Bonjour,
Avez vous déjà rencontré ce problème ?
Une personne qui n'est pas référencée dans un groupe (ex toto-gp) et ne l'a jamais été, cette dernière accède tout de même aux bases à travers ce groupe lorsqu'on regarde les accès effectif des bases.
Cela n'est pas propre à une base donnée ou un serveur mais concerne tt les bases ou le groupe toto-gp apparait.
Est ce une faille de sécurité ?
PI: DOMINO 6.5.4FP3 Windows 2003 server.
Merci pour vos retours !
Bug ACL ?
8 messages
• Page 1 sur 1
par bullit » 16 Sep 2010 à 10:10
Je me suis peut-être mal exprimé.
Mais le problème n'est pas au niveau du poste client ni même au un pb de cache serveur puisqu'ils sont relancés chaque nuit.
Le problème provient probablement du names.nsf.
Cdt
Mais le problème n'est pas au niveau du poste client ni même au un pb de cache serveur puisqu'ils sont relancés chaque nuit.
Le problème provient probablement du names.nsf.
Cdt
- bullit
- Apprenti-posteur
- Message(s) : 137
- Inscrit(e) le : 25 Juin 2007 à 08:28
par nemrod93 » 16 Sep 2010 à 10:16
Bonjour,
as-tu effectué une recherche full texte dans l'annuaire avec le nom (ou une partie) de l'utilisateur?
as-tu effectué une recherche full texte dans l'annuaire avec le nom (ou une partie) de l'utilisateur?
cdlt
Alain
On ne voit que ce qu'on veut voir, et on trouve rarement si on ne cherche pas
Alain
On ne voit que ce qu'on veut voir, et on trouve rarement si on ne cherche pas
-
nemrod93 - Posteur expérimenté
- Message(s) : 378
- Inscrit(e) le : 04 Déc 2008 à 10:26
- Localisation : Saint Malo
par Michael DELIQUE » 16 Sep 2010 à 10:21
salut
il est possible que ton utilisateur dans un groupe qui ets lui meme (ou via d'autre groupe) déclaré dans laLCA
il est possible que ton utilisateur dans un groupe qui ets lui meme (ou via d'autre groupe) déclaré dans laLCA
Cordialement
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
Michael (SMS-Phobique)
----------------------------
"La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi."
Albert EINSTEIN
-
Michael DELIQUE - Administrateur
- Message(s) : 12183
- Inscrit(e) le : 16 Déc 2004 à 10:36
- Localisation : Paris/Cergy
par Bidouille » 16 Sep 2010 à 14:53
Salut,
Il n'y aurait pas une histoire de "rôles" la dessous ?
Il n'y aurait pas une histoire de "rôles" la dessous ?
Bidouille
Le farniente est une merveilleuse occupation. Dommage qu'il faille y renoncer pendant les vacances, l'essentiel étant alors de faire quelque chose.
Pierre Daninos
Le farniente est une merveilleuse occupation. Dommage qu'il faille y renoncer pendant les vacances, l'essentiel étant alors de faire quelque chose.
Pierre Daninos
-
Bidouille - Roi des posts
- Message(s) : 691
- Inscrit(e) le : 10 Déc 2008 à 18:14
- Localisation : Sud Ouest
par bullit » 22 Sep 2010 à 09:30
J'ai trouvé l'origine du problème que je vous détail ici:
Chaque groupe est contient un champ "ListName" celui correspond au nom du groupe.
Si vous avez suffisament de droit sur l'annuaire entreprise (names.nsf) et donc autorisé à modifié ce champ. Il vous suffit d'ajouter le nom d'un groupe existant séparé par un ";" pour que votre groupe prenne les droits du second.
Autrement dit vous êtes gestionnaire d'un groupe A qui est lecteur sur tt les bases du domaine et vous ajouter dans le champ listName un groupe Z qui est gestionnaire sur tout le domaine.
Résultat => Les membres du groupe A hériteront des droits du groupe Z.
Je trouve ça limite au niveau sécurité et visiblement ce problème existe en version 8.5
A noter qu'il y a bien évidement une condition à l'utilisation de cette faille, il faut être autorisé à modifier les groupes dans le names ce qui n'est pas donner à tt le monde.
Bullit
Chaque groupe est contient un champ "ListName" celui correspond au nom du groupe.
Si vous avez suffisament de droit sur l'annuaire entreprise (names.nsf) et donc autorisé à modifié ce champ. Il vous suffit d'ajouter le nom d'un groupe existant séparé par un ";" pour que votre groupe prenne les droits du second.
Autrement dit vous êtes gestionnaire d'un groupe A qui est lecteur sur tt les bases du domaine et vous ajouter dans le champ listName un groupe Z qui est gestionnaire sur tout le domaine.
Résultat => Les membres du groupe A hériteront des droits du groupe Z.
Je trouve ça limite au niveau sécurité et visiblement ce problème existe en version 8.5
A noter qu'il y a bien évidement une condition à l'utilisation de cette faille, il faut être autorisé à modifier les groupes dans le names ce qui n'est pas donner à tt le monde.
Bullit
- bullit
- Apprenti-posteur
- Message(s) : 137
- Inscrit(e) le : 25 Juin 2007 à 08:28
8 messages
• Page 1 sur 1
