Search This Blog

Showing posts with label Chuyên trang Domino tiếng Việt. Show all posts
Showing posts with label Chuyên trang Domino tiếng Việt. Show all posts

Tuesday, March 25, 2014

Tạo nhóm và người dùng Notes

(Notes user registration and groups)
Trong suốt quá trình setup server, tài khoản Administrator tự động được tạo. Trong bài này, tôi sẽ giới thiệu với các bạn, cách tạo (đăng ký) người dùng trong Notes (Notes user registration).
Để việc quản trị được dễ dàng hơn, bạn nên quản lý việc truy cập và server hoặc database bằng cách sử dụng nhóm.

Thế nào là đăng ký người dùng Notes?

Đăng ký người dùng Notes là một tiến trình mà bạn phải:

  • Tạo một tài liệu người dùng Person document trong Domino Directory
  • Tạo một file Notes User ID, và việc này phụ thuộc vào kiểu hệ thống mail mà người dùng sử dụng, lưu nó vào một hoặc nhiều nới trong những nơi sau:
  • Person document
  • Trên ổ đĩa của máy tính
  • Trong mail file của người dùng
  • Trong Address book của người dùng
  • Gửi tới Notes User ID Vault
  • Nếu người dùng sử dụng Notes Mail, tạo Mail database trên máy chủ
  • Bạn có thể gán người dùng vào một hoặc nhiều nhóm
  • Nếu bạn sử dụng Windows Server và đã cài đặt + cấu hình Domino Directory Sync Services, tạo người dùng trong Domino sẽ tạo luôn trên Windows Server, thêm người dùng vào Nhóm trong Domino sẽ thêm người dùng vào nhóm trong Windows
Người dùng được đăng ký sẽ không "active" cho đến khi bạn cài đặt Notes Client.

Tạo người dùng Notes

Bước 1: Trước khi bạn đăng ký người dùng, bạn phải truy cập vào file ID, mặc định Domino sẽ truy cập vào file Cert.ID, ở đây tôi chọn file OU.ID
Bước 2: Từ công cụ Domino Adminitrator chọn tab Configuration
Bước 3: Mở rộng công cụ Registration, chọn Person
Bước 4: Bước tiếp theo phụ thuộc vào bạn đã đăng ký người dùng lần nào chưa
Nếu Domino Administrator đã sử dụng ID để đăng ký người dùng lần trước, thì lần này bạn chỉ việc nhập mật khẩu của ID đã dùng.
Nếu đúng là cert mà bạn cần, điền vào mật khẩu của Certifier ID file và nhấn chuột vào OK
Nếu không phải cert ID bạn cần, nhấn chuột vào Cancel. Sau đó hệ thống sẽ hiện hộp thoại cho bạn chọn cert ID khác.
Bước 5: Nếu Domino Administrator chưa sử dụng để đăng ký người dùng lần nào, bạn sẽ phải chọn Registration Server và Certifier ID:
Nhấn chuột vào:
Server: để chọn Server mà bạn muốn sử dụng để đăng ký
Certifier ID: Để lựa chọn Certifier ID file
Nhấn chuột vào OK, sau đó nhập vào mật khẩu
Bước 6: Hộp thoại Person Registration hiện ra, hình dưới thể hiện một phần của hộp thoại

Bước 7: Nếu Registration Server hiện lên, không phải là server bạn muốn dùng để đăng ký, bạn nhấn chuột vào Registration Server để chọn server cần đăng ký.
Bước 8: Điền vào Fist và last name
Bước 9: Điền vào mật khẩu phù hợp với chính sách về độ phức tạp của mật khẩu
Chú ý 1: Để thiết lập độ phức tạp của mật khẩu, nhấn chuột vào Password Option. Nếu bạn lựa chọn Set internet password trong trường Internet password. Thì mật khẩu này sử dụng để xác thực qua trình duyệt web mà còn cho các giao thức khác (LDAP, POP3, HTTP, SMTP...). Nếu bạn không sử dụng trình duyệt web để xác thực vào hệ thống, thì bạn không cần thiết lập Internet Password.
Chú ý 2: Mỗi người dùng Domino có thể có 1 hoặc hai mật khẩu ( Mật khẩu của file Notes ID và mật khẩu để xác thực khi sử dụng trình duyệt web HTTP) cái này tùy thuộc vào thiết lập của người quản trị.
Bước 10: Nhấn chuột và Advanced để hiện thị thêm lựa chọn
Bước 11: Nhấn chuột vào Mail tab, đây là nơi bạn thiết lập các cấu hình hòm thư cho người dùng.
Bước 12: Nhấn chuột vào ID Infor tab để ý rằng cách hiển thị tên cert, nếu thấy chưa đúng hoặc chưa hợp lý bạn hãy chỉnh lại
Bước 13: nhấn chuột vào Group tab, đây là nơi bạn muốn đưa người dùng vào nhóm nào.
Nếu bạn không muốn đưa người dùng vào nhóm nào thì bỏ qua bước này.
Bước 14: Nhấn chuột vào nút tích để đăng ký một người
Bước 15: Nhấn chuột vào nút để hệ thống hoàn tất. Đăng ký xong, nhấn chuột vào nút Done để đóng hộp thoại đăng ký
Bước 16: Xem kết quả, nhấn chuột vào People, bạn sẽ nhìn thấy người dùng mình vừa đăng ký ở khung bên phải, nếu không thấy ấn phím F9 để refesh lại khung nhìn.

