Lotus Domino 8.5 中新的 ID Vault 功能,可以提供更简便的方法为用户恢复 ID 文件或重置密码。从而简化了 Domino 管理员的日常管理工作,提高管理员和用户的工作效率。本文着重介绍了 ID Vault 的部署和管理流程。
Domino 管理员的日常工作比较繁忙,用户 ID 文件的管理和维护就是最常见的一项。对于管理员来说这是一项简单而繁琐的工作;而对于用户,如果问题得不到及时的解决,就会影响日常基本工作,因为没有了 ID 文件或忘记密码,用户什么都干不了。可见,及时简便的 ID 管理方式无论对管理员或用户都非常重要。
ID Vault 是 Domino 8.5 引入的一个安全特性,旨在帮助管理员简化管理流程,更有效地管理用户 ID 文件。使用 ID Vault 可以更容易地解决用户丢失 ID 文件或忘记密码的问题,与之前的 ID Recovery 机制相比大大地节约了管理成本。
Vault 意为保险库,ID Vault 最直接的理解就是一个保存 ID 文件的保险库。ID Vault 并不是 Domino 8.5 才有的新名词,它出现在许多需要保护 ID 安全性的场合。例如网上交易,用户将需要保护的账户和密码信息保存在 Vault 中进行管理。
Domino 8.5 引入 ID Vault 特性使管理员更有效更容易地管理 ID 文件。ID Vault 是一个服务器上的数据库,用来保存用户 ID 文件,并且 ID 文件是以加密备份的形式存储的。即使非法用户获得了这个 ID 文件也无法使用,保证了 ID 的安全性。要使用这个功能,管理员需在服务器上建立一个 Vault,并指定此 Vault 的适用范围,即哪个组织可以使用这个 Vault, 然后新建一个与 Vault 相关的安全策略。这时,用户的 ID 文件就会被自动上传到 Vault 数据库中妥善地保存起来。具体的步骤是:
在构建起 ID Vault 之后,无论是新注册的用户还是已有的用户都可以自动把 ID 文件上传到 Vault 数据库中。如果用户是一个新用户,ID 文件在注册过程中就会被上传到 ID Vault 中。用户第一次跟服务器做鉴权时,ID 文件自动从 Domino 目录拷贝到客户端。这点同没有配置 Vault 的用户是一样的。对于一个已经存在的用户,这个过程几乎是透明的。用户要想知道 ID 文件是否上传到 Vault 中,可以在客户端中选择 File->Security->User Security,输入用户密码查看相关信息。如下图所示,如果用户成功地启用了 Vault,则会显示相应的 Vault 名称。
Vault 启动成功之后,客户端的 ID 文件和 Vault 中的 ID 文件就会自动保持同步。当用户忘记密码时,Domino 管理员通过 Admin 客户端将用户密码重置,或者用户自助式地重置密码。用户输入重置后的密码连接到服务器,ID 文件就会自动从 Vault 中下载到客户端,而不需要手动将 ID 文件拷贝到客户端。用户 ID 文件丢失或损坏的情况则更简单,用户登录时输入用户密码,ID 文件就会自动从 Vault 下载到客户端,当然前提是有网络连接。紧从忘记密码和 ID 文件丢失就可以看出,管理工作方便了很多,那么我们总结一下使用 ID Vault 的好处包括:
ID Vault 和 ID Recovery 恢复 ID 文件过程比较
Domino 8.5 仍然支持 ID Recovery 机制,本章以恢复 ID 文件为例,比较两种不同的工作模式。
ID Vault 是 Domino 8.5 的新功能,它对 Notes 和 Domino 的版本都有要求,如下表所列:
ID Vault | |
Lotus Notes | Notes 8.5 or above |
Domino Directory server | Domino 8.5 or above |
Vault server | Domino 8.5 or above |
User Home Server | Domino 8.5 or above |
注:保存 Vault 数据库的服务器称为 Vault 服务器。Domino 目录的管理服务器和用户的本地服务器不要求一定是 Vault 服务器。
ID 文件不可用通常有两种情况,ID 文件丢失和用户忘记密码。Domino 管理员通过 ID 恢复过程给用户提供一个可用的 ID 文件。本节将对 ID Vault 和 ID Recovery 两种 ID 管理机制下的 ID 恢复过程进行对比。
