Vorbereitungen

Stellen Sie sicher, dass Sie als Editor Zugriff auf das IBM Domino-Verzeichnis und eine der folgenden Rollen haben:

• PolicyCreator-Rolle, um ein Einstellungsdokument zu erstellen
• PolicyModifier-Rolle, um ein Einstellungsdokument zu ändern

Anmerkung: Weitere Informationen zum Register Gemeinsame Notes-Anmeldung und deren Verwendung zum Vermeiden von Kennworteingaben finden Sie unter den verwandten Themen. Weitere Informationen zum Register Föderierte Anmeldung finden Sie unter den verwandten Themen zum Anwenden einer Konfiguration der föderierten Notes-Anmeldung auf Benutzer.

Anmerkung: Weitere Informationen zum Erstellen von Sicherheitsrichtlinieneinstellungen für IBM iNotes-Benutzer und zum Verwenden eines HTTP-Proxy-Servlets zum Beschränken von URLs auf externe Server finden Sie in der Produktdokumentation von IBM iNotes Administration unter den zugehörigen Informationen.

Prozedur

1. Wählen Sie in Domino Administrator das Register Personen und Gruppen und öffnen Sie anschließend die Ansicht Einstellungen.

2. Klicken Sie auf Einstellungen hinzufügen und wählen Sie anschließend Sicherheit aus.

3. Nehmen Sie im Register Allgemein Einstellungen für die folgenden Felder vor:

Tabelle 1. Felder im Register "Allgemein"

Feld	Aktion
Name	Geben Sie einen Namen ein, der den diese Einstellungen verwendenden Benutzer identifiziert.
Beschreibung	Geben Sie eine Beschreibung der Einstellungen ein.

Notes- und Internetkennwörter verwalten

Prozedur

1. Nehmen Sie im Register Kennwortverwaltung Einstellungen für die folgenden Optionsfelder vor:

Tabelle 2. Optionen für die Kennwortverwaltung

Feld	Aktion
Benutzerdefinierte Kennwortrichtlinie für Notes-Clients verwenden	Wählen Sie einen der folgenden Werte aus: Nein (Vorgabe) Ja - Um eine benutzerdefinierte Kennwortrichtlinie zu implementieren. Mit benutzerdefinierten Kennwortrichtlinien können Sie spezifische Kennwortparameter konfigurieren, um zu vermeiden, dass Kennwörter trivial oder vorhersagbar sind. Richten Sie die Richtlinie mithilfe der Einstellungen im Register Benutzerdefinierte Kennwortrichtlinie ein.
Kennwort überprüfen anhand der Notes-ID-Datei	Wählen Sie einen der folgenden Werte aus: Nein (Vorgabe) Ja - Um festzulegen, dass alle Kopien der Benutzer-ID dasselbe Kennwort verwenden
Benutzer dürfen das Internetkennwort über HTTP ändern	Wählen Sie einen der folgenden Werte aus: Ja - (Vorgabe) um Benutzern zu ermöglichen, zum Ändern ihrer Internetkennwörter einen Web-Browser zu verwenden. Nein
Internetkennwort bei Änderung des Notes-Client-Kennworts aktualisieren	Wählen Sie einen der folgenden Werte aus: Nein (Vorgabe) Ja - Um das Internetkennwort mit dem Notes-Client-Kennwort zu synchronisieren. Anmerkung: Wenn Sie "Ja" auswählen, aktivieren Sie die Verwendung des sichereren Internetkennwortformats, falls es nicht bereits verwendet wird.
Andere Notes-basierte Programme fragen kein Kennwort ab (vermindert Sicherheit)	Wenn Sie "Ja" auswählen, wird diese Option im Dialogfeld "Sicherheit" unter Ihre Einstellungen zu Anmeldung und Kennwort für Notes-Client-Benutzer festgelegt, auf die diese Richtlinie angewendet wird. Wird die Option aktiviert, werden keine Aufforderungen zur Kennworteingabe mehr angezeigt, da die Anmeldeinformationen der ersten Anmeldung des Benutzers bei Notes für alle Notes-basierten Anwendungen wiederverwendet werden, die Daten gemeinsam mit Notes nutzen.
Einmalige Anmeldung von Windows für Standard-Notes-Client aktivieren	Die Unterstützung für die integrierte Windows-Authentifizierung (mithilfe von SPNEGO/Kerberos) für Eclipse-basierte Funktionen und Produkte wie Widgets und Livetext, Feeds, Connections, Verbundanwendungen und Sametime wird aktiviert. Diese Option wirkt sich nicht auf die Aufforderung zur Kennworteingabe beim Start des Notes-Clients aus, Aufforderungen zur Kennworteingabe für teilnehmende integrierte und andere Anwendungen und Komponenten werden jedoch nicht mehr angezeigt. Zusätzliche Informationen zu IWA finden Sie in dem technischen Hinweis Integrierte Windows-Authentifizierung (IWA) für Eclipse-basierte Komponenten in Lotus Notes unter den zugehörigen Informationen.

