7 de diciembre de 2010

Autenticación de Lotus Notes Server

El día que tuve que ir por la empresa, donde actualmente trabajo a tiempo completo, a restaurar el servidor de correo Lotus Notes, de la oficina de Barcelona, aprendí a marchas forzadas a instalar un servidor de Lotus Notes desde 0.

En la fase de restauración tuve que registrar un nuevo elemento servidor en el Domino, ya que en la instalación del servidor se requiere que le indiques el nombre que tiene en el Domino y también le proporciones su ID.

Hasta la fecha, yo sabía que el ID, era un fichero que lleva los credenciales de autenticación de un usuario registrado en el Domino, siendo necesario cuando el usuario abre sesión desde de el cliente de escritorio, ya que el acceso desde un cliente web (navegador) no es necesario. Podéis encontrar algo de información de este inusual sistema de autenticación, aquí. Ahora que me encontré con esta situación, he sabido que los ficheros IDs no solo se usan para autenticar a los usuarios, sino también a los servidores.

De mis rutinarias tareas de administración de usuarios en el Domino, se que cuando se registra un usuario el ID se almacena en el names (BBDD donde Domino gestiona todos los elementos registrados), o eso es lo que pensaba, ya que cuando en la empresa registramos a los usuarios, siempre marcamos esa opción.

Formulario de registro de servidor en Domino de Lotus Notes.

Pero resulta que aunque se indique dicha operación, no siempre se puede llevar a cabo, porque si lamentablemente se ha indicado un nivel 0 de complejidad de contraseña, el sistema no permite realizar la operación.

Selección de nivel de complejidad de contraseña

Alerta de obligación de contraseña para adjuntar un ID en el Domino

Por esta razón, o la menos esa es mi deducción, ningún servidor registrado en el Domino de la empresa, tiene adjunto su ID.
Este hecho me provoco ciertos dolores de cabeza, ya que al no tener ese ID y no encontrarlo por ningún directorio de los distintos servidores, ni en los espacios de datos compartidos que utilizamos en el departamento de TI, perdón, de sistemas y cosas varias, tuve que registrar de nuevo un servidor en el Domino, generando de esta manera su ID correspondiente, y esta vez sí, adjuntado al registro del servidor en el names.

Sorprendentemente, por el momento no hemos detectado ninguna anomalía correspondiente a que el Domino no identifique el servidor como tal, ya que en sí, debería ser otro servidor, con un mismo nombre de un servidor que ya existía; como es normal, ser perdieron configuraciones que el antiguo servidor tenía, ya que debían estar almacenadas en su propio disco local, pero los clientes que atacan a las BBDD, ya sean de correo o de otros menesteres, han continuado operando sin problema alguno.

Para finalizar, me autorespondo, en base a mis propias deducciones, a ciertas preguntas que yo me hice en su momento:
  • ¿Porque si se indica el nivel de seguridad 0 de contraseña (nivel que permite dejar la contraseña en blanco) no se permite adjuntar el ID al registro del elemento en el names?
    La deducción más obvia, es porque el nivel de seguridad de acceso a ese fichero ID, debe ser muy débil; y claramente es así, el names es una BBDD accesible por cualquier usuario registrado, sea administrador o el usuario con menor privilegio; así que cualquier usuario registrado puede acceder a ese registro y extraer el ID, y si no tuviese contraseña, suplantar la identidad del elemento en cuestión.

  • Si el ID del servidor, tienen una contraseña ¿cómo puedo configurar el arranque del servidor de manera automática (arranque al inicia Windows, desde un cron, etc.)?
    Es posible que esta pregunta tenga varias respuestas, pero en mi caso, lo solucioné, autenticándome desde un cliente de escritorio de Notes con el ID del servidor y cambiando la contraseña del ID, por ninguna; esta operación cambia la contraseña de esa copia del ID, no de ninguna otra copia, ni del fichero original adjunto en el registro del servidor en el names.


Hasta la próxima enfermos.

2 comentarios:

  1. Ivan,
    Salvo que hubiera información encriptada, por el ID del servidor, no tendrás problemas en volver a generar de nuevo el ID. Adicionalmente si se han cruzado certificados con alguna organización externa, con otro Domino, implicará suministrarle de nuevo el ID de servidor.

    Guardar los IDs en el directorio de Domino no es la práctica más adecuada. Tienes opciones varias como activar Password Recovery o ID Vault, para que los IDs residan en una BBDD centralizada, encriptada, y en la que las recertificaciones actualizan certificados de manera automática.

    No se en que versión andáis, pero os recomiendo encarecidamente subir a la 8.5.1 u 8.5.2 para que los usuarios estén más contentos :-)

    Administrar sistemas en general no te permite profundizar en los diferentes sistemas en los que trabajas, pero te aseguro que Domino es apasionante. Te dejo un enlace a un foro de incidencias Domino en el que seguro que alguno te podemos echar una mano cuando puedas tener algún problema http://slug.es/foroxp.nsf

    Un saludo

    ResponderEliminar
  2. Hola Miguel,

    Gracias por tus comentarios, me van a ser de ayuda para el futuro.
    Conocía el ID vault, y es algo que estuve mirando durante un rato de un par de días, para implantarlo, pero como siempre en la empresa, donde me empleo a tiempo completo, no tiene interés en estos asuntos y prefiere que pasemos la jornada haciendo cosas de "mayor importancia" (la importancia es relativa a cada uno, pero como son los que pagan en su tiempo hay que hacer lo que dicen y yo en mi tiempo me dedico a hacer otras cosas que a nivel personal me pueden interesar más o reportar beneficios, no solo los directamente económicos).

    Sobre la versión que usamos es la versión 8.5, migramos desde la R5 hace poco más de un año y el cambio es considerable. Los usuarios ya no les hacemos mucho caso, para ellos solo existe Outlook, así que ya no te cuento más. Por mi parte, Domino tiene cosas que me gustan y otras no, pero eso me sucede con muchas otras cosas, así que en ningún caso quiero que se piense que mi postura es cambiarlo, más bien sería que la empresa tomase decisiones de inversión sobre él, pero no como las que han tomado hasta el momento, que han sido las mínimas y más bien por obligación, ya que no tenían muchas más puertas de salida con la inversión económica que querían hacer.

    Gracias por el enlace, aunque justo lo descubrí el otro día, buscando un poco de documentación para escribir el post.
    Les pasé este y otros enlaces de interés a mis compañeros de departamento, pero creo que poco tiempo vamos a poder dedicar, como siempre nos ha sucedido hasta ahora.

    Saludos y gracias de nuevo.

    ResponderEliminar