当ブログに掲載しているサンプルは、すべて利用者の自己責任という形でお願いします。
ただし、明らかな不具合がある場合、ご連絡いただければ、訂正記事を出します。
また、こちらのサンプルは、別のサイト等への公開、転載は一切禁止しています。
どうしてもと言う場合は、筆者にあらかじめご連絡ください。

テクてく Lotus 技術者 Slack に参加しよう!

2010年3月9日火曜日

フルアドミニストレータを設定していると・・・

久々の投稿です(最近は、こればっかりですね)。


今日は、いつもと違って管理系のお話しです。

でも、その前にランキング向上協力のお願いです。
にほんブログ村 IT技術ブログへ
ポチッとな。

Lotus Notes/Domino 6.5(6.0?)で追加された機能の一つに、「フルアドミニストレーター」なるものがありますね。
これは、ノーツDBのACLを無視してアクセスできるため、ACLの設定ミスの修正や、読者権限を誤って設定して見えなくなった文書の復旧用に使えます。
(その他の機能については、管理者ヘルプ(Administrator ヘルプ)をフルアドミニストレーターで検索してください)


と言いつつ、ヘルプに書いてないことが起きました。
筆者の設定ミスもしくは認識ミスかもしれないので、鵜呑みにはしないで欲しいのですが・・・
このフルアドミニストレーターを設定したユーザは、どんなエージェントでも実行出来るのではないか?と言うことです。
通常、エージェントの実行制御は、ドミノディレクトリのサーバ文書内の[セキュリティ]タブで設定します(下図参照)。


ここがすべて空欄の場合、
サーバ上で動作するエージェント(スケジュールエージェント等)は、実行権限が不足していると言うことでエラーになります。

が!
ここがすべて空欄でも、「管理者(フルアクセス)」(←フルアドミニストレーターのことね)欄に、ユーザー名/グループ名等が入っていると、そのユーザーで署名したサーバーエージェントは動作してしまうんですね。

エージェントが実行出来ないことを証明するテストを行っていたのですが、なぜか実行出来てしまっていて、「なんでだろう?」と思っていて、「ん?待てよ・・・」と思って、
「管理者(フルアクセス)」を空欄にして、Dominoを再起動。

なんと!エージェントが動作しなくなるではないですか。おぉ、良かったぁ。
ではなくて、そうなの?ホントに?どうなのよ???

と困惑する筆者ですが、その後、何度か設定を変更してテストをしてみましたが、やはり「フルアドミニストレーター」はサーバ文書の設定を無視して、エージェントを実行出来るようだ。
という結論に至りました。


便利だけど、怖い機能ですね。
普段から設定されている方は、一度見直した方が良いですよ。


【PR】ノーツ/ドミノに関するお問い合わせは下記まで【PR】
Lotus Notes/Domino カスタマイズとセキュリティ強化 - 株式会社エフ

0 件のコメント: