Leitfaden und Anleitung zur Aktivierung und Konfiguration der HTTP-Task des IBM Domino Servers

Auf den nachfolgenden Seiten wird die Vorgehensweise zur Aktivierung und Absicherung der Webserver-Funktionalität des IBM® Domino® Servers (HTTP-Task) beschrieben.

Diese Anleitung richtet sich an Administratoren des IBM® Domino® Servers.

Wozu wird der HTTP-Dienst benötigt?

HCL® Domino® bietet den Nutzern mit der HTTP-Task einen integrierten Anwendungsserver zur Darstellung von Webinhalten – ähnlich den weit verbreiteten Webservern Apache oder Microsoft IIS. Der zugreifende Client benötigt hierbei außer einem modernen Web-Browser, wie z.B. Mozilla Firefox, Microsoft Internet Explorer, Apple Safari oder Google Chrome, keine weitere Software.

Der Trend der zunehmenden Verlagerung der Server aus dem Unternehmen hin zu Rechenzentralen oder anderen Anbietern bringt starke Performanceverluste für Standard-Notes-Anwendungen mit sich, sofern weiterhin ein lokal installierter HCL® Notes Client zum Einsatz kommt. In dieser Konstellation müssen sämtliche Daten komplett über das entfernte Netz übertragen werden. Je nach Netzanbindung des Unternehmens nimmt eine Verarbeitung dabei deutlich mehr Zeit in Anspruch als beim Betrieb der Anwendung auf einem lokalen Domino Server. Die verfügbare Bandbreite sowie insbesondere die Latenz der Netzwerkverbindung spielen hierbei eine entscheidende Rolle. Während Antwortzeiten im lokalen Netz meist im Bereich unterhalb einer Millisekunde liegen, können diese bei WAN-Verbindungen das Zehn- bis Hundertfache betragen.

Eine Möglichkeit, dieser Problematik entgegen zu wirken, ist die Nutzung von webbasierten Anwendungen. Diese werden direkt auf dem Server ausgeführt – es werden nur Ein- und Ausgaben über das entfernte Netz übertragen.

Die Entwicklung moderner browserbasierter Anwendungen unterstützt HCL® Domino® seit Version 8.5 über die eigens hierfür seinerzeit von IBM entwickelte XPages Technologie an.
Voraussetzung für den Einsatz von XPages Anwendungen ist ein aktivierter HTTP-Task auf dem Domino Server, um Anwendungsinhalte über das Web zur Verfügung stellen zu können.

Dabei sind jedoch einige Sicherheitsaspekte zu beachten, da jeder aktivierte Dienst ein mögliches zusätzliches Risiko birgt. Bei korrekter Konfiguration können diese Risiken jedoch auf ein Minimum reduziert werden. Die nachfolgende Anleitung beschreibt die zur Aktivierung und Absicherung der HTTP-Task notwendigen Schritte.

Zur Aktivierung und Konfiguration der HTTP-Task müssen folgende Voraussetzungen erfüllt sein:

• administrative Berechtigungen auf dem IBM Domino Server
• IBM Domino Administrator Client für den Zugriff auf den Server

Überprüfen Sie im Domino Administrator unter dem Reiter Server > Status > Server-Tasks ob der Dienst HTTP Server bereits gestartet wurde.

Abbildung: Prüfung HTTP Task

Sofern der Dienst aktiviert ist, sind möglicherweise einige der nachfolgend beschriebenen Punkte bereits entsprechend umgesetzt / bearbeitet.

Einstellungen im Abschnitt Internetzugriff

Öffnen Sie den Domino Administrator Client und stellen Sie eine Verbindung zum Domino Server her, auf welchem die HTTP-Task aktiviert werden soll.

Wechseln Sie in den Bereich Konfiguration > Server > aktuelles Serverdokument.

Der Abschnitt Sicherheit > Internetzugriff (engl. Security > Internet Access) regelt Optionen zur Authentifizierung gegenüber dem Domino-System aus einem Browser heraus.

In der Startkonfiguration eines Domino-Servers sind an dieser Stelle mehr Namensvarianten zur Authentifizierung zugelassen als notwendig. Über den Benutzernamen hinaus kann auch der Kurzname zur Authentifizierung verwendet werden. Bei aktivierter HTTP-Task sollte die Anzahl der Namensvarianten beschränkt werden.

Abbildung: Einstellung Sicherheit

Die Einstellung „Weniger Namensvariationen mit höherer Sicherheit“ entspricht der Handlungsempfehlung der Fiducia & GAD IT AG gemäß SOIT Teil 2 (Stand August 2018).

