Full Access Admin

Oprávnění Full Access Administration je dobrý sluha, ale zlý pán. O co se jedná? Toto oprávnění umožní správci serveru IBM Domino řešit problémy s uživatelskou poštovní databází, chybně nastavenými přístupy k databázím, ale i další problémy v ostatních databázích ať už těch, které jsou standardní součástí Domino serveru nebo těch, které jsou dodány externě nebo vyvíjeny interně.

Ve skutečnosti je oprávnění Full Access Administration velmi silným oprávněním jehož případné důsledky si spousta administrátorů neuvědomuje. V zásadě se jedná o oprávnění, které je možné využít k obejití zabezpečení IBM Domino serveru a uživatelům, kteří toto oprávnění mají umožnit přístup k databázím kam by se s běžným oprávněním nedostali a to včetně poštovních schránek uživatelů a jejich emailům.

Jak oprávnění nastavit

  1. Otevřete a editujte požadovaný server dokument
  2. Přejděte na záložku „Security“
  3. Do položky Full Access administrators přidejte uživatele (identitu), který má mít oprávnění Full Access Administrators
  4. Server dokument uložte a zavřete
  5. Restartujte server aby se změny provedly

Jak oprávnění použít (aktivovat)

  1. Pro možnost využívat oprávnění Full Access Administration je potřeba mít nainstalovaného klienta IBM Domino Administrator, který umožňuje toto oprávnění využít. Pro jeho aktivaci spusťte klienta IBM Domino Administrator, přepněte se na požadovaný server a z menu Administration vyberte položku Full Access Administration. 

Jak být informovaný o použití (aktivaci) oprávnění

K tomuto účelu je možné použít Event Handler, který je možné vytvořit v databázi Monitor Configuration (events4.nsf), který se aktivuje pokud nastane nějaký event. 

  1. Otevřete databází Monitor Configuration (events4.nsf)
  2. Přejděte do pohledu Event Handlers – By Server a klepněte na akci New Event Handler
  3. Na záložce Basic definujte na jakých serverech má být tento event sledován
  4. Definujte jaký event bude sledován. Vyberte „A built-in or add-in task event
  5. Na záložce Event klepněte na „Select Event“ a vyberte položku <name> was granted full administrator access
  6. Zvolte možnost Events can have any message
  7. Přejděte na záložku Action a vyberte akci která má nastat pokud někdo aktivuje oprávnění Full Access Administrator. Na výběr jsou různé metody. Já osobně používám metodu Mail s tím, že zadávám adresu HelpDesku kam se tato událost zaeviduje. Následně může být přidělena k řešení odpovědné osobě.

Moje doporučení

V následujících bodech se pokusím shrnout několik informací, které je dobré zvážit. Rozhodnout se ale musíte sami. Neexistuje žádné doporučení pro Full Access Administration, které by bylo od IBM v dokumentaci k IBM Domino serveru. Tady je tedy několik bodů, o kterých si myslím že stojí za zvážení a i zde platí že buď mohu mít vyšší bezpečnost a složitější práci nebo nižší bezpečnost a jednodušší práci. Cestu kterou zvolíte již nechám na Vás. 

  • Oprávnění Full Access Administration by nemělo být potřeba pro běžnou správu serveru IBM Domino a jeho databází.
  • Oprávnění Full Access Administration by nemělo být přiděleno na běžné uživatelské ID nebo na admin ID, které se běžně používá pro správu serveru a databází.
  • ID, které má oprávnění Full Access Administration by nemělo být sdíleno mezi více správci.
  • Nepřidělujte oprávnění Full Access Administration na skupinu.
  • Definujte pravidla za jakých je možné použit ID, které má oprávnění Full Access Administration přiděleno.
  • Logujte, že ID s oprávněním Full Access Administration se přihlásilo k IBM Domino serveru.
  • Logujte, že oprávnění Full Access Administration bylo aktivováno.
  • Definujte kdo může požádat o přidělení oprávnění Full Access Administration (Manager IT, Security Manager, …), způsob jakým je o oprávnění Full Access Administration možné požádat a kdo musí takový požadavek schválit.
    • Požadavek na nastavení by měl být v nějakém ticketovacím systému (Service Desk, Help Desk, ….). Není vhodné aby požadavek na přidělení oprávnění Full Access Administration byl zaslaný emailem do jmenné schránky uživatele.
    • K předání oprávnění Full Access Administration by měl existovat předávací protokol
    • Zvažte zda důvod uvedený v požadavku je skutečně relevantní pro přidělení oprávnění Full Access Administration. Často jsem se setkal s odůvodněním „potřebujeme analyzovat nastavení serveru z důvodu nasazení objednaných databází“ nebo „potřebujeme analyzovat nastavení serveru z důvodu integrace na jiné informační systémy“ nebo „potřebujeme analyzovat nastavení serveru“. Ani jeden z těchto důvodů podle mne není relevantním důvodem pro to mít oprávnění Full Access Administration.
  • Zvažte zákaz aktivace oprávnění Full Access Administration bez nutnosti restartovat server.
  • Pamatujte na to, že prostřednictvím běžných prostředků IBM Domino serveru můžete logovat pouze přihlášení ID s oprávněním Full Access Administration a zapnutí oprávnění Full Access Administration. Bez dalších funkcionalit v databázích nebo dalších nástrojů již nezískáte logy co bylo pod právi Full Access Administration prováděno nebo kam bylo přistupováno. 

Pamatujte na to, že pokud někomu toto oprávnění dáte, dáváte mu přístup ke všem datům, která jsou v databázích na serveru IBM Domino a nejsou šifrovaná.

Pamatujte na to, že oddělení a osoby, které jsou ve firmě odpovědné za bezpečnost, mohou zkoušet za jakých podmínek toto velmi vysoké oprávnění přidělíte. Osobně bych se vyvaroval přidělení tohoto oprávnění bez dalšího prověření pokud:

  • obdržím požadavek na jeho zřízení emailem (pokud to není ve firmě standard)
  • obdržím požadavek na jeho zřízení od osoby, která běžně nežádá o přidělování oprávnění
  • jsem externí dodavatel a obdržím požadavek abych oprávnění na přidělení tohoto oprávnění

Pokud si myslíte si, že je tento tip užitečný, budu rád když ho budete sdílet s kolegy a případně i na sociálních sítích.

Máte nějaký nápad na Notes tip, který by se měl objevit zde na stránkách? Napište mi Váš námět emailem nebo do komentáře k článku.

 

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *