Россия, Владимир, Владимирский государственный университет, 2002 |
Функции безопасности других продуктов Lotus
Аспекты работы в различных доменах
Если DEAS-сервер и почтовый сервер находятся в разных доменах, пользователю должен быть назначен уровень доступа Manager (Менеджер) к базам данных Domino, к которым пользователь осуществляет доступ. Например, если пользователям требуется удалить записи в своих почтовых базах данных с мобильных устройств, DEAS-сервер должен иметь уровень доступа Manager (Менеджер) с привилегиями Delete к этим почтовым базам данных. В противном случае достаточно иметь запись localdomainserver в почтовом файле.
Управление доступом к Domino Everyplace
Можно осуществлять управление доступом к серверу следующими способами:
- Требуя, чтобы все пользователи выполняли вход и применяли пароль.
Для запуска сеанса пользователи должны выполнить вход в беспроводное устройство с использованием уникального имени пользователя и пароля. Они могут применять либо полное имя Notes или (для удобства) короткое имя. Создание и изменение пароля осуществляется через поле Internet password (интернет-пароль) документа Person.
- Разрешив доступ только к определенным IP-адресам WAP-шлюза и/или запретив доступ к определенным IP-адресам WAP-шлюза.
По умолчанию любой Web-браузер может попытаться получить доступ к DEAS. Можно осуществлять контроль над тем, какой поставщик услуг может получить доступ путем указания IP-адресов WAP-шлюза, к которым разрешен доступ, в документе Server. Если не указаны IP-адреса WAP-шлюза, по умолчанию разрешается доступ ко всем IP-адресам. Можно указать IP-адреса, к которым разрешен доступ, в поле Permitted WAP gateway IP Addresses (Разрешенные IP-адреса WAP-шлюза). Для пользователей с ограниченным доступом следует задать IP-адреса в поле Restricted WAP gateway IP Addresses (Запрещенные IP-адреса WAP-шлюза).
- Требуя регистрации устройства (только для Phone.com).
Для организаций, использующих браузеры Phone.com, можно потребовать регистрации устройств. Если указать, что устройства должны быть зарегистрированы в документе Server, можно либо назначить устройство пользователю путем изменения документа Person, либо определить устройство как общее, чтобы оно было доступно для совместного употребления разными пользователями. В любом случае устройство должно быть указано явным образом, иначе доступ к нему будет запрещен.
- Отклонение определенных устройств (только для Phone.com).
Когда устройство пытается подключиться к DEAS-серверу или использовать приложение (в частности, календарь, почту или адресную книгу), сервер выполняет проверку списка отклонения устройств. Если идентификатор устройства указан в списке, ему запрещается доступ к серверу и пользователю будет постоянно выводиться запрос входа. Если пользователь уже выполнил вход при редактировании списка отклонения устройств, он сможет осуществлять доступ до завершения текущего сеанса в результате тайм-аута или по какой-либо другой причине.
Примечание. Эта функция является важной, если организация перестала использовать определенные устройства, но они все еще действуют.
12.7 Sametime Everyplace
Sametime Everyplace (STEP) расширяет возможности Sametime для WAP-устройств, в частности для мобильных телефонов. Этот продукт дает возможность пользователям, применяющим мобильные телефоны, участвовать в чате с другими пользователями Sametime, как применяющими мобильные устройства, так и употребляющими Sametime Connect на настольной системе.
Для использования Sametime Everyplace необходимы следующие компоненты:
- Беспроводное устройство с поддержкой WAP 1.1
- Web-браузер с доступом к Интернету, например Notes, Netscape 4.5 или выше (за исключением 4.7), или Microsoft Internet Explorer 4.01 Service Pack 2 или выше.
Примечание. Netscape 4.7 и Netscape 6.0 в настоящее время не поддерживаются.
- Доступ к коммерческой беспроводной службе данных.
STEP работает с любым мобильным устройством, использующим браузер WAP 1.1. Устройство подключается к Интернету через поставщика услуг. Пользователи задают на этом устройстве закладку, указывающую на STEP-сервер.
Аутентификация STEP
После установления соединения со STEP-сервером он осуществляет аутентификацию пользователя путем обращения к Sametime. STEP обращается к серверу Sametime для аутентификации пользователей. Сервер Sametime содержит две базы данных: базу данных секретов (STAUTHS.NSF) и базу данных токенов (STAUTHT.NSF), которые применяются для аутентификации пользователей STEP и Sametime. STEP должен иметь доступ к адресной книге организации для просмотра пользователей Sametime. STEP должен иметь возможность направлять должным образом электронную почту в адресную книгу организации и из нее.
STEP и брандмауэры
STEP можно установить на одном сервере с Sametime или на другом сервере. Однако STEP должен быть установлен за пределами брандмауэра организации. Для дополнительной защиты можно установить STEP-сервер в зоне между двумя брандмауэрами, из которых один расположен между STEP-сервером и остальной организацией, а другой между STEP-сервером и Интернетом.
Если сервер Sametime расположен внутри области действия брандмауэра, необходимо либо переместить его за пределы брандмауэра, либо использовать отдельный сервер для STEP. STEP должен быть установлен на сервере Domino, поэтому, если Sametime располагается не на сервере Domino, необходимо использовать отдельный сервер для STEP.
Если STEP установлен не на одном сервере с Sametime, необходимо создать локальную реплику базы данных секретов (STAUTHS.NSF) и базы данных токенов (STAUTHT.NSF) на STEP-сервере.
STEP и несколько доменов Domino
Если STEP находится не на одном сервере с Sametime, необходимо решить, должен ли он находиться в том же домене Domino. Может иметь смысл поместить STEP-сервер в другой домен Domino, чтобы обеспечить дополнительный уровень разделения между сервером Sametime и внешним миром.
Если STEP находится не в одном домене с сервером Sametime и почтовым сервером, следует выполнить следующие действия:
- Выполнить кросс-сертификацию STEP-сервера и сервера Sametime.
- Создать документ подключения между STEP-сервером и сервером Sametime.
- Включить Directory Assistance, чтобы STEP-сервер мог найти адресную книгу вашей организации.
12.8 Заключение
На этом обсуждение функций безопасности продуктов Lotus, отличных от Notes и Domino, завершается. Мы представили обзор других членов семейства программных продуктов Lotus, предназначенных для совместной работы, предлагаемых ими механизмов безопасности, а также рекомендации по из безопасному конфигурированию.
В этой лекции мы рассмотрели следующие продукты для совместной работы:
- Lotus Team Workplace (QuickPlace),
- Lotus Web Conferencing and Instant Messaging (Sametime),
- Lotus Domino Web Access (iNotes),
- Lotus Workplace Messaging,
- WebSphere Portal Server,
- Lotus Domino Everyplace,
- Lotus Sametime Everyplace.
Так как эти продукты иногда используются в сочетании с Notes и Domino, мы показали точки пересечения, а также способ обеспечения безопасности между этими приложениями, а также с Notes и Domino.