Защита данных
Отправка и получение сертификатов Notes для установки доверительных отношений
Доверительные отношения для сертификата устанавливаются посредством перекрестного сертификата. Чтобы кто-либо иной мог создать для вашего сертификата перекрестный сертификат, может понадобиться отправить свой сертификат Notes этому пользователю. Вы, в свою очередь, также можете получить сертификат Notes, для которого необходим перекрестный сертификат. Можно также создать перекрестный сертификат для сертификата из справочника Domino.
Чтобы отправить свой сертификат
При отправке своего сертификата пользователь фактически отправляет защищенную копию учетной записи. Сведений, содержащихся в защищенной копии, достаточно для создания перекрестного сертификата, но недостаточно для ее злонамеренного использования.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- В правой части диалогового окна выберите команду: Дополнительные действия - Ответить на запрос перекрестного заверения.
- Выберите файл учетной записи, содержащей сертификат, который нужно отправить, и нажмите кнопку "Открыть".
- Введите в поле "Кому" имя пользователя, которому необходимо отправить учетную запись (чтобы выбрать имя из личной адресной книги, нажмите кнопку "Адрес").
- Нажмите кнопку "Отправить".
- Когда пользователь получит вашу учетную запись в сообщении электронной почты, он сможет создать для вашего сертификата перекрестный сертификат, а затем отправлять вам зашифрованные почтовые сообщения.
Чтобы создать перекрестный сертификат на основе полученного сертификата
- Обратитесь к лицу, сертификат которого вам нужен, и попросите его ответить на запрос о перекрестном заверении.
- Откройте сообщение, содержащее учетную запись, которую нужно перекрестно заверить.
- Выберите команду: Действия - Перекрестно заверить вложенную учетную запись.
- В окне запроса пароля учетной записи заверителя введите пароль для указанной учетной записи. По умолчанию в окне запроса пароля присутствует ваша учетная запись с составным именем, поэтому достаточно ввести пароль Notes.
- В окне "Перекрестный сертификат" оставьте без изменений значения по умолчанию для заверителя и сервера. Заверителем при этом являетесь вы сами, а в роли сервера выступает локальный компьютер, что позволяет поместить перекрестный сертификат в личную адресную книгу.
- Выберите режим создания перекрестного сертификата, при котором в поле "Имя" находится:
- корень сертификата, например /ACME; при этом доверенным будет любой сертификат, выданный от имени этого корня;
- организация сертификата, например /ABC/ACME; при этом доверенными будут только сертификаты, выданные от имени этой организации.
- Нажмите кнопку "Перекрестно заверить".
Чтобы создать перекрестный сертификат на основе записи о пользователе в справочнике Domino
В справочнике Domino могут содержаться записи о пользователях из другой организации. Если такому пользователю нужен доступ к конкретному серверу в вашей организации, имеет смысл создать для него личный перекрестный сертификат. Сам пользователь должен при этом предоставить сертификат для перекрестного заверения. Данная задача выполнима только при наличии доступа на уровне автора к записи пользователя в справочнике Domino.
- В справочнике Domino откройте запись пользователя, для которого выполняется перекрестное заверение.
- Выберите команду: Действия - Создать перекрестный сертификат.
- Выберите сертификат для перекрестного заверения.
- В окне "Перекрестный сертификат" оставьте без изменений значения по умолчанию для заверителя и сервера. Заверителем при этом являетесь вы сами, а в роли сервера выступает локальный компьютер, что позволяет поместить перекрестный сертификат в личную адресную книгу.
- Выберите режим создания перекрестного сертификата, при котором в поле "Имя" находится:
- корень сертификата, например /ACME; при этом доверенным будет любой сертификат, выданный от имени этого корня;
- организация сертификата, например /ABC/ACME; при этом доверенными будут только сертификаты, выданные от имени этой организации.
- Нажмите кнопку "Перекрестно заверить".
Чтобы передать другому лицу сертификат на гибком диске
При передаче другому лицу сертификата на гибком диске необходимо сохранить на этом диске защищенную копию учетной записи. Сведений, содержащихся в защищенной копии, достаточно для создания перекрестного сертификата, но недостаточно для ее злонамеренного использования.
- Вставьте гибкий диск в дисковод.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
- В правой части диалогового окна выберите команду: Другие действия - Экспорт учетной записи Notes (защищенная копия).
- Перейдите на дисковод, в который вставлен гибкий диск.
- Введите имя файла защищенной копии учетной записи пользователя в поле "Имя файла" (пользователи Macintosh - в поле "Save As"). По умолчанию он называется SAFE.ID
- Нажмите кнопку "Сохранить", а затем передайте гибкий диск лицу, запросившему сертификат.
- Получив вашу учетную запись, другой пользователь должен будет импортировать сертификат в свою учетную запись. После этого он сможет перекрестно заверить сертификат и отправлять вам зашифрованные почтовые сообщения.
Чтобы загрузить перекрестный сертификат Интернета
Если при запросе сертификата Интернета в личной адресной книге отсутствует перекрестный сертификат для агентства сертификации (АС), в котором запрашивается сертификат, для получения сертификата необходимо загрузить перекрестный сертификат Интернета.
При попытке подключиться к Web-узлу по протоколу SSL также может понадобиться перекрестный сертификат Интернета. Например, подключение к https://www.verisign.com производится по протоколу SSL, о чем свидетельствует буква "S" после HTTP. Для подключения к SSL-узлам необходим перекрестный сертификат Интернета.
Если предпринимается попытка подключиться по протоколу SSL к защищенному Web-узлу при помощи браузера Notes, на экране может появиться сообщение о необходимости создания перекрестного сертификата "на ходу". Если такое сообщение не выводится, перекрестный сертификат нужно загрузить.
- Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
- Откройте вкладку "Другие пользователи", а затем - вкладку "Люди, службы".
- Выберите параметр "Дополнительные сведения о пользователе/службе" и нажмите кнопку "Получить сертификат службы Интернета".
- Введите адрес Web-узла, защищенного тем же АС, у которого запрашивается сертификат. Например: www.ibm.com.
- В поле "Протокол" выберите тип протокола, используемого для подключения к серверу. Сервер должен поддерживать соединения по указанному протоколу и порту. Обычно можно оставить в полях значения, используемые по умолчанию.Примечание После того как получен перекрестный сертификат Интернета, его можно использовать для безопасного подключения SSL с использованием любого протокола.
- Нажмите кнопку "Подключить".
- Выполните одно из следующих действий.
- Чтобы принять запрошенный перекрестный сертификат Интернета, нажмите в диалоговом окне "Заверение службы" кнопку ОК.
- Чтобы просмотреть список прочих перекрестных сертификатов, которые также можно принять, в частности, например, сертификат самого АС, нажмите кнопку "Дополнительные свойства". Нажмите кнопку "Заверить данный сертификат".
- (Необязательно.) Чтобы получить дополнительные сведения о сертификате, нажмите кнопку "Сведения о сертификате", "Дополнительные сведения" или "Дополнительные свойства" в окне "Заверение службы" или "Заверение сертификата".
При возникновении трудностей с получением перекрестного сертификата проверьте параметры настройки прокси-сервера в документе описания места вызова личной адресной книги.
Таблица управления доступом
Каждая база данных имеет таблицу управления доступом (ТУД), предназначенную для определения уровней доступа пользователей и серверов. Уровни доступа, назначенные пользователям, определяют круг задач, выполняемых этими пользователями в базе данных. Уровни доступа, назначенные серверам, определяют круг сведений в базе данных, реплицируемых этими серверами.
Изменять таблицу управления доступом может только пользователь с доступом на уровне управляющего. Разработчик и управляющий базы данных могут создать одну или несколько ролей, позволяющих уточнить круг доступа к отдельным представлениям, формам, разделам и полям базы данных. Дополнительные сведения по использованию таблицы управления доступом в базах данных, управляемых или создаваемых пользователем, см. в справке Lotus Domino Designer 6.
Таблица управления доступом относятся только к базам данных, находящимся на серверах, но не к локальным БД. Если в локальную базу данных вносится изменение, и выполняется ее репликация на сервер, репликация проводится в соответствии с уровнем доступа, определенным для пользователя в таблице управления доступом на сервере. Например, если при наличии доступа на уровне читателя к базе данных на сервере в локальную реплику базы данных добавляются новые документы, эти документы не будут добавлены в базу данных на сервере при последующей репликации. Доступ на уровне читателя не позволяет создавать новые документы. При этом, однако, разработчик базы данных может обеспечить согласованность таблицы управления доступом для всех реплик, чтобы ТУД использовали даже локальные базы данных.
Чтобы просмотреть ТУД базы данных, откройте базу данных и выберите команду: Файл - База данных - Управление доступом. Выберите в списке пользователя или сервер, чтобы узнать назначенный ему уровень доступа. Чтобы увидеть всех пользователей или все серверы, имеющие определенный уровень доступа в ТУД, выберите этот уровень в раскрывающемся списке "Пользователи, серверы, группы".
Уровни доступа для базы данных
Чтобы изменить уровень доступа пользователя, необходимо наличие доступа к базе данных на уровне управляющего.
Уровень доступа | Действия | Назначение |
---|---|---|
Управляющий |
|
Пользователи, ответственные за эту базу данных. Если один пользователь отсутствует, базой данных может управлять другой. |
Разработчик |
|
Разработчик базы данных и (или) пользователь, ответственный за будущие обновления структуры. |
редактор; |
|
Любой пользователь, которому разрешено создание и изменение документов в базе данных. |
Автор
Примечание Доступ на уровне автора по умолчанию не включает доступ для создания документов. При назначении пользователю или серверу доступа "Автор" необходимо также назначить ему доступ "Создание документов".
|
|
Пользователи, которым требуется добавлять документы в базу данных. Для снижения вероятности конфликтов репликации и сохранения рекомендуется, по возможности, назначать доступ на уровне автора, а не редактора. |
читатель.
Примечание Доступ на уровне читателя дает возможность чтения документов, если в форме нет поля "Читатели". В этом случае можно читать только те документы, в которых имя данного пользователя указано в поле "Читатели".
|
Чтение документов | Пользователи, которым требуется чтение документов в базе данных. Создание и изменение документов запрещено. |
Корреспондент | Создание документов | Пользователи, которым требуется только добавление документов, но не требуется чтение и изменение собственных и чужих документов. Например, уровень доступа "Корреспондент" удобен для приложений голосования. |
нет доступа | Только чтение общих документов и запись общих документов | Пользователи с ограниченным доступом, которым не требуется доступ к базе данных, либо пользователи, не имеющие особого доступа. Сюда относятся также пользователи, которым не требуется доступ, но которые входят в группу, имеющую доступ. Это уровень следует назначать по умолчанию, чтобы предотвратить доступ посторонних лиц в закрытую базу данных. |