CftClub.ru
Клуб специалистов ЦФТ-Банк

Время жизни пароля
На страницу 1, 2, 3  След.
 
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Администрирование доступа и журналирование
Предыдущая тема :: Следующая тема  
Автор Сообщение
SkyLynx
Участник


Вступление в Клуб: 30.06.2007
СообщениеПн Июн 16, 2008 06:54   Время жизни пароля Ответить с цитатой
Полезность: Нет оценки
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.
dbmaslov
Профи


Вступление в Клуб: 11.07.2007
СообщениеПн Июн 16, 2008 08:19    Ответить с цитатой
Полезность: Нет оценки
а вы проверьте, какую ошибку выдает Oracle?

В навигаторе я смог заметить закономерность:
предупреждения ORA-28001
the password has expired
и
ORA-28002
the password will expire within string days

воспринимаются навигатором как:
28001
the password has expired

вы можете это проверить, например, зайдя под этим, пользователем в SQL навигатор.
Следовательно, как только навигатор научится распознавать сообщения о том, что пароль уже устарел и что пароль скоро устареет, по идеи тогда он должен предлагать сменить его ....
AlexV
Гуру


Вступление в Клуб: 29.06.2007
СообщениеПн Июн 16, 2008 15:47    Ответить с цитатой
Полезность: 2
Ну что Вы как дети малые в конце-то-концов!?
Давно написали бы свой загрузчик, который залогонит пользователя, поменяет при необходимости пароль, найдет свежую версию Навигатора и запустит ее!
Very Happy

А теперь серьезно. Весьма неприятный момент.
Надеюсь, что Вы все в курсе, что Навигатор помнит введенный пароль и использует его при запуске отчетов?
Системный администратор (не СУБД!) как-то в одночасье стал обладателем весьма полезной информации. Запустите любой отчет из Навигатора, исполняемый через RWRUN60.EXE, и, в том же FAR-е через список процессов, "улыбнитесь" параметрам командной строки RWRUN60.EXE
Cool
_________________
IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
dbmaslov
Профи


Вступление в Клуб: 11.07.2007
СообщениеПн Июн 16, 2008 16:31    Ответить с цитатой
Полезность: Нет оценки
ай ай ай.....
красота неописуемая.... как баобаб!
Exelens
Участник


Вступление в Клуб: 05.11.2007
СообщениеСр Сен 10, 2008 20:08    Ответить с цитатой
Полезность: Нет оценки
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.
tsktalk
Участник со стажем


Вступление в Клуб: 27.09.2007
СообщениеЧт Сен 11, 2008 04:55    Ответить с цитатой
Полезность: Нет оценки
Exelens пишет:
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.


Ну с этой бедой побороться просто, да и вариантов масса...

Кто мешает ограничить вход пользователей только с определенных машин?
есть же ограничение по мак-адресам, так что можно вполне его использовать...
Да и политики безопасности на винде никто еще не отменял . запретите изменение информации на системном диске стандартным пользователям или вообще установку фара с плагином, любой более менее продвинутый фаервол может позволить не загружать dll-ку.
С учетом того что большинство стандартных юзверов сидит на терминалах, так это не сильно большой объем работ

Ну и одна из самых главных вещей - настройте профайлы фио для пользователей правильно (с разграничением доступа).
Понятно дело что если у вас используется дефалтовый профайл для всех, то тогда у всех и будет везде доступ.

Вообщем если правильно и творчески приложить руки, то с вероятностью 99% такого доступа уже не будет.
Smile
w00per
Профи


Вступление в Клуб: 17.10.2007
СообщениеЧт Сен 11, 2008 13:36    Ответить с цитатой
Полезность: Нет оценки
Exelens пишет:
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.

По требованиям ЦБ перед подписью и шифрованием посылки обязательно проводить контроль данных файлов с АБС и для этого в Документах РЦ есть групповая операция "Сверка файла". Если файл пройдет сверку, то это проблемы доступа в ЦФТ, а если пользователь "прощелкает" - проблемы пользователя Smile
_________________
I Lie About Everything.
dbmaslov
Профи


Вступление в Клуб: 11.07.2007
СообщениеЧт Сен 11, 2008 13:54    Ответить с цитатой
Полезность: Нет оценки
Exelens пишет:
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.

ФАР, плагин.... сложно для пользователя, есть специально для этого программа от ЦФТ. "Приемопередатчик" называется. там можно легко указать что, куда и откуда забрасывать..... Very Happy
hornet
Участник со стажем


Вступление в Клуб: 24.07.2008
СообщениеЧт Дек 25, 2008 09:18   Re: Время жизни пароля Ответить с цитатой
Полезность: Нет оценки
SkyLynx пишет:
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.


Коллеги, по этому поводу может кто уже решил вопрос ?
Васильев Николай
Профи


Вступление в Клуб: 29.06.2007
СообщениеПт Дек 26, 2008 19:20   Re: Время жизни пароля Ответить с цитатой
Полезность: Нет оценки
hornet пишет:
SkyLynx пишет:
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.


Коллеги, по этому поводу может кто уже решил вопрос ?


Чиста навскидку Smile

обновление пароля, признак парольустарел и тд отражаются в журнале. Делаете представление - ищем последнюю запись обновления пароля соотносим с текущей датой- типа скока еще пароль жить будет. При критическом сроке выводить в это представление (одну жирную строчку- осталось жить 3 дня Smile сменить пароль). Далее забить себе в меню пользователя с признаком подьема при входе и расклонировать по юзерам. И наслаждацца... правда недолго, как тока юзерам надоест- грохнут из меню пользователя Smile Если серьезно- надо поковыряться в пакете NAV-там можно(только очень осторожно) попробовать вставить свой кодик. И то возможно по этому пакету тоже считается контрольная сумма . Ну и самое верное - просто обратиться в ЦФТ, написать запрос и ждать.
Васильев Николай
Профи


Вступление в Клуб: 29.06.2007
СообщениеЧт Янв 15, 2009 12:55    Ответить с цитатой
Полезность: Нет оценки
Занимаясь переходом на 10G вспомнил про тему.

Цитата:
SkyLynx пишет:
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.


Посмотрите на параметр PASSWORD_GRACE_TIME, может поможет?
timochev
Эксперт


Вступление в Клуб: 02.07.2007
СообщениеЧт Янв 15, 2009 14:07    Ответить с цитатой
Полезность: Нет оценки
Не могу понять, кто-нить регистрировал в ЦФТ заявку?
hornet
Участник со стажем


Вступление в Клуб: 24.07.2008
СообщениеПт Янв 16, 2009 09:52    Ответить с цитатой
Полезность: Нет оценки
timochev пишет:
Не могу понять, кто-нить регистрировал в ЦФТ заявку?

Я писал косультацию еще в прошлом году Smile. Правда ответа ждал долго. Вот оно:
Код:
Да, в настоящее время обработка ORA-28002 в АРМе ”Навигатор” не предусмотрена.
Если в Банке существует настоятельная необходимость вывода сообщения  (выводимого по ORA-28002) пользователю в АРМе "Навигатор",  Вы можете обратиться по этому вопросу к менеджеру сопровождения Банка  Олегу Петунькину (o.petunkin@cft.ru), и зарегистрировать соответствующую заявку на доработку АРМа "Навигатор".
 

Правда заявку уже не регистрировал.
Васильев Николай
Профи


Вступление в Клуб: 29.06.2007
СообщениеПт Янв 16, 2009 13:46    Ответить с цитатой
Полезность: Нет оценки
Цитата:

Не могу понять, кто-нить регистрировал в ЦФТ заявку?


Составил как несоответствие 3 класса по параметру PASSWORD_GRACE_TIME, поскольку в Навигаторе не обрабатывается.
BS00092629

Сделал запрос на развитие по меню пользователя с операциями
BS00092634

Посмотрим что ответят.
Предлагаю всем составить подобные запросы, думаю лед тронется.
Если нет, соберем все ответы и отправим коллективное письмо руководству цфт.


Последний раз редактировалось: Васильев Николай (Пт Янв 16, 2009 14:14), всего редактировалось 1 раз
timochev
Эксперт


Вступление в Клуб: 02.07.2007
СообщениеПт Янв 16, 2009 14:11    Ответить с цитатой
Полезность: Нет оценки
Васильев Николай пишет:
Сделал запрос на развитие по меню пользователя с операциями
BS00092634
О чем это?
Так а доработки должны же оплачиваться Банком. Готовы платить?
Показать сообщения:   
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Администрирование доступа и журналирование Часовой пояс: GMT + 3
На страницу 1, 2, 3  След.
Страница 1 из 3

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Рейтинг@Mail.ru