内容


IBM Lotus Sametime 8 安全特性

Comments

© Copyright International Business Machines Corporation 2009。版权所有。

Lotus Sametime 安全特性

IBM Lotus Sametime Standard 软件是一种客户端-服务器应用程序,它让一群用户可以实时地聊天和协作,还可以通过内部网或 Internet 召开网上会议。

Sametime 社区服务器

在 Lotus Sametime 软件中,社区服务器与其他几个服务器应用程序协作,提供出席感知、即时消息传递和空间等服务。它使用 Sametime 专用的协议 Virtual Places (VP) 提供这些服务。

社区由以下部分组成:

  • 使用 TCP/IP 连接社区的客户端
  • 多路器,它通过 I/O 集中来提高 Sametime 的可伸缩性
  • 社区集线器,它们登录 Sametime 客户端,在成员之间路由消息,向预订者通知社区中的事件
  • 服务器应用程序,它们使用 TCP/IP 连接到社区集线器

服务器处理登录请求,多路器处理来自客户端的连接,通过直接 TCP/IP 连接或者 HTTP、HTTPS 或 SOCKS 代理访问 Sametime 服务器。

Virtual Places

VP 是一个二进制协议,它用于在 Lotus Sametime 中的所有组件之间进行通信。通信通过渠道进行,渠道是两个通信实体之间的虚拟连接。

渠道负责定义它的两个端点之间的路由路径,确保保持消息的正确次序,并在路径上的网络连接中断时提供通知。

在连接到社区时,在社区参与者和为它服务的社区集线器之间创建一个默认的主渠道。可以通过使用主渠道创建其他渠道。当客户端连接社区中的服务或与另一个用户交互时,创建交互所需的渠道。

例如,从客户端到好友列表服务器应用程序的路由使用客户端和社区服务器之间的主渠道,然后使用社区服务器和好友列表服务器应用程序之间的渠道。

身份验证

下面讨论身份验证的几个方面。

客户端-服务器连接

Sametime Connect 客户端通过打开到 Sametime 多路器的套接字连接访问 Sametime 服务。客户端连接到社区服务多路器而不是 Sametime 服务器,这使 Sametime 服务器避免了管理客户端连接的沉重负担。多路器专门负责这个任务。

社区服务多路器维护到服务器的单一 IP 连接,来自所有社区服务客户端的数据都通过这个 IP 连接传输给 Sametime 服务器上的社区服务。

身份验证的类型

Lotus Sametime 有两种身份验证:

  • 基本密码身份验证
  • 令牌身份验证

基本密码身份验证。用户必须向 Sametime Connect 客户端提供凭证,Sametime
Connect 客户端连接服务器上的社区服务。在登录到 Sametime 时,用户必须使用存储在 IBM Lotus Domino® 目录中的凭证。

如果 Lotus Sametime 配置为使用 LDAP 目录,它就根据存储在 LDAP 目录中的用户名和密码对用户进行身份验证,并根据使用的目录使用相应的绑定 API。

令牌身份验证。Sametime 支持两种令牌:LTPA (Lightweight Third-Party Authentication) 和 ST(秘密令牌)。

  • LTPA 令牌:LTPA 令牌用于单点登录 (SSO),其中包含已经通过身份验证的用户的名称。在 Lotus Domino 创建 LTPA 令牌时,在默认情况下它把用户的专有名称放在令牌中。当用户配置中参与 SSO 的各个服务器使用多个目录时,通常会出现这种情况。
  • ST 令牌:秘密令牌可以由 Secrets and Tokens 身份验证数据库、Domino SSO 特性或这两者创建。Sametime 可以使用身份验证数据库或 Domino SSO 特性生成这种令牌。

服务器-服务器连接

在许多情况下,一个服务器组件必须连接另一个服务器组件,包括服务器-服务器、服务器-多路器和服务器应用程序-集线器连接。

对这些连接进行身份验证的方法是,检查连接发起方的 IP 地址,确认 Allowed IPs 配置列表(在 Lotus Domino 中配置)中列出了这个地址。

SPNEGO 支持

还可以使用 Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) 把 Sametime 客户端配置为支持 SSO。客户端身份验证通过 Microsoft® Active Directory 进行,由 IBM WebSphere® Application Server 颁发 LTPA 令牌。

这个特性让 Sametime 用户只需在自己的桌面上登录和身份验证一次,在此之后就可以自动地向 Sametime 服务器证明自己的身份。图 1 显示 SPNEGO 登录序列。

图 1 SPNEGO 登录序列
图 1 SPNEGO 登录序列
图 1 SPNEGO 登录序列

在 Microsoft Windows® 桌面上登录 Active Directory 域之后,用户可以启动 Sametime Connect 客户端。在单击 Log In 时,开始两阶段登录操作。

在第一个阶段中,客户端对 WebSphere Application Server 上的受保护 URL 执行
HTTP 请求。SPNEGO trust association interceptor (TAI) 处理这个请求,这会触发客户端系统和 WebSphere Application Server 之间的 SPNEGO 协商。建立信任之后,通过
HTTP 响应把 LTPA 令牌发送给客户端。在第二个阶段中,客户端使用 LTPA 令牌安全地登录 Sametime 服务器。

加密

通过 RC2 使用 128 位密钥处理加密,密钥是使用 Diffie-Hellman 方法为每个正在使用的逻辑渠道生成的。在一个 TCP 连接中可能有许多逻辑渠道。逻辑渠道用于下面的通信场景:

  • 客户端到服务器通信,比如上面的身份验证示例。
  • 使用服务器作为应用层路由器的客户端到客户端通信,比如即时消息传递。
  • 服务器到服务器通信,用来满足分布式处理和集群需求。

在上面的所有场景中,数据是完全加密的。

身份验证序列

在握手阶段,当客户端发起到多路器的连接时,它们还使用 Diffie-Hellman 密钥协商方法共同认可一个共享密钥。

然后,多路器与服务器协商另一个秘密密钥。从客户端发送到多路器的消息由它们共同认可的共享密钥进行加密和解密。同样,从多路器发送服务器的消息由它们共同认可的共享密钥进行加密和解密。

当从客户端向多路器发送消息时,首先在客户端上加密,然后在多路器上解密。同样,消息在多路器上加密,然后在服务器上解密。

图 2 说明在客户端通过身份验证过程时发生的事件序列。这个图显示凭证通过各个组件的流程。目录基础结构检验这些凭证之后,服务器接受登录。

图 2. 身份验证过程
图 2. 身份验证过程
图 2. 身份验证过程

社区服务使用的端口

Lotus Sametime 社区服务使用表 1 中列出的端口,它们大多数是可配置的。

表 1. Sametime 社区服务端口

默认
端口号
用途
1516 社区服务在这个端口上监听来自其他 Sametime 服务器的社区服务的直接 TCP/IP 连接。
多路器和其他 Sametime 应用程序连接这个端口。
1533 社区服务在这个端口上监听来自社区服务客户端(比如 Sametime Conne
ct 和 Sametime Meeting Room 客户端)的直接 TCP/IP 连接和 HTTP­ 隧道连接。
社区服务在这个端口上监听来自社区服务客户端的 HTTPS 连接。在通过 HTTPS 代理服务器访问 Sametime 服务器时,社区服务客户端会尝试使用 HTTPS 连接。
如果社区服务客户端使用 HTTPS 连接 Sametime 服务器,那么使用
HTTPS 方法,但是在连接上传递的数据不加密。
80 如果管理员在安装 Sametime 时允许在端口 80 上使用 HTTP 隧道,那么社区服务客户端可以通过端口 80 使用 HTTP 隧道连接社区服务。
如果管理员在安装 Lotus Sametime 时不允许在端口 80 上使用 HTTP 隧道,那么 Domino HTTP 服务器在这个端口上监听 HTTP 连接。
8082 在启用 HTTP 隧道支持时,在默认情况下社区服务客户端可以通过端口
8082 使用 HTTP 隧道连接社区服务多路器。
在默认情况下社区服务客户端可以在端口 80 和 8082 上使用 HTTP 隧道连接。

HTTP、Domino、LDAP 和 Sametime 服务器内端口

Sametime 服务、HTTP 服务、Domino 应用程序服务和LDAP 服务使用表 2 中的端口。

表 2. Sametime、HTTP、Domino 应用程序和 LDAP 服务端口
默认
端口号

用途
80 如果管理员在安装 Sametime 时允许在端口 80 上使用 HTTP 隧道,那么 Sametime 服务器上的社区服务多路器在端口 80 上监听来自 Web 浏览器、Sametime Connect 客户端、Sametime Meeting Room 客户端和 Sametime Recorded Meeting 客户端的 HTTP 连接。
如果管理员在安装 Sametime 时不允许在端口 80 上使用 HTTP 隧道,那么 Domino HTTP 服务器在这个端口上监听 HTTP 连接。
替代的 HTTP 端口 8088 如果管理员在安装 Sametime 时(或之后)允许在端口 80 上使用 HTTP 隧道,那么安装 Sametime 的 Domino HTTP 服务器必须在端口 80 之外的其他端口上监听 HTTP 连接。
如果管理员在安装 Sametime 服务器时允许在端口 80 上使用 HTTP 隧道,那么 Sametime 安装过程会把 Domino HTTP 端口由端口 80 改为端口 8088。
389 如果 Sametime 服务器配置为连接 LDAP 服务器,那么 Sametime 服务器通过这个端口连接 LDAP 服务器。
443 在默认情况下 Domino HTTP 服务器在这个端口上监听 HTTPS 连接。
1352 安装 Sametime 的 Domino 服务器在这个端口上监听来自 Lotus
Notes® 客户端和其他 Domino 服务器的连接。

Sametime Meeting Server

Sametime Meeting Server 提供的会议服务支持多媒体会议(包括音频和视频),还内置了对会议记录和后续反馈的支持。这些服务是通过标准协议和专有协议的组合实现的。

这个服务器提供通信软件,支持在参加会议的多个用户之间共享屏幕和白板数据。服务还维护当前的、计划的和已结束的会议的列表,负责开始和停止当前的和计划的会议。

身份验证

在增加多媒体活动时,会议室客户端要建立到服务器的会议连接。通过一个令牌对这个连接进行身份验证,这个令牌是通过使用社区令牌服务获得的。客户端和服务器使用相同的 Diffie-Hellman 方法共同认可一个秘密密钥,然后使用这个密钥加密发送给服务器的身份验证令牌。

另外,用户还可以在创建新会议时为会议指定会议密码。一个会议密码只对一个会议有效,只应用于这个会议,除非是反复召开的会议。在会议开始之前,创建会议密码的用户必须把会议密码告诉其他参加者。会议密码在发送到服务器之前也要用共同认可的密钥加密。

在创建会议时,用户还可以在 Restrictions 列表中输入用户名,从而限制对会议的访问。只有在 Restrictions 列表中列出的用户才能访问会议。这个会议安全措施由创建会议的用户控制。

加密

会议客户端使用的主要协议基于 T.120。与 T.120 一样,每个消息包含两个部分:路由头和应用程序数据。路由头以明文发送,服务器使用它决定如何处理每个消息。在消息的这一部分中没有与用户相关的信息。

应用程序数据包含与会议内容相关的所有信息。如果为会议启用了加密,那么整个应用程序数据部分都被加密。

成功地对连接进行身份验证,允许一个用户进入会议之后,服务器把会议专用的加密密钥发送给这个用户。后续的所有消息都使用这个密钥加密。

因为服务器向参加会议的所有用户提供相同的密钥,所以服务器不需要在传递任何消息之前对它们进行解密和重新加密。按照这种方式,只在会议中的端点上进行加密,服务器只需根据路由头决定如何处理消息。

注意,通过 RC2 使用 128 位密钥处理加密。

会议服务端口

Sametime 会议服务使用表 3 中列出的默认端口。这些端口是可配置的。

表 3. 会议服务端口
默认
端口号
用途
8081 会议服务在这个端口上监听来自会议室客户端的通过 TCP/IP 连接的 Sametime 协议。
Sametime 会议室客户端的屏幕共享白板组件通过这个连接与服务器交换数据。
发送 Web 页面和问答投票使用社区服务协议。
80 如果管理员在安装 Sametime 时允许在端口 80 上使用 HTTP 隧道,那么,会议室客户端可以通过端口 80 使用 HTTP 隧道连接社区服务多路器。
1503 会议服务在这个端口上监听来自其他 Sametime 服务器的会议服务的 T.120 连接。
如果安装了多个 Sametime 服务器,那么必须在两个服务器之间打开这个端口,这样服务器才能交换屏幕共享白板和其他会议服务数据。
1516 在有多个 Sametime 服务器的环境中,一个会议可以同时在多个 Sametime 服务器上运行。这种功能有时候称为“受邀服务器”。要想支持受邀服务器功能,必须在两个 Sametime 服务器之间打开社区服务器端口 1516,让一个服务器能够向另一个服务器发送会议邀请。
9092
Sametime 组件之间的服务器内连接使用 Sametime 服务器上的事件服务器端口。
9094 Sametime 组件之间的服务器内连接使用 Sametime 服务器上的令牌服务器端口。

记录的会议广播服务端口

Sametime 记录的会议广播服务使用表 4 中的默认端口。这些端口是可配置的。

表 4. 记录的会议广播服务端口
默认
端口号
用途
554 记录的会议广播服务在这个 TCP/IP 端口上监听通过 TCP/IP 的 Real-Time Streaming Protocol (RTSP) 调用控制连接。
RTSP 使用 TCP 作为传输服务。记录的会议客户端可以直接建立到记录的会议广播服务的 RTSP TCP/IP 连接,也可以通过 SOCKS 代理服务器。
这个端口是 IBM AIX®、Linux® 和 Sun Solaris 专用的。
80 如果管理员在安装 Sametime 时允许在端口 80 上使用 HTTP 隧道,那么记录的会议客户端可以通过端口 80 建立连接到社区服务多路器的
HTTP 隧道。
动态 UDP 端口 记录的会议广播服务通过 UDP 端口把 RTP 格式的会议数据从服务器传输到客户端。这个专用的 UDP 端口由记录的会议客户端随机选择,管理员无法控制它。
注意:记录的会议广播服务还可以把音频和视频传输给记录的会议客户端。一个会议可以包含三个单独的流,分别用于音频、视频和屏幕共享/白板数据。如果客户端或服务器网络或者 Sametime 服务器和客户端之间的任何网络不允许 UDP 通信流,那么记录的会议广播服务会通过端口 554 上的初始 RTSP TCP/IP 连接传输流数据。
8083 记录的会议广播服务使用这个端口在它的组件之间建立内部控制连接。
只有在 Sametime 服务器上的另一个应用程序正在使用端口 8083 的情况下,才应该改变这个端口。

音频/视频服务端口

音频/视频服务使用表 5 中的默认端口。这些端口是可配置的。

表 5. 音频/视频服务端口
默认
端口号
用途
8081 Sametime 会议室客户端通过这个端口建立到会议服务服务器的 TCP/IP 连接。
音频/视频服务和会议室客户端的音频/视频组件使用这个连接连接到会议服务,支持调用控制功能。
动态 UDP 端口 49252 到 65535 音频/视频服务在管理员指定的 UDP 端口范围内监听来自 Sametime 会议室的音频和视频流。
UDP 端口由音频/视频服务在管理员指定的端口范围内动态地选择。
8084 如果在 Sametime 会议室客户端和 Sametime 服务器之间不能使用 UDP,那么 Sametime 通过这个 TCP 端口使用 TCP 协议传输 RTP 音频和视频流。
9093 交互式音频/视频服务使用这个端口在它的组件之间建立内部控制连接。只有在 Sametime 服务器上的另一个应用程序正在使用端口 9093 的情况下,才应该改变这个端口。

Lotus Sametime Gateway

Lotus Sametime Gateway 让 Sametime 社区可以使用 Session Initiation Protocol(SIP;包含 SIMPLE 扩展)或 Extensible Messaging and Presence Protocol (XMPP) 与其他即时消息传递社区互相操作。这包括访问几个公共 IM 社区,比如 AOL、Yahoo! 和
Google。

Sametime 社区中的用户可以把其他社区中的用户添加到自己的好友列表中,反过来也可以,他们还可以与其他社区中的用户聊天。Sametime Gateway 不允许 Session Initiation Protocol (SIP) 或 XMPP 客户端登录;只接受来自其他 SIP 或 XMPP 服务器的连接。另外,Sametime 管理员可以控制与哪些远程社区交互。

身份验证

正如前面提到的,Sametime Gateway 不允许客户端连接,所以没有用户级身份验证问题。Transport Layer Security (TLS) 根据相应的标准为到其他服务器的 SIP 和 XMPP 连接提供安全特性。

加密

Sametime Gateway 有两端:一端面向 Sametime 社区,它代理内部对其他社区中的客户端的访问;另一端面向远程服务器,它代理外部对 Sametime 社区中的客户端的访问。

在 Sametime 端,加密的处理过程与所有其他客户端和服务器的加密完全相同。在 SIP/XMPP 端,通过请求到远程服务器的 TLS 连接来处理加密。通过 XMPP 到 Google Talk 服务器的连接不能使用 TLS;相反,它们依赖于 TCP/IP。无法控制在把数据传输给远程服务器之后如何处理加密。

本地 Sametime 社区服务器和 Sametime Gateway 服务器之间的连接使用专有的
Virtual Places (VP) 协议。

Lotus Sametime Advanced 软件

IBM Lotus Sametime Advanced 软件添加了高级的个人、团队和社区协作功能,增强了实时协作。这些特性包括持久化的组聊天、广播工具、屏幕共享和位置服务。

身份验证

用户可以使用 Web 用户界面或 Sametime 客户端访问这个应用程序。

Web 界面使用基于标准表单的身份验证,这种方法使用 Base64 编码,所以除非这个交互通过 SSL,否则会暴露用户和密码。对服务器的所有后续请求使用 LTPA 令牌进行身份验证。

Sametime 客户端使用 Simple Object Access Protocol (SOAP) 与高级服务器通信;在这种情况下,凭证也采用 Base64 编码。

Sametime Advanced 软件中的广播特性基于 WebSphere Event Broker 的发布/预订功能。使用 WebSphere Event Broker 分发和路由来自不同应用程序的消息。

WebSphere Event Broker 支持多个传输协议,使用发布/预订和多点传送等灵活的分发机制实现点对点之外的其他信息流形式。传递给 Event Broker 的凭证没有加密,所以为了确保安全,一定要在部署中使用 SSL。

访问控制

Sametime Advanced 软件允许在应用程序级和特性级进行访问控制。可以使用集成解决方案控制台在应用程序级为用户或组指定安全角色。

在特性级,可以通过修改广播社区、聊天室和文件夹中的角色设置来编辑角色,从而实现访问控制。

Lotus Sametime Unified Telephony

IBM Lotus Sametime Unified Telephony 软件有助于集成各种后端电话系统。它允许用户在 Sametime 客户端、Lotus Notes 客户端或 Microsoft Office 应用程序通过单击拨打电话或召开电话会议。

它让用户能够通过内置的电话软件通话,这可以节省时间和电话费,还可以简化电话呼叫警告的管理过程,增强呼叫管理,把呼叫自动地路由到指定的任何电话线。

身份验证

Sametime Unified Telephony 客户端本质上是包含 Unified Telephony 插件的 Sametime Connect 客户端,它使用与标准 Sametime 客户端相同的身份验证机制。另外,SIP 电话软件必须向 SIP 代理/注册器注册。

SIP 代理/注册器的 SIP 身份验证需要通过 TLS 保护的连接传递 Lotus Sametime 凭证。

IP 电话信号

使用 SIP 为 Sametime Unified Telephony 建立通信会话,这支持基本身份验证和摘要身份验证,这两种方法都应用于用户的社区服务器凭证。

IP 电话媒体

Secure Real-time Transport Protocol (SRTP) 用于在 Sametime Unified Telephony 中支持媒体传输。SRTP 为音频和视频等媒体通信流提供机密性、消息身份验证和重放保护。这个协议可以:

  • 防止偷听、数据包欺骗和消息重放
  • 对有效负载进行加密,从而为 RTP 提供机密性,增强安全性
  • 确保 RTP 数据包的完整性并提供重放保护
  • 提供一个可扩展的框架,可以升级到新的密码算法
  • 为单点传送和多点传送应用程序提供安全性

加密

这里涉及两种加密。

IP 电话信号

支持 SIP TLS。Transport Layer Security 对 SIP 信号流进行加密,确保消息的机密性和
完整性。IP security (IPSec) 是一种网络安全机制,它提供 Transport Layer Security。

IP 电话媒体

SIP 本身并不考虑媒体数据的加密;相反,它通过使用 SRTP 提供媒体流安全性。使用
Session Description Protocol (SDP) 进行密钥管理。

Sametime Unified Telephony 通过 SDP 和 Security Descriptions for Media Streams (SDES) 支持 SRTP。同样,因为 Sametime Unified Telephony 客户端基本上是包含 Unified Telephony 插件的标准 Sametime 客户端,所以它使用与标准 Sametime 客户端相同的加密机制。

Lotus Sametime Mobile 软件

IBM Lotus Sametime Mobile 软件是在移动设备上运行的 Sametime 客户端,包括 Microsoft Windows Mobile、BlackBerry、Sony Ericsson 和 Nokia 设备。Sametime Mobile 使用基于 HTTP 的 Sametime 链路协议与 Sametime 服务器通信。

身份验证

Sametime Mobile 要求用户输入 Sametime 用户 ID 和密码以登录服务器。在移动设备上,通常还使用虚拟私有网络 (VPN) 访问 Sametime 服务器所在的网络。使用 VPN 也需要身份验证,具体方法取决于使用的 VPN。

除了 VPN 之外,Sametime Mobile 可以使用 HTTPS 和反向代理 SSO 配置访问 Sametime 服务器。用户可以在 Sametime Mobile 设置中设置代理的详细信息(代理 URL、端口和凭证)。

加密

Sametime Mobile 对通过 Sametime 链路协议传输的消息使用 128 位 RC2 加密。在使用 VPN 或 HTTPS 反向代理访问 Sametime 服务器时,增加其他加密。

Lotus Sametime 与 Microsoft Office 的集成

用于 Microsoft Office 集成的功能类别包括:

  • 基于 JNI 的
  • 会议集成器
  • STHelper

基于 JNI 的

Sametime 客户端中有两个功能使用 JNI 访问 Microsoft Outlook。自动状态读取 Outlook 日历并根据需要更新 Sametime 出席状态,聊天历史把副本写到 Microsoft Outlook 邮件存储库中。

这两个功能中的身份验证和授权方法完全由 Outlook 驱动。如果在使用 Sametime 特性时 Outlook 还未运行,那么 Outlook 启动并向用户显示它的登录对话框。

如果在调用 Sametime 特性时 Outlook 正在运行,那么对于与 Lotus Sametime 的所有交互,它自动地使用当前运行的用户账户。

会议集成器

会议集成器是 Outlook 中安装的一个特性。这个特性创建与用户创建的 Outlook 会议相应的 Sametime 会议。在创建新会议请求时,可以设置 Sametime 会议的密码。

会议集成器使用一个附加的 DLL 检查邀请形式。在需要 Sametime 会议时,DLL 使用在服务器上的 HTTPS servlet 中运行的服务API(在 8.0.2 中是 REST API)与会议服务器直接通信。

这里支持基本身份验证;因此,必须使用 HTTPS 连接连接会议服务器。

STHelper

本节讨论其他 Microsoft Office 集成特性,比如 Outlook 和 Office 应用程序中的工具栏、智能标签和 SharePoint 集成器。它们通过 STHelper 与 Sametime 客户端交互。

STHelper 是一个 COM 对象,它向使用者公开一个简单的 API。当在 Outlook 中选择一个电子邮件时,或单击 Outlook 工具栏中的聊天按钮时,使用它处理请求。

STHelper 的第二个逻辑组件是一个 Remote Procedure Call (RPC) 通信渠道,它连接到本地运行的 Sametime Connect 客户端。RPC 渠道使用 MicroBroker,MicroBroker 是构建 Sametime 客户端的 IBM Lotus Expeditor 平台上的发布/预订总线。

MicroBroker 本身驻留在 Java UIM 应用程序中,作为 Eclipse 特性 Brokerbridge 的组成部分。STHelper 使用一组 MicroBroker C 库连接在本地主机端口 51833 上运行的 Micro
Broker。作为一项安全措施,MicroBroker 只允许来自本地系统的连接。

这个渠道上的实际数据交换采用 XML 格式,没有加密。特性的一般操作针对当前通过客户端登录的 Sametime 用户运行。为了防止 SPIM (spam over instant messaging),
STHelper 使用者只能执行操作的准备阶段,常常需要用户交互才能完成该操作。

例如,STHelper 无法完全驱动与另一个用户的聊天;它可以打开本地聊天窗口、连接一个目标好友并输入第一行文本,但是本地用户仍然需要亲自把消息发送给目标。

端口 80 上的 HTTP 隧道

如果 Sametime 服务器已经扩展为支持 Internet 用户,远程客户端的防火墙配置可能会阻止客户端连接 Sametime 服务器。

例如,为了与会议中的其他客户端交换出席和聊天数据,Sametime 客户端使用 TCP/ IP 端口 1533(默认)连接 Sametime 服务器上的社区服务。为了交换屏幕共享和白板数据,Sametime 客户端使用 TCP/ IP 端口 8081(默认)连接会议服务。

许多防火墙只允许端口 80 上的 HTTP 连接,会阻止端口 1533 和 8081 上的连接请求。为了在这些环境中建立连接,Sametime 客户端可以自动地尝试在端口 80 上使用 HTTP 隧道进行连接。通过使用隧道连接,Sametime 客户端能够与社区服务、会议服务或记录的会议广播服务通信。

Lotus Domino 数据库加密

通过 Sametime 特性在 Lotus Domino 数据库中创建和维护的信息可能是机密的;例如 STCenter.nsf 中的会议日程安排。

在这种情况下,应该对 Lotus Domino Web 服务器功能使用 Domino NSF 加密和 HTTPS 访问。对 Domino Web 服务器的访问应该使用 SSL,这会为通过 TCP/IP 执行的 Domino 服务器任务提供通信私密性和身份验证。

SSL 提供以下安全特性:

  • 对客户端接收和发送的数据进行加密,确保事务期间的私密性
  • 与数据一起发送经过编码的消息摘要,能够检测任何消息篡改
  • 与数据一起发送服务器证书,向客户端保证服务器的身份是可信的
  • 与数据一起发送客户端证书,向服务器保证客户端的身份是可信的

FIPS 支持

Lotus Sametime 支持美国政府为密码学模块制订的安全需求 FIPS 140-2 (Federal Information Processing Standard 140-2)。

满足 FIPS 要求的首选设计方法是,使用 IBM 密码学库(“SSLite”和“CryptoLite”)在客户端和服务器之间建立 TLS 连接和加密 UDP 数据。

为了让客户端和 Sametime 服务器之间交换的所有数据都满足 FIPS 140 的要求,需要在 WebSphere Application Server 上安装 FIPS 代理设备,它代表 Sametime 服务器接收数据。

另外,因为 Domino HTTP 服务器不满足 FIPS 140 的要求,所以必须部署 IBM HTTP 服务器作为 HTTP 数据的代理。

目录支持

Sametime 8.0 软件支持以下 LDAP 目录:

  • IBM Tivoli® Directory Server versions 5.2 和 6.0
  • IBM Lotus Domino 6.5、7.0 和 8.0
  • Microsoft Active Directory 2000 和 2003
  • Sun ONE Directory 5(iPlanet 5.1 和 5.2)

注意,可以使用 SSL 对 LDAP 服务器的连接进行加密。为了应用 SSL 协议,应该使用证书机构(比如 VeriSign)颁发的 LDAP 证书。


相关主题


评论

添加或订阅评论,请先登录注册

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Lotus
ArticleID=448263
ArticleTitle=IBM Lotus Sametime 8 安全特性
publish-date=11202009