Tại sao phải sử dụng nhóm

Nếu bạn chỉ có một số lượng nhỏ người dùng trong Domino Domain, thì bạn không cần phải nghĩ tới việc sử dụng nhóm. Nhưng nhóm là một phần bảo mật của server và database, sẽ hiệu quả hơn khi bạn phân quyền bằng nhóm thay vì việc sử dụng tên từng user trong mục Server Access Lists và Database Access Control Lists (ACLs).
Để việc quản trị dễ dàng hơn, bạn có thể điều khiển truy cập tới server hoặc databse bạn có thể sử dụng kiểu server/user:
  • Những thành viên trong nhóm được lưu trong Group document
  • Tên tổ chức có thể được thay thế bằng ký tự đại diện: ví dụ */vsd hoặc */vsd/com/vn, sẽ nhanh hơn khi so với Group khi server truy vấn

Các nhóm chuẩn của Domino

  • LocalDomainServers: có quyền truy cập tới tất cả server, quản lý truy cập tới tất cả databases, có quyền tạo database, tạo đồng bộ hóa
  • Terminations: danh sách những người bạn muốn từ chối truy cập tới tất cả server
  • Developers: có quyền truy cập và tạo databases trên tất cả server
  • Department X, DepartmentY, Department Z: sử dụng để điều khiển truy cập và gửi mail cho những người thuộc nhóm
  • WholeCompany hoặc LocalDomainPeople: bao gồm các nhóm phòng ban có quyền truy cập tới tất cả server và mail server
  • OtherDomainServers: đại diện cho server thuộc công ty khác, hạn chế truy cập tới server và database
  • OtherDomainUsers: giống OtherDomainServers
  • WebUsers: điều khiển truy cập từ trình duyệt tới database

 Tạo nhóm

Bước 1: Đăng nhập vào Domino Administrator, chọn tab People & Groups
Bước 2: Mở rộng khung nhìn Domino Directory và chọn Groups
Bước 3: nhấn chuột vào Add Group
Bước 4: Hoàn thiện các trường trong phần tạo nhóm, nhấn chuột Save & Close để hoàn tất



Monday, July 30, 2012

Xác thực người dùng và tên ( User authentication and Names)

Chức năng bảo mật cơ bản trong mô hình bảo mật của Domino là xác thực người dùng ( bao gồm Notes clients, các domino server khác, browser và Internet client, và các chương trình phát triển sử dụng Notes API). Trong phần này tôi sẽ nói với các bạn về phần tổng quan xác thực, đặt tên phân cấp người dùng và máy chủ.
Khi một người dùng được xác định là "xác thực", server dựa trên sự hợp lệ của user name để điều khiển truy cập với Server và Database Access Controll Lists.
Trong phần này tôi cũng giới thiệu tổng quan về phân chia tổ chức của bạn ( Organization) thành các đơn vị chức năng ( Organization Unit - OU). OU Certificate ID được tạo từ ID gốc của tổ chức, sau đó được sử dụng để đăng ký người dùng và server
-----> Phần này có một chút tới kiến thức LDAP hoặc AD

ID file được tạo trong suốt quá trình setup first Domino Server

Bạn có thể không nhận ra trong quá trình cài đặt First Server, là bạn đã cài đặt một hệ thống bảo mật cơ bản.
Sử dụng tên của Organization bạn nhập vào, quá trình cài đặt tạo ra duy nhất một Organization Certificate ( chuỗi 1024 bit bao gồm số và ký tự) cho Organization. Được xác định bởi tên, ví dụ "O=VSD"


Cùng với các thông tin khác, quá trình cài đặt thêm Organization Certificate vào Organization Certifier ID file có tên là CERT.ID
Server Setup sử dụng CERT ID để tạo ID cho server và Administrator


Các thông tin về máy chủ và người dùng được thêm vào mỗi file ID, tất cả các file này được đánh dấu hai thứ từ Organization Certifier:
  • Tên của Organization, ví dụ "VSD", được nối thêm vào phần tên của server và tài khoản người dùng ( đôi khi còn được gọi là tên phân biệt - Disinguished name).
  • Organization Certificate
Chú ý: trong bài hướng dẫn cài đặt lần trước, tôi đã tạo luôn Organization Unit (OU), nên tên của máy chủ và người dùng có dạng CN=Mail/OU=NN/O=COM, CN=ADMIN/OU=NN/O=COM

Nội dung của file ID

Để xem được nội dung của file ID Server hoặc ID User, bật giao diên Domino Administrator lên, di chuyển tới tab chức năng Configuration, chọn Certification\ ID Properties, chọn file ID cần xem

Tab Your Certificate bạn có thể thấy các certficate được thêm vào file ID.
Hình dưới đây thể hiện các thành phần có trong file ID

Bảng dưới đây mô tả hình ảnh trên

Thành phần
Chức năng
User Name
Tên ( người dùng, máy chủ) để Domino quản lý và kiểm tra bảo mật database
Password
Nhấp vào tab Security Basics, nhấp chuột vào Change Password, để thay đổi mật khẩu.
Độ khó của mật khẩu được thiết lập lúc đăng ký, và người dùng có thể thay đổi mật khẩu của họ miễn là mật khẩu đủ mạnh.
Nếu mật khẩu không đủ mạnh, bạn sẽ gặp một thông báo là nhập một mật khẩu khác mạnh hơn.
Người quản trị có thể yêu cầu ( thông qua cài đặt trong Domino Directory) mật khẩu User ID thay đổi trong khoảng thời gian hoặc người dùng bị khóa bởi máy chủ
Expiration Date
Theo mặc định, certificate của Server ID có thời hạn là 100 năm, User ID có thời hạn là 2 năm. Khi bạn đăng ký hoặc gia hạn ID file, bạn có thể thay đổi các thời hạn khác nhau.
Recovery Password(s)
Đây là một lựa chọn phục hồi lại mật khẩu, được thêm vào bởi người quản trị khi mở User ID file nếu quên mật khẩu. Việc khôi phục này, chỉ áp dụng nới Notes User ID và không áp dụng với Server ID, trong trường hợp khác, bạn có thể cấu hình Notes User ID Vault để nhanh chóng khôi phục lại ID và mật khẩu bị mất.
Notes Certificates
Bao gồm 2 certificate, (Notes Multi-purpose, Notes international encryption) và còn lại là certificate từ Certifier :
  • Một từ Organization Certifier.(CERT.ID)
  • Một từ mọi OU certifier (OU.ID)

Mỗi certificate gồm có:
  • Tên của Organization hoặc Organization Unit certifier được sử dụng để cấp phát certificate
  • Tên của người dùng hoặc máy chủ mà certificate được cấp phát
  • Private Key và Public key
  • Chữ ký số của certifier để chứng minh quá trình xác thực của Notes Certificate
  • Ngày hết hạn khi certificate không còn hợp lệ

Public Key
Một khóa mã hóa duy nhất được lưu trữ trong file ID, sử dụng trong suốt quá trình xác thực, mã hóa mail gửi tới các Notes Client khác và được lưu trong mail database của người dùng.
Public Key có thể được sao chép, gửi mail từ User Security >Your Certificate, hoặc sao chép từ tài liệu user’s Person trong Domino Directory
Private Key
Một khóa mã hóa duy nhất cho người dùng, và được lưu trữ chỉ trong file User ID. Khóa này không thể xem được.
Khóa Private được sử dụng để valid người dùng trong quá trình xác thực, cũng có thể dùng:
  • Giải mã mail đã được mã hóa khớp với Public Key
  • Mã hóa mail gửi tới Notes User.

Chú ý : Nếu mất User ID và không có bản backup, tất cả các mail đã được mã hóa sẽ không thể được giải mã bởi vì User ID mới có chứa Private Key mới.
Document Encryption Keys
Các khóa mã hóa sử dụng để mã hóa và giải mã document fields. Ví dụ, HR database cho phép người dùng đọc các thông tin tổng quan về người lao động, nhưng trường Salary được mã hóa và chỉ một số người trong công có chìa khóa mã hóa để mã hóa và giải mã trường này.
Internet Certificates
Một option, chứng chỉ X.509 sử dụng để mã hóa với Web server, xác thực user name, mã hóa mail gửi tới internet user. Chứng chỉ này được thêm vào sau khi người dùng được đăng ký.


.

Server ID file: Có mật khẩu hay không có mật khẩu?

Có hay không mật khẩu cho server id file là một chủ đề lớn cần tranh luận. Theo mặc định, server id file không có mật khẩu, điều này làm giảm khả năng bảo mật. Đặt mật khẩu cho server id file  tạo cho server bảo mật hơn và bảo vệ những databases đã được mã hóa. Nhưng bên cạnh đó, bạn phải luôn thường trực tại server khi bạn khởi động nó, thậm chí Domino server khởi động như windows services ( Khà khà, không chạy đi đâu được, vì phải gõ mật khẩu cho file ID Server, thì domino server mới bật lên được).
Để được tốt nhất cả về sự thuận tiện và bảo mật, bạn cần cài đặt thêm một công cụ của hãng thứ ba để bảo mật quá trình khởi động server mà không ảnh hưởng tới Server ID.
Bạn không nên đặt mật khẩu cho server id trong hai trường hợp sau:

  • Sử dụng công cụ Domino Admin từ xa để khởi động lại Domino Server
  • Sử dụng tính năng tự động phục hồi máy chủ

Cả hai tính năng này có bộ nhớ cache mật khẩu và sử dụng nó khi server khởi động lại.

Xác nhận và xác thực ( Validation and Authentication)

Nhắc lại mô hình bảo mật tôi giới thiệu trong bài trước, khi người dùng Notes thực hiện kết nối vào Domino Server ( hoặc Domino Server này kết nối vào Domino Server khác), việc đầu tiên xảy ra là quá trình xử lý hai pha, validation và authentication. Tại điểm cuối của quá trình, hai bên trust với nhau, và danh tính của người dùng được xác nhận. Điều này đủ để chuyển qua bước tiếp theo trong mô hình bảo mật, bước "Server access list" để so sánh sự hợp lệ của người dùng và server.
Sau đây tôi sẽ mô tả một cách đơn giản quá trình xử lý hai pha khi đồng chí Admin/VSD/COM kết nối vào máy chủ Mail, áp dụng với tất cả các kết nối (LAN, WAN, dial-up,...).
Mọi thứ cần thiết cần thiết để xác nhận và xác thực đều chứa trong file ID của người dùng hoặc server.

Trong pha xác nhận, MAIL server xác định Public Key của đồng chí ADMIN:
1. Notes client gửi tất cả Notes Certfificates trong file admin.id tới MAIL server, bao gồm cả Admin's personal certificate và tất cả certificate của Organization/Organization Unit.
2. MAIL server tìm kiếm certificate /VSD mà Admin gửi, và tìm một certificate có tên giống như vậy trong file ID mà nó quản lý.
3. Sử dụng Public Key của /VSD cert, MAIL server xác định Admin's persional certificate là hợp lệ bởi vì nó giống với /VSD cert
4. MAIL server kết luận Public Key trong Admin's personal cert là hợp lệ.
Pha xác nhận được lặp lại, nhưng đổi chiều

Trong pha xác thực, MAIL server xác định tính hợp lệ định danh của ADMIN:
1. MAIL server sinh ra một số ngẫu nhiên và mã hóa nó sử dụng Admin Public key và gửi nó cho Notes clients.
2. Sử dụng Private ksy chỉ có trong Admin User ID file, Notes giải mã số và gửi lại cho Mail server.
3. Mail server so sánh số ban đầu với số mà mà Notes gửi. Nếu bằng nhau, thì Notes User ID có Private key giống với Public key sử dụng để giải mã thành công.
Pha xác thực được lặp lại, nhưng đổi chiều.
Trong suốt quá trình cài đặt First Domino server, OU cert được sử dụng để đăng ký Administrator user. Miễn là bạn đăng ký người dùng và máy chủ sử dụng OU cert này, thì quá trình xác nhận và xác thực đều được đảm bảo.
Nếu bạn mất  Organization ID, thì bạn gặp vấn đề lớn rồi đấy. Thậm chí nếu bạn tạo một ID giống hệt với Organization  name, bạn sẽ có một tập các khóa mới. Mọi người dùng và máy chủ mới tạo ra bởi ID mới sẽ không thể xác thực được với server hiện tại. Có hai cách giải quyết vấn đề này:

  • Tạo mới Organization cert, đăng ký mới người dùng và máy chủ sử dụng ID này. Sau đó cross certify người dùng và máy chủ hiện đang tồn tại.
  • Tạo mới Organization ID với tên giống trước hoặc khác, sau đó recertify Notes và Domino ID file.

Tăng cường bảo mật xác thực

Nếu quá trình xác thực hiện tại chưa làm bạn hài lòng, bạn có thể tăng cường khả năng bảo mật của quá trình xác thực bằng cách bắt server so sánh Public key từ Domino Directory trong suốt quá trình xác thực Public key được gửi từ Notes client hoặc server. Vì thế, trong trường hợp gần như không thể, hách cơ hack user id file để có được Public key, với việc kích hoạt tính năng này, khóa phải khớp với khóa được lưu trong Domino Directory.
Để kích hoạt tính năng so sánh key, bạn xem hình dưới

Chú ý: thiết lập này nhằm ngăn chặn người dùng bên ngoài tổ chức có thể cross-certified để có thể truy cập vào máy chủ. Nó còn ngăn chặn người dùng đã xóa khỏi Domino Directory có thể truy cập.
Thiết lập này ko áp dụng với browser client.

Hệ thống phân cấp OU Cert

Trong quá trình cài đặt First Server đã tạo ra Organization Cert ID, và từ ID này tạo ra Server ID và Admin ID tại gốc trong mô hình phân cấp ( cụ thể ở đây là /VSD)
Không hạn chế nếu bạn đăng ký tất cả user và server sử dụng Organization Certifier ID. Nhưng đôi khi, bạn có hàng trăm người dùng Notes, cách tốt nhất là bạn tạo ra một hệ thống phân cấp, để tiện cho việc quản lý, ví dụ:


Các OU cert được tạo ra từ O cert.

Thuận lợi của việc sử dụng Organizational Unit

Những thuận lợi khi bạn chia nhỏ Organization thành các OU là:
Người dùng trùng tên có thể phân biệt qua OU
Người quản tri tại mức OU có thể sử dụng OU ID để đăng ký người dùng và server bên trong tổ chức của mình
Phân quyền truy cập tới máy chủ và database có thể sử dụng ký tự đại diện (*/UB/QN/VSD)

Bài tiếp theo: Đăng ký người dùng và nhóm

Thursday, July 19, 2012

Tổng quan về bảo mật trong Domino ( Domino Security overview)

Bảo mật trong Domino rất mạnh mẽ, liên quan tới cơ chế bảo mật nhiều lớp để bảo vệ máy chủ và database tránh khỏi các truy cập không hợp pháp.
Trong phần này, tôi sẽ giới thiệu tổng quan về bảo mật trong Domino, thể hiện cho các bạn theo trình tự truy cập được phần quyền từ mức thấp tới mức cao.

Mô hình bảo mật ( Security Model)

Biểu đồ dưới đây thể hiện một loạt các bước bảo mật thông qua các lớp.
Người dùng phải thỏa mãn các cơ chế bảo mật của Domino - theo chuỗi từ trái qua phải để có thể truy cập vào dữ liệu:

  • Authentication: trong suốt quá trình xác thực, người dùng chứng mình - tên của họ được xác thực
  • Server access: điều khiển truy cập tới Domino Server dựa trên tên có tồn tại trong Server Access Control List.
  • Database access: điều khiển toàn bộ quyền thiết lập tới database trong ACL

Tổng quan về mô hình bảo mật

  • Mô hình bảo mật cho Notes Client truy cập tới Domino server giống với cách Domino Server này truy cập tới Domino server khác ( ví dụ như đồng bộ hóa, định tuyến mail, chia sẻ các thông tin về lập lịch, ect), nhưng truy cập Domino theo trình duyệt và các trình Internet client khác (POP, LDAP, ...) theo một cách khác.
  • Cho phép Anonymous truy cập bằng Notes hoặc qua trình duyệt là cách "nhanh nhất" để mở một session trên server, nhưng bạn mất kiểm soát người dùng truy cập qua Database ACL và Document ACL bởi vì bạn không thể phân biệt chúng bằng tên.
  • Cuối cùng, bạn nên áp dụng tất cả các phương thức bảo mật máy chủ, điều này sẽ làm tăng chi phí, nếu bạn thực hiện không đúng thì cả người dùng hợp lệ sẽ bị khóa.

Chú ý 1: các cơ chế bảo mật khác của Notes bao gồm mã hóa CSDL trên đĩa, bắt buộc đổi mật khẩu, khóa công khai phải khớp lúc đăng nhập, ..
Chú ý 2: Cơ chế bảo mật trong phần này chủ yếu áp dụng cho giao thức Notes. Bảo mật Internet Mail và HTTP Protocol tôi sẽ nói với các bạn trong phần Cấu hình Mail

Các mức bảo mật


Mức
Chức năng
Mức1: General Access
Đây là mức thấp nhất bảo mật dữ liệu Notes, bao gồm các cơ chế bảo mật sau:
  • Bảo mật mức vật lý của máy chủ để ngăn chặn cá nhân mở local file
  • Bảo mật mức mạng ngăn chặn người dùng phá vỡ bảo mật Domino thông qua truy cập trực tiếp file hệ thống
  • Xác thực ( cho phép Anonymous truy cập nếu có thể)
  • Báo cáo truy cập máy chủ
  • Database ACL
  • Các cơ chế bảo mật này là thiết yếu và không bao giờ được bỏ qua

Mức 2: I/O Access
Khi bạn cho tổ chức khác truy cập tới máy chủ của mình, bạn nên thêm vào mức bảo mật lớp 2, bao gồm các cơ chế bảo mật sau:
  • Cổng điều khiển truy cập với danh sách người dùng và nhóm trong file NOTES.INI
  • Mã hóa dữ liệu truyền trên mạng
  • Liên kết tới thư mục với danh sách người dùng và nhóm được phép trong .DIR file

Mức 3: Firewall Dominos
Đây là mức cao được khuyến cáo khi truyền thông và đồng bộ hóa với các tổ chức khác, trực tiếp hoặc qua Internet mà bạn đã tạo firewall giữa vùng mạng bên trong và bên ngoài.
Chồng chéo chức năng network firewall: bạn có thể tạo Domino Firewall Domain bằng cách sử dụng Domino Directory và Organization Certifirer




Cơ bản bảo mật mạng

Hạn chế truy cập tới Domino Server qua mạng là một phần nhiệm vụ của người quản trị và có thể thực hiện theo cách sau:

  • Yêu cầu mật khẩu người dùng khi đăng nhập vào mạng, thiết lập thời hạn của mật khẩu và không cho phép sử dụng mật khẩu giống nhau, hạn chế khả năng đăng nhập thông qua nhiểu nguồn.Thiết lập thời gian để log out người dùng khi không sử dụng. Notes hỗ trợ đặt User IDs trên SmartCard, khuyến khích người dùng bảo mật tài khoản của họ.
  • Nếu Domino server chạy HTTP stack, hãy chạy trên cổng 80 ( 443 nếu dùng SSL)
  • Nếu định tuyến mail sử dụng SMTP, dùng cổng 35 ( 465 nếu dùng SSL)
  • Nếu hỗ trợ Lotus iNotes, cổng 80 và 443 nên sử dụng ( và cổng 1352 nếu dùng DOLS)
  • Phụ thuộc vào các dịch vụ internet khác ( ví dụ LDAP), bạn nên mở các cổng này. Nếu sử dụng Quickr, bạn nên sử dụng cổng 80/443 cho HTTP/HTTPS, 1352 for DOLS, cổng 1533 và 8080 cho online awareness và chat.

Port access list

Bạn có teher hạn chế truy cập tới mạng LAN hoặc cổng COM trên máy chủ bao gồm cả những dòng trong file NOTES.INI hoặc sử dụng câu lệnh >set config :
Allow_Access_<PortName>= <Groupname>, <groupname>
Deny_Acess_<PortName>= <Groupname>, <groupname>
Hãy nhớ những điều sau khi bạn sử dụng Port access

Tên nhóm hoặc tên tổ chức có thể sử ký tự đại diện ví dụ:
Allow_Acess_TCPIP=Admins,LocalDomainServer,*/NN

Dấu * đại diện cho mọi người có tên trong Domino Directory ví dụ
Allow_Access_TCPIP=*
Thiết lập các Port nếu bạn muốn bảo vệ sử dụng tên trong hộp thoại Ports
Thành viên trong nhóm bị cấm truy cập sẽ ghi đè thành viên trong nhóm được phép truy cập
Bạn phải khởi động lại server để Port Access có thể effect
Chú ý: Port access không áp dụng cho Notes Anonymous user hoặc tới browser. Nó chỉ điều khiển những Port nào được xác thực Notes Clients

Mã hóa dữ liệu mạng

Một khía cạnh khác của bảo mật mạng là khả năng giữa Notes Client và Domino Server có thể mã hóa dữ liệu gửi tới Domino Servers

Firewall Network

Bạn nên tạo ra các vùng mạng riêng biệt để tăng cường bảo mật cho hệ thống. Giữa các vùng nên có firewall hoặc router lọc gói tin.

Domino firewall domain

Domino firewall domain được sử dụng để điều khiển truy cập tới internal server. Việc định tuyến mail, đồng bộ hóa với các máy chủ bên ngoài chỉ được thực hiện bởi server trong Domino firewall domain.
Domain này đòi hỏi quản trị phải public một Domino Directory thứ hai có các đặc điểm sau:

  • Default ACL mặc định được set là No Access để bên ngoài không thể tìm ra các kết nối khác của bạn
  • Chứa tất cả các tài liệu Connections tới tất cả các domain bên ngoài để đồng bộ hóa và định tuyến mail.
  • Định nghĩa nhóm server cung cấp truy cập tới server trong Domino Firewall Domain
  • Cần thiết thêm vào tài liệu Cross Certificate để xác thực Internal Domino Domain Server với các server bên ngoài.

internal Domino Domain Domino Directory của bạn cần có:

  • Tài liệu Connection tới server trong Domino Firewall domain để định tuyến mail và đồng bộ hóa
  • Tài liệu Non-Adjacent Domain  để dễ dàng định giải quyết thư tin và cho phép định tuyến mail chỉ từ các Domino Domain xác định.
  • Tài liệu Server cho phép truy cập bởi server trong Domino firewall domain
  • Tài liệu Cross Certificate, nếu cần thiết để xác thực với server trong Domino firewall organization.

Chú ý:
Domino Directory không được định nghĩa các server trong Domino Domain khác
Trong phần sau tôi sẽ nói về tài liệu Connection, Cross Certificate và No-Adjacent Domain.

Trách nhiệm của người quản trị:

Để đảm bảo thành công trong việc bảo vệ ứng dụng, database developer phải làm việc với Domino Administrator, người mà:

  • Đăng ký các tài khoản cần thiết
  • Cung cấp cho Notes Client Notes User ID file
  • Cung cấp cho người dùng cách tự đăng ký qua web ( tạo tài liệu Person trong Domino Directory có Internet password)
  • Nếu chứng thực sử dụng X.509 Internet Certificate, kich hoạt SSL và tạo ra Certificate Authority Key Ring và Certificate, Server Key Ring và Certificate, và phê duyệt người dùng yêu cầu Certificate.

Trách nhiệm của người phát triển:

Như một phần tổng thể của việc thiết kế database, người phát triển phải quyết định:
Ai có thể truy cập tới các mức của mô hình bảo mật, bao gồm những truy cập gán cho người dùng nội bộ và người dùng bên ngoài, quyền được đưa cho Notes clients hoặc browsers.
Dễ dàng điều khiển bảo mật sử dụng groups và roles.
Những mục nào có thể Create và View trên menu cho người dùng xác định
Đọc mức trường ( field-level) và edit access cho Notes Clients.

Bài tiếp theo: Xác thực người dùng và tên ( User authentication and Names).

Tuesday, June 19, 2012

Cài đặt cấu hình tài liệu ( Configuration Settings Documents)

Trong phần này bạn sẽ thiết lập Directory Profile và tạo một tài liệu Configuration Settings, nó được sử dụng để cấu hình các tham số vận hành - bao gồm cả các tham số trong NOTES.INI - cho một hoặc nhiều server


Configutaion Settings

Có rất nhiều tài liệu quan trọng mà bạn phải cấu hình mà Domino có thể vận hành được. Để cấu hình được, bạn truy cập vào tab chức năng Configuration, trong công cụ quản trị Domino.

  • Directory Profile document: Domino Directory là nơi lưu trữ tất cả các cấu hình về server. Directory Profile chứa một chút cài đặt hoạt động của Domino Directory trong chính nó. Chỉ có duy nhất một Directory Profile Document.
  • Server document: Mỗi server trong Domino Domain làm chủ một Server Document. Đây là tài liệu cấu hình chính cho một server. Trong phần sau tôi sẽ nói kỹ hơn về Server Document.
  • Configuration Settings document: Nơi một Server document áp dụng cho chỉ một máy chủ. Configuration Settings documents có khả năng áp dụng tới cá nhân, nhóm hoặc tất cả các server trong Domino Domain. Nó giảm bớt công việc quản trị bằng cách cho phép bạn tạo ra các cấu hình cho nhiều server.

Directory Profile Document

Domino Directory (names.nsf)
Bạn có thể thay đổi Directory Profile bằng các chọn Current Server Document, chọn tab chức năng Functions

Sau đó chọn Actions - Edit Directory Profile

Có một cấu hình cần chú ý, bạn phải chắc chắn rằng, Domino Domain trong field đầu tiên phải đúng. Bạn sẽ quoay lại để thiết lập các trường khác sau.
Bởi vì Directory Profile sẽ đồng bộ hóa với Domino Directory, các cài đặt này sẽ áp dụng đối với tất cả server trong cùng Domain, vì thế bạn chỉ cần làm một lần.
Cảnh báo: bạn không được chọn Action - Remove Directory Profile. Bạn sẽ phải cấu hình lại từ đầu. Đặc biệt là nếu bạn thiết lập tên Directory Catalog, người dùng sẽ ko thể tìm kiếm tên từ database nếu tên đó bị loại bỏ.

