M 4.124 Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus Notes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Bei der Nutzung von Browsern zum Zugriff auf einen Lotus Domino Server muss entschieden werden, welches Authentisierungsverfahren an der Web-Schnittstelle zum Einsatz kommen soll. An der Web-Schnittstelle stehen verschiedene Authentisierungsmechanismen zur Verfügung:

Zunächst ist daher zu ermitteln, ob anonyme Zugriffe auf den Server erlaubt werden müssen. Dies ist dann der Fall, wenn öffentliche Daten auch Benutzern zugänglich gemacht werden sollen, die keine Notes-Benutzer sind. Es empfiehlt sich jedoch, öffentliche Daten auf einem speziellen Server zu halten, der ausschließlich öffentliche Daten enthält. Für einen solchen Server kann der anonyme Zugriff erlaubt werden. Auf einem Produktionsserver sollten anonyme Zugriffe generell nicht erlaubt sein, sodass an der Web-Schnittstelle immer authentisiert wird.

Die Art der zu nutzenden Authentisierungsverfahren hängt von verschiedenen Faktoren ab. Folgendes muss dabei (auch im Rahmen einer Risikoabschätzung) berücksichtigt werden:

Ein generelles Votum für genau einen der beiden Mechanismen kann an dieser Stelle nicht gegeben werden. Es ist jedoch möglich, beide Mechanismen parallel zu aktivieren. In diesem Fall wird vom Server zunächst vom Client eine Authentisierung mittels SSL-Client-Zertifikat angefordert. Besitzt der Client kein Zertifikat oder verweigert der Benutzer die Nutzung des Zertifikats, so kommt der Mechanismus "Benutzername und Passwort" zum Einsatz.

Beispiel:

Folgende Tabelle zeigt die Einstellungen im Serverdokument, die eine SSL-Authentisierung mittels Client-Zertifikat ("Client Certificate" = Enabled) und/oder die SSL-gesicherte Authentisierung über Benutzername und Passwort ("Name & Password" = Enabled) erzwingen. Damit keine ungesichertenVerbindungen angenommen werden, werden alle Verbindungswünsche entweder an den SSL-Port weitergeleitet ("TCP/IP port status" = Redirect to SSL) oder verweigert ("TCP/IP port status" = Disable). Der SSL-Port wird so konfiguriert, dass auch keine anonymen Verbindungen über eine SSL-Verbindung angenommen werden ("Anonymous" = No).

HTTP-Einstellungen   HTTPS(SSL)-Einstellungen  
TCP/IP port status: No SSL port status: Enabled
Name & Password: No Client certificate: Enabled oder Disabled*
Anonymous: Enabled Name & Password: Enabled oder Disabled*
    Anonymous: No

Tabelle: Serverdokument/Ports/Internet Ports

Ergänzende Kontrollfragen: