замена Id файла, смена публичных ключей, ресертификация

Тема в разделе "Lotus - FAQ", создана пользователем root, 30 ноя 2010.

  1. root

    root Гость

    добрый день, задача такая
    у пользователя распространили его id по разным компам, так как пароль храниться в Id файле, есть необходимость заблокировать все распространенные ранее id файлы. Как это решить. Можно не пере выпуском Id файла.
    спасибо.
     
  2. morpheus

    morpheus скриптописец

    Регистрация:
    7 авг 2006
    Сообщения:
    3.927
    Симпатии:
    0
    если не ошибаюсь надо включить для этого юзера Check password
    в документе пользователя, последння закладка

    тогда после последнего входа запишеться хеш актуального пароля ( Password digest ), и под другими паролями пускать не должно
     
  3. HotDog

    HotDog Гость

    Лучше поставьте
    Compare public keys: Enforce key checking for Notes users and Domino Servers ...
    Намного надежнее
    Делаете Recertify Id пользователя. Теперь только этот Id актуален. С другими id болше на сервер не зайдешь

    P.S. Check password - штука не надежная
     
  4. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Наверное, все-таки не ресертифицировать, а сменить публичный ключ. Цитата из хелпа:
     
  5. HotDog

    HotDog Гость

    Сделайте recertify и посмотрите в ID либо в документе Person пользователя. Ключ изменится.
    id отдаете пользователю "в руки"

    Вы на 100% уверены что это настоящий пользователь запросил смену ключей, а не злоумышленник?
     
  6. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Нет. Но если "отдать лично в руки" нельзя (пользователь удаленнный), то тоже нет 100% гарантии. Да ее вообще никогда нет - ибо "честный" пользователь может быть в сговоре со злоумышленником :)
    Вы имеете в виду именно recertify или создание вообще нового ID-файла?
     
  7. HotDog

    HotDog Гость

    Сделать recertify существующго id пользователя, а точнее в админе вкладка Configuration->Certification->Certify...
    Выбираете сервер, id сертификатора, потом id пользователя...
     
  8. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Простите, а Вы сами пробовали этот способ? Я - да, и он не работает. Ибо при ресертификации меняется сертификат (что и отражается в АК), а не публичный ключ. А опция "Compare public keys" работает именно с ключами.

    Опять вы путаете понятие публичного ключа и сертификата...
     
  9. HotDog

    HotDog Гость

    Найдите определение сертификата, из чего он состоит, и у Вас в голове все станет ясно.
     
  10. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Не вопрос. Открываем хелп 8.5:
    Итак, публичный ключ входит в состав сертификата. Вы уперлись во фразу, что публичный ключ хранится в Domino Directory? Читаем внимательно дальше:
    Итак, сертификаты хранятся в Domino Directory и также нызываются сертифицированными публичными ключами (certified public keys). Заходим в Domino Directory, открываем документ Person, находим поле, которое называется как? - правильно - Notes certified public key.

    Итак, в Domino Directory хранятся сертификаты, которые, действительно, меняются при ресертификации (меняется и содержимое этого поля). Однако смена публичных ключей тут совсем ни при чем. Еще одно доказательство - статья от IBM: Что делать, если ID файл утрачен или скомпрометирован?
    Там предлагается создать новый ID-файл пользователя или даже новый cert.id - но никак не пересертифицировать имеющийся ID.
    Про смену ключа я уже приводил цитату - там тоже речь не идет о пересертификации ID, а именно о запросе нового публичного ключа.
    Все понятно? %)
     
  11. puks

    puks Lotus team
    Lotus team

    Регистрация:
    3 фев 2007
    Сообщения:
    1.967
    Симпатии:
    16
    Мыш
    +1

    И не поленился ведь, такой research проделал. Молодца!!!

    HotDog заценил?

    И в голове у всех стало ясно, а над головой появился нимб"
     
  12. nvyush

    nvyush Lotus team
    Lotus team

    Регистрация:
    22 апр 2009
    Сообщения:
    2.317
    Симпатии:
    0
    Что-то я не догоняю, в чём HotDog не прав-то? Ресертификация меняет сертификат (он же сертифицированный публичный ключ)? — Меняет. Злоумышленник сможет зайти на сервер со старым id-файлом при включенной опции Compare public keys? — Не сможет. Кому нимб-то давать?
     