Configuration Settings document

Configuration Settings documents được phát triển xa hơn, dựa trên các tham số thiết lập trong file notes.ini. Chúng là những cơ chế chính để cấu hình, ví dụ:

  • Cho phép phiên bản nào của Notes Client có thể kết nối
  • Tự động nâng cấp Notes Client và theo dõi license
  • Gửi và phân phát SMTP message
  • chuyển đổi từ Notes sang tài liệu có cấu trúc MIME
  • Lotus iNotes
  • Activity Logging và Activity Trends
  • Tập hợp các báo cáo chuẩn đoán

Server đọc tài liệu Configuration Setting lúc khởi động và cứ mỗi 5 phút lại đọc lại một lần. Khi Configuration Setting được đồng bộ hóa tới các server khác, cần 15 đến 20 phút để có thể effect.


Để tạo hoặc chỉnh sửa tài liệu Configuration Settings, mở tab chức năng Configuration, mở rộng Server section, chọn Configurations để mở cửa sổ Configurations

Chú ý: Quá trình cài đặt first domino server sẽ tạo ra Configuration Settings, nhưng quá trình đăng ký và cài đặt các server tiếp theo, yêu cầu bạn phải tạo bằng tay tài liệu Configuration Settings.
Nhấp chuột vào Add Configuration để tạo mới Configuration hoặc chọn Configuration đã tồn tại, và click chuột vào Edit configurtaion để sửa.


NOTES.INI


Server và các tài liệu Configuration Setting nắm giữ hầu hết các cấu hình server, nhưng có một số cài đặt chỉ có thể được tạo ra bằng cách thêm hoặc thay đổi tham số trong file notes.ini
Cảnh báo: trước khi thay đổi các tham số trong file notes.ini bạn nên backup ra một bản để khi lỗi bạn có thể phục hồi lại được.
Có nhiều cách để edit file notes.ini:

  • Dùng công cụ text editor
  • Sử dụng công cụ Domino Web Administrator
  • Sử dụng server console bằng câu lệnh set configuration
  • Thêm hoặc thay đổi một số biến bằng cách sử dụng tài liệu Configutaion Settings

Console command để chỉnh sửa file notes.ini

  • Lệnh thiết lập tham số: set config <variable>=value
  • Lệnh xem tham số: show config <variable>


Bài tiếp theo: Tổng quan về bảo mật trong Domino ( Domino Security Overview)

Friday, June 8, 2012

Công cụ quản trị Domino 8.5.3

Domino Administration Tool
Domino Administration, Domino Admin

I. Kết nối Lotus Notes/ Domino Admins tới Domino Server
Sau khi cài đặt xong Notes / Domino Amin bạn sẽ có 2 shortcut như hình dưới
Khởi chạy Domino Administrator, cửa sổ Configuration hiện ra, nhấp chuột vào Next

Cửa sổ tiếp theo, bạn gõ tên và địa chỉ của Domino Server, tích vào lựa chọn "I want to connect to ad Domino server, nếu bạn là người quản trị Domino,  sau đó nhấp chuột vào Next
Cửa sổ tiếp theo nhấn Next
Nhấn Next tiếp
Nhập vào mật khẩu của Admin.id nhấp chuột vào Log In
Cửa sổ tiếp theo nhấn Finish để hoàn tất

II. Giới thiệu công cụ quản trị Domino ( Domino Admin)

1. Giao diện người dùng

Danh mục
Chức năng
Menu
Danh mục các chức năng để điều khiển
Windows Tabs
Nếu bạn chỉ làm với Domino Administrator, bạn chỉ có một Windows tab
Functios Tabs
Các tác vụ quản trị được chia ra thành các tab: People & Groups, Files, Server, Messaging, Replication, Configuration
Server Messaging có các tab con
Directory Selector
Chọn ra directory để đọc từ hoặc tập tin để xem. Xuất hiện trên các tab chức năng khác nhau.
(Đoạn này hơi khó hiểu, nên dịch ra cũng khó, tôi sẽ giải thích kỹ với các bạn ở phần sau)
Context Pane
Thể hiện danh sách các đối tượng có sẵn dưới function tab, ví dụ, bạn chọn Domino Directory khi bạn làm việc trong tab People & Views.
Các điều khiển sẽ xuất hiện trong Result Pane
Results Pane
Thể hiện kết quả khi lựa chọn các đối tượng trong Context Pane
Chú ý: ấn phím F9 để nạp lại khung nhìn, hoặc có thể ấn Shift+Ctrl+F9 để reset lại toàn bộ khung nhìn nếu cần thiết
Tools Pane
Một danh sách các công cụ mà bạn có thể thực hiện các tác vụ quản trị riêng biệt. Nếu công cụ này bị mờ, có nghĩa là chức năng này ko có sẵn hoặc có sẵn cho những lựa chọn mục nào đó ở khung Results Pane.
Để sử dụng công cụ này, bạn chọn item trong khung Results Pane và lựa chọn các chức năng trong Tool Pane




