M 3.24 Schulung zur Lotus Notes Systemarchitektur für Administratoren
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um ein Lotus Notes-System korrekt und sicher administrieren zu können, ist die Schulung der verantwortlichen Administratoren unumgänglich. Schon kleine Konfigurationsfehler können dazu führen, dass Sicherheitslücken entstehen. Beispiele hierfür sind das unkontrollierte Anlegen von Cross-Zertifikaten und falsche Zugriffslisten (ACLs) für Datenbanken. Aus diesem Grund müssen Administratoren über die Systemarchitektur von Lotus Notes und insbesondere über die Sicherheitsmechanismen informiert werden.
Bild 1 zeigt (vereinfacht) die allgemeine Architektur, der ein Client-Server-Modell zugrunde liegt. Auf dem sogenannten Notes-Server werden Datenbanken gehalten, die durch die Lotus Domino-Server-Software zum Zugriff über Netz angeboten werden. Der Zugriff auf die Datenbanken durch den Benutzer kann durch zwei Client-Programme erfolgen:
- Durch den originären Notes-Client, der von Lotus Notes als Client-Software bereitgestellt wird. Der Zugriff erfolgt hier über das proprietäre Notes-Protokoll. Der Notes-Client leitet Bearbeitungsanfragen an den Domino-Server weiter, der die Verarbeitung im Auftrag des Clients auf den Datenbanken durchführt.
- Durch einen Browser (Web-Client). Seit der Notes Version 4.6 ist es auch möglich, mit einem normalen Browser auf die Datenbanken eines Domino-Servers zuzugreifen. Dazu wurde ein spezielles Web-Server-Modul bereitgestellt, das als HTTP-Server fungiert. Die Inhalte der Datenbanken werden beim Zugriff dynamisch durch die sogenannte HTML-Engine in das HTML-Format umgewandelt, damit eine Anzeige im Browser möglich ist. Als Transportprotokoll kommt das Hyper Text Transfer Protocol (HTTP) zum Einsatz.
- Eine lokale Speicherung von Datenbanken (Repliken) ist, im Unterschied zum Notes-Client, mit dem Web-Client nicht möglich.

Abbildung: Überblick über die Lotus Notes Architektur
Die Zugriffskontrollen eines Notes-Servers sind zweistufig ausgelegt (siehe Bild 2) und basieren auf der Benutzerauthentisierung durch die Notes-ID oder durch die Web-Authentisierungsmechanismen "Benutzername und Passwort" oder "SSL-Zertifikat". Ist ein Benutzer authentisiert, so wird beim Zugriff auf eine Datenbank eines Servers zunächst geprüft, ob der Benutzer generell auf den Server zugreifen darf. Ist dies erlaubt, so wird in einer zweiten Stufe geprüft, ob der Benutzer die angeforderte Operation auf der jeweiligen Datenbank durchführen darf.
Abbildung: Authentisierung und Zugriffskontrollen bei Lotus Notes
Der Zugriff auf einen Server kann auf verschiedene Arten eingeschränkt werden (siehe M 4.119 Einrichten von Zugangsbeschränkungen auf Lotus Notes Server). Ähnliches gilt für die möglichen Zugriffsbeschränkungen auf Datenbanken (siehe M 4.120 Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken). Problematisch kann dabei sein, wenn die Zugriffsbeschränkungen auf Datenbanken so konfiguriert werden, dass sie eine bestimmte Zugriffsbeschränkung auf die Server voraussetzen. Werden die Zugriffbeschränkungen auf die Server verändert, können leicht Fehlkonfigurationen entstehen (siehe Beispiel unten).
Die Schulung der Administratoren sollte folgende Aspekte berücksichtigen und mindestens folgende Themen umfassen:
- Welche Möglichkeiten bietet die Zugriffskontrolle auf Server?
- Welche Möglichkeiten bietet die Zugriffskontrollen auf Datenbanken?
- Anhand welcher Kriterien und in welcher Reihenfolge entscheidet Lotus Notes, ob einem Benutzer den Zugriff auf Inhalte in einer Datenbank gestattet wird?
- Wie funktioniert die Benutzerauthentisierung?
- Wie funktioniert die Authentisierung mittels asymmetrischer kryptographischer Verfahren?
- Welche Mechanismen für Verschlüsselung und digitale Signatur gibt es und wie ist der Zusammenhang mit symmetrischen und asymmetrischen kryptographischen Verfahren?
- Wie werden Zertifikate für kryptographische Schlüssel erzeugt, verteilt, verwaltet und genutzt?
- Mit welchen Verfahren kann die Client-Server-Kommunikation (Notes-Client, Web-Client) geschützt werden?
- Wie kann eine hohe Verfügbarkeit von Notes Systemen erreicht werden?
- Wie ist eine effiziente Datensicherung für Notes-Clients und -Server zu gestalten?
Die angegebene Themenliste stellt nur eine Auswahl der wichtigsten Themen dar, die an den Anwendungsfall angepasst und erweitert werden müssen.
Beispiel:
Im folgenden wird kurz dargestellt, welche Mechanismen bei der Zugriffskontrolle beim Datenbankzugriff via HTTP ohne SSL ablaufen. Dieser Prozess sollte den Administratoren erläutert werden, um ein Grundverständnis für die Funktionsweise der Zugriffskontrolle zu vermitteln.
- Ein Benutzer versucht eine zugriffsbeschränkte Operation auf einer Datenbank.
- Der Server überprüft, ob der anonyme Zugriff auf den Server für das HTTP-Protokoll erlaubt ist.
- Ist der anonyme Zugriff erlaubt, so finden folgende Überprüfungen statt:
- Der Server sucht nach einem Eintrag "Anonymous" in der Datenbank-ACL. Existiert dieser, so erhält der Benutzer anonymen Zugriff mit den entsprechenden Rechten.
- Ist kein Eintrag für "Anonymous" vorhanden, überprüft der Server den "-Default-"-Eintrag.
- Erlaubt der "-Default-"-Eintrag mindestens "Leser (Reader)"-Rechte, so erhält der Benutzer anonymen Zugriff mit den "Default" -Rechten.
- Ist der anonyme Zugriff auf den Server nicht erlaubt und ist die Authentisierung über Benutzername und Passwort aktiviert, so fordert der Server über den Browser diese Authentisierungsdaten an.
- Der Server überprüft, ob für den angegebenen Benutzer ein Personendokument im NAB (Namens- und Adressbuch) existiert und kontrolliert anhand der dort angegebenen Informationen die Eingaben des Benutzers (Benutzername und Internet-Passwort).
- Stimmen die Authentisierungsinformationen überein, so wird der erste Eintrag im Benutzernamen-Feld des Personendokumentes benutzt, um den Benutzer zu identifizieren und diesem entsprechende Zugriffsrechte über die Datenbank-ACL zuzuordnen.
Auch wenn eine Rollentrennung zwischen der Administration des Lotus Notes Systems und des zugrundeliegenden Betriebssystems in Kraft ist, sollte den Lotus Notes Administratoren Grundlagenwissen zum Betriebssystem vermittelt werden. Anderenfalls wird eine Zusammenarbeit bei der Problemlösung erschwert.
Ergänzende Kontrollfragen:
- Sind die Administratoren auf den Umgang mit den Notes-System vorbereitet und insbesondere in sicherheitsrelevanten Aspekten geschult?