Руководство по безопасности в Lotus Notes
[+]
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 636 / 33 | Оценка: 4.83 / 5.00 | Длительность: 42:11:00
Тема: Безопасность
Специальности: Администратор информационных систем, Специалист по безопасности
Теги: access management, CRL, ECL, ldap, LMS, NSF, OID, SOCKS, ssl, SSO, аутентификация, базы данных, безопасность, интернет, каталоги, клиенты, мандат, отличительное имя, прокси, прокси-серверы, протоколы, серверы, шифрование
Лекция 11:

Функции безопасности Domino/Notes 6
A
|
версия для печати
< Лекция 10 || Лекция 11: 123456789101112 || Лекция 12 >

11.3 Среда поставщика услуг (xSP)

Новое в Domino 6

Поставщик услуг Domino (доступ к приложениям, доступ к Интернету, хранение, управление и т. д.) поставляет услуги предприятиям небольшого и среднего размера или нескольким хостируемым организациям из единого домена Domino. Для таких хостируемых организаций поставщик услуг предлагает доступ на основе интернет-протоколов к определенному набору приложений, выполняющихся на серверах Domino. Работа с поставщиком услуг позволяет компании передать администрирование приложений и служб, которые ранее выполнялись в компьютерной инфраструктуре компании.

В обязанности администратора поставщика услуг входит обслуживание серверной среды на хост-сайте и, в определенной степени, среды хостируемых организаций. В первую очередь администратор поставщика услуг обязан осуществлять настройку и обслуживание xSP-серверов (т. е. серверов протоколов и баз данных), а также всех кластеров Domino и сетевых маршрутизаторов.

Хотя администратор хостируемой организации может частично выполнять обслуживание пользователей и групп, основной объем административных задач, необходимых для обслуживания хостируемой организации, выполняет администратор поставщика услуг. Администратор поставщика услуг отвечает по меньшей мере за регистрацию и обслуживание хостируемых организаций, а также за управление использованием приложений хостируемой организацией. Кроме того, администратор поставщика услуг отвечает за создание и обслуживание механизма, применяемого администраторами хостируемой организации для информирования о проблемах и вопросах, требующих вмешательства администратора поставщика услуг.

Защита среды поставщика услуг Domino

Среда поставщика услуг Domino использует все стандартные средства безопасности Domino для обеспечения полной безопасности для поставщика услуг и хостируемых организаций, подписанных на услуги поставщика услуг. Среда xSP, содержащая несколько хостируемых организаций, может содержать тысячи пользователей, которые должны иметь доступ только к своим данным.

Кроме того, конфигурация поставщика услуг применяет расширенные ACL в Domino Directory для защиты данных каждой хостируемой организации от доступа пользователей из других хостируемых организаций. Расширенные ACL, необходимые для поддержки модели безопасности xSP, автоматически устанавливаются при создании новых хостируемых организаций. Необходимо осуществлять тщательное планирование и тестирование, прежде чем вносить изменения в ACL и расширенные ACL в среде xSP: безопасность здесь очень важна.

Средства управления аутентификацией в документах Site осуществляют контроль только над тем, кто может подключиться и использовать интернет-протоколы. После аутентификации ACL и расширенные ACL осуществляют контроль над чтением и записью данных в Domino Directory.

Пользователь в хостируемой организации не может получить прямой доступ к базам данных, расположенных в каких-либо подкаталогах, кроме каталога хостируемой организации. Исключением являются подкаталоги help и common каталога данных Domino, которые содержат базы данных, доступные для пользователей из всех хостируемых организаций.

Для предоставления пользователям доступа к базам данных, расположенным вне подкаталога хостируемой организации, следует создать ссылку на каталог в каталоге хостируемой организации.

11.4 Перемещающиеся пользователи

Новое в Domino 6

Пользователи, осуществляющие доступ к Notes с различных клиентов Notes, могут получить доступ к своим настройкам и личной информации автоматически с любого клиента Notes в домене. Осуществляется репликация данных для этих пользователей, называемых перемещающимися пользователями (roaming users), между компьютером пользователя и сервером перемещающегося пользователя, на котором эти файлы хранятся. При входе перемещающегося пользователя с другого клиента Notes он автоматически получает ID-файл пользователя, личную адресную книгу, закладки и журнал с сервера перемещающегося пользователя. Любые изменения, вносимые пользователем в эти файлы, реплицируются на сервер перемещающегося пользователя. Это позволяет обеспечить согласованность работы перемещающегося пользователя на всех клиентах Notes.

Для настройки параметров регистрации перемещающихся пользователей можно применять документ параметров политики регистрации.

Защита перемещающихся пользователей

При работе с перемещающимися пользователями рекомендуется использовать смарт-карты. Смарт-карты позволяют повысить безопасность идентификаторов пользователей как для обычных, так и для перемещающихся пользователей, так как они дают возможность блокировать и разблокировать идентификаторы пользователей при входе в Notes. Кроме того, закрытые интернет-ключи пользователя можно хранить на смарт-карте вместо рабочей станции.

11.5 Центр сертификации Domino

Центр сертификации (certificate authority, CA), или сертификатор (certifier), представляет собой доверенное средство администрирования, осуществляющее выпуск и обслуживание цифровых сертификатов. Сертификаты позволяют подтвердить личность пользователя, сервера или организации и в случае интернет-сертификаторов позволяют использовать SSL для связи и S/MIME для обмена почтой. Сертификаты содержат цифровую подпись сертификатора, которая служит для получателей сертификата подтверждением того, что предъявитель сертификата является сущностью, указанной в сертификате.

Сертификаторы также могут выпускать доверенные корневые сертификаты (trusted root certificates), которые позволяют клиентам и серверам, имеющим сертификаты, выданные различными центрами сертификации, осуществлять обмен данными друг с другом.

Важно понимать разницу между Notes-сертификаторами и интернет-сертификаторами. При установке и настройки первого сервера Domino в домене автоматически устанавливается Notes-сертификатор для выдачи сертификатов Notes для клиентов Notes. Эти сертификаты необходимы аутентификации клиентов Notes на сервере Domino, а также для взаимной аутентификации серверов Domino. Поэтому Notes438 сертификаторы важны даже в среде, состоящей исключительно из Web-клиентов. С другой стороны, интернет-сертификатор выпускает интернет-сертификаты (X.509), которые являются стандартом для безопасного обмена данными через Интернет (SSL, TLS и т. д.). Установка интернет-сертификаторов выполняется в Domino по мере необходимости.

Например, можно установить SSL на сервере Domino, чтобы клиенты, подключающиеся к серверу, использовали SSL для обеспечения конфиденциальности обмена данными.

Примечание. Установка SSL выполняется для различных протоколов в отдельности. Например, можно включить SSL только для почтовых протоколов, таких, как IMAP, POP3 и SMTP.

Для установки SSL на вашем сервере необходим набор ключей, содержащий сертификат сервера от интернет-сертификатора. Можно запросить и получить сертификат сервера либо в центре сертификации Domino, либо в стороннем центре сертификации, после чего установить его в наборе ключей. Сертификат сервера представляет собой двоичный файл, уникально идентифицирующий сервер; он хранится на жестком диске сервера и содержит открытый ключ, имя, срок действия и цифровую подпись. Набор ключей также содержит корневые сертификаты, используемые сервером для принятия решений о доверительных отношениях.

Дополнительные сведения об инфраструктуре открытого ключа (PKI) в Domino и включении SSL см. в "Инфраструктуры открытых ключей" , а также в документе "The Domino Certificate Authority" из серии "IBM Redpapers".

Примечание. Можно включить SSL на сервере при первоначальной регистрации сервера, если у вас уже есть центр сертификации на основе сервера Domino, запущенный в домене Domino.

