ACL Audit Tool
Albert Buendia - 03/11/2010
¿Entorno regulado? ¿
FDA? ¿
21 CFR Part 11? ¿Normas
ISO? Si Vd. es un profesional de Lotus Domino y trabaja en una industria regulada puede que esté preocupado por si se presenta un auditor y empieza a acosarle con cuestionarios llenos de preguntas "incómodas". Ya sea un auditor interno o externo, la primera arma que Vd. debe disponer para enfrentarse al auditor se llama
ACL Audit Tool. Se trata de una aplicación programada por IBM hace.... ¡10 años! y que continúa teniendo un valor incalculable. ¿Cómo obtener un listado en colorines de los permisos de acceso y roles de las aplicaciones y bases de datos de sus servidores Lotus Domino? Y además, sea agnóstico a la plataforma - System i, Windows, Linux, Solaris, System z, - que aloja a Lotus Domino. Tome Vd. buena nota.
Descargue la aplicación
Haga clic en la siguiente imagen para descargar la aplicación de auditoría gratuita
ACL Audit Tool Instale y firme la aplicación
Copie la herramienta a su servidor Domino y firme la aplicación. Es interesante que Vd. dedique unos instantes a pensar con qué ID va a firmar la aplicación. Si es un servidor con buzones de correo y el super administrador no tiene acceso en las ACLs de los buzones, entonces será mejor firmar la aplicación con el ID del servidor ya que tendrá una mayor alcance en las listas de control de acceso de las NSFs del servidor.
Asigne permisos en la ACL
Coloque el servidor Domino que corresponda como servidor de administración en la pestaña "Avanzadas" y asigne los permisos adecuados en la pestaña "General" para que nadie excepto los administradores puedan ejecutar la aplicación.
Obtenga el informe de auditoría
Si Vd. es Administrador podría ejectuar también la herramienta desde su cliente Notes local y "barrer" todos los servidores estén en un
mainframe IBM System z, en un IBM System i, en un Windows, en Linux o lo que convenga. Extienda el ámbito y recuerde que puede también auditar las ACLs de sus servidores Lotus Quickr, Lotus Traveler o Lotus Sametime para Domino.
Primero verá Vd. el descargo de responsabilidad o
disclaimer legal típico.
Luego puede Vd. afinar el ámbito de auditoría. Sólo las NSFs, sólo las plantillas NTFs, todo o sólo las réplicas. En principio, para empezar y que no se empache Vd., le recomendamos auditar sólo las NSFs por lo tanto debe escoger la opción "Database - Any Notes Database".
A continuación en el paso 2 debe Vd. escoger las condiciones de auditoría. En principio, no toque nada. Esta opción es muy útil dependiendo del tipo de informe que desee generar. Imaginemos que deseamos conocer las bb.dd. que se tiene acceso anónimo desde Internet o las bases de datos que por defecto cualquier usuario Notes "Default" tiene acceso, etc. Evidentemente las condiciones de auditoría difieren si se trata de un servidor Domino interno o de un servidor Web de aplicaciones con acceso público desde Internet.
En el paso 3 sólo tenemos que especificar la ruta y el nombre del fichero HTML que generará el informe de auditoría y que luego podremos visualizar con cualquier navegador.
El informe contine un metaíndice muy práctico en la parte superior y el desglose en colorines de las condiciones elegidas en el paso 2.
Podemos escoger en el paso 2 las condiciones que nos interesa descubrir o auditar, por ejemplo, si un usuario Anónimo tiene acceso mayor que Autor, a qué aplicaciones tienes acceso, etc. Quedan auditadas en unos segundos todas las aplicaciones bajo el directorio "data" del servidor, los directorios de las aplicaciones, los usuarios con los permisos detallados, los roles... ¡Madre mía! ¡Madre mía!
Ahora medite Vd. cuánto esfuerzo medido en horas le hubiera costado realizar este informe manualmente. Cuente las horas de trabajo, multiplíquelas por un precio / hora y verifique el dinero y el esfuerzo que se ha ahorrado. Ya está Vd. convenientemente armado para combatir a los auditores.
Enjoy! Pero si todavía no es suficiente y aún desea más informes puede Vd. acudir a OpenNTF.org y descargarse la aplicación
ACL Viewer para responder a más preguntas. Usted ya lo sabe. Los auditores hacen demasiadas preguntas incómodas. ¡A auditar se ha dicho!