Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 449 / 54 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Дополнительный материал 2:

Краткий список необходимых элементов безопасности сервера

Существует несколько действий, которые должны быть немедленно произведены с любым новым сервером Domino после его инсталляции, чтобы защитить его и подготовить к безопасному использованию. В особенности это касается конфигурирования первого сервера в новом домене Domino. В этом приложении приводится список того, что нужно сделать или проверить. Этот список не будет полным для всех возможных конфигураций сервера, но его можно использовать в качестве краткого справочника по самым основным этапам.

Защита директории (Domino Directory)

В этом разделе мы опишем, как защитить директорию.

Обеспечение безопасности хеша интернет-паролей

Начиная с версии 4.6 Domino поддерживает 2 разных алгоритма (называющиеся хешированием ), которые используются для хранения Интернет-паролей пользователей. Один из них достаточно слабый и потенциально подвержен словарным атакам (подбором по словарю), но он имеет обратную совместимость со всеми версиями до 4.5. В другом алгоритме используется метод, называемый salting, который делает словарные атаки нецелесообразными.

Из соображений обратной совместимости с версией 4.5 слабый алгоритм по-прежнему употребляется по умолчанию. Если в вашей системе продолжают работать серверы версии 4.5, вы не сможете использовать более новый и более надежный метод. (Мы настоятельно рекомендуем вам обновить такие серверы). Иными словами, одним из первых действий, которые вам следует предпринять, если вы запускаете первый сервер домена, – это включить более надежные пароли. Для этого выполните следующие шаги:

  1. Откройте Domino Directory (NAMES.NSF) либо в клиенте Notes, либо в клиенте Domino Administrator.
  2. Выберите в меню Actions (Действия) пункт Edit Directory Profile (Редактировать профиль директорий).
  3. Укажите в поле Use more secure Internet Passwords (Использовать более безопасные интернет-пароли) значение Yes.
Важно! Если вы настраиваете сервер в уже существующем домене, все равно имеет смысл проверить этот параметр. Если для него не установлено значение Yes, укажите его немедленно. Также перейдите к представлению People (Люди), выделите все документы и выберите в меню Actions (Действия) пункт Upgrade to More Secure Internet Password (Обновить до более безопасного интернет-пароля).

Настройка ACL

Точная конфигурация ACL для вашей Domino Directory может быть разной, но хорошей мыслью будет сначала полностью защитить ее, а затем смягчать значения параметров. Мы рекомендуем выполнить следующие шаги:

  1. Убедитесь, что для записей Default и Anonymous в ACL установлены права No Access.
  2. Убедитесь, что максимальный уровень доступа для имени и пароля из Интернета (Maximum Internet name and password access level) установлен в Reader, если только вы не планируете использовать клиент Web Administrator. В последнем случае укажите здесь уровень Editor.
  3. В ACL для Domino Directory перечислены несколько ролей. Эти роли могут использоваться для назначения конкретных областей ответственности, связанных с определенными задачами, например управлением документами Person, документами Group и документами Policy. Если вы предполагаете делить административные задачи с другими администраторами и хотите ограничить их возможности, создайте несколько групп (документов Group), добавьте их в ACL, установите для них заданные роли и записывайте людей в эти группы.

Установление прав доступа в документе Server

В этом разделе мы опишем, как устанавливаются права доступа в документе Server.

Необходимые настройки

На закладке Security (Безопасность) документа Server содержится ряд полей, которые управляют важными правами доступа. Значения в некоторых из этих полей следует устанавливать сразу же. Значимость некоторых других полей зависит от того, что вы собираетесь делать с данным сервером. Всегда выполняйте следующие действия:

  • Разработайте стандарт для имен групп, которые вы последовательно будете использовать в данных полях на всех серверах. Можно подумать о соглашении, в котором бы различались люди, имеющие области ответственности на всех серверах, и люди, имеющие области ответственности только на конкретных серверах. Например, две такие группы могут называться Acme Corp Domain Admins и Acme Corp Server01 Admins.
  • Введите имена групп как минимум в следующие поля документа Server:
    • Full Access Administrators (Администраторы с полным доступом)
    • Administrators (Администраторы);
    • Not Access Server (Нет доступа к серверу);
    • Create Databases and Templates (Создание баз данных и шаблонов);
    • Create New Replicas (Создание новых реплик);
    • Create Master Templates (Создание главных шаблонов).
  • Внесите соответствующие имена в группы.
Важно! Права доступа к созданию баз данных, новых реплик и главных шаблонов имеют существенное влияние на безопасность. Они служат не только для того, чтобы не дать неавторизованным пользователям загромоздить ваш сервер ненужными данными, занимающими дисковое пространство.

Просмотр других настроек в документе Server

Все параметры на закладке Security (Безопасность) являются важными, и их все следует просмотреть. Полное описание всех этих параметров выходит за рамки данного приложения. Обращайтесь к справочной базе данных Lotus Domino 7 Administrator Help за дополнительными сведениями.

Сделайте ваш шаблон безопасным

У каждого сервера Domino есть большое количество файлов – шаблонов баз данных (файлы NTF). Процесс инсталляции сервера просто копирует эти файлы на диск "как есть". Процесс настройки сервера может автоматически задать для записи Anonymous в ACL шаблона права No Access, но этого может оказаться недостаточно для защиты в любых ситуациях. Каждый сервер Domino в мире потенциально содержит шаблоны, которые могут реплицировать свои измененные элементы дизайна в ваши шаблоны. Чтобы предотвратить это, неплохо было бы изменить ID реплики в шаблонах. Сделать это при помощи клиента Domino Administrator непросто, но существует бесплатный инструмент, называющийся Surely Template, который делает этот процесс очень простым. Этот инструмент можно найти по адресу http://www.openntf.org

Сергей Смирнов
Сергей Смирнов
Россия, Нижний Новгород, ННГАСУ, 2007
Олег Корсак
Олег Корсак
Латвия, Рига