Вопросы безопасности в Lotus Notes и Domino 7

:

Вопросы безопасности в Lotus Notes и Domino 7
[+]
Опубликован: 04.07.2008 | Уровень: профессионал | Доступ: платный | ВУЗ: Компания IBM
Лекция 7:

Безопасность Domino Web Access
A
|
версия для печати
< Лекция 6 || Лекция 7: 12345678 || Лекция 8 >
Аннотация: В лекции рассмотрена настройка, аутентификация и безопасный обмен сообщениями в Domino Web Access
Ключевые слова: Web, пользователь, доступ, обмен сообщениями, personal, information, management, PIM, управление заданиями, Offline, интеграция, браузер, класс, безопасность, security, handbook, информация, cache management, поддержка, mac, contact list, сервер, выход, поле, Internet, authentication, аутентификация, server, ID, IBM, базы данных, шаблон, интерфейс, список, control, list, ACL, anonymous, почта, имя пользователя, single sign-on, SSO, канал связи, secure, layer, SSL, хранилище сертификатов, функция, logout, базовая, кеш, конфигурирование, browser, контроль, производительность, configuration settings, disallow, uninstall

Lotus Domino Web Access – это Web-клиент, который дает возможность пользователям обращаться к различным службам Domino при помощи Web-браузера. Пользователь браузера получает доступ к многочисленным передовым клиентским возможностям и функциям, которые обычно были доступны только тем, кто использует не браузеры, а, например, Lotus Notes. Эти передовые возможности значительно повышают удобство работы в таких областях, как обмен сообщениями, календарное планирование и расписания, управление персональной информацией (personal information management, PIM), управление заданиями и личный журнал. Пользователи также могут работать при отсутствии соединения (offline), управляя почтовыми сообщениями, контактами, календарными планами, списками текущих дел и т.п. с помощью пользовательского интерфейса, предоставленного Domino Web Access.

К настоящему моменту Domino Web Access существует уже несколько лет, и он развивается с каждой новой версией сервера Domino. Версия 7 не является исключением. Функциональное соответствие с Lotus Notes в упомянутых выше областях довольно близкое, в том числе интеграция с Lotus Sametime. Однако клиент Notes по-прежнему предоставляет более богатую и более полную среду для конечного пользователя, особенно в том, что касается дизайна, применения репликации приложений, поддержки PDA-устройств и некоторых других возможностей, доступных только для этого клиента.

Клиент Domino Web Access изначально разрабатывался для того, чтобы снабдить браузер большинством возможностей Notes. Он также создавался для пользователей, которых можно назвать бездисковыми. Такими пользователями обычно являются те, которым лишь иногда требуется доступ к электронной почте и календарным планам. Такие пользователи являются мобильными и не имеют фиксированного местоположения, что делает их идеальными потребителями тех возможностей, которые предлагает браузер и Domino Web Access. То же относится и к внешним пользователям, ведущим тесное сотрудничество с организацией, которым требуется доступ к системе обмена сообщениями организации, но которым организация не хочет предоставлять клиент Notes.

Однако появился новый класс пользователей, которые применяют все возможности Domino Web Access. У этих пользователей есть обычный клиент Notes, но они, как правило, работают удаленно и реализация сервера Domino в месте их работы с реализацией индивидуальных клиентов Notes и соответствующей поддержкой обходится слишком дорого. Поэтому этим пользователям обычно предоставляется клиент Domino Web Access, который обеспечивает большую часть функций при существенной экономии.

Учитывая все эти моменты, мы опишем в этой лекции новые возможности системы безопасности Domino 7, которые повышают безопасность Domino Web Access. В книге серии Redbook, посвященной безопасности, "Lotus Security Handbook", SG24-7017, информация, относящаяся к Domino Web Access, описывается под заголовком iNotes \text{\texttrademark} (предыдущее название Domino Web Access), в главе 12, "Security features of other Lotus products".

Мы приведем некоторые базовые сведения, которые позволят правильно установить Domino Web Access и обеспечить его корректную работу, а также дадим некоторые практические советы. Кроме того, поскольку данный курс посвящена безопасности, мы рассмотрим здесь следующие функции и усовершенствования:

  • Управление кешем браузера (Browser Cache Management). Эта функциональность улучшает производительность работы клиентской программы и повышает безопасность сессий Domino Web Access в Microsoft Internet Explorer, поскольку она позволяет управлять содержимым кеша и его удалением после завершения сессии Domino Web Access.
  • Поддержка S/MIME. Теперь в Domino Web Access есть поддержка протокола безопасной передачи электронной почты (Secure/Multimedia Internet Mail Extensions,S/MIME), который позволяет безопасно обмениваться сообщениями через Web-браузер при использовании Domino Web Access.

