有效id和密码
这是一个ID和密码恢复鱼的故事:
Cindy HelpDesk接了电话,在另一端听到了一个怯的声音。 “你好,辛迪,这是布巴·史密斯。我丢失了身份证件。”
“您的ID文件出了什么事?”
“它在墨西哥湾的底部,带着笔记本电脑……我正和我的好友比利·乔伯(Billy JoBob)一起钓鱼,我决定检查我的电子邮件。然后,这头巨大的鲨鱼吞噬了诱饵,战斗。我丢下笔记本电脑抓住电线杆,笔记本电脑滑入水中。”
“你抓到鲨鱼了吗?”
史密斯先生令人毛骨悚然地说道:“不,它消失了,但是我现在有一台新笔记本电脑。我需要一个Notes ID和密码,并且我的Notes ID文件中也有一个X.509证书。我不知道如何得到替换。”
“让我检查一下。您的ID上次是在两周前收获的。您将X.509证书导入到ID文件多久了?”
“大约四个月前。”
“那您应该没事。我现在将您的ID发送给您的经理。这是解锁ID-5829692949294a36的钥匙。我也通过电子邮件将有关如何解锁ID文件的过程发送给您的经理;只需执行几步即可解锁ID并输入新密码。如果没有我刚才给您提供的号码,没有人能够解锁ID文件,因此请像密码一样小心地保护它。”
史密斯先生松了一口气。 “谢谢你,辛迪。你帮了大忙!”
伟大的故事,结局不错。 用户淹没了笔记本电脑,用户获得了新的笔记本电脑,然后用户获得了ID。 所有这些都不会弄湿。 此成功案例是由Lotus Notes R5中内置的ID和密码恢复(也称为ID恢复)机制带给您的。 本文介绍了如何为您的组织实施ID和密码恢复。
ID恢复为您做什么
ID恢复机制基本上很简单。 如果使用具有恢复信息的证明者创建了ID,则该ID文件包含至少一个恢复密码,该密码是随机生成的,并使用管理员的公共密钥加密。 密码对于每个管理员和用户都是唯一的。 例如,管理员Cindy HelpDesk对用户Bubba Smith具有唯一的恢复密码,该密码存储在Bubba的ID文件中。
在进行ID恢复之前,如果用户丢失了其ID的密码,则管理员必须从存档中获取ID文件或为该用户创建新的ID文件。 两种选择都带来了问题:
- 如果从存档中获取ID,则旧的ID文件可能不包含最新的X.509密钥,加密密钥,名称更改或来自重新认证的新密钥。
- 如果管理员为用户创建了一个新的ID文件,即使使用与以前相同的用户名,该用户也将无法读取以前加密的邮件或文档。
使用以下新功能,ID和密码恢复使用户ID管理更简单,更好。
- 能够“打开”已启用ID恢复的现有ID文件并为其分配新密码。
- 管理员通过电话解锁ID的能力。
- 从R5客户端收集ID并将ID备份到安全的集中式数据库中的能力。
- 启用任何ID以支持通过Notes邮件进行ID恢复的功能。
- 在注册新用户时能够自动存档ID的功能。
- 基于OU级别证明者管理每个ID中的恢复信息的能力。
这些强大的功能使企业Domino安装可以安全地管理ID文件,同时还可以为用户提供更好的服务。
如何执行ID和密码恢复
以下是在您的组织中实施ID和密码恢复的基本步骤:
- 定义用于ID和密码管理的安全策略和过程。
- 创建一个恢复数据库来容纳每个O或OU的每组ID。 从技术上讲,您可以将所有ID放在同一数据库中。 在OU反映实际管理边界的情况下,最好为每个OU创建一个恢复数据库。
- 为每个ID恢复数据库创建一个邮寄数据库记录。
- 将恢复信息添加到将认证最终用户的每个O或OU认证者。
- 导出恢复信息,并按O或OU将其发送给所有R5用户; 这是收获过程。
让我们更详细地检查每个步骤。
1.定义用于ID和密码管理的安全策略和过程
首先,在创建恢复策略和过程之前,您需要具有基本的,整个组织范围内的安全策略。 如果您在这里需要帮助,可以找到几本书和网站来帮助您,包括Internet安全指南 ,ISBN:0122374711; “一项IT安全策略:每个黑客都不希望您拥有什么”,( 观点 ,2000年11月/ 12月); 以及美国国家标准技术研究院(NIST)的Internet安全策略指南。这些材料可以帮助您创建安全策略和过程,以支持您的安全基础结构。
