Функции безопасности других продуктов Lotus

В частности, в данной лекции рассматриваются следующие продукты семейства Lotus:

• Lotus Team Workplace (QuickPlace);
• Lotus Web Conferencing and Instant Messaging (Sametime);
• Lotus Domino Web Access (iNotes);
• Lotus Workplace Messaging™;
• WebSphere Portal Server;
• Lotus Domino Everyplace™;
• Lotus Sametime Everyplace.

Так как эти продукты часто используются в сочетании с Notes и Domino, мы также по возможности рассмотрим их точки пересечения и способы обеспечения безопасности между приложениями и Notes/Domino.

12.1 Lotus Team Workplace (QuickPlace)

IBM Lotus Team Workplace (QuickPlace) представляет собой Web-инструмент самостоятельного обеспечения взаимодействия в группах. Под "самостоятельным обеспечением" подразумевается, что пользователь может создать QuickPlace и самостоятельно им управлять, а также употреблять его для публикации, совместного использования и трассировки всей информации, относящейся к проекту, включая списки участников и уровни безопасности, установленные для каждого участника. Эти функции представлены на рис. 12.1.

увеличить изображение
Рис. 12.1. Добавление/удаление участников и их уровней безопасности

Способ получения доступа прост и эффективен: данные по пользователям, использующим QuickPlace вводятся в форму, представленную на рис. 12.1, и пользователи могут быть объединены в три группы (по увеличению уровня доступа): Readers (Читатели), Authors (Авторы), Managers (Менеджеры). В сущности, это означает, что обработка записей каталога и записей ACL осуществляется в одном месте.

QuickPlace включает в свою архитектуру компоненты Domino. В частности, Webсервер Domino (nhttp.exe) обеспечивает HTTP-стек, а URL-процессор Domino (ninotes.dll) обеспечивает семантику обработки URL-адресов Domino.

12.1.1 QuickPlace и SSL

Можно настроить QuickPlace на использование SSL-подключения для шифрования данных, передаваемых между Web-браузерами и сервером QuickPlace. SSL-"рукопожатие" (handshake) осуществляется Web-сервером Domino, поэтому необходимо сначала настроить SSL в Domino. Затем можно настроить QuickPlace на использование SSL для защиты LDAP-подключений между QuickPlace и LDAP-сервером, а также HTTP между клиентами на основе браузера и серверами QuickPlace.

Без конфигурирования SSL на сервере каталога информация, передаваемая в процессе аутентификации между сервером QuickPlace и сервером Domino, не шифруется.

Важно! Если настроить QuickPlace на использование SSL, не настроив Domino, SSL/LDAP-аутентификация не будет выполняться.

Вы также можете рассмотреть возможность шифрования портов для протоколов TCP/IP и Notes. Шифрование портов защищает трафик репликации между двумя серверами QuickPlace. Дополнительные сведения о включении шифрования портов на сервере Domino см. в справке по администрированию Domino 6.

12.1.2 Пользовательские каталоги

"Область" (place) QuickPlace может содержать как локальных, так и внешних пользователей. Различие между локальными и внешними пользователями состоит в месте хранения контактной информации и информации об аутентификации.

Для локальных пользователей контактная информация и информация об аутентификации хранится в базе данных участников QuickPlace (Contacts1.nsf) "области". Менеджеры области могут создавать пользователей, изменять уровень доступа пользователей и удалять пользователей. Локальные пользователи имеют доступ только к информации о своем уровне доступа .

У внешних пользователей, с другой стороны, контактная информация и информация об аутентификации хранится в пользовательском каталоге на отдельном сервере. Когда внешний пользователь становится участником области, копия его контактной информации сохраняется в базе данных участников области, однако их информация об аутентификации хранится только в оригинальном пользовательском каталоге и не копируется в базу данных участников области. Таких внешних пользователей можно добавлять и удалять из списка участников без изменения информации в оригинальном пользовательском каталоге.

LDAP-каталоги

Сервер QuickPlace можно подключить к пользовательскому каталогу на LDAP-сервере таким образом, чтобы менеджеры области могли добавлять пользователей из этого LDAP-каталога в качестве участников области. При изменении имени участника области или другой информации (например, адреса электронной почты) в LDAP-каталоге можно применять команды QPTool для автоматического обновления областей таким образом, чтобы отразить это изменение.

QPTool является серверной задачей, выполняемой с определенными аргументами для выполнения административных задач. Команды QPTool можно использовать для выполнения следующих задач:

• изменение имен пользователей и групп в областях;
• изменение иерархии имен в областях;
• переустановка паролей пользователей;
• удаление участников областей;
• отправка информационных бюллетеней подписчикам;
• отправка почты менеджерам и участникам областей;
• регистрация и отмена регистрации областей;
• автоматизация создания заглушки реплики;
• усовершенствование областей и PlaceTypes (типов областей);
• обновление областей и PlaceTypes;
• блокировка и разблокировка областей;
• архивация областей;
• удаление областей или PlaceTypes;
• обновление статистики в Place Catalog (каталоге областей);
• генерирование отчетов об областях и серверах;
• исправление неполадок в областях;
• очистка dead mail (недоставленной почты);
• выполнение файла E-Mail API.

Например, если John Smith является пользователем в LDAP-каталоге и зарегистрирован как участник областей, при изменении его адреса электронной почты во внешнем LDAP-каталоге можно использовать QPTool-команду updatemember для обновления его адреса электронной почты в областях.

Дополнительные сведения о командах QPTool и о том, как они могут помочь в администрировании безопасности QuickPlace, см. в руководстве Lotus QuickPlace 3.0 Adminstrator's Guide, поставляемом с Lotus QuickPlace, или на Web-сайте по следующему адресу:

http://doc.notes.net/uafiles.nsf/docs/QP30/$File/na5d3fus.pdf

Примечание. Отличительные имена пользователей и групп в пользовательском каталоге должны быть уникальными. Если внешний LDAP-каталог содержит два одинаковых отличительных имени, только одно из имен можно добавить в область в качестве участника. Если два отличительных имени идентичны, добавьте средний инициал или другой отличительный символ к одному из имен, чтобы каждое имя было уникальным.

Сервер QuickPlace может подключаться к пользовательскому каталогу на любом сервере, настроенном на применение протокола LDAP (Lightweight Directory Access Protocol) версии 3, включая сервер Domino с запущенной службой LDAP или любой другой сервер LDAP-каталога. Однако важно помнить о том, что сервер QuickPlace может быть подключенным только к одному внешнему LDAP-каталогу в любой заданный момент времени.

12.1.3 Аутентификация QuickPlace

QuickPlace поддерживает два типа аутентификации с подключением Web-браузеров к серверу QuickPlace:

• Простая аутентификация по имени и паролю
• Многосерверная аутентификация по имени и паролю с единой регистрацией

Ограничение. Важно отметить, что QuickPlace не поддерживает опцию single server sessionbased name-and-password authentication (односерверная аутентификация по имени и паролю на основе сеансов), реализованную в Domino, как описано выше в этой лекции^{1Про односерверную аутентификацию упоминалось в прошлой лекции.}. Однако установка многосерверной аутентификации на одном сервере позволяет достичь похожего результата.

Простая аутентификация реализована в QuickPlace по умолчанию. Пример такой аутентификации в действии представлен на рис. 12.2. Это означает, что пользователи, выполняющие вход в одну "область", пройдут аутентификацию только для этой области. При переходе в другую область, даже если она находится на том же сервере, Domino повторно запрашивает имя и пароль пользователя.

увеличить изображение
Рис. 12.2. Простая аутентификация по идентификатору и паролю пользователя

Можно включить многосерверную аутентификацию с единой регистрацией, чтобы Web-пользователи могли выполнить однократный вход на сервер и затем автоматически осуществлять доступ к любому другому серверу в домене DNS, настроенном на единую регистрацию.

При включенной многосерверной аутентификации с единой регистрацией (single sign-on, SSO) пользователь QuickPlace получает токен LTPA (Lightweight third-party) в форме HTML-cookie. Этот cookie-файл содержит зашифрованную копию отличительного имени пользователя и даст возможность пользователю осуществлять доступ к участвующим серверам Domino на протяжении сеанса.

QuickPlace также поддерживает применение собственных приложений аутентификации, работающих через Domino Server API (DSAPI). Этот интерфейс позволяет некоторым сторонним производителям разрабатывать DSAPI-фильтры, поддерживающие аутентификацию для доступа к базам данных QuickPlace. Дополнительные сведения о DSAPI-фильтрах см. в разделе 7.4, "DSAPI".