Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 456 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Лекция 3:

Усовершенствования, связанные с восстановлением ID

3.9 Суммарный список действий

В следующем подразделе приводится список общих действий как для настройки восстановления ID, так и для самого восстановления ID.

3.9.1 Первоначальная настройка

Для исходной настройки выполните следующие шаги:

  1. Решите, какой сервер Domino будет сервером СА (certification authority) для всей вашей организации. Эта машина должна быть очень надежной и физически безопасной.
  2. На сервере СА отредактируйте файл NOTES.INI, добавив задачу са в строку ServerTasks=. Перезапустите сервер, чтобы запустить данную задачу.
  3. Создайте базу данных-получатель почты (mail-in database), которая будет использоваться в процессе восстановления ID. Эта база может называться ID Recovery, и она должна быть расположена на защищенном почтовом сервере (который одновременно может представлять собой СА-сервер).
Создание и перенос сертификатора верхнего уровня

Выполните следующие шаги:

  1. Создайте сертификатор верхнего уровня, выбрав пункт Domino Administrator \to Configuration (Конфигурация) \to Registration (Регистрация) \to Organization (Организация). Если у вас уже есть сертификатор верхнего уровня, используйте его. Не создавайте другой.
  2. Перенесете сертификатор верхнего уровня в процесс СА, для чего выберите пункт Domino Administrator \to Configuration (Конфигурация) \to Certification (Сертификация) \to Migrate Certifier (Перенести сертификатор). Выполните следующие шаги:
    • Выберите ID-файл сертификатора верхнего уровня
    • Перейдите к закладке Basics (Общие) мастера переноса и введите следующую информацию:
      • укажите имя СА-сервера;
      • оставьте без изменений имя файла списка интернет-сертификаторов (Internet Certifier List, ICL);.
      • зашифруйте ID сертификатора с помощью пункта Server ID (ID сервера);
      • не требуйте пароль активизации;
      • укажите имена администраторов, ответственных за сертификатор (certifier authority administrators, САА) и администраторов, ответственных за регистрацию (registration authorities, RA).
      САА является владельцем сертификатора и может вносить в него любые изменения. RA может использовать этот сертификатор для создания пользователей, серверов и подразделений (отметим что в версии 6 столбец САА по ошибке называется CA). Поскольку мы имеем дело с сертификатором верхнего уровня, рекомендуется, чтобы число людей, являющихся одновременно САА и RA, было небольшим
    • Перейдите к закладке Certificates (Сертификаты)

Мы рекомендуем оставить неизменными значения, заданные по умолчанию, возможно за исключением первого значения в первом столбце. Здесь указан срок действия ID конечных пользователей, созданных при помощи данного сертификатора, составляющий по умолчанию 24 месяца. В некоторых организациях этот период составляет 12 месяцев.

На рис. 3.7 показано диалоговое окно переноса сертификатора в Administrator 7.

Диалоговое окно переноса сертификатора

Рис. 3.7. Диалоговое окно переноса сертификатора

3.9.2 Изменение сертификатора верхнего уровня

Для выполнения этой операции вы должны быть САА для сертификатора верхнего уровня. Вы также должны иметь права Editor для доступа к Domino Directory (NAMES NSF) в данном домене Notes.

  1. В Domino Administrator выберите пункт Configuration (Конфигурация) \to Certification (Сертификация) \to Modifier Certifier (Модификация сертификатора).
  2. Укажите сервер CA
  3. Укажите сертификатор в Domino Directory (вместо базы ICL).
  4. Выберите изменяемый сертификатор.
  5. Нажмите ОК, чтобы открыть сертификатор.
  6. Внесите необходимые изменения.
  7. Нажмите ОК, чтобы сохранить изменения.
Создание и перенос сертификаторов подразделений

Выполните следующие шаги:

