Помогите! Потерялись права!

[Урал]

Совершенно случайно обнаружил, что любой клиент, даже без логина на сервере NW 6.5 по //имя_сервера видит все тома на сервере, все папки и подпапки и имеет все права на них и файлы.... Я в шоке! Что делать?

[Dimerson]

проверьте в коннектах кто с вашего IP числится в этот момент (в remote manager например)

[Владимир Горяев]

Совершенно случайно обнаружил, что любой клиент, даже без логина на сервере NW 6.5 по //имя_сервера видит все тома на сервере, все папки и подпапки и имеет все права на них и файлы.... Я в шоке! Что делать?

А можно подробнее, как ето происходит, в чем выражается и как определяется?
В первую очередь, я бы посмотрел права объекта Public.

[Урал]

как происходит? Допустим, завершаю сеанс на своем компе, логинюсь "ТОЛЬКО на РАБОЧЕЙ СТАНЦИИ", в проводнике набираю \\Имя_сервера, и вижу все, абсолютно все включая \\Имя_сервера\_ADMIN тома, захожу в любой том, вижу все папки, могу удалить все что угодно, создать...любые права. Аналогично и с другого компьютера. А объект "Public" в дереве не виден....

Это autoexec.ncf

SEARCH ADD SYS:\ni\update\bin
set Bindery Context = O=cct
set Time Zone = PLT-5PDT
set Daylight Savings Time Offset = 1:00:00
set Start Of Daylight Savings Time = (MARCH SUNDAY LAST 2:00:00 )
set End Of Daylight Savings Time = (OCTOBER SUNDAY LAST 2:00:00 )
set Default Time Server Type = Single
set Bindery Context = O=cct
SET LEVEL 2 OPLOCKS ENABLED = OFF
SET CLIENT FILE CACHING ENABLED = OFF

# ЏаЁ¬Ґз ­ЁҐ. €­д®а¬ жЁп ® з б®ў®¬ Ї®пбҐ, ЇаЁўҐ¤Ґ­­ п ўлиҐ,
# ¤®«¦­  ўбҐЈ¤  ЇаҐ¤иҐбвў®ў вм Ё¬Ґ­Ё ‘…ђ‚…ђЂ.
SEARCH ADD SYS:\JAVA\BIN
SEARCH ADD SYS:\JAVA\NWGFX\BIN
SEARCH ADD SYS:\JAVA\NJCLV2\BIN
SEARCH ADD SYS:\NI\UPDATE\BIN
# Џђ…„“Џђ…†„…Ќ€…!!
FILE SERVER NAME NOVELL

# -- Required for DirXML Driver for GroupWise
SEARCH ADD SYS:\SYSTEM\GWDRIVER
# Џђ…„“Џђ…†„…Ќ€…!!
# …б«Ё ‚л Ё§¬Ґ­пҐвҐ Ё¬п нв®Ј® бҐаўҐа , ‚л ¤®«¦­л ®Ў­®ўЁвм
# Ё¬п бҐаўҐа  ў® ўбҐе «ЁжҐ­§Ёпе, Є®в®алҐ ­ §­ зҐ­л
# Ґ¬г б Ї®¬®ймо iManager.
######## Start Drivers/Protocols ########
load conlog MAXIMUM=100
; Network driver LOADs and BINDs are initiated via
; INITSYS.NCF. The actual LOAD and BIND commands
; are contained in INITSYS.NCF and NETINFO.CFG.
; These files are in SYS:ETC.
sys:etc\initsys.ncf
#LOAD TCPIP
#LOAD YUKONNW.LAN SLOT=10013 FRAME=Ethernet_II NAME=YUKONNW_1_EII
#BIND IP YUKONNW_1_EII ADDR=192.168.1.1 MASK=255.255.255.0
######## End Drivers/Protocols ########
MOUNT ALL
IPMINIT.NCF

load nile.nlm
load httpstk.nlm /SSL /keyfile:"SSL CertificateIP"
LOAD NICISDI.XLM
LOAD SASDFM.XLM
# -- Added by AFP Install --
#AFPSTRT.NCF
# -- End of AFP Install --
# -- Added by CIFS Install --
#CIFSSTRT.NCF
# -- End of CIFS Install --
SYS:/BIN/UNIXENV.NCF
LOAD PKI.NLM
LOAD NLDAP.NLM
# Loading Posix Semantic Agent
PSA
# -- Added by Scripting Install --
SCRIPT.NCF
SEARCH ADD SYS:\APACHE2
AP2WEBUP
#Apache2 is now the admin server
ADMSRVUP
# Storage Management Services components required for Backup
SMSSTART.NCF
#---Added By Native File Access For Unix---
#nfsstart
#---Added By Native File Access For Unix END---
LOAD EMBOX.NLM
openwbem.ncf
#RCONAG6.NLM is required by RConsoleJ
#LOAD RCONAG6 <Your> 2034 16800 2036

