Authentification par nom et mot de passe pour les clients Internet et intranet
Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
Lorsque l'authentification est active, Domino® ne demande un nom et un mot de passe qu'au moment où le client Internet/Intranet tente d'accéder à une ressource protégée sur le serveur. L'accès Internet/Intranet diffère de l'accès au client Notes® et au serveur Domino® en ceci qu'un serveur Domino® demande à un client Notes® ou à un serveur Domino® un nom et un mot de passe lorsque le client ou le serveur essaie initialement d'accéder au serveur.
L'attribution d'un accès à un client Internet/Intranet dans la LCA Domino® d'une base de données va de pair avec la création d'un document Personne pour ce client dans l'annuaire Domino® ou, facultativement, dans un annuaire Domino® secondaire ou un annuaire LDAP externe. Les clients qui ne disposent pas de documents Personne sont considérés comme anonymes et peuvent accéder aux seuls serveurs et bases de données qui autorisent les accès anonymes.
L'authentification par nom et par mot de passe permet à Domino® de retrouver le document Personne (s'il existe) associé au client qui accède au serveur. Une fois le client identifié, l'accès aux ressources du serveur peut être déterminé. Ainsi, si vous souhaitez qu'Alain Durand bénéficie d'un accès Editeur à une base de données et que tous les autres utilisateurs qui s'y connectent disposent d'un accès Auteur, vous devez créer un document Personne pour cet utilisateur. Dans la LCA de la base, vous avez la possibilité d'attribuer l'accès Editeur à Alain Durand et l'accès Auteur à l'entrée Anonymous.
Une authentification par nom/mot de passe avec TCP/IP ou SSL est possible sur tout serveur qui exécute un protocole Internet (LDAP, POP3, HTTP, SMTP, IIOP ou IMAP). Pour chaque protocole Internet activé sur le serveur, vous pouvez spécifier la méthode de sécurité. Par exemple, vous pouvez activer l'authentification par certificat client pour les connexions HTTP et l'authentification par nom/mot de passe pour les connexions LDAP qui utilisent TCP/IP. Vous pouvez également choisir d'associer une sécurité par nom/mot de passe à une authentification anonyme et de client SSL, pour permettre aux utilisateurs possédant des certificats de client SSL de s'identifier via une authentification de client SSL, par exemple, tout en autorisant les autres utilisateurs à entrer un nom et un mot de passe s'ils ne disposent pas de certificat de client SSL.
Si vous configurez une authentification par nom et par mot de passe pour un serveur HTTP, une méthode d'authentification supplémentaire vous est également proposée : l'authentification liée à la session. L'authentification par nom et mot de passe envoie le nom et le mot de passe dans un format non chiffré et est envoyée avec chaque demande. L'authentification liée à la session diffère par le fait que le nom d'utilisateur et le mot de passe sont remplacés par un cookie. Le nom d'utilisateur et le mot de passe sont envoyés sur le réseau uniquement à la première connexion de l'utilisateur au serveur. Après cela, le cookie est utilisé pour l'authentification. L'authentification par nom/mot de passe liée à la session offre un meilleur contrôle sur les interventions de l'utilisateur que l'authentification de base, tout en vous donnant la possibilité de personnaliser le masque dans lequel les utilisateurs entrent leurs informations d'authentification. Elle permet aussi aux utilisateurs de quitter la session sans fermer le navigateur.
Authentification par nom et mot de passe sous connexions sécurisées non-SSL
Utilisez une authentification par nom/mot de passe sous des connexions sécurisées non-SSL pour identifier les utilisateurs sans toutefois sécuriser exagérément l'accès aux données du serveur, par exemple, lorsque vous voulez communiquer différentes informations à des utilisateurs en fonction de leur nom, sans attribuer un caractère confidentiel aux données de la base de données. Aucune information, comme le nom et le mot de passe, n'est chiffrée lors des échanges entre l'utilisateur et le serveur. Dans ce cas, l'authentification par nom/mot de passe décourage certains types de pirates, mais n'empêche nullement les autres utilisateurs d'écouter les transmissions réseau ou de deviner les mots de passe.
Authentification par nom et mot de passe sur les connexions SSL
Avec SSL, toutes les informations, nom/mot de passe inclus, sont chiffrées. SSL garantit la confidentialité et l'intégrité des données aux utilisateurs ayant recours à ce type d'authentification. L'authentification par nom et mot de passe combinée au protocole SSL est plus sécurisante pour les utilisateurs qui ne font pas appel à une authentification du certificat client. De plus, elle permet d'identifier chaque utilisateur accédant à une base de données.
Personnalisation de l'authentification par nom et mot de passe
L'interface DSAPI Domino® (Web Server Application Programming Interface) est une interface de programmation d'applications (API) en C que vous pouvez utiliser pour écrire vos propres extensions pour le serveur Web Domino®. Ces extensions, ou "filtres", vous permettent de personnaliser l'authentification des utilisateurs Web.
Pour plus d'informations sur DSAPI et sur les filtres, reportez-vous au kit d'outils C API Lotus® pour Notes® et Domino®, ainsi qu'à la documentation contenue dans les rubriques connexes.