уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.
В навигаторе я смог заметить закономерность:
предупреждения ORA-28001
the password has expired
и
ORA-28002
the password will expire within string days
воспринимаются навигатором как:
28001
the password has expired
вы можете это проверить, например, зайдя под этим, пользователем в SQL навигатор.
Следовательно, как только навигатор научится распознавать сообщения о том, что пароль уже устарел и что пароль скоро устареет, по идеи тогда он должен предлагать сменить его ....
Ну что Вы как дети малые в конце-то-концов!?
Давно написали бы свой загрузчик, который залогонит пользователя, поменяет при необходимости пароль, найдет свежую версию Навигатора и запустит ее!
А теперь серьезно. Весьма неприятный момент.
Надеюсь, что Вы все в курсе, что Навигатор помнит введенный пароль и использует его при запуске отчетов?
Системный администратор (не СУБД!) как-то в одночасье стал обладателем весьма полезной информации. Запустите любой отчет из Навигатора, исполняемый через RWRUN60.EXE, и, в том же FAR-е через список процессов, "улыбнитесь" параметрам командной строки RWRUN60.EXE
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.
Ну с этой бедой побороться просто, да и вариантов масса...
Кто мешает ограничить вход пользователей только с определенных машин?
есть же ограничение по мак-адресам, так что можно вполне его использовать...
Да и политики безопасности на винде никто еще не отменял . запретите изменение информации на системном диске стандартным пользователям или вообще установку фара с плагином, любой более менее продвинутый фаервол может позволить не загружать dll-ку.
С учетом того что большинство стандартных юзверов сидит на терминалах, так это не сильно большой объем работ
Ну и одна из самых главных вещей - настройте профайлы фио для пользователей правильно (с разграничением доступа).
Понятно дело что если у вас используется дефалтовый профайл для всех, то тогда у всех и будет везде доступ.
Вообщем если правильно и творчески приложить руки, то с вероятностью 99% такого доступа уже не будет.
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.
По требованиям ЦБ перед подписью и шифрованием посылки обязательно проводить контроль данных файлов с АБС и для этого в Документах РЦ есть групповая операция "Сверка файла". Если файл пройдет сверку, то это проблемы доступа в ЦФТ, а если пользователь "прощелкает" - проблемы пользователя _________________ I Lie About Everything.
есть более неприятные моменты.... фио каталог и обменные папки расчётного центра.... что можно сделать если до них добраться? Можно например файлик с посылкой закинуть...
что надо что бы добраться до них?
любой пользователь может поставить себе фар, плагин... и с вероятностью процентов 90 у него будет необходимый доступ....
и это уже посерьёзнее паролей в строке вызова генератора отчётов.
ФАР, плагин.... сложно для пользователя, есть специально для этого программа от ЦФТ. "Приемопередатчик" называется. там можно легко указать что, куда и откуда забрасывать.....
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.
Коллеги, по этому поводу может кто уже решил вопрос ?
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.
Коллеги, по этому поводу может кто уже решил вопрос ?
Чиста навскидку
обновление пароля, признак парольустарел и тд отражаются в журнале. Делаете представление - ищем последнюю запись обновления пароля соотносим с текущей датой- типа скока еще пароль жить будет. При критическом сроке выводить в это представление (одну жирную строчку- осталось жить 3 дня сменить пароль). Далее забить себе в меню пользователя с признаком подьема при входе и расклонировать по юзерам. И наслаждацца... правда недолго, как тока юзерам надоест- грохнут из меню пользователя Если серьезно- надо поковыряться в пакете NAV-там можно(только очень осторожно) попробовать вставить свой кодик. И то возможно по этому пакету тоже считается контрольная сумма . Ну и самое верное - просто обратиться в ЦФТ, написать запрос и ждать.
SkyLynx пишет:
уважаемые гуру подскажите каким образом можно указать ограничение пользователю о времени жизни пароля. К примеру всем пользователям установлено, что в течении 45 дней необходимо менять пароль, при этом универсальный навигатор должен увидеть это и предложить сменить пароль в 45ый день от последней даты смены пароля пользователем.
ПС: через профиль пробовал - навигатор не видит этого, просто как наступила эта дата, оракл заблокировал пользователя и все.
Посмотрите на параметр PASSWORD_GRACE_TIME, может поможет?
Не могу понять, кто-нить регистрировал в ЦФТ заявку?
Я писал косультацию еще в прошлом году . Правда ответа ждал долго. Вот оно:
Код:
Да, в настоящее время обработка ORA-28002 в АРМе ”Навигатор” не предусмотрена.
Если в Банке существует настоятельная необходимость вывода сообщения (выводимого по ORA-28002) пользователю в АРМе "Навигатор", Вы можете обратиться по этому вопросу к менеджеру сопровождения Банка Олегу Петунькину (o.petunkin@cft.ru), и зарегистрировать соответствующую заявку на доработку АРМа "Навигатор".
Не могу понять, кто-нить регистрировал в ЦФТ заявку?
Составил как несоответствие 3 класса по параметру PASSWORD_GRACE_TIME, поскольку в Навигаторе не обрабатывается.
BS00092629
Сделал запрос на развитие по меню пользователя с операциями
BS00092634
Посмотрим что ответят.
Предлагаю всем составить подобные запросы, думаю лед тронется.
Если нет, соберем все ответы и отправим коллективное письмо руководству цфт.
Последний раз редактировалось: Васильев Николай (Пт Янв 16, 2009 14:14), всего редактировалось 1 раз
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
Домен cftclub.ru не связан с ЗАО "Центр Финансовых Технологий" и ни в коей мере не нарушает авторских и иных прав
Владелец может не разделять мнения Участников и не несет ответственности за их публикации
Powered by phpBB