Comparaison des valeurs de clé publique
Les signatures apposées sur les certificats utilisateur et serveur échangés en cours d'authentification sont toujours vérifiées. Vous pouvez activer un niveau supplémentaire de vérification des clés publiques en comparant la valeur de la clé transmise dans les certificats avec celle de la clé répertoriée dans l'annuaire HCL Domino®. Les utilisateurs peuvent procéder à une authentification avec un serveur mais au risque de constater une incompatibilité entre la valeur des clés publiques de leurs certificats et leurs éléments correspondants dans l'annuaire Domino®.
Pourquoi et quand exécuter cette tâche
Ce niveau supplémentaire de vérification des clés offre une protection contre toute utilisation abusive d'un fichier ID perdu ou compromis. En règle générale, en cas de perte d'un fichier ID, le détenteur de ce dernier doit être enregistré pour pouvoir créer un nouveau fichier ID et une entrée d'annuaire. En cas de fichier ID compromis, les clés publiques et privées du détenteur du fichier devront être remplacées, et le nouvel ensemble de clés devra être certifié (et l'entrée d'annuaire consécutivement mise à jour). En activant la vérification des clés au niveau de l'annuaire, vous empêchez toute personne malveillante en possession de l'ancien fichier ID de l'utiliser pour accéder au serveur, même si cet ancien fichier ID contient un certificat valide.
Vous pouvez déterminer si un message de consignation doit être généré si l'authentification réussit mais qu'une incompatibilité est constatée. Cette opération permet aux administrateurs de déterminer quand le contenu du fichier ID a été désynchronisé des entrées d'annuaire, mais sans empêcher ces utilisateurs de procéder à une authentification pour cause d'incompatibilité de clés publiques.
Procédure
- Dans Domino® Administrator, cliquez sur l'onglet Configuration et ouvrez le document Serveur.
- Cliquez sur l'onglet Sécurité.
-
Dans la section Paramètres de sécurité, cliquez sur la liste déroulante en regard du champ Comparer les clés publiques, puis choisissez l'une des options suivantes :
- Appliquer la vérification de clés à tous les utilisateurs Notes et Domino : sélectionnez cette option pour comparer la valeur de clé des certificats transmise en cours d'authentification avec la valeur de clé stockée dans l'annuaire Domino®. Tout utilisateur ou serveur non répertorié dans un annuaire accrédité sera traité comme si sa vérification avait échoué et ne sera pas autorisé à accéder au serveur concerné.
- Appliquer la vérification de clés uniquement aux utilisateurs Notes et serveurs Domino répertoriés dans les annuaires sécurisés : sélectionnez cette option pour comparer la valeur de clé des certificats transmise en cours d'authentification avec la valeur de clé stockée dans l'annuaire uniquement lorsque l'utilisateur ou le serveur figure dans un annuaire accrédité. Tout utilisateur ou serveur non répertorié dans un annuaire accrédité sera traité comme si sa vérification avait réussi. Remarque : Grâce à cette option, les administrateurs peuvent autoriser des utilisateurs non répertoriés dans l'annuaire à accéder à des bases de données et des applications résidant sur le serveur. Par exemple, la liste de contrôle d'accès d'une base de données peut être configurée en vue d'octroyer un accès de type Editeur à des utilisateurs figurant dans l'annuaire Domino® et des droits d'accès en lecture à tous les autres utilisateurs. Si vous activez cette option de vérification des clés, les utilisateurs non répertoriés dans l'annuaire peuvent toujours accéder au serveur pour exploiter la base de données mais bénéficient uniquement d'un accès en lecture.
- Ne pas imposer la vérification des clés : sélectionnez cette option si vous souhaitez vérifier uniquement les signatures des certificats lors de l'authentification, et ne pas vérifier les clés par rapport au contenu de l'annuaire.
-
Cliquez sur la liste déroulante en regard du champ Consigner les incompatibilités de clés publiques, puis choisissez l'une des options suivantes :
- Consigner les incompatibilités de clés pour tous les utilisateurs Notes et serveurs Domino : sélectionnez cette option pour consigner les événements survenant lorsque la valeur de clé des certificats transmise en cours d'authentification ne correspond pas à la valeur de clé stockée dans l'annuaire Domino®.
- Consigner les incompatibilités de clés uniquement pour les utilisateurs Notes et serveurs Domino répertoriés dans les annuaires accrédités : sélectionnez cette option pour consigner les événements survenant lorsque la valeur de la clé du certificat transmise en cours d'authentification ne correspond pas à la valeur de clé stockée dans l'annuaire uniquement lorsque l'utilisateur ou le serveur figure dans un annuaire accrédité.
- Ne pas consigner les incompatibilités de clés : sélectionnez cette option pour consigner uniquement les échecs d'authentification.
- Pour que les modifications entrent vigueur, arrêtez le serveur, puis redémarrez-le. Le serveur interroge le système toutes les heures pour savoir si ces paramètres ont été modifiés ; ainsi, si vous n'avez pas redémarré le serveur, la validation et la mise en application des nouveaux paramètres peuvent demander une bonne heure.