LOT03P4 - Domino 8.5_ Vault ID, enfin la gestion des ID dans

TechSoftware Août 2009
Simplification apportée en Version 8.5,
dans la gestion des IDs.
Le Notes ID Vault
Laurent Godmé
Spécialiste Lotus
© 2009 IBM Corporation
TechSoftware Août 2009
Qu’est ce que le ‘Notes ID Vault*’ ?
● Le ‘‘Notes ID Vault’’ est une nouvelle option pour la gestion et la conservation de
tous les IDs* utilisateurs.
● Lorsqu’un fichier ID est perdu ou endommagé, cela n’induit plus de désagrément
pour les utilisateurs parce que son identifiant (ID Notes) peut être immédiatement
régénéré à partir de l’ID Vault.
● Cette solution réduit le coût de possession de la plateforme Notes/Domino en
simplifiant la gestion des identités.
●
● *Vault = Coffre fort
● *ID = Fichier d'identification des clients Lotus Notes contenant les cléfs de sécurité.
TechSoftware Août 2009
Qu’est ce que permet le ‘Notes ID
• La réinitialisation
de mots deen
passe détail)
oubliés
Vault’
? (plus
• Par le Help desk (Administrateurs autorisés) ou par une application Self service
• Une synchronisation des IDs sur différents ordinateurs (mot de passe et clés)
• Recommandé dans le cas de l’utilisation du Roaming (poste de travail banalisé)
• Une intégration complète est prévue pour l’utilisation iNotes/Blackberry (après la 8.5)
• Des fonctions d’audit pour avoir accès aux données cryptées
• Afin de récupérer ou consulter des données chiffrées
• Cela évite la perte de données importantes
• De désactiver des comptes temporairement
• Processus automatique dans la base Vault, via adminp
• Marque l’IDs comme “Inactif” quand un utilisateur est supprimé
• Information : Les fichiers IDs des utilisateurs sont remontés dans la base ID Vault, par
deux méthodes :
• En automatique (par politique), pour remonter dans l’application Notes ID Vault, tous les fichiers ID (méthode
adaptée pour les utilisateurs courants)
• Lors de l’enregistrement des nouveaux utilisateurs, les fichiers IDs sont automatiquement ajoutés dans
l’application ID Vault.
TechSoftware Août 2009
Pourquoi déployer le Notes ID Vault?
• Afin de réduire les temps d'immobilisation d’un utilisateur lors de la perte d’un ID ou mots de
passe perdus et les coûts de support associés
• Simplifie la distribution des accréditations dans les IDs
• Rationalise le processus de réinitialisation des mots de passe oubliés
• Pour automatiser la maintenance des IDs
•
•
•
•
Synchronisation des fichiers IDs
Changement de nom des utilisateurs
Gestion des clefs
Replacement de l’ID en cas de perte ou de corruption
• Pour une bonne gestion des utilisateurs en Roaming
• Prise en charge des processus juridiques recherche et/ou demande d'accès aux données
chiffrées, ce qui peut éviter la perte d'informations précieuses
• Evite les manipulations coté utilisateurs
• Lors de récupération de clefs ou lors des changement de nom
TechSoftware Août 2009
Création de l’application ‘Notes ID
• Depuis le client Administrateur de Notes onglet de Configuration puis
Vault’
Panneau “Outils > ID Vaults > Créer”
• Spécifier un nom pour la base Vault + descriptif
• Nom hiérarchique
• Nom de la base (la base sera déposée dans un répertoire \IBM_ID_VAULT
sous le répertoire data du serveur)
• Fichier ID pour l'administrateur du Vault + mot de passe
• Important : Cet ID doit être sauvegardé !