  1. Чтобы создать новые сертификаторы уровня подразделений, выберите пункт Configuration (Конфигурация) \to Certification (Сертификация) \to Registratio n (Регистрация) \to Organizational Unit (Подразделение организации). (Этот пункт применим только к новым подразделениям. Существующие подразделения просто переносятся в СА) Выполните следующие шаги:
    • выберите сервер СА;
    • выберите пункт Use the CA process (Использовать процесс CA);
    • из списка сертификаторов в CA выберите сертификатор верхнего уровня, который будет использоваться при создании нового подразделения;
    • введите стандартную информацию о сертификаторе подразделения и нажмите Register (Зарегистрировать).
  2. Перенесите сертификатор подразделения в процесс СА, выбрав пункт Configuration (Конфигурация) \to Certification (Сертификация) \to Modifier Certifier (Модификация сертификатора). Выполните следующие шаги:
    • Выберите ID-файл сертификатора подразделения.
    • Перейдите к закладке Basics (Общие) мастера переноса. Укажите следующую информацию:
      • имя сервера СА;
      • оставьте без изменений имя файла ICL;
      • зашифруйте ID сертификатора с помощью пункта Server ID (ID сервера);
      • не требуйте пароль активации;
      • имена администраторов, ответственных за сертификатор (certifier authority administrators, CAA) и администраторов, ответственных за регистрацию (registration authorities, RA).
      CAA является владельцем сертификатора и может вносить в него любые изменения RA может использовать этот сертификатор для создания пользователей (отметим, что в версии 6 столбец САА по ошибке называется CA). Поскольку мы имеем дело с сертификатором уровня подразделения, рекомендуется, чтобы число людей, являющихся САА, было небольшим, а число RA, работающих в организации, было больше.
    • Перейдите к закладке Certificates (Сертификаты).

Мы рекомендуем оставить неизменными значения, заданные по умолчанию, возможно за исключением первого значения в первом столбце. Здесь указан срок действия ID конечных пользователей, созданных при помощи данного сертификатора, составляющий по умолчанию 24 месяца. В некоторых организациях этот период составляет 12 месяцев.

Примечание. Вы должны представить RA следующие дополнительные права:
  • NAMES.NSF: права Author, привилегия Create Document, роли UserCreator и UserModifier;
  • CERTLOG.NSF: права Author, привилегия Create Document.

3.9.3 Изменение сертификаторов подразделений

Для выполнения этой операции вы должны быть САА для сертификатора подразделения. Вы также должны иметь права Editor для доступа к Domino Directory (NAMES NSF) в данном домене Notes.

  1. В Domino Administrator выберите пункт Configuration (Конфигурация) \to Certification (Сертификация) \to Modifier Certifier (Модификация сертификатора).
  2. Укажите сервер СА.
  3. Укажите сертификатор в Domino Directory (вместо базы ICL).
  4. Выберите изменяемый сертификатор.
  5. Нажмите ОК, чтобы открыть сертификатор.
  6. Внесите необходимые изменения.
  7. Нажмите ОК, чтобы сохранить изменения.

3.9.4 Настройка восстановления ID

Выполните следующие шаги:

  1. Выберите пункт Domino Administrator \to Configuration (Конфигурация) \to Certification (Сертификация) \to Edit Recovery Information (Редактирование информации для восстановления).
  2. Укажите сервер CA
  3. Выберите пункт Use the CA process (Использовать процесс СА).
  4. Из списка сертификаторов в СА выберите сертификатор, который вы хотите отредактировать.
  5. Введите информацию для восстановления ID.
  6. Настройте длину cookie. Чтобы cookie был длиной больше 16 символов, у вас должен быть установлен Domino Administrator 7 или выше.
  7. Укажите имя ранее созданной базы данных-получателя почты (mail-in).
  8. Нажмите ОК, чтобы сохранить информацию для восстановления.

После изменения и сохранения информации для восстановления она автоматически копируется в ID-файлы пользователей, обращающихся к своим домашним серверам. Обновленные копии пользовательских ID-файлов (с новой информацией для восстановления) в ходе этого процесса автоматически посылаются в почтовую базу данных.

3.9.5 Изменение информации для восстановления ID

Изменение информации для восстановления ID происходит точно так же, как ее первоначальная настройка. Пользователи получают обновленную информацию точно так же при обращении к своим домашним серверам.

3.9.6 Восстановление забытого пароля: действия пользователя

Пользователь может проверить доступность информации для восстановления, выбрав пункт File (Файл) \to Security (Безопасность) \to User Security (Безопасность пользователя) \to Basics (Общие). Если кнопка Mail Recovery ID (Отправить резервную копию ID по почте) доступна, это указывает на то, что в ID есть информация для восстановления. Нажмите на эту кнопку, чтобы отправить зашифрованную резервную копию в базу данных для восстановления.

3.9.7 Восстановление потерянного или поврежденного ID-файла

Восстановление потерянного или поврежденного ID-файла выполняется аналогично восстановлению пароля у существующего ID-файла, с одним дополнением. Прежде чем приступить к восстановлению, пользователь запрашивает у администратора резервную копию ID-файла.

Поскольку рабочая станция Notes пользователя заблокирована, администратор не может просто послать ID пользователю по почте. Пользователь должен получить копию ID-файла либо дойдя до офиса администратора (если это возможно), либо через почту коллеги по работе, либо по обычной почте (на дискете или CD).

Получив резервную копию ID-файла, пользователь может продолжать восстановление так же, как если бы он забыл пароль к ID.