12.1.4 Управління доступом в QuickPlace
Управління доступом користувачів здійснюють адміністратори QuickPlace і користувачі, що керують вмістом областей. При цьому застосовуються або засоби управління доступом, розташовані в ділянці (room) QuickPlace Server Settings (для параметрів настройки сервера), або засоби управління доступом в папках Members і Customize кожної області (для параметрів настройки області).
Адміністратори сервера QuickPlace можуть здійснювати управління різними правами доступу в QuickPlace. Зокрема, вони можуть:
Суперкористувач може зайти в будь-яку область, існуючу на сервері QuickPlace. Він може зайти на будь-яку ділянку в якості менеджера, а також може визначити параметри адміністрування на ділянці параметрів настройки сервера в області адміністрування.
Примітка. Суперкористувач повинен бути зовнішнім користувачем, а не локальним користувачем.
12.1.5 Параметри настройки сервера в області адміністрування
Ділянка Server Settings в області адміністрування на сервері QuickPlace дозволяє контролювати безліч параметрів безпеки. Зокрема, він дозволяє:
- контролювати використання елементів ActiveX і Java-аплетів користувачами;
- контролювати можливості запуску агентів (PlaceBots) менеджерами областей на сервері в своїх областях;
- обмежити розмір файлових вкладень, які учасники можуть додавати до веб-сторінок
- включити або відключити служби Sametime;
- включити або відключити Domino Offline Passthru Server;
- включити або відключити Alternate Offline Download URL;
- вказати URL-префікс електронної пошти для користувачів, які здійснюють доступ до сервера QuickPlace через сервер-шлюз;
- контролювати можливість підписки учасників на отримання повідомлень електронної пошти, інтегрованих з їх календарями.
12.2 Lotus Sametime
IBM Lotus Web Conferencing and Instant Messaging (Sametime) містить три основні компоненти: сервер Sametime, клієнт Sametime Meeting Room і клієнт Sametime Connect.
Клієнт Sametime Connect має два інтерфейси: клієнт Java Connect і клієнт Sametime Connect для настільних систем. Клієнт Sametime Connect дає можливість користувачам брати участь в чаті, т. Е. Вести інтерактивний текстовий діалог в реальному часі, тоді як клієнт Meeting Room підтримує віртуальну "білу дошку" загального доступу (shared whiteboard), засоби управління і дії інтерактивних зустрічей (online meeting) .
У цьому розділі описуються основні аспекти безпеки для всіх цих компонентів - сервера, клієнта Connect, клієнта Meeting Room.
12.2.1 Захист клієнта Sametime Connect для настільних систем
Для забезпечення належного рівня захисту сеансів з використанням клієнта Sametime Connect необхідно виконати кілька завдань. Ці завдання описуються в даному розділі.
Процес аутентифікації клієнта
Процес аутентифікації клієнта Sametime 3 Connect працює наступним чином:
- Клієнт Sametime відправляє квитирующего повідомлення (handshake) з відкритим (630-розрядних) ключем на сервер Sametime.
- Сервер у відповідь відправляє підтвердження квітірованія, що містить відкритий ключ (який заново створюється кожні 10 хвилин).
- Клієнт визначає встановлений ключ шифрування і відправляє повідомлення входу на сервер з паролем, зашифрованим цим ключем.
- Сервер відправляє повідомлення аутентифікації в процес аутентифікації, який потім намагається виконати аутентифікацію користувача.
Збережені паролі
Якщо користувач вибирає опцію запам'ятовування пароля, пароль клієнта Sametime зберігається в файлі connect.ini. При видаленні цього рядка в файлі connect.ini користувачеві буде видаватися запит пароля. Пароль, який було збережено в файлі connect.ini, шифрується з використанням блочного шифру RSA RC2 з ключем шифрування довжиною 40 біт. Процес шифрування також застосовує унікальну інформацію про кожному комп'ютері, що запобігає використанню файлу на інший робочої станції.
шифрування мережі
Sametime-чати з користувачами Sametime автоматично захищаються шифруванням, якщо всі учасники використовують Sametime 1.5 або вище.
Увага. Якщо який-небудь учасник застосовує більш ранню версію Sametime або є зовнішнім користувачем (наприклад, AOL), шифрування чату не здійснюється.
Шифрування передач файлів здійснюється автоматично. Таке шифрування використовує блоковий шифр RSA RC2 з 128-бітовим ключем. Цей алгоритм шифрування не працює поза клієнта Sametime Connect.
Всі операції чату між клієнтами Sametime 2.5 і 3.0 і сервером Sametime 3.0x завжди шифруються, незалежно від того, чи телевізор налаштовано Encrypt all meetings (Шифрувати всі зустрічі) на сервері.
Однак клієнти Sametime версій раніше 2.5 містять параметри, що дають можливість користувачам брати участь в чаті без шифрування. При підключенні клієнта Sametime версії раніше 2.5 до сервера Sametime 3.0 використання функції шифрування чату залежить від параметрів настроювання клієнта.
Для захисту миттєвих зустрічей (instant meetings) потрібно вибрати опцію Secure meeting (Захистити зустріч), щоб забезпечити шифрування зустрічі. Шифрування гарантує, що ніхто з тих, хто не бере участь у зустрічі, не зможе прочитати ваші повідомлення.
Список контактів (buddy list) користувача Sametime зберігається в базі даних vpuserinfo (vpuserinfo. Nsf). Ця база даних є однією з трьох баз даних, що створюються під час установки і застосовуються для розгортання програми Sametime. Дві інші бази даних - база даних секретів (stauths. Nsf) і база даних токенов (stautht. Nsf). У базі даних VPUserInfo зберігається інформація, що застосовується для настройки обмежень щодо того, кого може бачити користувач і хто може бачити користувача. Ця інформація налаштовується через клієнт Connect.
Важливо зауважити, що інформація в списку контактів не шифрується при відправці на сервер.
12.2.2 Підтримка проксі-сервера для клієнтів Sametime
Табл. 12.1 містить типи проксі-серверів, через які клієнти можуть підключитися до сервера.