domino 85中的id vaultWord下载.docx
《domino 85中的id vaultWord下载.docx》由会员分享,可在线阅读,更多相关《domino 85中的id vaultWord下载.docx(30页珍藏版)》请在冰点文库上搜索。
可用的Vault数据库。
其中,每个IDVault对应一个数据库,此数据库就称为Vault数据库。
Vault数据库在IDVault创建过程中自动生成,放置在Domino数据目录的IBM_ID_VAULT目录下。
用户的一个验证者签发了Vault信任证书。
Vault信任证书定义了哪些用户可以使用这个Vault来保存ID文件。
以/Acme公司为例,如果Acme组织验证者ID对某个Vault签发了Vault信任证书,则Acme组织下面的所有用户都可以使用此Vault。
用户的有效策略中,包含有关于Vault的安全设置。
Vault信任证书仅仅定义了用户可以使用某个Vault,但用户真正使用的Vault还需要在安全设置中指定。
只有当条件2和3匹配时,分配给用户的Vault才能生效。
在构建起IDVault之后,无论是新注册的用户还是已有的用户都可以自动把ID文件上传到Vault数据库中。
如果用户是一个新用户,ID文件在注册过程中就会被上传到IDVault中。
用户第一次跟服务器做鉴权时,ID文件自动从Domino目录拷贝到客户端。
这点同没有配置Vault的用户是一样的。
对于一个已经存在的用户,这个过程几乎是透明的。
用户要想知道ID文件是否上传到Vault中,可以在客户端中选择File->
Security->
UserSecurity,输入用户密码查看相关信息。
如下图所示,如果用户成功地启用了Vault,则会显示相应的Vault名称。
“UserSecurity”窗口
Vault启动成功之后,客户端的ID文件和Vault中的ID文件就会自动保持同步。
当用户忘记密码时,Domino管理员通过Admin客户端将用户密码重置,或者用户自助式地重置密码。
用户输入重置后的密码连接到服务器,ID文件就会自动从Vault中下载到客户端,而不需要手动将ID文件拷贝到客户端。
用户ID文件丢失或损坏的情况则更简单,用户登录时输入用户密码,ID文件就会自动从Vault下载到客户端,当然前提是有网络连接。
紧从忘记密码和ID文件丢失就可以看出,管理工作方便了很多,那么我们总结一下使用IDVault的好处包括:
当用户的ID文件丢失或者损坏时,可以很快地恢复,不需要管理员的参与,这个过程对用户是透明的,用户几乎感觉不到。
如果用户同时拥有多台Notes客户端,Vault中的ID文件会自动与其保持同步,再不需要携带ID文件手动拷贝或重新同步密码。
当用户忘记密码时,有权限重置密码的用户可以通过Admin客户端很容易地重置用户密码,而不需要直接访问ID文件或IDVault。
可以使用定制程序来重置用户密码。
当用户需要重置密码时,除了第3点介绍的方法,Domino8.5还提供ResetUserPassword接口给开发人员开发自己的重置密码程序。
使用它,用户可以自助式地重置自己的密码,或者让helpdesk的同事来重置密码,而不需要管理员的帮助。
ID重命名过程中不需要用户的参与。
用户启用Vault后,“UserSecurity”窗口的“Askyourapprovalbeforeacceptingnamechanges”选项将不可用。
当检测到服务器上的ID文件有更新时,客户端自动更新其ID文件。
IDkeyrollover过程不需要用户的参与。
用户启用Vault后,将不能通过客户端请求keyrollover,只有管理员才能启动keyrollover。
同ID重命名一样,当检测到服务器上的ID文件有更新时,客户端自动更新其ID文件。
IDVault和IDRecovery恢复ID文件过程比较
Domino8.5仍然支持IDRecovery机制,本章以恢复ID文件为例,比较两种不同的工作模式。
版本支持
IDVault是Domino8.5的新功能,它对Notes和Domino的版本都有要求,如下表所列:
表1.IDVault版本要求
IDVaultLotusNotesNotes8.5oraboveDominoDirectoryserverDomino8.5oraboveVaultserverDomino8.5oraboveUserHomeServerDomino8.5orabove
注:
保存Vault数据库的服务器称为Vault服务器。
Domino目录的管理服务器和用户的本地服务器不要求一定是Vault服务器。
ID恢复过程
ID文件不可用通常有两种情况,ID文件丢失和用户忘记密码。
Domino管理员通过ID恢复过程给用户提供一个可用的ID文件。
本节将对IDVault和IDRecovery两种ID管理机制下的ID恢复过程进行对比。
IDVault
配置好IDVault特性之后,Vault中的ID文件和各个客户端的ID文件就会自动保持同步,而不需要Domino管理员或最终用户的参与。
图2描述了Vault中恢复ID文件的过程。
1.ID文件丢失
如果Notes用户硬盘上的ID文件丢失,客户端试图连接Domino服务器时,只要提供正确的密码,ID文件就会自动从Vault下载到客户端,这个过程对Notes用户是不可见的,用户甚至都感觉不到这个过程。
2.用户忘记密码
用户忘记密码时,可以联系有权限重置密码的Domino管理员进行密码重置,或者根据部署的重置密码程序自助式地重置密码。
用户在拿到新密码之后登录客户端,输入新的密码,用户ID文件将会自动从Vault中下载到客户端。
图2.IDVault中恢复ID文件过程
IDRecovery
在Domino8.5之前,管理员使用IDRecovery来进行ID恢复。
启用ID恢复后,用户的ID文件中将包含恢复信息,这里我们也分两种情况介绍IDRecovery下的ID恢复。
如图3所示,配置好ID恢复特性之后,要想恢复用户的ID文件,需要最终用户和Domino管理员执行一系列的操作才能完成。
ID文件丢失和用户忘记密码时恢复ID文件的流程几乎相同,唯一不同的是丢失ID文件时,最终用户在恢复ID文件之前,需要联系其中一名管理员获得备份的ID文件。
Domino管理员需要完成的操作:
进入保存ID文件加密备份的mail-in数据库中,取得用户的ID文件备份。
如果用户丢失了ID文件加密备份,则向该最终用户发送其备份ID文件的一份拷贝。
取恢复密码,输入Domino管理员自己的密码。
选择第一步取得的用户ID文件备份,将显示出的恢复密码提供给用户。
最终用户需要完成的操作:
联系Domino管理员获得备份的ID文件。
启动Notes客户端,在提示输入密码窗口随意输入密码或直接单击确定,出现密码错误信息后选择"
RecoverPassword"
,进入到恢复密码窗口。
选择需要恢复的ID文件,也即是第一步从Domino管理员那获得的ID文件备份。
输入从ID恢复管理员那获得的恢复密码。
ID恢复管理员有可能是多个,这时,需要从所有的ID恢复管理 员那获得恢复密码。
用户正确地输入一个或多个恢复密码后,用户才能设置新的ID文件密码。
图3.IDRecovery中恢复ID文件过程
2.用户忘记密码
用户有ID文件但是忘记密码时,恢复ID文件的流程与ID文件丢失的恢复流程几乎相同,唯一不同的是用户不需要联系Domino管理员获得备份的ID文件,直接使用客户端的ID文件即可。
从上述流程中可以看出,要想从ID文件的加密备份中恢复用户ID文件,是一件非常繁琐的事情。
需要Domino管理员和最终用户的密切协作才能完成,尤其需要每位ID恢复管理员提供的恢复密码,如果有位ID恢复管理员没有提供恢复密码,恢复ID的工作就无法完成。
而IDVault的管理机制比IDRecovery机制简洁方便得多,大大地节约了管理成本。
因此,尽管已有的IDRecovery在Domino8.5的环境中仍然可用,我们还是建议Domino管理员用IDVault替换IDRecovery来进行ID管理工作。
创建和管理IDVault
在了解了IDVault的优势之后,本章详细介绍如何在服务器上部署IDVault。
在开始部署之前,Domino管理员需要考虑的几个问题。
为企业合理配置Vault
创建多少个Vault
首先,处于不同Domino域的用户不能使用同一个Vault。
因此,当环境中包含有多个Domino域时需要创建多个Vault。
此外,为了管理方便,即使是一个域中也需要创建多个Vault。
例如:
Acme公司包含有一个组织/Acme和多个组织单元,包括:
/Dallas/Acme,/NewYork/Acme和/Shanghai/Acme等;
Acme公司可以将所有用户的ID文件都保存在一个Vault中,但如果希望不同区域的人单独管理ID文件,就可以为每个区域创建一个Vault,或者某几个区域创建一个Vault。
具体创建多少个Vault,应该根据不同的情况,综合考虑Vault信任证书和Policy设置两个方面。
现提供两种方案:
为了实现不同区域的人单独管理其ID文件,为每个组织单元单独创建Vault。
为整个公司组织创建多个vault,也即是Acme公司下的所有用户都可以使用这多个Vault,但是在每个组织单元的组织策略中分配不同的Vault。
