Lotus domino console настройка
Lotus domino console настройка
Установить сервер Lotus Domino (платформа win 32). Задать начальные параметры сервера. Установить клиент Lotus Notes .
*Установка сервера и клиента должна быть осуществлена на разные машины. Рекомендуется использовать виртуальную машину.
Основные функции, входящие в базовую поставку Lotus Notes/Domino версии 7.0.2:
- среда исполнения приложений автоматизации групповой деятельности
- криптозащита (шифрование и электронная подпись)
Среда разработки приложений Domino Designer предоставляет разработчикам развитые базовые сервисы для разработки документоориентированных приложений.
Программный код и визуальные формы приложений физически хранятся в базах данных, в которых они используются и выполняются. При внесении изменений в программный код или форму изменения становятся доступны всем пользователям и серверам, получающим доступ к базе данных, в которой хранятся изменённые код или форма. На другие сервера изменения поступают посредством репликации при первом же сеансе.
При разработке в среде Lotus Domino Designer могут использоваться следующие средста:
Среда визуальной разработки. Позволяет формировать объекты графического интерфейса пользователя.
Частично совместим по синтаксису с языком Visual Basic. Встроенные классы Lotus Script предоставляют доступ к элементам интерфейса пользователя, данным и служебным объектам Lotus Notes/Domino.
Используется для управления объектами и данными на уровне интерфейса пользователя в клиенте Lotus Notes и при доступе по HTTP.
Основные области применения:
интерфейс пользователя в HTTP
интеграция элементов интерфейса пользователя в клиенте Lotus Notes (Java-аплетов с Lotus Script, при работе в многофреймовом интерфейсе)
Применяется для задания несложных операций и групп операций над данными. Рекомендована и во многих случаях доступна для использования конечными пользователями системы.
Архитектура Notes/Domino
При развертывании системы Notes/Domino необходимо определить одного или группу пользователей, которые будут ее администрировать.
Разграничение доступа к системе Notes/Domino для решения административных задач выполняется в зависимости от прав, необходимых администратору, например,
- право администрирования одного или нескольких серверов Domino;
- добавление и/или изменение информации о пользователях, группах и серверах;
- добавление и/или изменение различных конфигурационных параметров сервера.
Средства администрирования системы Domino
В Notes/Domino 6 есть набор средств, позволяющих гибко администрировать систему.
В таблице представлены эти средства:
- Модификация параметров сервера
- Настройка соединений между серверами
- Добавление пользователей, серверов и групп
- Мониторинг системы.
Использование клиента Domino Administrator
Клиент Lotus Domino Administrator является главным средством управления системой Notes/Domino.
Чтобы загрузить клиент Domino Administrator выполните следующие действия:
- В системе Windows, выберите из меню Пуск > Программы > Lotus Applications (Приложения Lotus) пункт Lotus Notes.
- Введите пароль и нажмите кнопку "OK".
- На панели закладок выберите закладку Domino Administrator .
Чтобы загрузить клиент Domino Administrator из группы программ Lotus Applications (Приложения Lotus) выберите из меню Пуск > Программы > Lotus Applications (Приложения Lotus) пункт Lotus Domino Administrator.
Интерфейс клиента Domino Administrator
Навигация в клиенте администратора
Закладка "Пользователи и группы" (People and Groups)
Выбрав закладку "Пользователи и группы" ( People and Groups ), администраторы могут просматривать, добавлять и модифицировать:
- учетные записи пользователей домена Domino;
- группы домена Domino;
- документы, описывающие общие почтовые базы данных ( mail-in databases ), ресурсы;
- политики;
- сертификаты, использующиеся для аутентификации.
Закладка "Файлы" (Files)
Выбрав закладку "Файлы" ( Files ), возможно:
- просматривать информацию о файлах, расположенных на сервере Domino или локально;
- добавлять, модифицировать, удалять папки или ссылки на базы данных ( database links );
- выполнять сервисное обслуживание баз данных.
Закладка "Сервер" (Server)
При выборе закладки "Сервер" ( Server ), возможно:
- выполнять различные действия на сервере Domino, например, загрузку сервисов;
- получать информацию о производительности сервера;
- осуществлять мониторинг сервера.
Закладка "Почта" (Messaging)
Выбрав закладку "Почта" ( Messaging ), возможно:
- контролировать передачу электронной почты;
- просматривать топологию маршрутизации почты;
- генерировать отчеты.
Закладка "Репликация" (Replication)
Закладка "Репликация" ( Replication ), позволяет:
- просматривать расписания репликации между серверами Domino;
- просматривать события и топологию репликаций.
Закладка "Настройка" (Configuration Tab)
Выбрав закладку "Настройка" ( Configuration Tab ), администраторы могут управлять конфигурационными параметрами системы Notes/Domino, такими как, настройки маршрутизации электронной почты и репликаций, а также регистрировать учетные записи пользователей, серверов и заверителей.
Краткое описание на русском языке самой распространенной в мире интегрированной технологии для совместной работы
Подводя итоги уходящего десятилетия, журнал InformationWeek назвал Lotus Notes одним из наиболее важных продуктов 90-х годов, который наиболее тесно интегрирован с понятием «групповой работы». В течение последнего десятилетия компания Lotus действительно приложила много усилий по развитию функциональности Lotus Domino и Notes, превратив их в передовые Internet-продукты, и вступила в 2000 год с общим количеством пользователей Lotus Notes, превышающим 56 миллионов.
Тем не менее очень часто среди потенциальных пользователей этих технологий отсутствует понимание того, что включает в себя это понятие — «интегрированные системы для коллективной работы», а также что составляет суть технологий Lotus Domino и Notes, в частности. Именно этим вопросам и посвящена данная статья.