Wählen Sie unter Internet-Authentifizierung (engl. Internet authentication) die Einstellung „Weniger Namensvariationen mit höherer Sicherheit“ (engl. „Fewer name with higher security“).

Aktivieren Sie den HTTP Port wie im Screenshot dargestellt.

Abbildung: Aktivierung HTTP Port

Anonymen Zugriff deaktivieren

Die HTTP-Task unterstützt bei der Authentifizierung mehrere Optionen. Die Möglichkeit des anonymen Zugriffs sollte deaktiviert werden, sofern diese nicht benötigt wird. Damit ist für Nutzung einer Webanwendung im Browser immer eine Anmeldung des Nutzers erforderlich.

Vorgehensweise

Öffnen Sie hierzu das Serverdokument und wechseln Sie in den Bereich Ports > Internet Ports.

 

Abbildung: Serverdokument - Anonymous verbieten

Wählen Sie unter der Option Anonymous den Eintrag „Nein“ (engl. „No“).

Diese Einstellung entspricht der Handlungsempfehlung der Fiducia & GAD IT AG gemäß SOIT Teil 2 (Stand Dezember 2019).

Soll der Zugriff auf die Web-Inhalte des Servers über eine verschlüsselte https-Verbindung erfolgen, wird zusätzlich ein entsprechendes Serverzertifikat benötigt.
Verfügt Ihr Unternehmen bereits über eine verschlüsselte Datenverbindung zum Server (z.B. über Ihr Rechenzentrum), ist die Nutzung einer zusätzlichen https-Verbindung nicht zwingend erforderlich.
Möchten Sie diese dennoch konfigurieren, folgen Sie der Anleitung von HCL.

Aktivierung Session based Authentication

Für die Nutzung von browserbasierten Anwendungen über die Domino HTTP-Task wird die Aktivierung der sog. „HTTP-Sitzungs-Authentifizierung“ (engl. „Session based Authentication“) empfohlen. Hierdurch besteht u.a. die Möglichkeit, einen Inaktivitätszeitraum festzulegen, nach welchem der Nutzer automatisch abgemeldet wird. Diese Maßnahme dient somit der Erhöhung der Sicherheit.

Vorgehensweise

1. Erstellen Sie eine neue Anwendung domcfg.nsf im Notes Datenverzeichnis Ihres Servers.

   

   Abbildung: neue Anwendung erstellen

2. Passen Sie die Zugriffskontrollliste (ACL) der neuen Anwendung an:

   Benutzer(typ)	Zugriff	Erläuterung
   Default	Leser
   Anonymous	Leser
   Person oder Personengruppe	Manager	Administratoren mit voller Berechtigung
   Server oder Servergruppe	Manager

3. Öffnen Sie die Anwendung.

4. Erstellen Sie ein neues Login Mapping Dokument (in diesem Fall Standard für alle Webseiten).

   

   Abbildung: Login Mapping Doc

5. (optional) Öffnen Sie die Anwendung im Domino Designer und passen Sie die Maske $LoginUserForm entsprechend Ihren Wünschen an

6. Passen Sie das Konfigurationsdokument des Servers an:

   

   Prüfen Sie bitte die Einstellungen in Ihrem Serverdokument.

   Falls bereits ein Eintrag Multiple Servers (SSO)hinterlegt wurde (meist durch das Rechenzentrum), müssen Sie keine weiteren Maßnahmen ergreifen.

   

   Abbildung: aktiviertes SSO Auth Verfahren

   Ansonsten aktivieren Sie bitte die Sitzungsbasierte Authentifikation.

   

   Abbildung: Einstellung Sitzungsart

   Deaktivieren Sie beständige HTTP Verbindungen

   

   

   

   

   Setzen Sie den Parameter Web agent an web services timeout: bitte auf einen sinvollen Wert (z.Bsp. 180). 0 = kein Timeout (nicht sinnvoll)

   Abbildung: beständige Verbindungen deaktivieren

Aktivierung sichere Kennwortverschlüsselung

Für den Zugriff auf den Domino Server über den Notes Client wird eine Notes-ID sowie ein Kennwort benötigt. Beim einem Zugriff über den Browser sind nur der Benutzername und das Kennwort erforderlich.

Das für den Browserzugriff benötigte Internetkennwort wird im Personendokument des Benutzers innerhalb des Domino Namens- und Adressbuchs (engl. Domino Directory) bereitgestellt. Die Speicherung des Kennworts erfolgt verschlüsselt. In der Starteinstellung ist jedoch nur eine schwache Verschlüsselung aktiviert, bei der gleiche Kennwörter identisch verschlüsselt werden.

Empfehlung: Aktivieren Sie die starke Verschlüsselung, damit gleiche Kennwörter unterschiedlich verschlüsselt werden.

Vorgehensweise

Für neue Personendokumente

• Wählen Sie im Domino Administrator den Bereich Konfiguration > Server > Alle Serverdokumente.
• Wählen Sie im Notes Menü Aktionen > Verzeichnisprofil bearbeiten (engl. Edit Directory Profile).
• Wenn alle Server in der Domino Domäne die Version 8.0.1 oder höher ausführen, wählen Sie „Ja - Kennwortüberprüfung ist kompatibel mit Notes/Domino Version 8.01 oder höher“.
• Wählen Sie anderenfalls „Ja - Kennwortüberprüfung ist kompatibel mit Notes/Domino Version 4.6 oder höher“.

• Speichern und schließen Sie das Dokument.

Abbildung: Umstellung auf sicheres Kennwort

Für vorhandene Personendokumente

• Wechseln Sie im Domino Administrator in den Bereich Personen und Gruppen und wählen Sie in der Ansicht diejenigen Personendokumente, die Sie auf ein sichereres Kennwortformat aktualisieren möchten.
• Wählen Sie im Notes Menü Aktionen > Aktualisierung auf ein neues Internetkennwortformat (engl. „Upgrade to More Secure Internet Password“).
• Wenn alle Server in der Domino Domäne die Version 8.0.1 oder höher ausführen, wählen Sie „Ja - Kennwortüberprüfung ist kompatibel mit Notes/Domino Version 8.01 oder höher“.
• Wählen Sie anderenfalls „Ja - Kennwortüberprüfung ist kompatibel mit Notes/Domino Version 4.6 oder höher“.
  
  

Abbildung: Aktualisierung bestehender Personendokumente

Diese Einstellung entspricht der Handlungsempfehlung der Fiducia & GAD IT AG gemäß SOIT Teil 2 (Stand Dezember 2019).

Hinterlegung von Internetkennworten

Wenn Ihr Dominoserver durch einen Dienstleister betreut wird, erfragen Sie bitte die bestehende Regelung für Internetkennwörter.

Falls Sie in ihrem Serverdokument die Einstellung Multiple Servers (SSO) gesetzt wurde, können Sie die Hinterlegung von Internetkennworten überspringen. Nutzen Sie in diesem Fall bitte Ihre Y - Kennung und das Bankenkennwort zur Anmeldung.

Sollte die Recherche ergeben, dass das Internetkennwort standardmäßig nicht gesetzt wird, verfahren Sie bitte wie folgt.

Jeder Benutzer kann bestimmte Parameter in seinem Personendokument des unternehmensweiten Namens- und Adressbuches bearbeiten. Zu diesen Parametern zählt auch das Setzen des Internetkennwortes. Um das Internetkennwort setzen zu können, muss jeder Benutzer sein Personendokument im Bearbeitenmodus öffnen. Nur im Bearbeitenmodus ist die Schaltfläche „Eingabe Internetkennwort” (engl. „Enter Password”) verfügbar. Durch Betätigen dieser Schaltfläche erhält der Benutzer einen Eingabeprompt zum Setzen seines Internetkennwortes.

Abbildung: Personendokument Internetkennwort

Die erfolgreicher Eingabe des Kennwortes erkennt man am gesetzen Wert „Internetkennwort” (engl. „Internet Password”). Das Kennwort wird verschlüsselt im Personendokument vorgehalten.

Abbildung: nach Eingabe Internetkennwort

Speichern und schließen Sie das Personendokument.

Das Kennwort wird nach ca. 5 bis 10 Minuten aktiv.

Prüfung der Zugriffskontrolllisten

Zur Unterbindung unberechtigter Zugriffe auf bestehende Notes-Datenbanken über die HTTP-Task empfehlen wir eine Prüfung und ggf. Anpassung der Zugriffskontrolllisten der Anwendungen auf Ihrem Domino Server.

Wurde der anonyme Zugriff deaktiviert, kann dieser Schritt übersprungen werden.

Für die Prüfung kann der Anwendungskatalog Ihres IBM® Domino Servers genutzt werden. Gehen Sie dazu wie folgt vor. 

• Öffnen Sie die Datenbank catalog.nsf auf Ihrem Domino Server.
• Die Ansicht "Zugriffskontrolliste nach Name" gibt Ihnen einen Überblick der Anwendungen mit Anonymous-Eintrag in der ACL.
• Einträge für den Nutzer "Anonymous" mit lesendem Zugriff (oder höher) sollten geprüft und ggf. auf "kein Zugriff" korrigiert werden.

Abbildung: Domino Katalog - Anonymous Zugriff

Alternativ können Sie auch das frei verfügbare Tool ACL-Viewer der Firma NOTES-DATABASE nutzen. Es untersützt Sie bei der Serveranalyse und ermöglich Massenänderungen an Zugriffskontrolllisten.

Erweiterte Zugriffskontrolle

Prüfen Sie außerdem für Anwendungen die Einstellung „Max. Internetnamens- und Kennwortzugriff“ unter Zugriff > Erweitert in der ACL. Bei Anwendungen, die nicht über den Browser verfügbar sein sollen, muss an dieser Stelle der Wert „Kein Zugriff“ eingestellt sein.

Setzen Sie den Wert für die Anwendung ForumISM in jedem Fall auf Editor, da dies Voraussetzung für den Betrieb unserer Webanwendungen ist.

Abbildung: Anwendungs ACL - Internetnamens- und Kennwortzugriff

Prävention gegen Brute-Force Attacken

Um das Ausprobieren von Kennwörtern zu erschweren (sog. „Brute-Force“ Angriff), verzögert sich die Eingabemöglichkeit für Kennwörter im Notes Client nach jeder Eingabe eines falschen Kennworts. Dieses Verfahren existiert in ähnlicher Form für den Zugriff über Browser und sollte im Rahmen der Konfiguration des HTTP-Moduls aktiviert werden.Hierzu kommt eine Sperre nach "X" (konfigurierbar) Anmeldefehlversuchen zum Einsatz.

Vorgehensweise

Erstellen Sie eine neue Anwendung auf Ihrem Domino Server unter Zuhilfenahme der IBM Schablone Internet Password Lockout (inetlockout.ntf)

Abbildung: Anwendung Inetlogout

Allgemeine Zugriffskontrollliste Internet Passwort Lockout:

Öffnen Sie im Domino Administrator Client das Konfigurationsdokument Ihres Servers und passen Sie die Werte im Tab Sicherheit (engl. „Security“) nach Ihren Vorgaben an.

Abbildung: Konfiguration Inetlockout

Speichern Sie das Konfigurationsdokument.

Start / Neustart des Domino Webserver Dienstes

Sofern der HTTP-Task nicht bereits aktiv ist, kann der Domino Web Server Dienst über den Notes Administrator gestartet werden.

Öffnen Sie hierzu in den Werkzeugen den Abschnitt Task und wählen Sie Menü Starten. Suchen Sie sich im dann erscheinenden Fenster den Eintrag HTTP Web Server und betätigen Sie die Schaltfläche Task starten.

Abbildung: Start Domino Web Server

Alternativ kann der Dienst manuell über die Domino Konsole gestartet werden. Wechseln Sie dazu in den Bereich Server > Serverkonsole. Der dazu nötige Befehl lautet:

load http

Falls der Web Server Dienst bereits läuft, kann dieser im Domino Administrator per Rechtsklick auf den Eintrag HTTP Server und der Aktion Neustart (engl. Restart Task) oder mittels nachfolgendem Kommando über die Domino Konsole neu gestartet werden:

restart task http

Bitte beachten Sie, dass beim Neustart des Dienstes alle bestehenden Verbindungen für Nutzer von Webanwendungen unterbrochen werden.

Automatischer Start der HTTP Task (optional)

Fragen Sie die Werte der Variable "ServerTasks" über Die Domino Administrator Konsole ab:

show config ServerTasks
[24718:00009-3997694832] SERVERTASKS=Update,Replica,Router,AMgr,AdminP,DIIOP

Enthält die Variable den Eintrag "HTTP", sind keine weiteren Schritte erforderlich.

Ansonsten notieren Sie bitte die bereits hinterlegten Werte und führen Sie zum Hinzufügen des Web Server Dienstes bitte nachfolgendes Kommando über die Domino Administrator Konsole aus. Ergänzen Sie die notierten Werte um den Eintrag "HTTP".

set config ServerTasks=Update,Replica,Router,AMgr,AdminP,DIIOP,HTTP update

Wissenwertes

Maximaler Internetnamens- und Kennwortzugriff

Benutzer mit Internet- oder Intranet-Browserzugriff auf eine Datenbank können von Notes nicht auf dieselbe Weise identifiziert werden wie HCL® Notes®-Benutzer. Verwenden Sie die Einstellung "Maximaler Internetnamens- und Kennwortzugriff", um den maximalen Zugriffstyp von Internet- oder Intranet-Browserbenutzern auf eine Datenbank zu steuern. Die Liste enthält die Standardzugriffsebenen für Notes-Benutzer.

Diese Option gilt für Benutzer, die die Namens- und Kennwortauthentifizierung verwenden oder auf den Server anonym über das Internet zugreifen und eine Serververbindung über den TCP/IP- oder den SSL-Port herstellen. Diese Option gilt nicht für Benutzer mit SSL-Clientzertifikats-IDs und Benutzer, die mithilfe des SSL-Ports das Internet für den Datenbankzugriff verwenden. Benutzern mit SSL-Clientzugriff wird die in der Datenbank-ACL angegebene Zugriffsebene zugewiesen.

Fügen Sie der Datenbank-ACL einen Eintrag für die Gruppe "Anonymous" hinzu, falls für diese Datenbank zutreffend. Wählen Sie anschließend die maximale Zugriffsebene aus, die Sie allen Internet- und Intranet-Benutzern zuweisen möchten, die die Namens- und Kennwortauthentifizierung für eine bestimmte Datenbank verwenden. Benutzer, die entweder anonym oder mithilfe der Namens- und Kennwortauthentifizierung über das Internet auf eine Notes-Datenbank zugreifen, verfügen niemals über eine Zugriffsebene, die höher ist als die unter "Maximaler Internetnamens- und Kennwortzugriff" angegebene.

Die Zugriffsebene, die einem Benutzer in der Datenbank-ACL ausdrücklich zugewiesen wurde, wird von der Zugriffsebene "Maximal" übergangen, jedoch nur, um die niedrigere der beiden Zugriffsebenen zu erzwingen.

Ein Benutzer, z. B. John Doe/Atlantis kann den Namens- und Kennwortzugriff auf einen Server mithilfe eines Web-Browsers verwenden. Wenn John Doe/Atlantis in der ACL Editorzugriff zugewiesen wurde und die Einstellung "Maximaler Internetnamens- und Kennwortzugriff" auf "Leser" gesetzt ist, gilt die niedrigere der beiden Zugriffsebenen und John wird lediglich Leserzugriff gestattet. Ähnlich verhält es sich, wenn John Doe/Atlantis in der ACL Leserzugriff zugewiesen wurde und die Zugriffseinstellung "Maximal" auf "Editor" gesetzt ist. Dann wird John Doe Leserzugriff gewährt. Bei Benutzung des Lotus Notes Clients wird die Zugriffseinstellung "Maximal" ignoriert und John Doe wird Editorzugriff gewährt.

Standardmäßig ist diese Option auf Editorzugriff gesetzt. Aufgaben, z. B. das Erstellen von Ordnern, Ansichten und Agenten, gelten für Internetbenutzer nicht.

Sie können diese Einstellung verwenden, damit keine Internetbenutzer mithilfe der Namens- und Kennwortauthentifizierung auf die Datenbank zugreifen. Wenn Sie diese Einstellung auf "Kein Zugriff" setzen, können auf diese Datenbank nur Notes-Benutzer oder Internetbenutzer zugreifen, die eine Authentifizierung mit SSL-Clientzertifikaten ausführen.

Maximalen Internetnamens- und Kennwortzugriff auswählen

Verwenden Sie diese Methode, um den maximalen Internetnamens- und Kennwortzugriff für eine oder mehrere Datenbanken auszuwählen.

  1.    Stellen Sie sicher, dass Sie in allen ausgewählten Datenbank-ACLs über Managerzugriff verfügen.

  2.    Wählen Sie im IBM® Domino® Administrator-Serverfenster einen Server aus, der über Managerzugriff auf die Datenbank verfügt.

  3.    Klicken Sie auf "Dateien" und wählen Sie anschließend eine oder mehrere Datenbanken aus dem Domino-Data-Verzeichnis aus.

  4.    Klicken Sie auf "Werkzeuge - Datenbank - ACL verwalten".

  5.    Klicken Sie auf "Erweitert".

  6.    Falls Sie mehrere Datenbanken ausgewählt haben, aktivieren Sie die Option "Einstellung für Internetnamen und -Kennwort ändern".

  7.    Wählen Sie die maximale Zugriffsebene in der Liste neben dem Feld "Maximaler Internetnamens- und Kennwortzugriff" aus.

  8.    Klicken Sie auf "OK".