Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Werte öffentlicher Schlüssel vergleichen
Die Signaturen in Benutzer- und Serverzertifikaten, die bei der Authentifizierung ausgetauscht werden, werden immer geprüft. Sie können eine zusätzliche Verifizierungsstufe für öffentliche Schlüssel aktivieren, indem Sie den Wert des Schlüssels in den Zertifikaten mit dem Wert des im IBM® Domino-Verzeichnis aufgeführten Schlüssels vergleichen lassen. Es ist möglich, dass Benutzer sich bei einem Server authentifizieren, der Wert des öffentlichen Schlüssels in seinem Zertifikat sich jedoch von dem im Domino-Verzeichnis enthaltenen Wert unterscheidet.

Warum und wann dieser Vorgang ausgeführt wird

Diese zusätzliche Schlüsselprüfung schützt gegen Missbrauch im Fall von verloren gegangenen oder bekannt gewordenen ID-Dateien. Wenn eine ID-Datei verloren geht, muss ihr Besitzer in der Regel registriert sein, um eine neue ID-Datei und einen Verzeichniseintrag erstellen zu können. Wenn die ID-Datei bekannt geworden ist, müssen der öffentliche und der private Schlüssel des Besitzers ausgetauscht und der neue Schlüsselsatz anschließend zertifiziert werden (wodurch der Verzeichniseintrag aktualisiert wird). Durch das Aktivieren der Schlüsselverifizierung auf Verzeichnisebene kann ein Angreifer, der im Besitz der alten ID-Datei ist, nicht auf den Server zugreifen, auch wenn die alte ID-Datei möglicherweise ein gültiges Zertifikat enthält.

Sie können auch festlegen, dass eine Protokollnachricht generiert wird, wenn eine Authentifizierung erfolgreich war, aber eine Abweichung der Schlüsselwerte festgestellt wurde. Dies ermöglicht dem Administrator, festzustellen, seit wann der Inhalt der ID-Datei von den Verzeichniseinträgen abweicht, ohne dabei zu verhindern, dass Benutzer sich trotz dieser Abweichung authentifizieren können.

Prozedur

1. Klicken Sie in Domino Administrator auf das Register Konfiguration und öffnen Sie das Serverdokument.

2. Klicken Sie auf das Register Sicherheit.

3. Klicken Sie im Abschnitt Sicherheitseinstellungen auf die Liste neben Öffentliche Schlüssel vergleichen und wählen Sie eine der folgenden Optionen aus:

Überprüfen von öffentlichen Schlüsseln für alle Notes-Benutzer und Domino-Server zwingend - Um den Schlüsselwert in den Zertifikaten, die während der Authentifizierung ausgetauscht werden, mit dem im Domino-Verzeichnis gespeicherten Schlüsselwert zu vergleichen. Alle Benutzer oder Server, die nicht in einem vertrauenswürdigen Verzeichnis gelistet sind, werden behandelt, als sei diese Überprüfung fehlgeschlagen und erhalten keinen Zugriff auf diesen Server.
Überprüfen von öffentlichen Schlüsseln für in vertrauenswürdigen Verzeichnissen aufgeführte Notes-Benutzer und Domino-Server zwingend - Um den Schlüsselwert in den Zertifikaten, die während der Authentifizierung ausgetauscht werden, mit dem im Verzeichnis gespeicherten Wert nur dann zu vergleichen, wenn der Benutzer oder Server in einem vertrauenswürdigen Verzeichnis aufgeführt ist. Alle Benutzer oder Server, die nicht in einem vertrauenswürdigen Verzeichnis gelistet sind, werden behandelt, als sei diese Überprüfung erfolgreich abgeschlossen worden.
Anmerkung: Mithilfe dieser Option kann der Administrator Benutzern, die nicht im Verzeichnis aufgeführt sind, Zugriff auf Datenbanken und Anwendungen auf dem Server gewähren. Die Zugriffskontrollliste einer Datenbank kann beispielsweise so konfiguriert sein, dass für alle im Domino-Verzeichnis aufgeführten Benutzer Editorzugriff und für alle anderen Benutzer Lesezugriff aktiviert ist. Wenn die Option zum Überprüfen der Schlüssel aktiviert ist, können die nicht im Verzeichnis aufgeführten Benutzer also weiterhin auf den Server zugreifen und die Datenbank verwenden, für die sie Leserechte besitzen.
Überprüfen von Schlüsseln nicht zwingend - Wenn während der Authentifizierung nur die Zertifikatsignaturen, nicht aber die Schlüssel gegen den Verzeichnisinhalt geprüft werden sollen.

4. Klicken Sie auf die Liste neben Nichtübereinstimmungen von öffentlichen Schlüsseln protokollieren und wählen Sie eine der folgenden Optionen aus:

Nichtübereinstimmungen von öffentlichen Schlüsseln für alle Notes-Benutzer und Domino-Server protokollieren - Um Ereignisse zu protokollieren, die auftreten, wenn der Schlüsselwert in den bei der Authentifizierung ausgetauschten Zertifikaten nicht mit dem im Domino-Verzeichnis gespeicherten Schlüsselwert übereinstimmt.
Nichtübereinstimmungen von öffentlichen Schlüsseln nur für in vertrauenswürdigen Verzeichnissen aufgeführte Notes-Benutzer und Domino-Server protokollieren - Um Ereignisse zu protokollieren, die auftreten, wenn der Schlüsselwert in den bei der Authentifizierung ausgetauschten Zertifikaten mit dem im Verzeichnis gespeicherten Schlüsselwert nicht übereinstimmt und der Benutzer oder Server in einem vertrauenswürdigen Verzeichnis aufgeführt ist.
Nichtübereinstimmungen von Schlüsseln nicht protokollieren - Um nur Authentifizierungsfehler zu protokollieren.

5. Fahren Sie den Server herunter und starten Sie ihn neu, damit die Änderungen wirksam werden. Der Server führt jede Stunde eine Abfrage durch, um festzustellen, ob sich diese Einstellungen geändert haben. Wenn der Server also nicht neu gestartet wird, kann es bis zu eine Stunde dauern, bevor die neuen Änderungen wirksam werden.

Zugehörige Konzepte
Sicherheit von öffentlichen Schlüsseln

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe