Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Sécurité TLS
Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
Reprise de session TLS
La reprise d'une session TLS a un effet très positif sur les performances : lors de l'utilisation de TLS, les informations tirées de la négociation d'une session TLS précédemment réussie sont rappelées et permettent de court-circuiter les parties les plus lourdes liées à la négociation de clés de session TLS. Le protocole HTTP est celui qui bénéficie le plus de la reprise d'une session TLS, mais les autres protocoles Internet peuvent également en profiter.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
  - Gestion des certificats TLS avec Certificate Manager
    HCL Domino® 12 introduit une nouvelle tâche serveur, Certificate Manager (CertMgr), qui fonctionne avec une nouvelle base de données, Certificate Store (certstore.nsf) pour gérer les certificats TLS dans votre environnement Domino.
  - Configuration de port TLS
    Le protocole TLS fournit toujours un canal de communication chiffré, dont l'intégrité a été vérifiée, et assure l'authentification de l'identité du serveur. Facultativement, les serveurs TLS peuvent être configurés pour demander diverses formes d'authentification de l'identité du client.
  - Connexion TLS requise à un serveur
    Exigez des connexions TLS pour vous assurer que les clients utilisent une connexion sécurisée lors des accès aux bases de données du serveur. Pour cela, redirigez les demandes de connexion en provenance du port TCP/IP vers le port TLS. Si vous n'avez pas besoin d'une connexion TLS, les clients peuvent utiliser TLS ou TCP/IP pour se connecter au serveur.
  - Création d'une certification croisée Internet pour une connexion TLS entre serveurs
    Un serveur peut obtenir une certification croisée Internet d'un autre serveur en vue d'une accréditation. Par exemple, si un serveur doit accéder à l'assistance d'annuaire sur un autre serveur.
  - Configuration de l'accès aux bases de données pour les clients TLS
    Après avoir configuré TLS sur un serveur Domino®, vous devez accorder aux clients un accès aux bases de données du serveur.
  - Modification des restrictions du chiffrement TLS
    Le protocole TLS utilise des clés publiques, des clés privées ainsi que des clés de sessions négociées. Chaque ensemble de certificat TLS dispose d'une paire de clés (une clé publique et une clé privée) et d'un certificat X.509 permettant aux propriétaires de certificats de s'identifier via le réseau et d'utiliser S/MIME pour chiffrer et signer des messages. Les certificats contiennent uniquement la moitié publique de la paire de clés. La clé privée est conservée dans le fichier ID pour le client Notes® et dans le fichier de jeu de clés ou la base de données cerstore.nsf pour le serveur TLS. A compter de Domino 12, Domino prend en charge les clés RSA et ECDSA. Pour plus d'informations, voir wn_ECDSA_cryptography.html.
  - Authentification des clients Web TLS dans les annuaires Domino® et LDAP secondaires
    Lorsqu'un client Web s'authentifie auprès d'un serveur, ce dernier recherche par défaut le document Personne de l'utilisateur dans l'annuaire HCL Domino® principal et vérifie si celui-ci contient le certificat du client. Vous avez la possibilité de configurer Domino pour que les recherches portent également sur les annuaires secondaires Domino et/ou LDAP, si votre organisation en utilise. Pour cela, configurez les annuaires Domino et LDAP secondaires comme domaines accrédités dans la base Directory Assistance.
  - Reprise de session TLS
    La reprise d'une session TLS a un effet très positif sur les performances : lors de l'utilisation de TLS, les informations tirées de la négociation d'une session TLS précédemment réussie sont rappelées et permettent de court-circuiter les parties les plus lourdes liées à la négociation de clés de session TLS. Le protocole HTTP est celui qui bénéficie le plus de la reprise d'une session TLS, mais les autres protocoles Internet peuvent également en profiter.
  - Gestion des certificats TLS sans Certificate Manager
    Si vous ne gérez pas les certificats avec Certificate Manager (CertMgr) et la base de données Certificate Store (certstore.nsf), vous générez et gérez les certificats manuellement, comme décrit dans cette section.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Reprise de session TLS

La reprise d'une session TLS a un effet très positif sur les performances : lors de l'utilisation de TLS, les informations tirées de la négociation d'une session TLS précédemment réussie sont rappelées et permettent de court-circuiter les parties les plus lourdes liées à la négociation de clés de session TLS. Le protocole HTTP est celui qui bénéficie le plus de la reprise d'une session TLS, mais les autres protocoles Internet peuvent également en profiter.

Par défaut, le serveur enregistre en mémoire cache les informations des 50 dernières sessions négociées. Il est possible de modifier ce nombre via la variable SSL_RESUMABLE_SESSIONS du fichier NOTES.INI. En augmentant cette valeur, vous pouvez améliorer les performances des serveurs qui ont tendance à exécuter un grand nombre de sessions TLS simultanées.

Pour désactiver la reprise de session TLS, définissez la variable SSL_RESUMABLE_SESSIONS=1 sur le serveur.

SSL_RESUMABLE_SESSIONS n'a aucun effet sur le client Notes®. Le client enregistre dans la mémoire cache la dernière session TLS.

Remarque : Vous ne pouvez pas configurer de délai d'attente et d'expiration pour les sessions TLS.