• Sélection de la première instance serveur sur laquelle le service sera
déployé
TechSoftware Août 2009
Création du Notes ID Vault (Suite)
• Définir au moins un administrateur du Vault
• Pour ajout / retrait de serveur(s) du Vault
• Pour suppression de fichiers ID
• Pour ajout ou suppression d’un administrateur
• Sélection des organisations ou des OU
(Unités d’organisation) concernées pour le
stockage des IDs dans le vault
• Accès aux IDs de certification
• Un certificat croisé spécifique pour le Vault
(Vault Trust Certificate) est crée pour chacun
des IDs de certification Domino. (Ils sont
stockés dans le carnet d’adresses Domino)
• Seuls les IDs générés par ces certificats seront
remontés dans le vault
TechSoftware Août 2009
Création du Notes ID Vault (Suite)
• Sélection des personnes autorisées à faire les
réinitialisations de mots de passe
Un certificat croisé ‘Password Reset certificate’
pour réinitialisation est crée pour chaque utilisateur,
groupe ou OU concerné
• Création de la politique ‘ID vault policy’
• Création d’une nouvelle politique
• Edition
• Annulation
TechSoftware Août 2009
Fin de la création du Notes ID Vault
• Fichier ID de l'administrateur du Vault
• Celui-ci est déposé localement sur la machine du créateur
• Il doit être sécurisé au même titre que vos IDs certificats
• Pour créer les réplications du Vault
• Visualisation de l’Id Vault depuis le carnet d’adresses Domino
• ID Vault est disponible depuis de l’onglet de configuration, dans la section sécurité
TechSoftware Août 2009
Fin de la création du Notes ID Vault
• Application ID Vault
(Suite)
• Disponible sur le serveur Domino
• Elle est encryptée avec le serveur ID où a été générée l’ID
Vault
• Certificat(s) de confiance du Vault
• Les certificats croisés sont stockés dans le CA de Domino
• Un pour chaque certificat Domino enregistré
• Certificats pour réinitialisation des mots de passe
• Les certificats croisés de Notes sont stockés dans le CA de
Domino
• Pour chaque utilisateur ou application autorisé à faire une
réinitialisation
• Paramètres de politique (rappel)
• Soit générée pendant l’installation du Vault
• Soit dans un politique existante
TechSoftware Août 2009
Configuration de la politique
• Paramètres de sécurité > Onglet ID Vault
• Nom hiérarchique du vault
• Définition du texte d’aide pour annulation
des mots de passe
• Forcer ou non la modification du mot de passe
• Téléchargement Automatique de l’ID
• Avec limite dans le temps
• Message d’aide en cas d’échec
• Document Personne > ID Vaults
• Nombre de téléchargement
TechSoftware Août 2009
Application Notes ID Vault
• Sécurité de l'application
L’application est encryptée avec l’ID Serveur d’origine
Liste de contrôle d'accès - ACL
Administrateurs du Vault – Accès Manager
Serveur du Vault – Accès Manager
‘‘Pas d’accès’’ requis pour tous les autres
• Paramètre pour chaque ID utilisateur
• Date dernière modification
• Nombre maximum de téléchargement
• ID utilisateur (crypté)
TechSoftware Août 2009
Réplication
● Afin de fournir des capacités de
sauvegarde et de bascule, il est
possible de créer des répliques de
l’application Vault sur d’autres serveurs
du domaine.
● Le réplication du Vault ne peut pas être
créée en utilisant la méthode standard
pour créer des réplications sur le
serveur. (pour cela il faut partir des
commandes disponibles dans
l’application Vault)
● Un serveur principal est désigné
comme la référence pour certaines
opérations afin d’éviter des conflits de
réplication (changement de nom,
régénération de clef) Il est également le
premier serveur de la liste lorsque l’on
fait un ‘‘show Idvaults’’ sur la console
serveur.
TechSoftware Août 2009
Opération – Ajout d’un nouvel
•utilisateur
Deux méthodes soit pardans
assignation d’une
le
Vault
politique soit lors de l’enregistrement d’un
nouvel utilisateur
• Lors de l’enregistrement d’un nouvel
utilisateur
• Ouvrir la section ‘‘Vault policy’’
• Le Vault sera automatiquement renseigné
comme lieu de stockage de l’ID
• Au moment de l’installation du poste client
• Entrer le nom
• Le serveur reconnait que l’ID utilisateur est
disponible dans le Vault et son mot de
passe, lui est demandé
• Si le mot de passe est correct alors celui-ci
est téléchargé automatiquement sur la
machine de l’utilisateur.
