Habilitando acesso remoto seguro ao IBM Lotus iNotes usando o IBM Lotus Mobile Connect

Aprenda como a opção sem cliente do IBM® Lotus® Mobile Connect pode ser usado em conjunto com o IBM Lotus iNotes™ para obter acesso remoto seguro a servidores iNotes empresariais a partir de dispositivos (unidades de mão, laptops, estações de trabalho) que requerem acesso fora dos limites de sua intranet corporativa.

John Kari, Senior Software Engineer, IBM

John Kari é um Engenheiro de software senior da IBM em Research Triangle Park, Carolina do Norte. Ele tem mais de 17 anos de experiência, e é atualmente o programador chefe de desenvolvimento do gateway Lotus Mobile Connect. John tem uma extensa experiência de contato com o cliente, tanto de uma perspectiva pré-venda como pós-venda, tem um profundo entendimento de segurança empresarial em geral e é um especialista em capacidades sem cliente do Lotus Mobile Connect.



30/Nov/2009 (Primeira publicação 30/Nov/2009)

Nota do editor: Conhece muito sobre esse tópico? Deseja compartilhar seu conhecimento? Participe hoje do programa de wiki do software IBM Lotus.

Introdução

Este artigo destina-se a clientes do IBM Lotus iNotes que desejam acesso remoto seguro a servidores Lotus iNotes empresariais a partir de dispositivos como assistentes digitais pessoais (PDAs), laptops ou estações de trabalho, que requeiram acesso fora dos limites de sua intranet corporativa. Isto pode ser conseguido de duas formas com o Lotus Mobile Connect.

O Lotus Mobile Connect fornece uma solução de rede privada virtual (VPN) completa baseada em cliente/servidor, para a qual o cliente do Lotus Mobile Connect é instalado em várias plataformas de usuário suportadas. Para aplicativos baseados em HTTP (por exemplo, Lotus iNotes), o Lotus Mobile Connect também fornece uma opção sem cliente, que não requer nenhum software adicional a ser instalado no dispositivo do usuário; neste caso, ele fornece autenticação segura através de um logon baseado no navegador (veja a figura 1).

Este artigo explica como a opção sem cliente do Lotus Mobile Connect é usada em conjunto com o Lotus iNotes.

Figura 1. Opção sem cliente do Lotus Mobile Connect com Lotus iNotes
Opção sem cliente do Lotus Mobile Connect com Lotus iNotes

Porque o Lotus Mobile Connect?

O Lotus Mobile Connect fornece uma plataforma certificada pelo Federal Information Processing Standards (FIPS) 140-2, contendo os mais novos códigos para secure sockets layer (SSL) / transport-level security (TLS) e mecanismos de autenticação padrão de indústria. A opção sem cliente do Lotus Mobile Connect, ou seja, os serviços de acesso HTTP do Lotus Mobile Connect, usa a mesma autenticação forte e algoritmos de autenticação que o cliente VPN completo. Serviços de acesso HTTP podem ser configurados para execução simultânea com sessões de VPN total, fornecendo uma solução de acesso remoto com pouca carga, e permitindo que administradores de TI controlem a utilização de acesso por usuário.

A console de gerência do Lotus Mobile Connect, Gatekeeper, fornece acesso a todas as opções de configuração e total controle sobre códigos, métodos de autenticação, restrições de segurança e destinos empresariais.

Como funciona?

Os serviços de acesso do Lotus Mobile Connect HTTP oferecem segurança às comunicações forçando aplicativos remotos baseados em HTTP a conectarem-se usando tecnologia SSL/TLS padrão de indústria. Códigos SSL/TLS são configuráveis e podem ser restritos a algoritmos certificados FIPS 140-2. A validação de certificado bilateral também está disponível, para inserir uma camada adicional de confiança à sessão.

Depois que comunicações seguras tenham sido estabelecidas, o Connection Manager envia um desafio baseado em formulário para o aplicativo remoto solicitando credenciais do usuário. Informações de credencial são x-www-url-encoded e enviadas por uma conexão segura usando uma operação HTTP POST. Os serviços de acesso HTTP decodificam e validam as informações usando um método de autenticação configurável.

Depois que a validação é realizada com sucesso, o serviço de acesso HTTP constrói um token e envia-o ao aplicativo remoto usando o modelo operacional HTTP Set-Cookie. O cookie contém um token criptografado específico do Lotus Mobile Connect e tem os bits seguro e de sessão ligados. O cliente remoto então deverá incluir o cookie contendo o token em todas as solicitações de conexão futuras.

Agora que o token está presente em fluxos HTTP, o serviço de acesso HTTP abre uma conexão com um host corporativo e envia tráfego em ambas as direções, similar a um gateway SSL/TSL.

O que não é

O suporte a não cliente do Lotus Mobile Connect Connection Manager não é um proxy HTTP. Ele não coloca nenhum conteúdo em cache e não armazena nenhuma outra informação contida no corpo do fluxo de dados HTTP. Ele não é um otimizador, compressor ou redutor de token, e não é capaz de limpar o cache de um navegador. Como um cookie de sessão segura é usado, os usuários devem assegurar-se de sair da sessão do navegador quando terminarem com a sessão do aplicativo.


Por que o Lotus iNotes?

O Lotus iNotes é um aplicativo baseado em Web que fornece acesso ao correio Lotus Notes e informações de personal information management (PIM) a partir de um navegador da Web padrão. Como navegadores usam HTTP como o transporte primário, este aplicativo pode usar a opção sem cliente do Lotus Mobile Connect para obter acesso a bancos de dados de correio localizados na intranet corporativa a partir de um navegador suportado com acesso à Internet.

O Lotus iNotes, anteriormente conhecido como IBM Lotus Domino® Web Access, oferece suporte a três modos de uso diferentes. O modo completo oferece o conjunto de recursos mais rico e destina-se a ser usado quando a largura de banda não é uma preocupação. É o modo preferencial a ser usado em estações de trabalho dedicadas com uma conexão de rede de alta velocidade com o servidor de correio. Em releases do Lotus Domino anteriores à versão 8.0.1, o modo completo era o único modo. Ele inclui as seguintes áreas funcionais principais:

  • Página de boas vindas (uma página principal personalizável)
  • Correio
  • Calendário
  • Contatos
  • A fazer
  • Bloco de notas

O Lotus iNotes também oferece suporte à criptografia estilo Lotus Notes e S/MIME, e uma capacidade de limpeza de cache para alguns navegadores. Em conjunto com o servidor Lotus Sametime®, ele oferece mensagens instantâneas e detecção de presença integradas. O Lotus iNotes também oferece uma capacidade off-line, com quase todos os recursos, e arquivamento local usando o Domino Off-Line Services (DOLS). Quando implementado com a oferta Lotus Domino Unified Communications, ele também oferece vários recursos de comunicação unificados.

O modo Lite, que estreou com o Lotus Domino 8.0.1, é uma versão com recursos reduzidos que foi otimizada para ambientes com restrições de largura de banda. Seu release inicial oferece suporte somente para a função Correio e um acesso limitado a dados do Calendário usando uma barra lateral. Como no modo completo, ele fornece uma experiência rica para o usuário que maximiza as mais novas técnicas Asynchronous JavaScript™ e XML (AJAX). A interface para o usuário (UI) é ainda mais consistente com a oferta rica de cliente do Lotus Notes.

O modo Ultralite foi introduzido no Lotus Domino 8.0.2 e é projetado para navegadores em dispositivos móveis finos. O release inicial oferece suporte para os dispositivos Apple iPhone e iPod Touch. A interface para o usuário atende totalmente às orientações recomendadas pela Apple para aplicativos iPhone. O modo Ultralite maximiza a quantidade mínima de script e foi projetada para funcionar em navegadores com scripts desabilitados.


Arquitetura

Vamos examinar a arquitetura dos dois componentes do produto envolvidos aqui, o Lotus Mobile Connect e Lotus iNotes.

Serviços de acesso HTTP do Lotus Mobile Connect

Os serviços de acesso HTTP do Connection Manager fornecem uma função de gateway SSL/TLS para comunicações HTTP de qualquer fluxo de dados de cliente HTTP versão 1.1, como um navegador da Web. A conexão fornece acesso a serviços baseados em web e conteúdo da empresa sem exigir a presença de um cliente VPN. A segurança da sessão é feita com o uso de SSL/TLS e pode ser restringida para permitir conexões somente de computadores ou intervalos de endereços específicos.

Os serviços de acesso HTTP são um subsistema dentro do Lotus Mobile Connect que são responsáveis por aplicar um conjunto de opções de configuração para todas as requisições de conexão e tráfego de dados. Este subsistema é responsável por garantir a segurança, validar o acesso, gerar informações de auditoria e distribuir o tráfego para os servidores de destino localizados na empresa.

SSL/TLS

Os serviços de acesso HTTP do Connection Manager usam SSL ou TLS ao comunicar-se com o aplicativo cliente ou do navegador. Tanto a versão 2 quanto a versão 3 do protocolo SSL têm suporte, bem como os seguintes algoritmos:

  • Algoritmos de chave pública
    • RSA (chaves de 1024-, 768- ou 512-bit)
  • Algoritmos de chave simétrica
    • DES (chave de 56-bit)
    • Triple DES (chave de 168-bit)
    • RC4 (chaves de 40-, 56- ou 128-bit)
  • Códigos de autenticação de mensagem
    • SHA-1
    • MD5

Certificados X.509 podem fornecer autenticação para as comunicações SSL/TLS. Estes certificados, juntamente com certificados raiz para validar o certificado da outra parte, são armazenados em um banco de dados de chaves que é instalado com o Connection Manager. O administrador do Connection Manager pode configurar a origem deste banco de dados, usando a console de administração do Gatekeeper. O administrador também pode configurar os certificados raiz desejados e certificados do lado cliente, usando a interface de administração do kit de ferramentas do SSL, IBM Key Management.

O Lotus Mobile Connect oferece suporte a restrição de códigos SSL/TLS, para aqueles que são aprovados pela FIPS 140-2, e a requisições de negação de conexão que oferecem suporte somente a códigos SSL/TLS versão 2.

Autenticação

Os serviços de acesso HTTP autenticam cada conexão HTTP segura, verificando se o fluxo de dados contém credenciais de usuário válidas. Se nenhuma credencial existir, um desafio configurável com base em formulário é enviado para solicitar um ID de usuário e senha válidos. Esta função usa métodos e algoritmos de autenticação disponíveis para todos os componentes do Lotus Mobile Connect.

Métodos de autenticação são recipientes de recursos que definem como o Lotus Mobile Connect desafia e valida credenciais de usuário remoto. O Lotus Mobile Connect oferece suporte para métodos de validação de credenciais com o seguinte:

  • Servidores com diretórios compatíveis com LDAP V3
  • Servidores de protocolo RADIUS
  • ID seguro RSA, incluindo suporte a próximo token
  • Troca de certificado X.509
  • Contas de usuário do sistema Lotus Mobile Connect

Para obter mais informações sobre métodos de autenticação, consulte o Guia do administrador no Centro de Informações do Lotus Mobile Connect.

Single Sign-On (SSO)

Os serviços de acesso HTTP podem habilitar o SSO através do Lightweight Third Party Authentication (LTPA). O LTPA fornece um mecanismo para armazenar informações de autenticação do usuário quando os usuários foram autenticados com sucesso no Connection Manager. O token é criptografado e assinado com o uso de uma senha e par de chaves pública/privada, armazenados em um cookie HTTP, e incluído em todas as requisições para o domínio SSO configurado.

As chaves LTPA são compartilhadas com outros servidores com LTPA habilitado, para que os servidores possam validar o token e autenticar requisições de usuários, ao invés de desafiar o usuário. Os tokens LTPA incluem um carimbo de data/hora de expiração configurável; depois que o token expira, um novo desafio de autenticação é enviado.

O token LTPA é usado no lugar do token específico do Lotus Mobile Connect e é enviado ao aplicativo HTTP cliente na forma de um cookie HTTP, usando a diretiva Set-Cookie. Clientes HTTP incluem este token em todas as requisições de HTTP futuras.

Recurso dos serviços de acesso HTTP

O recurso dos serviços de acesso HTTP contém informações que dizem ao Lotus Mobile Connect como autenticar os usuários e para onde enviar o tráfego para o servidor backend. Cada recurso de serviços de acesso HTTP pode enviar tráfego para um único servidor de aplicativo ou proxy. Existem três opções para configurar o acesso a múltiplos servidores de aplicativos backend:

