ЗАЩИТА ДАННЫХ
Об этой задаче
Преимущество смарт-карт при работе с Lotus Notes состоит в том, что они позволяют блокировать учетные записи. Если смарт-карта не используется, для доступа к Lotus Notes нужны только учетная запись и пароль Lotus Notes. Если она используется, необходимы учетная запись, смарт-карта и ее PIN-код. Поскольку пользователь носит смарт-карту с собой (подобно кредитной карточке), вероятность несанкционированного использования его учетной записи другим лицом снижается.
Прим.: Термин "смарт-карта" относится также к криптографическим описателям. Это устройства, которые обычно подключаются через порт USB и выполняют ту же функцию, что и смарт-карты.
Список поддерживаемых пакетов смарт-карт см. на сайте поддержки Lotus Domino.
Два способа разрешить вход в систему с помощью смарт-карты
Вход в систему с помощью смарт-карты можно разрешить двумя способами. Предпочитаемый способ защищает файл учетной записи при помощи закрытого ключа из личного интернет-сертификата, сохраненного на смарт-карте. Поскольку данный метод поддерживает использование смарт-карты, на которой предварительно загружены интернет-сертификат и ключи, он не требует внесения каких-либо изменений в смарт-карту, а поэтому позволяет использовать смарт-карты, доступные только для чтения. Также он позволяет при помощи смарт-карты легко защищать несколько копий файлов учетной записи. Вторым способом является защита файла учетной записи при помощи секретных данных, добавляемых на смарт-карту. Данный метод не предлагает преимуществ предпочитаемого метода, но поддерживается для совместимости с Domino версии 6.
ОСТОРОЖНО: Систему входа с помощью смарт-карт не следует активировать, не уведомив об этом администратора. Администратор должен убедиться, что для учетной записи не используется режим ограничения срока действия пароля, прежде чем вы начнете использовать учетную запись для входа с помощью смарт-карты.
При синхронизации пароля Microsoft Windows® с паролем Lotus Notes или при синхронизации пароля Lotus Notes с интернет-паролем IBMLotusDomino необходимо отключить синхронизацию, прежде чем активировать вход в Lotus Notes с помощью смарт-карты.
ОСТОРОЖНО: Прежде чем начать работу со смарт-картой, необходимо обратиться к администратору, чтобы убедиться в возможности восстановления учетной записи. Дополнительные сведения о восстановлении учетной записи пользователя см. в разделе Восстановление учетной записи. Если Lotus Notes запускается на нескольких компьютерах, необходимо отключить проверку пароля, прежде чем включать использование смарт-карты.
Активация входа в систему с помощью смарт-карты с защитой файла учетной записи ключом интернет-сертификата (предпочтительно)
Прим.: Данная процедура подразумевает, что интернет-сертификат, который будет использоваться для защиты файла учетной записи, сохранен на смарт-карте. Если же он сохранен в файле учетной записи, перед выполнением данной процедуры необходимо а) активировать вход в систему с помощью смарт-карты с защитой файла учетной записи при помощи секретных данных и б) переместить ключи Интернета на смарт-карту.
Процедура
1. Убедитесь, что на компьютере установлено устройство для считывания смарт-карт, а администратор сохранил данные, необходимые для восстановления учетной записи.
2. Вставьте смарт-карту в устройство считывания.
3. Если интернет-сертификат и ключи, которые будут использоваться для защиты смарт-карты, не сохранены на смарт-карте, импортируйте интернет-сертификат на смарт-карту, следуя инструкциям производителя.
4. Откройте меню Файл > Безопасность > Безопасностьпользователя.
5. Откройте вкладку Ваша идентификация -> Ваша смарт-карта.
6. В окне "Настройка смарт-карты" введите полный путь к папке с файлом драйвера смарт-карты PKCS #11 в поле "Файл драйвера смарт-карты" или перейдите к этому файлу с помощью кнопки с изображением папки. (Этот файл обычно устанавливается вместе с устройством считывания смарт-карт.) Например: C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL.
8. Выберите категорию Ваша идентификация -> Ваши сертификаты.
9. Выберите Ваши сертификаты Интернета, а затем выберите сертификат, который необходимо использовать для защиты файла учетной записи.
10. Выберите команду Дополнительные действия -> Заблокировать файл учетной записи с ключом на смарт-карте
11. При появлении соответствующих запросов введите пароль Lotus Notes, а затем PIN-код смарт-карты. После получения подтверждения о включении функции входа с помощью смарт-карты при следующем входе в Lotus Notes следует использовать PIN-код смарт-карты.
12. Для некоторых смарт-карт поддерживается возможность ввода описания. В этом случае по запросу введите описание в поле Подпись для входа со смарт-картой в разделе Конфигурация смарт-карты. Например: "Карта Ивана Ивановича".
Результат
Прим.: Закончив работу, не забудьте взять смарт-карту с собой. При использовании драйвера смарт-карт PKCS#11 версии 2.01 или более поздней удаление смарт-карты из устройства чтения автоматически приводит к блокированию окна Lotus Notes до тех пор, пока смарт-карта не будет вставлена в устройство чтения и не будет повторно введен PIN-код.
Прим.: Если имеются дополнительные копии учетной записи пользователя, повторите данные шаги для активации смарт-карты на каждой копии. А если Notes одновременно используется только на одном компьютере, копируйте учетную запись, для которой смарт-карта была активирована по данной процедуре, на каждый из компьютеров по мере их использования.
Активация входа в систему с помощью смарт-карты с защитой файла учетной записи при помощи секретных данных, сохраненных на смарт-карте
Используйте данный метод активации входа в систему с помощью смарт-карты, только если нет возможности использовать предпочитаемый метод, описанный выше в данном разделе.
3. Откройте меню Файл > Безопасность > Безопасностьпользователя. .
4. Откройте вкладку Ваша идентификация -> Ваша смарт-карта.
5. В окне "Настройка смарт-карты" введите полный путь к папке с файлом драйвера смарт-карты PKCS #11 в поле "Файл драйвера смарт-карт" или перейдите к этому файлу с помощью кнопки с изображением папки. (Этот файл обычно устанавливается вместе с устройством считывания смарт-карт.) Например: C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL.
7. В окне Использование смарт-карт в Notes нажмите кнопку Разрешить вход с использованием смарт-карт.
8. При появлении соответствующих запросов введите пароль Lotus Notes, а затем PIN-код смарт-карты. После получения подтверждения о включении функции входа с помощью смарт-карты при следующем входе в Lotus Notes следует использовать PIN-код смарт-карты.
9. Для некоторых смарт-карт поддерживается возможность ввода описания. В этом случае по запросу введите описание в поле Подпись для входа со смарт-картой в разделе Конфигурация смарт-карты. Например: "Карта Ивана Ивановича".
Прим.: Если имеются копии файла учетной записи, замените их копией файла учетной записи, для которой разрешен вход с помощью смарт-карты по данной процедуре.
Перемещение ключей Интернета на смарт-карту
На смарт-карте можно хранить открытые и секретные ключи Интернета из личных сертификатов Интернета (это не относится к сертификатам, полученным от агентств сертификации). Хранение ключей Интернета на смарт-карте повышает уровень их защищенности по сравнению с хранением в файле учетной записи. Когда набор ключей Интернета перемещен на смарт-карту, при последующем экспорте сертификата в файл туда записывается лишь сам сертификат, без секретного ключа.
Некоторые ключи (в том числе 630-разрядные секретные ключи) на смарт-карты помещать нельзя.
Сертификат X.509, связанный с ключами Интернета, также сохраняется на смарт-карте. Сертификат и связанные с ним ключи можно просмотреть в диалоговом окне "Безопасность пользователя" на вкладке "Ваши сертификаты", выбрав в раскрывающемся списке пункт "Ваши сертификаты Интернета".
ОСТОРОЖНО: Помещенные на смарт-карту ключи Интернета удалить невозможно. Восстановить ключи со смарт-карты можно только в случае, когда восстановление предусмотрено для учетной записи. Если данные для восстановления учетной записи изменяются после размещения ключей на смарт-карте, восстановить ключи напрямую становится невозможно. Если ключи Интернета не восстанавливать, данные, зашифрованные с помощью этих ключей, будут недоступны. Прежде чем продолжить выполнение описанной процедуры, узнайте у администратора, могут ли быть восстановлены ваши ключи Интернета.
1. Выберите команду Файл -> Безопасность -> Безопасность пользователя. .
2. По запросу введите PIN-код.
3. Выберите категорию Ваша идентификация -> Ваши сертификаты.
4. Выберите Ваши сертификаты Интернета.
5. Выберите сертификат Интернета, соответствующий ключам Интернета, которые необходимо сохранить на смарт-карте.
6. Выберите команду Дополнительные действия -> Переместить секретный ключ на смарт-карту.
7. Получив предупреждение о невозможности отмены действия, нажмите кнопку Да.
8. Введите PIN-код.
9. Должно появиться подтверждение успешного сохранения личного ключа.
Использование интернет-сертификатов, загруженных на смарт-карту
Если смарт-карта уже содержит сертификаты Интернета, Lotus Notes позволяет использовать их, не импортируя в клиент Lotus Notes. Эти сертификаты должны соответствовать стандартам "PKCS#11: спецификация профиля соответствия" для несимметричной подписи клиента RSA. Иначе необходимо вручную импортировать их в файл учетной записи.
Когда Lotus Notes выполняет поиск сертификатов Интернета для отображения их в диалоговом окне "Безопасность пользователя", для расшифровки интернет-почты или для аутентификации клиента SSL, будут доступны сертификаты, загруженные на смарт-карту, и сертификаты, хранящиеся в файле учетной записи.
При добавлении подписи в почтовое сообщение можно выбрать для подписей новый сертификат из числа хранящихся на смарт-карте при наличии сертификатов, которые отсутствуют в файле учетной записи. Если же новых сертификатов на смарт-карте нет, сообщение подписывается сертификатом, используемым по умолчанию.
Если копии сертификатов Интернета есть и в файле учетной записи, и на смарткарте, Lotus Notes использует копию из файла учетной записи.
Импорт сертификатов Интернета со смарт-карты
Интернет-сертификаты можно импортировать со смарт-карты в файл учетной записи, чтобы программа Lotus Notes всегда могла их найти и использовать.
Прим.: Данный параметр доступен только пользователям, которые активировали вход в систему с помощью смарт-карты с защитой файла учетной записи при помощи секретных данных.
1. Выберите команду Notes > Безопасность > Безопасностьпользователя.
4. Нажмите кнопку Получить сертификаты. Появится список, в котором перечислены возможные способы импорта сертификатов в файл учетной записи.
5. Выберите команду Импорт секретного ключа со смарт-карты. С текущей смарт-карты будут импортированы все доступные сертификаты.
Просмотр сведений о конфигурации смарт-карты
Можно просмотреть все параметры конфигурации любой смарт-карты или криптографического описателя, используемого для доступа к Lotus Notes.
1. Выберите команду Файл -> Безопасность -> Безопасность пользователя.
3. Откройте вкладку Ваша идентификация -> Ваша смарт-карта.
4. Нажмите кнопку Конфигурация. Откроется диалоговое окно "Конфигурация смарт-карты".
5. Необязательно: Нажмите кнопку Выбрать ячейку. Откроется диалоговое окно "Выбор ячейки". Помимо сведений о криптографическом описателе отображается список всех ячеек компьютера, используемых устройствами чтения смарт-карт или криптографических описателей. Выберите в списке номер ячейки, чтобы просмотреть сведения об используемой смарт-карте или описателе.
Понятия, связанные с данным Смена паролей Как открытые и закрытые ключи используются для шифрования и подписывания почты Доступ к серверам с использованием сертификатов
Задачи, связанные с данной Использование пароля в других программах, основанных на платформе Notes Синхронизация пароля Notes и интернет-пароля для доступа к Domino Смена учетных записей Проверка паролей Восстановление учетной записи