Вопросы безопасности в Lotus Notes и Domino 7
[+]
Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Темы: Безопасность, Программное обеспечение
Специальности: Архитектор программного обеспечения
Теги: address book, cache management, certify, configuration settings, DCC, e-mail, ldap, password management, single sign-on, ssl, ssl-сертификаты, SSO, аутентификация, базы данных, безопасность, браузеры, интернет, клиенты, личный ключ, политика, серверы, спам, шифрование
Лекция 7:

Безопасность Domino Web Access
A
|
версия для печати
< Лекция 6 || Лекция 7: 12345678 || Лекция 8 >

Пользователь Lotus Notes решает отправить пользователю Domino Web Access зашифрованное S/MIME-сообщение, как показано на рис. 7.22.

Ответ при помощи зашифрованного S/MIME-сообщения

увеличить изображение
Рис. 7.22. Ответ при помощи зашифрованного S/MIME-сообщения

Пользователь Domino Web Access получает зашифрованное S/MIME-сообщение от пользователя Lotus Notes, как показано на рис. 7.23. Индикатором того, что сообщение зашифровано, является наличие небольшого значка – замка справа от имени отправителя.

Получение зашифрованного S/MIME-сообщения

увеличить изображение
Рис. 7.23. Получение зашифрованного S/MIME-сообщения

На этом этапе пользователь Domino Web Access может послать зашифрованное S/MIME-сообщение. Но мы здесь этого показывать не будем.

Обратите внимание, что, когда доступны как Notes- , так и S/MIME-шифрование и электронная подпись, Domino Web Access использует по умолчанию S/MIME-шифрование и электронную подпись. Это может вызывать проблемы в смешанных средах, включающих одновременно серверы Domino 7 и серверы Domino предыдущих версий. Более ранние серверы Domino не поддерживают S/MIME, поэтому сообщения, зашифрованные и подписанные при помощи S/MIME, не могут быть проверены или дешифрованы.

Мы рекомендуем использовать параметр файла NOTES.INI iNotes_wa_SecMailPreferNotes=1, если пользователи Domino Web Access 7.0 обмениваются зашифрованной почтой с пользователями Domino Web Access 6.x и для этих пользователей были выпущены сертификаты x.509. В режиме offline данный параметр не поддерживается.

7.5.4 Дополнительные моменты, связанные с безопасностью Domino Web Access

В вопросе безопасности Domino Web Access с клиентской стороны существует ряд факторов, сходных с теми, которые имеются в стандартном клиенте Notes. В дополнение к приведенному выше обсуждению выхода из системы заметим, что физическая безопасность машины является очень важным фактором (не оставляйте без присмотра браузер, подключенный к серверу; заблокируйте его замком Кенсингтона или другим сходным устройством). Шифруйте локальные (офлайновые) базы данных и создавайте документы политики offline-безопасности Domino.

Наконец, мы должны обсудить вопрос об обязанностях по соблюдению мер безопасности, связанных с использованием браузера в качестве клиента. Когда пользователи применяют браузерные технологии в качестве основного метода взаимодействия с сервером, существует повышенная опасность попасть под действие злонамеренных программ в виде скриптов JavaScript, агентов Java, элементов управления ActiveX \text{\textregistered} и т. п. Чтобы пользователи не запускали такой код, в Domino Web Access по умолчанию применяется фильтр активного содержимого (Active Content Filter), который обрабатывает HTML-код каждого почтового сообщения и переписывает его, прежде чем он будет отображен в браузере. Это может отрицательно повлиять на производительность сервера, поэтому в файле NOTES.INI есть флаг, который можно при желании отключить.

Чтобы отключить фильтр активного содержимого, установите в файле NOTES.INI следующий параметр

iNotes_WA_DisableActCntSecurity=1

и перезапустите HTTP.

Если установить для этого параметра значение 0, поставить перед ним символ комментария или удалить строку из файла NOTES.INI, фильтр будет снова включен.

Существует ряд отличий в размещении клиентов Notes и Domino Web Access, которые следует принимать во внимание.

  • Уполномоченный по восстановлению (Recovery authority). Domino Web Access не поддерживает работу с уполномоченным по восстановлению (т. е. восстановление ID-файлов), если только уполномоченный уже не указан в ID, переданном по почте пользователю.
  • Импортированные Notes ID. Notes ID нельзя защищать смарт-картами.
  • Сертификаты. Domino Web Access сначала ищет сертификаты в Domino Directory, а потом в контактах.
  • Перекрестные сертификаты. Domino Web Access ищет перекрестные сертификаты только в Domino Directory. Если используется Domino Web Access, все необходимые перекрестные сертификаты должны создаваться в Domino Directory.
  • Несколько доменов. Если администрируется несколько доменов, используйте Directory Assistance для расширенного каталога директорий (Extended Directory Catalog). Не используйте сокращенный каталог директорий (Condensed Directory Catalog, CDC) сервера.
  • Офлайн. Если используется каталог директорий, в нем должна быть включена поддержка шифрованной почты.

На этом заканчивается наш обзор новых возможностей безопасности Domino Web Access. В "Контроль спама при помощи Domino 7" рассматривается тема, интересная как для пользователей Lotus Notes, так и для пользователей Domino Web Access: новая функциональность, которая поможет победить в борьбе со спамом, т. е. несанкционированными почтовыми рассылками.

Дальше >>
< Лекция 6 || Лекция 7: 12345678 || Лекция 8 >

Вопросы и ответы

вопросов: 0