ID Vault
配置好 ID Vault 特性之后,Vault 中的 ID 文件和各个客户端的 ID 文件就会自动保持同步,而不需要 Domino 管理员或最终用户的参与。图 2 描述了 Vault 中恢复 ID 文件的过程。
1. ID 文件丢失
如果 Notes 用户硬盘上的 ID 文件丢失,客户端试图连接 Domino 服务器时,只要提供正确的密码,ID 文件就会自动从 Vault 下载到客户端,这个过程对 Notes 用户是不可见的,用户甚至都感觉不到这个过程。
2. 用户忘记密码
用户忘记密码时,可以联系有权限重置密码的 Domino 管理员进行密码重置,或者根据部署的重置密码程序自助式地重置密码。用户在拿到新密码之后登录客户端,输入新的密码,用户 ID 文件将会自动从 Vault 中下载到客户端。
ID Recovery
在 Domino8.5 之前,管理员使用 ID Recovery 来进行 ID 恢复。启用 ID 恢复后,用户的 ID 文件中将包含恢复信息,这里我们也分两种情况介绍 ID Recovery 下的 ID 恢复。
1. ID 文件丢失
如图 3 所示,配置好 ID 恢复特性之后,要想恢复用户的 ID 文件,需要最终用户和 Domino 管理员执行一系列的操作才能完成。ID 文件丢失和用户忘记密码时恢复 ID 文件的流程几乎相同,唯一不同的是丢失 ID 文件时,最终用户在恢复 ID 文件之前,需要联系其中一名管理员获得备份的 ID 文件。
Domino 管理员需要完成的操作:
最终用户需要完成的操作:
2. 用户忘记密码
用户有 ID 文件但是忘记密码时 , 恢复 ID 文件的流程与 ID 文件丢失的恢复流程几乎相同 , 唯一不同的是用户不需要联系 Domino 管理员获得备份的 ID 文件 , 直接使用客户端的 ID 文件即可。
从上述流程中可以看出,要想从 ID 文件的加密备份中恢复用户 ID 文件,是一件非常繁琐的事情。需要 Domino 管理员和最终用户的密切协作才能完成,尤其需要每位 ID 恢复管理员提供的恢复密码,如果有位 ID 恢复管理员没有提供恢复密码,恢复 ID 的工作就无法完成。而 ID Vault 的管理机制比 ID Recovery 机制简洁方便得多,大大地节约了管理成本。因此,尽管已有的 ID Recovery 在 Domino 8.5 的环境中仍然可用,我们还是建议 Domino 管理员用 ID Vault 替换 ID Recovery 来进行 ID 管理工作。
在了解了 ID Vault 的优势之后,本章详细介绍如何在服务器上部署 ID Vault。在开始部署之前,Domino 管理员需要考虑的几个问题。
创建多少个 Vault
首先,处于不同 Domino 域的用户不能使用同一个 Vault。因此,当环境中包含有多个 Domino 域时需要创建多个 Vault。此外,为了管理方便,即使是一个域中也需要创建多个 Vault。例如:Acme 公司包含有一个组织 /Acme 和多个组织单元,包括:/Dallas/Acme,/NewYork/Acme 和 /Shanghai/Acme 等;Acme 公司可以将所有用户的 ID 文件都保存在一个 Vault 中,但如果希望不同区域的人单独管理 ID 文件,就可以为每个区域创建一个 Vault,或者某几个区域创建一个 Vault。具体创建多少个 Vault,应该根据不同的情况,综合考虑 Vault 信任证书和 Policy 设置两个方面。现提供两种方案:
密码重置
用户、用户组、服务器和组织单元都可以有重置密码的权限,并将他们称为密码重置权威。在 ID Vault 中,有两种重置密码的方式供管理员选择:
在部署之前需要计划好重置密码的方式。如果选择第一种方式,则需要考虑哪些用户将有权限重置密码。而如果选择第二种,则需要开发自己的重置密码程序,并将它部署到服务器上。
将 Vault 保存在哪些服务器上
保存 Vault 数据库副本的服务器称为 Vault 服务器,通常情况下,将 Vault 数据库放在一台服务器上即可(要求 Domino 版本至少是 8.5)。但对于用户数很多的情况,可以在多个服务器上保存 Vault 副本来平衡性能。同时,为了避免 Vault 服务器不可用所带来的影响也需要考虑使用多个 Vault 服务器。
Vault 管理员
