Функции безопасности Domino/Notes 6
Эта лекция описывает только функции безопасности сервера и клиента Domino и Notes. Дополнительные сведения о функциях безопасности проектирования приложений в Domino Designer 6 см. в руководстве "Domino 6 Designer: A Developers Handbook", SG24-6854.
В целом модель безопасно11.3сти Domino основана на предпосылках о защите ресурсов, таких, как сам сервер Domino, базы данных, данные рабочей станции и документы. Защищаемые ресурсы (или объекты) настраиваются таким образом, чтобы определить права пользователей для доступа и изменения объекта. Информация о правах и привилегиях доступа сохраняется вместе с каждым защищаемым ресурсом. Таким образом, важно понимать, что любой заданный пользователь или сервер может иметь различные права доступа, в зависимости от того, к каким ресурсам этот пользователь или сервер требует доступа.
В этой лекции рассматриваются следующие аспекты безопасности:
- безопасность сервера Domino;
- перемещающиеся пользователи;
- центр сертификации Domino;
- службы каталогов;
- идентификаторы и пароли Notes и Domino;
- аутентификация Web-клиентов;
- таблицы управления доступом базы данных;
- безопасность рабочей станции.
11.1 Безопасность сервера Domino
Большинство параметров безопасности сервера Domino настраивается через вкладку Security (Безопасность) документа Server (рис. 11.1). Эти параметры позволяют администраторам определять и управлять доступом и правами:
- пользователей и других серверов;
- к сетевому порту сервера;
- администраторов Domino;
- агентов сервера;
- транзитным доступом к серверу и с сервера.
11.1.1 Доступ пользователей и серверов к серверам Domino
Можно определить и контролировать доступ пользователей и серверов к серверу Domino. Эти параметры действуют совместно с правилами подтверждения подлинности и аутентификации. Если подтверждение подлинности и аутентификация пользователя Notes, пользователя Интернета или сервера на сервере Domino прошло успешно и параметры в документе Server разрешают доступ, пользователю или серверу разрешается доступ к серверу. Если вы не допускаете анонимного доступа к серверу, можно выполнить дополнительную настройку доступа пользователей и серверов.
Дополнительные сведения о подтверждении подлинности и аутентификации в Notes см. в "Инфраструктуры открытых ключей" .
Новое в Domino 6
Параметры доступа в документе Server контролируют доступ пользователей Notes и пользователей Интернета к серверу. До выхода R6 параметры Only allow server access to users listed in this Directory (Разрешать доступ к серверу только для пользователей, указанных в этом каталоге), Access server (Разрешить доступ к серверу) и Not access server (Запретить доступ к серверу) распространялись только на клиентов Notes. В Domino 6 эти параметры теперь распространяются на все интернет-протоколы, равно как и на клиентов Notes.
Кроме того, можно выборочно включать-отключать функции доступа для каждого интернет-протокола (по умолчанию эта функция отключена). Это выполняется через документ Server путем выбора Ports (Порты) -> Internet Ports (интернет-порты), после чего следует открыть вкладку, соответствующую протоколу, который требуется включить. Выберите Yes (Да) в поле Enforce server access settings (Применить параметры доступа к серверу).
11.1.2 Доступ администраторов
Domino позволяет назначать разные типы административного доступа различным пользователям, в зависимости от задач, которые им требуется выполнять на сервере Domino. Можно назначить определенных людей на роль администраторов базы данных, других людей – на роль системных администраторов, а остальным разрешить доступ только для просмотра. Административный доступ устанавливается на вкладке Security (Безопасность) документа Server.
Административные права доступа назначаются иерархически. Иерархия привилегий выглядит следующим образом:
- Full access administrator (Администратор с полным доступом) – получает все права и привилегии всех остальных уровней административного доступа, перечисленных в документе Server;
- Administrator (Администратор) – получает все права и привилегии администратора базы данных и администратора консоли с полным доступом (но не системного администратора);
- Full console administrator (Администратор консоли с полным доступом) – получает права и привилегии администратора консоли с доступом только для просмотра (но не системного администратора);
- System administrator (Системный администратор) – получает только права и привилегии ограниченного системного администратора.
Вам не требуется указывать пользователей отдельно для каждого уровня доступа. Пользователь или группа, указанные в списке с определенным уровнем доступа, автоматически получают права всех списков, находящихся ниже в иерархии. Таким образом, имя нужно вводить только в одном списке, в результате чего пользователь получит наивысшие права. Можно указывать отдельные иерархические имена, группы и подстановочные знаки (например, */Sales/Acme ).
За исключением поля Administrators (Администраторы), все поля административного доступа по умолчанию являются пустыми; это означает, что ни у кого нет таких прав. Поле Administrators (Администраторы) по умолчанию содержит имя администратора, выполнившего установку и настройку сервера.
Администратор с полным доступом
Новое в Domino 6
Роль администратора с полным доступом впервые реализована в Domino 6. Она соответствует наивысшему уровню административного доступа к данным сервера и отменяет необходимость локального запуска клиента Notes на сервере. Она позволяет разрешить проблемы с управлением доступом, например в ситуациях, когда из организации уходят диспетчеры списков управления доступом к базе данных.
Администраторы с полным доступом имеют следующие права:
- все права других уровней административного доступа;
- управляющий доступ с включением всех ролей и привилегий доступа ко всем базам данных на сервере, вне зависимости от параметров ACL базы данных;
- управляющий доступ с включением всех ролей и привилегий доступа к базе данных Web-администратора (WEBADMIN.NSF);
- доступ ко всем документам во всех базах данных, вне зависимости от полей имен читателей;
- возможность создания агентов, выполняющихся в неограниченном режиме с полными административными правами;
- доступ ко всем незашифрованным данным на сервере.
Примечание. Администратор с полным доступом не имеет доступа к зашифрованным данным. Для дешифрования документов, зашифрованных с использованием открытых ключей, требуется использовать закрытый ключ соответствующего пользователя. Подобным образом для дешифрования документов, зашифрованных с использованием секретного ключа, требуется наличие секретного ключа. Однако пользователи с полным административным доступом могут изменять ACL базы данных с зашифрованными документами.
Включение и выключение режима администратора с полным доступом
Для того чтобы работать в режиме администратора с полным доступом, администратор должен:
- Быть указанным в поле Full Access Administrators (Администраторы с полным доступом) в разделе Administrators (Администраторы) вкладки Security (Безопасность) документа Server. По умолчанию это поле является пустым.
- Включить режим Full Access Administration (Администрирование с полным доступом) в клиенте администратора, выбрав Administration (Администрирование) -> Full Access Administration (Администрирование с полным доступом). Если этот режим не включен, тогда пользователи не будут иметь полного административного доступа к серверу, даже если они указаны в списке администраторов с полным доступом в документе Server. Вместо этого они получат права Administrator (Администратор).
Если включен режим администратора с полным доступом, заголовок окна клиента, заголовок вкладки и строка состояния указывают это, напоминая пользователям, что они осуществляют доступ к серверу с наивысшим уровнем привилегий и, значит, должны быть внимательными.
Если администратор включает режим администрирования с полным доступом в клиенте администрирования, этот режим также включается для Domino Designer (Разработчик Domino) и для клиентов Lotus Notes. Полный административный доступ также отражается у них в заголовках окон, заголовках вкладок и строках состояния.
Если пользователь попытается переключиться в режим администратора с полным доступом, не будучи указанным в соответствующем списке в документе Server, пользователю запрещается полный доступ и в строке состояния, а также в консоли сервера выводится сообщение. Клиент будет работать в режиме полного доступа, однако этот пользователь не сможет получить полный административный доступ к данному серверу. Если пользователь попытается переключиться на другой сервер, будет выполнена проверка его уровня доступа в документе Server на новом сервере.
Для отключения поля Full Access Administrators (Администраторы с полным доступом) необходимо установить значение SECURE_DISABLE_FULLADMIN = 1 в файле NOTES.INI. Это значение отключает привилегии администратора с полным доступом, игнорируя все имена, перечисленные в этом поле в документе Server. Этот параметр файла NOTES.INI может быть установлен только пользователем, имеющим физический доступ к серверу, который может редактировать файл NOTES.INI для сервера. Этот параметр нельзя установить через консоль сервера, удаленную консоль или документ Server.
Управление функцией администратора с полным доступом
Существует несколько способов назначения полного административного доступа:
- Создать специальный файл идентификатора Full Admin, например "Full Admin/Sales/Acme", и только ввести это имя в поле Full Admin. После этого необходимо либо войти под этим идентификатором пользователя, либо переключиться на него, чтобы получить этот уровень доступа. Можно также настроить этот файл идентификатора таким образом, чтобы он требовал несколько паролей.
- Создать центр сертификации уровня подразделения для назначения полного административного доступа и выдать дополнительные идентификаторы доверенным администраторам, например Jane Admin/Full Admin/Acme.
- Оставить поле Full access administrators (Администраторы с полным доступом) пустым. Добавлять имя доверенного пользователя в чрезвычайных ситуациях и удалять его после разрешения ситуации.
- Заполнить поле Full Access Administrators (Администраторы с полным доступом) ограниченным набором доверенных администраторов.
Также можно проследить за использованием этой функции:
- настройте Event Handler (Обработчик событий) на отправление уведомления через EVENTS4.NSF при вызове административных привилегий с полным доступом;
- любые действия с базой данных, выполняемые с использованием полного административного доступа, записываются в журнал действий с базой данных, просматриваемый через Database Properties (Свойства базы данных).
Использование данной функции также регистрируется в журнале на сервере.
Важно! Администраторам, перечисленным в полях Full Access Administrators (Администраторы с полным доступом), Administrators (Администраторы) и Database Administrators (Администраторы базы данных) вкладки Security (Безопасность) документа Server, разрешается удалить любую базу данных на этом сервере, даже если они не указаны как менеджеры (managers) в ACL базы данных.
11.1.3 Web-администратор
Если у вас есть браузер и вы хотите осуществлять управление и просмотр параметров сервера Domino, можно использовать учетную запись Web-администратора для выполнения большинства задач, доступных администратору Domino.
Web-администратор использует базу данных Web-администратора (WEBADMIN. NSF). При первом запуске HTTP-задачи на Web-сервере Domino автоматически создает эту базу данных в каталоге данных Domino. Для использования роли Web-администратора необходимо следующее.
Вы должны использовать один из нижеперечисленных браузеров под учетной записью Web-администратора:
- Microsoft Explorer 5.5 в Windows 98, Windows NT 4, Windows 2000 или Windows XP;
- Netscape 4.7x в Windows 98, Windows NT 4, Windows 2000, Windows XP или Linux 7.x.
Наиболее актуальные сведения о поддерживаемых браузерах см. в документации к релизу Domino/Notes 6.
Должны быть запущены следующие задачи сервера Domino:
- на сервере Web-администратора должна быть запущена серверная задача Administration Process (AdminP);
- процесс Certificate Authority (CA) должен быть запущен на сервере Domino 6, содержащем базу данных Issued Certificate List (Список выданных сертификатов) для регистрации пользователей и серверов;
- HTTP-задача должна быть запущена на Web-сервере, чтобы можно было использовать браузер для доступа к ней.
Domino автоматически устанавливает стандартную безопасность базы данных при создании базы данных Web-администратора (WEBADMIN.NSF) впервые. На данном этапе все имена, перечисленные в полях Full Access Administrators (Администраторы с полным доступом) и Administrators (Администраторы) документа Server, получают доступ диспетчера со всеми ролями к базе данных Web-администратора. Кроме того, задача HTTP-сервера периодически (приблизительно каждые 20 минут) обновляет ACL базы данных Web-администратора, добавляя имена, добавленные в документ Server в полях Full Access Administrators (Администраторы с полным доступом) и Administrators (Администраторы), если они уже не находятся в списке ACL.