Comparaison des valeurs de clé publique

Les signatures sur les certificats utilisateur et serveur échangés lors de l'authentification sont toujours vérifiées. Vous pouvez activer un niveau de vérification supplémentaire pour les clés publiques, en comparant la valeur de la clé transmise dans les certificats à la valeur de la clé répertoriée dans l'annuaire HCL Domino ® . Il est possible que des utilisateurs s'authentifient auprès d'un serveur, mais présentent une différence entre la valeur des clés publiques dans leurs certificats et celle répertoriée pour eux dans l'annuaire Domino ® .

À propos de cette tâche

Ce niveau supplémentaire de vérification des clés protège contre l'utilisation abusive d'un fichier d'identification perdu ou compromis. Généralement, si un fichier ID est perdu, son propriétaire doit être enregistré pour créer un nouveau fichier ID et une nouvelle entrée de répertoire ; et si le fichier d'identification a été compromis, les clés publiques et privées du propriétaire doivent être transférées et ce nouvel ensemble de clés doit être certifié (mettant ainsi à jour l'entrée du répertoire). En activant la vérification des clés au niveau du répertoire, un attaquant en possession de l'ancien fichier d'ID ne pourra pas l'utiliser pour accéder au serveur, même si cet ancien fichier d'ID peut contenir un certificat valide.

Vous pouvez également choisir de contrôler si un message de journal est généré si l'authentification réussit mais qu'une incompatibilité est détectée. Cela permet aux administrateurs de détecter quand le contenu du fichier ID n'est plus synchronisé avec les entrées du répertoire, mais de le faire sans empêcher ces utilisateurs de s'authentifier en raison de non-concordances de clé publique.

Procédure

  1. From the Domino® Administrator, click the Configuration tab, and open the Server document.
  2. Cliquez sur l'onglet Sécurité .
  3. Dans la section Paramètres de sécurité , cliquez sur la liste en regard de Comparer les clés publiques et choisissez l'une des options suivantes :
    • Appliquez la vérification des clés pour tous les utilisateurs Notes et les serveurs Domino : pour comparer la valeur de clé dans les certificats transmis lors de l'authentification avec la valeur de clé stockée dans l'annuaire Domino® . Tout utilisateur ou serveur non répertorié dans un répertoire de confiance sera traité comme s'il avait échoué à cette vérification et ne sera pas autorisé à accéder à ce serveur.
    • Appliquez la vérification des clés aux utilisateurs Notes et aux serveurs Domino répertoriés dans les répertoires approuvés uniquement : pour comparer la valeur de clé dans les certificats transmis lors de l'authentification avec la valeur de clé stockée dans l'annuaire uniquement lorsque l'utilisateur ou le serveur est répertorié dans un répertoire approuvé. Tout utilisateur ou serveur non répertorié dans un répertoire de confiance sera traité comme s'il avait réussi ce contrôle de vérification.
      Remarque : Cette option permet aux administrateurs de donner aux utilisateurs non répertoriés dans l'annuaire l'accès aux bases de données et aux applications sur le serveur. Par exemple, la liste de contrôle d'accès d'une base de données peut être configurée pour accorder l'accès en éditeur aux utilisateurs répertoriés dans l'annuaire Domino ® et l'accès en lecteur à tous les autres. Ainsi, si cette option de vérification des clés est activée, les utilisateurs non répertoriés dans l'annuaire peuvent toujours accéder au serveur pour utiliser la base de données, pour laquelle ils auront uniquement un accès en lecteur.
    • N'imposez pas la vérification des clés : si vous souhaitez que seules les signatures de certificat soient vérifiées lors de l'authentification, mais ne vérifiez pas les clés par rapport au contenu du répertoire.
  4. Cliquez sur la liste en regard de Consigner les incompatibilités de clé publique et choisissez l'une des options suivantes :
    • Consigner les incompatibilités de clé pour tous les utilisateurs Notes et les serveurs Domino : pour consigner les événements qui se produisent lorsque la valeur de clé dans les certificats transmis lors de l'authentification ne correspond pas à la valeur de clé stockée dans l'annuaire Domino® .
    • Consigner les incompatibilités de clé pour les utilisateurs Notes et les serveurs Domino répertoriés dans les annuaires approuvés uniquement : pour consigner les événements qui se produisent lorsque la valeur de clé du certificat transmis lors de l'authentification ne correspond pas à la valeur de clé stockée dans l'annuaire uniquement lorsque l'utilisateur ou le serveur est répertorié dans un répertoire de confiance.
    • Ne pas enregistrer les incompatibilités de clés : pour enregistrer uniquement les échecs d'authentification.
  5. Arrêtez et redémarrez le serveur pour que les modifications prennent effet. Le serveur interroge toutes les heures pour voir si ces paramètres ont changé. Ainsi, si le serveur n'est pas redémarré, il peut s'écouler jusqu'à une heure avant que les nouveaux paramètres ne prennent effet.