DominoArea.org [Archive]

Forums Lotus Domino/Notes en Français
http://forum.dominoarea.org/

Bug ACL ?

http://forum.dominoarea.org/viewtopic.php?f=4&t=25896

Page 1 sur 1

Bug ACL ?

MessagePublié: 16 Sep 2010 à 09:01
par bullit
Bonjour,

Avez vous déjà rencontré ce problème ?

Une personne qui n'est pas référencée dans un groupe (ex toto-gp) et ne l'a jamais été, cette dernière accède tout de même aux bases à travers ce groupe lorsqu'on regarde les accès effectif des bases.

Cela n'est pas propre à une base donnée ou un serveur mais concerne tt les bases ou le groupe toto-gp apparait.

Est ce une faille de sécurité ?

PI: DOMINO 6.5.4FP3 Windows 2003 server.

Merci pour vos retours !

MessagePublié: 16 Sep 2010 à 09:46
par SISSI
Slt,

Tu as essayé de lui vider son cache (suppr de cache.ndk) sur son poste ? sinon repartir avec un fichier desktop d'origine ou encore lui changer son ID ?

MessagePublié: 16 Sep 2010 à 10:10
par bullit
Je me suis peut-être mal exprimé.

Mais le problème n'est pas au niveau du poste client ni même au un pb de cache serveur puisqu'ils sont relancés chaque nuit.

Le problème provient probablement du names.nsf.

Cdt

MessagePublié: 16 Sep 2010 à 10:16
par nemrod93
Bonjour,
as-tu effectué une recherche full texte dans l'annuaire avec le nom (ou une partie) de l'utilisateur?

MessagePublié: 16 Sep 2010 à 10:21
par Michael DELIQUE
salut

il est possible que ton utilisateur dans un groupe qui ets lui meme (ou via d'autre groupe) déclaré dans laLCA

MessagePublié: 16 Sep 2010 à 10:40
par nemrod93
J'ai eu aussi le pb avec une personne qui avait été renommée

MessagePublié: 16 Sep 2010 à 14:53
par Bidouille
Salut,

Il n'y aurait pas une histoire de "rôles" la dessous ?

MessagePublié: 22 Sep 2010 à 09:30
par bullit
J'ai trouvé l'origine du problème que je vous détail ici:

Chaque groupe est contient un champ "ListName" celui correspond au nom du groupe.

Si vous avez suffisament de droit sur l'annuaire entreprise (names.nsf) et donc autorisé à modifié ce champ. Il vous suffit d'ajouter le nom d'un groupe existant séparé par un ";" pour que votre groupe prenne les droits du second.

Autrement dit vous êtes gestionnaire d'un groupe A qui est lecteur sur tt les bases du domaine et vous ajouter dans le champ listName un groupe Z qui est gestionnaire sur tout le domaine.
Résultat => Les membres du groupe A hériteront des droits du groupe Z.

Je trouve ça limite au niveau sécurité et visiblement ce problème existe en version 8.5

A noter qu'il y a bien évidement une condition à l'utilisation de cette faille, il faut être autorisé à modifier les groupes dans le names ce qui n'est pas donner à tt le monde.

Bullit
Le fuseau horaire est UTC+1 heure
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/