  • Lotus iNotes Redirector. O Lotus Mobile Connect é estreitamente integrado com o Lotus iNotes Redirector, permitindo que uma única definição de serviços de acesso HTTP funcione com vários servidores de correio backend do Lotus iNotes.
  • Use um proxy reverso de transcodificação. Esta opção permite que um proxy reverso encaminhe tráfego para o destino apropriado, com base nas informações contidas na URL de destino.
  • Atribua diferentes portas de escuta para cada definição de recurso de serviços de acesso HTTP. Como cada recurso de serviços de acesso HTTP pode ser configurado para enviar tráfego para um proxy ou servidor backend diferente, configure cada serviço para escutar em uma porta diferente. Os usuários precisam saber esta porta e adicioná-la à requisição de URL, por exemplo, https://inotes.xyz.com:12345.
  • Use múltiplos endereços de protocolo Internet. A configuração dos serviços de acesso HTTP inclui a habilidade de ligar o serviço a um endereço IP específico. Desta forma, podem existir vários recursos de serviços de acesso HTTP escutando no mesmo conjunto de portas. Esta opção é necessária para aplicativos que esperam usar as portas HTTP padrão 80 e 443. A URL para o usuário simplesmente aparece como diferentes nomes de host, por exemplo, https://inotes1.example.com, https://inotes2.example.com.

Desafio configurável baseado em formulário

O Lotus Mobile Connect gera o formulário de desafio depois de analisar tokens no cabeçalho HTTP, para determinar o tipo do navegador e local preferencial (veja a figura 2). Os arquivos de modelo usados neste formulário são instalados com o produto em subdiretórios específicos do local. Esses modelos são projetados para serem personalizáveis, desde que a estrutura de atributos e função básicas não sejam alteradas.

Figura 2. Tela de desafio com base em formulário
Tela de desafio com base em formulário

Os administradores são livres para alterar figuras de fundo, imagens, texto e outros. Os arquivos de recurso são localizados fora do caminho de instalação, em subdiretórios específicos do local, como segue:

  • AIX: /opt/IBM/ConnectionManager/http/msg/<locale>/
  • Linux / Solaris: /opt/ibm/ConnectionManager/http/msg/<locale>/
  • Windows Server: C:\Program Files\IBM\Connection Manager\http\msg\<locale>Os arquivos de recurso enviados aos navegadores tem um standard_ prefix, enquanto que o arquivo de recurso para dispositivos móveis tem um mobile_ prefix. Estes arquivos são carregados sob demanda, e quaisquer modificações são exibidas com o acesso, sem a necessidade de reiniciar o servidor. A versão móvel do formulário de desafio é projetada para os visores de iPhone/iPod (veja a figura 3).
Figure 3. Tela de desafio da versão móvel
Figure 3. Tela de desafio da versão móvel

Quando são informados um ID de usuário e uma senha, e é clicado o botão de Login, o navegador gera uma operação POST codificada da URL contendo os campos informados, juntamente com campos ocultos contendo informações sobre a sessão.

É possível para aplicativos baseados em HTTP responder ao desafio sem a necessidade de exibir a página para o usuário. É possível identificar de forma única o desafio do Lotus Mobile Connect consultando o token do servidor no cabeçalho HTTP.

Lotus iNotes

O Lotus iNotes é instalado como parte da instalação do servidor Lotus Domino, desde que a seleção da opção Lotus iNotes não seja cancelada quando uma instalação personalizada é realizada. Para obter mais detalhes sobre a instalação e configuração do Lotus iNotes, consulte a Ajuda do Administrador do Lotus Domino.


Configuração

Habilitar o acesso ao Lotus iNotes usando serviços de acesso HTTP requer decisões de arquitetura e etapas de configuração para ambos os componentes. Esta seção descreve as opções e requerimentos para cada um dos componentes.

Lotus iNotes

Para cada um dos servidores Lotus iNotes acessados pelo Lotus Mobile Connect, o endereço de rede interno ou nome de host e a porta TCP são necessários para configurar adequadamente o serviço de acesso HTTP do Lotus Mobile Connect. Se você deseja um canal criptografado entre os servidores do Lotus iNotes e do Lotus Mobile Connect, precisa importar um certificado no formato PKCS12 para cada um dos servidores Lotus iNotes no banco de dados de chaves para o Lotus Mobile Connect.

Lotus Mobile Connect

Configurar o Lotus Mobile Connect envolve definir métodos de autenticação e uma ou mais instâncias do recurso do serviço de acesso HTTP. Esta sessão inclui capturas de tela retiradas da console de administração Gatekeeper do Lotus Mobile Connect.