一个 Vault 至少需要一个 Vault 管理员,Vault 管理员能够添加 / 删除 Vault 服务器、添加 / 删除 Vault 管理员、添加 / 删除信任此 Vault 的组织、添加 / 删除密码重置权威、从 Vault 中提取 / 删除用户 ID 文件。一个用户要想成为 Vault 管理员,必须对 Admin 客户端所连接的服务器至少拥有管理员权限。
在做好了 Vault 部署计划以后就可以开始创建 ID Vault 了。Lotus Admin 客户端新增了一系列与 ID Vault 相关的操作。包括新建 Vault,管理 Vault,重置密码,导出用户 ID 文件等。
如图 4 所示,点击“Create …”创建一个新的 ID Vault,“Create and Configure Notes ID Vault”向导将会引导用户完成 Vault 的创建和配置工作,如下图所示,首先弹出来的页面包含 Notes ID Vault 的功能说明和此向导完成的工作说明,如果用户希望下次不再显示此页面,可以将“Don ’ t show this panel again”选项选上,那么下次创建 ID Vault 时将会跳过此页面。
下面我们分步骤介绍 ID Vault 创建过程:
第一步:定义 Vault 名称和描述信息
Vault 名称:
Vault 名字除了不能跟组织或组织单元的名字相同外,用户可以任意选择自己喜欢的 Vault 名称,这个名称决定了对应的 vault 数据库和 vault id 的名称。例如:命名为 ibmcn_vault 的 vault 对应的 vault 数据库为:ibmcn_vault.nsf,vault id 为:ibmcn_vault.id。此外,安全设置中分配的给用户 Vault 名称即是这个。注:Vault 一旦创建成功,vault 名称将不能再修改。
Vault 描述信息:
用户可以输入关于创建的 Vault 的一段描述信息,Vault 描述信息将作为对应的 Vault 数据库的标题。Vault 描述信息是可选的,如果用户没有输入,则 Vault 数据库的标题也为空。
第二步: Vault 密码和 ID 文件存放路径
创建的每个 ID Vault 会有对应的 Vault ID 文件和密码,这点上同用户 ID 是一样的。
Vault ID 的密码:
至少为 8 位,且遵从安全规则。
ID 文件存放路径:
应该将 vault ID 文件存放在一个安全的路径,并做好 Vault ID 文件的备份工作。
当 Vault 管理员添加或删除 ID Vault 副本时,需要提供 Vault ID 文件和密码。另外,删除 vault 时也需要提供这两个信息。
第三步:选择 ID vault 服务器列表
根据在计划阶段计划的,选择存放 vault 副本的服务器列表即可。
第四步:选择 vault 管理员
单击“Add or Remove …”添加或删除 vault 管理员。如图 10 所示:
从左边选择需要添加的用户,单击“Add”,用户则被添加到 vault 管理员列表中。需要注意的是:一个用户要想成为 Vault 管理员,必须对 Admin 客户端所连接的服务器至少拥有管理员权限。只有当这个条件满足时,用户才会出现在图 10 中可选用户列表中。
第五步:使用此 Vault 的组织或组织单元
选择使用此 Vault 的组织或组织单元,也即是信任此 Vault 的组织或组织单元。在 Vault 创建过程中,会相应地为使用此 Vault 的组织或组织单元创建 Vault 信任证书(Vault Trust Certificate)。
第六步:指定有权限重置密码的用户
选择有权限重置密码的用户、用户组、服务器或组织单元。一旦它们被赋予重置密码的权限,对应地会在 Domino 目录中创建一个密码重置证书。如果计划采用代理来让用户自己重置密码,在选择给代理签名的用户时还需要把“Self-service password reset authority”选项选上。
第七步:创建 / 编辑 ID Vault Policy 设置
由于第八步和第七步是关联的,因此我们在此一并介绍。
在本文的开始已经介绍过,一个用户要想使用 Vault,需要同时满足三个条件。这第三个条件即是:“用户的有效策略中,包含有关于 Vault 的安全设置”,关于更详细的 ID Vault 安全设置,我们将“4.4 Vault 安全设置”中介绍。在管理员可以在创建完 Vault 后手动创建包含使用 vault 的安全设置,再将此安全设置添加到用户的有效策略中。为了减轻管理员的工作,这个工作也可以在创建和配置 Notes ID Vault 过程中完成。包括:
