Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
SSL et S/MIME pour les clients
Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
Configuration des clients Notes® et Internet pour l'authentification TLS
Vous pouvez configurer l'authentification serveur sur des clients Notes® ou Internet pour chiffrer les données et authentifier l'identité d'un serveur lors de la connexion à un serveur Internet. Le certificat Internet est inutile si vous configurez une authentification client pour serveur seulement.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
  - Configuration des clients Notes® et Internet pour l'authentification TLS
    Vous pouvez configurer l'authentification serveur sur des clients Notes® ou Internet pour chiffrer les données et authentifier l'identité d'un serveur lors de la connexion à un serveur Internet. Le certificat Internet est inutile si vous configurez une authentification client pour serveur seulement.
  - Envoi de certificats accrédités aux clients Notes®
    Vous pouvez créer des certifications croisées dans l'annuaire Domino® pour les certificateurs Internet et Notes® et envoyer ensuite ces certifications croisées à l'application Contacts des clients Notes. Les certifications croisées permettent d'obtenir l'accréditation des clients d'un certificateur lors de l'accès aux serveurs, de la lecture de messages S/MIME chiffrés ou de l'installation de plug-ins clients Notes signés. Lorsque vous envoyez des certifications croisées, il n'est pas demandé aux utilisateurs de créer ces certifications croisées ni de les extraire de l'annuaire Domino.
  - Certificats Internet pour TLS et S/MIME
    Pour pouvoir utiliser l'authentification client ou envoyer des messages signés, les clients Internet et Notes® doivent posséder un certificat Internet. Le certificat Internet du destinataire est requis pour envoyer des messages chiffrés via S/MIME.
  - Configuration des clients Notes® pour S/MIME
    Vous pouvez configurer un client Notes® pour qu'il se serve du chiffrement et des signatures électroniques S/MIME lors de l'envoi de courrier à d'autres personnes utilisant des applications de messagerie compatibles S/MIME.
  - Configuration des clients Notes® et Internet pour l'authentification client TLS
    Vous pouvez configurer un client Notes® ou Internet pour l'authentifier auprès d'un serveur. L'authentification client n'est pas prise en charge pour les connexions SMTP et IIOP.
  - Configuration de TLS pour Notes® ou Domino® via SMTP
    Un client Notes® ou un serveur Domino® peuvent agir en tant que client SMTP lors de l'acheminement du courrier vers un serveur SMTP. Le client Notes ou le serveur Domino a la possibilité d'utiliser TLS pour se connecter à un serveur Domino exécutant le service SMTP ou à un autre type de serveur SMTP. Il est impossible de configurer un client Notes ou un serveur Domino pour l'authentification client TLS dans le cadre d'une connexion utilisant SMTP.
  - Utilisation de TLS lors de la configuration de l'assistance d'annuaire pour les annuaires LDAP
    L'assistance d'annuaire permet d'étendre les services d'annuaire de la base Annuaire Domino® principale d'un serveur aux autres annuaires Notes® (annuaires Domino secondaires, par exemple) et aux annuaires distants LDAP. Pour configurer l'assistance d'annuaire, créez la base de données Directory Assistance à partir du modèle DA.NTF, puis créez des documents Directory Assistance dans la base pour configurer des services pour des annuaires spécifiques.
  - Vérification de la révocation des certificats OCSP pour X.509
    Le protocole OCSP (On-line Certificate Status Protocol) permet aux applications de déterminer le statut de révocation d'un certificat identifié. OCSP peut être utilisé pour répondre à certaines conditions de fonctionnement consistant à fournir des données de révocation plus précises avec les listes de révocation des certificats (LRC), et peut également être utilisé pour obtenir des informations d'état supplémentaires. Un client OCSP émet une demande d'état au répondeur OCSP et suspend l'acceptation du certificat en question jusqu'à ce que le répondeur fournisse une réponse.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Configuration des clients Notes® et Internet pour l'authentification TLS

Vous pouvez configurer l'authentification serveur sur des clients Notes® ou Internet pour chiffrer les données et authentifier l'identité d'un serveur lors de la connexion à un serveur Internet. Le certificat Internet est inutile si vous configurez une authentification client pour serveur seulement.

Sur le serveur, TLS est configuré au cas par cas. Vous avez le choix entre activer TLS pour tous les protocoles ou seulement pour quelques-uns. Il est possible, par exemple, d'activer TLS pour les protocoles de messagerie (IMAP, POP3, SMTP) et de le désactiver pour HTTP. Vous devez également activer le port pour un accès anonyme, sinon Domino® demandera au client un certificat Internet ou un nom et mot de passe.

Pour accéder à un serveur Internet via TLS, les clients doivent :

Posséder un logiciel prenant en charge TLS, comme un navigateur Web ou un client Notes®.
Détenir un certificat racine accrédité par un certificateur Domino® ou tiers.
Détenir une certification croisée créée avec le certificat racine accrédité pour l'OC Domino® ou le certificateur tiers (client Notes® uniquement). Le certificat racine accrédité n'est plus nécessaire après la création de la certification croisée.

Remarque : Les transactions sécurisées sont signalées par l'utilisation de https:// dans les URL correspondant à des sites sécurisés TLS. Une personne se servant d'un navigateur peut spécifier ceci lorsqu'elle lance une transaction sécurisée. De façon plus probable, l'utilisateur naviguera vers une page de connexion dans laquelle il lui sera demandé d'entrer son nom et son mot de passe afin d'accéder à une page Web sécurisée.