Tabelle 3. Einstellungen für den Kennwortablauf

Feld	Aktion
Ablauf des Kennworts erzwingen	Wählen Sie einen der folgenden Werte aus: Deaktiviert - (Vorgabe) um den Kennwortablauf zu deaktivieren. Wenn Sie den Kennwortablauf deaktivieren, müssen Sie die verbleibenden Felder in diesem Abschnitt nicht ausfüllen. Aktiviert Anmerkung: Wenn Sie den Kennwortablauf für eine der folgenden Optionen aktivieren, werden die Vorgaben im Sicherheitseinstellungsdokument geändert. Nur Notes - Um den Kennwortablauf nur für Notes Kennwörter zu aktivieren. Nur Internet - Um den Kennwortablauf nur für Internetkennwörter zu aktivieren. Notes und Internet - Um den Kennwortablauf für Notes und Internetkennwörter zu aktivieren. Anmerkung: Die Ablaufeinstellungen für Internetkennwörter werden nur vom HTTP-Protokoll erkannt. Das bedeutet, dass Internetkennwörter mit anderen Internetprotokollen (z. B. LDAP oder POP3) unbegrenzt verwendet werden können. Anmerkung: Aktivieren Sie den Kennwortablauf nicht, wenn Benutzer sich mit Smartcards bei Domino-Servern anmelden.
Intervall für Kennwortänderung	Geben Sie die Anzahl der Tage ein, die ein Kennwort gültig ist, bevor es geändert werden muss. Die Vorgabe ist 0. Anmerkung: Wenn Sie einen Wert kleiner als 30 angeben, wird der Wert im Feld Warnfrist automatisch berechnet. Der berechnete Wert beträgt 80 % des in diesem Feld eingegebenen Werts.
Nachfrist zulassen	Geben Sie die Anzahl der Tage ein, in denen Benutzer ein abgelaufenes Kennwort ändern müssen, bevor sie gesperrt werden. Die Vorgabe ist 0, das heißt, dass Benutzer nicht gesperrt werden.
Kennwortprotokoll (nur Notes)	Geben Sie die Anzahl der zu speichernden abgelaufenen Kennwörter ein. Das Speichern von Kennwörtern verhindert, dass Benutzer alte Kennwörter erneut verwenden. Die Vorgabe ist 0.
Warnfrist	Geben Sie an, wie viele Tage vor dem Kennwortablauf der Benutzer eine entsprechende Warnnachricht erhalten soll. Die Vorgabe ist 0. Anmerkung: Der Wert in diesem Feld wird berechnet, wenn die Einstellung Intervall für Kennwortänderung weniger als 30 Tage beträgt. Damit der Wert in diesem Feld berechnet werden kann, muss der Kennwortablauf aktiviert sein. Sobald dieser Wert berechnet wurde, kann er nicht mehr überschrieben werden.
Benutzerdefinierte Warnnachrichten	Geben Sie eine benutzerdefinierte Warnnachricht ein, die an den Benutzer gesendet wird, dessen Kennwort den im Feld "Warnfrist" angegebenen Schwellenwert überschritten hat. Anmerkung: Die benutzerdefinierte Warnnachricht gilt nur für Notes-Clients, unabhängig davon, wie Sie den Kennwortablauf aktiviert haben. Internetbenutzer sehen diese Warnnachricht nicht.

Warum und wann dieser Vorgang ausgeführt wird

Sperreinstellungen für Internetkennwörter werden ignoriert, wenn in Ihrer Organisation SAML für die Sitzungsauthentifizierung verwendet wird.

Prozedur

1. Nehmen Sie im Register Kennwortverwaltung die folgenden Sperreinstellungen vor:

Tabelle 4. Sperreinstellungen für Internetkennwörter

Feld	Aktion
Sperreinstellungen für Internetkennwörter des Servers überschreiben?	Wenn diese Richtliniendokumenteinstellung aktiviert ist, überschreiben die Einstellungen in der Richtlinie die Sperreinstellungen für Internetkennwörter im Konfigurationsdokument des Servers. Anmerkung: Der Server muss die Sperre für Internetkennwörter erzwingen, damit diese Richtlinieneinstellungen wirksam werden.
Maximale Anzahl der erlaubten Kennwortversuche	Maximale Anzahl der erlaubten Kennwortversuche, bevor eine Sperre eintritt. Wenn dieser Wert auf 0 gesetzt ist, ist eine unbegrenzte Anzahl von Kennwortversuchen erlaubt.
Ablaufdatum der Sperre	Dies ist der Zeitraum, für den eine Sperre erzwungen wird. Nach diesem Zeitraum wird ein Benutzerkonto automatisch entsperrt, wenn der Benutzer das nächste Mal versucht, sich zu authentifizieren. Wenn dieser Wert auf 0 gesetzt ist, ist die automatische Freigabe deaktiviert.
Intervall für die maximale Anzahl der Versuche	Wenn ein Benutzer nicht gesperrt wird, ist dies der Zeitraum, der vergehen muss, bevor eine erfolgreiche Authentifizierung alle vorherigen Fehlversuche löscht. Geben Sie eine längere Schutzstärkezeit ein, um die Sicherheit zu erhöhen. Wenn dieser Wert auf 0 gesetzt ist, werden fehlgeschlagene Kennwortversuche bei jeder erfolgreichen Authentifizierung gelöscht.

Tabelle 5. Einstellungen für die Kennwortqualität

Feld	Aktion
Kennwortqualität	Wenn Benutzer Kennwörter basierend auf der Kennwortqualität wählen sollen, geben Sie diese Qualität an, indem Sie in der Liste einen Wert auswählen.
Stattdessen Länge verwenden	Wenn Benutzer Kennwörter basierend auf der Länge auswählen sollen, klicken Sie auf "Ja". In diesem Fall ändert sich das Feld Kennwortqualität in Minimale Kennwortlänge. Geben Sie die minimale Kennwortlänge hier an.

Benutzerdefinierte Kennwortrichtlinien konfigurieren

Warum und wann dieser Vorgang ausgeführt wird

Die folgenden Felder müssen nur ausgefüllt werden, wenn Sie eine benutzerdefinierte Kennwortrichtlinie implementiert haben.

Prozedur

1. Wählen Sie im Register Kennwortverwaltung unter Kennwortverwaltung - Optionen die Option Ja für das Feld Benutzerdefinierte Kennwortrichtlinie für Notes-Clients verwenden aus.

Das Register Benutzerdefinierte Kennwortrichtlinie wird angezeigt.