TechSoftware Août 2009
Opération – Ajout d’un utilisateur
• Par déclaration directe d'une organisation
courant,
dans la politique dans le Vault
• Ou en ajoutant un utilisateur, à une politique
• Dans le document de la personne (CA Domino)
• Ou depuis l’onglet attribution de politique ‘‘Policy
Assignment’’
• Quand l’utilisateur se connecte dans le client
Lotus Notes
• L’ID est remonté en arrière plan dans le Vault
• Dans les paramètres de sécurité du client on voit
que l’ID a été remonté dans l’application Vault
TechSoftware Août 2009
Opération – Mot de passe oublié
• Quand un utilisateur clique sur ‘mot de passe oublié’
• Il reçoit les instructions spécifiées par l’administrateur pour faire une demande de
réinitialisation du mot de passe.
• Les personnes qui ont l’autorisation de réinitialisation pourront alors depuis l’interface Lotus Notes
Admin, lui attribuer un nouveau mot de passe en saisie manuelle ou un mot de passe en génération
automatique
• Optionnellement on peut développer sa propre application pour cette gestion et pour intégrer de la
traçabilité pour audits et des opérations de flux pour validation.
TechSoftware Août 2009
Opération – Mot de passe oublié • Coté opérateur
réinitialisation
• L’opérateur doit disposer du certificat de
réinitialisation ‘Password Reset certificate’
• Vérifier l’identité de l’utilisateur
• Depuis la vue par personne dans
l’administration - Outils ID Vaults Réinitialisation du mot de passe
• Communiquer de façon sécurisé le
nouveau mot de passe.
• Pas besoin de droits d’accès à la base
Vault, ni au fichier ID utilisateur
• Coté utilisateur
• Message d’alerte avec demande pour
Entrer un nouveau mot de passe
TechSoftware Août 2009
Opération – Re-Génération d'un fichier
• ID supprimé ou corrompu
ID
• Retirer l’ID corrompu
• S’assurer que l’utilisateur pourra télécharger un nouvel ID
• En spécifiant le téléchargement automatique =Oui
• Ou en spécifiant le nombre de téléchargement possible supérieur à 0
• Quand l’utilisateur se reconnecte une nouvelle copie de l’ID est téléchargé
• Perte ou vol de l’ID
• Réinitialiser le mot de passe dans le vault
• Réintégré les clefs dans cet ID
• S’assurer que le contrôle de la clé par le serveur, est activé
• S’assurer que l’utilisateur peut télécharger le nouvel ID et connait le nouveau MdP
• Quand l’utilisateur se reconnecte une nouvelle copie de l’ID est téléchargé
TechSoftware Août 2009
Synchronisation des Ids utilisateurs
avec l'application ID Vault
• Scenario de Synchronisation (conditions)
• Changement de nom
• Recouvrement de clé ‘‘Key Rollover’’
• Changement de mot de passe (coté utilisateur)
• Clés d’encryptage
• La synchronisation avec un ou plusieurs serveurs (en cas de modification, coté serveur ou client)
• Contrôle à la connexion et synchronisation :
• Immédiate, si l’ID est modifié lorsque l’utilisateur est connecté
• Par Intervalles d'interrogation
• Intérêt si le changement de l’ID a été effectué lorsque l'utilisateur était hors ligne.
TechSoftware Août 2009
Opération – Extraire un ID depuis le
• Pour fournir à l’utilisateur un copie
Vault
physique de l’ID (ex : Besoin de donner un
ID à une personne non connecté)
• Depuis la vue personne fonction - Extraire l’ID
• Demande de mot de passe de cet ID
• Copie de l’ID pour un auditeur
Utilisateur n’est pas informé !
• Il faut disposer du rôle auditeur
• Extraction de l’ID depuis la vue personne du
CA
• Il faut définir un nouveau mot de passe pour
l’auditeur (Le mot de passe précédent n’étant
pas connu)
Fonction audit peut être désactivée, en utilisant le paramètre SECURE_DISABLE_AUDITOR=1 dans le notes.ini
TechSoftware Août 2009
Vue à 360°autour de la sécurité
• Protection lors de la création du vault
• La création du certificat de confiance du Vault nécessite l'accès aux IDs certificateurs de Domino
• La protection pour les différentes opérations :
• Upload des IDs
• Seuls les IDs enregistrés par les certificateurs autorisés peuvent être uploadés
• Seuls les IDs spécifiés par la politique seront envoyés
• Protection de téléchargements des IDs
• Échec sur tentative de mots de passe limité à 10 par jour (configurable)
• Nombre de tentatives pour les téléchargements
• Réinitialisation des mots de passe
• Nécessite le certificat de réinitialisation des mots de passe
• Création du certificat de réinitialisation de mot de passe nécessite l'accès à l'ID certificateur
• Accès à l'espace de stockage du Vault
• Les IDs attachés sont cryptés dans le Vault
• Les opérations de cryptage et de décryptage se font dans la mémoire - pas de stockage des
identifiants sur le disque
• L'accès aux données sont transmises par réseau
• Toutes les transactions ID vault sont cryptées
TechSoftware Août 2009
Recommandations sur la
• Limiter à un petit nombre de personnes hautement fiables, la fonction réinitialisation des mots
réinitialisation
des mots de passe
de passe
• Il est préférable d’accorder cette fonction à une Unité d’Organisation comme le “helpdesk OU”
• Permettra une gestion automatique des accès à cette fonction par la politique (départ/arrivée des
personnes dans cette OU)
• Ou de définir des IDs spécifiques pour cette fonction
• Les administrateurs devront alors changer d’ID pour faire l’opération (si chacun des administrateurs
dispose d’un ID spécifique le suivi reste possible)
• Ou autoriser cette fonction uniquement que par le biais d’une application gérée par les
personnes du help desk
• Ajout et suppression des ayants droits dans la liste de contrôle d’accès liée à cette application
• On peut imaginer une application qui gére les demandes de renouvellement, sans agent de
renouvellement,
• Dans tous le cas, cela permettra un suivi pour les audits
TechSoftware Août 2009
Limitations connus
• Seuls les clients Notes 8.5 ou supp. peuvent remonter leur ID dans le Vault
• Clients iNotes il n’y a pas de synchronisation entre l’ID stocké dans la base mail d’iNotes et
du Vault (Prévu en 8.5.1 - Nov 2009 en Fr)
• L’ID Vault et l’ID Recovery (ancienne méthode) peuvent être utilisés dans un même domaine
• Mais on ne peut attribuer qu’un seul processus à un ID Notes.
• Notes Single Logon (ancienne méthode) n’est pas supporté par les fichiers IDs qui utilisent le
Vault
• Il faut utiliser la nouvelle fonction Notes Shared login
• Les IDs suivants ne peuvent pas être stockés dans un Vault
• Les fichiers IDs disposants de plusieurs mot de passe
• Les IDs Certificateurs et IDs Serveurs
• Les IDs protégés par smartcard
• Important ! Le Fix 3 (85IF3) est un correctif obligatoire pour les serveurs Domino 8.5
exécutant la fonction ID Vault
• Mandatory fix for Domino 8.5 servers using the ID Vault feature (Technote #1381146)
• Readme for IBM Lotus Domino server release 8.5 Interim Fix 3 (85IF3) (Technote #1381562)
TechSoftware Août 2009
Suivi d’audit et console
• Les événements de l’ID Vault sont envoyés au Log.nsf
• Vue Evénements Sécurité du client et du serveur (LOG.NSF)
• Et dans Domino Domain Monitor (DDM.NSF)
• Commande sur console serveur
• SHOW IDVAULTS
TechSoftware Août 2009