Россия, Владимир, Владимирский государственный университет, 2002 |
Безопасность Domino Web Access
7.3 Аутентификация в Domino Web Access
Domino Web Access сходен с другими базами данных Domino, расположенными на сервере, в том, что если список контроля доступа (access control list, ACL) сконфигурирован неправильно, то к базе данных возможен несанкционированный доступ. Если, например, для Anonymous в ACL установлен уровень доступа Author или выше, то любой сможет использовать базу данных Domino Web Access для отправки почты. Однако почта будет посылаться не от имени владельца базы, а от имени Anonymous, и в таком виде будет попадать в почтовые ящики получателей (как показано на рис. 7.3).
Следовательно, для обеспечения безопасности пользователи Domino Web Access должны проходить аутентификацию. Иными словами, ACL почтового файла пользователя должен быть правильно настроен и пользователи должны правильно осуществлять вход и выход из системы, чтобы применять возможности и функции Domino Web Access.
Когда пользователь входит в Domino Web Access, он должен ввести имя пользователя и соответствующий интернет-пароль, как указано в документе Person. Имена пользователей, которые сервер считает допустимыми, зависят от значения в поле Internet authentication (Интернет-аутентификация) на закладке Security (Безопасность) документа Server.
Способы проведения аутентификации могут быть разными. В Domino Web Access пользователи могут проходить аутентификацию несколькими путями, в зависимости от конфигурации механизмов аутентификации сервера Domino:
- Простая аутентификация по имени и паролю, вводимым в диалоговом окне аутентификации в Web-браузере.
- Сеансовая аутентификация, при помощи формы входа в систему. При сеансовой аутентификации возможно использование единой регистрации (single sign-on, SSO), при которой, войдя один раз в систему (например, в портал организации), пользователю больше не нужно выполнять вход снова и снова при обращении к разным серверам, входящими в домен единой регистрации.
- Аутентификация на основе сертификата, использующая клиентские сертификаты x.509v3.
Важно отметить, что для обеспечения оптимальной безопасности можно зашифровать канал связи между Web-браузером пользователя и Domino при помощи протокола Secure Sockets Layer (SSL).
Мы коротко опишем специфику каждого из этих механизмов аутентификации и некоторые варианты, которые можно применять для расширения механизмов аутентификации.
Простая аутентификация по имени и паролю
Этот тип аутентификации устанавливается по умолчанию при первоначальной настройке сервера Domino. Он запускается, когда пользователь пытается обратиться к базе данных, ACL которой запрещает анонимный доступ, а для предоставления определенных прав доступа требует идентифицировать пользователя. На рис. 7.4 показано диалоговое окно, которое отображает Web-браузер, когда сервер Domino требует аутентификации.
Сеансовая аутентификация
Данный тип аутентификации настраивается при помощи документа Server, на закладке Internet Protocols (Интернет-протоколы), Domino Web Engine (Web-система Domino). В поле Session authentication (Сеансовая аутентификация) нужно заменить значение Disabled (Отключено) (т. е. простая аутентификация по имени и паролю) на Single Server (Один сервер), как показано на рис. 7.5.
увеличить изображение
Рис. 7.5. Установка значения Session authentication (Сеансовая аутентификация) в Single Server
Обратите внимание, что задачу HTTP, чтобы изменения вступили в силу, нужно перезапустить. Делается это при помощи консольной команды tell http restart. При аутентификации пользователя вместо диалогового окна открывается форма Server Login (Вход на сервер), показанная на рис. 7.6.
Пользователь, возможно, сочтет, что эта страница скучно и непрофессионально выглядит. Чтобы улучшить внешний вид данной страницы, создайте базу данных Domino Web Server Configuration (DOMCFG.NSF), как показано на рис. 7.7.
На рис. 7.8 показана страница, отображаемая после создания упомянутой базы данных и перезапуска HTTP.
Кроме того, вы можете внести дополнительные усовершенствования, чтобы пользователи Domino Web Access увидели все возможности Domino Web Access.