Tabelle 6. Felder im Register "Benutzerdefinierte Kennwortrichtlinie"

Feld	Aktion
Kennwort nach der ersten Verwendung des Notes-Clients ändern	Benutzer müssen ihre Kennwörter bei der ersten Notes-Anmeldung ändern. Anmerkung: Dies funktioniert nur, wenn die Richtlinie während der Benutzerregistrierung angewendet wurde.
Allgemeinen Namen im Kennwort zulassen	Die Verwendung einer Kombination der allgemeinen Namen der Benutzer in Kennwörtern ist zulässig. Beispiel: "John232" ist das Kennwort für den Benutzer CN=John Doe/O=Mutt, wobei der allgemeiner Name "John Doe" lautet.
Minimale Kennwortlänge	Legen Sie die Mindestanzahl der Zeichen fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Maximale Kennwortlänge	Legen Sie die maximale Anzahl der Zeichen fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Minimale Kennwortqualität	Legen Sie den Mindestwert für die Kennwortqualität fest, die Benutzer für ihre Kennwörter verwenden müssen.
Mindestanzahl von Buchstaben	Legen Sie die Mindestanzahl der alphabetischen Zeichen fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Mindestanzahl von Großbuchstaben	Legen Sie die Mindestanzahl der Großbuchstaben fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Mindestanzahl von Kleinbuchstaben	Legen Sie die Mindestanzahl der Kleinbuchstaben fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Mindestanzahl von Ziffern	Legen Sie die Mindestanzahl der Sonderzeichen fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Mindestanzahl von Sonderzeichen	Legen Sie die Mindestanzahl der Sonderzeichen fest, die Benutzer in ihren Kennwörtern verwenden müssen.
Mindestanzahl von Nicht-Kleinbuchstaben	Legen Sie die Mindestanzahl der Sonderzeichen, Zahlen und Großbuchstaben fest, die Benutzer in ihren Kennwörtern verwenden müssen. Wenn Sie für diese Einstellung einen höheren Wert wählen, sind die Kennwörter schwieriger zu erraten. Nach der Eingabe einer Zahl wird eine Checkliste angezeigt, in der die Zeichentypen aufgelistet sind, die Sie für diese Anforderung angeben können. Sie können eine beliebige Kombination der folgenden Optionen wählen: Großbuchstabe Zahl Sonderzeichen
Maximalanzahl aufeinanderfolgender identischer Zeichen	Legen Sie die Höchstanzahl der sich wiederholenden Zeichen (jeglicher Art) fest, die Benutzer in ihren Kennwörtern verwenden dürfen.
Mindestanzahl von Ziffern	Legen Sie die Mindestanzahl der Zeichen fest, die nur einmal in einem Kennwort vorkommen dürfen.
Kennwort darf nicht beginnen mit	Geben Sie den Typ von Zeichen an, mit denen das Kennwort eines Benutzers nicht beginnen darf.
Kennwort darf nicht enden mit	Geben Sie den Typ von Zeichen an, mit denen das Kennwort eines Benutzers nicht enden darf.

Warum und wann dieser Vorgang ausgeführt wird

Nehmen Sie im Register Ausführungskontrollliste Einstellungen für die Felder vor, um die in Ihrer Organisation verwendeten Administrations-ECLs zu konfigurieren.

Tabelle 7. Felder im Register "Ausführungskontrollliste"

Feld	Aktion
Administrations-ECL	Wählen Sie einen der folgenden Werte aus: Bearbeiten - Um die ECL zu bearbeiten, deren Name neben der Schaltfläche "Bearbeiten" angezeigt wird. Verwalten - Informationen zur Verwendung dieser Funktion finden Sie unter "Administrations-ECLs verwalten". Anmerkung: Die Schaltflächen "Bearbeiten" und "Verwalten" werden nur angezeigt, wenn sich das Sicherheitseinstellungsdokument im Bearbeitungsmodus befindet.
Aktualisierungsmodus	Wählen Sie einen der folgenden Werte aus: Aktualisieren - Um Client-ECLs mit neuen oder geänderten Informationen aus der Administrations-ECL zu aktualisieren, wie nachfolgend beschrieben: Wenn die Client-ECL eine Signatur auflistet, die die Administrations-ECL nicht auflistet, werden diese Signatur und deren Einstellungen in der Client-ECL nicht verändert. Wenn die Administrations-ECL eine Signatur auflistet, die die Client-ECL nicht auflistet, werden diese Signatur und deren Einstellungen zur Client-ECL hinzugefügt. Wenn die Client-ECL und die Administrations-ECL dieselbe Signatur auflisten, werden die Einstellungen für die Signatur in der Client-ECL verworfen und durch die Einstellungen für die Signatur aus der Administrations-ECL ersetzt. Ersetzen - Um die Client-ECL mit der Administrations-ECL zu überschreiben. Es werden keine Informationen aus der Client-ECL beibehalten.
Aktualisierungsintervall	Wählen Sie einen der folgenden Werte aus: Einmal täglich - Um die Client-ECL zu aktualisieren, wenn der Client vom Home-Server authentifiziert wird und entweder seit der letzten ECL-Aktualisierung ein Tag vergangen ist oder die Administrations-ECL geändert wurde. Wenn sich die Admin-ECL ändert - Um die Client-ECL zu aktualisieren, wenn der Client vom Home-Server authentifiziert wird und die Administrations-ECL seit der letzten Aktualisierung geändert wurde. Nie - Um die Aktualisierung der Client-ECL während der Authentifizierung zu verhindern.

Administrations-ECLs (Ausführungskontrolllisten) verwalten

Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie den ersten Server in einer Domäne einrichten, erstellt Domino eine standardmäßige Administrations-ECL, die Sie anschließend für Ihre Organisation anpassen können. Möglicherweise benötigen Sie mehrere Arten von Administrations-ECLs, beispielsweise eine für Freiberufler und eine für Festangestellte. Sie können das Dialogfeld "Workstation-Sicherheit: Admin-Ausführungskontrolllisten (ECL)" zum Verwalten der von Ihnen erstellten Administrations-ECLs verwenden. Über dieses Dialogfeld können Sie auch neue Administrations-ECLs erstellen oder nicht mehr benötigte löschen.

Anmerkung: Die Schaltflächen Bearbeiten und Verwalten werden nur angezeigt, wenn sich das Sicherheitseinstellungsdokument im Bearbeitungsmodus befindet.

Prozedur

1. Klicken Sie in der Symbolleiste für das Sicherheitseinstellungsdokument auf Einstellungen bearbeiten.

2. Klicken Sie auf Verwalten. Das Dialogfeld Workstation-Sicherheit: Admin-Ausführungskontrolllisten (ECL) wird angezeigt. Wählen Sie eine der folgenden Optionen aus:

Tabelle 8. Optionen für "Workstation-Sicherheit: Admin-Ausführungskontrolllisten (ECL)"

Feld	Aktion
Eine vorhandene Administrations-ECL bearbeiten	Wählen Sie den Namen der Administrations-ECL, die Sie bearbeiten möchten, aus dem Listenfeld aus und klicken Sie auf OK. Der Name der ausgewählten Administrations-ECL wird im Feld "Administrations-ECL" des Registers "Ausführungskontrollliste" angezeigt. Klicken Sie auf die Schaltfläche "Bearbeiten", um die ausgewählte Administrations-ECL zu öffnen.
Eine neue Administrations-ECL erstellen	Geben Sie einen Namen für die neue ECL in das Feld Neue Admin-ECL erstellen ein und klicken Sie auf OK. Der Name der neuen Administrations-ECL wird im Feld "Administrations-ECL" des Registers "Ausführungskontrollliste" angezeigt. Klicken Sie auf die Schaltfläche Bearbeiten, um die neue Administrations-ECL zu erstellen.
Eine vorhandene Administrations-ECL löschen	Wählen Sie den Namen der Administrations-ECL, die Sie löschen möchten, aus dem Listenfeld aus und klicken Sie auf Löschen. Die ausgewählte Administrations-ECL wird gelöscht und die Liste der vorhandenen Administrations-ECLs wird aktualisiert.

Administrations-ECLs werden unabhängig von Sicherheitseinstellungsdokumenten gespeichert. Wenn Sie eine Administrations-ECL bearbeiten, werden die Änderungen von allen Sicherheitseinstellungsdokumenten verwendet, die auf die Administrations-ECL mit dem bestimmten Namen verweisen. Wenn Sie eine Administrations-ECL löschen, verwenden alle Sicherheitseinstellungsdokumente, die sich auf diese bestimmte Administrations-ECL bezogen, die Standard-Administrations-ECL. Wenn Sie eine Administrations-ECL löschen, können Sie den Löschvorgang nicht durch Klicken auf Abbrechen rückgängig machen.

Wenn Sie auf Abbrechen klicken, wird der Name der Administrations-ECL weiterhin unverändert im Einstellungsdokument angezeigt.

Schlüsselaustausch aktivieren

Warum und wann dieser Vorgang ausgeführt wird

Füllen Sie die Felder im Register Schlüssel und Zertifikate aus, um den Schlüsselaustausch für Benutzergruppen zu konfigurieren. Sie geben Auslöser an, die den Schlüsselaustausch für eine Gruppe oder Gruppen von Benutzern initiieren. Sie haben die Möglichkeit, den Austauschprozess für die Gruppe von Benutzern, auf die sich diese Richtlinie bezieht, für einen bestimmten Zeitraum zu deaktivieren.

Weitere Informationen zum Konfigurieren von AES für die Verschlüsselung von E-Mails und Dokumenten finden Sie in den verwandten Themen.

Prozedur

1. Geben Sie im Feld Vorgegebene Anforderungen an öffentlichen Schlüssel Einstellungen für über- und untergeordnete Richtlinien an. Wählen Sie eine dieser Optionen:

• Einstellungen zu den Anforderungen an öffentliche Schlüssel vom übergeordneten Dokument übernehmen
• Einstellungen zu den Anforderungen an öffentliche Schlüssel in untergeordneten Dokumenten erzwingen

Tabelle 9. Anforderungen an den öffentlichen Schlüssel des Benutzers

Feld	Aktion
Mindeststärke des Schlüssels	Anmerkung: Schlüssel, die schwächer sind als hier angegeben, werden ausgetauscht. Keine Beschränkung. Maximal mit allen Versionen kompatibel (630 Bit) Mit Release 6 und höher kompatibel (1024 Bit). Mit Release 7 und höher kompatibel (2048 Bit).
Höchststärke des Schlüssels	Anmerkung: Schlüssel, die schwächer sind als hier angegeben, werden ausgetauscht. Mit allen Versionen kompatibel (630 Bit) Mit Release 6 und höher kompatibel (1024 Bit). Mit Release 7 und höher kompatibel (2048 Bit).
Bevorzugte Schlüsselstärke	Geben Sie die bevorzugte Stärke an, mit der neue Schlüssel erstellt werden sollen: Mit allen Versionen kompatibel (630 Bit) Mit Release 6 und höher kompatibel (1024 Bit). Mit Release 7 und höher kompatibel (2048 Bit).
Höchstalter des Schlüssels (Tage)	Geben Sie das Höchstalter an, das ein Schlüssel erreichen darf, bevor er ausgetauscht werden muss. Die Vorgabe ist 36500 Tage (100 Jahre).
Frühestmögliches Erstellungsdatum des Schlüssels	Alle Schlüssel, die vor diesem Datum erstellt wurden, werden ausgetauscht.
Generierung von neuen Schlüsseln für alle Benutzer über diese Anzahl Tage verteilen:	Geben Sie den Zeitraum in Tagen an, in dem neue Schlüssel für alle Benutzer generiert werden, für die dieses Richtliniendokument für Sicherheitseinstellungen gilt. Die Benutzerschlüssel werden während des konfigurierten Zeitraums zufällig ausgetauscht. Die Vorgabe ist 180 Tage.
Maximale Gültigkeit des alten Schlüssels (Tage), nachdem der neue Schlüssel erstellt wurde	Geben Sie an, wie lange ein alter Schlüssel noch für die Netzwerkauthentifizierung verwendet werden kann. Bei der Überprüfung der Notes-Schlüssel werden alle alten und neuen Zertifikate sowie alle Austauschschlüssel in einer Baumstruktur organisiert. In dieser Baumstruktur werden anschließend Zertifikatsätze gesucht, die eine Zertifikatskette bilden können, die den Schlüssel verifiziert. Wenn ein Zertifikat abgelaufen ist, kann es in dieser Kette nicht verwendet werden. Wenn Sie einen Schlüssel austauschen, weil Sie annehmen, dass er bekannt wurde, sollten Sie einen kleinen Wert eingeben, um den Zeitraum zu begrenzen, für den die Zertifikate, die auf diesen Schlüssel ausgestellt wurden, noch verwendet werden können. Gültige Werte für diese Einstellung sind 1 bis 36500 Tage. Die Vorgabe ist 365 Tage.

4. Geben Sie unter Einstellungen für das Ablaufdatum des Zertifikats im Feld Warnfrist an, wie viele Tage vor dem Ablauf des Zertifikats der Benutzer eine Ablaufwarnung erhalten soll. Die Vorgabe ist 0.

5. Geben Sie unter Einstellungen für das Ablaufdatum des Zertifikats im Feld Benutzerdefinierte Warnnachrichten eine benutzerdefinierte Warnnachricht ein, die an Benutzer gesendet wird, deren Zertifikat den im Feld Warnfrist angegebenen Schwellenwert überschritten hat.

OCSP-Überprüfung (On-line Certificate Status Protocol) aktivieren

Warum und wann dieser Vorgang ausgeführt wird

Das Online Certificate Status Protocol (OCSP) ermöglicht Anwendungen die Ermittlung des Widerrufsstatus eines bestimmten Zertifikats. OCSP-Überprüfungen werden während der S/MIME-Signaturüberprüfung und der Mail-Verschlüsselung durch den Notes-Client durchgeführt. OCSP wird über eine Richtlinie mithilfe der Einstellung OCSP-Überprüfung aktivieren im Register Schlüssel und Zertifikate des Sicherheitseinstellungsdokuments aktiviert.

Vertrauenswürdige Gegenzertifikate auf Clients anwenden

Warum und wann dieser Vorgang ausgeführt wird

Sie können Benutzereingabeaufforderungen zum Erstellen von Gegenzertifikaten vermeiden. Verwenden Sie den Abschnitt Administrative Vertrauensvorgaben des Registers Schlüssel und Zertifikate, um vertrauenswürdige Internetzertifikate, Internetgegenzertifikate und Notes-Gegenzertifikate auf Notes-Clients anzuwenden. Weitere Informationen zum Anwenden vertrauenswürdiger Zertifikate (auch als "Übertragen im Push-Verfahren" bezeichnet) auf Clients finden Sie unter den verwandten Themen.

Installation signierter Plug-ins konfigurieren

Warum und wann dieser Vorgang ausgeführt wird

Plug-ins können einem Notes-Benutzer bereitgestellt werden und sind normalerweise mit einem Zertifikat signiert, das ein Notes-Client als vertrauenswürdig ansieht und das bestätigt, dass die enthaltenen Daten nicht beschädigt sind. Benutzer können die signierten Plug-ins anschließend installieren oder aktualisieren.

Gelegentlich treten Probleme mit Plug-ins auf. Entweder sind sie nicht signiert, nicht signiert mit einem als vertrauenswürdig anerkannten Zertifikat, oder das Zertifikat ist entweder abgelaufen oder noch nicht gültig. Für diese Fälle können Sie eine Richtlinie einrichten, um diese Plug-ins nie zu installieren, immer zu installieren oder die Benutzer während der Installation des Plug-ins auf ihren Computern zu fragen.

Sie können mithilfe des jarsigner-Werkzeugs (Teil des Java-SDKs) Plug-in-JAR-Signaturen mit einem Zeitstempel versehen, um die langfristige Gültigkeit der Plug-in-Signaturen sicherzustellen. Der Notes-Client ermittelt anhand des in einer Plug-in-JAR-Signatur enthaltenen Zeitstempels, ob das Signierzertifikat des Plug-ins zum Zeitpunkt der Signierung gültig war. Wenn ein Plug-in-Signierzertifikat abgelaufen ist, aber zum Zeitpunkt der Signierung gültig war, wird es von Notes akzeptiert. Daher werden Benutzern bei der Plug-in-Installation oder -Bereitstellung keine Sicherheitsabfragen angezeigt. Mit der Einstellung Ablauf ignorieren, wenn Zertifikat mit einem Zeitstempel versehen wird im Register Signierte Plug-ins steuern Sie, ob die Installation von signierten Plug-ins mit abgelaufenen Zeitstempel-Zertifikaten zulässig sein soll. Deren Installation ist standardmäßig erlaubt.

Tabelle 10. Einstellungen für "Ablauf ignorieren, wenn Zertifikat mit einem Zeitstempel versehen wird"

Feld	Aktion
Installation der Plug-ins, die abgelaufen oder noch nicht gültig sind	Benutzer fragen Nie installieren Immer installieren
Installation nicht signierter Plug-ins	Benutzer fragen Nie installieren Immer installieren
Installation von Plug-ins, die von einer nicht erkannten Entität signiert wurden	Benutzer fragen Nie installieren Immer installieren
IBM Plug-in-Signierzertifikat vertrauen	Benutzer fragen Nie für die Installation als vertrauenswürdig anerkennen Immer für die Installation als vertrauenswürdig anerkennen
Ablauf ignorieren, wenn Zertifikat mit einem Zeitstempel versehen wird	Benutzer fragen Nie installieren Immer installieren

Einstellungen für den Portalserver konfigurieren

Warum und wann dieser Vorgang ausgeführt wird

Tabelle 11. Einstellungen für Portalserver

Feld	Aktion
Homeportalserver	Geben Sie den Namen des IBM WebSphere Portal-Servers ein, der Notes-Benutzerkonten hostet.
Authentifizierungs-URL	Geben Sie die URL ein, auf die Notes-Benutzer für die Authentifizierung auf dem Portalserver zugreifen müssen.
Authentifizierungstyp	Wählen Sie einen der folgenden Werte aus: J2EE-Form HTTP, für webbasierte Authentifizierung

Anmerkung: Weitere Informationen zu den Registern ID-Vault und Proxies finden Sie in den verwandten Themen.

Zugehörige Konzepte
Die gemeinsame Notes-Anmeldung zum Vermeiden von Kennworteingaben verwenden
Internetkennwörter verwalten
Integrated Windows Authentication (IWA) für Eclipse-basierte Clients
Notes-Clients für S/MIME konfigurieren
Namens- und Kennwortauthentifizierung für Internet-/Intranet-Clients
Notes mithilfe von "plugin_customization.ini" anpassen
Domino-Richtlinie zum Festlegen oder Überprüfen der Vertrauenswürdigkeit von Client-Plug-ins verwenden
Notes-ID-Vault

Zugehörige Tasks
Kennwortprüfung einrichten
Konfiguration der föderierten Notes-Anmeldung anhand einer Richtlinie für Sicherheitseinstellungen auf Clientbenutzer anwenden
Internetkennwörter sichern
Verschlüsselung für ID-Dateien konfigurieren
Ausführungskontrolllisten
AES für die Verschlüsselung von Mail und Dokumenten konfigurieren
Notes- und Internet-Clients für die SSL-Client-Authentifizierung einrichten
Schlüsselaustausch für Benutzer und für Server
Zertifikate mittels der Einstellungen zu Sicherheitsrichtlinien im Push-Verfahren an Clients übertragen
ID-Vault-Richtlinieneinstellungsdokumente manuell erstellen oder bearbeiten
Signieren von benutzerdefinierten oder Fremdanbieterfunktionen und Plug-ins für Installation und Aktualisierung

Zugehörige Verweise
Benutzerdefinierte Kennwortrichtlinien
ECL-Vorgabeeinstellungen
Wissenswertes über die Kennwortqualität

Zugehörige Informationen
Produktdokumentation von IBM iNotes
HTTP-Proxy-Servlet zum Beschränken von URLs auf externe Server verwenden
Technote Nr. 21459717: Integrierte Windows-Authentifizierung (IWA) für Eclipse-basierte Komponenten in Lotus Notes

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe