M 4.123 Einrichten des SSL-geschützten Browser-Zugriffs auf Lotus Notes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Web-Zugriff auf einen Domino Server kann ungeschützt über das Protokoll HTTP (HyperText Transfer Protocol) oder mit SSL (Secure Socket Layer) abgesichert über das Protokoll HTTPS erfolgen. Generell kann ein Server beide Varianten gleichzeitig unterstützen. Ist die Nutzung des ungeschützten Zugriffs möglich, so kann die SSL-Absicherung auch bei Bedarf angefordert werden, wenn auf eine Datenbank zugegriffen wird, deren Daten während der Übertragung geschützt werden müssen, oder wenn eine abgesicherte Authentisierung notwendig ist. Dazu kann in den Eigenschaften einer Datenbank angegeben werden, dass für den Zugriff eine SSL-Verbindung erforderlich ist (siehe M 4.125 Einrichten von Zugriffsbeschränkungen beim Browser-Zugriff auf Lotus Notes Datenbanken).

Damit der SSL-Zugriff überhaupt ermöglicht werden kann, muss der so genannte SSL-Port des Servers aktiviert werden. Dazu muss im Serverdokument der Status des SSL-Ports auf den Wert "Enabled" (Aktiviert) gesetzt werden. Durch diese Einstellung wird jedoch nur der SSL-Port zur Nutzung freigegeben. Damit eine SSL-Verbindung zustande kommen kann, muss der Server auf den SSL-Einsatz vorbereitet werden, indem für ihn ein SSL-Zertifikat ausgestellt wird (siehe M 5.86 Einsatz von Verschlüsselungsverfahren beim Browser-Zugriff auf Lotus Notes).

Sollen Web-Clients auf einen Server ausschließlich über SSL-geschützte Verbindungen zugreifen, so kann dies auf zwei Arten erreicht werden:

Welche Konfiguration verwendet werden soll, hängt von den beabsichtigten Einsatzszenarien ab (siehe M 2.210 Planung des Einsatzes von Lotus Notes im Intranet mit Browser-Zugriff) und muss im Einzelfall entschieden werden.

Beispiele:

Folgende Tabelle zeigt die Einstellungen im Serverdokument, die ungeschützte anonyme Zugriffe sowie geschützte authentisierte und anonyme Zugriffe erlauben.
Das Anfordern der geschützten Authentisierung muss dabei durch das Aktivieren der Datenbank-Eigenschaft "Web access: Require SSL connection" erfolgen (siehe M 4.125 Einrichten von Zugriffsbeschränkungen beim Browser-Zugriff auf Lotus Notes Datenbanken).
Darf der Zugriff auf eine solche Datenbank nicht anonym erfolgen, so ist zusätzlich ein ACL -Eintrag für "Anonymous" mit dem Zugriffslevel "No access" einzurichten (siehe M 4.120 Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken).

HTTP-Einstellungen   HTTPS(SSL)-Einstellungen  
TCP/IP port status: Enabled SSL port status: Enabled
Name & Password: No Client certificate: Enabled
Anonymous: Yes Name & Password: Enabled
    Anonymous: Yes

Tabelle: Serverdokument/Ports/Internet Ports

Folgende Tabelle zeigt die Einstellungen im Serverdokument, die die SSL-Absicherung für den Web-Zugriff erzwingen, indem entweder alle Anfragen an den ungeschützten Port auf den mit SSL geschützten Port umgeleitet werden ("Redirect to SSL") oder indem Anfragen auf dem ungeschützten Port nicht beantwortet werden ("Disable").

HTTP-Einstellungen   HTTPS(SSL)-Einstellungen  
TCP/IP port status: Redirect to SSL
oder
Disabled
SSL port status: Enabled
Name & Password: No Client certificate: Enabled* oder Disabled*
Anonymous: No Name & Password: Enabled* oder Disabled*
    Anonymous: Yes* oder No*

Tabelle: Serverdokument/Ports/Internet Ports

*: Mindestens einer der Authentisierungsmechanismen muss aktiviert sein, damit Anfragen vom Server angenommen werden. Sind alle Mechanismen aktiviert und ist eine Authentisierung für die angeforderte Web-Seite notwendig, wird zunächst nach einem Client-Zertifikat verlangt. Wenn der Client nicht im Besitz eines Zertifikats ist, werden danach Benutzername und Passwort angefordert.

Ergänzende Kontrollfragen: