13 November, 2008 15:00:00 mangelcalvo | Comentarios (3)
Trabajando en un cliente me surgió una pequeña duda y he realizado una pequeña prueba de concepto de cómo funciona la autenticación en Domino para las diferentes opciones de configuración que tenemos disponibles.
Como casos de prueba he creado 2 usuarios, para los cuáles en los diferentes casos de prueba he hecho coincidir contraseña y nombre corto.
Las pruebas las he realizado con Lotus Domino 8.0.2 y con IE7 .
Cuando un usuario intenta conectarse a una aplicación Web en Domino, si la aplicación no es pública, recibe una pantalla para la introducción del usuario y contraseña.
El usuario introduce el usuario y la contraseña y el sistema valida el usuario o le indica que el usuario o la contraseña son incorrectos.
Domino puede identificar al usuario de una manera más laxa o más estricta en función de cómo esté configurado el servidor.
En el documento del servidor, en la pestaña "Security", tenemos la entrada "Internet Authentication", que determina el valor que el usuario puede introducir en el campo "User name" a la hora de autenticarse. Los posibles valores son (en la versión inglesa):
- More name variations with lower security
- Fewer name variations with higher security
Las pruebas han consistido en modificar y combinar:
- El valor del campo "Internet Authentication"
- El valor de la contraseña para Internet del usuario ( haciéndola coincidir para dos usuarios)
Los resultados de las pruebas han sido los siguientes:
Explicación de abreviaturas:
FN = Nombre
LN = Apellido
CN = Nombre y apellido
SN = Nombre corto
Y = Acceso permitido
N = Acceso denegado
Las conclusiones, que por cierto han sido las esperadas:
- Con la opción More name variations with lower security seleccionada, el usuario puede autenticarse con Nombre, Apellido, Nombre y Apellido, Nombre corto. El sistema intentará localizar una combinación única de usuario + contraseña, y si existe autenticará al usuario. Si hay conflicto, es decir repetición en el sistema de usuario + contraseña, entonces no autenticará.
- Con la opción Fewer name variations with higher security seleccionada, únicamente podrá autenticarse un usuario si introduce su nombre completo (Nombre y Apellido). En este caso, el sistema también tratará de localizar una combinación única usuario + contraseña para autenticar al usuario.
Con lo visto, el posible problema a la hora de registrar usuarios en los que haya un conflicto de nombre y apellido, o el uso de contraseña genérica a la hora de registrar usuarios, no afecta a la autenticación de usuarios a través de web. Evidentemente, registrar usuarios con el mismo nombre y apellidos o nombre corto es un error nuestro como administradores, pero Domino gestiona este problema no permitiendo la autenticación en caso de conflicto.
Por cierto, como solución a estos problemas, una buena práctica, definible mediante políticas y disponible en Domino 8, es exigir al usuario un cambio de contraseña la primera vez que se conecta al servidor Web de Domino.
Adicionalmente, en la definición de direcciones de correo Internet, el conflicto a la hora de determinar el destinatario, funciona de manera similar, y Domino no reparte un mensaje cuando hay dos o más posibles usuarios que tienen asociada la misma dirección de correo electrónico.
Agradezco sus conocimientos,
Me gustaría conocer si existe una forma diferente de validar los datos de un usuario, pero no contra el directorio de dominio, sino, sobre una base de datos(tabla o vista).
Muchas gracias
Hola Gustavo,
A nivel de aplicación, si el acceso a la misma es Anónimo y el servidor web permite conexiones anónimas, se puede desplegar la lógica que se desee para gestionar la autenticación. Pera esta no es la mejor solución para el desarrollo en Domino. Estamo reinventando la "rueda" y no podremos hacer uso de los mecanismos de seguridad del servidor.
Tienes alternativas que encajan "mejor" en el desarrollo en infraestructura IBM Domino como serían validar contar LDAP o crear directorios secundarios para gestionar usuarios web, hacer uso de roles para discriminar funcionalidades,...
Si el motivo de salirse del esquema de seguridad de IBM Domino es por tema de licencias, entonces te recomiendo licenciamentos en los que el nº de usuarios no determine las licencias a adquirir, como por ejemplo, IBM Domino Utility, IBM Domino Utility Express o IBM XWorks.
Un saludo,
Una característica importante adicional de seguridad de la versión 8 de Domino es la posibilidad de bloquear un usuario tras un número determinado de intentos fallidos de acceso web. Saludos, Albert.