Lotus Domino 8.5 ID Vault 新功能介绍及体验
Lotus Domino 8.5 中新的ID Vault 功能,可以提供更简便的方法为用户恢复ID 文件或重置密码。从而简化了Domino 管理员的日常管理工作,提高管理员和用户的工作效率。本文着重介绍了ID Vault 的部署和管理流程。
ID Vault 概述
Domino 管理员的日常工作比较繁忙,用户ID 文件的管理和维护就是最常见的一项。对于管理员来说这是一项简单而繁琐的工作;而对于用户,如果问题得不到及时的解决,就会影响日常基本工作,因为没有了ID 文件或忘记密码,用户什么都干不了。可见,及时
简便的ID 管理方式无论对管理员或用户都非常重要。
ID Vault 是Domino 8.5 引入的一个安全特性,旨在帮助管理员简化管理流程,更有效地管理用户ID 文件。使用ID Vault 可以更容易地解决用户丢失ID 文件或忘记密码的问题,与之前的ID Recovery 机制相比大大地节约了管理成本。
ID Vault 的管理机制介绍
Vault 意为保险库,ID Vault 最直接的理解就是一个保存ID 文件的保险库。ID Vault 并不是Domino 8.5 才有的新名词,它出现在许多需要保护ID 安全性的场合。
例如网上交易,用户将需要保护的账户和密码信息保存在Vault 中进行管理。
Domino 8.5 引入ID Vault 特性使管理员更有效更容易地管理ID 文件。ID Vault 是一个服务器上的数据库,用来保存用户ID 文件,并且ID 文件是以加密备份的形式存
储的。即使非法用户获得了这个ID 文件也无法使用,保证了ID 的安全性。要使用这个
功能,管理员需在服务器上建立一个Vault,并指定此Vault 的适用范围,即哪个组织可以使用这个Vault,然后新建一个与Vault 相关的安全策略。这时,用户的ID 文件就
会被自动上传到Vault 数据库中妥善地保存起来。具体的步骤是:
可用的Vault 数据库。其中,每个ID Vault 对应一个数据库,此数据库就称为Vault 数据库。Vault 数据库在ID Vault 创建过程中自动生成,放置在Domino 数据目录的IBM_ID_VAULT 目录下。
用户的一个验证者签发了Vault 信任证书。Vault 信任证书定义了哪些用户可以使用这个Vault 来保存ID 文件。以/Acme 公司为例,如果Acme 组织验证者ID 对某个Vault 签发了Vault 信任证书,则Acme 组织下面的所有用户都可以使用此Vault。
用户的有效策略中,包含有关于Vault 的安全设置。Vault 信任证书仅仅定义了用户可以使用某个Vault,但用户真正使用的Vault 还需要在安全设置中指定。只有当条件 2 和 3 匹配时,分配给用户的Vault 才能生效。
在构建起ID Vault 之后,无论是新注册的用户还是已有的用户都可以自动把ID 文
件上传到Vault 数据库中。如果用户是一个新用户,ID 文件在注册过程中就会被上传到ID Vault 中。用户第一次跟服务器做鉴权时,ID 文件自动从Domino 目录拷贝到客户端。这点同没有配置Vault 的用户是一样的。对于一个已经存在的用户,这个过程几乎是透明的。用户要想知道ID 文件是否上传到Vault 中,可以在客户端中选择
File->Security->User Security,输入用户密码查看相关信息。如下图所示,如果用户成功地启用了Vault,则会显示相应的Vault 名称。
“User Security”窗口
Vault 启动成功之后,客户端的ID 文件和Vault 中的ID 文件就会自动保持同步。当用户忘记密码时,Domino 管理员通过Admin 客户端将用户密码重置,或者用户自助式地重置密码。用户输入重置后的密码连接到服务器,ID 文件就会自动从Vault 中下载到客户端,而不需要手动将ID 文件拷贝到客户端。用户ID 文件丢失或损坏的情况则更简单,用户登录时输入用户密码,ID 文件就会自动从Vault 下载到客户端,当然前提是有网络连接。紧从忘记密码和ID 文件丢失就可以看出,管理工作方便了很多,那么我们总结一下使用ID Vault 的好处包括:
当用户的ID 文件丢失或者损坏时,可以很快地恢复,不需要管理员的参与,这个过程对用户是透明的,用户几乎感觉不到。
如果用户同时拥有多台Notes 客户端,Vault 中的ID 文件会自动与其保持同步,再不需要携带ID 文件手动拷贝或重新同步密码。
当用户忘记密码时,有权限重置密码的用户可以通过Admin 客户端很容易地重置用户密码,而不需要直接访问ID 文件或ID Vault。
可以使用定制程序来重置用户密码。当用户需要重置密码时,除了第 3 点介绍的方法,Domino 8.5 还提供ResetUserPassword 接口给开发人员开发自己的重置密码程序。使用它,用户可以自助式地重置自己的密码,或者让help desk 的同事来重置密码,而不需要管理员的帮助。
ID 重命名过程中不需要用户的参与。用户启用Vault 后,“User Security”窗口的“Ask
your approval before accepting name changes”选项将不可用。当检测到服务器上的ID 文件有更新时,客户端自动更新其ID 文件。
ID key rollover 过程不需要用户的参与。用户启用Vault 后,将不能通过客户端请求key rollover,只有管理员才能启动key rollover。同ID 重命名一样,当检测到服务器上的ID 文件有更新时,客户端自动更新其ID 文件。
ID Vault 和ID Recovery 恢复ID 文件过程比较
Domino 8.5 仍然支持ID Recovery 机制,本章以恢复ID 文件为例,比较两种不同的工作模式。
版本支持
ID Vault 是Domino 8.5 的新功能,它对Notes 和Domino 的版本都有要求,如下表所列:
表 1. ID Vault 版本要求
ID Vault Lotus Notes Notes 8.5 or above Domino Directory server Domino 8.5 or above Vault server Domino 8.5 or above User Home Server Domino 8.5 or above
注:保存Vault 数据库的服务器称为Vault 服务器。Domino 目录的管理服务器和用户的本地服务器不要求一定是Vault 服务器。
ID 恢复过程
ID 文件不可用通常有两种情况,ID 文件丢失和用户忘记密码。Domino 管理员通过ID 恢复过程给用户提供一个可用的ID 文件。本节将对ID Vault 和ID Recovery 两种ID 管理机制下的ID 恢复过程进行对比。
ID Vault
配置好ID Vault 特性之后,Vault 中的ID 文件和各个客户端的ID 文件就会自动保持同步,而不需要Domino 管理员或最终用户的参与。图 2 描述了Vault 中恢复ID 文件的过程。
1. ID 文件丢失
如果Notes 用户硬盘上的ID 文件丢失,客户端试图连接Domino 服务器时,只要提供正确的密码,ID 文件就会自动从Vault 下载到客户端,这个过程对Notes 用户是不可见的,用户甚至都感觉不到这个过程。
2. 用户忘记密码
用户忘记密码时,可以联系有权限重置密码的Domino 管理员进行密码重置,或者根据部署的重置密码程序自助式地重置密码。用户在拿到新密码之后登录客户端,输入新的密码,用户ID 文件将会自动从Vault 中下载到客户端。
图 2. ID Vault 中恢复ID 文件过程
ID Recovery
在Domino8.5 之前,管理员使用ID Recovery 来进行ID 恢复。启用ID 恢复后,用户的ID 文件中将包含恢复信息,这里我们也分两种情况介绍ID Recovery 下的ID 恢复。
1. ID 文件丢失
如图 3 所示,配置好ID 恢复特性之后,要想恢复用户的ID 文件,需要最终用户和Domino 管理员执行一系列的操作才能完成。ID 文件丢失和用户忘记密码时恢复ID 文件的流程几乎相同,唯一不同的是丢失ID 文件时,最终用户在恢复ID 文件之前,需要联系其中一名管理员获得备份的ID 文件。
Domino 管理员需要完成的操作:
进入保存ID 文件加密备份的mail-in 数据库中,取得用户的ID 文件备份。
如果用户丢失了ID 文件加密备份,则向该最终用户发送其备份ID 文件的一份拷贝。
取恢复密码,输入Domino 管理员自己的密码。
选择第一步取得的用户ID 文件备份,将显示出的恢复密码提供给用户。
最终用户需要完成的操作:
联系Domino 管理员获得备份的ID 文件。
启动Notes 客户端,在提示输入密码窗口随意输入密码或直接单击确定,出现密码错误信息后选择"Recover Password",进入到恢复密码窗口。
选择需要恢复的ID 文件,也即是第一步从Domino 管理员那获得的ID 文件备份。
输入从ID 恢复管理员那获得的恢复密码。ID 恢复管理员有可能是多个,这时,需要从所有的ID 恢复管理员那获得恢复密码。
用户正确地输入一个或多个恢复密码后,用户才能设置新的ID 文件密码。
图 3. ID Recovery 中恢复ID 文件过程
2. 用户忘记密码
用户有ID 文件但是忘记密码时, 恢复ID 文件的流程与ID 文件丢失的恢复流程几乎相同, 唯一不同的是用户不需要联系Domino 管理员获得备份的ID 文件, 直接
使用客户端的ID 文件即可。
从上述流程中可以看出,要想从ID 文件的加密备份中恢复用户ID 文件,是一件非常繁琐的事情。需要Domino 管理员和最终用户的密切协作才能完成,尤其需要每位ID
恢复管理员提供的恢复密码,如果有位ID 恢复管理员没有提供恢复密码,恢复ID 的工作就无法完成。而ID Vault 的管理机制比ID Recovery 机制简洁方便得多,大大地节约了管理成本。因此,尽管已有的ID Recovery 在Domino 8.5 的环境中仍然可用,我们还是建议Domino 管理员用ID Vault 替换ID Recovery 来进行ID 管理工作。
创建和管理ID Vault
在了解了ID Vault 的优势之后,本章详细介绍如何在服务器上部署ID Vault。在开始部署之前,Domino 管理员需要考虑的几个问题。
为企业合理配置Vault
创建多少个Vault
首先,处于不同Domino 域的用户不能使用同一个Vault。因此,当环境中包含有多个Domino 域时需要创建多个Vault。此外,为了管理方便,即使是一个域中也需要创建多个Vault。例如:Acme 公司包含有一个组织/Acme 和多个组织单元,包括:
/Dallas/Acme,/NewYork/Acme 和/Shanghai/Acme 等;Acme 公司可以将所有用户的ID 文件都保存在一个Vault 中,但如果希望不同区域的人单独管理ID 文件,就可以为每个区域创建一个Vault,或者某几个区域创建一个Vault。具体创建多少个Vault,应该根据不同的情况,综合考虑Vault 信任证书和Policy 设置两个方面。现提供两种方案:
为了实现不同区域的人单独管理其ID 文件,为每个组织单元单独创建Vault。
为整个公司组织创建多个vault,也即是Acme 公司下的所有用户都可以使用这多个Vault,但是在每个组织单元的组织策略中分配不同的Vault。这样也可以达到不同组织单元的人使用不同的Vault 的目的。
密码重置
用户、用户组、服务器和组织单元都可以有重置密码的权限,并将他们称为密码重置权威。在ID Vault 中,有两种重置密码的方式供管理员选择:
有权限重置密码的用户通过Admin 客户端为用户重置密码。通常都是指定某几个管理员负责为用户重置密码。
Notes 用户自助式的密码重置。开发人员可以调用ResetUserPassword 方法定制自己的重置密码程序,用户使用它来自助式地重置密码,或者让help desk 的同事重置密码,而不需要管理员的帮助。ResetUserPassword
方法在C, Java, JavaScript 以及LotusScript 语言环境中都是可用的。在
Domino8.5 中,提供了一个名为PwdResetSample.nsf 的样例程序供开发人员参考。它即是在“User Password Reset”代理中调用了ResetUserPassword 方法。在将这个样例程序部署到服务器上后,用户只需要在浏览器上成功登录
http://
在部署之前需要计划好重置密码的方式。如果选择第一种方式,则需要考虑哪些用户将
有权限重置密码。而如果选择第二种,则需要开发自己的重置密码程序,并将它部署到服务器上。
将Vault 保存在哪些服务器上
保存Vault 数据库副本的服务器称为Vault 服务器,通常情况下,将Vault 数据库放在一台服务器上即可(要求Domino 版本至少是8.5)。但对于用户数很多的情况,可以在多个服务器上保存Vault 副本来平衡性能。同时,为了避免Vault 服务器不可用所带来的影响也需要考虑使用多个Vault 服务器。
Vault 管理员
一个Vault 至少需要一个Vault 管理员,Vault 管理员能够添加/ 删除Vault 服务器、添加/ 删除Vault 管理员、添加/ 删除信任此Vault 的组织、添加/ 删除密码重置权威、从Vault 中提取/ 删除用户ID 文件。一个用户要想成为Vault 管理员,必须对Admin 客户端所连接的服务器至少拥有管理员权限。
创建ID Vault
在做好了Vault 部署计划以后就可以开始创建ID Vault 了。Lotus Admin 客户端新增了一系列与ID Vault 相关的操作。包括新建Vault,管理Vault,重置密码,导出用户ID 文件等。
图 4. Vault 工具
如图 4 所示,点击“Create …”创建一个新的ID Vault,“Create and Configure Notes ID Vault”向导将会引导用户完成Vault 的创建和配置工作,如下图所示,首先弹出来的页面包含Notes ID Vault 的功能说明和此向导完成的工作说明,如果用户希望下次不再显示此页面,可以将“Don ’ t show this panel again”选项选上,那么下次创建ID Vault 时将会跳过此页面。
图 5. 创建ID vault
下面我们分步骤介绍ID Vault 创建过程:
第一步:定义Vault 名称和描述信息
Vault 名称:
Vault 名字除了不能跟组织或组织单元的名字相同外,用户可以任意选择自己喜欢的Vault 名称,这个名称决定了对应的vault 数据库和vault id 的名称。例如:命名为
ibmcn_vault 的vault 对应的vault 数据库为:ibmcn_vault.nsf,vault id 为:ibmcn_vault.id。此外,安全设置中分配的给用户Vault 名称即是这个。注:Vault 一旦创建成功,vault 名称将不能再修改。
用户可以输入关于创建的Vault 的一段描述信息,Vault 描述信息将作为对应的Vault 数据库的标题。Vault 描述信息是可选的,如果用户没有输入,则Vault 数据库的标题也为空。
图 6. ID vault 名称和描述信息
第二步:Vault 密码和ID 文件存放路径
创建的每个ID Vault 会有对应的Vault ID 文件和密码,这点上同用户ID 是一样的。
Vault ID 的密码:
至少为8 位,且遵从安全规则。
ID 文件存放路径:
应该将vault ID 文件存放在一个安全的路径,并做好Vault ID 文件的备份工作。
当Vault 管理员添加或删除ID Vault 副本时,需要提供Vault ID 文件和密码。另外,删除vault 时也需要提供这两个信息。
图7. Vault ID 密码和存放路径
第三步:选择ID vault 服务器列表
根据在计划阶段计划的,选择存放vault 副本的服务器列表即可。
图8. ID vault 服务器
第四步:选择vault 管理员图9. ID vault 管理员
单击“Add or Remove …”添加或删除vault 管理员。如图10 所示:图10. 选择用户
从左边选择需要添加的用户,单击“Add”,用户则被添加到vault 管理员列表中。需要注意的是:一个用户要想成为Vault 管理员,必须对Admin 客户端所连接的服务器至少拥有管理员权限。只有当这个条件满足时,用户才会出现在图10 中可选用户列表中。
第五步:使用此Vault 的组织或组织单元
选择使用此Vault 的组织或组织单元,也即是信任此Vault 的组织或组织单元。在Vault 创建过程中,会相应地为使用此Vault 的组织或组织单元创建Vault 信任证书(Vault Trust Certificate)。
图11. vault 信任的组织或组织单元
第六步:指定有权限重置密码的用户
选择有权限重置密码的用户、用户组、
服务器或组织单元。一旦它们被赋予重置密码的权限,对应地会在Domino 目录中创建一个密码重置证书。如果计划采用代理来让用户自己重置密码,在选择给代理签名的用户时还需要把“Self-service password reset authority”选项选上。
图12. 指定有权限重置密码的用户
第七步:创建/ 编辑ID Vault Policy 设置
由于第八步和第七步是关联的,因此我们在此一并介绍。
在本文的开始已经介绍过,一个用户要想使用Vault,需要同时满足三个条件。这第三个条件即是:“用户的有效策略中,包含有关于Vault 的安全设置”,关于更详细的ID Vault 安全设置,我们将“4.4 Vault 安全设置”中介绍。在管理员可以在创建完Vault 后手动创建包含使用vault 的安全设置,再将此安全设置添加到用户的有效策略中。为了减轻管理员的工作,这个工作也可以在创建和配置Notes ID Vault 过程中完成。包括:
创建包含此vault 的安全设置文档
创建包含安全设置的策略文档,根据用户的选择,可以是组织策略,显示策略或动态策略。
将策略文档分配给组织,特定的用户/ 用户组,或者使用特定的服务器作为本地服务器的用户。
如图13 所示,管理员有 5 种方式可以选择。分别是:
创建分配给一个组织的策略文档
创建分配给特定用户/ 用户组的显示、动态策略文档
创建分配给特定用户的显示、动态策略文档,这些用户使用特定的服务器作为本地服务器。
编辑一个现有的策略文档
如果暂时不想创建安全设置文档和策略文档,可以选择跳过本步,以后再设置。
图13. 创建Policy 文档
这里,我们以第一种方式为例给大家介绍,选择“Create a new policy assigned to an organization”并单击“Next”,如下图所示:
图14. 选择组织
通过“Add or Remove”选择组织名,单击“Next”。在“Forgotten Password Help Text”中输入用户忘记密码时的提示信息。单击“OK”完成。
第九步:验证vault 配置信息
至此,vault 的配置过程中已经全部完成。如图15 所示,用户可以在这一步浏览vault 的全部配置信息,确认无误后单击“Create Vault”创建vault。如果发现有误则单击“Previous”返回到之前的步骤进行修改。
图15. Vault 配置信息一览
第十步:创建vault
在上一步确认无误,并单击“Create Vault”开始创建vault。这个过程中会要求用户提供使用信任此vault 的
组织的cert ID 和密码。直到弹出如下窗口提示成功地创建完vault,整个过程才算完成。
图16. 成功创建Vault
从图中可以看出,Vault 创建过程中会生成以下文档:
Vault 文档,可以通过Configuration->Security->ID Vaults 查看。
Vault 信任证书,可以通过Configuration->Security->Certificates 查看。
Vault 密码重置权威,可以通过Configuration->Security->Certificates 查看。
Vault ID 文件,这个ID 文件会放置在用户创建Vault 时指定的位置。
Vault 数据库,这个以Vault 名字命名的数据库文件可以在Files Tab 下的
IBM_ID_VAULT 目录找到。
如果创建Vault 过程中选择了创建Policy,还可以在Domino 目录中看到Policy 文档成功创建。
图17 是在server console 执行show idvaults(sh id)的输出,从这可以很清楚地看到有关vault 信息。
图17. show idvaults
管理ID Vault
对于已经创建的Vault,vault 管理员可以通过Admin 客户端对它进行管理,如图18 所示。其中包括:
修改Vault 描述信息。
修改Vault ID 密码。
添加/ 删除Vault 服务器信息。
添加/ 删除Vault 管理员。
添加/ 删除使用Vault 组织列表。
添加/ 删除密码重置权威。
创建/ 编辑Vault Policy 设置。
从列表中可以看到,vault 的配置信息除了vault 名称是不可更改的,其他信息都是可以重新配置的。
图18. 管理Notes ID Vault