Artikel: Mehr Sicherheit im Intra- und Internet

Zudem konnte das Domino Directory seit jeher flexibel an spezifische Anforderungen angepasst werden. Individuelle Erweiterungen der Personenattribute oder die Automatisierung der Gruppenpflege hat fast jeder Lotus Kunde vorgenommen. Kein Wunder, dass Intra- und Extranet-Anwendungen auf Basis von Lotus Domino sich bereits in den 90er Jahren schnell verbreitet haben.

Directory-Inseln im Microsoft Umfeld

Ganz anders war zu der Zeit das Bild im Microsoft Umfeld. Mit dem Security Accounts Manager (SAM) in Windows NT konnte Microsoft nur vergleichsweise kleine Directory-Inseln vorzuweisen. Globale Corporate Directories ließen sich mit SAM ebenso wenig realisieren wie individuelle Erweiterungen oder leistungsfähige Schnittstellen zu anderen Systemen. Trotzdem haben fast alle Mitarbeiter in Unternehmen eine Microsoft Benutzerkennung erhalten. Damit hatten die Mitarbeiter allein für Mail-, File- und Print-Services bereits zwei Benutzer-Kennungen, ganz zu Schweigen von ERP, CRM und anderen Systemen.

Effektiv Authentifizieren oder wie viele Namen und Kennungen braucht ein Benutzer?

Mit der Einführung des Microsoft Active Directory (MSAD) und der Konsolidierung der Directory-Inseln hat sich das Umfeld in den meisten Unternehmen mittlerweile deutlich geändert. In dem MSAD wird oftmals eine strikte Password Expiration Policy definiert, die die Mitarbeiter dazu zwingt ihr Passwort alle paar Wochen zu ändern. Trotz der oftmals eingesetzten "Active Directory Synchronization" müssen sich die Anwender zwei, zumindest temporär unterschiedliche, Passwörter merken. Auch die "Domino Directory Assistance" bietet aus dem Dilemma keinen Ausweg. Schließlich nützt es wenig, wenn ein Anwender unter Domino mit seiner MSAD Benutzerkennung bekannt ist, da die Autorisierung, d.h. die Zuweisung von Berechtigungen durch ACLs und Gruppen, immer auf Basis des Benutzernamens im Domino Directory erfolgt.

Mit der Nutzung der MSAD auch für Domino Browser-Anwendungen ließe sich wenigstens ein Benutzerkennung / Passwort für den Anwender eliminieren. Sicher würde das zu einer höheren Akzeptanz der Anwendungen und geringerem Supportaufkommen führen. Darüber hinaus würde damit aber auch gleich eine effektive Password Expiration Policy implementiert, die für das Domino http Passwort oftmals sträflich vernachlässigt wird.

Authentifizierungs- & Security Tool für Domino Server

Ein Ausweg aus diesem Dilemma bietet das Produkt SecureDomino, das das Kölner Unternehmens TIMETOACT kürzlich auf der Lotusphere 2007 in der Version 6.0 vorgestellt hat. SecureDomino ermöglicht die Authentifizierung gegen ein beliebiges LDAP Directory und übersetzt den LDAP Namen in den Lotus Domino Benutzernamen. Damit funktioniert auch die Autorisierung mit den ACLs und den Gruppen im Domino Directory. Die Version 6.0 bietet zudem ein Logging sämtlicher Authentifizierungsversuche und ermöglicht somit erstmals z.B. dem Benutzer die letzte Anmeldung anzuzeigen.

Domino Intrusion Prevention

Ein weiteres Problem der Domino Directory Services ist, dass es keinen Schutz vor den gefürchteten Brute Force Attacken mit "Password Recovery Tools" bietet. Selbst unbedarfte Anwender können mit diesen zahlreich frei verfügbaren Tools Brute Force Attacken gegen Domino Server fahren. Das Knacken des Passwortes ist somit nur eine Frage der Zeit – ein Wochenende sollte ausreichen bis ein Hacker selbst komplexe Passwörter "knackt" und z. B. vertrauliche Informationen lesen oder Mails im Namen Dritter versenden kann.

Der Schutz vor diesen Gefahren - Intrusion Prevention – ist seit der ersten Version Kernfunktionalität von SecureDomino. Zum Funktionsumfang gehören zudem die IP-basierte Authentifizierung, die Definition von Anmeldezeiten, die Beschränkung des http-Zugriffs auf einzelne Datenbanken oder Verzeichnisse und vieles mehr. Der DSAPI-Filter ist für die Domino Plattformen Windows, Linux (x86), AIX und SUN (SPARC) verfügbar.