M 2.208 Planung der Domänen und der Zertifikatshierarchie von Lotus Notes
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter
Ein Notes-System besteht aus einem oder mehreren Lotus Notes Servern und vielen Notes- und/oder Web-Clients. Die einzelnen Server eines Notes-Systems können einzelnen Notes-Domänen zugeordnet werden. Domänen legen - ähnlich wie in anderen Netz-Betriebssystemen - die administrativen Grenzen und die Gültigkeit von Sicherheitseinstellungen (z. B. Zugriffskontrollen) fest. Zusätzlich wird durch jede Domäne ein eigener Namensraum aufgespannt. Der Planung der Notes-Domänen und dem durch sie definierten Namensraum kommt daher eine wichtige Bedeutung zu.
Eine Domäne korrespondiert mit einem Notes-Verzeichnis und kann in grober Vereinfachung als Mittel zur E-Mail-Verteilung angesehen werden. Der Namensraum einer Domäne kann hierarchisch in sogenannten Organisationseinheiten strukturiert sein, so dass Benutzer, Gruppen und Server, die in einer Domäne zusammengefasst sind, weiter unterteilt werden können. Die Aufteilung einer Domäne muss an die Anforderungen der Behörde bzw. des Unternehmens angepasst werden. Es empfiehlt sich jedoch eine Aufteilung, die die Organisationsstruktur widerspiegelt.
Die E-Mail-Kommunikation kann unter Lotus Notes durch den Einsatz von Verschlüsselung und digitalen Signaturen abgesichert werden (siehe M 5.85 Einsatz von Verschlüsselungsverfahren für Lotus Notes E-Mail). Für die Verteilung der kryptographischen Schlüssel sollte eine Zertifikatshierarchie (Public Key Infrastruktur - PKI) aufgebaut werden, die unabhängig von der Domänenplanung sein kann. Dies hat zur Folge, dass in einer Notes-Domäne mehrere unabhängige Zertifikatshierarchien existieren können oder eine Zertifikatshierarchie mehrere Domänen umfasst.
Bei der Planung von Domänen ist zu überlegen, ob ein Ein- oder Mehr-Domänen-Konzept konzipiert werden soll.
Ein Ein-Domänen-Konzept besitzt folgende Vorteile:
- Die E-Mail-Adressen aller Benutzer besitzen die gleiche Domänenkennung (Benutzer@Domäne). Eine Kenntnis der Notes-Domänenzugehörigkeit bei der Nutzung mehrerer Domänen in einem Unternehmen ist für den Sender nicht notwendig.
- Die Administration vereinfacht sich wesentlich, da nur ein Namens- und Adressbuch (NAB) gepflegt werden muss. Werden mehrere Domänen benutzt, so sind im NAB zusätzlich z. B. die Verbindungs-Einträge und Domänen-Definitionen enthalten, die die Schnittstellen der jeweiligen Domäne mit den anderen Domänen festlegen. Diese müssen für jede Domäne einzeln gepflegt werden. Beim Ein-Domänen-Konzept fällt diese Arbeit nicht an.
Ein Mehr-Domänen-Konzept besitzt folgende Vorteile:
- Große Benutzermengen lassen sich besser in mehreren Domänen verwalten, da mit zunehmender Größe des NAB die Performance sinkt und auch die Verwaltung unübersichtlicher wird. Wird das NAB zusätzlich auf Clients repliziert (z. B. für mobile Benutzer) kann dies bei entsprechender Größe durch den zunehmenden Bedarf an Speicherplatz bzw. der wachsenden Replikationszeit, insbesondere bei langsamen Verbindungen, problematisch werden. Das Aufbrechen in mehrere Domänen und damit mehrere NABs besitzt daher Vorteile und bietet auch einen gewissen Ausfallschutz.
- Vielfach sind Organisationsstrukturen nicht homogen und lassen sich daher schlecht auf genau eine Notes-Domäne abbilden. Insbesondere ist vielfach auch die administrative Trennung einzelner Bereiche sinnvoll oder zwingend erforderlich, z. B. wenn unterschiedliche Sicherheitsvorschriften umzusetzen sind oder länderspezifische Eigenschaften, wie Sprache oder Zeichensätze, berücksichtigt werden müssen. Diese Trennung lässt sich nur durch ein Mehr-Domänen-Konzept erreichen.