2. Thứ tự để sử dụng Domino Administrator


--->1. Chọn Server mà bạn muốn quản trị
--->2. Chọn tab chức năng mà bạn muốn làm
--->3. Chọn đối tượng nếu bạn muốn thao tác trong Context Pane.
--->4. Chọn Item trong khung Result Pane
--->5. Nhấp chuột vào Tool và thực hiện các thao tác ( bạn có thể nhấp chuột phải thay vì click vào Tool)

Bài tiếp theo: Hướng dẫn cài đặt và cấu hình tài liệu (Configuration Settings Documents)

Monday, May 21, 2012

Cài đặt Lotus Notes 8.5.3 ( Notes Client, Domino Administration)

(Setup Lotus Notes Client and Domino Administrator Client 8.5.3)
1. Yêu cầu phần cứng
Khoảng trống đĩa: 1GB hoặc nhiều hơn
Bộ nhớ RAM: 512 MB / Windows XP - khuyên dùng 1GB,  1GB / Windows 7 - khuyên dùng 1.5 GB hoặc nhiều hơn
Bộ vi xử lý: Intel Pentium 4, 1.2 GHz or higher and compatibles, or equivalents
2. Yêu cầu hệ điều hành
Từ Windows XP trở lên
3. Yêu cầu trình duyệt
IE 6 full upate
Firefox 3.5
4. Hướng dẫn cài đặt Notes Client và Administrator Client
Duyệt đến thư mục chứa bộ cài Lotus Notes 8.5.3 chạy file setup.exe
Cửa sổ Lotus Notes 8.5.3 hiện ra, nhấp chuột vào Next

Đọc thỏa thuận bản quyền, sau đó chọn I accept the tearms in the license agreement, tiếp nhấn Next


Tiếp, chọn đường dẫn cài đặt Notes Client, sau đó nhấn Next


Chọn các thành phần cần cài đặt, ở đây tôi chọn Notes Client và Domino Administrator, sau đó nhấn Next


Nhấn Install để tiến hành cài đặt


Nhấp chuột vào Finish để hoàn tất quá trình cài đặt


Saturday, March 17, 2012

Hướng dẫn cài đặt và cấu hình First Lotus Domino Server

Sau khi đã cài xong Domino Server, bước tiếp theo là các bạn cài đặt và cấu hình First Domino
 I. Lên kế hoạch
1. Domino Domain: NN
2. Domino Named Network: TCPIP
3. Organization: COM
4. Organization Unit: NN
5. Server name: Mail
6. Static IP; 192.168.78.87
Phần tìm hiểu về các file ID tôi sẽ giải thích với các bạn trong topic Bảo mật trong Domino sắp tới.
II. Cài đặt
1.Nhấp chuột vào Start/All Program/Lotus Application/Lotus Domino Server
2. Cửa sổ Welcome to Domino Server Setup hiện lên, nhấn Next
3. Cửa sổ First or addtion server, hiện lên, chọn Set up the first server or a stand-alone server, chọn Next

4. Cửa sổ Provide a server name and title hiện ra, nhập các thông tin như hình, sau đó nhấn Next
5. Cửa sổ Choose your organization name hiện ra
  • Phần Organization name điền vào: COM
  • Sau đó nhấp chuột vào nút Customize...

  • Phần Organization Unit name: NN
  • Các bạn nhập mật khẩu cho OU Cert ID
  • Sau đó nhấn OK
  • Tiếp các bạn nhập mật khẩu cho OU ID, sau đó nhấn Next
6. Cửa sổ Choose the Domino domain name, gõ vào tên domain, nhấn Next ( ở đây tôi để mặc định domain là NN)
7.Cửa sổ Specify an Administraor name and password, gõ vào tên và mật khẩu của người quản trị
Chú ý: Nhớ tích vào Also save a local copy of the ID file ( nhân bản file admin.id ra local, tiện cho việc quản trị về sau).
11. Lựa chọn các dịch vụ cho Domino Server, ở đây tôi chọn LDAP, HTTP, Các dịch vụ Mail, các bạn có thể tùy biến dịch vụ bằng cách nhấp chuột vào nút Customize.... Sau khi lựa chọn xong, nhấn Next
12. Cửa sổ Domino network settings hiện ra, các bạn cấu hình các tham số cần thiết về TCP/IP, sau đó nhấn Next
13. Cửa sổ Sucure your Domino Server, để mặc định, nhấn Next
14. Cửa sổ Please review and confirm your chosen server setup options, nhấn Setup
15. Hệ thống đang cài đặt
16. Cửa sổ setup sumary, các bạn nhấp Finish để hoàn tất.
17. Nhấp đúp chuột vào biểu tượng Domino trên màn hình, các bạn tích vào các lựa chọn phù hợp với mình
  • Start Domino as a Windows service: khởi động domino như là một dịch vụ của windows ( ko có màn hình console)
    Start Domino as a regular application: khởi động domino như là một ứng dụng ( có màn hình console)
    Alway start Domino as a service at system startup: cài đặt services domino vào hệ thống, khởi động lúc start hệ thống
  • Ở đây tôi chọn; Start Domino as a regular application
Sau đó nhấn OK
18. Cửa sổ console của Domino hiện lên, hoàn tất việc cải đặt và cấu hình
Video cấu hình
Bài tiếp theo: Cài đặt Lotus Notes ( Notes Client, Domino Administration Tool)