ґ¬г б Ї®¬®ймо iManager.
######## Start Drivers/Protocols ########
load conlog MAXIMUM=100
; Network driver LOADs and BINDs are initiated via
; INITSYS.NCF. The actual LOAD and BIND commands
; are contained in INITSYS.NCF and NETINFO.CFG.
; These files are in SYS:ETC.
sys:etc\initsys.ncf
#LOAD TCPIP
#LOAD YUKONNW.LAN SLOT=10013 FRAME=Ethernet_II NAME=YUKONNW_1_EII
#BIND IP YUKONNW_1_EII ADDR=192.168.1.1 MASK=255.255.255.0
######## End Drivers/Protocols ########
MOUNT ALL
IPMINIT.NCF
load nile.nlm
load httpstk.nlm /SSL /keyfile:"SSL CertificateIP"
LOAD NICISDI.XLM
LOAD SASDFM.XLM
# -- Added by AFP Install --
#AFPSTRT.NCF
# -- End of AFP Install --
# -- Added by CIFS Install --
#CIFSSTRT.NCF
# -- End of CIFS Install --
SYS:/BIN/UNIXENV.NCF
LOAD PKI.NLM
LOAD NLDAP.NLM
# Loading Posix Semantic Agent
PSA
# -- Added by Scripting Install --
SCRIPT.NCF
SEARCH ADD SYS:\APACHE2
AP2WEBUP
#Apache2 is now the admin server
ADMSRVUP
# Storage Management Services components required for Backup
SMSSTART.NCF
#---Added By Native File Access For Unix---
#nfsstart
#---Added By Native File Access For Unix END---
LOAD EMBOX.NLM
openwbem.ncf
#RCONAG6.NLM is required by RConsoleJ
#LOAD RCONAG6 <Your> 2034 16800 2036
# tc4admin begin
SEARCH ADD SYS:/tomcat/4/bin
tcadmup.ncf
# tc4admin end
# tomcat4 begin
sys:/tomcat/4/bin/tomcat4.ncf
# tomcat4 end
# tomcat5 begin
SEARCH ADD SYS:/tomcat/5.0/bin
sys:/tomcat/5.0/bin/tomcat5.ncf
# tomcat5 end
#Added By FTP Server
ftpstart.ncf
#Added By FTP Server END
# Uncomment the following line after creating DNS Server Object
LOAD NAMED.NLM
# Uncomment the following line after creating DHCP Server Object
LOAD DHCPSRVR.NLM
# -- Added by MYSQL Install --
#SEARCH ADD SYS:\mysql\bin
mysqld_safe --autoclose
# -- End of MYSQL Install --
# --The following line should be uncommented if the SNMP subagent is desired
#load dssnmpsa.nlm
# SYS:system\TSAFSGW.NCF
Load AFREECON.NLM
SEARCH ADD SYS:\Novell\NM
SYS:\Novell\NM\nmstart.ncf
SEARCH ADD SYS:\DRWEB
drwebS
# Begin SecretStore commands
LOAD NICISDI.XLM s
LOAD SASDFM.XLM
# SSNCP automatically loads SSS.NLM without any command line options.
# If you want to specify options, uncomment the following line and add
# the appropriate options.
# LOAD SSS
LOAD SSNCP
# End SecretStore commands
SYS:\SYSTEM\NMA\NMA5.NCF
BSTART.NCF
LOAD PORTAL.NLM
LOAD NDSIMON.NLM
#STARTBRD
#ZENworks Database Settings
#SYS:\system\gwia.ncf
protect sys:system\GRPWISE.NCF
# protect sys:system\TSAFSGW.NCF
#SYS:\system\zfdstart.ncf
#ZENworks Database Settings
#SYS:\system\mgmtdbs.ncf
Добавлено:
12 ноя 2009, 10:27 Dimerson
вы удивитесь но если сделать вход с таким крыжиком [и с логином паролем] то при обращении к томам будет background login если логин и пароль те же.
Добавлено:
12 ноя 2009, 10:28 Урал
Дык ведь такое же происходит на любом клиентском компьютере! Все тома видны, и любые операции доступны, ЛЮБОМУ!
Добавлено:
12 ноя 2009, 10:35 vasya_r
Через красную букву N в трее посмотреть Соединения Novell (Connection), чтобы убедиться, есть ли background логин на сервер. Если нету, то копать права опекуна (trustee) Public на контекст или даже дерево. Тут очень много вариантов. В NW 6.5 есть утилита trustee, с помощью которой можно узнать у кого из опекунов излишние права супервизора. Очень похоже на этот случай.
trustee EXCESSNDS sys:\suspect.txt
Потом курить suspect.txt
Добавлено:
12 ноя 2009, 10:43 Урал
Помогите разобраться!