- Durch Zusammenlegung von Organisationseinheiten werden vorher eigenständige Notes-Domänen weitergeführt, da eine Integration einen hohen administrativen Aufwand bedeutet oder der etablierte Namensraum weiter verwendet werden soll.
- Es können spezielle Domänen angelegt werden, die zur Isolation oder Abgrenzung gegen andere Domänen genutzt werden können, beispielsweise Test-Domänen, Domänen für Software-Entwicklung oder Domänen mit Einwahl-Zugängen.
Bei der Planung des Domänenkonzeptes ist zu bedenken, dass eine nachträgliche Veränderung im Domänenmodell zwar generell möglich, jedoch in der Regel mit hohem administrativen Aufwand verbunden ist, da u. a. alle von einem Domänenwechsel betroffenen Server und Benutzer innerhalb der Notes-Domänen umgesiedelt werden müssen. Dabei sind auch Rezertifizierungen notwendig, sowie das Umstellen von Datenbank- ACL s.
Bei der Planung von Zertifikatshierarchien ist generell folgendes zu beachten:
- Es muss zwischen Notes-Zertifikaten und den von Notes benutzten Internet-Zertifikaten (X.509-Zertifikate) unterschieden werden. Es sind daher u. U. zwei Zertifikatshierarchien parallel zu verwalten.
- Zur Zertifizierung von Notes-Benutzern (Notes-ID) können nur Notes-Zertifikate und keine Internet-Zertifikate genutzt werden.
- Die Vergabe und Kontrolle von Zugriffsberechtigungen (auch zwischen verschiedenen Domänen) bei Lotus Notes basiert auf den Notes-Zertifikaten.
- Zwischen verschiedenen Zertifikatshierarchien (ohne gemeinsame Zertifizierungsinstanz) können Vertrauensstellungen eingetragen werden, indem eine sogenannte Cross-Zertifizierung erfolgt (Anerkennen fremder Zertifikate). Die leichtfertige Vergabe von Cross-Zertifikaten (meist können diese automatisch erzeugt werden, wenn ein unbekanntes Zertifikat "entdeckt" wird) vermindert die Systemsicherheit. Dies gilt sowohl für Notes-Zertifikate, als auch für X.509-Zertifikate. Dabei können Cross-Zertifikate auch von Benutzern einfach im persönlichen lokalen Adressbuch erzeugt werden. Das Anlegen von Cross-Zertifikaten im NAB kann dagegen nur durch einen berechtigten Administrator erfolgen.
- Zur Identifizierung von Benutzern bei Zugriffen über die Web-Schnittstelle von Lotus Notes können nur Internet-Zertifikate benutzt werden.
- Notes Zertifikatsstrukturen können flach oder hierarchisch sein. In einer flachen Zertifikatsstruktur gibt es eine Zertifizierungsstelle, die die Zertifikate für alle Benutzer ausstellt. In einer hierarchischen Zertifikatsstruktur gibt es verschiedene Zertifizierungsstellen, wobei die Zertifikate der einzelnen Zertifizierungsstellen von einer übergeordneten Zertifizierungsinstanz signiert werden.
Flache Zertifikatsstrukturen sind einfacher zu administrieren, hierarchische Strukturen besitzen allerdings den Vorteil, dass eine Delegation der Administration möglich ist (so können z. B. Abteilungen neue Benutzer selbst zertifizieren). Dies ermöglicht es auch einzelnen Organisationseinheiten, eigene Zertifikate auszustellen und zu verwalten. - Die Zertifikatshierarchie ist zu planen. Es muss u. a. festgelegt werden, welche Zertifikate ausgestellt werden, wer zertifizieren darf und was zertifiziert werden darf. Die Zuständigkeiten und Verantwortlichkeiten müssen geplant werden.
Das Aufsetzen einer Zertifikatshierarchie stellt in der Regel weniger ein technisches als ein organisatorisches und politisches Problem dar. Eine entsprechend lange Planungsphase, in die alle beteiligten Stellen (technisch und organisatorisch) eingebunden sind und an deren Ende ein von allen Beteiligten verabschiedetes Konzept vorliegt, sollte daher vorgesehen werden.
Ergänzende Kontrollfragen:
- Ist die Domänenplanung dokumentiert?
- Wird bereits eine Zertifikatsinfrastruktur (PKI) betrieben?
- Kann oder muss die PKI zur Ausstellung von X.509-Zertifikaten benutzt werden?