SICHERHEIT
Wenn ein nicht berechtigter Benutzer eine ID erhält und das Kennwort der ID erfährt, kann der Besitzer der ID mithilfe der Kennwortprüfung das Kennwort ändern und den nicht berechtigten Benutzer daran hindern, die ID weiterhin zur Authentifizierung bei Servern zu verwenden. Wenn der nicht berechtigte Benutzer das nächste Mal versucht, die ID mit dem alten Kennwort zu verwenden, um auf einen Server zuzugreifen, überprüft der Server das Kennwort, stellt fest, dass das eingegebene Kennwort nicht mit dem neuen Kennwort übereinstimmt und verweigert dem nicht berechtigten Benutzer den Zugriff auf den Server. Ohne Kennwortprüfung könnte ein nicht berechtigter Benutzer eine ID und ein Kennwort selbst dann verwenden, nachdem der Benutzer das Kennwort für die ID geändert hat, da das Kennwort standardmäßig nur zur Entschlüsselung der ID-Datei dient und nicht mit dem im Domino-Verzeichnis gespeicherten Kennwort verglichen wird. Sorgen Sie beim Einrichten der Kennwortprüfung dafür, dass die Benutzer die Kennwörter für ihre IDs regelmäßig ändern. Wenn die Zeit für eine Kennwortänderung naht (wenn zwei Drittel des aktuellen Änderungsintervalls vorüber sind, jedoch mindestens zwei Tage verbleiben), wird eine Eingabeaufforderung angezeigt, die den Benutzer daran erinnert, dass das Kennwort geändert werden muss. Wenn die Benutzer das Kennwort ändern, werden die aktuelle ID und das Personendokument mit dem neuen Kennwort aktualisiert.
Wenn ein Benutzer mehrere ID-Dateien besitzt, muss der Benutzer das Kennwort in jeder Datei so ändern, dass es dem neuen Kennwort entspricht. Sie können die Kennwortprüfung nicht für ID-Dateien verwenden, die Mehrfachkennwörter enthalten.
Der Benutzer muss bei jeder Änderung eines Kennworts ein eindeutiges Kennwort angeben. Notes zeichnet bis zu 50 Kennwörter auf, die der Benutzer bisher verwendet hat. Wenn Sie die Kennwortprotokollprüfung aktivieren (mithilfe eines Dokuments mit Sicherheitseinstellungen), können Sie die Anzahl der neuen Kennwörter konfigurieren, die verwendet werden müssen, bevor ein bestimmtes Kennwort erneut verwendet werden kann.
Ein abgelaufenes Kennwort hindert einen Benutzer nicht daran, verschlüsselte Mail zu lesen oder neue signierte Dokumente in lokalen Repliken zu erstellen. Die Benutzer können jedoch ohne Angabe eines neuen Kennworts nicht auf Datenbanken auf Servern zugreifen.
Beachten Sie, dass die Kennwortüberprüfung während der Authentifizierung für Internetbenutzer nicht funktioniert, weil sie über keine Notes-Benutzer-IDs verfügen (es sei denn, ihre Notes- und Internetkennwörter wurden synchronisiert). Wenn Notes- und Internetkennwörter synchronisiert sind, wirken sich Änderungen an den Kennworteinstellungen in Notes möglicherweise auf die Internetkennwörter aus.
ACHTUNG: Aktivieren Sie den Kennwortablauf nicht für Benutzer, deren ID-Dateien mit Smartcards gesperrt sind. Anderenfalls ist es möglich, dass eine Benutzer-ID gesperrt werden könnte, bis der Digest des Kennworts gelöscht werden kann.
Administrationsprozess und Kennwortprüfung
Bei aktivierter Kennwortprüfung muss der Administrationsprozess Dokumente im Domino-Verzeichnis aktualisieren. Wenn Sie die Kennwortprüfung für einen Benutzer aktivieren, erstellt der Administrationsprozess in der Datenbank "Administrationsanforderungen" die Anforderung Kennwortinformationen einfügen. Domino führt diese Anforderung gemäß der Einstellung im Feld "Intervall" des Abschnitts "Administrationsprozess" im Serverdokument aus. Diese Anforderung aktiviert die Kennwortüberprüfung, indem Werte in die Felder "Kennwort überprüfen", "Intervall für Kennwortänderung" und "Nachfrist" im Abschnitt "Administration" des Personendokuments des Benutzers eingegeben werden.
Wenn sich der Benutzer zum ersten Mal bei einem Server anmeldet, bei dem die Kennwortprüfung erforderlich ist, generiert der Administrationsprozess in der Datenbank "Administrationsanforderungen" die Anforderung Benutzerkennwort im Domino-Verzeichnis ändern. Diese Anforderung trägt den entsprechenden Hashwert eines öffentlichen RSA-Schlüssels, der aus dem Hashwert des Notes-Kennworts und aus einigen anderen geheimen, in der ID-Datei gespeicherten Daten abgeleitet wird, in das Feld "Digest des Kennworts" im Abschnitt "Administration" des Personendokuments ein. Außerdem wird das Datum, an dem der Benutzer das Kennwort eingegeben hat, im Feld "Letzte Änderung am" des Abschnitts "Administration" im Personendokument aufgezeichnet. Zur Authentifizierung bei Servern, bei denen die Kennwortprüfung aktiviert ist, muss der Benutzer das Kennwort eingeben, das dem Digest entspricht.
Wenn der Benutzer danach ein Kennwort ändert, generiert der Administrationsprozess eine neue Anforderung Benutzerkennwort im Domino-Verzeichnis ändern in der Datenbank "Administrationsanforderungen". Durch diese Anforderung werden die Felder "Digest des Kennworts" und "Letzte Änderung am" im Personendokument aktualisiert. Beachten Sie, dass bei einer Änderung des Änderungsintervalls oder der Nachfrist nach Aktivierung der Kennwortüberprüfung die Felder im Personendokument vom Administrationsprozess aktualisiert werden müssen und der Benutzer anschließend das Kennwort ändern muss, damit die Änderung wirksam wird.
Intervalle für Kennwortänderung und Nachfristen
Sie können einen Server so einrichten, dass die Kennwörter der Benutzer während der Authentifizierung überprüft werden, ohne dass sie ihre Kennwörter ändern müssen. Wenn Sie Kennwortänderungen verlangen, können Sie eine Nachfrist angeben, die angibt, wie lange nach Ablauf des Änderungsintervalls die Benutzer noch Zeit haben, bis ihnen der Zugriff auf den Server verweigert wird. Läuft ein Intervall für die Kennwortänderung ab, bevor der Benutzer das Kennwort ändert, kann sich der Benutzer so lange nicht mehr bei Servern authentifizieren, bei denen die Kennwortprüfung erforderlich ist, bis der Benutzer ein neues Kennwort erstellt. Läuft eine Nachfrist ab und hat der Benutzer das Kennwort noch nicht geändert, so kann sich der Benutzer so lange nicht authentifizieren, bis der Administrator die Daten im Feld "Digest des Kennworts" im Personendokument manuell gelöscht und der Benutzer ein neues Kennwort erstellt hat. Wenn ein nicht berechtigter Benutzer das Kennwort für eine ID ändert, bevor der berechtigte Besitzer der ID dies tut, kann sich der berechtigte Benutzer nicht authentifizieren und erhält folgende Nachricht:
Sie haben auf einer anderen Kopie Ihrer ID-Datei ein anderes Kennwort. Sie müssen das Kennwort auf dieser Kopie anpassen.
Löschen Sie in diesem Fall den Eintrag im Feld Digest des Kennworts und bitten Sie den berechtigten Benutzer, sich sofort anzumelden und ein neues Kennwort einzugeben.
ACHTUNG: Für Benutzer, deren ID-Dateien mit Smartcards gesperrt sind, müssen Sie das Änderungsintervall und die Nachfrist auf 0 setzen. Anderenfalls ist es möglich, dass eine Benutzer-ID gesperrt werden könnte.
Zugehörige Konzepte Der Administrationsprozess Kennwortschutz für Notes- und Domino-IDs
Zugehörige Tasks Kennwortprüfung einrichten Einstellungsdokument für Sicherheitsrichtlinien