Verbesserungen beim ID-Management

Die User-ID-Datei ist nach wie vor die Grundlage der Authentifizierung des Notes-Clients gegenüber dem Domino-Server. Es enthält den Namen und das Passwort des Anwenders, die Internet-Zertifikate sowie alle Zertifikate für das Signieren von Mail oder das Verschlüsseln von Domino-Applikationen. Die hohe Sicherheit dieses Verfahrens steht außer Frage, aber das Management der ID-Files kann sowohl für den Anwender wie auch den Administrator zum Albtraum werden. Denn ein zentrales Repository der User-IDs war bislang nicht vorgesehen, eine verloren gegangene oder kompromittierte ID, ein vergessenes Passwort oder ein Wechsel desselben konnten schnell zu einem erheblichen Problem für beide werden.

Es gibt Workarounds und Drittherstellerprodukte, die diese Lücke schließen. Mit der Version 8.5 bietet nun auch der Hersteller IBM eine Lösung in Form der "Notes ID Vault" an, die ein zentrales ID-File-Management bringt..

Der Notes ID Vault ist eine spezielle Notes-Datenbank zur automatischen Ablage aller neu registrierten ID Files, auch die ID’s existierender Benutzer können übernommen werden. Damit das Repository nicht zum großen Sicherheitsrisiko wird, erhält es beim Anlegen eine eigene Vault-ID, mit deren Zertifikat nur ausgewählte Administratoren für das ID-Management einer Notes (Teil-) Organisation autorisiert werden. Es ist also für einen Administrator nicht möglich, sich selbst zu berechtigen. Ebenso ausgeschlossen ist, eine Replik der ID-Datenbank auf den üblichen Wegen anzulegen. Dies bedarf einer speziellen Prozedur durch autorisierte Administratoren.

Für den Anwender bringt der ID Vault erhebliche Erleichterungen:

• Automatische Synchronisierung der Notes-ID zwischen mehreren Arbeitsplätzen (etwa beim Roaming). Passwortänderungen müssen nur noch an einer Stelle durchgeführt werden, sie sind auch offline möglich;

• Wiederherstellen einer verloren gegangenen oder versehentlich gelöschten Notes ID;

• Zurücksetzen des Passwortes einer Notes-ID, entweder durch den Administrator oder den Anwender selbst;

• Automatisches Provisioning der ID aus dem Vault beim Installieren neuer Notes-Arbeitsplatze.

Einfacheres Single Sign on

Beim Notes Shared Login (NSL) ist der Anwender ohne Eingabe eines weiteren Passwortes automatisch gegenüber dem Domino Server authentifiziert. Bisher musste man dazu lokal einen eigenen Service installieren und die Windows- und Notes-Passwörter auf einem Rechner synchron halten, was mit einigen Tücken verbunden sein konnte. Beim neuen optionalen Notes Shared Login ist die ID nicht mehr durch ein Passwort geschützt, zum Entsperren genügen die Windows-Zugangsdaten. Das gesamte Passwort-Management liegt somit ausschließlich bei Windows, eine Synchronisierung ist nicht mehr nötig.

NSL funktioniert auf Basis der Windows-DPAPI: der Notes Client erzeugt einmalig ein "Secret", dieses wird von der DPAPI verschlüsselt und im Profilverzeichnis des Anwenders abgelegt. Daraus wird ein Key zur Verschlüsselung der Notes-ID berechnet. Beim Programmstart von Notes wird die für NSL aktivierte ID entdeckt und an die DPAPI zum Entschlüsseln und Entsperren übergeben. Dieses Verfahren hat zwei Einschränkungen: es funktioniert nur unter Windows und nicht für das Web.