Da wir in einem der kommenden Artikel gerne mehr über das Thema „Authentifizierung in HCL Notes Domino“ sprechen möchten, legen wir mit diesem Exkurs einmal eine Grundlage zu diesem weitreichenden Thema.
Die Authentifizierung über Zertifikate wie z.B. Passkeys ist mittlerweile der moderne Standard geworden. Doch nicht viele wissen, dass die Anmeldung im Notes-Client seit seinen Anfängen, also schon seit mehr als 30 Jahren, bereits über Zertifikate läuft. Das Zertifikat, welches uns in Notes authentifiziert, ist vereinfacht ausgedrückt die UserID, welche standardmäßig im Notes Data-Ordner lokal auf unserem PC liegt und auf welche unser Notes-Client zugreift. Wir melden uns also mit einer Zertifikatsdatei am Domino-Server an. Das Notes-Kennwort dient in diesem Sinne lediglich der Entschlüsselung dieser Datei. Man authentifiziert sich hier also nicht mit den beiden Komponenten „Username/Passwort“, sondern mit „Username/Zertifikatsdatei“.
Abbildung 1: Notes-Zertifikat im Data-Ordner des Notes-Clients
Irgendwann im Laufe der Zeit, in der Web-Anwendungen auch im Firmenkontext immer präsenter wurden, musste im NotesDomino-Kontext eine Möglichkeit her, sich auch über einen regulären Browser anmelden zu können. Die Notes-Zertifikatsanmeldung wurde über den normalen Webbrowser nicht unterstützt. Hierfür ist man dann zum gängigen Standard der Anmeldung mit Username und Passwort übergegangen – das war die Geburtsstunde des sogenannten Internetkennworts. Dieses spielt seither überall eine Rolle, wenn es darum geht, sich an Stellen zu authentifizieren, an denen die Notes-Zertifikatsanmeldung nicht unterstützt wird.
Abbildung 2: Im Bearbeiten-Modus des eigenen Personendokuments findet man das Internetkennwort als verschlüsselten Hash
Eine noch recht junge Erweiterung der Notes-Zertifikatsanmeldung ist das Prinzip der ID Vault. Dieses beschreibt eine Funktion des Domino-Servers, welche es erlaubt, die lokalen Notes-Zertifikate der User speziell gesichert auf dem Server zu hinterlegen. Wenn ein User sich neu mit einem anderen Notes-Client anmeldet, welcher den zugehörigen Domino-Server mit ID Vault erreichen kann, braucht sich dieser User hier dann nicht sein Notes-Zertifikat in den Data-Ordner zu kopieren, sondern kann durch Eingabe von Username und Passwort seine Zertifikatsdatei beim Server anfragen. Dies ist auch sehr praktisch, wenn ein Administrator z.B. zentral ein Kennwort zurücksetzen muss und sonst nicht so einfach an die Zertifikatsdatei kommt.
Abbildung 3: ID Vault des Domino Servers
Mit einer eingerichteten ID Vault gibt es auch eine Einstellung auf dem Server, die es einem erlaubt sich statt mit dem Internetkennwort auch mit der Notes-ID aus der ID Vault im Browser zu authentifizieren. Hier kann man dann in der Anmeldemaske einfach sein Notes-Kennwort eingeben. Produkte, wie z.B. HCL Nomad Web, haben als Grundvoraussetzung für die Installation eine ID Vault, denn bei Nomad Web handelt es sich um einen abgespeckten Notes-Client der weiterhin mit sicheren Zertifikaten arbeitet, aber über einen regulären Webbrowser nutzbar ist.
Abbildung 4: Option im Konfigurationsdokument des Domino Servers, um das Notes-Kennwort statt des Internetkennwortes zur Authentifizierung zu nutzen.
Mit der oben genannten zertifikatsbasierten Authentifizierungseinstellung (siehe Abb. 4) wird das Internetkennwort obsolet, sodass man sich nur noch ein Kennwort und zwar das Notes-Kennwort merken braucht.
In einem nächsten Artikel zum Thema Authentifizierung stellen wir euch darüber hinaus eine Möglichkeit vor, mit der ihr euch zukünftig durch eine Token-basierten Authentifizierung im Webbrowser das Internetkennwort sparen könnt. Habt ihr Fragen oder Anregungen? Dann ruft uns an unter 05251-288160 oder schreibt uns eine Mail an die info@itwu.de.