M 4.123 Einrichten des SSL-geschützten Browser-Zugriffs auf Lotus Notes
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Web-Zugriff auf einen Domino Server kann ungeschützt über das Protokoll HTTP (HyperText Transfer Protocol) oder mit SSL (Secure Socket Layer) abgesichert über das Protokoll HTTPS erfolgen. Generell kann ein Server beide Varianten gleichzeitig unterstützen. Ist die Nutzung des ungeschützten Zugriffs möglich, so kann die SSL-Absicherung auch bei Bedarf angefordert werden, wenn auf eine Datenbank zugegriffen wird, deren Daten während der Übertragung geschützt werden müssen, oder wenn eine abgesicherte Authentisierung notwendig ist. Dazu kann in den Eigenschaften einer Datenbank angegeben werden, dass für den Zugriff eine SSL-Verbindung erforderlich ist (siehe M 4.125 Einrichten von Zugriffsbeschränkungen beim Browser-Zugriff auf Lotus Notes Datenbanken).
Damit der SSL-Zugriff überhaupt ermöglicht werden kann, muss der so genannte SSL-Port des Servers aktiviert werden. Dazu muss im Serverdokument der Status des SSL-Ports auf den Wert "Enabled" (Aktiviert) gesetzt werden. Durch diese Einstellung wird jedoch nur der SSL-Port zur Nutzung freigegeben. Damit eine SSL-Verbindung zustande kommen kann, muss der Server auf den SSL-Einsatz vorbereitet werden, indem für ihn ein SSL-Zertifikat ausgestellt wird (siehe M 5.86 Einsatz von Verschlüsselungsverfahren beim Browser-Zugriff auf Lotus Notes).
Sollen Web-Clients auf einen Server ausschließlich über SSL-geschützte Verbindungen zugreifen, so kann dies auf zwei Arten erreicht werden:
- Der ungeschützte HTTP-Port wird deaktiviert, indem im Serverdokument der Status des HTTP-TCP/IP-Ports auf "Disabled" (Deaktiviert) gesetzt wird. Durch diese Einstellung werden Client-Anfragen an den ungeschützten Port abgewiesen und es kommen keine unverschlüsselten Verbindungen mehr zustande.
- Der ungeschützte HTTP-Port wird auf den geschützten SSL-Port umgeleitet. Dazu wird im Serverdokument der Status des HTTP-TCP/IP-Ports auf "Redirect to SSL" gesetzt. Diese Einstellung hat den Vorteil, dass Client-Anfragen über ungeschützte Verbindungen nicht abgelehnt werden, sondern - sofern der Client SSL unterstützt - über eine geschützte Verbindung beantwortet werden.
Welche Konfiguration verwendet werden soll, hängt von den beabsichtigten Einsatzszenarien ab (siehe M 2.210 Planung des Einsatzes von Lotus Notes im Intranet mit Browser-Zugriff) und muss im Einzelfall entschieden werden.
Beispiele:
- Folgende Tabelle zeigt die Einstellungen im Serverdokument, die ungeschützte anonyme Zugriffe sowie geschützte authentisierte und anonyme Zugriffe erlauben.
Das Anfordern der geschützten Authentisierung muss dabei durch das Aktivieren der Datenbank-Eigenschaft "Web access: Require SSL connection" erfolgen (siehe M 4.125 Einrichten von Zugriffsbeschränkungen beim Browser-Zugriff auf Lotus Notes Datenbanken).
Darf der Zugriff auf eine solche Datenbank nicht anonym erfolgen, so ist zusätzlich ein ACL-Eintrag für "Anonymous" mit dem Zugriffslevel "No access" einzurichten (siehe M 4.120 Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken).
HTTP-Einstellungen |
TCP/IP port status: |
Enabled |
Name & Password: |
No |
|
Anonymous: |
Yes |
|
HTTPS(SSL)-Einstellungen |
SSL port status: |
Enabled |
Client certificate: |
Enabled |
|
Name & Password: |
Enabled |
|
Anonymous: |
Yes |
Tabelle: Serverdokument/Ports/Internet Ports
- Folgende Tabelle zeigt die Einstellungen im Serverdokument, die die SSL-Absicherung für den Web-Zugriff erzwingen, indem entweder alle Anfragen an den ungeschützten Port auf den mit SSL geschützten Port umgeleitet werden ("Redirect to SSL") oder indem Anfragen auf dem ungeschützten Port nicht beantwortet werden ("Disable").
HTTP-Einstellungen |
TCP/IP port status: |
Redirect to SSL |
Name & Password: |
No |
|
Anonymous: |
No |
|
HTTPS(SSL)-Einstellungen |
SSL port status: |
Enabled |
Client certificate: |
Enabled* oder Disabled* |
|
Name & Password: |
Enabled* oder Disabled* |
|
Anonymous: |
Yes* oder No* |
Tabelle: Serverdokument/Ports/Internet Ports
- Mindestens einer der Authentisierungsmechanismen muss aktiviert sein, damit Anfragen vom Server angenommen werden. Sind alle Mechanismen aktiviert und ist eine Authentisierung für die angeforderte Web-Seite notwendig, wird zunächst nach einem Client-Zertifikat verlangt. Wenn der Client nicht im Besitz eines Zertifikats ist, werden danach Benutzername und Passwort angefordert.
Ergänzende Kontrollfragen:
- Welches Protokoll wird für den Zugriff auf den Domino Server genutzt?
- Wie wird die Vertraulichkeit der übertragenen Daten sichergestellt?