# tc4admin begin
SEARCH ADD SYS:/tomcat/4/bin
tcadmup.ncf
# tc4admin end
# tomcat4 begin
sys:/tomcat/4/bin/tomcat4.ncf
# tomcat4 end
# tomcat5 begin
SEARCH ADD SYS:/tomcat/5.0/bin
sys:/tomcat/5.0/bin/tomcat5.ncf
# tomcat5 end

#Added By FTP Server
ftpstart.ncf
#Added By FTP Server END

# Uncomment the following line after creating DNS Server Object
LOAD NAMED.NLM
# Uncomment the following line after creating DHCP Server Object
LOAD DHCPSRVR.NLM

# -- Added by MYSQL Install --
#SEARCH ADD SYS:\mysql\bin
mysqld_safe --autoclose
# -- End of MYSQL Install --


# --The following line should be uncommented if the SNMP subagent is desired
#load dssnmpsa.nlm


# SYS:system\TSAFSGW.NCF
Load AFREECON.NLM

SEARCH ADD SYS:\Novell\NM
SYS:\Novell\NM\nmstart.ncf

SEARCH ADD SYS:\DRWEB
drwebS

# Begin SecretStore commands
LOAD NICISDI.XLM s
LOAD SASDFM.XLM
# SSNCP automatically loads SSS.NLM without any command line options.
# If you want to specify options, uncomment the following line and add
# the appropriate options.
# LOAD SSS
LOAD SSNCP
# End SecretStore commands

SYS:\SYSTEM\NMA\NMA5.NCF
BSTART.NCF
LOAD PORTAL.NLM
LOAD NDSIMON.NLM

#STARTBRD

#ZENworks Database Settings

#SYS:\system\gwia.ncf

protect sys:system\GRPWISE.NCF

# protect sys:system\TSAFSGW.NCF

#SYS:\system\zfdstart.ncf

#ZENworks Database Settings
#SYS:\system\mgmtdbs.ncf

[Dimerson]

вы удивитесь но если сделать вход с таким крыжиком [и с логином паролем] то при обращении к томам будет background login если логин и пароль те же.

[Урал]

Дык ведь такое же происходит на любом клиентском компьютере! Все тома видны, и любые операции доступны, ЛЮБОМУ!

[vasya_r]

Через красную букву N в трее посмотреть Соединения Novell (Connection), чтобы убедиться, есть ли background логин на сервер. Если нету, то копать права опекуна (trustee) Public на контекст или даже дерево. Тут очень много вариантов. В NW 6.5 есть утилита trustee, с помощью которой можно узнать у кого из опекунов излишние права супервизора. Очень похоже на этот случай.

trustee EXCESSNDS sys:\suspect.txt

Потом курить suspect.txt

[Урал]

Помогите разобраться!


Excess NDS rights report for tree CCT
Generated on 12 Nov 2009 11:39:43
-------------------------------------------


Role Based Service 2.cct:
admin.cct has S entry right

NOVELL-GW.cct:
NOVELL-GW.cct has S entry right

NFAUUser.SUSE.cct:
NFAUUser.SUSE.cct has S right to all attributes

NLS_LSP_NW.SUSE.cct:
NLS_LSP_NW.SUSE.cct has S entry right

SUSE-W.samba.cct:
suse-sambaProxy.cct has S entry right

suseadmin.cct:
suseadmin.cct has S right to attribute See Also

mail.cct:
mail.cct has S entry right

AdminPackage.politic.cct:
admin.cct has S entry right

WOL Service_NOVELL.cct:
WOL Service_NOVELL.cct has S entry right

1_168_192_IN-ADDR_ARPA.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes

cct_ru.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes

DNS_NOVELL.cct:
DNSDHCP-GROUP.cct has S right to all attributes

net.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes

pool.DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes

DHCP_NOVELL.cct:
DNSDHCP-GROUP.cct has S right to all attributes

RootServerInfo.cct:
DNSDHCP-GROUP.cct has S right to all attributes

DNS-DHCP.cct:
DNSDHCP-GROUP.cct has S right to all attributes

DNSDHCP-GROUP.cct:
DNSDHCP-GROUP.cct has S right to all attributes

SNMP Group - NOVELL.cct:
NOVELL.cct has S right to attribute [Entry Rights]
NOVELL.cct has S right to all attributes

