Konsolenkommandos per LS absetzen (bei gesicheter Konsole)

[Toady]

Hallo Notes-Gemeinde,

ich habe ein Problem Konsolenkommandos per LS abzusetzen.

Die Ausgangslage ist folgende:
Wir sollen einen Domino-Server (V8.5) so absichern, dass wir keinen alleinigen Zugriff auf die Konsole oder Admin-Rechte darauf haben --> Hochsicherheitssystem. Alles läuft nur im 4-Augen-Prinzip.
Deshalb wurde u.a. die Konsole mit einem Kennwort gesichert. Dies führt zu einem erhöhten Administrationsaufwand, weshalb ich eine Datenbank zum Ausführen von Konsolenbefehlen erstellt habe.
Hier ist nur ein bestimmter Satz an Befehlen definiert und auswählbar(compact, updall, quit, usw.).
Der Vorteil dieser DB wäre, dass alle Eingaben als Log-Dokument in der Datenbank für spätere Audits aufbewahrt werden.
Der Agent funktioniert auch solange die Konsole nicht gesperrt ist.
Sobald die Sperre aktiv ist, will er immer ein Kennwort, auch wenn ich den Agent mit der ServerID unterzeichne und/oder im OnBehalfOf den Server eintrage.

Kann man das per LS irgendwie umgehen?


Ich habe auch schon einige Beiträge dazu gefunden, aber leider ist in keinem eine Lösung für mich enthalten.
--> Konsolenkommandos ausführen ( http://atnotes.de/index.php/topic,42971.0.html )
--> DB Komprimierung ( http://atnotes.de/index.php/topic,10769.0.html )
--> Konsolenkommandos mit LS ( http://atnotes.de/index.php/topic,3046.0.html )


hier eine Kurzfassung meines Scriptes

   
   Dim oSession As New NotesSession
   Dim sServerName As String
   Dim sConsoleCommand As String
   Dim sConsoleReturn As String
      
   sServerName = "Mein Server"
   sConsoleCommand = "tell amgr quit"

   sConsoleReturn$ = oSession.SendConsoleCommand( sServerName, sConsoleCommand)
   Print ( "Agent ConsoleCommand Statusmeldung: " & sConsoleReturn$ & "  ---  " &  sConsoleCommand$ )

   Exit Sub
   

Vorab schon mal vielen Dank für Eure Mühen.

Grüße
Andreas

[koehlerbv]

Natürlich geht das nicht - sonst wäre ja die Konsolensicherung simpel zu unterlaufen.

Bernhard

[Toady]

Hallo Bernhard,

ich hatte gehofft, man könnte die Sicherheit in diesem Fall umgehen, da der Agent in Namen des Servers ausgeführt wird.
Das Kennwort kann ich ja nicht im Agenten mitgeben, da es sonst in Klartext in der log.nsf steht und das würde die ganze Sicherheit über den Haufen werfen.
Schade!!! Falls niemand sonst noch einen genialen Tipp hat, schließe ich die Anfrage morgen Mittag wieder.

Gruß
Andreas

[Toady]

Da niemand einen Tipp hat, setze ich meine Anfrage auf erledigt.

Trotzdem Danke an alle, die sich damit beschäftigt haben.

Gruß
Andreas

[koehlerbv]

Warum "trotzdem", Andreas? Eigentlich müsstest Du doch froh sein, dass Deine Sperre wirkt und eben nicht mit einem "Trick" zu unterlaufen ist.  Okay, Du hättest lieber "Verbiete alles ausser", aber das gibt es nicht. Das kannst Du aber an IBM herantragen (ob das was nützt, sei dahingestellt, aber von der Hand zu weisen ist dieses Ansinnen m.E. nicht).

Bernhard

[Tode]

Also schlagt mich jetzt nicht: Aber es gibt doch im Serverdokument die Consolen- Administratoren. Dort kann man doch auch die Befehle angeben, die Personen mit dieser Berechtigung ausführen dürfen... Und dann kann ich mit dem Admin- Client oder der Remote- Server- Console doch nur genau diese Befehle ausführen?
Oder ist das zu kurz gesprungen?

[koehlerbv]

Dort werden aber doch "nur" Befehle für das OS eingeschränkt, Torsten.

Bernhard

[Tode]

Hmm... hast recht, ich hatte das nie so genau gelesen (habs noch nie gebraucht)... da steht wirklich System- Befehle...
Ich wusste noch nicht mal, dass man Betriebssystembefehle über die Console ausführen kann... Und ich hätte keine Ahnung, welche das sein könnten... Ich dachte immer, das wäre dazu da, um bestimmte Admins halt nur bestimmte Befehle ausführen zu lassen... habs aber nie probiert.

Sorry...