这样也可以达到不同组织单元的人使用不同的Vault的目的。
密码重置
用户、用户组、服务器和组织单元都可以有重置密码的权限,并将他们称为密码重置权威。
在IDVault中,有两种重置密码的方式供管理员选择:
有权限重置密码的用户通过Admin客户端为用户重置密码。
通常都是指定某几个管理员负责为用户重置密码。
Notes用户自助式的密码重置。
开发人员可以调用ResetUserPassword方法定制自己的重置密码程序,用户使用它来自助式地重置密码,或者让helpdesk的同事重置密码,而不需要管理员的帮助。
ResetUserPassword
方法在C,Java,JavaScript以及LotusScript语言环境中都是可用的。
在Domino8.5
中,提供了一个名为PwdResetSample.nsf的样例程序供开发人员参考。
它即是在“UserPasswordReset”代理中调用了ResetUserPassword方法。
在将这个样例程序部署到服务器上后,用户只需要在浏览器上成功登录http:
//<
server>
/PwdResetSample.nsf”就可以重置自己的密码。
在部署之前需要计划好重置密码的方式。
如果选择第一种方式,则需要考虑哪些用户将有权限重置密码。
而如果选择第二种,则需要开发自己的重置密码程序,并将它部署到服务器上。
将Vault保存在哪些服务器上
保存Vault数据库副本的服务器称为Vault服务器,通常情况下,将Vault数据库放在一台服务器上即可(要求Domino版本至少是8.5)。
但对于用户数很多的情况,可以在多个服务器上保存Vault副本来平衡性能。
同时,为了避免Vault服务器不可用所带来的影响也需要考虑使用多个Vault服务器。
Vault管理员
一个Vault至少需要一个Vault管理员,Vault管理员能够添加/删除Vault服务器、添加/删除Vault管理员、添加/删除信任此Vault的组织、添加/删除密码重置权威、从Vault中提取/删除用户ID文件。
一个用户要想成为Vault管理员,必须对Admin客户端所连接的服务器至少拥有管理员权限。
创建IDVault
在做好了Vault部署计划以后就可以开始创建IDVault了。
LotusAdmin客户端新增了一系列与IDVault相关的操作。
包括新建Vault,管理Vault,重置密码,导出用户ID文件等。
图4.Vault工具
如图4所示,点击“Create…”创建一个新的IDVault,“CreateandConfigureNotesIDVault”向导将会引导用户完成Vault的创建和配置工作,如下图所示,首先弹出来的页面包含NotesIDVault的功能说明和此向导完成的工作说明,如果用户希望下次不再显示此页面,可以将“Don’tshowthispanelagain”选项选上,那么下次创建IDVault时将会跳过此页面。
图5.创建IDvault
下面我们分步骤介绍IDVault创建过程:
第一步:
定义Vault名称和描述信息
Vault名称:
Vault名字除了不能跟组织或组织单元的名字相同外,用户可以任意选择自己喜欢的Vault名称,这个名称决定了对应的vault数据库和vaultid的名称。
命名为ibmcn_vault的vault对应的vault数据库为:
ibmcn_vault.nsf,vaultid为:
ibmcn_vault.id。
此外,安全设置中分配的给用户Vault名称即是这个。
注:
Vault一旦创建成功,vault名称将不能再修改。
用户可以输入关于创建的Vault的一段描述信息,Vault描述信息将作为对应的Vault数据库的标题。
Vault描述信息是可选的,如果用户没有输入,则Vault数据库的标题也为空。
图6.IDvault名称和描述信息
第二步:
Vault密码和ID文件存放路径
创建的每个IDVault会有对应的VaultID文件和密码,这点上同用户ID是一样的。
VaultID的密码:
至少为8位,且遵从安全规则。
ID文件存放路径:
应该将vaultID文件存放在一个安全的路径,并做好VaultID文件的备份工作。
当Vault管理员添加或删除IDVault副本时,需要提供VaultID文件和密码。
另外,删除vault时也需要提供这两个信息。
图7.VaultID密码和存放路径
第三步:
选择IDvault服务器列表
根据在计划阶段计划的,选择存放vault副本的服务器列表即可。
图8.IDvault服务器
第四步:
选择vault管理员
图9.IDvault管理员