如图 13 所示,管理员有 5 种方式可以选择。分别是:
这里,我们以第一种方式为例给大家介绍,选择“Create a new policy assigned to an organization”并单击“Next”,如下图所示:
通过“Add or Remove”选择组织名,单击“Next”。在“Forgotten Password Help Text”中输入用户忘记密码时的提示信息。单击“OK”完成。
第九步:验证 vault 配置信息
至此,vault 的配置过程中已经全部完成。如图 15 所示,用户可以在这一步浏览 vault 的全部配置信息,确认无误后单击“Create Vault”创建 vault。如果发现有误则单击“Previous”返回到之前的步骤进行修改。
第十步:创建 vault
在上一步确认无误,并单击“Create Vault”开始创建 vault。这个过程中会要求用户提供使用信任此 vault 的组织的 cert ID 和密码。直到弹出如下窗口提示成功地创建完 vault,整个过程才算完成。
从图中可以看出,Vault 创建过程中会生成以下文档:
如果创建 Vault 过程中选择了创建 Policy,还可以在 Domino 目录中看到 Policy 文档成功创建。
图 17 是在 server console 执行 show idvaults(sh id)的输出,从这可以很清楚地看到有关 vault 信息。
对于已经创建的 Vault,vault 管理员可以通过 Admin 客户端对它进行管理,如图 18 所示。其中包括:
从列表中可以看到,vault 的配置信息除了 vault 名称是不可更改的,其他信息都是可以重新配置的。
此外,管理员还可以通过 Admin 客户端 Configuration->Tools->ID Vaults 下的“Delete …”菜单删除 Vault。删除 Vault 会同时删除保存在 Vault 中的用户 ID 文件,所以应该谨慎操作。
在 8.5 中,安全设置中新增了关于 Vault 的设置项,如图 19 所示:
其中,管理员可以进行以下设置:
在“允许 ID 文件自动下载”为“No”时,这个选项才可以设置。它定义了 ID 文件的下载期限,例如:“允许 ID 文件自动下载”置为“No”,而“ID 文件的下载期限”为 2 天 12 小时。当管理员通过 Admin 客户端重置用户密码,并且设置最大允许下载次数为 1 时,用户必须在 2 天 12 小时的期限内使用重置后的密码登陆 Notes,用户 ID 文件才会自动从 Vault 中下载到本地客户端。
用户注册
在 8.5 的 Admin 客户端中注册用户时,高级菜单中的“ID Info”选项栏增加了一个关于 Vault 的选项。如果注册服务器版本低于 8.5,“ID vault not supported for this version of Domino.”会显示在“ID Info”选项栏。而对于 8.5 及 8.5 以后的版本,则变成“In Notes ID vault”选项域。当用户应用 Vault 的三个条件同时都满足时,这个选项默认已经选上,而且是不可以修改的。这种情况下,注册用户的同时用户 ID 文件会自动上传到 Vault。如图 20 所示:
注册完成后,可以到 Vault 数据库中查看保存的 vault 用户信息,如图 21 所示,新注册的用户 ID 文件已经上传到 Vault 中。Vault 用户文档中除了包含用户 ID 文件外,还有 ID 文件最后修改时间和最大允许下载次数。
删除用户
在删除用户时,可以选择将 ID 置为非活动而将 ID 文件依然保留在 vault 中,或者直接将 ID 文件从 vault 中删除。如图 22 所示:
如果用户的 ID 文件在 Vault 中处于非活动状态,他 / 她将不能执行有关 Vault 的操作,包括重置密码,自动保持同步等;
重置用户密码
当 Notes 用户忘记密码时,有权限重置用户密码的用户可以通过 Admin 客户端重置密码。其步骤如下 :
注:如果用户的 Vault 安全设置“允许 ID 文件自动下载”参数为“No”,则在图 23 的 “Reset User ’ s Password”窗口中,还可以设置用户 ID 文件的最大允许下载次数。
