Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Authentification par nom et mot de passe pour les clients Internet et intranet
Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
Sécurisation des mots de passe Internet
Les mots de passe Internet peuvent faire l'objet d'attaques malveillantes. Toutefois, il existe des mesures que vous pouvez prendre pour sécuriser davantage les mots de passe Internet.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
  - Authentification des utilisateurs Web à l'aide des mots de passe d'ID Notes® dans le coffre d'ID
    Vous pouvez configurer HCL Domino® pour qu'il utilise le mot de passe présent dans un coffre d'ID pour authentifier les utilisateurs qui accèdent au serveur via des protocoles Internet HTTP, IMAP, POP3 et LDAP.
  - Configuration d'une authentification de base par nom/mot de passe
    Pour activer l'authentification de base par nom et par mot de passe pour les connexions TCP et TLS, pour tous les protocoles Internet (Web (HTTP), IMAP, POP3, LDAP, SMTP en entrée et IIOP), vous devez effectuer séparément trois procédures.
  - Authentification par nom/mot de passe liée à la session pour les clients Web
    Pour configurer une authentification par nom et par mot de passe pour les clients Web qui ont accès à un serveur Web Domino®, vous pouvez choisir entre deux méthodes : l'authentification de base par nom et par mot de passe ou l'authentification par nom et par mot de passe basée sur une session. L'authentification par nom/mot de passe liée à la session offre davantage de fonctionnalités que l'authentification de base. Une session se définit comme la durée pendant laquelle un client Web est connecté de façon active à un serveur avec un cookie. Pour spécifier les paramètres qui activent et contrôlent l'authentification de la session, vous devez éditer le document Site Web ou Serveur, selon votre configuration.
  - Contrôle du niveau d'authentification des clients Internet
    Vous pouvez sélectionner le niveau de restriction qu'applique HCL Domino® lors de l'authentification d'utilisateurs dans des annuaires Domino et LDAP et quand l'utilisateur a fourni un nom d'utilisateur et un mot de passe. Ceci s'applique à tous les protocoles Internet (HTTP, LDAP, IMAP, POP3).
  - Gestion des mots de passe Internet
    Pour gérer les mots de passe Internet que vous attribuez aux utilisateurs possédant des documents Personne dans l'annuaire Domino®, utilisez un document de politique des paramètres de sécurité. Vous pouvez gérer la qualité et la longueur du mot de passe Internet, autoriser les utilisateurs à modifier leur mot de passe Internet à l'aide d'un navigateur Web, contrôler la période d'expiration et modifier les intervalles.
  - Sécurisation des mots de passe Internet
    Les mots de passe Internet peuvent faire l'objet d'attaques malveillantes. Toutefois, il existe des mesures que vous pouvez prendre pour sécuriser davantage les mots de passe Internet.
    - Utilisation d'un format de mot de passe mieux protégé
      Lorsque vous entrez un mot de passe Internet et enregistrez le document Personne, Domino® effectue automatiquement un hachage unidirectionnel du champ de mot de passe Internet. Pour améliorer le mot de passe par défaut, utilisez un format de mot de passe mieux protégé.
    - Utilisation du verrouillage de l'accès Internet par mot de passe
      Le verrouillage de l'accès Internet par mot de passe permet aux administrateurs de définir une valeur seuil des échecs d'authentification des mots de passe Internet pour les utilisateurs Domino® Web et Domino Web Access.
    - Utilisation des listes xACL pour protéger les mots de passe Internet
      Une façon de protéger les mots de passe Internet consiste à utiliser les listes LCA étendues, ou xACL, pour contrôler l'accès en fonction des niveaux de la structure hiérarchique de noms, mais aussi au niveau du masque et du champ. Pour les mots de passe stockés dans l'annuaire Domino®, les administrateurs peuvent configurer des listes xACL pour limiter l'accès aux mots de passe Internet aux utilisateurs pour qu'ils aient accès à leurs propres mots de passe et aux administrateurs pour autoriser les changements de mot de passe d'ordre administratif.
  - Accès anonyme à Internet et à l'intranet
    Lorsque vous configurez un accès anonyme, les clients connectés à Internet et à l'Intranet peuvent accéder aux serveurs sans s'identifier. HCL Domino® ne consigne pas les opérations effectuées dans les bases de données par ces clients, dans le fichier journal ou dans la boîte de dialogue Activité utilisateur, par exemple.
  - Validation et authentification pour les clients Internet et intranet
    Une fois que vous avez configuré un accès par nom et par mot de passe et créé des documents Personne pour les utilisateurs Internet/Intranet, Domino® authentifie les utilisateurs soit lorsqu'ils tentent d'exécuter une action pour laquelle l'accès est restreint, soit lorsque la connexion anonyme n'est pas autorisée sur le serveur.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Sécurisation des mots de passe Internet

Les mots de passe Internet peuvent faire l'objet d'attaques malveillantes. Toutefois, il existe des mesures que vous pouvez prendre pour sécuriser davantage les mots de passe Internet.

Pourquoi et quand exécuter cette tâche

Voici quelques exemples d'attaques typiques perpétrées sur les mots de passe :

Une attaque vise à lire tous les mots de passe hachés dans l'annuaire Domino®. Le mot de passe Internet d'un utilisateur est stocké sous une version hachée de l'enregistrement Personne de l'utilisateur dans l'annuaire Domino®. L'annuaire est accessible à tous les utilisateurs du système. Vous pouvez vous protéger contre ce type d'attaque en utilisant les listes de contrôle d'accès étendues (xACL) pour bloquer l'accès aux mots de passe hachés.
Il existe un autre type d'attaque qui consiste à deviner les mots de passe pendant l'authentification. Dans ce type d'attaque, les utilisateurs peuvent tenter de s'authentifier en usurpant l'identité d'un individu et essayer de deviner les mots de passe. Pour vous protéger contre ce type d'attaque, utilisez plusieurs formats de mot de passe sécurisés, difficiles à deviner, ou activez la fonction de verrouillage des mots de passe Internet sur le serveur.

Utilisez une ou plusieurs des fonctions suivantes pour protéger l'accès aux mots de passe Internet stockés dans l'annuaire Domino®, ou les rendre plus difficiles à deviner.

Format de mot de passe mieux protégé
Verrouillage de mot de passe Internet
XACLs.