11.5.1 Центр сертификации на основе сервера Domino
Новое в Domino 6

В Domino 6 можно установить Domino-сертификатор, использующий серверную задачу (процесс CA ) для управления запросами сертификатов и их обработки. Процесс CA выполняется как автоматизированный процесс на серверах Domino, используемых для выдачи сертификатов. Можно настроить работу таким образом, чтобы Notes-сертификаторы применяли процесс CA вместе с интернет-сертификаторами. При настройке работы с одним из типов сертификатора выполняется его привязка к процессу CA на сервере, что позволяет использовать операции процесса CA. На сервере может выполняться только один экземпляр процесса CA ; однако процесс может быть связан с несколькими сертификаторами. После настройки центра сертификации на основе сервера Domino вы можете осуществлять управление процессом CA из консоли Domino с использованием серверных команд Tell.

Преимущества центра сертификации на основе сервера Domino 6 состоят в том, что он:

  • Обеспечивает унифицированный механизм выдачи Notes- и интернет-сертификатов.
  • Поддерживает роль центра регистрации (registration authority, RA), используемую для делегирования процесса принятия/отклонения сертификатов администраторам нижнего эшелона в организации.
  • Не требует доступа к идентификатору и паролю сертификатора. После включения сертификаторов для процесса CA можно назначить роль центра регистрации администраторам, которые могут регистрировать пользователей и осуществлять управление запросами сертификатов, не предоставляя идентификатор и пароль сертификатора.
  • Упрощает процесс запроса интернет-сертификатов через базу данных запросов сертификатов на основе Web-технологий.
  • Выпускает списки отзыва сертификатов, содержащие информацию об отозванных и недействительных интернет-сертификатах.
  • Создает и обслуживает список выданных сертификатов (Issued Certificate List, ICL) – базу данных, содержащую информацию обо всех сертификатах, выданных сертификатором.
  • Совместим с отраслевыми стандартами безопасности для интернет-сертификатов, например X.509 и PKIX.

Для установки центра сертификации на основе сервера Domino в вашей организации необходимо настроить Notes- и интернет-сертификаторы на использование процесса CA. Можно настроить на использование процесса CA либо только один тип сертификатора (например, только интернет-сертификаторы для процесса CA ), либо все сертификаторы для процесса CA.

Если в вашей организации уже есть сертификаторы Domino, можно выполнить их миграцию в процесс CA. Миграция сертификатора главным образом состоит в его настройке на использование процесса CA. При этом устраняется требование доступа к идентификатору сертификатора, а также создается ICL для сертификатов, выданных этим сертификатором.

Список выданных сертификатов (ICL)

Каждый сертификатор имеет список выданных сертификатов (Issued Certificate List, ICL), создаваемый вместе с созданием сертификатора или его миграцией в процесс CA. ICL представляет собой базу данных, содержащую копии всех выпущенных им действительных сертификатов, списки отзыва сертификатов и документы конфигурации CA. Документы конфигурации генерируются при создании сертификатора и его подписания открытым ключом сертификатора. Документы конфигурации CA включают:

  • Профили сертификатов, содержащие информацию о сертификатах, выпущенных сертификатором.
  • Документ конфигурации CA, содержащий информацию о самом сертификаторе.
  • Связующие документы RA/ CA, содержащие информацию о центрах регистрации, авторизованных для принятия и отклонения запросов сертификатов. Каждому центру регистрации соответствует один такой документ.
  • Документ хранения ID-файла, содержащий информацию об идентификаторе сертификатора.

Еще один документ конфигурации CA (документ Certifier) создается в Domino Directory при установке сертификатора.

Список отзыва сертификатов (CRL)

Список отзыва сертификатов (Certificate Revocation List, CRL) представляет собой список с отметками времени, идентифицирующий отозванные интернет-сертификаты, например сертификаты, принадлежащие уволенным сотрудникам. Процесс CA создает и обслуживает списки CRL для каждого интернет-сертификатора. Список CRL связан с сертификатором, подписан сертификатором и находится в базе данных ICL сертификатора. Копия CRL также хранится в Domino Directory, где она применяется для проверки действительности сертификата при аутентификации с использованием сертификатов.

Конфигурирование CRL выполняется при создании нового интернет-сертификатора. Вы можете определить период времени, в течение которого CRL является действительным, а также интервал между публикацией новых CRL. После конфигурирования CRL сертификатор осуществляет их выпуск на регулярной основе и они работают автоматически.

Использование CRL позволяет осуществлять управление сертификатами, выпущенными в вашей организации. Сертификат можно легко отозвать, например при уходе владельца сертификата из организации или при компрометации ключа. HTTP-серверы и Web-браузеры выполняют проверку CRL, чтобы определить, не был ли тот или иной сертификат отозван, в результате чего он больше не является доверенным у сертификатора. При использовании документов Internet Site для конфигурации интернет-протоколов на сервере Domino также можно включить проверку CRL для каждого протокола.

Существует два типа CRL: регулярные и нерегулярные. Для регулярных CRL выполняется настройка срока действия (временного периода, в течение которого CRL является действительным) и интервала выпуска новых CRL. Каждый сертификатор выпускает CRL в определенное время, даже если с момента выпуска последнего CRL сертификаты не отзывались. Это означает, что, если администратор отзывает сертификат, он будет включен в следующий CRL, выпуск которого запланирован сертификатором. Срок действия CRL должен превышать период времени между выпуском каждого CRL. Это обеспечит действительность CRL. В противном случае срок действия CRL может закончиться прежде, чем будет выпущен новый CRL.

Однако в случае критического нарушения безопасности (например, если администратору требуется отозвать сертификат с большими полномочиями или при компрометации сертификата сертификатора) можно вручную выпустить нерегулярный (т. е. незапланированный) список CRL для срочного отзыва. Такой тип отзыва не влияет на время выпуска или содержимое следующего запланированного CRL. Выпуск нерегулярного CRL осуществляется командой Tell.

База данных запросов сертификатов

Каждому создаваемому интернет-сертификатору требуется база данных запросов сертификатов (CERTREQ.NSF) для управления запросами сертификатов серверов и клиентов. В этой базе данных хранятся активные запросы сертификатов и отзывов, которые были переданы в процесс Administration Process для обработки. Используя интерфейс на основе браузера, серверы и клиенты запрашивают сертификаты и получают выпущенные сертификаты.

Хранение баз данных запросов сертификатов можно осуществлять на любом сервере в домене, включая серверы, расположенные вне сетевого брандмауэра.

Администрирование центра сертификации на основе сервера

С управлением сертификатором связано несколько задач. При установке сертификатора, использующего процесс CA, вы можете делегировать права принятия и отклонения Notes- и интернет-сертификатов другим администраторам, каждый из которых выступает в качестве центра регистрации.

Примечание. Многие задачи, связанные с управлением центром сертификации, которые до Domino 6 выполнялись вручную, теперь автоматизированы при использовании процесса CA.

Задачи администратора центра сертификации Domino

Администратор центра сертификации Domino (certificate authority administrator, CAA) отвечает за выполнение следующих задач:

  • Создание и конфигурирование сертификаторов.
  • Изменение сертификаторов. Например, только администратор CA может редактировать информацию восстановления идентификаторов для Notes-сертификатора.
  • Добавление и удаление администраторов центра сертификации и центра регистрации или изменение ролей CA и RA, назначенных пользователям.

Администратор центра сертификации должен иметь доступ к главному каталогу Domino Directory в домене, по меньшей мере на уровне Editor (Редактор).

Рекомендуется назначать по меньшей мере двух администраторов центра сертификации для каждого сертификатора. В этом случае, если один из них уйдет из организации, у вас будет замена.

Примечание. По умолчанию администратор, создавший сертификатор, автоматически назначается администратором центра сертификации и администратором центра регистрации для этого сертификатора. При создании дополнительных администраторов центра сертификации им необходимо назначить роль центра регистрации, чтобы они могли регистрировать пользователей.

Задачи администратора центра регистрации Domino

Администратор центра регистрации (registration authority, RA) регистрирует пользователей Notes и серверы Domino, принимает или отклоняет запросы интернет-сертификатов и при необходимости отзывает интернет-сертификаты. Хотя администратор центра сертификации может выполнять функции администратора центра регистрации, основное преимущество использования отдельной роли центра регистрации состоит в том, чтобы разгрузить администратора Domino или центра сертификации, сняв с него эти задачи. Кроме того, администратор Domino может установить один или несколько центров регистрации для каждого сертификатора, настроенного на процесс CA.

Центр регистрации должен принимать только те запросы, которые будут приняты сертификатором. Приемлемые запросы описываются в документе CA Configuration, хранящемся в базе данных ICL центра сертификации.

Администраторы Domino, выполняющие регистрацию пользователей Notes, также должны быть указаны как центры регистрации для Notes-сертификатора.

При использовании клиента Web Administrator необходимо установить центр сертификации на основе сервера для регистрации пользователей Notes. Web Administrator, а также сервер, на котором расположена база данных Web Administrator, должен быть указан как центр регистрации для этого сертификатора.

Администратор центра регистрации Domino отвечает за следующие задачи:

  • регистрацию пользователей, серверов и дополнительных Notes-сертификаторов;
  • принятие или отклонение запросов интернет-сертификатов;
  • отзыв сертификатов, если они больше не могут быть доверенными, например при уходе владельца сертификата из организации или при компрометации ключа.

Примечание. Центры сертификации и центры регистрации должны иметь доступ к главному каталогу Domino Directory в домене, по меньшей мере на уровне Editor (Редактор).

Создание сертификаторов, использующих процесс CA

При создании сертификатора для процесса CA необходимо убедиться в том, что процесс CA запущен на сервере. Сертификаторы не будут функционировать, если процесс CA не запущен. Для управления процессом CA можно использовать команды Tell с консоли сервера.

Если при создании сертификатора процесс CA запущен, он автоматически добавляет новые созданные сертификаторы при обновлении, которое выполняется каждые 12 часов. Однако период времени, в который база данных Administration Requests обрабатывает запросы к CA, варьируется. Можно ускорить процесс с использованием команд Tell для принудительной обработки всех запросов процессом AdminP с последующим обновлением процесса CA.

Примечание. Для автоматической загрузки задачи CA следует добавить параметр ca к параметру Server в файле NOTES.INI.

Общий процесс создания сертификатора, настроенного на процесс CA, выглядит следующим образом:

  1. Миграция или создание сертификатора:
    • При создании нового Notes-сертификатора необходимо сначала зарегистрировать сертификатор на уровне O (организация) или OU (подразделение), после чего перенести идентификатор сертификатора в процесс CA.
    • При наличии существующего Notes-сертификатора необходимо сначала перенести идентификатор сертификатора в процесс CA.
    • При наличии существующего интернет-сертификатора необходимо сначала перенести набор ключей в процесс CA.
  2. Конфигурирование сертификатора.
  3. Добавление сертификатора в процесс CA.
  4. Для интернет-сертификаторов следует создать базу данных запросов сертификатов.

Дополнительные сведения о каждой процедуре см. в главе "Установка центра сертификации на основе сервера" в руководстве Domino 6 Administering the Domino System.

11.6 Службы каталогов

Существует несколько аспектов служб каталогов Domino, которые следует учитывать при защите среды Domino.

11.6.1 Серверы администрирования каталога

Каждый домен Domino содержит по меньшей мере один сервер администрирования Domino Directory. Сервер администрирования отвечает за выполнение запросов к процессу Administration Process, который автоматизирует изменения в Domino Directory. По умолчанию первый сервер, установленный в домене, является сервером администрирования Domino Directory.

11.6.2 Выделенные серверы каталога

Можно использовать серверы каталога в домене Domino для выделения определенных серверов на предоставление служб каталогов. Клиенты и специализированные серверы, в частности почтовые серверы и серверы приложений, используют серверы каталогов для просмотра информации о пользователях, группах и т. п.

Сервер каталога может:

  • в централизованной архитектуре каталогов хранить главный каталог Domino Directory, к которому серверы осуществляют удаленный доступ через Configuration Directory;
  • запустить службу LDAP;
  • запустить задачу Dircat для создания и хранения списков каталогов (directory catalogs);
  • хранить реплики каталогов, агрегированных в списки каталогов;
  • хранить реплики дополнительных каталогов Domino Directory, к которым серверы в домене осуществляют доступ через Directory Assistance.

Можно настроить клиенты Notes таким образом, чтобы они использовали для просмотра имен и адресов серверы каталога, а не почтовые серверы.

Использование централизованной архитектуры каталогов в домене Domino

До выхода Domino 6 компании всегда применяли распределенную архитектуру каталогов, при которой каждый сервер в домене Domino содержал полную реплику основного каталога Domino Directory в домене. Основной каталог содержит все типы документов: документы, используемые для предоставления служб каталогов, например документы Person и Group, а также документы, применяемые для конфигурирования серверов Domino.

Новое в Domino 6

В этой версии компании могут внедрить централизованную архитектуру каталогов, при которой несколько серверов каталогов в домене содержат реплики основного каталога Domino Directory, которые включают все содержимое Domino Directory. Остальные серверы в домене содержат каталоги Configuration Directory, которые представляют собой небольшие выборочные реплики Domino Directory и содержат только документы, используемые для конфигурирования Domino. Сервер, содержащий Configuration Directory, применяет основной каталог Domino Directory на другом сервере (называемый удаленным основным каталогом Domino Directory) для просмотра информации в документах Person, Group, Mail-In Database и Resource, а также в любых собственных документах новых типов, которые компания добавила в каталог.

Централизованная архитектура каталогов позволяет осуществлять более тщательный административный контроль над управлением каталогом, так как только несколько реплик каталогов содержат информацию о пользователях и группах. Кроме того, серверы приложений и почтовые серверы могут работать на менее мощных компьютерах, чем требуется для серверов каталогов, так как серверам приложений и почтовым серверам не требуется хранить основной каталог Domino Directory, который может быть самой большой базой данных в компании. Если информация о пользователях и группах в каталоге изменяется часто, серверы с каталогами Configuration Directory имеют мгновенный доступ к изменениям, требуемым критическими бизнесприложениями, так как им не приходится ждать локальной репликации изменений.

Для внедрения централизованной архитектуры каталогов необходимо иметь достаточную пропускную способность сети, чтобы поддерживать удаленные просмотры в основном каталоге. Для обеспечения перемещения при сбое важно, чтобы по меньшей мере два сервера в домене были настроены как удаленные основные каталоги Domino Directory.

11.6.3 Directory Assistance

Directory Assistance представляет собой средство, которое сервер может использовать для просмотра информации в каталоге, отличном от локального основного каталога Domino Directory (NAMES.NSF). Можно настроить Directory Assistance на применение определенного каталога для любой из следующих задач:

  • аутентификация клиента (включая клиентов, работающих через веб-браузер/ HTTP);
  • просмотры групп для авторизации баз данных;
  • почтовая адресация Notes;
  • поиски или ссылки (referrals) службы LDAP.

Можно установить Directory Assistance для удаленного LDAP-каталога или каталога Domino. В качестве удаленного LDAP-каталога может использоваться любой удаленный LDAP-совместимый каталог либо на сервере внешнего LDAP-каталога, либо на сервере Domino, на котором выполняется служба LDAP.

Каталог Domino создается на основе шаблона PUBNAMES.NTF, и доступ к нему осуществляется через вызовы NAMELookup. Серверы могут использовать Directory Assistance для выполнения просмотров в локальных или удаленных репликах в каталоге Domino. Каталог Domino, настроенный на использование Directory Assistance, может представлять собой дополнительный (secondary) каталог Domino Directory, расширенный список каталогов (Extended Directory Catalog) или основной (primary) каталог Domino Directory.

  • Дополнительными (secondary) каталогами Domino Directory являются все каталоги Domino Directory, кроме основного каталога Domino Directory на сервере. Дополнительный каталог Domino Directory может представлять собой каталог, связанный с другим доменом Domino. Дополнительный каталог Domino Directory может также представлять собой каталог Domino Directory, созданный вручную на основе шаблона PUBNAMES.NTF, который не связан с доменом Domino, и используется, например, для хранения и отслеживания информации о Web-пользователях.
  • Расширенный список каталогов (Extended Directory Catalog) содержит документы, агрегированные из нескольких дополнительных каталогов Domino Directory. Сервер должен использовать Directory Assistance для просмотра информации в Extended Directory Catalog, если только вы не интегрировали Extended Directory Catalog непосредственно в основной каталог Domino Directory.
  • Основной (primary) каталог Domino Directory является каталогом, в котором сервер в первую очередь выполняет поиск и который описывает домен Domino сервера. Можно настроить Directory Assistance для работы с основным каталогом Domino Directory, где он обычно применяется для определения того, какие реплики основного каталога Domino Directories могут использовать серверы с каталогами Configuration Directory.
Directory Assistance и аутентификация клиента

Для аутентификации пользователя, осуществляющего доступ к базе данных на сервере Domino через любой из поддерживаемых интернет-протоколов (Web (HTTP), IMAP, POP3 или LDAP), сервер может просмотреть учетные данные пользователя в каталоге, сконфигурированном в соответствующей базе данных Directory Assistance. Серверы могут выполнять аутентификацию с применением сертификатов X.509 или с использованием имени и пароля.

Для того чтобы сервер мог применять каталог для аутентификации интернет-клиентов, сконфигурированной в базе данных Directory Assistance, выполните следующие действия в документе Directory Assistance для каталога:

  • на вкладке Basics (Основные параметры) выберите для параметра Make this domain available to (Сделать этот домен доступным для) значение Notes clients and Internet Authentication/Authorization (Аутентификации/авторизации Notes и интернет-клиентов);
  • на вкладке Naming Contexts (Rules) [Контексты именования (Правила)] включите по меньшей мере одно правило, соответствующее отличительным именам (distinguished names) пользователей в каталоге, для которых следует выполнить аутентификацию, и для параметра Trusted for Credentials (Доверенные учетные данные) выберите значение Yes (Да).

Например, если ваша организация регистрирует Web-пользователей во внешнем LDAP-каталоге, то при попытке Web-пользователя получить доступ к базе данных на Web-сервере Domino сервер может подключиться к серверу удаленного внешнего LDAP-каталога для просмотра имени и пароля пользователя для выполнения аутентификации.

Внимание! Сервер может использовать каталог Domino в базе данных Directory Assistance для аутентификации клиента, если каталогу назначен тот же домен, что и домену сервера, вне зависимости от конфигурации документа Directory Assistance.

Управление типами аутентификации клиентов, разрешенными сервером интернет-протоколов, выполняется в документе Internet Site или на вкладке Ports (Порты) -> Internet Ports (интернет-порты) документа Server.

Имена, принимаемые для выполнения аутентификации с использованием имени и пароля

Если сервер выполняет аутентификацию интернет-клиентов с использованием имени и пароля, вы можете выбрать типы имен, принимаемых сервером от клиентов. На вкладке Security (Безопасность) -> Internet Access (Доступ в Интернет) документа Server в основном каталоге Domino Directory выберите More name variations with lower security (Больше вариантов имен с более низкой безопасностью) или Fewer name variations with higher security (Меньше вариантов имен с более высокой безопасностью (установлено по умолчанию). Выбранный параметр относится к аутентификации с использованием имени и пароля в любом каталоге, включая основной каталог Domino Directory.

Хотя сервер может принимать не только отличительные имена от клиента для поиска записи пользователя в каталоге, сервер всегда применяет отличительное имя пользователя в записи каталога для сравнения с правилами доверия в документе Directory Assistance, чтобы определить, выполнять ли аутентификацию клиента. Например, предположим, что пользователь зарегистрирован в каталоге под отличительным именем cn=alice browning,o=Acme, но при этом в клиенте пользователь конфигурирует имя alice browning. При аутентификации сервер выполняет поиск записи, содержащей имя alice browning. Когда он найдет запись, он может выполнить аутентификацию клиента, только если "cn=alice browning,o=acme" соответствует доверенному правилу именования для каталога.

Отличительное имя пользователя также употребляется в качестве основы для управления доступом в Domino, поэтому вам следует употреблять отличительные имена пользователей в ACL базы данных, в группах, употребляемых в ACL базы данных, в списках доступа в документах Server, а также в документах File Protection Web-сервера.

Обнаружение повторяющихся имен при аутентификации клиента

Если сервер обнаружит, что несколько записей каталога содержат имя, предоставленное клиентом и соответствующее действительному отличительному имени для аутентификации, в одном или нескольких каталогах, сервер выполняет аутентификацию клиента с использованием записи с действительным паролем или сертификатом X.509. Если несколько записей содержат действительный пароль или сертификат X.509 и одинаковое отличительное имя, сервер выполняет аутентификацию пользователя, применяя первый обнаруженный им совпадающий пароль или сертификат X.509.

Согласование имен и паролей клиентов по протоколам

Если серверы Domino осуществляют аутентификацию клиента с использованием нескольких интернет-протоколов, для простоты администрирования каталога следует создать одну запись каталога для клиента с одним именем и паролем для всех протоколов. Затем следует настроить клиент на использование одного имени и пароля для всех протоколов.

Например, если клиент подключается к Domino через HTTP для просмотра Web-содержимого и через LDAP для работы со службами каталогов, следует создать одну запись каталога для клиента с именем и паролем, после чего настроить клиент на использование этого имени и пароля для всех типов подключений.

Аутентификация клиента Notes

По умолчанию при аутентификации клиента Notes сервер не использует информацию из документов Domino Directory Person для проверки идентификатора Notes. Однако при включении опции Compare Notes public keys against those stored in Directory (Сравнивать открытые ключи Notes с сохраненными в каталоге) на вкладке Basics (Основные параметры) документа Server на сервере сервер выполняет аутентификацию пользователя Notes, только если открытый ключ, предоставленный клиентом Notes, соответствует открытому ключу в документе Person пользователя.

Если пользователь Notes, осуществляющий подключение к серверу для аутентификации, зарегистрирован в дополнительном каталоге Domino Directory, а не в основном каталоге Domino Directory и при этом включена опция Compare Notes public keys against those stored in Directory (Сравнивать открытые ключи Notes с сохраненными в каталоге) для сервера, к которому подключается пользователь, необходимо выбрать опцию Make this domain available to: Notes clients and Internet Authentication/Authorization (Сделать этот домен доступным для: Аутентификации/авторизации Notes- и интернет-клиентов) в документе Directory Assistance, чтобы разрешить серверу выполнять сравнение открытых ключей. Для этого можно применять следующие документы Directory Assistance:

  • для дополнительного каталога Domino Directory, в котором зарегистрирован пользователь Notes;
  • для расширенного списка каталогов (Extended Directory Catalog), агрегирующего дополнительный каталог Domino Directory, в котором зарегистрирован пользователь Notes.

Примечание. Если имя домена, заданное для Domino Directory или Extended Directory Catalog, совпадает с именем домена серверов, использующих базу данных Directory Assistance, серверы могут автоматически применять каталог для аутентификации клиентов, просмотров групп для авторизации базы данных и адресации почты Notes, вне зависимости от того, выбрана ли опция Make this domain available to: Notes clients and Internet Authentication/Authorization (Сделать этодомен доступным для: Аутентификации/авторизации Notes- и интернет-клиентов). Кроме того, серверы сначала осуществляют поиск в каталоге в том же домене, вне зависимости от порядка поиска, заданного для каталога.

Дальше >>
< Лекция 10 || Лекция 11: 123456789101112 || Лекция 12 >

Вопросы и ответы

вопросов: 0