Nelle recenti versioni di domino sono stati introdotti nuovi strumenti che facilitano la gestione della sicurezza e vanno incontro alle esigenze di cambio password, sincronizzazione utenti, single logon.
Panoramica degli argomenti della sessione:
- ID Vault, Recovery ID, Reset Password
- Security Policy (sincronizzazione password, scadenza)
- Single Logon
- AD Synch
Notes Domino Security - Gli Strumenti Indispensabili E Le Novità Per Una Gestione Semplice E Sicura
1. Notes/Domino Security
Gli strumenti indispensabili e le novità per una
gestione semplice e sicura
Autore: Vincenzo Capponcelli
Professione: Domino Administrator
2. domino point day2009
Sicurezza - Esigenze
A prescindere dalla piattaforma software, uno dei primi aspetti di sicurezza è
costringere gli utenti a:
•Utilizzare password complesse
•Aggiornare la password periodicamente
(imposto anche da leggi sulla privacy)
in Notes basta una policy ma:
•La % di utenti che dimenticano la password aumenta
•Questo processo non riguarda solo notes ed aggiornare la password in
tanti sistemi diventa un'attività onerosa per gli utenti e per l'helpdesk dei
sistemi informativi
Come risolverlo?
•Funzioni di Reset password
•Single Logon (con aggiornamento password automatico)
•Sincronizzazione Utenti/Gruppi/Password con sistemi esterni
2
3. domino point day2009
Agenda
• Panoramica della struttura di sicurezza notes/domino
•File ID
•Livelli di sicurezza domino
• Gli strumenti:
•Security Policy
•ID Vault
•Client Single Logon
•Notes Shared Logon
•Sincronizzatione Utenti/Gruppi (ADSynch, novità LDAP
8.5.x, prodotti di terze parti)
3
4. domino point day2009
La struttura di sicurezza di domino
Definire l'identità:
• Accesso tramite ID
• Accesso servizi internet tramite username / password
internet (scheda persona domino directory)
Dove posso andare?
• Livelli di accesso alle risorse domino (Server,
Directory, Database, Documenti, Sezioni, Campi)
4
5. domino point day2009
I Files ID
• cert.id
• server.id
• user.id
• ou.id (organization unit)
cosa contiene in sintesi il file user.id?
• La definizione del proprio nome
• L'appartenenza ad una organizzazione (certificati)
• La password
5
6. domino point day2009
Livelli di accesso alle risorse domino
• Accesso al server (Server document – security)
• Accesso alle cartelle (ACL directory)
• Accesso ai database (Database ACL)
• Accesso ai documenti (campi author/readers)
• Accesso a porzioni di documento (sezioni ad accesso
controllato)
• Accesso ai campi (Cifratura campi)
6
7. domino point day2009
Security policy
Le policy sono applicabili con diverse tipologie:
• dynamic policy (novità 8.5 assieme agli auto-populate
Groups)
• explicit policy (sconsigliate dopo l'arrivo delle dynamic
policy)
• organization policy
7
8. domino point day2009
Security policy
Focus su “Password management”:
• Verifica stessa password su tutti gli id (Check password on
notes id file)
• Sincronizzazione con internet password
• Verifica tempi di aggiornamento password
• Verifica complessità della password
8
9. domino point day2009
Server Document - Security
Abilitare la funzione Check Password on Notes IDS da
rendere poi effettivo con le policy di sicurezza (di
default non è attiva)
9
10. domino point day2009
ID Vault – i vantaggi
• Archiviazione automatica dei file ID (addio al backup
su disco dei file id)
• Download automatico dei file id
• Reset password
• Sincronizzazione automatica su più client notes
10
11. domino point day2009
ID Vault – Step by Step
• Live – Installazione
• Live – reset password
• Live – password recovery
11
12. domino point day2009
ID Vault – Step by Step - Create
12
13. domino point day2009
ID Vault – Step by Step
13
14. domino point day2009
ID Vault – Step by Step
14
15. domino point day2009
ID Vault – Step by Step
15
16. domino point day2009
ID Vault – Step by Step
16
17. domino point day2009
ID Vault – Step by Step
17
18. domino point day2009
ID Vault – Step by Step
18
19. domino point day2009
ID Vault – Step by Step
19
20. domino point day2009
ID Vault – Step by Step
20
21. domino point day2009
ID Vault – Step by Step
21
22. domino point day2009
ID Vault – Step by Step
22
23. domino point day2009
ID Vault – Step by Step
23
24. domino point day2009
ID Vault – Step by Step
24
26. domino point day2009
ID Vault – Security Policy
26
27. domino point day2009
ID Vault – Altre considerazioni
• ID Recovery
può rimanere ma non più necessario: ID Vault copre tutte le
funzionalità (backup e reset)
• ID in person document
non più necessario (rimuovere i file di per maggior sicurezza)
• Registrazione utente
in base alle policy di sicurezza la storicizzazione in IDVault è
automatica
• Cancellazione utente
scelta se disattivare o cancellare dall'IDVault
• Show Idvaults
console per verificare lo stato ed eventuali problemi
• Log dettagliato
Server – Analisis – Tools – Analize – Vault Security Log
27
28. domino point day2009
ID Vault – Registrazione utente
In automatico se definita
tramite organizational Policy
28
29. domino point day2009
ID Vault – Cancellazione utente
Impostando come inattivo l'id rimane
nella vista Inactive Users ID del
database IDVault
29
30. domino point day2009
ID Vault – Console>Show idvaults
30
31. domino point day2009
Client Single Logon (CSL)
• Installazione opzione durante setup client
31
32. domino point day2009
Client Single Logon (CSL)
• Diventa un servizio di windows
32
33. domino point day2009
Client Single Logon (CSL)
• Diventa attiva l'opzione Log in Notes using your
operating system login
33
34. domino point day2009
Client Single Logon (CSL)
Se cambia la password windows viene automaticamente
aggiornata anche la password notes a condizione che:
•Password sia uguale
•ID non in rete (es. nomerisorsaidfile.id)
•Username windows non coincide con il nome del pc
34
35. domino point day2009
Notes Shared Login (NSL)
A differenza del Client Single Logon non si basa su una
corrispondenza di password, ma sul riconoscimento delle
credenziali di windows
CLS NSL
35
36. domino point day2009
Notes Shared Login (NSL)
•Necessario dinstallare il CLS
•Attivazione dal server tramite security policy
•Valido solo per client su piattaforma windows (no citrix,
no usb)
36
37. domino point day2009
Notes Shared Login (NSL)
Accesso alla user security tramite credenziali di windows
37
38. domino point day2009
Notes Shared Login (NSL)
Il file ID funziona solo sul computer attivo. Per copiare l'id su altri
computer è necessario eseguire il comando di copia specifico (che riattiva
la password notes)
Errore se provo a utilizzarlo su un'altro computer
38
39. domino point day2009
Sincronizzazione Utenti/Gruppi
ora AD Synch, ma importanti novità nella 8.5.x
•ADSynch - Possibilità di
registrare creare/
aggiornare/eliminare
utenti da windows
•Meglio prodotti sviluppati
da business partner (es.
Firm)
•Dalla versione 8.5.x –
Directory Independence
(DI) ovvero utilizzare l'ldap
esterni per utenti/gruppi
(active directory)
39