然后,关于ID恢复,您需要定义以下内容:
- 将放入每个OU中的恢复ID的数量。 当前最大值为8。
- 解锁用户ID文件所需的最小管理员恢复ID(也称为恢复权限)。
- 管理员恢复ID文件的命名标准,将用于解锁ID文件。
确定要放置在验证者中的恢复授权ID的数量
这是您的选择。 选择哪种取决于组织的安全策略:
- 最安全的做法是拥有许多恢复ID文件,每个文件都由不同的特定管理员控制,并要求其中几个协同工作以恢复ID。 这样,没有人一个人可以窃取用户ID,但是没有人不可用将阻止ID的恢复。 例如,五个顶级管理员可能会获得恢复ID文件,但是您可能要求其中两个必须参与任何ID的恢复。 但是,随着管理员人员的变更,这可能导致对用户ID进行多次重新认证。
- 多个恢复ID的替代方法是使用多个密码(也可能需要五个密码中的两个)来保护单个恢复ID。 这样做的缺点是,管理员必须在同一物理位置输入密码并解锁ID,而不是独立于通过电话连接的不同位置进行操作。
- 您可以使用每个管理员的用户ID而不是分配的恢复ID。 通常不应该这样做,因为与单独使用且仅用于特定目的的ID相比,日常使用的ID更容易遭到盗窃。 不仅要使用其个人ID,还应提醒恢复ID的所有者不要告诉其他人其密码。
- 使用共享的管理员和/或恢复ID文件不是最佳实践。 尽管这对于管理员来说是最简单的方法,但它为个人提供了强大的功能,并且没有留下审计线索。
确定打开ID文件所需的最小管理员ID(恢复权限)
Lotus建议的最小数量为三。 许多组织对敏感ID遵循标准的安全惯例,并且需要两个。 其他组织的安全要求最低,仅要求一个,和/或使用共享的恢复ID。
确定可以解锁ID的管理员ID(恢复授权)的命名标准
这可以是在地址簿中具有Notes公钥的任何人。 Domino R5管理帮助建议使用现有的管理员标识。 您也可以为管理员创建专用于打开ID文件的特定ID文件。 例如:Recovery1 / Recovery / TheCompany
2.创建一个恢复数据库以容纳每组ID
如前所述,您可以为整个组织使用一个数据库,也可以为每个O或OU使用一个数据库。 无论哪种情况,您都必须:
- 在服务器上创建一个新的数据库。
- 根据需要设置ACL,以将访问权限限制为仅授权管理员。
我们还建议您:
- 对数据库使用mail50.ntf模板(名为StdR50Mail)。
- 将数据库放在隔离的服务器上,并使用“服务器”文档中的“服务器访问”字段来限制对此服务器的访问。
- 使用“数据库”属性框的“设计”选项卡取消选择“在“打开数据库”对话框中显示”和“在数据库目录中列出”选项:
图1.数据库属性框
3.为每个恢复数据库创建一个邮寄数据库记录
每个验证者ID都有一个内部存储位置,该位置列出了用于恢复ID的邮件数据库的名称。 管理员可以为所有验证者拥有一个数据库,也可以为每个验证者拥有一个数据库。
要为每个恢复数据库创建一个邮件数据库记录:
- 使用Notes客户端打开域的Domino目录。
- 转到“服务器/数据库中的邮件”视图。
- 单击“添加邮件数据库”操作按钮。
- 使用正确的域,服务器和数据库名称填写“域”,“服务器”和“文件名”字段。 使数据库名称类似于OU名称是一个好主意,以便于记忆。
图2.邮件数据库文件
- 保存并关闭文档。
4.将恢复信息添加到每个OU验证者
每个验证者ID都可以保存恢复信息。 使用R5管理员客户端创建该恢复信息时,会将其“标记”到每个新用户ID中。 还可以将该恢复信息导出并导入到R5客户端上的基于R4的ID中。
对于每个OU验证者:
- 从管理员客户端,选择您已注册恢复ID的服务器。
- 确保在“服务器”选项卡的“家庭/邮件服务器”字段中,还将通讯录中的“位置”文档也设置为此服务器。
- 转到服务器的“配置”选项卡,然后单击“工具”下的“证书”。 然后单击编辑恢复信息:
图3.认证工具
- 在出现的“选择验证者ID”对话框中,在“文件名”字段中输入验证者ID文件的名称。 然后单击“打开”。
图4.选择证书ID对话框
- 出现提示时输入验证者的密码。 出现“编辑主恢复权限列表”对话框:
图5. Edit Master Recovery Authority List对话框
- 在“您需要多少个恢复机构”文本框中输入打开ID文件所需的最小管理员ID(恢复机构)数量。
- 单击“地址”按钮以指定您创建的邮件数据库的名称。
- 单击“添加”按钮添加将充当恢复机构的人员的姓名。 这将打开一个“名称和地址”对话框,您可以在其中选择要添加到列表的名称。 (您可能首先必须选择注册恢复机构名称的目录。)
至此,恢复授权信息已经完成,并且将对所有新用户生效。 对于现有用户,您将需要导出信息并将其发送给他们。 下一部分将介绍此步骤。
这是一个完整的“编辑主恢复权限列表”对话框的示例:
图6.完成的Edit Master Recovery Authority List对话框
在这种情况下,只需要一个Recovery Authority,因此Mike Jones,TIm Speed或Tom Smith将能够恢复(解锁)ID文件。 邮寄数据库的名称是Dallas IDPR。 所有新的和已获取的ID将发送到OU / Dallas / TheCompany的此邮件数据库。
您重复此过程,为组织中的每个OU添加恢复信息。 所有新用户的ID中都将包含恢复信息,其ID将自动邮寄到恢复数据库。 以下示例显示了注册两个新用户后恢复数据库的外观:
图7.恢复数据库条目
这些消息看起来像任何普通的邮件消息,但是它们包含用户的Notes ID文件的备份副本。 消息如下所示:
图8.带有ID文件的消息
5.导出恢复信息并将其发送给所有当前的R5用户
现在,您的新用户受到了保护,但是您已迁移到R5客户端和服务器的所有现有R5用户和R4.x用户在其ID中仍然没有恢复信息。 您如何解决此问题? 您可以从验证者中导出恢复信息,并将其发送给用户。 您需要为每组经过特定验证者验证的用户重复以下步骤:
- 告诉用户为什么接受恢复信息对他们很重要。
- 导出恢复信息,并将其发送给通过该OU认证的用户。
- 用户将恢复信息接受到其ID文件中。
- 用户接受将ID与新的恢复信息一起发送到恢复数据库的选项。
请注意,导出可以随时进行,但是如果您要处理任何类型的迁移,则在导出恢复信息并将其发送给用户之前完成迁移将为您省去很多麻烦。 如果您正在将用户从一个O或OU级别验证者转移到另一验证者,则也是如此。
现在,让我们与一位用户一起完成该过程。 假设Billy JoBob是最近升级到R5客户端的R4用户。
向用户介绍ID恢复
这是您可以采取的最重要的步骤,因为在用户接受恢复信息并将其ID寄回之前,其ID将不受保护。 使用通常使用的任何通知方法,但多次发送消息。 解释它的重要性。 您甚至可以包括一个按钮,让他们确认消息。
导出恢复信息
接下来,您导出恢复信息并将其发送给用户。 请记住,您必须对用于注册用户的每个验证者执行此操作:
- 从管理员客户端,选择您在其中注册ID的服务器。
- 转到服务器的“配置”选项卡,然后单击“工具”下的“证书”。 然后单击“编辑恢复信息”。 系统将提示您输入要编辑的验证者。 假设您知道Billy JoBob已在名为Dallas / TheCompany的OU中注册。 选择该OU的验证者并输入密码后,您将看到“ Edit Master Recovery Authority List”对话框。
- 单击对话框中的导出按钮。
- 输入OU的密码,然后单击“确定”。 出现“邮件ID文件恢复信息”对话框:
图9.邮件ID文件恢复信息对话框
- 在“收件人”和“抄送”字段中,输入应接收恢复信息的用户的用户名或组名。 您可以使用“地址”按钮从Domino目录中选择用户名和/或组名。
- 单击发送按钮。
在此示例中,我们选择了Billy JoBob。 单击“发送”按钮后,邮件将被发送到Billy JoBob的邮件文件中。 这是Billy邮件文件中的外观。 请注意,说明在消息的主题行中。
图10.用户邮件文件中的通知
用户接受恢复信息
接下来,Billy打开消息并按照“主题”行中的指示进行操作,选择“操作-接受恢复信息”:
图11.选择操作-接受恢复信息
用户将具有恢复信息的ID发送到恢复数据库
一旦Billy选择了Accept Recovery Information选项,就会出现Backup ID File对话框,提示Billy将其ID发送到恢复数据库:
图12.备份ID文件对话框
一旦用户ID文件接受了新的恢复信息,即使他们取消对话框以电子邮件将备份副本通过电子邮件发送到恢复数据库,新的恢复信息也将被放入用户ID文件中。 但是,让我们根据比利的行为来回顾几种不同方案的影响。
如果Billy决定不打扰另一条“无聊的管理消息”,并且不打开该消息并接受恢复信息(换句话说,绝对不执行任何操作),将无法恢复其ID文件。 即使Billy仍然拥有ID文件并且只忘记了密码,您可能仍需要向Billy颁发新的ID文件。 这将需要时间,并且Billy不会感到高兴。 如果Billy有任何加密的消息或其他数据,则这些消息或消息将永久丢失,他将不高兴。
顺便说一句,如果Billy被怀疑有非法活动,当您告诉他们您无法阅读他的加密消息时,审计部门将不会感到高兴。 当然,聪明的罪犯不会向您发送带有她用于秘密活动的私钥的ID文件,但是至少如果您在恢复数据库中有该ID文件,审计部门就会知道您已尽一切可能。
如果Billy打开该消息并选择“操作-接受恢复信息”,然后从“备份ID”对话框中取消,则该ID将是可恢复的,但是该ID文件的当前副本将不在恢复数据库中。 这意味着以下信息将不可用:
- 当前证书
- 秘密钥匙
- X.509证书
- 恢复密码
换句话说,比利和你几乎处在相同的困境中,好像他什么都没做。 唯一的好处是,有人可能会在Billy的工作站上复制ID文件并将其发送给您,然后您可以将其恢复-当ID文件位于墨西哥湾底部时,这不是一个选择。
道理是,您绝不应让第一步用户了解ID Recovery。 重要的是要让用户意识到ID Recovery的重要性,并确保他们遵循。 实际上,如果您跟踪哪些用户发送了他们的可恢复ID,并骚扰其他用户,直到他们这样做,这对您和其他所有人都会更好。
另外,如果您组织中的人员使用S / MIME或其他X.509证书,则最好每隔几个月重复一次恢复过程,以使此信息保持最新。 否则,正常的重新认证将确保保持所存储的用户ID为最新。
如何找回ID
到目前为止,我们已经讨论了设置ID恢复的过程,并向您展示了启用恢复后,会将恢复数据放置在新的用户ID中。 我们还向您展示了如何收集和启用在实施ID恢复之前创建的ID。 现在,我们将注意力转向您如何实际恢复ID。
在进行ID恢复之前,用户是否丢失了ID文件还是只忘记了密码都没关系-在任何一种情况下,如果您使用已知密码备份了ID文件,都可以将其发送给用户,通过运动鞋网或将文件发送给用户的本地管理员或管理员。 否则,您将不得不给用户一个全新的ID文件。
使用ID恢复后,从忘记的密码恢复的过程与从丢失的ID恢复的过程不同。 当用户仅忘记密码时,整个恢复过程可以通过电话进行,这意味着如果管理团队可用,则用户可以在几分钟内恢复营业。 如果ID文件位于墨西哥湾的底部,则必须将物理ID文件传递给用户,但是至少所有证书和私钥都是最新的。
基本过程包括四个步骤:
- 您从恢复数据库复制ID文件。
- 您(或证明者文件中被授权为恢复机构的任何人)通过使用Administrator客户端查找该ID的恢复密码来恢复该ID。 对于具有不同权限的恢复管理员,将重复此过程,直到获得最少数量的恢复密码为止。
- 您将恢复密码提供给用户。
- 您或用户输入恢复密码,解锁ID文件并使其完全起作用。
详细步骤如下。
1.从恢复数据库复制ID文件
这一步很简单。 您:
- 打开恢复数据库。
- 打开来自用户的最后一条消息。
- 右键单击附件,然后选择“分离”。 您应该将附件分离到本地驱动器。
2.查找ID的恢复密码
此步骤也很简单:
- 从管理员客户端,选择您在其中注册ID的服务器。
- 转到服务器的“配置”选项卡,然后单击“工具”下的“证书”。 然后单击提取恢复密码。 系统将提示您输入密码和要恢复的ID。
- 输入密码,然后选择要恢复的ID。 如果您的ID被授权恢复您选择的ID(即,您被列为该ID的恢复机构),您将看到以下信息:
图13.恢复信息
如果您的名字不在该ID的验证者的恢复列表中,则会看到一条错误消息,表明您无权恢复该ID文件。 - 不同的管理员应重复此过程,直到您拥有所需数量的恢复密码来恢复ID。 例如,如果将ID恢复过程设置为至少需要三个恢复机构,则三个恢复机构必须提取其ID的恢复密码。 为了获得最佳安全性,用户应分别与每个恢复授权机构打交道,以使只有用户才具有解锁ID所需的恢复密码(并且没有任何中间人拥有它们)。
3.向用户提供恢复信息
此时,您基本上有两种选择:您可以通过电话向用户读取恢复密码,也可以自己恢复ID,分配一个简单的密码,然后将ID和密码发送给用户的管理员或经理。 一些用户在输入16个字符的随机字符串时遇到很多麻烦,以至于他们实际上更喜欢等待并使用更简单的密码来获取ID文件本身,否则您的组织可能希望本地管理员为用户进行恢复。
4.您或用户输入恢复密码并恢复ID文件
在这两种情况下,都可能发生ID文件的实际恢复,您可以自己恢复ID或用户使用提供的恢复信息来恢复ID。
如果您以管理员身份恢复用户的ID文件,则可以按照以下步骤操作:
- 从Notes客户端中,选择“文件”“工具”“用户ID”“恢复ID”。 出现“选择要恢复的用户ID”对话框:
图14.选择要恢复的ID文件对话框
- 选择要恢复的ID文件,然后单击“打开”。 出现“输入密码”对话框。 它列出了具有恢复权限状态的管理员,可以恢复所选的ID。 它还显示恢复ID所需的最小恢复权限。
图15.输入密码对话框
在此示例中,需要一个恢复密码来解锁该ID,并且三名管理员被授权为此ID的恢复权限。 - 输入列出的恢复权限之一的16个字符的恢复密码。 可以按任意顺序输入所需数量的密码。 键入每个后单击Enter。 出现一条消息,确认密码是否有效。 对话框显示还需要多少个密码。 输入适当数量的恢复密码后,将显示“设置密码”对话框。
- 输入用户的新密码,然后单击“确定”。 出现“设置密码验证”对话框。 与往常一样,您必须再次输入密码以确保没有印刷错误。
- 再次输入密码,然后单击“确定”。 现在,该ID文件已完全恢复并可以正常使用。 您通常可以通过用户管理员将ID文件及其新密码发送给用户。
另一方面,如果用户要恢复自己的ID文件,则文件-工具-用户ID-恢复ID将不起作用,因为在不知道ID文件密码的情况下她无法使用她的Notes客户端。 解决方案很简单,但不一定很明显。 要在无法进入Notes客户端时恢复ID文件,请执行以下操作:
- 启动笔记。
- 在“输入密码”对话框中,单击“取消”。 (如果输入了错误的密码,然后单击“确定”,则会看到“密码错误”消息。在该消息上单击“确定”以返回到“输入密码”对话框,然后单击“取消”。)
- 当出现“输入密码”对话框时,再次单击“取消”。 出现“选择用户ID切换到”对话框:
图16.选择“用户ID切换到”对话框
- 在“选择要切换到的用户ID”对话框中,单击“取消”。 这将打开“选择要恢复的ID文件”对话框:
图17.选择要恢复的ID文件对话框
- 选择要恢复的ID文件,然后单击“打开”。 显示“输入密码”对话框,其中包含“恢复权限”列表。 从这一点开始,此过程与管理员恢复用户ID的过程相同。
- 在“输入密码”对话框中,输入恢复机构之一的16个字符的恢复ID,然后单击“输入”。 重复此操作,直到输入了适当数量的恢复密码为止,此时将显示“设置密码”对话框。
- 输入新密码,单击“确定”,然后再次输入新密码作为验证。 然后单击确定。
无论您是恢复用户的ID,重置她的密码并向其发送ID文件,还是自己完成恢复,如果她正在运行Windows NT或Windows 2000和Domino同步代码,则还需要采取进一步的措施。 在完成设置恢复的ID的新密码之后或刚使用恢复的ID时,将提示用户同步Windows和Notes密码。
图18.同步密码消息
用户应按照消息中的指示进行操作以同步密码。
翻译自: https://www.ibm.com/developerworks/lotus/library/ls-ID_password_recovery/index.html
有效id和密码