d3 000908 lotusday hagen bcc id vault
DESCRIPTION
ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID-Vault Referent: Olaf BörnerBCC UnternehmensberatungTRANSCRIPT
Lotusday 2009Hagen, 8. September 2009 - Arcadeon
ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID-Vault
Referent: Olaf BörnerBCC Unternehmensberatung
D3
Agenda
Vorstellung Darstellung der TOP 3 Probleme im Bereich ID Management Architektur ID Vault Technische Features Live Demo Diskussion der Sicherheit Integrationsmöglichkeiten in Unternehmen
BegrüssungWer ist BCC ? • Professionelle Dienstleistungen im Lotus Domino
Umfeld• Infrastruktur Services • Messaging Services • Konsolidierungen
• Anbieter für Administrations- und Security Produkte für IBM Lotus Domino
Meine Person• Seit 1994 als Technical Consultant und PL im
Notes Bereich tätig • Schwerpunkt Enterprise Customers • CLP 3 -> CLP 8 Admin • Schwerpunkt Administration und Infrastruktur
Darstellung der TOP 3 Probleme im Bereich ID ManagementHandling der Lotus Notes ID steht seit Anfang
an als Synonym für das „aufwändige“ proprietäre Administrationskonzept Kernprobleme 1. ID- und Passwort-Verteilung bei Neuanlage
• Wie kommt die ID zum Anwender ? • Wie kommt das Passwort zum Anwender?
2. Password Reset: Wie kann ich zentral am Helpdesk das Kennwort zurücksetzen
3. User hat die ID verloren / ID ist kaputt
Bisherige Lösungsansätze Ad 1 – ID Verteilung• Manuelle Verteilung über CD etc (LN 3 & 4) • Ablage der LN ID im Adressbuch • Verteilung über Software Verteilung • Zentrale Ablage und Kopie in User Home beim Login • Download durch den Anwender via Browser Ad 2 – Password Reset • Erstellung & Verteilung neuer ID mit neuen Kennwort • Verteilung Backup ID mit alten oder neuen Kennwort • Nutzung LN Password Recovery ab R 6 • Integration in Windows (Nutzung Lotus Single Login
mit Windows ) - Ad 3 ID verloren • Analog Password Reset
ID Vault in Lotus Notes 8.5
Ziele von Lotus fuer ID VaultVault: Tresorraum, Stahlkammer, GrabgewölbeReplace expensive to manage ID file and password recovery systems and significantly reduce costly user downtimeSimplify provisioning of Lotus Notes ID credentials to new users, to new computers for existing users and replace deleted ID fileAutomatically upload ID files to vault for existing Lotus Notes users Streamlined process for resetting forgotten passwordsHelp desk options - Programmatic interfaces for self-service password applications
Architektur ID VaultTechnische Vorraussetzung: • Lotus Notes Client Version 8.5 • Domino Server 8.5 – • Gemischte Server Umgebung wird
unterstützt mindestens ein Anmelde Server muss jedoch Domino 8.5 sein
IDs werden auf dem Lotus Domino Server gespeichert• pro Notes ID wird ein Notes Dokument in
einer ID Vault Datenbank angelegt • Repliken der ID Vault Datenbanken auf allen
Server bzw. Anmeldeservern
Architektur ID Vault
Technische Features ID VaultUpload / Download von ID Files vom lokalen ClientAblage der ID Datei im ID Vault bei der Anlage des User (User Creation) Synchronisation / Merge von ID Files • Lokale ID am Client mit ID im ID Vault bei
Änderungen an lokaler ID Datei •Neues Passwort •Neue Secrect Encryption Keys •Neue SMIME Keys
• Zentrale Änderung durch andere Anmeldungen • Zentrale Änderung der ID Datei bei Passwort
Reset
Technische Features ID VaultUnterstützung des Key Rollover (Upgrade auf aktuelle Schlüssellängen) ohne „User Impact“ Notes to Internet Sync wird unterstütztErzwingen eines Passwort Wechsel nach dem Passwort ResetSpezieller Text im Login Dialog für vergessenes KennwortManagement über Policies Remote Password Reset via API (Script, Java, C) für Integration von 3rd Party Applikationen
Management des ID VaultManagement der ID Vault Datenbank erfolgt über AdminClient • Create, Manage, Delete ID Vault • Einrichtung der Password Reset Authority • Zuordnung der Passwort Reset „Rolle“
Empfehlung: • Sicherstellung eines sicheren „ID Vault“ ID Files • Analog zu Certifier
Trust Management • Festlegung welche ID Dateien im ID Vault gespeichert
bzw. Aufgenommen werden dürfen -> via Trust Beziehung
• Festlegung welche ID Dateien im ID Vault „upgeloadet“ werden dürfen
ID Management Tasks innerhalb des ID VaultLöschen von ID Files aus dem Vault
ID Dateien können als inaktiv gekennzeichnet werden Zugriff zur ID Vault Datei und Passwort
ID Vault am Lotus Notes 8.5. Client Zuordnung des Users zum ID Vault anhand von ID Vault Policies Notes ini Einstellungen am Client• KeyFileName_Owner=CN=Test Illgen/O=BCC_AdminTool • KEYFILENAME=C:\AdminTool\AdminTool\data\tilgen.id• Alternative: Leere Notes.ini mit üblichen 4 StartUp Zeilen
• Angabe Username, Servername für Download ID Notes.ini Protokollierungen• IDVAULT_COUNT1=0• IDVAULT_STAMP1=13.05.2009 11:49:30 • IDVaultLastServer=CN=Demo Server/O=BCC_AdminTool• IDVaultLastFlushTime=06.11.2008 20:04:27
Live Demo ID Vault
Monitoring / Protokollierung
Einbindung in das „übliche“ Domino Monitoring Domino Server Console • Sh idvault • Anzeige von technischen
Statusinformationen zum ID Vault• Anzeige von eventuellen Störungen
Monitoring / Protokollierung
Protokollierung in der Log.nsf und auch ddm.nsf• ID vault creation, ID Upload, ID downloads• ID extracts • Password resets
Ansicht Security Events
Monitoring / Protokollierung
Geplant in zukünftigen Versionen• ID vault replica creation • ID vault replica deletions • ID copy synchronization • ID vault deletion • ID vault administrator changes • ID vault trust certificate changes
Managing ID Vault mit Policy
ID Vault ist Teil des Security Setting DokumentesMögliche Einstellungen • Passwort Text in Login Box • Passwort Wechsel nach Reset erzwingen• Automatischen Download jederzeit erlauben • ID Download auf Zeitintervall beschränken • Eingabe einer Fehlermeldung beim ID
DownloadDemo
Architektur ID Vault mit BCC_AdminTool
ID Vault – Sicherheitskonzept
SicherheitskonzeptZuordnung / Nutzung des ID Vaults für den jweiligen User• Ziel: Einsammlung der IDs mit unauthorizierten ID
Vaults verhindern• Zuordnung wird über sogenannte Trust Certificate
gesteuert • Anlage Trust Certificate als Notes ID während der
Erstellung „Certifier 2.0“• Ablage der Trustcertificate als
Querzulassungsdokumente im Domino Directory • Erstellung eines Vault Operation Keys (VO)
• Zur Erstellung Querzulassung ist Nutzung auf den Certifier notwendig
• Sicherheit der Zertifier ist entscheidend !
SicherheitskonzeptSchutz vor Download der ID aus ID Vault• Maximale Downloads bei falschen Kennwort
Schutz vor falschen Passwort Resets • Erstellung und Zuordung der Passwort Reset Zertifikates
Speicherung der ID Datei im ID Vault • ID Datei wird als Attachment gespeichert • IDs im ID Vault haben interessanterweise kein Passwort !• ID File Dateien werden verschlüsselt im ID Vault
gespeichert • Symetrische Verschlüsselung mit 256 BIT AES – (SE
Keys)• Pro User ID ein eigener SE Key • SE Keys werden mit 2048Bit RSA Key des VO Key
verschlüsselt • VO Key wird mit private Key der Server ID verschlüsselt
SicherheitskonzeptSicherheit durch „temporäre ID Files“ • Bislang immer Ablage der ID auf File-System • ID Vault kann ID File im Speicher verwenden• Performance !
ID Vault Datenbank ACL • User Manager muss bei User Registration ein
Dokument erzeugen dürfen • Rolle Auditor muss kontrolliert werden
Sicherung des Netzwerk „Verkehrs“ • ID Datei wird mit 256 Bit AES Transport Encryption
Key geschützt Zusammenfassung• Server ID des Vault Server muss besonders
geschützt werden • Überwachung des ACL und Auditor Rolle
Durchführung Passwort Reset Sicherheit durch Zuordnung eines Querzulassung zu den entsprechenden „Ausführer“ • Org Certifier • Person • FunktionsID
Ausstellung der Querzulassung durch den ZertifierQuerzulassungdokument im Domino Directory Ausführung über AdminClient Alternativ Nutzung des API Calls
ID Vault Auditor Function ID Vault Auditor kann Dateien aus dem ID Vault extrahieren • Verwendung der IDs um Zugriff auf
verschlüsselte Daten zu bekommenVorgehensweise• ID Auditor verwendet Funktion „Extract ID“
im AdminClient • ID Auditor ändert das Passwort der
extrahierten Dateinotwendige Rechte • Manager Zugriff auf ID Vault • Rolle Auditor Rolle in der ACL
ID Vault Auditor Function
Zusammenfassung• Auditor benötigt kein Passwort des
Anwenders um auf dessen ID zuzugreifen !• Prüfung ob der Auditor Zugriff auf die ID
Datei hat, wird nur durch ACL Zugriff auf ID Vault geregelt.
• SECURE_DISABLE_AUDITOR=1 in der notes.ini um diese Funktion auszuschalten
Vielen Dank für Ihr Interesse!Weitere Informationen:
BCC Unternehmensberatung GmbHFrankfurter Straße 80-82
65760 EschbornTel. 06196 – 64040 – 0
Fax. 06196 – 64040 – 18http://www.bcc.biz