TOTP - Time-Based One Time password in Domino
0 likes373 views
Il documento discute il funzionamento della TOTP (Time-Based One-Time Password) come metodo di autenticazione multi-fattore (MFA) per migliorare la sicurezza degli utenti web. Viene fornita una panoramica dei prerequisiti e dei passaggi per implementare la TOTP in un ambiente Domino, insieme a dettagli sulla gestione degli account e risoluzione dei problemi. Infine, ci sono domande frequenti e risposte relative all'uso della TOTP in specifici scenari.
TOTP - Time-Based One Time password in Domino
- 1. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 1 TOTP Time-Based One Time Password Stefano Benassi – BeSt Informatica
- 2. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 2 Stefano Benassi • 49 anni • Laureato in Ingegneria Elettronica • IBM/HCL Collaboration Solutions dal 2000 • Dominopoint Staff dal 2013 • HCL Ambassador dal 2019
- 3. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 3 Agenda • Cos’è la TOTP • Perchè la MFA • Prerequisiti • Step di implementazione • DEMO • Manutenzione TOTP • Variabili notes.ini • Troubleshooting • Q & A
- 4. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 4 Cos’è la TOTP • Password “usa e getta” • Generata tramite un algoritmo basato su due parti di informazioni: • Chiave segreta condivisa tra l’app e il server • Fattore mobile = tempo • Generatore di chiavi (app) + server calcolano questo valore • Il server verifica che il token fornito dall’utente coincida con quello generato localmente AUTENTICAZIONE • App TOTP a disposizione (smartphone/PC): RFC 6238 • Google Authenticator • Microsoft Authenticator
- 5. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 5 Perchè la 2FA/MFA • Layer aggiuntivo di sicurezza per gli utenti web (Notes usa un certificato) • “Username + password” VS “Username + password + TOKEN” • Domino 12 utilizza la 2FA basata su TOTP: • app e il Domino ID Vault generano un token di 6 cifre che scade ogni 30 secondi • L’utente si autentica correttamente se: • fornisce le credenziali corrette • il token fornito coincide con quello generato dal server • I token vengono generati partendo da un URI che l’ID Vault crea in fase di set-up: • Differente per ogni utente • Primo login dopo abilitazione MFA set-up app TOTP generazione TOTP URI
- 6. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 7 Prerequisiti • Web Server e ID Vault server 12.0 o superiore • Template ID Vault 12.0 o superiore • ID Vault implementato e id utente presente nel Vault • Inserire web servers nel campo “Trusted Servers” (sezione Configuration del Vault) • Template domcfg.nsf 12.0 o superiore
- 7. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 8 Step di implementazione MFA 1. Creazione di un certificato di trust per la 2FA 2. Abilitazione TOTP su Configuration Settings 3. Abilitazione TOTP su Internet Site 4. Configurazione form di login 5. Riavvio del server
- 8. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 9 1 - Creazione certificato di trust 1. Copiare il cert.id nella data directory del server (dopo eliminare) 2. Eseguire il seguente comando su Domino: • mfamgmt create trustcert <Notes DN to allow> <certifier ID file> <certifier password> • ES: mfamgmt create trustcert "*/O=Best Informatica" cert.id password_certid 3. Verificare la corretta creazione nella Domino Directory 4. Eseguire il seguente comando su Domino: 1. show idvault
- 9. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 10 2 – Abilitazione TOTP auth su config doc 1. Aprire il configuration document del server tab “Security” 2. Impostare i campi seguenti:
- 10. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 11 3 – Abilitazione TOTP su Internet Site • Abilitazione su: • Server • Virtual Server • Internet Site • No TOTP con Basic Authentication o SAML Single/Multiple Servers (SSO) 1. Tab “Configuration”: 2. Tab “Security”:
- 11. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 12 4 – Configurazione form di login 1. ACL: -Default- entry con accesso Reader + Read Public Documents 2. Impostare $$LoginUserFormMFA come pagina di login
- 12. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 13 5 – Riavvio Vault server • E’ necessario un riavvio del Vault server
- 13. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 14 DEMO
- 14. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 15 Reset account TOTP (admin) • Eliminazione di tutti gli account TOTP di un utente • Client Notes: ID Vault db Actions Reset TOTP Items • Domino Administrator: People & Groups ID Vaults Reset TOTP Configuration
- 15. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 16 Gestione account TOTP (utente) • Configurare account TOTP aggiuntivi • Resettare codici d’accesso
- 16. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 17 Variabili TOTP notes.ini (Vault server) • TOTP_STEPSIZE durata in secondi del token (default 30 secondi) • TOTP_TIMESKEW_STEPS tempo da agg./togliere al TOTP_STEPSIZE (tolleranza) per consentire differenze di orario tra il Vault server e l’app (default 1) • è un fattore moltiplicativo: TOTP_STEPSIZE x TOTP_TIMESKEW_STEPS • ENABLE_IDV_CROSSDOMAIN_AUTHENTICATION da impostare ad 1 (sia sul web server che sul Vault server) se i due server sono in domini Domino differenti • autenticazione tramite Directory Assistance RIAVVIARE IL/I SERVER DOPO LE MODIFICHE
- 17. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 18 Troubleshooting • Web server • DEBUG_TOTP=2 • DEBUG_IDV_TOTP_TRANS=1 • INOTES_WA_DEBUG_SECMAILNOTESID=1 • ID Vault server • DEBUG_IDV_API=1 • DEBUG_IDV_TOTP_TRANS=1 • DEBUG_IDV_TRUSTCERT=1
- 18. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 19 Q & A • Q – Web server e ID Vault server sullo stesso server? • A – Sì (demo) • Q - MFA selettiva per certi utenti? • A – Attualmente non è possibile • Q – Traveler supporta TOTP? • A – Sì (Session Based authentication abilitata) • Q – No TOTP per connessioni provenienti da certi IP (es. azienda)? • A – Attualmente non è possibile
- 19. Copyright © 2021 HCL Technologies Limited | www.hcltechsw.com 20 Prossima sessione: Le nuove soluzioni Backup di HCL Domino Daniele Grillo – Grydan