Вопросы безопасности в Lotus Notes и Domino 7
[+]
Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Темы: Безопасность, Программное обеспечение
Специальности: Архитектор программного обеспечения
Теги: address book, cache management, certify, configuration settings, DCC, e-mail, ldap, password management, single sign-on, ssl, ssl-сертификаты, SSO, аутентификация, базы данных, безопасность, браузеры, интернет, клиенты, личный ключ, политика, серверы, спам, шифрование
Лекция 6:

Единая регистрация (единый вход) (SSO) и соответствие имен в Domino
A
|
версия для печати
< Лекция 5 || Лекция 6: 123456 || Лекция 7 >

6.1 Соответствие пользовательских имен

По умолчанию функция установления соответствий пользовательских имен отключена, и для включения нужно внести изменения в конфигурацию Internet Site, в конфигурацию LDAP-сервера Domino и в Domino Directory (или шлюз LDAP).

Включайте функцию соответствия имен, только если вам нужна аутентификация по имени, отличному от иерархического имени Domino.

Система Domino узнает нас по каноническому имени (например, cn= Dieter Stalder/o=Titanium). В других системах может применяться другой формат (например, uid=ds/o=groofty). В среде SSO пользователь должен идентифицироваться по имени, которое принимают все системы. Такое общее имя находится в маркере LTPA До появления Domino 7 каноническое имя записывалось в маркер LTPA при первой аутентификации в Domino. В Domino 7 мы можем выбрать имя.

Примечание. Канонические имена состоят из списка атрибутов (например, cn, ou, o). Эти атрибуты отделяются друг от друга символом-разделителем. В Notes разделителем является слеш, а в LDAP - запятая.

В нашем примере у нас есть 2 сервера Domino, принадлежащие к разным доменам. Один из них является LDAP-сервером, а другой — сервером приложений. Независимо от того, к какому серверу мы будем обращаться сначала, идентификационные данные правильно создаются (маркер LTPA) и передаются второму серверу.

Важно! Имена конфигурируются в нескольких местах. Важно использовать правильный формат - Notes или LDAP. Ввод имени в неверном формате нарушает работу SSO.

6.1.1 Включение SSO и соответствия имен на всех серверах

Эти изменения вносятся во всех доменах Domino, участвующих в SSO:

  • Конфигурирование нескольких серверов Domino в одном домене. Делается один раз и применяется ко всем серверам домена.
  • Конфигурирование нескольких серверов Domino в разных доменах. Делается один раз для каждого домена.
Конфигурирование Web SSO

Если документ Web SSO Configuration еще не существует, нажмите Create Web SSO Configuration (Создать конфигурацию Web SSO).

Начиная с версии 6 мы можем конфигурировать несколько интернет-сайтов. Различные конфигурации сайтов отличаются друг от друга названиями организаций. В нашем примере мы назвали организацию QP. На рис. 6.2 показан внешний вид документа Web SSO Configuration.

При создании новой конфигурации выберите пункт Keys (Ключи), а затем Import WebSphere LTPA Keys (Импортировать LTPA-ключи WebSphere) или, как это сделали мы, Create Domino SSO Key (Создать ключ SSO для Domino) (рис. 6.3).

Внешний вид документа Web SSO Configuration

увеличить изображение
Рис. 6.2. Внешний вид документа Web SSO Configuration
Create Domino SSO Key (Создать ключ SSO для Domino)

увеличить изображение
Рис. 6.3. Create Domino SSO Key (Создать ключ SSO для Domino)

Окно, показанное на рис. 6.3, содержит следующие поля:

  • Configuration Name (Имя конфигурации). Это имя, которое будет записано в cookie. Используйте заданное по умолчанию имя LtpaToken (так будет меньше проблем).
  • Organization (Организация). Введите отличительное имя конфигурации (имя организации). Если оставить это поле пустым, документ будет сохранен в представлении Web Configurations (Web-конфигурации).
  • DNS Domain (Домен DNS). Введите интернет-имя домена, для которого вы настраиваете SSO.
  • Связь имен с маркерами LTPA. Это поле появилось в версии 7. Если связь отключена, в маркер LTPA записывается иерархическое имя Domino. Если связь включена, то применяется имя пользователя LTPA из Domino Directory (см. подраздел "Документ Person"). Чтобы проверить имя в маркере LTPA, просмотрите инструкции, приведенные в подразделе 6.2.5, "Инструкции по отладке SSO".
  • Domino Server Names (Имена серверов Domino). Список всех серверов, использующих один маркер. Документ будет сохранен и зашифрован с применением перечисленных здесь имен пользователей и серверов. Если вы добавите сюда внешние серверы, при сохранении будет выведено предупреждение "Server not found in the Name & Address Book" (Сервер не найден в книге имен и адресов). Нажмите OK для продолжения. Добавлять внешние серверы не обязательно, но вы должны добавить все серверы текущего домена. Запомните, что нужно также указать имя пользователя, который будет зашифровывать и расшифровывать этот документ во внешнем домене. Данная проблема решается путем перекрестной сертификации административных ID.
Примечание. При копировании документов Web SSO Configuration из одного домена Domino в другой документ необходимо зашифровать общими ключами администратора и сервера и сохранить. Если этого не сделать, не будет выполнена операция дешифровки на сервере и в журнал сервера будет записано следующее сообщение: "HTTP Server: Error loading Web SSO Configuration 'LtpaToken' for Web Site 'QPHome' (Single Sign-On configuration is invalid) ".
Internet Site: Web

Если документы Web Site отсутствуют, выберите пункт меню Add Internet Site (Добавить интернет-сайт) \to Web.

На закладке Basics (Общие) укажите значения в следующих полях, (рис. 6.4):

  • Descriptive name for this site (Описательное имя для сайта). Введите описание сайта.
  • Organization (Организация). Введите то же имя, которое указано в документе Web SSO Configuration.

На закладке Domino Web Engine (Web-система Domino) укажите в следующих полях значения (рис. 6.5):

Добавление документа Web Site

увеличить изображение
Рис. 6.4. Добавление документа Web Site
  • Session authentication (Сеансовая аутентификация). Выберите вариант Multiple Servers (SSO) (Несколько серверов, SSO).
Закладка Domino Web Engine (Web-система Domino)

увеличить изображение
Рис. 6.5. Закладка Domino Web Engine (Web-система Domino)
  • Web SSO Configuration (Конфигурация Web SSO). Выберите имя маркера из списка. Другие опции настройте в соответствии с вашими нуждами.
Активизация конфигурации интернет-сайта

В документе Server на закладке Basics (Общие) укажите значение Enabled в поле Load Internet configurations from Server\Internet Sites documents (Загружать интернет-конфигурации из документов Server\Internet Site), как показано на рис. 6.6.

Включение опции Load Internet configurations from Server\Internet Sites documents (Загружать интернет-конфигурации из документов Server\Internet Site)

Рис. 6.6. Включение опции Load Internet configurations from Server\Internet Sites documents (Загружать интернет-конфигурации из документов Server\Internet Site)
Важно! При включении конфигурации Internet Site отключаются некоторые другие конфигурации. Изучите опции конфигурации для перенаправления Web, IMAP, РОРЗ, НОР, некоторых параметров входа SMTP и, что наиболее важно для данного примера, конфигурации LDAP. Серверу Domino LDAP необходима конфигурация LDAP. При отсутствии конфигурации сервер LDAP отключается.
Дальше >>
< Лекция 5 || Лекция 6: 123456 || Лекция 7 >

Вопросы и ответы

вопросов: 0