Hoy he tenido una charla super productiva con Alejandro Ahumada e Iñigo Bulnes de Domino+

Hemos tratado varios temas, y uno de ellos es el ver si es posible acceder vía Notes al servidor de ESLUG para poder utilizar las herramientas como el Foro, el Blog, etc. Así que hemos decidido cruzar certificados para permitir el acceso a nuestra plataforma de los usuarios de Domino+ y además hacer extensible este servicio a todo aquel que lo solicite. Lo único que tendría que hacer es mandarnos un correo electrónico a usuarios@slug.es con la copia segura de su ID y una pequeña presentación y explicación de los motivos de solicitar el acceso vía Notes. Nosotros realizaríamos el cruce de certificados e inmediatamente el usuario estaría en disposición de acceder a la plataforma de ESLUG con su ID de notes, sin tener que dar ningún alta de usuario.

A continuación os explicamos brevemente como hacer los pasos de crear la copia segura y una pequeña explicación de los cruces de certificados.


Como bien explicó Albert en su artículo, el ID de notes trae toda la seguridad y credenciales del usuario que le permiten autenticarse contra el servidor de manera segura y evitar suplantaciones de identidad. Hasta aquí perfecto tenemos nuestro entorno  de servidores y usuarios cerrado y sin fisuras. ¿Que sucede cuando quiero acceder a un entorno Domino distinto?

El proceso de autenticación básico se basa en el envío de la clave publica del id del usuario al servidor para solicitar acceso. Los siguientes pasos serian:

El servidor compara esa clave publica con la suya, si son de la misma organización hemos pasado el primer nivel de seguridad, después entrarían los siguientes pasos, que son comprobación del usuario y sus permisos.

En el caso de no pertenecer a la misma Organización, el servidor buscara un cruce de certificados que permita el acceso de ese primer nivel de seguridad.

En el caso de existir y no estar caducado pasaríamos a los siguientes niveles, que son los accesos al servidor, a las bases de datos, a los documentos, a los campos, etc.

Lo que hay que dejar claro es que por cruzar certificados no significa que le demos acceso a todo a aquellos usuarios u organizaciones cruzados, después de pasar el primer nivel de seguridad se aplican todos los demás, o sea si la ACL de una bd dice que no puede entrar, no entrará.

Que es un cruce de certificados

Un cruce de certificados es el proceso por el cual un administrador otorga una confianza desde una organización a otra, de manera que sean conocidos. Los cruces pueden ser a todos los niveles en los dos extremos.

/OrganizacionA contra /OrganizacionB  ---> Significa que todos los elementos de la OrganizacionA (usuarios y Servidores) confían en todos los elementos de la OrganizacionB (usuarios y Servidores)

/OrganizacionA contra /UnidadOrganizativa/OrganizacionB  -->Siginifica que Todos los elementos de la OrganizacionA confían en un subconjunto de individuos de la OrganizacionB, concretamente en aquellos que dependen de la UnidadOrganizativa cruzada, únicamente con ese subconjunto y con nadie más.

Por ejemplo la EmpresaA quiere dar acceso a los usuarios de la empresa B que están bajo la unidad organizativa /directivos. El administrador de la EmpresaA tendría que utilizar el ID de la Organizacion  /EmpresaA y cruzarlo contra el ID de la unidad organizativa /DIRECTIVOS/EMPRESAB

/OrganizacionA contra un individuo de la Organizacion B--> Por ejemplo, solo queremos dar acceso a una persona o servidor concreto de la Empresa B, así que tendría que cruzar certificado utilizando el certificador de la /EMPRESAA y cruzarlo contra FULANITO/EMPRESAB. de esta manera solamente ese individuo esta acreditado para acceder a la Empresa A.


Esto mismo podemos hacerlo también en origen, consiguiendo todas las combinaciones posibles, por ejemplo entre dos empresas quieren que solo se conecten dos servidores entre si. Tendríamos que utilizar el ID del servidor de la empresa A y cruzarlo contra el ID del servidor de la empresaB.

¿Tengo que mandar mi ID para que me puedan habilitar el acceso mediante cruce de certificado?

La pregunta del millón. Si el ID es tan seguro, ¿por qué tengo que mandarlo y dar la opción que otra persona pueda utilizarlo si adivina mi clave de acceso? No es necesario enviar un ID completo, únicamente es necesario acceder a la clave pública, así que podríamos mandar una copia segura de nuestro ID, que básicamente es la parte pública del mismo donde reside mi identidad.

Cómo hago una copia segura de mi ID para poder enviarlo

Para poder generar la copia segura iremos al menú Archivo-->Seguridad-->Seguridad del usuario



Introducimos la clave de acceso

Vamos a la sección "Tu identidad"-->"Tus certificados"-->Otras acciones-->Exportar ID de Notes




Guardamos el archivo con un nombre significativo y estaría listo para poder enviarselo a la otra organización y que ésta pueda realizar el cruce.



-- Fin del documento --

Lotus Notes