Если дать в этом коротком введении формальное определение Lotus Domino и Notes — то это средства, предназначенные для сбора, организации и распределения информации и знаний.
Если отталкиваться от реальной практики использования, то можно выделить следующие группы организаций, которые выбрали и выбирают для себя эти технологии.
Вторую группу составляют организации, которые используют Domino и Notes в качестве платформы и инфраструктуры для бизнес-приложений, автоматизации деловых процедур, документооборота и т.д. Lotus Domino — это сервер приложений, а Lotus Notes — это клиент для выполнения бизнес-приложений, работы с информацией и документами, в том числе и в режиме offline.
Третья группа пользователей выбирает Lotus Domino в качестве уникальной технологии для создания инфраструктуры Web. Lotus Domino — это Web-сервер с расширенными возможностями по динамическому обновлению, категоризации информации, полнотекстовому поиску и т.д.
И, наконец, четвертая группа организаций выбирает Lotus Domino и Notes в качестве интегрирующего программного обеспечения, или «программного обеспечения промежуточного слоя», способного интегрировать информацию и данные практически из произвольных источников информации — реляционных СУБД, систем управления ресурсами предприятий (ERP), таких как SAP R/3, среды Internet и т.д.
В конечном итоге большинство пользователей Lotus Domino и Notes осознают возможность решения всего спектра перечисленных выше задач на основе единой технологической платформы и создают информационную инфраструктуру, позволяющую утверждать: «Эффективная работа нашей организации была бы невозможна без Domino и Notes».
Следует отметить, что Lotus Domino и Notes являются многоплатформными продуктами. Версии сервера Domino имеются под большинство распространенных операционных систем и аппаратных платформ, таких как Windows 3.x, Windows 95, Windows NT, Linux, Sun Solaris, HP-UX, IBM AIX, OS/2, Novell NetWare, OS/400, OS/390, Mac, предоставляя пользователям этих технологий свободу выбора платформы, адекватно отвечающей потребностям организации.
Продукт локализован, и его пользователями в России являются сотни и тысячи организаций.
2. История создания Lotus Domino и Notes
Lotus Notes уходит своими корнями в некоторые из первых компьютерных программ, написанных в Компьютерной Исследовательской Лаборатории (Computer-based Education Research Laboratory — CERL) Университета штата Иллинойс. В 1973 году CERL выпустила продукт под названием PLATO Notes. В то время единственная функция PLATO Notes заключалась в присоединении к отчетам об ошибках идентификатора пользователя и даты, а также в обеспечении защиты файла от удаления другими пользователями. Системный персонал получил, таким образом, возможность отвечать на отчеты о проблемах, появляющиеся в нижней части экрана. Именно такой способ безопасной коммуникации между пользователями и составлял основу PLATO Notes.
В 1976 году был выпущен продукт под названием PLATO Group Notes. Group Notes унаследовал оригинальную концепцию PLATO Notes и являлся ее логическим развитием в части организации обратной связи с пользователями. Отзывы последних о новом продукте оказались положительными, Group Notes начал активно применяться и в итоге стал прообразом многих программных продуктов, использующих метафору «заметок» («notes»).
Создатель Lotus Notes Рэй Оззи (Ray Ozzie) работал в операционной системе PLATO в CERL в конце семидесятых годов. На него произвели впечатление система и ее коммуникационные возможности. Используя знания, приобретенные в CERL, Рэй Оззи начинает работу над предложением по созданию продукта категории «notes» для ПК. Вначале он испытывал сложности, связанные с отсутствием источников финансирования.
Мич Капор (Mitch Kapor), основатель и в то время Исполнительный Директор Lotus Development Corporation, поверил в то, что по тем временам являлось абсолютно новой концепцией. Капор не только вдохновился этой идеей, но и изъявил желание вложить деньги Lotus в разработку нового продукта. Проницательность Капора, его творческий подход и готовность преодолеть собственное недоверие предопределили превращение умозрительных представлений Оззи в реальность.
В июле 1984 года Оззи и Капор начали работать над инновационной разработкой, что привело пятью месяцами позже к созданию компании Iris Associates, Inc., основанной на средства Lotus и связанной с последней контрактными обязательствами. Задачей Iris являлась разработка первой версии-релиза (release) Notes.
Изначально Notes представлялся разработчикам как комбинация средств для ведения дискуссий в режиме online, электронной почты, телефонных книг и документо-ориентированных баз данных. Подобный подход обусловливал наличие двух проблем. Первая — сетевые технологии в том виде, в каком они нам известны сейчас, тогда не существовали. Вследствие этого разработчикам вначале пришлось продавать идею Notes как средства управления персональной информацией (Personal Information Manager — PIM), некоего подобия «электронного органайзера», обладающего определенными возможностями совместной работы. Второе — на тот момент операционные системы были недостаточно развиты, и разработчикам пришлось писать большое количество системного кода для создания сервера имен (Name Server), баз данных и средств сетевой коммуникации. С развитием сетевых технологий разработчики стали продавать идею Notes как groupware («программное обеспечение для групповой работы»), что подразумевало возможности по обеспечению коммуникаций, сотрудничества и координации усилий между группами пользователей.
Вскоре появился компьютер Макинтош, детище корпорации Apple, обладавший новым, легким в использовании графическим интерфейсом пользователя. Это повлияло на разработчиков Notes, и они снабдили свой новый продукт символьно-ориентированным графическим интерфейсом. Первоначальное представление основателей быстро эволюционировало к идее создания продукта по поддержке виртуальных сообществ людей. Думать о создании ПО для групповой работы в 1984 году было делом эксцентричным — в то время большинство пользователей еще не знали, что такое электронная почта. Этот продукт намного опередил свое время. Это был первый коммерческий клиент-серверный продукт.
На разработку Notes ушло несколько лет, что, по сегодняшним стандартам, немало, но именно это обеспечило успех Notes. Позволив себе роскошь потратить на разработку пять лет, создатели Notes выпустили исключительно цельный продукт, у которого практически не оказалось соперников на рынке. Конкурентам потребовались годы, чтобы создать нечто подобное Notes. Тем не менее и на сегодняшний день ни один из продуктов не обладает всеми возможностями, присущими Notes.
Большая часть разработки, касающаяся ядра, была закончена в течение двух лет, но разработчики потратили еще год на то, чтобы перенести коды клиентской и серверной частей с Windows на OS/2. В этот период разработчики из Iris пользовались Notes для осуществления удаленной коммуникации с персоналом из Lotus. Каждодневное использование продукта было весьма полезным при разработке ключевых функциональных возможностей. Например, разработчикам потребовалось синхронизировать данные между двумя удаленными офисами, и они изобрели репликацию — одну из самых сильных возможностей Notes. Интересно то, что это даже не входило в первоначальные планы, но проблема возникла, и ее решили.
В августе 1986 года Notes уже обладал многими своими уникальными функциональными возможностями, и к нему была готова предварительная документация. Продукт был готов к поставке внутренним пользователям Lotus. В это время Lotus произвела оценку и приняла продукт. Lotus приобрела права на Notes в 1987 году.
Судьба Lotus Notes сложилась успешно еще до того момента, как вышла его первая версия-релиз. Глава компании Price Waterhouse просмотрел демо-ролик Lotus Notes до того, как был выпущен первый релиз. Продукт произвел на него такое впечатление, что он купил сразу 10 000 копий Notes. В то время это был рекордный объем продаж для ПК-ориентированных продуктов. Как первый крупный покупатель Notes компания Price Waterhouse предсказала, что Notes кардинальным образом трансформирует существующие на тот момент бизнес-процессы. Сотрудники Price Waterhouse оказались правы.
Коммерческая вторая версия Lotus Notes начала продаваться на рынке начиная с 1991 года, и долгое время продукт оставался единственной технологией по поддержке совместной работы людей.
Потом появился Internet со своими возможностями по хранению и обмену информации между географически распределенными группами людей — примерно то, что уже в течение ряда лет умел делать Notes. В 1995 году в компьютерной прессе было много статей на тему того, что судьба Notes предрешена и его заменят более открытые и дешевые технологии Internet.
Однако в ноябре 1995 года компания Lotus, уже будучи в то время частью корпорации IBM, объявила о стратегии, которая предполагала дополнение широкой функциональности Notes (тогда еще версии 3.3x) поддержкой стандартов Internet и радикальное снижение цен. С тех пор Lotus выпустила несколько новых версий Notes, а начиная с версии 4.5 функциональность сервера в области технологий Internet была такова, что компания посчитала необходимым переименовать серверную часть Notes в сервер Domino.
И сегодня, в начале нового десятилетия и нового века Lotus Domino и Notes продолжают оставаться лучшими продуктами для совместной работы, которые дают организациям возможности обеспечения эффективного взаимодействия персонала. Lotus Domino по своим характеристикам также является передовым Web-сервером, сервером приложений и электронной почты. Поэтому даже если организация не заинтересована в использовании Notes для совместной работы, есть много причин выбрать сервер Domino в качестве основы своей инфраструктуры Internet/intranet.
В данной статье нет места для подробного изложения истории развития Notes, начиная от первой версии и вплоть до версии пятой, которая была выпущена Lotus в 1999 году. Поэтому перейдем сразу к тем возможностям, которые дает эта технология сегодня. Следующее далее изложение является очень кратким описанием Domino и Notes.
3. Что такое Notes и архитектура решений Lotus
Notes — весьма элегантное приложение. Это многосторонний продукт, функциональность которого столь обширна, что делает его кардинально отличным от других приложений. В этом и заключается причина того, что пользователям иногда бывает сложно осознать всю уникальность возможностей этой технологии. Однако как только приходит понимание принципов работы Notes, становится ясно, что эта технология действительно превосходит многие аналогичные средства Internet или продукты от других поставщиков в области систем для коллективной работы.
Работа современных организаций, будь то коммерческие структуры или государственные агентства, основана на активном взаимодействии людей, подразделений и других, внешних по отношению к ним, организаций.
Все формы подобного взаимодействия можно разбить на три группы, или так называемые три К:
-
Коммуникации: вы и ваша организация может запрашивать у кого-либо или пересылать информацию.
Если говорить о компьютерных технологиях, которые отвечают и поддерживают эти три формы взаимодействия, то это соответственно:
Основу Lotus Domino и Notes как раз и составляют перечисленные выше три технологии.
Lotus Domino и Notes можно было бы охарактеризовать как систему распределенных баз данных коллективного доступа, интегрированную с возможностями электронной почты.
-
База данных коллективного доступа подразумевает возможности большого количества пользователей одновременно осуществлять доступ и обновлять содержание баз.
Важным для понимания возможностей Domino и Notes является так называемая Архитектура решений Lotus. Эта концепция (см. таблицу) была разработана консалтинговой службой Lotus в соответствии с принципами системного подхода. Она обеспечивает целостный подход к классификации решений на основе коммуникационных технологий и технологий совместной работы на платформе Domino и Notes.
