如何处理 AdminQ 密钥翻转请求

从“标识保险库安全性设置”策略启动 Notes 标识密钥翻转请求时,将执行以下步骤来更新具有保险库标识的 Web 用户的标识文件中的密钥。

如果没有 AdminQ,密钥翻转需要 Web 用户(例如 HCL Verse 用户)使用 HCL Notes 客户端向 Domino 进行认证以获取更新的标识文件。

步骤 1 和步骤 10 是唯一需要管理员执行操作的步骤。

处理所涉及的服务器必须运行 Domino 12.0.2 或更高版本,并使用 12.0.2 或更高版本的 adminq.ntf 设计。

有关这些步骤的图形描述,请参阅AdminQ 密钥翻转插图

  1. 在域管理服务器上,管理员按照过程启用密码翻转为分配给“标识保险库安全性设置”策略的用户启动密钥翻转。
  2. names.nsf 中的策略更改会复制到保险库管理服务器。
  3. 午夜后,保险库管理服务器上的 AdminQ 检查 names.nsf 中的“安全性设置”策略,以查看是否有任何用户需要密钥翻转。
  4. 当 AdminQ 检测到密钥翻转日期已到达时,它会为用户标识保险库中的密钥翻转设置“翻转调度日期”。
  5. AdminQ 每小时检查一次标识保险库,以查找“翻转调度日期”已到达的用户。
  6. AdminQ 检测到用户的“翻转调度日期”已到达,然后在 adminq.nsf 中为用户创建一个“UserRollover”请求,并为其分配状态“需要处理”。
  7. AdminQ 每小时检查一次 adminq.nsf 中分配有状态“需要处理”的“UserRollover”请求。
  8. 当 AdminQ 找到用户的处于“需要处理”状态的“UserRollover”请求时,它会在 admin4.nsf 中创建一个“验证新的个人密钥请求”,并将状态更改为“待处理公用密钥”。AdminQ 还会在标识保险库的“密钥翻转”视图中将标识移至“待处理”状态。
  9. 该“验证新的个人密钥请求”将复制到域管理服务器上的 admin4.nsf 。
  10. 管理员在 admin4.nsf 中打开“验证新密钥请求”视图,选择用户条目,单击验证所选条目,并按照提示来验证标识。
  11. AdminP 在 admin4.nsf 中创建一个“在 Domino 目录中重新验证个人”请求。
  12. AdminP 根据 AdminP 时间间隔设置启动该“在 Domino 目录中重新验证个人”请求。
  13. AdminP 更新 Domino 目录中用户“个人”文档中的公用密钥。
  14. AdminQ 在 adminq.nsf 中为用户创建一个“UserRecertify”请求。有关执行该请求所采取的步骤的信息,请参阅如何处理 AdminQ 重新验证请求
  15. names.nsf 中更新的“个人”文档从域管理服务器复制到保险库管理服务器。
  16. AdminQ 每小时检查一次具有新公用密钥的用户。
  17. AdminQ 检测到用户的新公用密钥,并更新用户标识保险库中的密钥。
  18. AdminQ 将 adminq.nsf 中“UserRollover”请求的状态更改为“已处理”。它还将标识保险库的“密钥翻转”视图中标识的状态从“待处理”更改为“已完成”。
  19. Web 用户连接 Domino HTTP 服务器,该服务器可能与标识保险库服务器不同。
  20. HTTP 对用户进行认证并将用户标识从标识保险库装入到内存中。
  21. 用户访问 HTTP 服务器上的资源。
注: 如果在“服务器”文档的“安全性”选项卡的比较公用密钥字段中启用了强制密钥检查,那么 Notes 客户端用户可能无法立刻在密钥翻转后登录到服务器。当“个人”文档中的新密钥尚未在本地标识文件中时,会发生这种情况,因为 Notes 客户端尚未与保险库同步。在这种情况下,用户可以删除本地标识文件,或单击文件 > 安全性 > 用户安全性标识保险库同步以从保险库下载最新的标识文件。比较公用密钥字段附近的记录公用密钥不匹配选项可以帮助检测存在该问题的标识。