Lotusphere očami účastníka III.

Bol som na prednáške s rovnakým názvom aj presne pred rokom a tak som bol zvedavý, čo z vtedajších plánov sa naplnilo a čo, naopak, bolo odsunuté na neskôr. Takže poďme po poriadku.

Pribudla nám nová granularita administrátorov. Existuje tzv. Full Access Administrator, ktorý už teraz môže robiť čokoľvek, s výnimkou prístupu ku kryptovaným dátam. K databázam pristupuje vždy na úrovni Manager bez ohľadu na to, či je vôbec uvedený v ACL. V databáze vidí vždy všetky dokumenty bez ohľadu na Reader- a AuthorNames. Okrem toho je možné ďalej rozdeľovať práva na rôzne administrátorské operácie medzi rôznych ľudí, takže môže existovať admin s právami vytvárať a modifikovať používateľov, iný admin, ktorý sa stará o databázy a spravovanie ACL a ďalší, ktorý môže monitorovať klientsku konzolu.

Certifikačná autorita môže byť po novom spravovaná priamo serverom, čo okrem iného znamená, že admin nepotrebuje mať prístup k cert-id pri registrácii používateľa, certifikácia prebehne AdminP procesom. Je to prezentovane ako lepšia security - dá sa o tom polemizovať. Na jednej strane admin nepotrebuje certifikátora na to, aby vytvoril akéhokoľvek používateľa a teda odpadá prípadný princíp štyroch očí, na druhej strane však odpadá starosť o prípadne ukradnuté cert-id pri odchode admina z organizácie (ak k tomu nemá prístup, ťažko to môže ukradnúť, však?). Takže je to na posúdenie pri návrhu architektúry a našťastie je poskytnutá možnosť voľby novej i starej alternatívy riešenia prístupu k certifikačnej autorite.

Zväčšila sa nám sila kryptografických mechanizmov pre Notes protokoly (bingo! bingo! bingo! - o tomto pred rokom nepadlo ani slovo a ani po priamej otázke Charlie pred rokom nepriznal, že sa to chystá). Zatiaľ je však iba čiastočná implementácia: 128bit RC4 pre kryptovanie komunikácie na portoch, 128bit RC2 pre kryptovanie lokálnej databázy. Pre RSA je zatiaľ iba latentná podpora 1024b kľúčov (t.j. nepoužíva sa, je implementovaná iba kvôli spätnej kompatibilite vyšších verzii s Notes 6). Ale keď neprší, aspoň kvapká, ako som už spomenul, pred rokom bolo na tuto tému veľké mlčanie.....

Čo sa zmenilo na klientovi Notes6? Od vlaňajška žiadna nová správa: všetky nastavenia bezpečnosti sa dali do jedného okna Notes klienta (tzv. user security dialog), ECL je ľahšie spravovateľný a navyše sa zmenil dialóg pri prípadnom podozrení na porušenie ECL, takže ak chce používateľ vybrať pokračovanie vykonávania operácie, musí vykonať o jeden klik viac - tým sa Lotus snaží odstrániť bezmyšlienkové klikanie používateľov na tlačítko "Trust signer" pri akomkoľvek ECL varovaní. Čo však naopak z hľadiska klienta chýba a bolo minulý rok sľúbené, je podpora roaming users, teda možnosti prenášať si svoje prostredie cez server na ktorúkoľvek pracovnú stanicu. Z hľadiska bezpečnosti sa nepodarilo implementovať kompletnú podporu a teda roaming users budú až v niektorej z budúcich verzii.

V bezpečnosti agentov takisto nie sú žiadne zmeny oproti tým, ktoré už boli ohlásené. Ide hlavne o možnosť agentov bežať nie pod menom toho, kto agenta podpísal, ale takzvane "on behalf of", teda v mene niekoho iného (napríklad v mene servera, alebo iného používateľa). Čo sa tým dosiahlo? Napríklad možnosť, aby agent mohol čítať dáta z databázy na inom serveri, alebo pre iNotes používateľov nastaviť si agenta Out-of-office. Možností je veľa a táto téma by vydala na samostatný článok.

A čo teda pribudne nového a bolo sľúbené pre nasledujúce verzie? V prvom rade plna podpora pre 1024bit RSA a plna podpora 128bit RC2 pre kryptovacie algoritmi so symetrickým kľúčom. Okrem toho už spomínaný roaming používateľov. Pre iNotes klientov zaujímavé kryptovacie možnosti: možnosť čítať kryptovanú poštu (od verzie 6.0.1), možnosť posielať kryptovanú poštu a pripojiť elektronický podpis (od verzie 6.5). Nechajme sa prekvapiť.

Z Orlanda odoslal Ľubo Horňák (Posam), redakčne upravil a spublikoval Miro Uhlár (eDevelopment - LOGIN)

Zatím nebyl přidán žádný komentář. Buďte první!