Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Лекция 3:

Усовершенствования, связанные с восстановлением ID

3.3 Как работает восстановление ID

Для каждого администратора Notes пользовательский файл Notes ID содержит пароль восстановления, который генерируется на случайной основе и шифруется публичным ключом администратора. Этот пароль уникален для каждого администратора и пользователя.

Например, администратор Notes по имени Laurent Hoerni имеет уникальный пароль восстановления для пользователя Noel Doyle и этот пароль находится в ID-файле пользователя Noel Doyle. Также администратор Notes по имени Jean-Jacques Chambaz имеет уникальный пароль восстановления для пользователя Daniel Coddron и этот пароль находится в ID-файле пользователя Daniel Coddron.

3.3.1 Возможность определения надежности пароля восстановления

В Domino 7 теперь возможно выбрать число символов или длину пароля восстановления, которые определяют надежность пароля или вероятность его взлома.

Если длина пароля не превышает 16 символов, при его генерации используются буквенно-числовые символы и шестнадцатеричные цифры. Пароли длиной 16 символов генерируются только из шестнадцатеричных цифр.

Хотя надежность пароля имеет большое значение (надежные пароли труднее взломать), не менее важно удобство использования. Длинный и сложный пароль трудно применять, поэтому администраторы также имеют возможность выбрать меньшую длину пароля.

Кроме того, администраторы теперь могут вводить собственное сообщение, которое помогает провести пользователей через процесс восстановления пароля.

Когда пользователи получают новый общий ключ, выполняют изменение имени или принимают или создают ключ шифрования документов, Domino автоматически посылает обновленные зашифрованные резервные копии ID в централизованную базу данных. Если применяется источник сертификатов на сервере, то база данных для восстановления обновляется после того, как пользователь соединиться с сервером.

Примечание. При повторной сертификации пользователя зашифрованная копия ID-файла не генерируется, поскольку пользовательский документ Person уже содержит обновленный общий ключ.

3.3.2 Переход на другой ID сертификатора

Если у пользователя изменилось имя или если он был переведен на другой сертификатор, содержащий информацию для восстановления, более старую, чем информация предыдущего сертификатора, то информация восстановления от нового сертификатора не будет записана в пользовательский ID-файл. Прежде чем можно будет применить новый сертификатор, необходимо обновить информацию восстановления, чтобы она была более свежей, чем информация восстановления от предыдущего сертификатора. Для этого администратор должен как-нибудь изменить информацию восстановления нового сертификатора и сохранить ее. При этом информация восстановления в данном сертификаторе получит новую отметку времени и это даст гарантию, что пользователи, для которых будут изменяться имена или которые будут переходить на новый сертификатор, получат правильную информацию в свой пользовательский ID-файл. Затем, при желании, администратор может отменить внесенное изменение.

Чтобы не дать неавторизованным пользователям, не имеющим необходимой информации, восстановить ID, убедитесь, что включена проверка пароля для пользователей и серверов. Если проверка пароля включена, авторизованный пользователь узнает о несанкционированных изменениях, поскольку не сможет обращаться к серверам при помощи легитимного ID. Если неавторизованный пользователь восстановил ID, его принудительно заставят изменить пароль.

В качестве дополнительной меры предосторожности после восстановления ID пользователям следует предложить заново принять информацию для восстановления, а затем изменить общий ключ в ID-файлах. Повторное принятие изменений информации восстановления приведет к изменению пароля восстановления в ID-файле. Как и в случае Domino 6, повторное принятие информации восстановления происходит автоматически, когда пользователь обращается к базе данных на домашнем сервере. Изменение общего ключа приводит к изменению общего и личного ключей в ID-файле.

3.4 Журнал восстановления ID

Начиная с Domino 7 важная информация об операциях по восстановлению ID клиента автоматически записывается в локальный файл журнала LOG.NSF, чтобы администраторы могли обращаться к этой информации при устранении ошибок.

В локальный журнал записывается следующая информация о восстановлении ID:

  • дата и время, когда информация о восстановлении была записана в ID-файл;
  • ситуации, когда информация восстановления была отвергнута или не была записана в ID-файл;
  • события, которые требуют отправки новой резервной копии по почте в базу восстановления;
  • отправка по почте резервной копии в базу данных восстановления (успешная или неудачная).

На рис. 3.5 показана информация журнала, относящаяся к восстановлению ID.

Журналирование восстановления ID

Рис. 3.5. Журналирование восстановления ID