Configuration de la sécurité Domino® des documents de site Internet

Pour configurer la sécurité des documents de site Internet, vous pouvez activer une authentification TLS client et serveur, une authentification par mot de passe ou un accès anonyme pour les clients Internet et Intranet.

Pourquoi et quand exécuter cette tâche

Pour activer TLS pour les sites Internet, configurez le port TLS dans le document Serveur et configurez TLS sur le serveur en obtenant un certificat de serveur et un jeu de clés émis par une autorité de certification Internet.

Familiarisez-vous avec les concepts d'authentification TLS, d'authentification par nom et mot de passe et d'accès anonyme avant d'effectuer la procédure ci-dessous.

Remarque : Vous pouvez interdire efficacement l'accès à un site Internet en choisissant Non pour toutes les options d'authentification d'un document de site Internet. Ces options incluent l'authentification TCP, l'authentification TLS et l'accès anonyme TCP.

Procédure

  1. Dans Domino® Administrator, cliquez sur Configuration > Web > Sites Internet.
  2. Choisissez le document de site Internet à modifier, puis cliquez sur Editer document.
  3. Cliquez sur l'onglet Sécurité et complétez les champs ci-dessous :
    Tableau 1. Champs et descriptions du site Sécurité pour Internet

    Zone

    Description
    Authentification TCP

    Anonyme

    (S'applique à tous les sites Internet, à l'exception de IMAP et POP3)

    Sélectionnez l'une des options suivantes :

    • Oui - Pour permettre l'accès anonyme à ce site.
    • Non - Pour interdire l'accès anonyme.

    Nom et mot de passe

    Sélectionnez l'une des options suivantes :

    • Oui - Pour demander à l'utilisateur de s'authentifier en fournissant un nom d'utilisateur et un mot de passe Internet pour accéder au site.
    • Non - Pour ne pas exiger l'authentification par nom et mot de passe.

    Rediriger TCP vers TLS

    (Ne s'applique qu'aux sites Web) Sélectionnez au choix :

    • Oui - Pour demander aux clients et aux serveurs d'utiliser le protocole TLS pour accéder au site Web.
    • Non - Pour permettre aux clients et aux serveurs d'utiliser TLS ou TCP/IP pour accéder au site Web.
    Authentification TLS

    Anonyme

    (S'applique à tous les sites Internet, à l'exception de IMAP et POP3)

    Sélectionnez l'une des options suivantes :

    • Oui - Pour permettre aux utilisateurs d'accéder via le port TLS sans authentification par nom et mot de passe.
    • Non - pour refuser tout accès anonyme aux utilisateurs.

    Nom et mot de passe

    Sélectionnez l'une des options suivantes :

    • Oui - Pour demander à l'utilisateur de s'authentifier en fournissant un nom d'utilisateur et un mot de passe Internet pour accéder au site en utilisant TLS.
    • Non - Pour ne demander ni nom, ni mot de passe.

    Certificat client

    (S'applique aux sites Web, IMAP, POP3 et LDAP)

    Sélectionnez l'une des options suivantes :

    • Oui - Pour demander un certificat client pour accéder à ce site.
    • Non - Pour ne pas demander de certificat client.
    Options TLS

    Nom du fichier de clés
    Indiquez l'un des arguments suivants :
    • Si une configuration certstore.nsf est utilisée, indiquez le nom d'hôte du serveur ou tout autre certificat présent dans certstore.nsf pour le serveur.
    • Si la configuration certstore.nsf n'est pas utilisée, spécifiez le fichier kyr.

    Accepter les certificats de site TLS

    Sélectionnez l'une des options suivantes :

    • Oui - Pour accepter le certificat et utiliser TLS, même si le serveur ne possède pas de certificat commun avec le serveur de protocole.
    • Non (valeur par défaut) - Pour refuser les certificats de site TLS.

    Accepter les certificats TLS périmés

    Sélectionnez l'une des options suivantes :

    • Oui - Pour permettre l'accès des clients, même si leurs certificats sont périmés.
    • Non - Pour interdire l'accès aux clients utilisant des certificats TLS arrivés à expiration.

    Contrôler les LRC

    Sélectionnez l'une des options suivantes :

    • Oui - Pour vérifier dans la liste de révocation de certificat (LRC) la présence éventuelle du certificat utilisateur que vous tentez de valider. Si une LRC valide est détectée et que le certificat utilisateur s'y trouve, ce dernier est rejeté.
    • Non - Pour ne pas utiliser les listes de révocation de certificat.

    Accréditer les LRC expirées

    Sélectionnez l'une des options suivantes :

    • Oui - Pour utiliser les listes de révocation de certificat expirées mais néanmoins valides, lors de la tentative de validation des certificats utilisateur.
    • Non - Pour rejeter les listes de révocation de certificat expirées.

    Autoriser l'échec de la recherche de LRC

    Sélectionnez l'une des options suivantes :

    • Oui - En cas d'échec de localisation d'une liste de révocation de certificat valide, s'exécute comme si l'option Contrôler les LRC était définie sur Non.
    • Non - Si aucune liste de révocation de certificat valide n'est trouvée pour le certificat utilisateur, rejette le certificat. Si l'option Accréditer les LRC expirées est définie sur Oui, une LRC expirée reste valide. Si l'option Accréditer les LRC expirées est paramétrée sur Non, l'authentification échouera pour chaque certificat utilisateur pour lequel une LRC valide correspondante ne sera pas trouvée.
    Sécurité TLS

    Chiffrements TLS

    Cliquez sur Modifier pour modifier les paramètres de chiffrement TLS pour ce document de site. Ces paramètres s'appliquent uniquement à TLS v3. Les chiffrements TLS v2 ne peuvent pas être modifiés.
  4. Enregistrez le document.