Вопросы безопасности в Lotus Notes и Domino 7

:

Вопросы безопасности в Lotus Notes и Domino 7
[+]
Опубликован: 04.07.2008 | Уровень: профессионал | Доступ: платный | ВУЗ: Компания IBM
Лекция 3:

Усовершенствования, связанные с восстановлением ID
A
|
версия для печати
< Лекция 2 || Лекция 3: 1234567 || Лекция 4 >

3.6 Отправка информации для восстановления пользователям

Администратор должен выполнить следующие шаги:

  1. В Domino Administrator перейдите к закладке Configuration (Конфигурация) и нажмите Certification (Сертификация).
  2. Нажмите Edit Recovery Information (Редактировать информацию для восстановления).
  3. Выберите сертификатор, для которого вы создаете информацию восстановления:
    • Если вы используете источник сертификатов (certification authority) на сервере, выберите пункт Use the CA process (Использовать процесс СА) и выберите сертификатор из раскрывающегося списка. Чтобы изменять информацию восстановления, вы должны быть администратором источника сертификатов (СА) для данного сертификатора.
    • Если вы не используете источник сертификатов на сервере, нажмите Supply certifier ID and password (Указать ID и пароль сертификатора). Если имя ID-файла сертификатора и путь к нему не появились в окне, нажмите Certifier ID (ID сертификатора), выберите файл ID сертификатора и введите пароль.
  4. Нажмите Export (Экспорт), после чего введите пароль ID сертификатора.
  5. Заполните поля (табл. 3.1), после чего нажмите Send (Послать).
Таблица 3.1. Поля, которые должен заполнить администратор
Поле Введите
To Имена пользователей и групп, для которых вы хотите создать резервные копии ID
СС Имена пользователей и групп, которым вы хотите послать копии сообщений
Subject Информация для пользователей и групп, которая отображается в поле Subject (Тема) сообщения. Если это поле оставить пустым, Notes употребит следующий текст: "New ID file recovery information is attached. Please add it to your ID file by using the Actions menu "Accept Recovery Information" option" (К письму прикреплена новая информация, необходимая для восстановления ID-файла. Пожалуйста, добавьте ее в свой ID-файл, используя пункт Accept Recovery Information (Принять информацию для восстановления) меню Actions (Действия)
Memo Информация для пользователей и групп, которая отображается в теле сообщения. Domino автоматически прикрепляет к сообщению информацию о зашифрованном файле резервной копии. Вам не нужно писать ее в этом поле

Прием в файл ID информации для восстановления

Пользователь должен выполнить следующие шаги:

  1. После того как администратор отправит информацию для восстановления, откройте сообщение в своей почтовой базе данных.
  2. Выберите пункт меню Actions (Действия) \to Accept Recovery Information (Принять информацию для восстановления) и введите пароль.
  3. Заполните поля (табл. 3.2) и нажмите Send (Послать).
Таблица 3.2. Поля, которые должен заполнить пользователь
Поле Введите
То Имя почтовой базы данных (mail) или базы-получателя почты (mail-in), в которой будет храниться копия вашего ID. Domino вводит сюда имя, указанное администратором
СС Имена пользователей и групп, которым вы хотите послать копию сообщения
Subject Информация для администраторов, которая отображается в поле Subject (Тема) сообщения. Если оставить это поле пустым, Notes использует одно из следующих сообщений:
  • Backup of newly changed recovery information for user name (Резервная копия измененной информации восстановления для имя_пользователя);
  • Backup of recent changes to ID file for user name (Резервная копия последних изменений ID-файла для имя_пользователя)
Memo Информация для администраторов, которая отображается в теле сообщения. Domino автоматически прикрепляет к сообщению резервную копию ID-файла. Вам не нужно писать об этом в этом поле

Domino автоматически отправляет зашифрованную резервную копию ID- файла в централизованную почтовую базу данных или в базу-получатель почты.

Примечание. Вы можете хранить несколько копий ID-файла в централизованной почтовой базе данных или в базе-получателе почты. Система Domino создает новый документ каждый раз, когда создается резервная копия ID-файла. При попытке восстановить ID-файл используйте самую последнюю копию. Если попытка оказывается неудачной, употребляйте более старые версии.
Совет. Используйте переменную ID_Recovery_Suppress_Recovery_Msg файла NOTES.INI, чтобы запретить создание информации о восстановлении, если вы хотите заменить стандартный текст, который появляется в почтовом сообщении о восстановлении, на свое сообщение.

3.7 Процесс восстановления ID

Если пользователь потерял или повредил ID-файл или забыл пароль, он может совместно с администраторами восстановить ID-файл из резервной копии. Если пользователь не имеет доступа к своему ID-файлу, он может получить зашифрованную резервную копию.

Чтобы восстановить ID, пользователь и администраторы должны выполнить следующие шаги:

  1. Пользователь связывается с уполномоченным администратором, чтобы получить от администратора пароль восстановления.
  2. Администратор извлекает пароль восстановления, расшифровав пароль, хранящийся в пользовательском ID-файле, применяя личный ключ администратора.
  3. Администратор сообщает пароль восстановления пользователю.
  4. Пользователь повторяет шаги 1-3 до тех пор, пока не будет достигнуто минимально необходимое для разблокирования файла число администраторов.
  5. Пользователь запускает Notes и нажимает ОК в диалоговом окне ввода пароля, не вводя пароль.
  6. В диалоговом окне Wrong Password (Неверный пароль) пользователь нажимает. Recover password (Восстановить пароль).
  7. Пользователь выбирает файл пользовательского ID, который нужно восстановить, в диалоговом окне Choose ID File to Recover (Выбор ID-файла для восстановления).
  8. Пользователь вводит пароль, предоставленный администратором или администраторами в диалоговом окне Enter passwords (Ввод паролей), повторяя этот шаг, пока не будут введены все пароли.
  9. После того как файл будет разблокирован, пользователю будет предложено ввести новый пароль для пользовательского ID. Если пользователь не укажет новый пароль, ему придется проходить процедуру восстановления еще раз.
  10. Пользователь должен заменить все резервные и прочие копии своего ID-файла только что восстановленным ID-файлом.
Совет. Один и тот же ID-файл можно восстанавливать снова при помощи тех же паролей. Однако вы должны настоятельно рекомендовать пользователям обновить информацию для восстановления и создать новую резервную копию путем повторного принятия информации восстановления после восстановления ID-файла.

Получение пароля восстановления ID-файла

Из соображений безопасности мы рекомендуем администраторам выполнять приводимые шаги на своих собственных рабочих станциях, а не на одной и той же станции. Использование разных рабочих станций не дает злоумышленнику использовать программу перехвата строк, вводимых с клавиатуры на одной рабочей станции. Если неавторизованный пользователь получит ID-файл и пароль администратора, он сможет получить пароль восстановления, относящийся к данному администратору, для всех ID-файлов. Следовательно, необходимо защищать ID-файлы администраторов и добиваться того, чтобы пользовательский ID-файл восстанавливали сразу несколько администраторов.

Выполните следующие шаги:

  1. Извлеките зашифрованную резервную копию пользовательского ID-файла из почтовой базы данных на локальный жесткий диск.
  2. Если пользовательский ID-файл поврежден, отправьте пользователю копию ID-файла из централизованной почтовой базы данных.
  3. В Domino Administrator перейдите к закладке Configuration (Конфигурация), а затем выберите пункт Certification (Сертификация) \to Extract Recovery Password (Извлечь пароль восстановления).
  4. Введите пароль к администраторскому ID-файлу.
  5. Укажите ID-файл, который вам нужно восстановить. Это тот же ID, который вы извлекли в шаге 1.
  6. Обратите внимание на пароль восстановления. Сообщите пользователю пароль восстановления, который отобразился на экране.
Примечание. Теперь в диалоговых окнах Extract Recovery (Извлечение информации для восстановления) и Recover ID File (Восстановление ID-файла) отображается отметка времени для информации восстановления, содержащейся в данной копии восстанавливаемого ID-файла. При каждой генерации информации для восстановления для ID-файла все пароли восстановления изменяются. Иногда восстановительный cookie, получаемый администратором, оказывается не в состоянии разблокировать пользовательский ID-файл; информация для восстановления в какой-то момент была изменена, а администратор использует копию ID-файла, содержащую другой комплект информации для восстановления. В таких ситуациях администратору нужно проверить отметку времени в упомянутых выше диалоговых окнах и посмотреть, не пытается ли он восстановить ID-файл с устаревшей информацией для восстановления.

3.8 Изменение информации об администраторе, предназначенной для восстановления ID

Если администратор уходит из организации или переходит в организации на другую должность, вам нужно обновить информацию об администрировании восстановления пользовательских ID-файлов, а затем послать эту новую информацию пользователям для включения в их ID-файлы. Для пользователей Notes и Domino 6.0 и выше обновленная информация для восстановления принимается в ID-файл автоматически при следующей аутентификации пользователей на домашнем сервере (через обращение к базе данных на сервере).

Добавление и удаление администраторов

Администратор, имеющий доступ к ID сертификатора, выполняет следующие шаги:

  1. В Domino Administrator выберите пункт меню Configuration (Конфигурация), а затем Certification (Сертификация).
  2. Нажмите пункт Edit Recovery Information (Редактировать информацию восстановления).
  3. В окне Choose a Certifier (Выберите сертификатор) нажмите Server (Сервер) и выберите имя сервера регистрации из Domino Directory (если нужное имя сервера не появилось сразу).
  4. Выберите сертификатор, для которого вы создаете информацию восстановления:
    • Если вы используете источник сертификатов (certification authority) на сервере, выберите пункт Use the CA process (Использовать процесс СА) и выберите сертификатор из раскрывающегося списка. Чтобы изменять информацию восстановления, вы должны быть администратором источника сертификатов (СА) для данного сертификатора.
    • Если вы не используете источник сертификатов на сервере, нажмите Supply certifier ID and password (Указать ID и пароль сертификатора). Если имя ID-файла сертификатора и путь к нему не появились в окне, нажмите Certifier ID (ID сертификатора), выберите файл ID сертификатора и введите пароль.
  5. Выполните одно из следующих действий:
    • чтобы удалить администратора, выделите имя администратора и нажмите кнопку Remove (Удалить);.
    • чтобы добавить администратора, нажмите Add (Добавить) и выберите имена администраторов, которым предоставляется право восстанавливать ID-файлы.
  6. (Дополнительно.) Измените количество администраторов, необходимое для разблокирования ID.
  7. Закончив добавлять и удалять имена, нажмите ОК.
Дальше >>
< Лекция 2 || Лекция 3: 1234567 || Лекция 4 >

Вопросы и ответы

вопросов: 0

Студенты

всего: 9
Антон Чурков
Антон Чурков
Россия, Владимир, Владимирский государственный университет, 2002
предложить дружбу
роман мельниченко
роман мельниченко
Украина
предложить дружбу