Администрирование в вопросах и ответах


Безопасность в Domain Search - часть 2


Иначе, поиск может возвращать результат пользователю, для тех, кто не должен иметь доступ к документам. В некоторых случаях, пользователи могут получить конфиденциальную информацию, из результата поиска.

Например, корпорация Acme имеет два сервера приложений, App-E/East/Acme и App-W/West/Acme. Пользователи Acme - сертифицированы одним из двух сертификатов орг. единицы: /East/Acme или /West/Acme. App-E/East/Acme не позволяет доступ любому пользователю с сертификатом /West/Acme. Но базы данных на сервере, не должны быть доступны для /West/Acme пользователей и имеют доступ – Default - в их ACL - читатель, так как список доступа гарантирует, что /West/Acme пользователи не могут иметь доступ к базам данных.

Когда Acme осуществляет поиск с использованием Domain Search, пользователи /West/Acme, могут получить результаты поиска, которые включают связи с документами в базах данных сервера App-E/East/Acme, так как в списках управления баз данных, /West/Acme пользователям не запрещен доступ чтения результатов. Серверные списки доступа продолжают обслуживать пользователей, так как /West/Acme пользователи не могут иметь доступа к документам из связей, но простое существование связей, потенциально может показывать конфиденциальную информацию /West/Acme пользователям.

Чтобы избежать этой проблемы, проверьте Списки управления доступом для баз данных, которые защищены серверными списками доступа. Чтобы сделать это, предположите, что серверный список доступа не существует. Измените ACL так, чтобы, в отсутствии серверного списка доступа, база данных была бы гарантировано защищена. Это гарантирует, что Domain Search проверяет базу данных ACL и отфильтровывает результаты и пользователей, которые не могут иметь доступ к данным.

Обратите внимание, что этот пример предполагает, что Domain Catalog сервер имеет сертификат, которое позволяет доступ и на App-E/East/Acme и на App-W/West/Acme.




- Начало -  - Назад -  - Вперед -