С точки зрения рассматриваемой концепции выбранная коммуникационная платформа должна обладать следующими возможностями. Во-первых, она должна поддерживать весь спектр технологий создания корпоративной системы, которые перечислены выше (корпоративная система электронной почты, базы данных коллективного доступа, средства автоматизации деловых процедур).
Во-вторых, решения, основанные на этой платформе, должны эффективно функционировать на трех уровнях организационной сложности:
1. Уровень отделов и подразделений.
2. Уровень интегрированной организации.
3. Уровень расширенной организации (включает в себя все связи с внешним миром — партнерами, заказчиками, поставщиками услуг и пр.).
В этом смысле Lotus Domino и Notes обеспечивают полноценное решение в области систем коллективной работы и позволяют решать технологически сложные задачи на любом организационном уровне. Lotus Domino — это одновременно сервер электронной почты, сервер приложений для работы с документами и создания систем автоматизации деловых процедур, Web-сервер, дополненный широкими возможностями интеграции с реляционными СУБД и системами управления ресурсами предприятий (ERP-системами). Lotus Notes — это интегрированный почтовый и Internet-клиент, клиент для совместной работы и работы с документами, обеспечивающий, кроме всего прочего, возможности мобильной работы пользователей.
В соответствии с этим подходом, то или иное решение с точки зрения применяемых технологий и организационной сложности попадает в одну из девяти категорий. Все, что находится на верхнем уровне расширенной организации — это Internet-технологии, два нижних ряда — это внутрикорпоративные intranеt-системы. Технологии электронного бизнеса, о которых сейчас так много говорится — это верхние два правых квадрата, то есть это основанные на стандартах Internet-технологии, обеспечивающие средства совместной работы и координации действия различных организаций, вовлеченных в общие производственные процессы.
Обновление Lotus Domino 6.5 с Win2k3 до 8.5.1 на OpenSuSE
Хорошим тоном считается, что сервер пингуется по DNS имени. При этом неважно DNS настроен или имя хоста прописано в файле hosts. Пусть сервер Lotus Domino будет иметь запись debian1 с IP 172.16.16.63 в файл hosts:
Если при запуске от sudo Вы получаете ошибку "/domino/tools/-E: unexpected operator" перейдите в sudo -i
Читаем, нажимая «Enter»; если согласны, то нажимаем «1», если нет, то «2».
Вводим /srv/notesdata. Нажимаем Enter.
Удобнее настраивать Lotus Domino из графического интерфейса. Поэтому, находим машину с установленным Lotus. Должна быть установлена программа "Remote Server Setup". Выбираем ее.
Итак, есть Lotus Domino 6.5 на Windows Server в папке D:\Lotus\Domino\Data. Предварительно бекапим содержимое папки /srv/notesdata в /root/backup_install. Копируем содержание D:\Lotus\Domino\Data в /srv/notesdata с правами и группы notes:notes.
Вот модифицированный скрипт запуска Lotus Domino: Создаем скрипт запуска Lotus Domino c таким содержанием:
Обязательно проверяйте права на файлы и папки в рабочей директории Lotus Domino!
Копируем Notes.ini с Windows Server из папки C:\Lotus\Domino на Linux в папку /srv/notesdata
Изменяем пути на правильные.
С параметром FileDlgDirectory я не знаю пока что делать. Он у меня стоит по умолчанию.
Посмотрим что будет.
Необходимо скопировать nodelock, который создался при установке Lotus Domino, в папку с текущей базой данных. На всякий случай также скопировал Domino8.lic.
В notes.ini необходимо дописать строчку
В файле /etc/security/limits.conf необходимо дописать:
You need also to create a password file for Domino, if your Domino doesn't use a password just leave /srv/notesdata/.domino.pwd file empty
Now, create symlinks to start the Domino server at runlevels 3 and 5 with the following commands:
And create symlinks to stop the server at runlevels 1 (single-user), 0 (halt) and 6 (reboot) with the following commands:
Первый запуск делаем под пользователем notes
Скорость открытия базы данных на 100 мбит сетевой карте составляет 5-8 секунд,а на 1Гб - 1 секунду (остальные параметры: CPU 4x 1,6 ГГц, 3 Гб ОЗУ)
Проникновение в Lotus Domino
В последнее время я часто рассказываю истории о том, как на обыкновенном пен-тесте удается выявить 0-day уязвимость в популярном ПО или разработать приватный эксплойт. На самом деле такого рода задачи решаются при пен-тесте редко и выборочно, и на это есть свои причины.
И всё же я хочу поделиться историей (ага, байкой) о том, как при решении именно таких задач пен-тест выходит за рамки монотонного сканирования, брутфорса и запихивания кавычек в параметры веб-приложения. А именно, в этом посте будет рассказано о простой баге в Lotus Domino Server Controller, о том, как был создан приватный эксплойт, а также найдена проблема нулевого дня, актуальная и на сегодняшний день.
Тест на проникновение
Итак, тест на проникновение. Эта тема стабильно обмусоливается каждый год на различных блогах и различными специалистами. И это неспроста: данная услуга имеет много различных тонкостей и подводных камней. Но я не буду мутить воду о необходимости, полезности и содержании этой штуковины, я хочу поговорить о самой работе. О том, что делает пен-тест именно пен-тестом.
Любой пен-тестер решает множество подзадач с целью выполнения основной задачи – реализации атак на компоненты информационной системы. При этом я оставлю за скобками подробное описание и возможные вариации на тему основной задачи, так как это опять же сейчас неинтересно, а вот две-три подзадачи, что являются “state-of-art”, я выделю:
- Поиск (и подтверждение) уязвимости
- Разработка эксплойта
- Эксплуатация уязвимости
Так случилось, что во время одного из пен-теcтов обнаружился целый набор уязвимостей без публично доступных эксплойтов, даже без PoC’ов или детальных описаний проблемы. Поэтому для одной такой уязвимости было решено узнать все самим и написать приватный эксплойт.
Обход аутентификации в Lotus Domino Server Controller
CVE-2011-0920
Данная уязвимость была найдена Патриком Карлссоном и продана с потрохами в ZDI. Так что описание с сайта ZDI — это единственная информация, что у нас есть. Краткий пересказ:
«Уязвимость в сервисе Domino Controller, порт TCP 2050. В процессе аутентификации атакующий может установить значение параметра COOKIEFILE как путь UNC, таким образом установить контроль как над файлом источником базовых аутентификационные данных, так и над вводимыми при аутентификации значениями. Это позволяет обойти механизм проверки аутентификации и получить доступ к консоли администрирования. Ведет к исполнению кода с привилегиями SYSTEM».
Описание хоть и не детальное, но говорит достаточно о том, что происходит. Значит, можно приконнектиться к порту под номером 2050, подсунуть по какому-то протоколу параметр COOKIEFILE, указывая путь типа \\ATTACKER_HOST\FILE. А в этом файле разместить логин и пароль и, используя эти же логин и пароль, войти в систему. Осталось совсем чуть-чуть – разобрать протокол и формат файла. По сканам Nmap можно определить, что вся работа происходит по SSL, а вот протокол общения в SSL-обертке предстоит выяснить. На самом деле это крайне просто: достаточно отметить, что сервис Lotus Domino Controller полностью написан на Java, причем как клиентская, так и серверная часть, все в одном файле:
Вот мы и встретили параметр COOKIEFILE. Однако одного его недостаточно. Рассмотрим основной цикл:
Теперь мы понимаем формат протокола, каков же формат самого файла? Рассмотрим функцию verifyAppletUserCookie:
Вот так выглядит эксплуатация уязвимости для ZDI-11-110
1. Создаем файл (cookie.xml):
2. Используем ncat
Казалось бы, и сказке конец. Более того, IBM сделала исправление для данной проблемы, и даже не одно! Вот эти новшества появились, начиная с версии 8.5.2FP3 и 8.5.3.
Исправление 1.
Теперь для соединения с портом 2050 необходим правильный клиентский сертификат. То есть Ncat и Nmap больше не работают с портом 2050.
Исправление 2.
Теперь перед именем файла добавляется “.\”, что означает, что UNC мы больше использовать не можем. Уязвимость исправлена. Патч кажется адекватным.
На самом деле это не так. Взглянем на строчки кода ещё раз (откомментированные как Point.6 и Point.7). Функция getStringToken – фактически substring. Отсюда вполне очевидный вопрос: зачем программисты при реализации этого модуля прибегли к написанию собственного XML-парсера? Очевидно, что данный парсер работает с любым файлом, в котором есть соответствующе строки: “<user”, “name=” и т.д. Другими словами, вот то, чего мы ожидаем:
Но вот что можно подсунуть, и это так же благополучно распарсится:
Тут \r\n – это просто Enter!
2. Теперь лог-файл на сервере будет таким:
Два запроса сделаны не случайно, так как парсер от IBM будет искать строку “<user ” с пробелом в конце! А все пробелы в запросе кодируются как “%20”, и поэтому нам это не подходит. Тогда делаем первый запрос так, чтобы после “<user” пробел поставил сам веб-сервер (между запросом и результатом “404 – NotFound”). Вторым запросом допихиваем все остальное.
Отлично, почти все готово, осталось только научиться подсоединяться к 2050, ведь сертификата SSL у нас нет. Или есть? Вспомнив, что dconsole.jar ещё отвечает и за клиентскую часть, как апплет, очевидно, что там должен быть сертификат – и он там есть. И ключ там есть. Всё там есть. В принципе, можно выдернуть ключ и написать эксплойт, но если лень, то можно прямо этот апплет использовать:
Подгружаем этот апплет в любом браузере, добавляем редирект с локального порта 2050 на удалённый, и всё – эффект достигнут. Видеопример:
Выполнение команд из консоли. Вариант 1:
LOAD cmd.exe /c command
Выполнение команд из консоли. Вариант 2:
Защита:
- Порт 2050 вообще-то надо фильтровать.
- Запретить опасные команды в консоли с помощью установки дополнительного пароля консоли (защитит от выполнения команд из консоли в первом варианте).
- Проверить файл admindata.xml. Для каждого пользователя надо проверить привилегии. Значения 4, 25 или 26 говорят о том, что у данного пользователя есть права на исполнение системных команд! Удалив их, мы защитимся от выполнения команд из консоли во втором варианте.
Примечание:
Атакующему во всех перечисленных вариантах для успешного обхода аутентификаций необходимо знать правильное значение логина. В любом случае, его можно перебрать, так как в случае несуществующего логина выдаётся ошибка NOT_REG_ADMIN, а если неверен пароль, то WRONG_PASSWORD (Point.9).
P.S. Атака из Интернет
Подсеть московского вуза:
Домен .gov, или Американские учёные не любят межсетевых экранов:
Даже сама IBM не может отфильтровать порт 2050 и обновить Lotus (+ демонстрация угадывания «логина»):
Содержание:
Sub Postopen(Source As Notesuidocument)
If source.IsNewDoc = True Then
Dim a As Integer
Dim session As New NotesSession
Dim db As NotesDatabase
Dim view As NotesView
Dim doc As NotesDocument
Set db = session.CurrentDatabase
Set view = db.GetView("Settings")
Set doc = view.GetFirstDocument
a% = Cint(doc.InDocNum(0))
doc.InDocNum = a% + 1
Call doc.Save (True, True)
End If
End Sub
если поменять Integer на long оно почему-то ругается вот в этих строчках
a% = Cint(doc.InDocNum(0))
doc.InDocNum = a% + 1
в чем проблема? я полный чайник, а вопрос нужно решить очень быстро
3. Жизнь потихоньку идёт..
4. GetSmile – маленький обзор.
5. Кластер Domino 8
Два сервера в стойке пока. Там было по 1-й сетевой карте в каждом сервере, по одной завязано в одном хабе. Я подключил ещё по одной сетевой карте и соединил их между собой, для Кластерной репликации. Дело в том, что создал ещё один порт для кластерной репликации на обоих серверах. После на обоих северах в notes.ini в самом низу прописал следующее:
Server_Cluster_Default_Port=TCPIP-CL
перезагрузился, вижу, не работает, ошибки при подключении прописал следующее:
Server_Cluster_Auxiliary_Ports=TCPIP-MY
после опять перезагрузка.
и вот такая картина как на этих картинках. Вот ещё один скрин!
Да вот ещё, не знаю так должно быть, или нет, что то не пойму может по этому и не работает, хотя такая картина на обоих серверах и это даже изменить нельзя на ВКЛ.
6. Помогите новичку. Копирование документа.
после копирования он замечательно открывается, но не предлагает сохранить при закрытии, как заставить его это делать ??
7. Выпуск рассылки "Lotus Notes/Domino -- продукт и инструмент. Выпуск: 34 .
8. The dreaded export view
10. Сбор всей исходящей почты
Необходимо аккумулировать всю исходящую за пределы Lotus Domino почту. Понимаю что надо для этого их переправлять/дублировать в какой-то базе, далее дать на эту базу доступ на просмотр человеку по безопасности и пусть там разбирается "кто, что и почему".
Какие-то есть средства, советы или уже может такое в этой ветке такое было ?
Буду благодарен за детальные советы (в работе с Лотус новичок )
11. Работа в Киеве для Lotus разработчиков
Международная консалтинговая компания для реализации проекта в банке (работа в центральном офисе, г. Киев) ищет команду Lotus разработчиков (до 5 человек):
Требования к квалификации (описала в рамках моего понимания в общих чертах, поэтому не помешает детализация)
Опыт внедрения или доработки IBM Lotus Notes Domino от 1 года
Проектирование и установка распределенного Domino домена.
Инсталяция, настройка и администрирование Domino домена.
Разработка приложений документооборота в Domino Designer, знание @-формул и LotusScript.
Условия работы:
- в офисе Заказчика
- задача включает внедрение нескольких отдельных проектов
- оплата в гривнах
Debian Linux + Lotus Domino ( Установка Lotus Domino 8.5 на Debian GNU/Linux Squeeze. )
OS: Debian GNU/Linux Squeeze.
Application: IBM Lotus Domino 8.5 for Linux (xSeries).
В принципе, можно на Linux применить дистрибутив Lotus Domino, предназначенный для Solaris или AIX - отличаются они только инсталлятором. Но в этом нет необходимости, так как IBM подготовила для "обычных" Linux дистрибутив "xSeries". Он так и именуется, например, дистрибутив "IBM Lotus Domino 8.5 for Linux" называется "lotus_domino85_xlinux".
Проведём подготовительные работы.
В файле /etc/hosts описываем для локального и внешнего IP определённое серверу символическое имя, для того, чтобы в дальнейшем оперировать не с IP адресами, а с постоянными именами:
Создаём местечко, где будет работать сервер Domino:
Добавляем группу и пользователя, от имени которых будет работать сервер Domino:
Обращаю внимание на то, что я лишил пользователя notes возможности работать в так называемой "оболочке", иначе говоря, от имени пользователя можно запустить приложение, но нельзя будет работать в "командной строке". Это создаёт некоторые неудобства при тестировании работы приложений, но добавляет лишний час спокойного сна.
Явно добавляем пользователя notes в группу notes:
Создадим для пользователя notes скрипт определения набора переменных окружения среды Bash, в которой мы будем запускать сервер Domino, где укажем дополнительные пути поиска исполняемых файлов, библиотек и конфигурационных файлов:
Распаковываем дистрибутивный архив в место, которое мне представляется наиболее для этого подходящим:
Переходим в директорию с инсталляционными скриптами и запускаем установку в режиме текстовой командной строки:
Lotus Domino for Unix Install Program
-------------------------------------
InstallShield Wizard
Initializing InstallShield Wizard.
.
Пробежимся по ключевым этапам инсталляции.
Читаем лицензионное соглашение, подтверждаем его приём или отказываемся от использования продукта, буде что не устроит.
В случае достижения соглашения с производителем продукта выбираем на следующем этапе режим установки одиночной инсталляции "Domino Server", явно отказываясь от установки "Server Partitions":
Далее соглашаемся с будущим месторасположением исполняемых файлов "Lotus Domino":
Please specify a directory or press Enter to accept the default directory.
А вот месторасположение баз данных, предлагаемых установщиком по умолчанию мне не нравится. Переопределим его на своё:
Please specify a directory or press Enter to accept the default directory.
Задаём имя и группу пользователя, под которым будет запускаться сервер Domino:
Определимся с методом первичной настройки сервера после его установки.
Лучше всего после прохождения процесса установки запустить сервер Lotus Domino в специальном режим первичной настройки и удаленно донастроить сервер с помощью утилиты serversetup из комплекта "Notes Administrator". На данный момент IBM предоставляет "Notes Administrator" и "Notes Designer" только для платформы Microsoft Windows, потому придется держать для администраторов и разработчиков рабочие станции на базе этой операционной системы.
Указываем "Remote server setup", выбирая вариант удалённой установки:
After the installation completes, for new installation server setup will be
launched and for upgrade the server will be restarted automatically.
Удостоверимся в том, что всё так, как нам и требуется:
Program Files: /opt/ibm/lotus
Data Files: /var/lib/notes/data
Domino Kit Type: EnterpriseServer
Unix Install Options:
User Name: notes
Group Name: notes
Install Data Only: No
Start Server Setup: Yes (Remote)
.
Даём отмашку на непосредственно инсталляцию:
Checking Minimum OS Version
Warning:
*****************************************************
Domino does not support this system:
Installing Lotus Domino. Please wait.
Нас уведомят в том, что используемая операционная система официально не поддерживается производителем Lotus Domino. Впрочем, инсталляции это не мешает, так как все необходимые для работы компоненты имеются.
После завершения установки создаётся комплект для "деинсталляции":
Минут десять ожидаем.
На случай, "деинсталлятор" скромно расположился в директории "/opt/ibm/lotus/notes/latest/linux/_uninst/" и запустить его, при необходимости, можно следующим образом (хотя проще попросту удалить директории "/opt/ibm/lotus" и "/var/lib/notes/data" - после этого сервер можно считать полностью удалённым):
В итоге, читаем меморандум о том, что содеяли:
Читаем лог установщика по адресу "/tmp/DominoInstall.log", если интересно или что-то показалось прошедшим не так, как должно было бы быть.
С учётом того, что наша операционная система официально не поддерживается производителем, в процессе инсталляции есть некоторые особенности. В частности, после установки сервер Domino не запускается автоматически в ожидании дальнейшей настройки. Сделаем это вручную:
Сессия блокируется в ожидании подключения извне, с сопутствующим уведомлением:
./java -ss512k -Xoss5M -cp jhall.jar:cfgdomserver.jar:./ndext/ibmdirectoryservices.jar lotus.domino.setup.WizardManagerDomino -data /var/lib/notes/data -listen
Remote server setup enabled on port 8585.
The Domino setup server is now in listening mode.
A remote client can now connect to this server and configure Domino.
To connect to this server, launch the Remote Domino Setup program from a command-prompt as follows:
From a Domino administrator client: serversetup -remote
From a Domino server: server -remote
.
Сразу, как только мы подключимся клиентом администрирования для настройки сервера, получим уведомление о том, куда будет записан журнал событий:
После успешной настройки можно попробовать запустить сервер Lotus Domino вручную:
Lotus Domino (r) Server, Release 8.5.x .
Copyright (c) IBM Corporation 1987, . All Rights Reserved.
Event Monitor started
.
Console Logging is ENABLED
.
Database Server started
.
Database Replicator started
.
Agent Manager started
.
LDAP Server: started
.
Administration Process started
.
JVM: Java Virtual Machine initialized.
.
Удостоверимся в том, что сервер Lotus Domino прослушивает определённый ему порт:
Теперь, после того, как мы наигрались с пробными запусками сервера Domino, пришло время создать скрипт управления и автоматического запуска/остановки сервиса.
Устанавливаем утилиту Screen, с помощью которой будем запускать сервер Domino:
Создаём для Screen специальный конфигурационный файл, в котором включим журналирование всего происходящего:
Пишем скрипт управления и автоматизации запуска:
export PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin/:/var/lib/notes:/var/lib/notes/data
DATE=`date +"%Y-%m-%d %H:%M:%S"`
NOTESUSER=notes
NOTESSERVER=/opt/ibm/lotus/bin/server
NOTESEXEC=/opt/ibm/lotus/bin/nsd
NOTESDATA=/var/lib/notes/data
NOTESINI=/var/lib/notes/data/notes.ini
NOTESLOG=/var/log/notes/managment.log
SCREENCONF=/var/lib/notes/.screenrc-log
SCREENLOG=/var/log/notes/screen.log
Прописываем наш скрипт для всех уровней исполнения в системе:
Слегка наводим порядок с доступом к ресурсам и конфигурациям:
Для того, чтобы не получать сильно разросшийся одиночный файл журнала настроим его ротацию.
Устанавливаем приложение ротации текстовых файлов с одновременным их сжатием:
Создаем конфигурационный файл ротации журнальных файлов для Lotus Notes Domino:
Проверяем корректность конфигурационного файла:
[ уже посетило: 24243 / +3 ] [ интересно! / нет ]
Поблагодарить автора ( сделайте свой денежный вклад в хорошее настроение )
Установка Lotus Notes
«Группа компаний ДиЭй» с 2010 года предлагает услуги по разработке, установке и настройке Lotus Nootes, а также техничекой поддержке и сопровождению работы информационных систем электронного документооборота и других программных решений в среде Lotus.
О платформе Lotus Notes
Lotus Notes – мощное клиент-серверное программное обеспечение для автоматизации совместной работы и управленческой деятельности, решения задач документооборота, хранения слабоструктурированной информации в корпоративных Интернет/Интранет системах.
Особенностью Lotus Notes/Domino является объектно-ориентированная архитектура, благодаря которой возможно создание информационных систем, автоматизирующих работу со сложноструктурированными данными и неформализованными динамическими процессами. В составе программного продукта содержатся базовые функции, позволяющие организовывать работу распределённых рабочих групп и создавать приложения автоматизации процессов, поэтому Lotus Notes некорректно считать законченной системой автоматизации деятельности предприятия (так же как, например, не может считаться бухгалтерской системой MS SQL сервер). Lotus Notes — платформа для таких приложений. Системы электронного документооборота и другие законченные решения на платформе Lotus Notes/Domino разрабатывают и распространяют сторонние производители ПО.