Excess NDS rights report for tree CCT
Generated on 12 Nov 2009 11:39:43
-------------------------------------------
Role Based Service 2.cct:
admin.cct has S entry right
NOVELL-GW.cct:
NOVELL-GW.cct has S entry right
NFAUUser.SUSE.cct:
NFAUUser.SUSE.cct has S right to all attributes
NLS_LSP_NW.SUSE.cct:
NLS_LSP_NW.SUSE.cct has S entry right
SUSE-W.samba.cct:
suse-sambaProxy.cct has S entry right
suseadmin.cct:
suseadmin.cct has S right to attribute See Also
mail.cct:
mail.cct has S entry right
AdminPackage.politic.cct:
admin.cct has S entry right
WOL Service_NOVELL.cct:
WOL Service_NOVELL.cct has S entry right
1_168_192_IN-ADDR_ARPA.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes
cct_ru.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes
DNS_NOVELL.cct:
DNSDHCP-GROUP.cct has S right to all attributes
net.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes
pool.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes
DHCP_NOVELL.cct:
DNSDHCP-GROUP.cct has S right to all attributes
RootServerInfo.cct:
DNSDHCP-GROUP.cct has S right to all attributes
DNS-DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes
DNSDHCP-GROUP.cct:
DNSDHCP-GROUP.cct has S right to all attributes
SNMP Group - NOVELL.cct:
NOVELL.cct has S right to attribute [Entry Rights]
NOVELL.cct has S right to all attributes
NFAUUser.cct:
NFAUUser.cct has S right to all attributes
Login Policy.Security:
Login Policy.Security has S right to all attributes
CCT CA.Security:
NOVELL.cct has S right to all attributes
LDAP Group - NOVELL.cct:
NOVELL.cct has S right to all attributes
NOVELL.cct has S entry right
LDAP Server - NOVELL.cct:
NOVELL.cct has S right to all attributes
NOVELL.cct has S entry right
NLS_LSP_NOVELL.cct:
NLS_LSP_NOVELL.cct has S entry right
NOVELL.cct:
NOVELL.cct has S entry right
cct:
NOVELL.cct has S entry right
cct:
NOVELL.cct has S right to all attributes
suseadmin.cct has S entry right
cct:
cct.eDirectory Administration.Role Based Service 2.cct has S entry right
cct.File Protocols.Role Based Service 2.cct has S entry right
cct.Group Management.Role Based Service 2.cct has S right to attribute CN
cct.Group Management.Role Based Service 2.cct has S right to attribute Owner
cct.Group Management.Role Based Service 2.cct has S right to attribute L
cct.Group Management.Role Based Service 2.cct has S right to attribute OU
cct.Group Management.Role Based Service 2.cct has S right to attribute O
cct.Group Management.Role Based Service 2.cct has S right to attribute Description
cct.Group Management.Role Based Service 2.cct has S right to attribute Security Equals
cct.Group Management.Role Based Service 2.cct has S right to attribute Equivalent To Me
cct.Group Management.Role Based Service 2.cct has S right to attribute See Also
cct.Group Management.Role Based Service 2.cct has S right to attribute dgIdentity
cct.Group Management.Role Based Service 2.cct has S right to attribute dgAllowDuplicates
cct.Group Management.Role Based Service 2.cct has S right to attribute dgAllowUnknown
cct.Group Management.Role Based Service 2.cct has S right to attribute dgTimeOut
cct.Group Management.Role Based Service 2.cct has S right to attribute Member
cct.Group Management.Role Based Service 2.cct has S right to attribute excludedMember
cct.Group Management.Role Based Service 2.cct has S right to attribute memberQuery
cct.Help Desk Management.Role Based Service 2.cct has S right to attribute Locked By Intruder
cct:
cct.Help Desk Management.Role Based Service 2.cct has S right to attribute Login Intruder Attempts
cct.Help Desk Management.Role Based Service 2.cct has S right to attribute Password Management
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute NDSPKI:userCertificateInfo
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute SAS:SecretStore
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute userCertificate
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute NDSPKI:Public Key Certificate
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute NDSPKI:Certificate Chain
cct.Novell Certificate Server Management.Role Based Service 2.cct has S entry right
cct.Partition and Replica Management.Role Based Service 2.cct has S entry right
cct.Schema Management.Role Based Service 2.cct has S entry right
cct.User Management.Role Based Service 2.cct has S right to attribute Login Disabled
[Root]:
admin.cct has S entry right
[Root]:
[Root] has S entry right
-------------------------------------------
A total of 64 excess NDS rights were reported
Вроде ничего криминального?
совсем ничего?
Добавлено:
12 ноя 2009, 10:54 Павел Гарбар
У объекта ROOT право S на все.
Это означает, что ВСЕ объекты в дереве (зарегистрированные пользователи в их числе) имеют все права на все, в том числе и на объекты серверов. Право S переходит от объекта сервер на файловую систему томов сервера.
Добавлено:
12 ноя 2009, 12:08 Владимир Горяев
Урал писал(а): А объект "Public" в дереве не виден....
"Public" не совсем объект дерева. Его можно увидеть как опекуна объекта дерева.
The [Public] trustee is not an object. It is a specialized trustee that represents any network user, logged in or not, for rights assignment purposes.
How to Verify Default Rights in NDS
eDirectory Rights Assignment Recommendations
Rights Assignment Recommendations: Part 2
Добавлено:
12 ноя 2009, 13:15 Урал
СПАСИБО!!!!!!!!!!!
Добавлено:
12 ноя 2009, 14:30 Урал
А можно как-то вернуть все права в состояние "ПО умолчанию", т.е. словно систему только установили? Боюсь просто, что остались еще где-то косяки...
Добавлено:
12 ноя 2009, 16:17 Музалёв Николай
У объекта ROOT право S на все.
Хм... Странная настройка.
Предполагается, что у рута должно быть на себя тока BROWSE в Object Rights и RC на несколько (десятка три) атрибутов. (??)
(но тут эти данные НЕ ПО УМОЛЧАНИЮ: мы настраивали, чтобы все видели данные по пользователю, которые заполняются в стандартном окне создания пользователя а NWAdmin32)
Добавлено:
13 ноя 2009, 10:28 Vict0r