ZABEZPIECZANIE DANYCH
Zaletą używania karty inteligentnej z programem Lotus Notes jest blokowanie przez nią możliwości użycia identyfikatora użytkownika. Jeśli nie korzysta się z karty inteligentnej, aby uzyskać dostęp do programu Lotus Notes wystarczy znać identyfikator użytkownika i hasło programu Lotus Notes. W przypadku korzystania z karty inteligentnej, przy próbie uzyskania dostępu do programu Lotus Notes niezbędne są: identyfikator użytkownika, karta inteligentna oraz jej kod PIN. Ponieważ kartę inteligentną nosi się przy sobie jak kartę kredytową, znacznie mniej niebezpieczny jest fakt kradzieży samego identyfikatora użytkownika.
Uwaga: Pojęcie karty inteligentnej obejmuje tokeny kryptograficzne. Są to urządzenia sprzętowe zazwyczaj podłączane do portu USB. Pełnią one taką samą funkcję, jak karty inteligentne.
Informacje na temat listy obsługiwanych pakietów kart inteligentnych można znaleźć w serwisie obsługi Lotus Domino.
Dwa sposoby włączania opcji logowania przy użyciu karty inteligentnej
Istnieją dwa sposoby włączania opcji logowania przy użyciu karty inteligentnej. Preferowanym sposobem zabezpieczenia pliku identyfikatora jest użycie klucza prywatnego z osobistego certyfikatu internetowego przechowywanego na karcie inteligentnej. Ponieważ ta metoda obsługuje użycie karty inteligentnej, na której zostały wstępnie załadowane certyfikat internetowy i klucze, nie wymaga ona wprowadzania zmian na karcie, więc zezwala na używanie kart inteligentnych tylko do odczytu. Pozwala ona również użytkownikom na łatwe zabezpieczenie wielu kopii plików identyfikatora za pomocą karty inteligentnej. Innym sposobem zabezpieczenia pliku identyfikatora jest użycie klucza tajnego dodawanego do karty inteligentnej. Ta metoda nie daje korzyści oferowanych przez metodę preferowaną, ale jest obsługiwana w celu zapewnienia zgodności z wersją 6 serwera Domino.
UWAGA: Przed włączeniem opcji logowania przy użyciu kart inteligentnych należy powiadomić o tym zamiarze administratora. Zanim możliwe będzie korzystanie z identyfikatora użytkownika przystosowanego do karty inteligentnej, administrator musi sprawdzić, czy w przypadku rekordu danego użytkownika nie włączono opcji okresowej utraty ważności jego hasła.
Jeśli hasło systemu Microsoft Windows® ma zostać zsynchronizowane z hasłem programu Lotus Notes lub hasło programu Lotus Notes z hasłem serwera IBM Lotus® Domino® (WWW/Internet), należy wyłączyć synchronizację przed włączeniem logowania przy użyciu karty inteligentnej w programie Lotus Notes.
UWAGA: Zanim użytkownik będzie mógł używać karty inteligentnej musi skontaktować się z administratorem, aby sprawdzić, czy jego identyfikator może być odzyskiwany. Więcej informacji na temat odzyskiwania identyfikatora użytkownika można znaleźć w sekcji Odzyskiwanie identyfikatora użytkownika. Jeśli program Lotus Notes jest uruchamiany z więcej niż jednego komputera, należy wyłączyć sprawdzanie hasła przed włączeniem funkcji umożliwiającej użycie karty inteligentnej.
Włączanie opcji logowania przy użyciu kart inteligentnych przez zabezpieczenie pliku identyfikatora za pomocą klucza certyfikatu internetowego (preferowane)
Uwaga: W tej procedurze przyjęto, że certyfikat internetowy, który zostanie użyty do zabezpieczenia pliku identyfikatora, jest przechowywany na karcie inteligentnej. Jeśli zamiast tego jest on przechowywany w pliku identyfikatora, przed wykonaniem tej procedury należy a) włączyć opcję logowania przy użyciu kart inteligentnych przez zabezpieczenie pliku identyfikatora kluczem tajnym, b) przenieść klucze internetowe na kartę inteligentną.
1. Sprawdź, czy w komputerze jest zainstalowany czytnik kart inteligentnych oraz, czy administrator skonfigurował informacje potrzebne do odzyskania identyfikatora użytkownika.
2. Włóż kartę inteligentną do czytnika.
3. Jeśli certyfikat internetowy i klucze, które będą używane do zabezpieczenia karty inteligentnej, nie zostały zapisane na karcie inteligentnej użytkownika, zaimportuj certyfikat internetowy na kartę inteligentną, postępując zgodnie ze wskazówkami dostawcy karty inteligentnej.
4. Z menu wybierz opcję Plik > Zabezpieczenia > Zabezpieczenia użytkownika.
5. Kliknij opcję Tożsamość użytkownika > Karta inteligentna.
6. W oknie dialogowym Konfiguracja karty inteligentnej w polu Plik sterownika karty inteligentnej wprowadź lub odszukaj (kliknij przycisk folderu) pełną ścieżkę dostępu do katalogu, w którym znajduje się plik sterownika karty inteligentnej w standardzie PKCS #11. Plik sterownika został dodany do katalogu podczas instalowania czytnika kart inteligentnych. Na przykład „C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL”
8. Kliknij opcję Tożsamość użytkownika > Twoje certyfikaty.
9. Wybierz opcję Certyfikaty internetowe użytkownika, a następnie wybierz certyfikat, który ma zostać użyty do zabezpieczenia pliku identyfikatora.
10. Kliknij opcję Inne działania > Zablokuj plik ID za pomocą klucza na karcie inteligentnej.
11. Po wyświetleniu prośby o podanie hasła programu Lotus Notes i kodu PIN karty inteligentnej — wprowadź je. Jeśli wyświetlony zostanie komunikat informujący o włączeniu opcji logowania przy użyciu karty inteligentnej, podczas każdej następnej próby zalogowania się w programie Lotus Notes konieczne będzie podanie kodu PIN.
12. Po wyświetleniu odpowiedniego komunikatu w polu Etykieta logowania kartą inteligentną w sekcji Konfiguracja karty inteligentnej wprowadź nazwę opisową karty inteligentnej (tylko jeśli funkcja ta jest obsługiwana przez daną kartę inteligentną). Na przykład: „Karta inteligentna Jana Nowaka”.
Uwaga: Kartę inteligentną należy zabierać ze sobą za każdym razem, gdy odchodzi się od swojej stacji roboczej. Jeśli używany jest zestaw sterowników do karty inteligentnej w standardzie PKCS#11 w wersji 2.01 lub nowszej, wyjęcie karty inteligentnej z czytnika spowoduje zablokowanie wyświetlania programu Lotus Notes. Aby je odblokować, wystarczy włożyć kartę ponownie i wprowadzić poprawny kod PIN.
Uwaga: Jeśli istnieją dodatkowe kopie identyfikatora użytkownika, należy powtórzyć te kroki w celu włączenia karty inteligentnej dla każdej kopii. W przypadku gdy program Notes jest uruchamiany w danej chwili tylko z jednego komputera, należy skopiować identyfikator, dla którego włączono kartę inteligentną w tej procedurze, na każdy komputer w czasie jego używania.
Włączanie opcji logowania przy użyciu kart inteligentnych przez zabezpieczenie pliku identyfikatora za pomocą klucza tajnego zapisanego na karcie inteligentnej
3. Z menu wybierz opcję Plik > Zabezpieczenia > Zabezpieczenia użytkownika. .
4. Kliknij opcję Tożsamość użytkownika > Karta inteligentna.
5. W oknie dialogowym Konfiguracja karty inteligentnej w polu Plik sterownika karty inteligentnej wprowadź lub odszukaj (kliknij przycisk folderu) pełną ścieżkę dostępu do katalogu, w którym znajduje się plik sterownika karty inteligentnej w standardzie PKCS #11. Plik sterownika został dodany do katalogu podczas instalowania czytnika kart inteligentnych. Na przykład „C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL”
7. W sekcji Używanie karty inteligentnej z programem Notes kliknij opcję Włącz logowanie kartą inteligentną.
8. Po wyświetleniu prośby o podanie hasła programu Lotus Notes i kodu PIN karty inteligentnej — wprowadź je. Jeśli wyświetlony zostanie komunikat informujący o włączeniu opcji logowania przy użyciu karty inteligentnej, podczas każdej następnej próby zalogowania się w programie Lotus Notes konieczne będzie podanie kodu PIN.
9. Po wyświetleniu odpowiedniego komunikatu w polu Etykieta logowania kartą inteligentną w sekcji Konfiguracja karty inteligentnej wprowadź nazwę opisową karty inteligentnej (tylko jeśli funkcja ta jest obsługiwana przez daną kartę inteligentną). Na przykład: „Karta inteligentna Jana Nowaka”.
Uwaga: Jeśli istnieją kopie pliku identyfikatora użytkownika, należy je zastąpić kopią pliku identyfikatora użytkownika, w którym włączono opcję logowania przy użyciu kart inteligentnych w tej procedurze.
Przenoszenie kluczy internetowych na kartę inteligentną
Na karcie inteligentnej można przechowywać dowolne posiadane internetowe klucze prywatne i publiczne z osobistych certyfikatów internetowych. Nie jest to możliwe w przypadku certyfikatów internetowych ośrodków certyfikacji. Przechowywanie internetowych kluczy na karcie inteligentnej jest bezpieczniejsze niż przechowywanie ich w pliku identyfikatora użytkownika. Po przeniesieniu zestawu kluczy internetowych na kartę inteligentną możliwe jest już tylko wyeksportowanie do oddzielnego pliku samego certyfikatu (bez klucza prywatnego).
Niektórych kluczy prywatnych (np. 630-bitowych kluczy prywatnych) nie można przechowywać na karcie inteligentnej.
Skojarzony z kluczami internetowymi certyfikat X.509 jest również przechowywany na karcie inteligentnej. Certyfikat ten i skojarzone z nim klucze można sprawdzić w oknie dialogowym Zabezpieczenia użytkownika. Należy w tym celu kliknąć kartę Certyfikaty użytkownika i wybrać z listy rozwijanej pozycję Certyfikaty internetowe użytkownika.
UWAGA: Po umieszczeniu kluczy internetowych na karcie inteligentnej nie można już ich z niej usunąć. Odzyskać można tylko te klucze, które zostały umieszczone na karcie inteligentnej po skonfigurowaniu informacji potrzebnych do odzyskania identyfikatora użytkownika. Jeśli informacje znajdujące się w identyfikatorze użytkownika zostały zmodyfikowane po umieszczeniu kluczy na karcie inteligentnej, ich bezpośrednie odzyskanie nie jest możliwe. Jeśli internetowe klucze nie zostaną odzyskane, nie będzie możliwe odczytanie danych zaszyfrowanych za ich pomocą. Przed wykonaniem poniższej procedury należy skontaktować się z administratorem, aby uzyskać dodatkowe informacje o możliwości odzyskiwania swoich kluczy internetowych.
1. Kliknij opcję Plik > Zabezpieczenia > Zabezpieczenia użytkownika. .
2. Po wyświetleniu odpowiedniego komunikatu wprowadź kod PIN.
3. Kliknij opcję Tożsamość użytkownika > Twoje certyfikaty.
4. Wybierz opcję Certyfikaty internetowe użytkownika.
5. Wybierz certyfikat internetowy odpowiadający kluczom internetowym, które mają zostać przeniesione na kartę inteligentną.
6. Kliknij opcję Inne działania > Przenieś klucz prywatny do karty inteligentnej.
7. Po wyświetleniu ostrzeżenia o braku możliwości cofnięcia tej operacji kliknij przycisk Tak.
8. Wprowadź kod PIN w celu potwierdzenia.
9. Powinien zostać wyświetlony komunikat informujący o pomyślnym zapisaniu klucza.
Używanie certyfikatów internetowych wstępnie załadowanych na kartę inteligentną
Jeśli na przekazanej użytkownikowi karcie inteligentnej znajdują się już certyfikaty internetowe, program Lotus Notes może je odnaleźć i użyć bez konieczności ich importowania do klienta Lotus Notes. Te certyfikaty muszą być zgodne ze standardem PKCS#11: Specyfikacja profilu dostosowania dla asymetrycznego podpisu klienta RSA. W przeciwnym razie będą musiały zostać ręcznie zaimportowane do pliku identyfikatora.
Program Lotus Notes szukając certyfikatów internetowych do wyświetlenia w oknie dialogowym Zabezpieczenia użytkownika lub do użycia w celu odszyfrowania poczty lub uwierzytelnienia klienta SSL, korzysta z certyfikatów internetowych na karcie inteligentnej (oprócz tych w pliku ID).
Podczas podpisywania poczty internetowej, jeśli na karcie inteligentnej znajdują się certyfikaty internetowe, których nie zawiera jeszcze plik identyfikatora, monit okna dialogowego umożliwi wybór nowego certyfikatu podpisywania z karty inteligentnej. Jeśli nie zostaną znalezione żadne nowe certyfikaty na karcie inteligentnej, zostanie użyty domyślny certyfikat podpisywania. Monit nie zostanie wyświetlony.
Jeśli kopia certyfikatu znajduje się zarówno w pliku ID jak i na karcie inteligentnej, w programie Lotus Notes zostanie użyta kopia z pliku ID.
Importowanie certyfikatów internetowych z karty inteligentnej
Certyfikaty internetowe mogą zostać zaimportowane i zapisane w pliku identyfikatora programu Lotus Notes, co umożliwi ich odnalezienie i wykorzystanie przez program Lotus Notes.
Uwaga: Ta opcja ma zastosowanie tylko dla użytkowników, dla których włączono logowanie przy użyciu kart inteligentnych przez zabezpieczenie pliku identyfikatora za pomocą klucza tajnego.
1. Kliknij opcję Plik > Zabezpieczenia > Zabezpieczenia użytkownika.
4. Kliknij przycisk Pobierz certyfikaty. Zostanie wyświetlona lista rozwijana przedstawiająca różne sposoby importowania certyfikatów do pliku identyfikatora.
5. Wybierz opcję Importuj certyfikat internetowy z karty inteligentnej. Spowoduje to zaimportowanie wszystkich dostępnych certyfikatów z bieżącej karty inteligentnej.
Wyświetlanie szczegółów konfiguracji karty inteligentnej
Wyświetlić można wszystkie informacje o konfiguracji dowolnej karty inteligentnej lub tokenu kryptograficznego skonfigurowanego do użycia w programie Lotus Notes.
3. Kliknij opcję Tożsamość użytkownika > Karta inteligentna.
4. Kliknij opcję Szczegóły konfiguracji. Zostanie wyświetlone okno dialogowe Konfiguracja karty inteligentnej.
5. (Opcjonalne) Kliknij opcję Wybierz gniazdo. Zostanie wyświetlone okno dialogowe Wybór gniazda. Oprócz informacji dotyczących tokenu kryptograficznego, okno zawiera listę wszystkich gniazd komputera używanych przez czytniki kart inteligentnych lub tokenów kryptograficznych. Wybierz numer z listy, aby wyświetlić szczegóły dotyczące karty inteligentnej lub tokenu używanego przez dane gniazdo.
Tematy pokrewne Zmienianie haseł Używanie hasła w innych programach opartych na programie Notes Synchronizowanie hasła serwera Domino (Internet/sieć WWW) i hasła programu Notes Przełączanie identyfikatora użytkownika Sprawdzanie hasła Odzyskiwanie identyfikatora użytkownika Stosowanie w programie Notes kluczy publicznych i prywatnych do szyfrowania oraz podpisywania wiadomości Uzyskiwanie dostępu do serwerów przy użyciu certyfikatów