单击“AddorRemove…”添加或删除vault管理员。
如图10所示:
图10.选择用户
从左边选择需要添加的用户,单击“Add”,用户则被添加到vault管理员列表中。
需要注意的是:
只有当这个条件满足时,用户才会出现在图10中可选用户列表中。
第五步:
使用此Vault的组织或组织单元
选择使用此Vault的组织或组织单元,也即是信任此Vault的组织或组织单元。
在Vault创建过程中,会相应地为使用此Vault的组织或组织单元创建Vault信任证书(VaultTrustCertificate)。
图11.vault信任的组织或组织单元
第六步:
指定有权限重置密码的用户
选择有权限重置密码的用户、用户组、
服务器或组织单元。
一旦它们被赋予重置密码的权限,对应地会在Domino目录中创建一个密码重置证书。
如果计划采用代理来让用户自己重置密码,在选择给代理签名的用户时还需要把“Self-servicepasswordresetauthority”选项选上。
图12.指定有权限重置密码的用户
第七步:
创建/编辑IDVaultPolicy设置
由于第八步和第七步是关联的,因此我们在此一并介绍。
在本文的开始已经介绍过,一个用户要想使用Vault,需要同时满足三个条件。
这第三个条件即是:
“用户的有效策略中,包含有关于Vault的安全设置”,关于更详细的IDVault安全设置,我们将“4.4Vault安全设置”中介绍。
在管理员可以在创建完Vault后手动创建包含使用vault的安全设置,再将此安全设置添加到用户的有效策略中。
为了减轻管理员的工作,这个工作也可以在创建和配置NotesIDVault过程中完成。
包括:
创建包含此vault的安全设置文档
创建包含安全设置的策略文档,根据用户的选择,可以是组织策略,显示策略或动态策略。
将策略文档分配给组织,特定的用户/用户组,或者使用特定的服务器作为本地服务器的用户。
如图13所示,管理员有5种方式可以选择。
分别是:
创建分配给一个组织的策略文档
创建分配给特定用户/用户组的显示、动态策略文档
创建分配给特定用户的显示、动态策略文档,这些用户使用特定的服务器作为本地服务器。
编辑一个现有的策略文档
如果暂时不想创建安全设置文档和策略文档,可以选择跳过本步,以后再设置。
图13.创建Policy文档
这里,我们以第一种方式为例给大家介绍,选择“Createanewpolicyassignedtoanorganization”并单击“Next”,如下图所示:
图14.选择组织
通过“AddorRemove”选择组织名,单击“Next”。
在“ForgottenPasswordHelpText”中输入用户忘记密码时的提示信息。
单击“OK”完成。
第九步:
验证vault配置信息
至此,vault的配置过程中已经全部完成。
如图15所示,用户可以在这一步浏览vault的全部配置信息,确认无误后单击“CreateVault”创建vault。
如果发现有误则单击“Previous”返回到之前的步骤进行修改。
图15.Vault配置信息一览
第十步:
创建vault
在上一步确认无误,并单击“CreateVault”开始创建vault。
这个过程中会要求用户提供使用信任此vault的
组织的certID和密码。
直到弹出如下窗口提示成功地创建完vault,整个过程才算完成。
图16.成功创建Vault
从图中可以看出,Vault创建过程中会生成以下文档:
Vault文档,可以通过Configuration->
IDVaults查看。
Vault信任证书,可以通过Configuration->
Certificates查看。
Vault密码重置权威,可以通过Configuration->
VaultID文件,这个ID文件会放置在用户创建Vault时指定的位置。
Vault数据库,这个以Vault名字命名的数据库文件可以在FilesTab下的IBM_ID_VAULT目录找到。
如果创建Vault过程中选择了创建Policy,还可以在Domino目录中看到Policy文档成功创建。
图17是在serverconsole执行showidvaults(shid)的输出,从这可以很清楚地看到有关vault信息。
图17.showidvaults
管理IDVault
对于已经创建的Vault,vault管理员可以通过Admin客户端对它进行管理,如图18所示。
其中包括:
修改Vault描述信息。
修改VaultID密码。
添加/删除Vault服务器信息。
添加/删除Vault管理员。
添加/删除使用Vault组织列表。
添加/删除密码重置权威。
创建/编辑Va
升级会员 