Компания IBM
Опубликован: 04.11.2008 | Доступ: свободный | Студентов: 842 / 119 | Оценка: 4.42 / 4.17 | Длительность: 37:45:00
Лекция 14:

Защита данных

Использование смарт-карт для входа в Notes

Предупреждение Систему входа с помощью смарт-карт ни в коем случае не следует задействовать, не оповестив об этом администратора. Администратор при этом должен убедиться, что для учетной записи не используется режим ограничения срока действия пароля.

Смарт-карты похожи на кредитные карточки, но вместо магнитной полосы у них имеются микропроцессор и микросхема памяти. Начиная с версии Lotus Notes 6, Notes позволяет использовать смарт-карту совместно с учетной записью пользователя при условии, что на компьютере имеется устройство для считывания смарт-карт. Если для учетной записи разрешен вход по смарт-карте, вместо пароля Notes предлагает ввести личный секретный код (PIN-код) смарт-карты. Одним из основных различий между использованием пароля Notes и PIN-кода смарт-карты является блокировка смарт-карты при многократном неправильном вводе PIN-кода, после чего требуется вмешательство администратора.

Преимущество смарт-карт при работе с Notes состоит в том, что они позволяют блокировать учетные записи. В обычном режиме для доступа к Notes нужны только учетная запись и пароль. При работе же со смарт-картой требуются учетная запись, сама смарт-карта и ее PIN-код. Поскольку пользователь носит смарт-карту с собой (подобно кредитной карточке), вероятность "присвоения" его учетной записи другим лицом снижается.

Примечание Notes версии 5 или более ранней не допускает использования учетной записи Lotus Notes 6, настроенной на работу со смарт-картой.

Чтобы разрешить вход в систему по смарт-карте

Если пароль Windows NT/2000 или интернет-пароль для доступа к Domino синхронизирован с паролем Notes, работа со смарт-картой требует эту синхронизацию отключить.

Предупреждение Прежде чем начать работу со смарт-картой, необходимо обратиться к администратору, чтобы убедиться в возможности восстановления учетной записи. Если для входа в систему нужен пароль, параллельно использовать учетную запись, настроенную для работы со смарт-картой, и ее обычную восстановленную версию нельзя. В целом при использовании смарт-карты проверка пароля должна быть отключена. После того как учетная запись была настроена на работу со смарт-картой, отказаться от этого уже невозможно.
  1. Убедитесь, что на компьютере установлено устройство для считывания смарт-карт, а администратор сохранил данные, необходимые для восстановления учетной записи.
  2. Вставьте смарт-карту в устройство считывания.
  3. Выберите команду: Файл - Безопасность - Безопасность пользователя.Пользователи Macintosh OS X: Notes - Security - User Security.
  4. Откройте вкладку "Идентификация", а затем - вкладку "Смарт-карты".
  5. В окне "Настройка смарт-карты" введите полный путь к папке с файлом драйвера смарт-карты PKCS #11 в поле "Файл драйвера смарт-карты" или найдите этот файл с помощью кнопки с изображением папки. (Этот файл обычно устанавливается вместе с устройством считывания смарт-карт.) Например: C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL.
    Совет В списке, расположенном непосредственно под полем "Файл драйвера смарт-карты", как правило, представлены возможные варианты расположения этого файла.
  6. Нажмите кнопку "Продолжить".
  7. Нажмите кнопку "Разрешить вход с использованием смарт-карт" в окне "Использование смарт-карт в Notes".
  8. Введите пароль Notes, а затем PIN-код смарт-карты. Как только будет получено подтверждение о включении входа по смарт-карте, при входе в Notes следует использовать PIN-код смарт-карты.
  9. Для некоторых смарт-карт поддерживается возможность ввода описания. В этом случае по запросу введите описание в поле "Подпись для входа со смарт-картой". Например: "Карта Ивана Ивановича".
Примечание Отходя от рабочей станции, не забудьте взять смарт-карту с собой. При использовании драйвера смарт-карт PKCS#11 версии 2.01 или более поздней удаление смарт-карты из устройства считывания автоматически приводит к блокированию окна Notes до тех пор, пока смарт-карта не будет вставлена в устройство чтения и не будет повторно введен PIN-код.

Чтобы сохранить личные ключи Интернета на смарт-карте

На смарт-карте можно хранить личные ключи Интернета из личных сертификатов для Интернета (это не относится к сертификатам, полученным от агентств сертификации). Хранение личных ключей Интернета на смарт-карте повышает их уровень защищенности по сравнению с хранением в файле учетной записи. После перемещения личного ключа на смарт-карту при экспорте сертификата в файл помещается только сам сертификат без личного ключа.