Поскольку функциональность Domino Web Access лежит в точке пересечения функций Web-браузера и сервера Domino и это является источником заблуждений относительно неоптимальных конфигураций безопасности, мы обсудим, где используются конкретные возможности системы безопасности, в сервере Domino, в Web-браузере или и там и там.

Наконец, чтобы Domino Web Access работал правильно и позже не возникало никаких проблем, необходимо понимать, какие платформы поддерживаются системой.

Domino Web Access 7.0 поддерживает следующие операционные системы сервера:

  • Microsoft Windows 2000 Server SP4;
  • Microsoft Windows 2000 Advanced Server SP4;
  • Microsoft Windows 2003 Standard Edition;
  • Microsoft Windows 2003 Advanced Edition;
  • IBM AIX \text{\textregistered} 5L \text{\texttrademark} Version 5.2;
  • IBM AIX 5L Version 5.3;
  • Sun \text{\texttrademark} Solaris \text{\texttrademark} 9 (только NSF);
  • IBM i5/OS \text{\textregistered} V5R3 (только NSF) для IBM @server \text{\textregistered} iSeries \text{\texttrademark} ;
  • IBM z/OS 1.5 (только NSF) для IBM @server zSeries \text{\textregistered} ;
  • Novell SUSE Linux \text{\textregistered} Enterprise Server (SLES) 8 SP3 (только NSF) для IBM @server zSeries;
  • Novell SUSE Linux SLES 9 SP1 (только NSF) для IBM @server zSeries;
  • Novell SUSE Linux SLES 8 SP3 (только NSF) для Intel \text{\textregistered} ;
  • Novell SUSE Linux SLES 9 SP1 (только NSF) для Intel.

Domino Web Access 7.0 поддерживает следующие операционные системы клиента:

  • Microsoft Windows 2000 Professional SP4;
  • Microsoft Windows XP SP2 (только Professional);
  • Novell Linux Desktop (NLD) 8;
  • Novell Linux Desktop (NLD) 9.

Domino Web Access 7.0 поддерживает следующие Web-браузеры:

  • Microsoft Internet Explorer 6.0 в Windows 2000 и Windows XP;
  • Mozilla Browser 1.7.x (только Linux);
  • Mozilla Firefox 1.0.4 Browser в Windows 2000, Windows XP и Linux 7.x.

Кроме того, в версии 7.0.2 будет поддержка клиентов Mac с браузером Firefox.

7.1 Общий обзор Domino Web Access

С технической точки зрения Domino Web Access (ранее называвшийся iNotes Web Access) предоставляет пользователям Lotus Notes доступ через браузер к почте Notes, а также к календарным планам и расписаниям. Пользователи Domino Web Access могут посылать и получать почту, просматривать календарные планы, создавать списки дел, вести записную книжку и работать без соединения (offline).

После настройки на доступ к Domino Web Access пользователь может применять для обращения к своим почтовым файлам как стандартный клиент Notes, так и Web-браузер. Поскольку и клиент Notes, и клиент Domino Web Access работают с одним пользовательским почтовым файлом, отметка "прочитано" или "не прочитано" будет сохраняться в соответствующем состоянии, независимо от того, с помощью какого клиента пользователь читал почту. Пользователь также может осуществлять синхронизацию контактной информации в личной адресной книге с информацией в списке контактов (Contact List) в Domino Web Access.

Кроме того, пользователи имеют возможность работать в режиме offline и использовать сервер Sametime. Для работы в режиме offline можно синхронизировать Domino Web Access с Domino Off-Line Services. Domino Off-Line Services дает возможность пользователям работать при отсутствии сетевого соединения, а также предоставляет возможности для репликации, которые пользователь Notes может ожидать встретить при работе с клиентом Notes. Также существует возможность интегрировать Domino Web Access с Lotus Sametime для получения интегрированных возможностей ведения разговоров в реальном времени. Стоит отметить, что ни Domino Off-Line Services, ни Sametime не являются необходимыми для использования Domino Web Access.

С точки зрения безопасности применительно к Domino Web Access следует упомянуть несколько базовых моментов.

Во-первых, для Domino Web Access требуется безопасность входа пользователя в систему (специальный выход из системы обычно не является обязательным, хотя это хорошая практика). Когда пользователи осуществляют вход в Domino Web Access, они должны ввести свое имя и интернет-пароль, как он указан в документе Person. Имена пользователей, которые сервер считает допустимыми, зависят от значения в поле Internet authentication (Интернет-аутентификация) на закладке Security (Безопасность) документа Server.

Во-вторых, хотя пользователям для входа в Domino Web Access требуется только имя и интернет-пароль, для работы с безопасной почтой необходим Notes ID. Администраторы должны создавать Notes ID для каждого пользователя при регистрации новых пользователей при помощи шаблона Domino Web Access.

В оставшейся части лекции мы более подробно изучим передовые концепции безопасности.

7.2 Настройка Domino Web Access

Прежде чем начать обсуждать специфику безопасности Domino Web Access, нужно посвятить какое-то время проверке того, правильно ли настроен и корректно ли работает Domino Web Access на сервере Domino.

Мы не собираемся описывать здесь все аспекты конфигурирования сервера Domino и Domino Web Access. За подробными сведениями по этой теме обращайтесь к следующим книгам серии IBM Redbook (которые относятся к версиям 6.5 и 5.0.9 соответственно):

В данном курсе обратите внимание на следующие 3 элемента:

  • Во-первых, в версии 7 возможно настраивать 3 разных типа серверов:
    • Domino Utility Server,
    • Domino Messaging Server,
    • Domino Enterprise Server.
    Из этих трех типов при инсталляции не следует выбирать только Domino Utility Server, поскольку это новинка Domino версии 7.0, в которой отсутствует поддержка обмена сообщениями.
  • Во-вторых, при конфигурировании сервера (которое происходит при первом запуске сервера после установки) существует возможность выбрать интернет-службы, которые сервер должен предоставлять, – Web-браузеры (службы HTTP), клиенты интернет-почты (службы SMTP, POP3 и IMAP) и службы работы с директориями (службы LDAP). Как минимум выберите Web-браузеры (службы HTTP), чтобы запускалась задача HTTP. Это является базовым требованием для Domino Web Access.
  • В-третьих, как показано на рис. 7.1, существует 3 почтовых шаблона, которые поставляются вместе с сервером Domino 7.0: шаблон Domino Web Access (7) (dwa7.ntf), шаблон Extended Mail (R7) (mail7ex.ntf), шаблон Mail (R7) (mail7.ntf) и шаблон Domino Web Access (6) (iNotes6.ntf).
Почтовые шаблоны, поставляемые вместе с Domino 7

Рис. 7.1. Почтовые шаблоны, поставляемые вместе с Domino 7
Новый внешний вид Domino Web Access

увеличить изображение
Рис. 7.2. Новый внешний вид Domino Web Access

Новых пользователей следует регистрировать при помощи шаблона dwa7.ntf. Для почтовых файлов существующих пользователей при помощи шаблона dwa7.ntf следует изменить структуру почтовой базы данных. Это единственный шаблон, который содержит поддержку почтовых шаблонов клиента Domino Web Access и клиента Notes. На рис. 7.2 показано, как выглядит новый интерфейс.

Примечание. Шаблон mail7.ntf является стандартным шаблоном. Обратившись при помощи браузера к серверу, на котором работает задача HTTP, пользователь видит интерфейс Web Mail (простой HTTP-интерфейс, дополненный несколькими апплетами Java \text{\texttrademark}, для обращения к почтовой базе данных пользователя). Используйте шаблон Extended Mail Template (Mail7ex.ntf) для всех почтовых файлов, перенесенных из Microsoft Exchange в Domino. Кроме того, если шаблон dwa7.ntf содержит новый внешний вид интерфейса Domino Web Access, то в шаблоне iNotes6.ntf употребляется старый интерфейс. В общем, для решения задач данной лекции вам следует использовать шаблон dwa7.ntf.

Теперь, когда мы настроили должным образом сервер, интернет-службы, которые он предоставляет, и обеспечили соответствие дизайна системы электронной почты нужному шаблону, все готово к рассмотрению темы аутентификации в Domino Web Access.

Дальше >>
< Лекция 6 || Лекция 7: 12345678 || Лекция 8 >

Вопросы и ответы

вопросов: 0

Студенты

всего: 9
Антон Чурков
Антон Чурков
Россия, Владимир, Владимирский государственный университет, 2002
предложить дружбу
роман мельниченко
роман мельниченко
Украина
предложить дружбу