Функции безопасности других продуктов Lotus
12.1.4 Управление доступом в QuickPlace
Управление доступом пользователей осуществляют администраторы QuickPlace и пользователи, управляющие содержимым областей. При этом применяются либо средства управления доступом, расположенные в участке (room) QuickPlace Server Settings (для параметров настройки сервера), либо средства управления доступом в папках Members и Customize каждой области (для параметров настройки области).
Администраторы сервера QuickPlace могут осуществлять управление различными правами доступа в QuickPlace. В частности, они могут:
- Указывать других пользователей в качестве администраторов сервера QuickPlace.
- Изменить пароль, применяемый при входе авторизованного пользователя в качестве администратора сервера QuickPlace.
- Указывать, кто может создавать области на сервере QuickPlace. Доступ может быть назначен определенным локальным пользователям и внешним пользователям и группам. С другой стороны, доступ может быть назначен всем пользователям, имеющим доступ к серверу для создания областей на нем.
- Назначить внешнему пользователю или администратору группы (также называемому суперпользователем – super user) доступ к серверу QuickPlace.
Суперпользователь может зайти в любую область, существующую на сервере QuickPlace. Он может зайти на любой участок в качестве менеджера, а также может определить параметры администрирования на участке параметров настройки сервера в области администрирования.
Примечание. Суперпользователь должен быть внешним пользователем, а не локальным пользователем.
12.1.5 Параметры настройки сервера в области администрирования
Участок Server Settings в области администрирования на сервере QuickPlace позволяет контролировать множество параметров безопасности. В частности, он позволяет:
- контролировать использование элементов ActiveX и Java-апплетов пользователями;
- контролировать возможности запуска агентов (PlaceBots) менеджерами областей на сервере в своих областях;
- ограничить размер файловых вложений, которые участники могут добавлять к страницам;
- включить или отключить службы Sametime;
- включить или отключить Domino Offline Passthru Server;
- включить или отключить Alternate Offline Download URL;
- указать URL-префикс электронной почты для пользователей, осуществляющих доступ к серверу QuickPlace через сервер-шлюз;
- контролировать возможность подписки участников на получение сообщений электронной почты, интегрированных с их календарями.
12.2 Lotus Sametime
IBM Lotus Web Conferencing and Instant Messaging (Sametime) содержит три основных компонента: сервер Sametime, клиент Sametime Meeting Room и клиент Sametime Connect.
Клиент Sametime Connect имеет два интерфейса: клиент Java Connect и клиент Sametime Connect для настольных систем. Клиент Sametime Connect дает возможность пользователям участвовать в чате, т. е. вести интерактивный текстовый диалог в реальном времени, тогда как клиент Meeting Room поддерживает виртуальную "белую доску" общего доступа (shared whiteboard), средства управления и действия интерактивных встреч (online meeting).
В этом разделе описываются основные аспекты безопасности для всех этих компонентов – сервера, клиента Connect, клиента Meeting Room.
12.2.1 Защита клиента Sametime Connect для настольных систем
Для обеспечения надлежащего уровня защиты сеансов с использованием клиента Sametime Connect необходимо выполнить несколько задач. Эти задачи описываются в данном разделе.
Процесс аутентификации клиента
Процесс аутентификации клиента Sametime 3 Connect работает следующим образом:
- Клиент Sametime отправляет квитирующее сообщение (handshake) с открытым (630-разрядным) ключом на сервер Sametime.
- Сервер в ответ отправляет подтверждение квитирования, содержащее открытый ключ (который заново создается каждые 10 минут).
- Клиент определяет установленный ключ шифрования и отправляет сообщение входа на сервер с паролем, зашифрованным этим ключом.
- Сервер отправляет сообщение аутентификации в процесс аутентификации, который затем пытается выполнить аутентификацию пользователя.
Сохраненные пароли
Если пользователь выбирает опцию запоминания пароля, пароль клиента Sametime хранится в файле connect.ini. При удалении этой строки в файле connect.ini пользователю будет выдаваться запрос пароля. Пароль, сохраненный в файле connect.ini, шифруется с использованием блочного шифра RSA RC2 с ключом шифрования длиной 40 бит. Процесс шифрования также применяет уникальную информацию о каждом компьютере, что предотвращает использование файла на другой рабочей станции.
Шифрование сети
Sametime-чаты с пользователями Sametime автоматически защищаются шифрованием, если все участники используют Sametime 1.5 или выше.
Внимание! Если какой-либо участник применяет более раннюю версию Sametime или является внешним пользователем (например, AOL), шифрование чата не осуществляется.
Шифрование передач файлов осуществляется автоматически. Такое шифрование использует блочный шифр RSA RC2 с 128-битовым ключом. Этот алгоритм шифрования не работает вне клиента Sametime Connect.
Все операции чата между клиентами Sametime 2.5 и 3.0 и сервером Sametime 3.0x всегда шифруются, вне зависимости от того, установлен ли параметр Encrypt all meetings (Шифровать все встречи) на сервере.
Однако клиенты Sametime версий ранее 2.5 содержат параметры, дающие возможность пользователям участвовать в чате без шифрования. При подключении клиента Sametime версии ранее 2.5 к серверу Sametime 3.0 использование функции шифрования чата зависит от параметров настройки клиента.
Для защиты мгновенных встреч (instant meetings) требуется выбрать опцию Secure meeting (Защитить встречу), чтобы обеспечить шифрование встречи. Шифрование гарантирует, что никто из тех, кто не участвует во встрече, не сможет прочитать ваши сообщения.
Список контактов (buddy list) пользователя Sametime сохраняется в базе данных vpuserinfo (vpuserinfo.nsf). Эта база данных является одной из трех баз данных, создаваемых во время установки и применяемых для развертывания приложения Sametime. Две другие базы данных – база данных секретов (stauths.nsf) и база данных токенов (stautht.nsf). В базе данных VPUserInfo хранится информация, применяемая для настройки ограничений относительного того, кого может видеть пользователь и кто может видеть пользователя. Эта информация настраивается через клиент Connect.
Важно заметить, что информация в списке контактов не шифруется при отправке на сервер.
12.2.2 Поддержка прокси-сервера для клиентов Sametime
Табл. 12.1 содержит типы прокси-серверов, через которые клиенты могут подключиться к серверу.
Примечание. Важно понимать, что клиенты Sametime Meeting Room могут осуществлять HTTP-подключения через прокси-сервер HTTPS. Однако клиенты Sametime Meeting Room не могут осуществлять HTTPS-подключения через прокси-сервер HTTPS. Sametime Connect поддерживает специальную функцию прокси-серверов HTTPS (под названием CONNECT), которая позволяет клиенту Sametime Connect поддерживать постоянное асинхронное подключение через прокси-сервер HTTPS. Клиент Meeting Room не поддерживает функцию CONNECT прокси-серверов HTTPS, поэтому он не может поддерживать HTTPS-подключение через прокси-сервер HTTPS.