Некоторые ключи (в том числе 630-разрядные личные ключи) на смарт-карты помещать нельзя.

Предупреждение Помещенные на смарт-карту личные ключи Интернета удалить невозможно. Восстановить ключи со смарт-карты можно только в случае, когда восстановление предусмотрено для учетной записи. Если данные для восстановления учетной записи изменяются после размещения ключей на смарт-карте, восстановить ключи напрямую становится невозможно. Если же личные ключи Интернета не восстанавливать, данные, зашифрованные с помощью этих ключей, будут недоступны. Перед продолжением этой процедуры узнайте у администратора, могут ли быть восстановлены ваши личные ключи Интернета.
  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. По запросу введите PIN-код.
  3. Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
  4. В списке выберите вариант "Ваши сертификаты Интернета".
  5. Выберите сертификат Интернета, соответствующий личному ключу, который необходимо сохранить на смарт-карте.
  6. В правой части диалогового окна выберите команду: Другие действия - Переместить личный ключ на смарт-карту.
  7. Получив предупреждение о невозможности отмены действия, нажмите кнопку "Да".
  8. Введите PIN-код.
  9. Должно появиться подтверждение успешного сохранения личного ключа.

Чтобы импортировать сертификаты Интернета со смарт-карты

Если на выданной вам смарт-карте уже сохранены ключи Интернета, Notes поддерживает возможность импорта этих ключей и их сохранения в файле учетной записи. Позже Notes сможет их найти и использовать.

Примечание Эта возможность доступна только пользователям, на компьютерах которых установлено устройство чтения смарт-карт, и использование смарт-карт включено в учетной записи Notes. В противном случае ее нельзя выбрать.
  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. По запросу введите PIN-код.
  3. Откройте вкладку "Идентификация", а затем - вкладку "Сертификаты".
  4. Нажмите кнопку "Получить сертификаты". Появится список, в котором перечислены возможные способы импорта сертификатов в файл учетной записи.
  5. Выберите команду "Импорт секретного ключа со смарт-карты". С текущей смарт-карты будут импортированы все доступные сертификаты.

Запрос нового имени пользователя

Чтобы запросить новое имя пользователя, например при смене фамилии после замужества, необходимо обратиться к администратору. После изменения имени пользователь получает новые сертификаты для учетной записи, соответствующей новому имени. При этом возможны два варианта. В одном из них пользователь получает уведомление об изменении имени администратором и должен это изменение одобрить, а в другом изменение выполняется автоматически без уведомления.

  1. Выберите команду: Файл - Безопасность - Безопасность пользователя. Пользователи Macintosh OS X: Notes - Security - User Security.
  2. Откройте вкладку "Идентификация", а затем - вкладку "Имена", и нажмите кнопку "Изменить имя" в разделе "Имена Notes".
  3. Нажмите кнопку "Отправить сообщение".
  4. Введите новое подходящее имя в соответствующее поле и нажмите кнопку "ОК".
  5. В поле "Кому" введите имя администратора. Если это имя доступно, при подключении к сети оно само появится в поле "Кому". Чтобы найти его в справочнике Domino или личной адресной книге, нажмите кнопку "Адрес".
  6. Введите в поле "Текст" описание необходимых изменений.
  7. При необходимости зашифруйте или подпишите сообщение с помощью флажков "Подпись" и "Шифровать".
  8. Нажмите кнопку "Отправить".
  9. В диалоговом окне "Изменение имен Notes" выберите режим изменения.
  10. Выберите вариант "Запросить подтверждение перед изменением имени", чтобы до завершения администратором этой процедуры, получить уведомление с запросом на подтверждение нового имени. Это удобно, например, в случаях, когда желательно проверить правильность написания имени.
  11. Выбор вариант "Автоматически загрузить и принять изменение имени", если хотите обойтись без процесса уведомления/одобрения.
  12. Дальнейшие события, в зависимости от выбранного администратором способа изменения имени, происходят по одному из трех сценариев.
  13. Имя автоматически изменяется при следующем подключении к серверу, и никаких дополнительных действий не требуется (только при выборе на шаге 8 режима "Автоматически загрузить и принять изменение имени").
  14. На экране появляется предложение принять изменение имени, отклонить его или отложить решение (только при выборе на шаге 8 режима "Запросить подтверждение перед изменением имени"). Выбор варианта "Повторить запрос позже" позволяет отложить решение о смене имени.
  15. На имя пользователя приходит письмо от администратора с новым именем. В этом письме содержатся также указания по включению нового имени в учетную запись.