标识恢复

强烈建议您为标识恢复使用标识保险库。但是,仍支持本主题中描述的标识恢复功能。

关于此任务

如果不使用标识保险库,要从丢失或损坏的标识文件恢复,请建议您的用户将其标识文件的备份副本保存在安全的位置,例如,存储在锁定区域中的磁盘上。丢失或损坏标识文件或者遗忘密码会导致严重的后果。如果没有标识,用户将无法访问服务器或读取使用已丢失的标识加密的消息和其他数据。为了防止在用户丢失或损坏标识文件或者忘记密码时发生问题,请设置 Domino® 以恢复标识文件。

注: 您仅可以使用标识恢复过程来恢复用户标识文件。您无法恢复验证者标识文件。

理想情况下,应指定几个管理员,由他们充当恢复标识和密码的组。尽管可以指定仅由一名管理员管理标识的恢复,但应该考虑让两个以上的管理员共同承担恢复标识文件的任务。指定一组管理员有助于防止由于一个管理员可以访问所有的标识文件而导致的安全性隐患。指定一组管理员时,可以指定在实际的标识恢复过程中,只需要其中的部分管理员。例如,如果为标识恢复指定五名管理员,但只需要三名管理员解锁标识文件,因此这五个人中的任意三个就可以解锁此标识文件。指定一组管理员但只需要其中部分管理员就可解锁的方法还解决了在一个管理员不在或离开公司时将无法解锁的难题。

标识恢复管理员需要对 Domino® Administrator、存储备份标识文件的数据库的显式“读者”访问权,以及对验证者标识文件或密码的访问权。他们无需是 Domino® 管理员。

要恢复标识文件,可访问验证者标识文件的管理员必须指定恢复信息,而且标识文件本身必须是可恢复的。可以通过三种方法来完成此任务:

  • 注册时,管理员用一个包含恢复信息的验证者标识创建标识文件。
  • 管理员从验证者标识文件中导出恢复信息并使用户接受这些信息。
  • 管理员使用 Domino® Administrator 客户机更改恢复信息。随后,在用户向其主服务器进行认证时,恢复信息将自动添加到用户的 Notes® 标识中。
注:

Domino® 将标识恢复信息存储在验证者标识文件中。存储的信息包括允许恢复标识的管理员名称、用户将其标识文件的加密备份副本发送到的邮件或函件收集数据库的地址,以及解锁标识文件所需的管理员数目。邮件和函件收集数据库包含一些文档,这些文档存储加密的备份标识文件的附件。这些文件使用随机密钥加密,并且在恢复之前不能用于 Notes®

标识文件的加密备份副本用于恢复已丢失或损坏的标识文件。恢复密码遗忘的标识文件更容易一些。如果原始标识文件中包含了恢复信息,那么即使没有加密的备份标识文件,管理员也可以恢复此标识文件。

可以随时为用户标识设置标识恢复。如果在注册用户之前为用户标识设置标识恢复,则标识恢复信息将在用户首次通过其主服务器认证时自动添加到用户标识中。如果在注册 Notes® 用户之后设置标识恢复信息,那么恢复信息将在下一次用户向其主服务器进行认证时自动添加到用户标识中。

警告: 如果用户将启用智能卡以用于其 Notes® 标识,请务必确保在对智能卡输入任何因特网密钥之前设置这些标识的标识恢复信息。否则,标识文件恢复过程将无法还原这些密钥。此外,无论以任何方式获得恢复信息,都会使已输入到智能卡中的任何因特网密钥变得无法恢复。

如何恢复标识

关于此任务

对于每个管理员来说,用户的标识文件都包含一个恢复密码,该密码是随机生成的,并经过管理员公用密钥的加密。对于每个管理员和用户来说,该密码都是唯一的。例如,管理员 Randi Bowker 有用户 Alan Jones 的唯一恢复密码,该密码存储在 Alan 的标识文件中。管理员 Randi Bowker 有用户 Susan Salani 的唯一恢复密码,该密码存储在 Susan 的标识文件中。

您可以选择密码的字符数(密码长度)来恢复密码,这会帮助确定密码长度或密码泄密的可能性。小于 16 个字符的密码长度是使用字母数字字符和十六进制数计算的。十六个字符长度的密码仅使用十六进制数生成。密码强度非常重要,因为高强度密码相对不容易泄密,因此具有可用性。一个较长且复杂的密码可能不易使用,因此管理员能够选择较短的密码长度。

另外,管理员现在可以配置定制消息,以帮助用户演练标识恢复过程。

要恢复标识,用户和管理员需执行下列操作:

过程

  1. 用户与指定的每个管理员联系,以获得管理员的恢复密码。
  2. 管理员通过使用其专用密钥解密存储在用户标识文件中的恢复密码来获得恢复密码。
  3. 然后,管理员将恢复密码给用户。
  4. 用户重复步骤 1 - 3,直到达到解锁标识文件所需的最小管理员数目。
  5. 文件解锁后,用户必须输入新密码来确保标识文件的安全性。

结果

在用户获得新的公用密钥,接受名称更改,或者接受或创建文档加密密钥后,Domino® 会自动将已更新的加密备份标识文件发送到集中式数据库。对于基于服务器的证书认证中心,用户连接到服务器后恢复数据库即会更新。如果用户的“个人”文档已经包含更新的公用密钥,重新验证用户不会生成要发送到恢复数据库的标识文件的加密副本。

如果其他验证者重命名了某个用户或该用户被移动到其他验证者,而且该验证者包含的恢复信息比用户先前验证者包含的恢复信息旧,则用户的标识文件不会接收新验证者的恢复信息。在使用新验证者之前,必须更新它的恢复信息,使它比先前验证者的恢复信息更新。要做到这点,管理员应该通过某种方式修改新验证者的恢复信息并保存它。这会使用新时间戳更新该验证者的恢复信息,并确保后来用更新后的验证者重命名的或移动到更新后的验证者的用户会将正确的恢复信息传播到用户标识中。如果需要,管理员可以随后撤销更改。

要防止未经授权的用户在已授权的用户不知道的情况下恢复标识,应确保对用户和服务器启用了密码验证。如果已启用密码验证,则已授权的用户会得知更改,因为该用户将无法使用合法的标识访问服务器。当未经授权的用户恢复标识文件时,将强制该用户更改密码。

作为一种额外防范措施,在恢复标识后,应要求用户重新接受恢复信息,然后更改其标识文件中的公用密钥。当用户访问主服务器上的数据库时,会自动重新接受恢复信息。这样会更改标识文件中的恢复密码信息。更改公用密钥改变了存储在标识文件中的公用和专用密钥。

标识恢复记录

关于此任务

关于标识恢复活动的重要信息会自动记录到本地的 log.nsf 文件,这样管理员就可以使用此信息来排除故障。

以下标识恢复信息会记录在本地。

  • 标识文件接收恢复信息的日期和时间。
  • 标识文件拒绝接收恢复信息或接收恢复信息失败的实例。
  • 要求将新备份用邮件发送到标识恢复数据库的事件。
  • 通过电子邮件将恢复标识发送到恢复数据库(成功和失败)