M 4.125 Einrichten von Zugriffsbeschränkungen beim Browser-Zugriff auf Lotus Notes Datenbanken
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Wird auf einen Lotus Domino Server auch mittels Browser zugegriffen, so müssen neben den übrigen Server-bezogenen Sicherheitsmechanismen (siehe M 4.122 Konfiguration für den Browser-Zugriff auf Lotus Notes) auch Datenbank-bezogene Mechanismen zum Einsatz kommen. Damit wird einerseits erreicht, dass der Zugriff auf eine Datenbank nur erfolgen kann, wenn eine gesicherte Verbindung zwischen Client und Server besteht (oder aufgebaut werden kann), und andererseits kann der Zugriff für Web-Clients generell eingeschränkt werden.
Folgende Datenbank-bezogenen Sicherheitsmechanismen sollten eingesetzt werden:
- Für alle Datenbanken sollte die Nutzung von SSL (Zugriff mittels HTTPS) als Zugriffsvoraussetzung in den Eigenschaften der jeweiligen Datenbank aktiviert werden. Dies ist insbesondere dann wichtig, wenn der Server auch für den ungesicherten Zugriff mittels HTTP konfiguriert ist.
-
Wird als Authentisierungsverfahren "Benutzername und Passwort" genutzt (siehe M 4.124 Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus Notes), so ist für jede Datenbank der maximale Zugriffslevel in den Datenbankberechtigungen einzustellen. Insbesondere kann durch die Nutzung des Zugriffslevels "No Access" der Web-Zugriff auf einzelne Datenbanken unterbunden werden. Falls der Web-Zugriff als alleiniger Zugriffsmechanismus genutzt wird, muss bei der Wahl des Zugriffslevels bedacht werden, dass für die Benutzer an der Web-Schnittstelle keine zusätzlichen Funktionseinbußen entstehen sollten. In diesem Fall müssen Benutzer in der Regel auch mindestens schreibenden Zugriff erhalten, sodass dieser zugriffeinschränkende Mechanismus nicht als solcher verwendet werden kann.
Hinweis: Der in der Abbildung angegebene Zugriffslevel "Reader" stellt keine Empfehlung für den hier einzustellen Parameter dar. Vielmehr muss dieser Wert für jede Datenbank separat bestimmt werden.
Weiterhin ist folgender sicherheitsrelevanter Aspekt beim Web-Zugriff auf Lotus Notes Datenbanken zu berücksichtigen: Kann auf einen Domino Server über die Web-Schnittstelle zugegriffen werden und wird die Authentisierung mittels SSL-Client-Zertifikaten genutzt (siehe M 4.124 Konfiguration der Authentisierungsmechanismen beim Browser-Zugriff auf Lotus Notes), so können einzelne Datenbanken nicht vom Web-Zugriff ausgenommen werden. Vielmehr werden den authentisierten Benutzern die für sie eingetragenen ACL-Berechtigungen zugestanden (siehe auch M 4.120 Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken).