Функции безопасности других продуктов Lotus

12.2.3 Защита клиента Sametime Java Connect

Аутентификация

SSL можно использовать для шифрования начального подключения между Web-браузером и сервером Sametime. Такое использование SSL позволяет зашифровать квитирующее сообщение HTTP, инициирующее аутентификацию.

Шифрование

Процесс шифрования работает так же, как и полнофункциональный клиент Sametime Connect для настольных систем.

12.2.4 Защита клиента Sametime Meeting Room

Аутентификация

Традиционный протокол SSL можно использовать для шифрования начального подключения между Web-браузером и сервером Sametime. Такое использование SSL позволяет зашифровать квитирующее сообщение HTTP, инициирующее аутентификацию. SSL включен в Domino обычным способом для поддержки SSL в Sametime-встречах. Дополнительные сведения о настройке Domino SSL см. в разделе 6.2.5, "Secure Sockets Layer".

Важно! У всех пользователей в браузерах должен быть включен прием cookie-файлов. Cookie-файлы представляют собой небольшие файлы, которые Sametime сохраняет на жестком диске компьютера пользователя и которые сообщают Sametime о том, что тот или иной пользователь авторизован для участия в определенных встречах. Если в браузере пользователя не включен прием cookie-файлов, этот пользователь не сможет участвовать во встречах, защищенных паролем.

Защита Sametime-встречи

Можно защищать Sametime-встречи таким образом, чтобы информация, используемая во встречах, оставалась конфиденциальной. Требуемые опции безопасности для каждой встречи зависят от цели встречи.

Например, может потребоваться использовать пароль, чтобы ограничить участие во встрече и использовать шифрование для защиты содержимого встречи. Любой пользователь, применяя несколько опций на вкладке Security (Безопасность) страницы New Meeting (Новая встреча), может обеспечить защиту встречи.

Существуют следующие опции защиты встречи:

• Выбор пользователей, имеющих возможность участвовать во встрече. Только указанные пользователи смогут участвовать во встрече.
• Защита встречи паролем. Пароль необходим для входа во встречу и используется в дополнение к паролю входа в Sametime. Пароль встречи действителен только для одной встречи и применим только к встрече. Рекомендуется использовать зашифрованное почтовое сообщение для рассылки пароля встречи участникам.

  Замечание! Также рекомендуется, чтобы все запланированные встречи имели пароль. Эта опция заставляет конечного пользователя задавать пароль при создании новой встречи.
• По умолчанию встречи перечисляются в центре интерактивных встреч (Online meeting center). Однако можно создать необъявленную встречу, которая не будет выводиться в Meeting Center. Для участия во встрече участникам необходимо ввести имя встречи. Необходимо убедиться в том, что пользователи помнят имя необъявленной встречи. Единственный способ получить доступ к встрече в Meeting Center состоит в том, чтобы выбрать unlisted meeting (необъявленная встреча) и ввести имя встречи точно так же, как оно выводится на вкладке встречи.
• И наконец, существует опция защиты встречи путем шифрования. При выборе этой опции осуществляется шифрование всей информации о встрече при ее передаче с одного клиента на другой. Шифрование замедляет встречу. Необходимо об этом помнить, так же как и о том, что, если во встрече применяется NetMeeting, невозможно использовать шифрование по причинам, перечисленным ранее.

12.2.5 Защита meeting server

Аутентификация

По умолчанию для подключения между Web-браузером и сервером Sametime не осуществляется ни аутентификация, ни шифрование. Аутентификация выполняется в при доступе пользователя к отдельной базе данных на сервере Sametime.

Как говорилось выше, можно настроить Sametime таким образом, чтобы выполнять шифрование с применением протокола SSL (Secure Sockets Layer) для всего HTTP-трафика Sametime-встречи (включая пароли и токены аутентификации), проходящего через подключение между Web-браузером и HTTP-сервером.

Управление доступом

Для участия во встрече на сервере Sametime пользователь сначала подключается к HTTP-серверу Sametime через Web-браузер. По умолчанию, когда пользователь осуществляет доступ к серверу Sametime через этот порт и может получить доступ к базе данных домашней страницы сервера Sametime (stcenter.nsf), аутентификация пользователя не выполняется без ввода имени пользователя и пароля.

После получения доступа к домашней странице пользователь выбирает ссылки для доступа к другим базам данных на сервере Sametime.

При использовании параметров таблицы управления доступом (access control list, ACL) отдельных баз данных Sametime администратор Sametime может заставить пользователей проходить простую аутентификацию с применением пароля при попытке доступа к функциям Sametime Meeting.

К базам данных на сервере Sametime, доступным с домашней страницы сервера Sametime, не требующим соответствующей защиты с использованием параметров ACL, относятся:

• База данных Sametime Online Meeting Center (STCONF.NSF), где в ACL следует установить уровень доступа No Access (Нет доступа) для анонимных пользователей. Это обеспечит создание интерактивных встреч и участие в них только для аутентифицированных пользователей.
• База данных Sametime Web Admin (STADMIN.NSF), где в ACL следует включить группу администраторов домена. Также можно выбрать административные роли Sametime. Это обеспечит наличие у соответствующих ИТ-менеджеров и администраторов административного доступа для управления сервером Sametime.

Аспекты ACL

Существует несколько аспектов ACL базы данных Domino, которые следует учитывать при назначении прав доступа к базам данных Sametime Meeting Center.

Если для записей Anonymous (Аноним) и Default установлен уровень доступа No Access (Нет доступа), для доступа к базе данных пользователь должен быть задан в ACL явно или в составе группы. Назначение записям Anonymous (Аноним) и Default уровня доступа No Access (Нет доступа) обеспечивает наиболее строгий контроль над доступом к базе данных, так как в этом случае только пользователи и группы, указанные в ACL, смогут осуществлять доступ к базе данных.

Явное указание имени пользователя имеет приоритет перед записью Default. Если имя пользователя введено в ACL базы данных и для него установлен уровень доступа, пользователь получает уровень доступа, назначенный для записи имени пользователя в базе данных. Только пользователи, не указанные явным образом в ACL базы данных, получают уровень доступа Default.

Примечание. Если в ACL базы данных нет записи Anonymous (Аноним), для записи Default в ACL должен быть установлен уровень доступа No access (Нет доступа) для проведения обязательной простой аутентификации с применением пароля в базе данных. Если в ACL базы данных не существует запись Anonymous (Аноним), анонимные пользователи могут осуществлять доступ к базе данных и получить уровень доступа, установленный для записи Default в базе данных. Если в ACL существует запись Anonymous (Аноним) и имеет уровень доступа No access (Нет доступа), аутентификация пользователей выполняется при доступе к базе данных и пользователи получают уровень доступа, установленный в ACL для записи Default.

Подписание баз данных Sametime

Некоторые базы данных Sametime содержат агенты, осуществляющие доступ к каталогу и обеспечивающие поддержку аутентификации для Sametime. Агенты в этих базах данных подписываются идентификатором Sametime Development/Lotus Notes Companion Products.

Если политики безопасности организации, в которой предоставляются службы Sametime, требуют повторного подписания баз данных другим идентификатором, необходимо выполнить повторное подписание следующей базы данных и шаблонов Sametime:

• STCONF.NTF,
• STDISC50.NTF,
• STTEAM50.NTF,
• STSRC.NSF.

После повторного подписания этих файлов убедитесь в том, что используемый идентификатор подписавшей стороны указан в ACL каталога и в поле Run unrestricted agents (Запуск неограниченных агентов) документа Server сервера Sametime.

Минимальные требования в ACL каталога для идентификатора подписавшей стороны:

• уровень доступа: Reader (Читатель);
• роли: Group Creator (Создатель групп), Group Modifier (Модификатор групп), UserCreator (Создатель пользователей), UserModifier (Модификатор пользователей).