Vamos considerar uma arquitetura de exemplo que inclui um único serviço de acesso HTTP configurado para autenticar usuários em um servidor de diretório do LDAP do Lotus Domino e então enviar o tráfego autenticado para um nó do Lotus iNotes Redirector.

Essas etapas assumem que a interface de gerenciamento Gatekeeper do Lotus Mobile Connect esteja sendo usada.

Recurso do servidor de diretório

Primeiro, criaremos um recurso de servidor de diretório, usando estas etapas:

  1. Clique com o botão direito do mouse em uma pasta de nível superior, ou crie uma nova pasta para conter informações de configuração e selecione Add resource - Directory server.
  2. Na janela Add a Directory Server (veja a figura 4), informe um nome comum (texto em forma livre descrevendo o recurso).
  3. Informe o nome do host ou endereço IP do servidor de diretório.
  4. Informe o nome distinto base, o sufixo mais específico comum a todos os usuários. Este é o ponto de partida da árvore de diretório para resolver contas de usuários. Clique em Next.

    Figura 4. Janela Add a Directory Server
    Janela Add a Directory Server
  5. Na próxima tela (veja a figura 5) informe o número da porta de serviço.
  6. Se buscas anônimas não são permitidas, informe o nome distinto e a senha do administrador.
  7. Se o servidor de diretório requer uma conexão segura, habilite a opção Use secure connection e informe um banco de dados de chaves e um arquivo de armazenamento. Se o servidor de diretório estiver usando um certificado auto-assinado, é preciso importar este certificado para o banco de dados de chaves.
  8. Clique em Next, selecione uma OU primária e, a seguir, clique em Finish.

    Figura 5. Segunda janela Add a Directory Server
    Segunda janela Add a Directory Server

recurso de perfil de autenticação

A próxima etapa é definir um perfil de autenticação que use o recurso do servidor de diretório da etapa anterior. Um perfil de autenticação é um recipiente que define como o serviço de acesso HTTP desafia e valida credenciais de usuário.

O Lotus Mobile Connect oferece suporte a LDAP, RADIUS/RSA Secure ID, validação de certificado bilateral e métodos de autenticação específicos do sistema. Este exemplo usa autenticação LDAP contra o servidor de diretório Lotus Domino:

  1. Clique com o botão direito do mouse no recipiente do Sistema novamente, e desta vez selecione Add Resource - Authentication Profile - LDAP-bind Authentication.
  2. Na janela Add a New Authentication Profile (veja a figura 6), informe um nome comum e uma descrição opcional (texto em forma livre descrevendo o perfil).
  3. Selecione uma política de senha. A política é usada para determinar o número de tentativas de login sem sucesso antes que a conta seja bloqueada. Para visualizar/editar uma política de senha, consulte o recipiente Default Resources - Wireless Password Policy.
  4. Opcionalmente, selecione um perfil de autenticação de Backup a ser usado se este perfil não conseguir conectar-se a servidores externos. Clique em Next.

    Figura 6. Janela Add a New Authentication Profile
    Janela Add a New Authentication Profile
  5. Na próxima janela (veja a figura 7) que é exibida, selecione o servidor de diretório definido anteriormente.
  6. O campo chave do usuário é o atributo que o Lotus Mobile Connect usa para buscar no servidor de diretório o ID do usuário fornecido pelo desafio de credenciais. O padrão é mail e pode ser definido para qualquer atributo que seja parte do registro do usuário no LDAP.

    Figura 7. Segunda janela Add a New Authentication Profile
    Segunda janela Add a New Authentication Profile
  7. Opcionalmente, informe um critério de pesquisa adicional, como informação de grupo ou tipo do funcionário, se desejar restringir o acesso a certos grupos ou tipos de funcionário. Este campo requer a notação X.500, por exemplo, (&(employeeType=active)(group=remoteAccess)).
  8. Defina o número máximo de encadeamentos de processamento. Cada sessão ativa é atribuída a um encadeamento para processamento. O encadeamento é responsável por todas as trocas de dados entre o navegador cliente e o servidor de aplicativo backend. É preciso de um pouco de tentativa e erro para obter o número ideal de encadeamentos, mas uma boa regra é 1 encadeamento para cada 100 sessões simultâneas. Clique em Next.
  9. Na próxima janela (veja a figura 8), se o single sign-on (SSO) é desejado, selecione a opção Enable LTPA. As etapas necessárias para completar a configuração para o SSO são descritas mais adiante neste artigo. Esta configuração pode permanecer desmarcada por enquanto. Clique em Next.

