Посоветуйте как правильно организовать сертификацию id.
Есть несколько серверов разных организаций, и главный сервер - который будет выдавать сертификаты для некоторых id из этих разных организаций.
Какйо механизм выдачи сертификата для полученного id от организации на главный сервер?

 

А как сертифицированны промежуточные сервера? Одним сертификатором или для каждой организации свой?

 

Сейчас только главный сервер установлен. Поставим и остальные. Будут все одним сертификатором сертифицированны.
Я хочу, чтобы на главном сервере выдавались все id.

Задача такая - есть несколько организаций, в каждой будет или ест свой сервак.
На главном сервере будут заверяться сертификатами все id сотрудников с этих организаций, ну и видимо для серваков.
Я так понял что сделаю крос-сертификацию организаций.
А как правильно заверять id юзеров с этих организаций?
И что делать, в случае компрометации id юзера? Просто поставить на всех серверах проверку ID-файлов Notes?

 

Будут все одним сертификатором сертифицированны.

Я так понял что сделаю крос-сертификацию организаций

У Вас каша в голове.

Одна организация - один корневой id.

Задачу можно решить несколькими способами:
1. Создать с помощью корневого id дочерние по количеству организаций и использовать единый Лотусовый домен и единую адресную книгу. При этом маршрутизацию и работу с интернет-доменами отрулить не сложно.
2. Вы создаете несколько корневых сертификатов (разные организации) в разных лотусовых доменах, тогда Вам придется настраивать кросс-сертификацию.
При этом вы не сможете регистрировать пользователей и сервера одним сертификатором. Также будет несколько адресных книг. Нужно будет настраивать dc или da

 

Создать с помощью корневого id дочерние по количеству организаций и использовать единый Лотусовый домен и единую адресную книгу

Можно поподробнее и где почитать про это?

 

Можно поподробнее и где почитать про это?

Это же фундаментальные основы.

Сходите на специализированные курсы NDSA.
Если нет возможности почитайте документацию на IBM http://publib.boulder.ibm.com/infocenter/d.../v8r0/index.jsp?

 

Что то я ничего полезного не нашел в этой документации.

 

скопрометировали юзер ИД - перерегистрация, зашифрованные локальные базы будут утрачены (если нет нешифрованой копии)
есть такой процесс CA, кот может "хранить" сертификаты, в том числе и интернет, можно его заюзать
организация м.б. одна (по домену), ну а для "дочерних" - создать OU (организэйшн юнит)

 

Создать с помощью корневого id дочерние по количеству организаций и использовать единый Лотусовый домен и единую адресную книгу.

Дочерние id будут нужны для установки сервера и регистрации на тем юзеров. А тех юзеров, которых я хочу сертифицировать на главном сервере - как регить? Этим дочерним id, а потом кроссертифицировать этот id на главном сервере?

 

Вам нужно определиться с ключевыми понятиями в Domino

- организация домино
- домен домино
- сеть поименованная домино

и как они между собой соотносятся...

- организация это дерево основанное одним корневым сетификатором,

- домен домино , это группа серверов и пользователей у которых общей является основой Домино Директори ( каталог)

- сеть, группа серверов работающих по одному протоколу и имеющих однинаковое имя NotesNet

Соотношения:

- Один домен может содержать несколько организаций (деревьев) , которые могут быть между собой и кроссертифицированы на различных уровнях.
- Так же на основе одной организации могут бысть построены несколько доменов, которые не обязательно будет связаны между собой.

- Третий вариант, смесь первых двух, когда несколько доменов и несколько организаций




Если строете все в пределах одной корневой организации, то ничего кроссертифицировать не надо, т.к. между ними уже установлены доверительные отношения через общего предка, даже если это разные домены.