Lotusday 2009 Hagen, 8. September 2009 - Arcadeon ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise ...
Agenda <ul><li>Vorstellung  </li></ul><ul><li>Darstellung der TOP 3 Probleme im Bereich  ID Management  </li></ul><ul><li>...
Begrüssung <ul><li>Wer ist BCC ?  </li></ul><ul><ul><li>Professionelle Dienstleistungen im Lotus Domino Umfeld </li></ul><...
Darstellung der TOP 3 Probleme im Bereich  ID Management <ul><li>Handling der Lotus Notes ID steht seit Anfang an als Syno...
Bisherige Lösungsansätze  <ul><li>Ad 1 – ID Verteilung </li></ul><ul><ul><li>Manuelle Verteilung über CD etc (LN 3 & 4)  <...
ID Vault in Lotus Notes 8.5
Ziele von Lotus fuer ID Vault <ul><li>Vault: Tresorraum, Stahlkammer, Grabgewölbe </li></ul><ul><li>Replace expensive to m...
Architektur ID Vault <ul><li>Technische Vorraussetzung:  </li></ul><ul><ul><li>Lotus Notes Client Version 8.5  </li></ul><...
Architektur ID Vault
Technische Features ID Vault <ul><li>Upload / Download von ID Files vom lokalen Client </li></ul><ul><li>Ablage der ID Dat...
Technische Features ID Vault <ul><li>Unterstützung des Key Rollover (Upgrade auf aktuelle Schlüssellängen) ohne „User Impa...
Management des ID Vault <ul><li>Management der ID Vault Datenbank erfolgt über AdminClient  </li></ul><ul><ul><li>Create, ...
ID Management Tasks innerhalb des ID Vault <ul><li>Löschen von ID Files aus dem Vault  </li></ul><ul><li>ID Dateien können...
ID Vault am Lotus Notes 8.5. Client  <ul><li>Zuordnung des Users zum ID Vault anhand von ID Vault Policies  </li></ul><ul>...
Live Demo ID Vault
Monitoring / Protokollierung  <ul><li>Einbindung in das „übliche“ Domino Monitoring  </li></ul><ul><li>Domino Server Conso...
Monitoring / Protokollierung <ul><li>Protokollierung in der Log.nsf und auch ddm.nsf </li></ul><ul><ul><li>ID vault creati...
Monitoring / Protokollierung <ul><li>Geplant in zukünftigen Versionen </li></ul><ul><ul><li>ID vault replica creation  </l...
Managing ID Vault mit Policy  <ul><li>ID Vault ist Teil des Security Setting Dokumentes </li></ul><ul><li>Mögliche Einstel...
Architektur ID Vault mit BCC_AdminTool
ID Vault – Sicherheitskonzept
Sicherheitskonzept <ul><li>Zuordnung / Nutzung des ID Vaults für den jweiligen User </li></ul><ul><ul><li>Ziel: Einsammlun...
Sicherheitskonzept <ul><li>Schutz vor Download der ID aus ID Vault </li></ul><ul><ul><li>Maximale Downloads bei falschen K...
Sicherheitskonzept <ul><li>Sicherheit durch „temporäre ID Files“  </li></ul><ul><ul><li>Bislang immer Ablage der ID auf Fi...
Durchführung Passwort Reset  <ul><li>Sicherheit durch Zuordnung eines Querzulassung zu den entsprechenden „Ausführer“  </l...
ID Vault Auditor Function  <ul><li>ID Vault Auditor kann Dateien aus dem ID Vault extrahieren  </li></ul><ul><ul><li>Verwe...
ID Vault Auditor Function <ul><li>Zusammenfassung </li></ul><ul><ul><li>Auditor benötigt  kein Passwort  des Anwenders um ...
Vielen Dank für Ihr Interesse! Weitere Informationen: BCC Unternehmensberatung GmbH Frankfurter Straße 80-82 65760 Eschbor...
Nächste SlideShare
Wird geladen in …5
×

D3 000908 Lotusday Hagen Bcc Id Vault

2.132 Aufrufe

Veröffentlicht am

ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID-Vault

Referent: Olaf Börner
BCC Unternehmensberatung

Veröffentlicht in: Technologie, Business
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.132
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
15
Aktionen
Geteilt
0
Downloads
28
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Nutzung Lotus Single Login mit Windows – kein Passwort Wechsel auf ID
  • VO Key -
  • VO Vault Operation Key -&gt; der entsteht aus der
  • DEMO
  • D3 000908 Lotusday Hagen Bcc Id Vault

    1. 1. Lotusday 2009 Hagen, 8. September 2009 - Arcadeon ID Management mit IBM Lotus Domino 8.5 - Architektur und Funktionsweise des ID-Vault Referent: Olaf Börner BCC Unternehmensberatung D3
    2. 2. Agenda <ul><li>Vorstellung </li></ul><ul><li>Darstellung der TOP 3 Probleme im Bereich ID Management </li></ul><ul><li>Architektur ID Vault </li></ul><ul><li>Technische Features </li></ul><ul><li>Live Demo </li></ul><ul><li>Diskussion der Sicherheit </li></ul><ul><li>Integrationsmöglichkeiten in Unternehmen </li></ul>
    3. 3. Begrüssung <ul><li>Wer ist BCC ? </li></ul><ul><ul><li>Professionelle Dienstleistungen im Lotus Domino Umfeld </li></ul></ul><ul><ul><ul><li>Infrastruktur Services </li></ul></ul></ul><ul><ul><ul><li>Messaging Services </li></ul></ul></ul><ul><ul><ul><li>Konsolidierungen </li></ul></ul></ul><ul><ul><li>Anbieter für Administrations- und Security Produkte für IBM Lotus Domino </li></ul></ul><ul><li>Meine Person </li></ul><ul><ul><li>Seit 1994 als Technical Consultant und PL im Notes Bereich tätig </li></ul></ul><ul><ul><li>Schwerpunkt Enterprise Customers </li></ul></ul><ul><ul><li>CLP 3 -> CLP 8 Admin </li></ul></ul><ul><ul><li>Schwerpunkt Administration und Infrastruktur </li></ul></ul>
    4. 4. Darstellung der TOP 3 Probleme im Bereich ID Management <ul><li>Handling der Lotus Notes ID steht seit Anfang an als Synonym für das „aufwändige“ proprietäre Administrationskonzept </li></ul><ul><li>Kernprobleme </li></ul><ul><ul><li>ID- und Passwort-Verteilung bei Neuanlage </li></ul></ul><ul><ul><ul><li>Wie kommt die ID zum Anwender ? </li></ul></ul></ul><ul><ul><ul><li>Wie kommt das Passwort zum Anwender? </li></ul></ul></ul><ul><ul><li>Password Reset: Wie kann ich zentral am Helpdesk das Kennwort zurücksetzen </li></ul></ul><ul><ul><li>User hat die ID verloren / ID ist kaputt </li></ul></ul>
    5. 5. Bisherige Lösungsansätze <ul><li>Ad 1 – ID Verteilung </li></ul><ul><ul><li>Manuelle Verteilung über CD etc (LN 3 & 4) </li></ul></ul><ul><ul><li>Ablage der LN ID im Adressbuch </li></ul></ul><ul><ul><li>Verteilung über Software Verteilung </li></ul></ul><ul><ul><li>Zentrale Ablage und Kopie in User Home beim Login </li></ul></ul><ul><ul><li>Download durch den Anwender via Browser </li></ul></ul><ul><li>Ad 2 – Password Reset </li></ul><ul><ul><li>Erstellung & Verteilung neuer ID mit neuen Kennwort </li></ul></ul><ul><ul><li>Verteilung Backup ID mit alten oder neuen Kennwort </li></ul></ul><ul><ul><li>Nutzung LN Password Recovery ab R 6 </li></ul></ul><ul><ul><li>Integration in Windows (Nutzung Lotus Single Login mit Windows ) - </li></ul></ul><ul><li>Ad 3 ID verloren </li></ul><ul><ul><li>Analog Password Reset </li></ul></ul>
    6. 6. ID Vault in Lotus Notes 8.5
    7. 7. Ziele von Lotus fuer ID Vault <ul><li>Vault: Tresorraum, Stahlkammer, Grabgewölbe </li></ul><ul><li>Replace expensive to manage ID file and password recovery systems and significantly reduce costly user downtime </li></ul><ul><li>Simplify provisioning of Lotus Notes ID credentials to new users, to new computers for existing users and replace deleted ID file </li></ul><ul><li>Automatically upload ID files to vault for existing Lotus Notes users </li></ul><ul><li>Streamlined process for resetting forgotten passwords </li></ul><ul><li>Help desk options - Programmatic interfaces for self-service password applications </li></ul>
    8. 8. Architektur ID Vault <ul><li>Technische Vorraussetzung: </li></ul><ul><ul><li>Lotus Notes Client Version 8.5 </li></ul></ul><ul><ul><li>Domino Server 8.5 – </li></ul></ul><ul><ul><li>Gemischte Server Umgebung wird unterstützt mindestens ein Anmelde Server muss jedoch Domino 8.5 sein </li></ul></ul><ul><li>IDs werden auf dem Lotus Domino Server gespeichert </li></ul><ul><ul><li>pro Notes ID wird ein Notes Dokument in einer ID Vault Datenbank angelegt </li></ul></ul><ul><ul><li>Repliken der ID Vault Datenbanken auf allen Server bzw. Anmeldeservern </li></ul></ul>
    9. 9. Architektur ID Vault
    10. 10. Technische Features ID Vault <ul><li>Upload / Download von ID Files vom lokalen Client </li></ul><ul><li>Ablage der ID Datei im ID Vault bei der Anlage des User (User Creation) </li></ul><ul><li>Synchronisation / Merge von ID Files </li></ul><ul><ul><li>Lokale ID am Client mit ID im ID Vault bei Änderungen an lokaler ID Datei </li></ul></ul><ul><ul><ul><li>Neues Passwort </li></ul></ul></ul><ul><ul><ul><li>Neue Secrect Encryption Keys </li></ul></ul></ul><ul><ul><ul><li>Neue SMIME Keys </li></ul></ul></ul><ul><ul><li>Zentrale Änderung durch andere Anmeldungen </li></ul></ul><ul><ul><li>Zentrale Änderung der ID Datei bei Passwort Reset </li></ul></ul>
    11. 11. Technische Features ID Vault <ul><li>Unterstützung des Key Rollover (Upgrade auf aktuelle Schlüssellängen) ohne „User Impact“ </li></ul><ul><li>Notes to Internet Sync wird unterstützt </li></ul><ul><li>Erzwingen eines Passwort Wechsel nach dem Passwort Reset </li></ul><ul><li>Spezieller Text im Login Dialog für vergessenes Kennwort </li></ul><ul><li>Management über Policies </li></ul><ul><li>Remote Password Reset via API (Script, Java, C) für Integration von 3rd Party Applikationen </li></ul>
    12. 12. Management des ID Vault <ul><li>Management der ID Vault Datenbank erfolgt über AdminClient </li></ul><ul><ul><li>Create, Manage, Delete ID Vault </li></ul></ul><ul><ul><li>Einrichtung der Password Reset Authority </li></ul></ul><ul><ul><li>Zuordnung der Passwort Reset „Rolle“ </li></ul></ul><ul><li>Empfehlung: </li></ul><ul><ul><li>Sicherstellung eines sicheren „ID Vault“ ID Files </li></ul></ul><ul><ul><li>Analog zu Certifier </li></ul></ul><ul><li>Trust Management </li></ul><ul><ul><li>Festlegung welche ID Dateien im ID Vault gespeichert bzw. Aufgenommen werden dürfen -> via Trust Beziehung </li></ul></ul><ul><ul><li>Festlegung welche ID Dateien im ID Vault „upgeloadet“ werden dürfen </li></ul></ul>
    13. 13. ID Management Tasks innerhalb des ID Vault <ul><li>Löschen von ID Files aus dem Vault </li></ul><ul><li>ID Dateien können als inaktiv gekennzeichnet werden </li></ul><ul><li>Zugriff zur ID Vault Datei und Passwort </li></ul>
    14. 14. ID Vault am Lotus Notes 8.5. Client <ul><li>Zuordnung des Users zum ID Vault anhand von ID Vault Policies </li></ul><ul><li>Notes ini Einstellungen am Client </li></ul><ul><ul><li>KeyFileName_Owner=CN=Test Illgen/O=BCC_AdminTool </li></ul></ul><ul><ul><li>KEYFILENAME=C:AdminToolAdminTooldata ilgen.id </li></ul></ul><ul><ul><li>Alternative: Leere Notes.ini mit üblichen 4 StartUp Zeilen </li></ul></ul><ul><ul><ul><li>Angabe Username, Servername für Download ID </li></ul></ul></ul><ul><li>Notes.ini Protokollierungen </li></ul><ul><ul><li>IDVAULT_COUNT1=0 </li></ul></ul><ul><ul><li>IDVAULT_STAMP1=13.05.2009 11:49:30 </li></ul></ul><ul><ul><li>IDVaultLastServer=CN=Demo Server/O=BCC_AdminTool </li></ul></ul><ul><ul><li>IDVaultLastFlushTime=06.11.2008 20:04:27 </li></ul></ul>
    15. 15. Live Demo ID Vault
    16. 16. Monitoring / Protokollierung <ul><li>Einbindung in das „übliche“ Domino Monitoring </li></ul><ul><li>Domino Server Console </li></ul><ul><ul><li>Sh idvault </li></ul></ul><ul><ul><li>Anzeige von technischen Statusinformationen zum ID Vault </li></ul></ul><ul><ul><li>Anzeige von eventuellen Störungen </li></ul></ul>
    17. 17. Monitoring / Protokollierung <ul><li>Protokollierung in der Log.nsf und auch ddm.nsf </li></ul><ul><ul><li>ID vault creation, ID Upload, ID downloads </li></ul></ul><ul><ul><li>ID extracts </li></ul></ul><ul><ul><li>Password resets </li></ul></ul><ul><li>Ansicht Security Events </li></ul>
    18. 18. Monitoring / Protokollierung <ul><li>Geplant in zukünftigen Versionen </li></ul><ul><ul><li>ID vault replica creation </li></ul></ul><ul><ul><li>ID vault replica deletions </li></ul></ul><ul><ul><li>ID copy synchronization </li></ul></ul><ul><ul><li>ID vault deletion </li></ul></ul><ul><ul><li>ID vault administrator changes </li></ul></ul><ul><ul><li>ID vault trust certificate changes </li></ul></ul>
    19. 19. Managing ID Vault mit Policy <ul><li>ID Vault ist Teil des Security Setting Dokumentes </li></ul><ul><li>Mögliche Einstellungen </li></ul><ul><ul><li>Passwort Text in Login Box </li></ul></ul><ul><ul><li>Passwort Wechsel nach Reset erzwingen </li></ul></ul><ul><ul><li>Automatischen Download jederzeit erlauben </li></ul></ul><ul><ul><li>ID Download auf Zeitintervall beschränken </li></ul></ul><ul><ul><li>Eingabe einer Fehlermeldung beim ID Download </li></ul></ul><ul><li>Demo </li></ul>
    20. 20. Architektur ID Vault mit BCC_AdminTool
    21. 21. ID Vault – Sicherheitskonzept
    22. 22. Sicherheitskonzept <ul><li>Zuordnung / Nutzung des ID Vaults für den jweiligen User </li></ul><ul><ul><li>Ziel: Einsammlung der IDs mit unauthorizierten ID Vaults verhindern </li></ul></ul><ul><ul><li>Zuordnung wird über sogenannte Trust Certificate gesteuert </li></ul></ul><ul><ul><li>Anlage Trust Certificate als Notes ID während der Erstellung „Certifier 2.0“ </li></ul></ul><ul><ul><li>Ablage der Trustcertificate als Querzulassungsdokumente im Domino Directory </li></ul></ul><ul><ul><li>Erstellung eines Vault Operation Keys (VO) </li></ul></ul><ul><ul><li>Zur Erstellung Querzulassung ist Nutzung auf den Certifier notwendig </li></ul></ul><ul><ul><li>Sicherheit der Zertifier ist entscheidend ! </li></ul></ul>
    23. 23. Sicherheitskonzept <ul><li>Schutz vor Download der ID aus ID Vault </li></ul><ul><ul><li>Maximale Downloads bei falschen Kennwort </li></ul></ul><ul><li>Schutz vor falschen Passwort Resets </li></ul><ul><ul><li>Erstellung und Zuordung der Passwort Reset Zertifikates </li></ul></ul><ul><li>Speicherung der ID Datei im ID Vault </li></ul><ul><ul><li>ID Datei wird als Attachment gespeichert </li></ul></ul><ul><ul><li>IDs im ID Vault haben interessanterweise kein Passwort ! </li></ul></ul><ul><ul><li>ID File Dateien werden verschlüsselt im ID Vault gespeichert </li></ul></ul><ul><ul><ul><li>Symetrische Verschlüsselung mit 256 BIT AES – (SE Keys) </li></ul></ul></ul><ul><ul><ul><li>Pro User ID ein eigener SE Key </li></ul></ul></ul><ul><ul><ul><li>SE Keys werden mit 2048Bit RSA Key des VO Key verschlüsselt </li></ul></ul></ul><ul><ul><ul><li>VO Key wird mit private Key der Server ID verschlüsselt </li></ul></ul></ul>
    24. 24. Sicherheitskonzept <ul><li>Sicherheit durch „temporäre ID Files“ </li></ul><ul><ul><li>Bislang immer Ablage der ID auf File-System </li></ul></ul><ul><ul><li>ID Vault kann ID File im Speicher verwenden </li></ul></ul><ul><ul><li>Performance ! </li></ul></ul><ul><li>ID Vault Datenbank ACL </li></ul><ul><ul><li>User Manager muss bei User Registration ein Dokument erzeugen dürfen </li></ul></ul><ul><ul><li>Rolle Auditor muss kontrolliert werden </li></ul></ul><ul><li>Sicherung des Netzwerk „Verkehrs“ </li></ul><ul><ul><li>ID Datei wird mit 256 Bit AES Transport Encryption Key geschützt </li></ul></ul><ul><li>Zusammenfassung </li></ul><ul><ul><li>Server ID des Vault Server muss besonders geschützt werden </li></ul></ul><ul><ul><li>Überwachung des ACL und Auditor Rolle </li></ul></ul>
    25. 25. Durchführung Passwort Reset <ul><li>Sicherheit durch Zuordnung eines Querzulassung zu den entsprechenden „Ausführer“ </li></ul><ul><ul><li>Org Certifier </li></ul></ul><ul><ul><li>Person </li></ul></ul><ul><ul><li>FunktionsID </li></ul></ul><ul><li>Ausstellung der Querzulassung durch den Zertifier </li></ul><ul><li>Querzulassungdokument im Domino Directory </li></ul><ul><li>Ausführung über AdminClient </li></ul><ul><li>Alternativ Nutzung des API Calls </li></ul>
    26. 26. ID Vault Auditor Function <ul><li>ID Vault Auditor kann Dateien aus dem ID Vault extrahieren </li></ul><ul><ul><li>Verwendung der IDs um Zugriff auf verschlüsselte Daten zu bekommen </li></ul></ul><ul><li>Vorgehensweise </li></ul><ul><ul><li>ID Auditor verwendet Funktion „Extract ID“ im AdminClient </li></ul></ul><ul><ul><li>ID Auditor ändert das Passwort der extrahierten Datei </li></ul></ul><ul><li>notwendige Rechte </li></ul><ul><ul><li>Manager Zugriff auf ID Vault </li></ul></ul><ul><ul><li>Rolle Auditor Rolle in der ACL </li></ul></ul>
    27. 27. ID Vault Auditor Function <ul><li>Zusammenfassung </li></ul><ul><ul><li>Auditor benötigt kein Passwort des Anwenders um auf dessen ID zuzugreifen ! </li></ul></ul><ul><ul><li>Prüfung ob der Auditor Zugriff auf die ID Datei hat, wird nur durch ACL Zugriff auf ID Vault geregelt. </li></ul></ul><ul><ul><li>SECURE_DISABLE_AUDITOR=1 in der notes.ini um diese Funktion auszuschalten </li></ul></ul>
    28. 28. Vielen Dank für Ihr Interesse! Weitere Informationen: BCC Unternehmensberatung GmbH Frankfurter Straße 80-82 65760 Eschborn Tel. 06196 – 64040 – 0 Fax. 06196 – 64040 – 18 http:// www.bcc.biz [email_address]

    ×