Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Лекция 1:

Знакомство с усовершенствованиями системы безопасности, появившимися в Lotus Notes и Domino 7

Лекция 1: 123 || Лекция 2 >

1.2.5 Настройка сроков действия паролей и сертификатов

В версии 7 появилась новая функция, которая позволяет настраивать срок действия паролей и сертификатов. В форме Security Settings (Настройки системы безопасности) появились дополнения, относящиеся к этой функции.

На закладке Password Management (Управление паролями), в подразделе Password Management Basics (Общие параметры управления паролями) появилось поле Warning Period (Срок вывода предупреждения), которое позволяет указать количество дней, оставшееся до окончания действия пароля, когда пользователь получает предупреждение о приближении этого срока. С этим полем связано еще одно поле - Custom Warning Message (Настраиваемое предупреждение), в котором вы можете указать свое сообщение для тех пользователей Notes, для которых наступил срок, указанный в поле Warning Period (Срок вывода предупреждения).

На закладке Keys and Certificates (Ключи и сертификаты) также есть поля Warning Period (Срок вывода предупреждения) и Custom Warning Message (Настраиваемое предупреждение). В поле Warning Period также указывается количество дней, оставшееся до окончания действия пароля, когда пользователь получает предупреждение о приближении этого срока. С этим полем также связано поле Custom Warning Message (Настраиваемое предупреждение), в котором вы можете указать свое сообщение для тех пользователей Notes, для которых наступил срок, указанный в поле Warning Period (Срок вывода предупреждения).

1.2.6 Усовершенствования, связанные с проверкой публичных ключей

Подписи на сертификатах пользователя и сервера при аутентификации всегда проверяются. В версии 7.0 стало возможным применять дополнительный уровень проверки общих ключей (public keys) путем сравнения значения ключа, передаваемого в сертификате, со значением ключа, указанного в Domino Directory.

Этот дополнительный уровень проверки ключа защищает от ошибочного использования потерянного или раскрытого ID-файла. Как правило, когда ID-файл теряется, владелец должен перерегистрироваться для создания нового ID-файла и записи в директории. Если ID-файл оказывается раскрытым, общий и личный ключ владельца нужно сменить и этот новый набор ключей должен пройти сертификацию (с обновлением данных в директории). При использовании проверки ключа на уровне директории, атакующий, который завладел старым ID-файлом, не сможет употребить его для доступа к серверу, даже если старый ID-файл содержит действующий сертификат.

В версии 7 вы также можете управлять созданием сообщения в журнале, если аутентификация была успешно пройдена, но было обнаружено несовпадение. Эта возможность позволяет администраторам выявлять случаи, когда содержимое ID-файла теряет синхронизацию с записями в директории, не препятствуя при этом аутентификации пользователей из-за несовпадения общих ключей.

1.2.7 Усовершенствования, связанные с восстановлением ID

Для каждого администратора пользовательский ID-файл содержит пароль восстановления, который генерируется на случайной основе и шифруется общим ключом администратора. Этот пароль уникален для каждого администратора и для каждого пользователя. Например, администратор имеет доступ к уникальному паролю восстановления для конкретного пользователя и этот пароль хранится в пользовательском ID-файле.

В Domino версии 7.0 стало возможным указывать количество символов (длину пароля) для паролей восстановления, что позволяет определять надежность пароля (т.е. вероятность его раскрытия). Если длина пароля меньше 16 символов, то он генерируется как с использованием буквенно-числовых символов, так и шестнадцатерич-ных цифр. Пароли длиной 16 символов генерируются только с использованием шес-тнадцатеричных цифр.

Хотя надежность пароля имеет большое значение, поскольку раскрыть надежный пароль гораздо сложнее, не менее важно удобство его использования. Длинные и сложные пароли трудно использовать, поэтому администраторы должны иметь возможность задавать пароли меньшей длины.

Кроме того, администраторы теперь могут создать собственное сообщение, которое поможет провести пользователей через процесс восстановления ID.

1.2.8 Единая регистрация (SSO) и соответствия имен в Domino

Сookie или маркер LTPA, который создается в ходе аутентификации пользователей при единой регистрации (single sign-on, SSO), включает в себя имя прошедшего аутентификацию пользователя. Когда система Domino создает маркер LTPA, она по умолчанию помещает уникальное имя в маркер LTPA

Когда сервер IBM WebSphere \text{\textregistered} получает маркер LTPA от пользователя, пытающегося обратиться к серверу, он должен иметь возможность распознавать формат имени в маркере. Если такой возможности нет, LTPA- маркер игнорируется, единая регистрация не происходит и пользователю предлагается выполнить вход в систему снова.

Кроме того, пользователи Domino должны сначала входить в WebSphere в сценариях множественной идентификации (multi-identity), поскольку WebSphere не может работать со множественной идентификацией, принимая маркеры LTPA с именами в формате Domino. Существует не слишком оптимальный путь обхода данной проблемы, а именно написание собственного модуля входа в систему для WebSphere. Соответственно SSO работает, если сервер WebSphere может сам создать маркер LTPA Система Domino может принимать маркеры LTPA, созданные WebSphere.

Следовательно, в версии 7 администратор Domino может выполнить настройку так, чтобы имя пользователя помещалось в маркер LTPA, который создает Domino. Это можно сделать вручную, указав имя в новом поле директории. Указать имя в поле директории можно и программно (например, с помощью инструмента для синхронизации директории, такого, как IBM Tivoli \text{\textregistered} Directory Integrator).

Данная конфигурация должна создавать имя, которое будет приниматься сервером WebSphere. В итоге пользователи смогут с одинаковым результатом входить сначала или в Domino или в WebSphere.

Лекция 1: 123 || Лекция 2 >