Основные функции, входящие в базовую поставку Lotus Notes/Domino
- среда исполнения приложений автоматизации групповой деятельности
- криптозащита (шифрование и электронная подпись)
- клиент электронной почты
- сервер приложений
- почтовый сервер
- групповой календарь, планировщик задач
IBM Lotus Notes/Domino поддерживаемые большинство современных промышленных технологий и стандартов
Дополнительные решения IBM, включенные в лицензию IBM Lotus Notes/Domino
- IBM DB2 Enterprise Server Edition
- IBM Lotus Expeditor
- IBM Lotus Notes Traveler
- IBM Lotus Sametime Entry
- IBM Lotus Workflow
- IBM Tivoli Directory Integrator
- IBM WebSphere Application Server Network Deployment
Традиционно IBM Lotus Notes/Domino применяют для создания информационных систем следующей направленности
Состав семейства продуктов IBM Lotus Notes/Domino включает в себя следующие компоненты
Lotus Notes идеально подходит для систем электронного документооборота, в особенности для территориально-распределенных организаций. За счет использования нереляционной структуры баз данных платформа реализует возможности по репликации документов между серверами и разграничению доступа к документам.
Установка Lotus Notes /Domino обеспечивает:
- создание качественно нового уровня управления, основанного на электронных документах;
- повышение эффективности управления за счет документирования всей деятельности организации
- повышения прозрачности деловых процессов на всех уровнях управления;
- сокращение циклов прохождения документов и времени исполнения контрольных функций;
- обеспечение максимальной прозрачности процесса обработки документов и заданий и возможности оперативного контроля всех стадий управленческих процессов;
- создание единого информационного пространства предприятия.
По вопросам внедрения и работы продуктов Lotus обращайтесь по телефонам компании. Мы произведем для вас установку и настройку Lotus Notes.
IT Записки
Для оптимизации работы Lotus Domino на сервере Linux рекомендуется:
- Настроить транспортную подсистему
- Увеличить количество открытых файлов
- Остановить конфликтующих служб
- Открыть (на firewall) необходимые TCP/UDP порты
- Создать отдельную учетную запись и группу. Обычно пользователя notes и группу notes: useradd -g notes notes
Настройка транспортной подсистемы
Настройка транспортной подсистемы в файле sysctl.conf
Задание количества открытых файлов
Для сервера Lotus Domino требуется установить количество открытых файлов не менее 20000 . В конфигурационный файл, задающий системные ограничения Linux, добавляются/изменяются переменные определяющие максимально разрешенное количество открытых файлов. Местоположение и название конфигурационного файла может быть разное в зависимости от используемого дистрибутива Linux. Обычно задается в файле /etc/security/limits.conf
Устанавливая допустимое количество открытых файлов нужно принимать во внимание под какой учетной записью (как демон, из пользовательской сессии) будет работать Lotus Domino. Задаваемые значения должны распространяться именно на эту учетную запись.
Остановка конфликтующих служб
Перед установкой Lotus Domino на сервере Linux следует остановить все демоны, которые используют те же порты, которые будут использоваться задачами Lotus Domino. Проверьте, что требуемые порты не используется демонами postfix, exim и др. Причем, отключить следует навсегда т.к. работу с этими портам возьмет на себя уже сервер Lotus Domino.
Открытие используемых TCP/UDP портов
Перед началом работы Lotus Domino Server не требуется открывать сразу все перечисленные порты. В большинстве случаев для начала достаточно открыть только порт 1352, открытие этого порта уже обеспечит подключение к серверу клиентов Lotus Notes. Для работы с почтой, так же достаточно открыть только порт 1352. Для работы с почтой внутри Notes-домена достаточно чтобы был открыт именно один порт 1352, через который осуществляется маршрутизация почты задачей router. Клиенты Lotus Notes, смогут отправлять и принимать почту в пределах Notes-домена.
Другие почтовые порты открываются если:
- Происходит отправка почты в интернет (за пределы Notes-домена) и принятие почты из интернет
- Маршрутизация внутри Notes-домена настроена не через стандартный порт 1352, а через порт 25
- В компании используются почтовые клиенты, настроенные на работу с почтой по протоколам IMAP или POP3. Например: Microsoft Outlook, Mozilla Thunderbird, The Bat и прочее.
Распаковка и запуск программы установки
Программа установки Lotus Domino представляет из себя tar-архив , содержащий исполняемый скрипт install . Перед установкой архив разархивируется на сервере Linux. Для работы программы установки используется виртуальная машина Java (JVM), запускающая распакованный jar-файл. Хотя программа установщик написана на Java, но установленные файлы, образующие ядро сервера Lotus Domino, написаны на C и не являются Java-приложениями. На Java написана только программа-установщик. Распаковка архива и запуск установочного скрипта:
Установка сервера Lotus Domino
В ходе установки сервера Lotus Domino выполняются следующие операции:
Заключительный этап установки, копирование файлов в программный каталог и каталог с данными.
Запуск сервера для удаленной установки
Режим удаленной настройки запускается автоматически, если он был указан в процессе установки. При удаленной настройке выполняется запуск сервера в режиме прослушивания TCP порта 8585 . Хотя, если первый запуск в режиме удаленной настройки был неудачным, но проблема затем была устранена, то возможен ручной запуск режима удаленной настройки, используя ключ -listen . Ручной запуск сервера выполняется под учетной записью notes :
Возможен случай, когда стандартный порт 8585 будет уже занят другим процессом на сервере. В этом случае можно запустить прослушивание на другом порту. Требуемый порт нужно указать после параметра -listen
Читайте также: