SICHERHEIT

ID-Vaultsicherheit für die Kennwortzurücksetzung
Ein Vorteil der Vault besteht darin, dass Kennwörter für IDs einfach zurückgesetzt werden können, wenn Benutzer sie vergessen. Für das Zurücksetzen von Kennwörtern stehen die folgenden beiden Modelle zur Verfügung: Autorisierte Mitarbeiter können mithilfe von Domino Administrator Kennwörter für Benutzer zurücksetzen oder Benutzer bzw. autorisierte Mitarbeiter können Kennwörter mithilfe einer benutzerdefinierten Anwendung zurücksetzen. Sie können eines oder beide Modelle implementieren.

Für beide Modelle gibt es zwei Sicherheitsüberlegungen: die Vertrauenswürdigkeit der Person oder Anwendung, die Kennwörter zurücksetzt, und die Vertrauenswürdigkeit der Identität der Benutzer, deren Kennwörter zurückgesetzt werden. Die Vertrauenswürdigkeit der Berechtigung einer Person oder Anwendung zum Zurücksetzen von Kennwörtern wird durch spezielle Gegenzertifikate, die Kennwortzurücksetzungszertifikate, festgelegt. Mithilfe der Werkzeuge ID-Vaults -> Erstellen oder ID-Vaults -> Verwaltung können Sie Kennwortzurücksetzungszertifikate anhand der übergeordneten Zertifizierer der Benutzer-IDs erstellen, die in der Vault gespeichert sind. Die Zertifikate werden in der Ansicht Konfiguration -> Sicherheit -> ID-Vaults des Domino-Verzeichnisses erstellt. Die Vertrauenswürdigkeit der Identität eines Benutzers, dessen Kennwort zurückgesetzt wird, muss durch die Person oder Anwendung festgelegt werden, die das Kennwort zurücksetzt.

Berechtigung zum Zurücksetzen von Kennwörtern für Personen, die Kennwörter mithilfe von Domino Administrator zurücksetzen

Personen, die sich bei Domino Administrator mit einer Identität anmelden, für die die Berechtigung zum Zurücksetzen des Kennworts besteht, können Benutzerkennwörter mithilfe des Werkzeugs Kennwort zurücksetzen zurücksetzen. Ein Domino-Administrator kann diesen Personen die Berechtigung zum Zurücksetzen des Kennworts erteilen, indem er Kennwortzurücksetzungszertifikate für Einzelpersonen oder Unterorganisationen erstellt. Es ist nicht möglich, ein Kennwortzurücksetzungszertifikat für eine Verzeichnisgruppe zu erstellen, Sie können jedoch eine Gruppe auswählen, um auf einfache Weise ein individuelles Kennwortzurücksetzungszertifikat für jedes aktuelle Mitglied zu erstellen.

Personen, die Kennwörter mithilfe von Domino Administrator zurücksetzen, haben zwei Möglichkeiten, den Benutzern die neuen Kennwörter mitzuteilen. Sie können das neue Kennwort wählen oder nach dem Zufallsprinzip generieren und die Benutzer anschließend selbst über das neue Kennwort informieren. Es ist wichtig, dass sie über eine Möglichkeit zur Bestätigung der Identität des Benutzers verfügen. Alternativ können sie ein neues Kennwort nach dem Zufallsprinzip generieren und in einer verschlüsselten E-Mail an jemanden senden, beispielsweise an den Manager eines Benutzers.

Die Berechtigung zum Zurücksetzen des Kennworts sollte IDs verliehen werden, die speziell für das Zurücksetzen von Kennwörtern registriert und verwendet werden.

Berechtigung zum Zurücksetzen von Kennwörtern für Anwendungen

Entwickler können anhand der in C, Java™, JavaScript™ oder LotusScript verfügbaren ResetUserPassword-Methode eine eigene Anwendung zum Zurücksetzen der Kennwörter entwickeln. Dabei kann es sich um eine Self-Service-Anwendung handeln, über die Benutzer ihre eigenen Kennwörter zurücksetzen können, oder eine Anwendung, mit der Support-Mitarbeiter Benutzerkennwörter zurücksetzen.

Wenn in einem LotusScript- oder Java-Agenten die ResetUserPassword-Methode verwendet wird, müssen Sie mit dem Flag Berechtigung zum selbständigen Zurücksetzen eines Kennworts einer Benutzeridentität, die den Agenten signiert hat (vorzugsweise einer Benutzeridentität, die speziell für diesen Zweck registriert ist), die Berechtigung zum Zurücksetzen eines Kennworts erteilen. Der Server, auf dem Sie den Agenten bereitstellen, muss ebenfalls über diese Berechtigung verfügen und muss dem Agentenunterzeichner das Zugriffsrecht Beschränkte LotusScript/Java-Agenten ausführen erteilen.

Wenn die ResetUserPassword-Methode in einer Nicht-Agent-Anwendung verwendet wird, erteilen Sie die Berechtigung zum Zurücksetzen des Kennworts mit dem Flag Berechtigung zum selbständigen Zurücksetzen eines Kennworts dem Benutzer oder der Server-Identität, unter dem bzw. der die Anwendung zur Ausführung autorisiert ist.

Die Anwendung ist für die Überprüfung der Identität der Benutzer verantwortlich. Dies kann mithilfe eines HTTP-Benutzernamens und -Kennworts des Domino-Web-Servers ausgeführt werden. Alternativ könnte die Anwendung selbst die Authentifizierung durchführen, z. B. mithilfe der LDAP-Verzeichnisserver-Authentifizierung oder indem Benutzern persönliche Fragen gestellt werden.

Domino enthält eine Beispiel-Self-Service-Anwendung, die die ResetUserPassword-Methode in einem LotusScript Agenten verwendet, den Sie für Ihre Umgebung anpassen können.

Zugehörige Konzepte
ID-Vaultbereitstellung planen

Zugehörige Tasks
Berechtigung zum Zurücksetzen des Kennworts zuweisen
Beispiel-Self-Service-Anwendung einrichten, damit ID-Vault-Benutzer ihre Notes-Kennwörter zurücksetzen können