    Figura 8. Terceira janela Add a New Authentication Profile
    Terceira janela Add a New Authentication Profile
  10. Na próxima janela, selecione a OU primária e clique em Finish.

Opções adicionais de configuração podem ser encontradas no painel Properties depois que o recurso for criado. Mais informações sobre estas opções podem ser encontradas no Guia do administrador do sistema, ou visualizando o painel de propriedades e selecionando "Tip on a specific option."

Recursos do serviço de acesso HTTP

Agora, precisamos criar um recurso de serviço de acesso HTTP. Serviços de acesso HTTP são projetados para enviar tráfego autenticado para um único proxy ou servidor de aplicativo backend. Vários servidores de aplicativo backend exigem múltiplas definições de serviço de acesso HTTP.

No caso do Lotus iNotes, o Lotus Mobile Connect contém código de integração para funcionar com a função iNotes Redirector, permitindo que um único serviço de acesso HTTP envie tráfego para vários servidores de correio.

Serviços de acesso HTTP requerem certificados públicos para tornar as comunicações seguras. O Lotus Mobile Connect fornece um utilitário para trabalhar com o banco de dados de chaves, gerando uma Certificate Request Message (CRM) que é usada para solicitar um certificado de uma determinada máquina, e gerar certificados auto-assinados. Este utilitário, wg_keyman, está localizado no subdiretório bin, abaixo do diretório de instalação.

Siga estas etapas para adicionar uma requisição de serviço de acesso HTTP:

  1. Para adicionar um recurso de serviço de acesso HTTP, clique com o botão direito do mouse no recurso Connection Manager e selecione Add - HTTP Access Service. A janela mostrada na Figura 9 é exibida.

    Figura 9. Adicionando um serviço de acesso HTTP
    Adicionando um serviço de acesso HTTP
    • No campo Service URL, informe a cadeia de caractere de texto que corresponde à URL contida no certificado usado para conexões seguras.
    • No campo TCP Port to listen on, informe a porta TCP na qual o serviço está escutando por requisições de acesso. O padrão é a porta padrão 443 do SSL.
    • No campo Description, informe o a descrição de texto em forma livre do serviço.
    • No campo Current state, selecione o estado do serviço. Estado ativo significa que o Connection Manager ativa o serviço. Definido é equivalente a fora do ar, e, neste caso, o Connection Manager não inicia o serviço, tornando-o inalcançável.
  2. Clique em Next, a janela mostrada na Figura 10 é exibida.

    Figura 10. Especificando o modo operacional do serviço de acesso HTTP
    Especificando o modo operacional do serviço de acesso HTTP
    • No campo HTTP Proxy address, informe o nome de host ou endereço IP de um proxy reverso ou servidor de aplicativo para onde encaminhar o tráfego autenticado.
    • No campo HTTP Proxy port, informe a porta TCP do proxy ou servidor de aplicativo para encaminhar o tráfego autenticado.
    • Selecione a opção Require SSL to proxy para exigir SSL/TLS entre o servidor Lotus Mobile Connect e o proxy ou servidor de aplicativo.
    • No campo Authentication Profile, informe o método de autenticação a ser usado para validar credenciais de usuários remotos.
    • Se a opção SSO Domain estiver definida, este valor sobrescreve o que estiver configurado no método de autenticação. Se não estiver definido, as propriedades do método de autenticação são usadas.
  3. Clique em Next, a janela mostrada na Figura 11 é exibida.

    Figura 11. Especificando o número máximo de encadeamentos e o tempo de ociosidade
    Especificando o número máximo de encadeamentos e o tempo de ociosidade
  4. No campo Maximum number of processing threads, informe o número de encadeamentos de processamento simultâneos. O número de sessões simultâneas e o número de processadores são considerações para a definição deste valor. O valor recomendado para um sistema com dois processadores e 1000 sessões simultâneas é 5.
  5. No campo Maximum idle time, informe o tempo máximo que uma sessão pode ficar ociosa antes que o Connection Manager limpe o token de autenticação da sessão, forçando o cliente a autorizar novamente.
  6. Selecione a opção Bind port to a specific address para configurar o serviço para estar ligado a um endereço de Internet específico. Ao fazer esta ligação, múltiplos serviços de acesso HTTP podem ser configurados para escutar nas mesmas portas, permitindo, assim, que diferentes servidores backend sejam usados com base no endereço de Internet da requisição inicial. Múltiplos endereços podem ser atribuídos a uma única interface de rede usando alias de IP.
  7. No campo Address to bind to, informe o endereço do Internet ou nome de host com o qual ligar o serviço.

Coloque segurança no serviço de acesso HTTP com um certificado

Secure Sockets Layer (SSL) / Transport Layer Security (TLS) é usado para colocar segurança nas comunicações sobre serviços de acesso HTTP. Isto requer que um certificado para o nome do host visível externamente esteja armazenado em um arquivo de banco de dados de chaves Cryptographic Message Syntax (CMS).

O Lotus Mobile Connect vem com um utilitário, wg_ikeyman, para gerenciar arquivos de banco de dados de chaves. Este utilitário gera certificados auto-assinados e CRMs para obter um certificado público de uma autoridade certificadora.

Certificados auto-assinados podem funcionar, mas exigem que o usuário aceite e importe o certificado ao conectar-se pela primeira vez ao serviço de acesso HTTP. Por esta razão, certificados públicos válidos são recomendados. Para gerar e usar um certificado auto-assinado, siga estas etapas:

  1. Na linha de comando, digite wg_ikeyman.
  2. Trabalhe com um novo arquivo de banco de dados de chave, ou com um dos arquivos de banco de dados de chave instalados pelo Lotus Mobile Connect:

    • Para usar um arquivo existente, selecione Key Database File > Open. Configure o tipo de banco de dados de chave para CMS, use o botão do navegador para navegar para o diretório de instalação do Lotus Mobile Connect e, a seguir, selecione o arquivo http.trusted.kdb.
    • Se estiver criando um novo arquivo de banco de dados de chaves, assegure-se de selecionar a opção "Stash the password to a file".
  3. Informe a senha, o padrão é "trusted".
  4. Para criar um certificado auto-assinado, selecione Create - New Self-Signed Certificate. No mínimo, informe um identificador para a chave e um nome comum. O nome comum deve corresponder ao nome de host completamente qualificado do servidor Lotus Mobile Connect.
  5. Clique em OK, e saia do aplicativo IBM Key Management.
  6. Usando o Gatekeeper, abra o painel de propriedades do serviço de acesso HTTP, selecione a aba SSL e verifique se os campos File name of key database e File name of stash password estão definidos corretamente. Use o caminho completo, se possível.
  7. Opcionalmente, selecione a aba SSL Ciphers e selecione os códigos apropriados. As configurações padrão são para permitir todos os códigos V2 e V3. Clique em OK.

Single Sign-On (SSO)

Habilitar o SSO para o Lotus Mobile Connect e o Lotus iNotes requer que um arquivo de chave comum seja gerado pelo Lotus Mobile Connect e importado pelos nós Lotus iNotes redirector e servidor de correio.

Configurar/habilitar SSO no Lotus Mobile Connect

Você pode habilitar o SSO para o Lotus Mobile Connect usando o Gatekeeper, navegando para o método de autenticação usado pelo serviço de acesso HTTP e modificando a aba LTPA/SSO no painel Properties (veja a figura 12), como abaixo:

  1. Selecione a caixa de seleção Enable LTPA.
  2. Informe o domínio do token LTPA. Este valor é tipicamente definido para o nome de host totalmente qualificado do servidor LDAP ou RADIUS usado para autenticação.
  3. Selecione o campo LTPA token user identification. Use o nome distinto se estiver autenticando no LDAP, e o nome de usuário para RADIUS ou Secure ID.
  4. Selecione a caixa de seleção Enable SSO e defina um SSO Domain. O domínio de SSO é usado para informar aos navegadores quando incluir o token LTPA como um cookie para fluxos de cabeçalho HTTP.

    Para serviços de acesso HTTP, este valor deve ser definido para o nome de host totalmente qualificado usado para acessar o serviço de acesso HTTP a partir de um navegador. Se mais de um nome de host for usado, ele pode ser definido para um domínio externo. Este valor também pode ser configurado na definição do serviço de acesso HTTP e, neste caso, ele sobrescreverá a configuração do perfil de autenticação.

  5. Selecione Enable SSO over SSL connections only. O token LTPA é informação confidencial e deve ser incluído pelo navegador somente em comunicações com o Lotus Mobile Connect em uma conexão segura.

    Figura 12. Aba LTPA/SSO
    Aba LTPA/SSO
  6. Na seção de ação da chave LTPA, selecione o botão Generate new keys e informe uma senha de 6 a 32 caracteres. Lembre-se desta senha, ela é necessária para importar o arquivo de chaves nos servidores iNotes.
  7. Clique no botão Apply para gerar chaves de criptografia que são usadas para gerar tokens LTPA. Estas chaves são armazenadas internamente pelo Lotus Mobile Connect e agora devem ser exportadas.

Exportar chaves LTPA para um arquivo

A etapa anterior gerou chaves de criptografia e uma senha usada para a geração de token LTPA. Para que o SSO funcione adequadamente, estes dados devem ser exportados para um formato aceitável para outros servidores de aplicativo que permitem acesso com base neste token. Para fazer com que o Lotus Mobile Connect exporte as chaves e dados de configuração, siga estas etapas:

  1. Na seção de ação da chave LTPA da aba LTPA/SSO (veja a figura 12), selecione o botão Export to keyfile e informe um nome de arquivo. Inclua o caminho completo para o arquivo.
  2. Clique em Apply para exportar o arquivo. O arquivo de chave é um arquivo ASCII que pode ser lido pelo usuário, e que pode ser transferido para servidores de aplicativo do iNotes.

Importar arquivo de chave LTPA nos servidores Lotus iNotes

Para que o SSO funcione adequadamente, todos os servidores devem concordar sobre as chaves de criptografia, informações do usuário e outros dados de configuração variados. O Lotus Mobile Connect gerou o arquivo de chave; agora, ele deve ser importado por todos os servidores iNotes participantes. Siga estas etapas:

  1. Inicie o cliente de administração do Lotus Domino e selecione File - Open Server.
  2. Informe o nome do servidor com o qual trabalhar e, na aba Configuration, expanda Server e selecione All Server Documents no painel de navegação esquerdo.
  3. No documento do servidor, selecione Create - Web SSO Configuration no menu.
  4. Na janela Web SSO Configuration (veja a figura 13), informe um nome de configuração único, por exemplo, LtpaTokenLOTUSMOBILECONNECT, e informe o domínio DNS que abriga os servidores de aplicativo, por exemplo, .xyz.com. A seguir, na seção Participating Servers, adicione os nomes dos servidores Lotus Domino que participam da configuração de SSO.

    Figura 13. Janela Web SSO Configuration
    Janela Web SSO Configuration
  5. Clique em Keys (na barra de menu superior da janela Web SSS Configuration) e selecione Import WebSphere LTPA Keys.
  6. No prompt Enter Import File Name (veja a figura 14), informe o local do arquivo de chaves obtido na etapa Exportar arquivo de chaves do Lotus Mobile Connect e clique em OK.

    Figura 14. Prompt Enter Import File Name
    Prompt Enter Import File Name
  7. Informe a senha do arquivo de chaves e clique em OK.
  8. Uma janela mostrando as informações de configuração do token LTPA é exibida. Clique em Save & Close.
  9. Retorne à aba Configuration no documento do servidor, selecione All Server Documents e, a seguir, selecione o servidor para o qual deseja importar o arquivo de chaves novamente.
  10. No documento do servidor, selecione a aba Internet Protocols e, a seguir, selecione a aba Domino Web Engine (veja a figura 15).
  11. Defina o campo Session authentication para Multiple Servers (SSO), e defina o campo Web SSO Configuration para o nome de configuração definido na etapa 4 acima.
  12. ○Salve e feche o documento, e reinicialize os servidores.

    Figura 15. Documento do Domino Server
    Documento do Domino Server

Conclusão

A força de trabalho, hoje em dia, está se tornando cada vez mais móvel. As empresas precisam estender o alcance do correio e aplicativos PIM para usuários com acesso por navegador para dispositivos móveis, laptops e estações de trabalho, tanto os fornecidos pela empresa quanto os disponíveis publicamente. A combinação do Lotus iNotes como um aplicativo baseado em web e o Lotus Mobile Connect para acesso remoto seguro fornece aos clientes do Lotus Notes uma solução rica em recursos e segurança para atender às necessidades críticas do negócio.

Recursos

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Lotus
ArticleID=451055
ArticleTitle=Habilitando acesso remoto seguro ao IBM Lotus iNotes usando o IBM Lotus Mobile Connect
publish-date=11302009