NFAUUser.cct:
NFAUUser.cct has S right to all attributes

Login Policy.Security:
Login Policy.Security has S right to all attributes

CCT CA.Security:
NOVELL.cct has S right to all attributes

LDAP Group - NOVELL.cct:
NOVELL.cct has S right to all attributes
NOVELL.cct has S entry right

LDAP Server - NOVELL.cct:
NOVELL.cct has S right to all attributes
NOVELL.cct has S entry right

NLS_LSP_NOVELL.cct:
NLS_LSP_NOVELL.cct has S entry right

NOVELL.cct:
NOVELL.cct has S entry right

cct:
NOVELL.cct has S entry right

cct:
NOVELL.cct has S right to all attributes
suseadmin.cct has S entry right

cct:
cct.eDirectory Administration.Role Based Service 2.cct has S entry right
cct.File Protocols.Role Based Service 2.cct has S entry right
cct.Group Management.Role Based Service 2.cct has S right to attribute CN
cct.Group Management.Role Based Service 2.cct has S right to attribute Owner
cct.Group Management.Role Based Service 2.cct has S right to attribute L
cct.Group Management.Role Based Service 2.cct has S right to attribute OU
cct.Group Management.Role Based Service 2.cct has S right to attribute O
cct.Group Management.Role Based Service 2.cct has S right to attribute Description
cct.Group Management.Role Based Service 2.cct has S right to attribute Security Equals
cct.Group Management.Role Based Service 2.cct has S right to attribute Equivalent To Me
cct.Group Management.Role Based Service 2.cct has S right to attribute See Also
cct.Group Management.Role Based Service 2.cct has S right to attribute dgIdentity
cct.Group Management.Role Based Service 2.cct has S right to attribute dgAllowDuplicates
cct.Group Management.Role Based Service 2.cct has S right to attribute dgAllowUnknown
cct.Group Management.Role Based Service 2.cct has S right to attribute dgTimeOut
cct.Group Management.Role Based Service 2.cct has S right to attribute Member
cct.Group Management.Role Based Service 2.cct has S right to attribute excludedMember
cct.Group Management.Role Based Service 2.cct has S right to attribute memberQuery
cct.Help Desk Management.Role Based Service 2.cct has S right to attribute Locked By Intruder

cct:
cct.Help Desk Management.Role Based Service 2.cct has S right to attribute Login Intruder Attempts
cct.Help Desk Management.Role Based Service 2.cct has S right to attribute Password Management
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute NDSPKI:userCertificateInfo
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute SAS:SecretStore
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute userCertificate
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute NDSPKI:Public Key Certificate
cct.Novell Certificate Server Management.Role Based Service 2.cct has S right to attribute NDSPKI:Certificate Chain
cct.Novell Certificate Server Management.Role Based Service 2.cct has S entry right
cct.Partition and Replica Management.Role Based Service 2.cct has S entry right
cct.Schema Management.Role Based Service 2.cct has S entry right
cct.User Management.Role Based Service 2.cct has S right to attribute Login Disabled

[Root]:
admin.cct has S entry right

[Root]:
[Root] has S entry right


-------------------------------------------
A total of 64 excess NDS rights were reported


Вроде ничего криминального?

[Павел Гарбар]

У объекта ROOT право S на все.
Это означает, что ВСЕ объекты в дереве (зарегистрированные пользователи в их числе) имеют все права на все, в том числе и на объекты серверов. Право S переходит от объекта сервер на файловую систему томов сервера.

[Владимир Горяев]

А объект "Public" в дереве не виден....

"Public" не совсем объект дерева. Его можно увидеть как опекуна объекта дерева. The [Public] trustee is not an object. It is a specialized trustee that represents any network user, logged in or not, for rights assignment purposes.
How to Verify Default Rights in NDS
eDirectory Rights Assignment Recommendations
Rights Assignment Recommendations: Part 2

[Урал]

СПАСИБО!!!!!!!!!!!

[Урал]

А можно как-то вернуть все права в состояние "ПО умолчанию", т.е. словно систему только установили? Боюсь просто, что остались еще где-то косяки...

[Музалёв Николай]

У объекта ROOT право S на все.

Хм... Странная настройка.
Предполагается, что у рута должно быть на себя тока BROWSE в Object Rights и RC на несколько (десятка три) атрибутов. (??)

(но тут эти данные НЕ ПО УМОЛЧАНИЮ: мы настраивали, чтобы все видели данные по пользователю, которые заполняются в стандартном окне создания пользователя а NWAdmin32)

[Vict0r]

поднимал похожую тему: http://novell.org.ru/forum/viewtopic.ph ... highlight=