  13. Мыш

    Мыш Lotus team
    Lotus team

    Регистрация:
    12 фев 2008
    Сообщения:
    1.019
    Симпатии:
    8
    Сможет. Потому что сам публичный ключ не меняется при ресертификации.
    Давайте копнем поглубже. При создании ID-файла для пользователя создается пара ключей - публичный и личный.
    Далее создается, грубо говоря, как-бы-запись вида: "Данный пуб. ключ принадлежит пользователю с именем Ivan Ivanov/Org. Срок действия данного утверждения - до xx/xx/xx. Это сказал я - сертификатор с именем /Org." И заверяется эта ка-бы-запись цифровой подписью сертификатора. Далее она добавляется в сертификат пользователя.
    Казалось бы - зачем такие сложности? Для защиты ключа, ибо сам он - просто очень большое число. Без привязки его к имени пользователя и к имени сертификатора откуда Вы узнаете, что шифруете этим ключом почту именно для Ivan Ivanov из компании /Org, а не для злобного хакера Вовочки? Просто доверяете содержимому Domino Directory? Дык его можно очень легко ручками поправить. А если это вообще сторонний пользователь?

    Попробуйте ресертифицировать имеющийся ID-файл пользователя (через меню Certify в Administrator'e). Что Вы там можете поменять? Правильно - характеристики как-бы-записи - срок действия, имя сертификатора, можно добавить имя пользователя. Но про смену ключа там нет ни слова. Ибо он сам и не меняется при ресертификации. А меняются именно параметры как-бы-записи -как правило, просто продлевается время действия сертификата.
    Меняет - но не сам ключ, а информацию, заверяющую его, подтверждающую его валидность (например, продлевает время его действия). Тут, на самом деле, IBM использовал крайне неудачный термин certified public key. Думайте о нем как о сертификате - и все станет ясно (certify и recertify - это именно заверение и перезаверение).
    ЗЫ. ВО, нашел понятную аналогию :) . ФирмаА оплачивает ФирмеБ товар по безналу. За товаром в фирмуБ приезжает человек - это публичный ключ. Что у него должно быть? Правильно - доверенность от фирмыА (сертификат), подтверждающая (заверяющая) его полномочия получить этот товар. И этот человек может приезжать за различными товарами хоть сто раз (ключ не меняется). Просто все это время фирмаА продолжает ему доверять - ресертифицирует его новой доверенностью. А вот если однажды он полученный товар присвоил, продал и пропил, то фирмаА, по идее, должна перестать доверять этому человеку (ключу). Т.е., в след. раз за товаром приедет наверняка другой человек (новый ключ). Но тоже обязательно с доверенностью. А вот если фирмаА продолжает ресертифицировать вора (выписывать ему новые доверенности), то он спокойно сможет получать и пропивать товар и дальше - ибо сама-то доверенность валидна, на ее основании нельзя ему отказать в выдаче товара. Ибо в доверенностях не пишется, что человек - мошенник! :)))
     
  14. HotDog

    HotDog Гость

    Согласен. :rolleyes:
     
  15. Wanderer

    Wanderer Lotus team
    Lotus team

    Регистрация:
    23 мар 2006
    Сообщения:
    367
    Симпатии:
    13
    Неплохо бы такую доходчивую аналогию от Мыша перенести в раздел Lotus - FAQ. :rolleyes: Да и вообще всю ветку обсуждения данной темы, где присутствует и постановка задачи и разбор вариантов решения - какие из них неработоспособны и почему.
     
  16. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Ниже уже объяснили, но я попробую др.словами.
    "сертификат - он же сертифицированный публичный ключ" - неверно.

    Сертификат, грубо говоря, ПОДПИСЬ (с датой и именем подписанта) на публичном ключе, а не сам ключ
     
Загрузка...

Поделиться этой страницей