Sesam öffne dich !!

[eknori]

@All

Es gibt ja schon so einige Tools, mit denen man sich den Zugriff auf eine Datenbank verschaffen kann, wenn man sich mal versehentlich ausgesperrt haben sollte. Die meisten benutzen einen Agenten, der in einer DB enthalten ist, die man auf dem Server installieren muß, signieren mit der ServerID um dann ein Config   ... na ja, hören wir an dieser Stelle auf.

hab ich mir gedacht, viel zu kompliziert, kann man einfacher haben...

naladin.exe wird in das Programmverzeichnis des Servers kopiert und an der Serverconsole aufgerufen

load naladin dbname userORgroup

das progrämmelchen pflanzt dann der ACL der betreffenden Datenbank den angegebenen User oder der Gruppe ein und vergibt Managerrechte und schon ist man wieder drin.

[klauss]

... selbst gemacht  

[eknori]

yoo, bisschen C API..

[MartinG]

...auch ein bisschen schwach von IBM das die ACL so leicht geknackt werden kann. D.h. der einzig richtige Schutz ist wohl verschlüsseln...

[eknori]

das hat mit knacken nichts zu tun. Der Server hat ja ( meist ) noch den Zugriff. Also kann er auch die ACL ändern.
Mir war es einfach nur zu umständlich erst eine DB zu instllieren, dann zu signieren etc.
Das Tool kann auch keine konsistente ACL bearbeiten ( noch nicht )
Hat mir aber 4 Stunden Fahrt zu einer Aussenstelle erspart.
Da hat der lokale "Admin" den Usern Managerrechte gegeben und die haben dem Admin dann die Rechte weggenommen. Mit den Terminaldiensten kam ich auf den Rechner. Also hab ich ein bisschen nachgedacht und mir die Fahrt erspart.

[MartinG]

...stimmt, wenn jemand physikalischen Zugriff auf den Server hat ist eh irgendetwas falsch gelaufen. Dachte spontan eher an ein Sicherheitsproblem...

Die Tatsache das der Server selber immer Zugriff auf die Datenbanken hat ist allerdings - insbesondere für Notesneueinsteiger schon auch nicht ganz trivial zu durchschauen. Ich kann mich da noch dran erinnern als wir Notes eingeführt haben und mein damaliger Chef mich fragte wer alles unter welchen Umständen Zugriff auf seine Mail und Kalendereinträge hat und ich ganz lässig Ihm erklärt habe nur er und ich.  

Ein paar Wochen später testeten wir dann den OctoSchedule Gruppenkalender der per Agent (mit der server.id unterzeichnet) Termine einsammelte und in einer allgemein zugänglichen Gruppenterminkalenderdatenbank veröffentlichte...

[eknori]

na ja, mir hat das Tool geholfen. ist zwar mit der heißen Nadel zusammengestrickt, tut aber genau das, was es soll. Ich habe es jetzt vorsichtshalber mal auf allen unseren Servern installiert. Man weiß ja nie.
Morgen schaue ich mal, wie ich das für Linux hinbekomme  

[klauss]

...
load naladin termine.nsf Hugo Klotz <----- ist diese syntax so richtig  

[eknori]

absolut

[Meff]

Hi eknori,

siehst Du eine Möglichkeit, den Code zu posten?

Meff

P.S.: Funzt das auch unter R6?

[eknori]

klar, läuft auch unter R6

hier ist der Code:

#include <stdio.h>
#include <string.h>

#ifdef UNIX
#include <ctype.h>
#endif

#include <lapicinc.h>
#include <global.h>
#include <nsfdb.h>
#include <nsfsearc.h>
#include <osfile.h>
#include <osmem.h>
#include <osmisc.h>
#include <mail.h>
#include <mailserv.h>
#include <names.h>
#include <stdnames.h>
#include <nsfdata.h>
#include <nsfnote.h>
#include <nsferr.h>
#include <textlist.h>
#include <ods.h>
#include <odstypes.h>
#include <easycd.h>
#include <agents.h>
#include <nif.h>
#include <acl.h>
#include <dname.h>
#ifdef _DEBUG
#include <lapiplat.h>
#else
#include <addin.h>
#endif
#define MSG_LENGTH 512

void LogMsg (char *);
void LogError (STATUS);

#ifdef _DEBUG
LAPI_MAIN
{
#else
STATUS LNPUBLIC AddInMain (HMODULE hModule, int argc, char *argv[])
{
HANDLE hOldStatusLine;
HANDLE hStatusLineDesc;
HMODULE hMod;
#endif

STATUS error=NOERROR;
char entryname[MAXUSERNAME], canonname[MAXUSERNAME], pathname[MAXPATH];
HANDLE hACL;
DBHANDLE hDb;
ACL_PRIVILEGES PrivBits = {0, 0, 0, 0, 0, 0, 0, 0, 0, 0};
int i;
WORD retLen;
DWORD dwACLFlags;


#ifdef _DEBUG

LAPI_INIT(error);
if (error) LAPI_INIT_ERROR;

#else

AddInQueryDefaults (&hMod, &hOldStatusLine);
AddInDeleteStatusLine (hOldStatusLine);
hStatusLineDesc = AddInCreateStatusLine("ALADDIN");
AddInSetDefaults (hMod, hStatusLineDesc);
AddInSetStatusText("Initializing");
AddInSetStatusText("Idle");

#endif

if (argc <3 )
{
LogMsg ("usage load naladin <dbname> <username>");
return (NOERROR);
}

strcpy (pathname, argv[1]);
strcpy (entryname, argv[2]);

for (i=3; i<argc; i++)
{
strcat (entryname, " ");
strcat (entryname, argv);
}

if (error = DNCanonicalize (0L, NULL, entryname, canonname, MAXUSERNAME, &retLen))
{
LogError (error);
return (NOERROR);
}

if (error = NSFDbOpen (pathname, &hDb))
{
LogMsg ("error opening db");
LogError (error);
return (NOERROR);
}

if (error = NSFDbReadACL(hDb, &hACL))
{
NSFDbClose (hDb);
LogMsg("error reading acl");
LogError (error);
return (NOERROR);
}

if (error = ACLGetFlags(hACL, &dwACLFlags))
{
OSMemFree (hACL);
NSFDbClose (hDb);
LogMsg("could not get ACL flags");
LogError (error);
return (NOERROR);
}

if (dwACLFlags & ACL_UNIFORM_ACCESS)
{
LogMsg("error consistent acl");
OSMemFree (hACL);
NSFDbClose (hDb);
return (NOERROR);
}
for ( i = 0; i < ACL_PRIVCOUNT; i++) ACLClearPriv (PrivBits, i);
if (error = ACLAddEntry (hACL, canonname,ACL_LEVEL_MANAGER, &PrivBits,0))
{

OSMemFree (hACL);
NSFDbClose (hDb);
LogMsg ("error adding user");
LogError (error);
return (NOERROR);
}

if (error = NSFDbStoreACL (hDb,hACL,0L,0))
{
OSMemFree (hACL);
NSFDbClose (hDb);
LogMsg ("error saving acl");
LogError (error);
return (NOERROR);
}

OSMemFree (hACL);
NSFDbClose (hDb);
#ifndef _DEBUG
AddInSetStatusText("Terminating");
#endif

return (NOERROR);
}

void LogError (STATUS error)
{
char msg[MSG_LENGTH];
char error_msg[MSG_LENGTH];
OSLoadString(NULLHANDLE, ERR(error), error_msg, sizeof(error_msg)-1);
strcpy (msg, "ALADDIN: ");
strcat (msg, error_msg);

LogMsg (msg);
return;
}

void LogMsg (char *msg)
{
#ifdef _DEBUG
printf ("\n%s", msg);
#else
AddInLogMessageText(msg, NOERROR);
#endif
return;
}
 

[Meff]

Super, ich danke Dir

Meff

[obrocke]

Hi,

super gemacht :-)

Kann ich das auch über mehrere Datenbanken laufen lassen, also ein Verzeichnis angeben ??

Danke,

Olaf

[eknori]

so wie der code jetzt ist, nein. muss man reinprogrammieren

[schurke]

Hallo eknori

Funzt das auch Lokal??

Gruss

Wilfried

[eknori]

sischer, sischer !

[schurke]

aber wie?

nach dem start der .exe wird das kennwort verlangt. doch eine eingabe ist nicht möglich. was mache ich falsch?

[eknori]

das ist logisch, da der Code sich ja der DLLs des Clients/Servers bedient.

Aber warum gibst du nicht einfach den PW ein ??

[schurke]

was ist "PW"  

[eknori]

PassWort