提取 ID 文件
在有些情况下,需要把 ID 文件从 vault 中提取出来。例如:用户没有网络连接,不能自动下载 ID 文件;这时就需要 Domino 管理员把 ID 文件提取出来交给用户。注:Domino 管理员和 vault 管理员都有权限提取 ID 文件。其步骤如下:
为了适应某些特殊需求,ID Vault 允许具有“Auditor”角色的 vault 管理员在不提供密码的情况下就提取出 ID 文件。如果想禁用这个功能,可以到所有的 vault 服务器上,设置 notes.ini 参数 SECURE_DISABLE_AUDITOR=1。SECURE_DISABLE_AUDITOR 是个系统变量,只能到 notes.ini 文件中修改,不能够在 server console 上修改。需要启用时再将 SECURE_DISABLE_AUDITOR=1 从 notes.ini 文件中删除,并重启 vault 服务器。
设置 ID 文件下载次数
为了控制 ID 文件的下载,可以将图 4 中的“Allow automatic ID downloads”(允许 ID 文件自动下载)设成“No”,并同时指定 ID 文件下载期限。
手动设置 ID 文件下载次数:使用 Admin 客户端,打开 People & Groups 页,单击要修改 ID 下载次数的用户文档,选择 Tools->ID Vaults-> Set ID Download Count …菜单,如图 25 所示。一般可以采用以下规则:用户在几个工作站上运行 Lotus Notes,就将最大允许下载次数设成几。也可以平时置成 0,当用户需要下载时 Domino 管理员再将其置成 1.
设置完 ID 下载次数之后,可以到 Vault 数据库中查看 vault 用户文档,确认最大允许下载次数已经修改。从图 26 中可以看出,最大允许下载次数已经置为 1。每次用户自动下载 ID 文件之后,这个数字会减 1,直到 0 为止。
除了使用“Set ID Download Count …”菜单设置最大允许下载次数,在重置密码窗口中也可以设置此参数,请参考图 23。
从 Vault 中删除用户 ID 文件 / 将 ID 置成非活动状态
保存在 Vault 中的 ID 文件可以被删除,也可以标记为非活动状态。关于这一点我们已经在讲解删除用户时介绍,管理员在删除用户时可以选择将 ID 文件从 Vault 中删除,或标记为非活动状态,如图 22 所示。此外,Vault 管理员也可以到 IBM_ID_VAULT 子目录下的 Vault 数据库中手动修改 ID 状态。
1. 手动将 ID 文件从 Vault 中删除。
打开 IBM_ID_VAULT 子目录下的 vault 数据库,选择相应的用户文档,单击“DEL”,按 F9 刷新即可。
2. 手动将 ID 文件标记为非活动状态。
打开 IBM_ID_VAULT 子目录下的 vault 数据库,选择相应的用户文档,单击“Mark ID Inactive”,用户文档就将出现在“Inactive User IDs”视图中。如果想还原 ID 的话,在“Inactive User IDs”视图中,单击“Restore ID”即可。
Roaming 用户是一种特殊的 Notes 用户,在 8.5 之前,只有一种 Domino Roaming 用户,它的一个功能就是用户的 ID 文件被隐藏地存储到该用户的 names.nsf 中,这样用户在不同的客户机上配置和访问 Notes 客户端时就不需要手工携带并拷贝 ID 文件了,非常方便。但这一功能仅仅局限在 Domino Roaming 用户。
从 8.5 开始,一种新的 Roaming 用户,File Server Roaming 诞生了,与经典的 Domino Server Roaming 相比,File Server Roaming 是把数据存储到本地的文件服务器上,而不是存储到异地的 Domino 服务器上,这种方式的优点是可以充分得利用本地高速网络带宽,快速存取数据,提高产品性能。而对于 File Server Roaming 用户,则不具备隐藏存储 ID 文件这样的功能。这对于最终用户来说,非常不方便。管理员可以利用 ID Vault 来实现这一功能,同样达到自动同步 ID 文件和密码的作用。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |