使用 Novell Single Sign-on 时的安全性事项


支持多用户

如果有多个用户使用一个 Windows* 95/98 工作站,则每个用户都可能会访问到第一个用户的机密。

为避免此类情况的发生,应在工作站完成如下步骤:

  1. 在“控制面板”中,选择“密码”>“用户配置文件”。

    2.

  2. 选择“用户可自定义首选项”> 单击“确定”> 重引导工作站。

    3.

选择此选项后,操作系统会为登录工作站的每位用户创建一个新的也是唯一的简报,之后 v-GO 即可使用各简报。


应用口令策略

在一些本身不提供此功能的应用程序中,可对用户输入的口令应用口令策略。

当口令输入到 v-GO 的“登录向导”中,而不是直接输入到应用程序的口令更改对话框中时,如果对口令策略进行了正确配置,使之能检测口令更改事件,那么 v-GO 就可以执行口令策略。

要设置口令策略,请创建一个 nssoPasswordPolicy 对象。

  1. 在 ConsoleOneTM 中,右击所需的 nssoSingleSignon 对象。

    2.

  2. 单击“新建”>“对象”>“nssoPasswordPolicy”>“确定”。

    3.

  3. 为对象命名(例如 ResearchPol)。

    4.

  4. (可选)定义属性。

    选中“定义附加属性”复选框并单击“确定”后,会出现 nssoPasswordPolicy“一般”页。 可在此完成以下任务:

    • 允许 v-GO 自动生成口令。
      •

    • 防止用户使用不接受的口令。

      如果创建了 nssoPasswordExcludeList 对象,可找到并选中它 > 单击“确定”>“确定”。

      要继续进行更改,单击“确定”>“应用”。

    5.

排除高风险的口令

使用 nssoPasswordExcludeList 对象,可防止用户输入高风险的口令。

  1. 右击 nssoSingleSignon 对象。

    2.

  2. 单击“新建”>“对象”>“nssoPasswordExcludeList”>“确定”。

    3.

  3. 输入一个名称(例如 ResearchList)。

    4.

  4. (可选)定义属性。

    如选中“定义附加属性”复选框并单击“确定”,您将进入 PasswordExcludeList 页。

    要将多个词添加到“排除列表”窗口中,请单击“添加”> 输入这些词。


    要一次添加一个词,请单击“添加”> 输入一个词 > 单击“确定”。 要一个接一个地快速添加,请选中“添加另一个词”复选框 > 单击“确定”。

    也可以在“排除列表”窗口中完成下列任务:

    • 要编辑列表中的词,请单击“修改”。
      •
    • 要将排除的词导出到一个文件,请单击“导出”> 找到某目录 > 输入文件名。
    • 要从导出的文件导入词,请找到并选中该文件。
      •
    • 要覆盖重复的词而不出现“已经存在”讯息,请选中“禁止复制讯息”复选框。
      •
    • 要将某些名称附加到文件中,请单击“导出”> 选中“附加到文件”复选框 > 找到该文件并选择它 > 单击“是”进行保存 >“确定”。
      •
    • 要保存列表并退出,请单击“确定”。 要保存列表并继续进行更改,请单击“应用”。
      •

  5. (可选)选中 Create Another nssoPasswordExcludeList。

    可以为每个应用程序创建一个单独的口令列表。 也可以只创建一个,然后重复使用。

    6.

使用增强型保护

使用 Novell(R) SecretStoreTM,您可以提供附加保护,方法是


锁定 SecretStore

对 Novell SecretStore 中的任何机密信息启用“增强型保护”选项后,如果您更改用户的 NDS(R) 口令,SecretStore 将进入锁定状态。 SecretStore 被锁定后,任何使用“增强型保护”选项储存的机密信息均无法被读取,直至 SecretStore 被解除锁定。

只有在用户提供设置的上一个 NDS 口令后,SecretStore 才能被解除锁定。 由于管理员应当不知道用户的上一个 NDS 口令,因此采用“增强型保护”所保护的机密信息可安全保存。

NDS 和 SecretStore 能够区分出用户进行的口令更改和管理员进行的口令更改。 SecretStore 只在管理员更改用户口令时才锁定。 只有在用户进行口令更改时,用户上一个口令的加密哈希才在 SecretStore 中更新。

在用户帐户被创建之后、在储存由增强型保护功能保护的机密之前,如果用户已经至少更改过一次 NDS 口令,那么这一保护是绝对安全的。 因为用户这样操作时,管理员并不知道他先前的口令。 按标准惯例,您在 NDS 中建立新的用户对象时,应要求用户在第一次登录时更改口令。

拥有相当于管理员权限的用户(即,拥有“超级用户”权限,但并不是真正的网络管理员)在设置自己的口令时必须小心谨慎。 如果用户在以相当于管理员权限的身份登录时设置口令,那么用户的 SecretStore 将锁定。


设置主口令

“增强型保护主口令”功能为用户提供了解除 SecretStore 锁定的另一种途径。 使用“主口令”功能,您可以在 SecretStore 中储存和更新永久性口令。 如果您(管理员)重设置 NDS 口令,则用户可以通过使用主口令而不是先前的 NDS 口令来解除 SecretStore 锁定。

SecretStore 管理器(SSMANAGER.EXE)为主口令提供了一个界面。 使用此实用程序,您可以将提示信息与主口令一同保存。 之后,如果您在解除 SecretStore 锁定时,输入了错误的口令,那么“SecretStore 管理器”会显示此提示信息,使您回忆起主口令。

其它解除 SecretStore 锁定的界面(例如 Lotus* Notes* 和 Entrust 连接器中内置的界面)会接受主口令而不接受上一个 NDS 口令。 但是,这些界面可能不能显示提示信息。

要设置主口令和提示信息,请从 Single Sign-on 程序组启动“SecretStore 管理器”(或 SecretStore Status)> 单击“选项”>“设置主口令”。

也可从“SecretStore 管理器”设置主口令,方法是输入

ssmanager.exe /sp

此命令会打开“设置主口令”对话框。 如果想鼓励用户设置主口令和提示信息,此功能可能会非常有用。


设置应用程序口令

“应用程序口令”是一个可选的增强型保护功能,用于保护应用程序的机密信息,使已鉴定工作站上运行的其它应用程序不能使用这些信息。 此口令为可选口令,在写入机密时以每个机密为基础进行保存,它可以防止某应用程序读取机密信息,除非它在调用 NSSOReadSecret() 函数时能够提供正确的应用程序口令。

应用程序口令由创建机密信息的、Single Sign-on 启用的应用程序定义。 对每个应用程序和用户来说,应用程序口令应当唯一。 这些口令是真正的应用程序机密,用户或其它任何应用程序将无法得知它们。

在 NDS 中为应用程序的 Single Sign-on 配置设置了“使用应用程序口令”选项后,用于 Novell Single Sign-on 的 v-GO 会使用应用程序口令功能。 Single Sign-on 启用的应用程序和连接器的每位开发者也可使用“应用程序口令”功能。

如果机密信息是用“应用程序口令”储存的,那么除非储存了主口令,否则您将无法查看或读取机密信息。 用户尝试查看用应用程序口令保存的机密时,“SecretStore 管理器”会提示用户提供主口令。


将 SecretStore 从一个树复制到另一个树

使用“SecretStore 管理器”,可将 SecretStore 内容从一个树复制到另一个树。

假设场景: Digital Airlines 公司收购了 AdVenture 公司。 前 AdVentureCo 公司员工的帐户在 DA 树中。 这些员工可鉴定到两个树,可将他们的机密信息从他们在 AdventureCo 公司的帐户复制到 DA 树中的新帐户。

v-GO 一次只能按一个 SecretStore 进行工作。v-GO 会让用户对新树或对象同步 v-GO 机密信息(如果他们能鉴定到旧树),从而提供有限的复制功能。 但是,v-GO 不会将任何非 v-GO 机密信息复制到新树。 而由“SecretStore 管理器”复制那些机密信息。

在这两种情况中,保证安全的关键是需要用户重新鉴定到源树对象,并确保在允许复制信息之前,SecretStore 未被锁定。 否则,他人可以窃取机密信息。


断开状态的鉴定

为了提高性能,v-GO 会将其机密信息从 NDS 内的 SecretStore 超速缓存到工作站 Windows 目录下的加密信息存储区中,格式如下:

用户名 AML.INI。

在用于 Novell Single Sign-on 的 v-GO 中,可对此本地存储区进行配置,使其在 NDS 鉴定会话关闭后仍然存在。 膝上型计算机用户使用这样的配置可以在行进中对登录数据进行访问。

在 NDS 连接的网络中启动计算机(和 v-GO)时、在本地存储区更新登录数据时、以及在关闭 v-GO 时,都会进行同步。 当用户登录到 Windows 时,将被授予对本地存储区的访问权限。

NSSO 2.1 包括并安装 Novell 模块化鉴定服务 (NMASTM) 企业版客户程序。 此客户程序为 v-GO 提供 NDS 断开状态的鉴定和口令显示重新鉴定功能。默认情况下,NSSO 工作站安装程序 (NSSOINSTALL.EXE) 会安装 NMAS 客户程序并配置 Novell ClientTM,以在 NDS 登录对话框中显示 NDS Password 字段。 NDS 口令后登录方法会将 NDS 口令的 NICI 加密的哈希拷贝储存在注册表中。 然后,NSSO 会将此加密口令与用户在对断开连接的鉴定或重新鉴定事件做出响应时输入的用户名和口令证书进行比较。

如果用户使用非 NDS 口令方法,那么每个用户必须使用一次 NDS 方法,在工作站上建立口令证书。 然后,对于到目录的正常生物统计学、智能卡或令牌鉴定,可将 NDS 口令方法从登录进程中去除。


使用 NDS 屏幕保护程序

NDS 屏幕保护程序利用 NDS 来鉴定用户,以解除 Windows 工作站的锁定。 NDS 屏幕保护程序适于在 Windows 95/98 环境中运行,它需要 Novell Client for Windows 95/98 3.30 的支持。

与 Novell Single Sign-on 包捆绑在一起的 NDS 屏幕保护程序是 NMAS 客户程序的一部分。 完整的 NMAS 企业版 2.0 能够对屏幕保护程序进行集中管理,包括对十五分钟最大超时值的控制。 该值可以减小,但不能大于 15 分钟。

默认情况下,在 Windows 95/98 工作站上安装 Single Sign-on 时,会安装 NDS 屏幕保护程序。 对于 Windows NT/2000 工作站,则可选择是否安装屏幕保护程序。

工作站从网络中断开时,NDS 屏幕保护程序会利用 NICI 服务功能将用户口令的加密哈希安全地储存到注册表中。 屏幕锁定后,屏幕保护程序允许在服务器控制台上进行类似于 NDS 功能的重新鉴定。

要集中管理屏幕保护程序,需要 NMAS 2.0。 使用此配置,可以允许或禁止用户进行下列操作:

用户可使用的所有设置均显示在“显示器控制面板”上。 工作站用户可以使用您允许的设置。

在工作站上安装好此部件后,它将被自动使用。 锁定工作站或启动屏幕保护程序后,使用 NDS 对话框,用户可以鉴定到 NDS。 如果鉴定成功,则将解除工作站锁定,用户可转到桌面。

您也可以解除工作站锁定,但这样将会造成用户被注销。 在此情况下,用户正在运行的任何程序都将终止。 请小心使用此功能,因为未保存的文件可能会丢失。

同样,如果您锁定自己的工作站,则也可能需要解除锁定。

假设场景: 您的工作站已连接到 NDS,且正在使用 NDS 屏幕保护程序。 您锁定了工作站。 失去与网络的连接。 要解除工作站锁定,可使用以下方法之一:

要安装 NDS 屏幕保护程序,请从 Novell Single Sign-on 光盘上的 \CLIENT\NMAS\SCREENSAVER 目录中运行 CLIENTSETUP.EXE 程序。

注意:  在 Windows NT 上锁定屏幕保护程序时,超时之后,屏幕可能会变为空白。 由于 Windows 的问题,解除锁定对话框的出现需要两分钟左右。