- Основные функции, входящие в базовую поставку lotus notes/domino
- Краткое введение
- Coexistence manager for notes (cmn)
- Migrator for notes to exchange (mne)
- Базовые настройки
- Дальнейшие действия будем выполнять на клиенте
- Дополнительные решения ibm, включенные в лицензию ibm lotus notes/domino
- Конфигурирование stunnel
- Миграция
- На клиент надо поставить следующие пакеты:
- На сервере:
- Настройка pam-аутентификации с использованием kerberos
- Настройка аутентификации по открытому ключу
- Настройка рабочего окружения
- Настройка сети
- О платформе lotus notes
- Облачные сервисы ibm connections и verse: обзор возможностей
- Подготовительный шаг
- Пост-миграция
- Пошаговый пример процедуры миграции при помощи решений mne и cmn
- Пре-миграция
- Терминология kerberos
- Традиционно ibm lotus notes/domino применяют для создания информационных систем следующей направленности
- Установка lotus notes /domino обеспечивает:
- Заключение
Основные функции, входящие в базовую поставку lotus notes/domino
- среда исполнения приложений автоматизации групповой деятельности
- криптозащита (шифрование и электронная подпись)
- клиент электронной почты
- сервер приложений
- почтовый сервер
- групповой календарь, планировщик задач
- клиент среды обмена мгновенными сообщениями (Instant messenger) Lotus Sametime (сервер Sametime является самостоятельным продуктом)
- веб сервер — для предоставления доступа к приложениям Lotus Notes через браузер
- LDAP сервер
- репликация — синхронизация между дистанционно удалёнными экземплярами баз данных
- службы интеграции данных Domino Enterprise connection services (DECS)
Краткое введение
Для начала проведем небольшой ликбез по терминологии Kerberos и рассмотрим доступные реализации этого протокола в ОС на базе GNU/Linux. Сразу оговорюсь, что мне не удалось найти однозначного перевода терминов, использующихся в Kerberos, поэтому для избежания путаницы основные термины я буду дублировать на английском.
Итак, начнем. Если процитировать Википедию, то
Kerberos – сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации. Ориентирован, в первую очередь, на клиент-серверную модель и обеспечивает взаимную аутентификацию – оба пользователя через сервер подтверждают личности друг друга.
Стоит отметить, что Kerberos в первую очередь является протоколом, а не конкретной системой аутентификации. Его реализации используются в различных операционных системах, в том числе и в Windows, как метод аутентификации пользователей в домене. Существует несколько open source реализаций протокола Kerberos, например оригинальная MIT Kerberos и Heimdal.
Coexistence manager for notes (cmn)
Это решение выполняет двустороннюю синхронизацию LDAP-каталогов, создает контакты для почтовых объектов (ящики, списки, рассылки, ресурсы) из исходной системы. Есть возможность произвольной настройки сопоставления атрибутов и использования трансформации данных на лету. В результате вы получите идентичные адресные книги в Lotus и Exchange.
CMN также обеспечивает SMTP-связь между инфраструктурами:
CMN можно использовать в режиме кластеризации для отказоустойчивости и повышения производительности. В результате вы получите сохранение форматирования писем, поддержку сложных расписаний и запросов на ресурсы между почтовыми системами.
Еще одна важдая функция CMN — эмуляция Free-Busy. С ней коллегам необязательно знать кто чем пользуется: Lotus или Exchange. Эмуляция позволяет почтовому клиенту получить данные о доступности пользователя из другой почтовой системы. Вместо синхронизации данных, запросы между системами пересылаются в режиме реального времени.В результате можно пользоваться Free-Busy даже после миграции части пользователей.
Migrator for notes to exchange (mne)
Этот инструмент выполняет непосредственную миграцию. Сам процесс миграции можно условно разделить на несколько этапов: пре-миграция, миграция и пост-миграция.
Базовые настройки
После установки пакетов на сервере нужно инициализировать realm командой
$ sudo krb5_newrealm
А на клиенте – обновить файлы конфигурации:
$ sudo dpkg-reconfigure krb5-config
Также на клиенте и сервере надо добавить следующие строки в /etc/krb5.conf:
Дальнейшие действия будем выполнять на клиенте
Отформатируем токен
Дополнительные решения ibm, включенные в лицензию ibm lotus notes/domino
- IBM DB2 Enterprise Server Edition
- IBM Lotus Expeditor
- IBM Lotus Notes Traveler
- IBM Lotus Sametime Entry
- IBM Lotus Workflow
- IBM Tivoli Directory Integrator
- IBM WebSphere Application Server Network Deployment
Конфигурирование stunnel
Осталось только правильно настроить наш туннель. Для этого создадим файл stunnel.conf с настройками Stunnel по умолчанию и напишем туда следующее:
Миграция
При миграции выполняется копирование данных почтовых ящиков в несколько потоков с сохранением ACL и метаданных. Также мигрируют группы. При необходимости, можно выполнить дельта-миграцию, если по каким-то причинам не удалось это сделать за один раз. MNE также берет на себя управление перенаправлением почты.
На клиент надо поставить следующие пакеты:
При установке пакетов у нас спросят настройки по умолчанию, мы будем использовать следующие:
На сервере:
Создадим ключевую пару и сертификат нашего «УЦ». Здесь мы сгененируем ключ УЦ и создадим самоподписанный сертификат с помощью openssl. В реальном мире ключ естественно надо надежно защитить от попадания в чужие руки.
$ openssl genrsa -out cakey.pem 2048
# ...
$ openssl req -key cakey.pem -new -x509 -out cacert.pem
# ...
Создадим ключевую пару для KDC, заявку на сертификат и выпишем его сами себе.
Здесь нам потребуется специальный файл расширений OpenSSL (
), в котором будут указаны дополнительные поля сертификатов, используемых в Kerberos. В частности, мы зададим:
Настройка pam-аутентификации с использованием kerberos
Ранее при настройке клиентской машины мы поставили пакет libpam-krb5. Он поможет нам выполнить аутентификацию в Kerberos при входе в систему, а также в приложениях, использующих системную аутентификацию (например login, lightdm и проч.). Для подключения модуля PAM достаточно выполнить команду
$ sudo pam-auth-update
и выбрать в диалоге необходимые модули аутентификации. Для более тонкой настройки можно заглянуть в файл /etc/pam.d/common-auth и отредактировать его по желанию. Структуру файла я описывал в
Настройка аутентификации по открытому ключу
Для работы модуля pkinit нам придется воспользоваться openssl в качестве мини-УЦ, чтобы создать ключевые пары и сертификаты клиента и сервера.
Настройка рабочего окружения
Для начала необходимо развернуть среду, в которой будет производиться аутентификация. Наиболее просто это сделать, взяв две виртуальные машины, находящиеся в одной подсети. Достаточно установить на одну виртуальную машину какую-нибудь Ubuntu (это будет наш сервер), а затем клонировать ее и получить клиента.
Важно!
Следите за тем, чтобы время на клиенте и сервере было синхронизировано, это необходимо для корректной работы Kerberos.
Настройка сети
Клиенты Kerberos ищут свои сервера по доменным именам, поэтому необходимо настроить DNS и убедиться, что имена серверов успешно разрешаются. В нашем примере достаточно занести доменное имя сервера в /etc/hosts, что я и сделал. Схема «сети» изображена ниже.
О платформе lotus notes
Lotus Notes – мощное клиент-серверное программное обеспечение для автоматизации совместной работы и управленческой деятельности, решения задач документооборота, хранения слабоструктурированной информации в корпоративных Интернет/Интранет системах.
Особенностью Lotus Notes/Domino является объектно-ориентированная архитектура, благодаря которой возможно создание информационных систем, автоматизирующих работу со сложноструктурированными данными и неформализованными динамическими процессами. В составе программного продукта содержатся базовые функции, позволяющие организовывать работу распределённых рабочих групп и создавать приложения автоматизации процессов, поэтому Lotus Notes некорректно считать законченной системой автоматизации деятельности предприятия (так же как, например, не может считаться бухгалтерской системой MS SQL сервер).
Облачные сервисы ibm connections и verse: обзор возможностей
В современном бизнесе совместная работа через облачные сервисы — один из ключевых факторов успеха предприятия. Для этого IBM предлагает функциональность своих облачных SaaS-платформ — Connections и Verse. Краткое описание их возможностей и основных функций читайте далее.
Почтовый клиент IBM Verse
Это решение предлагает широкие возможности по организации, планированию дел и коммуникации с другими людьми. Почтовый клиент IBM Verse кроме непосредственно функциональности электронной почты имеет также встроенный месседжер для обмена мгновенными сообщениями с другими пользователями платформы, который доступен для ПК и мобильных устройств. Кроме этого в нем есть удобный календарь, антиспам-модукль и антивирус, которые обеспечивают дополнительную защиту от угроз, которые распространяются в электронных письмах — вредоносных скриптов, зараженных файлов и просто нежелательной почты.
В отличие от обычной электронной почты, клиент IBM Verse анализирует ваши шаблоны работы и помогает определить приоритеты. Информация, люди и задачи отображаются через персонализированный, гибко настраиваемый интерфейс, который предугадывает то, что вам нужно в конкретный момент. IBM Verse также объединяет возможности совместной работы, такие как совместное использование файлов в облаке и подключение к социальным сетям. Вы можете использовать IBM Verse из облака или сервера IBM Domino, со своего рабочего стола или практически на любом мобильном устройстве.
Встроенный календарь позволяет получить доступ к ключевым контактам в один клик. Он также показывает, что коллегам нужно от вас или вам от коллег, а также позволяет просматривать дополнительные материалы по задачам не покидая почтового клиента.
Архивация писем в IBM Connections Compliance for Mail
В качестве дополнительного модуля для IBM Verse или Connections Cloud S1 можно приобрести инструмент архивации писем в облаке. Он позволяет отправлять в облачный архив необходимые письма и получать к ним доступ отовсюду, где есть интернет. Также там присутствует удобная система поиска по архивированным письмам, возможность фильтрации и выделения необходимых писем. Администратор системы может назначать роли и делегировать права доступа разным пользователям, что обеспечивает доступ к письмам только тем людям, которые имеют на это право.
IBM Verse Mobile
Многие функции IBM Verse Mobile, такие как просмотр избранных пользователей, управление задачами и быстрая работа с приоритетными элементами также доступны на устройствах Android и iOS. IBM Verse Mobile предлагает интеллектуальные, настраиваемые приложения для устройств iOS и Android с оптимизированным пользовательским интерфейсом.
Для iOS приложение IBM Verse доступно в AppStore (поддерживает и iPhone, и iPad). Предыдущее приложение — IBM Notes Traveler — по-прежнему обеспечивает синхронизацию встроенных приложений почты, календаря и контактов. IBM Notes Traveler и Verse могут работать совместно на устройстве iOS.
Для пользователей Android приложение IBM Verse доступно в магазине Google Play (одно приложение для телефонов и планшетов). Важное примечание для пользователей Android: IBM Verse заменяет предыдущее приложение IBM Notes Traveler. Новое приложение Verse подключается к локальным серверам IBM Traveler без дополнительных изменений. Работать с IBM Verse Mobile могут лицензированные пользователи IBM Connections Cloud или SmartCloud Notes с почтовым ящиком в IBM Cloud, а также пользователь IBM Notes Traveler с локальным доступом к почтовому ящику.
При наличии почтового ящика в IBM Cloud и учетной записи Verse с лицензией обеспечивается наибольшее удобство работы на устройстве с поддержкой всех функций IBM Verse Mobile. Клиентам IBM Connections Cloud и локальным клиентам будет доступен ограниченный набор функций Verse. Подробнее список доступных функций смотрите на сайте производителя:
Онлайн-совещания в IBM Connections Meetings Cloud
Система позволяет проводить аудио- и видеоконфернции, используя в том числе записанное видео, а также организовывать чаты, опросы и выводить на экран общий рабочий стол. Система позволяет выводить на экран приложения (и демонстрировать работу в них), документы, презентации, мультимедийные файлы и др. Происходящее на экране можно записывать в форматах QuickTime, MOV или Windows Media Video (WMV). Имеется и возможность организации быстрых совещаний. В них также доступна аудио- и видеосвязь.
К подобным совещаниям могут присоединяться до 1000 участников. Все, что для этого нужно — это браузер и подключение к интернету, а также компьютер, работающий под управлением Windows или Mac OS. В качестве участника к организованным через IBM Connections Meetings Cloud встречам можно подключаться и с мобильных устройств. Поддерживаются устройства работающие на iOS, Android а также BlackBerry (вдруг у кого-то есть такая диковинка). Передача данных во время встреч осуществляется по протоколу HTTPS со 128-битным SSL-шифрованием.
Архивация контента в IBM Connections Compliance for Social
IBM Connections обалдает функциональностью защиты от утечки данных. Система позволяет отслеживать и архивировать социальный контент для соблюдения корпоративных и регуляторных требований. Также IBM Connections Compliance for Social умеет блокировать коммуникации, посты и файлы с конфиденциальной информацией, предотвращая тем самым их возможные риски связанные с потерей данных. Также модуль отслеживает и ведет историю всех постов, комментариев и их изменений в соцсетях, помогая следить за репутацией бренда.
Управление проектами из единого личного кабинета
Система IBM Connections предоставляет удобные инструменты управления проектами и контактами. Они доступны из единой панели управления и обладают встроенной функциональностью для администрирования.
Совместная работа над документами в IBM Connections Docs Cloud
IBM Connections Docs Cloud предоставляет единую платформу для ускорения циклов редактирования и проверки документов. Это позволяет всей команде работать сообща над текстовыми документами, электронными таблицами, презентациями и другими типами данных. Система поддерживает совместное редактирование, оставление комментариев, общение и групповое управление файлами.
Обмен файлами в IBM Connections Files on Cloud
Эта функция дает возможность управлять файлами и обменивайтесь ими с коллегами, клиентами и партнерами по бизнесу, а также синхронизировать данные онлайн с любимых мобильных устройств и планшетов на базе Android и iOS.
Техническая информация
Требования к программному обеспечению
IBM Connections Cloud поддерживает операционные системы Microsoft Windows 7, 8, 10 и Apple OS X 10.10, 10.11.
IBM Connections Cloud поддерживает следующие браузеры:
Google Chrome (текущая стабильная версия)
Mozilla FireFox ESR, FireFox (текущая стабильная версия)
Apple Safari 8, 9
Microsoft Internet Explorer 11
Microsoft Edge (кроме Chat, Meetings и Web Mail Cloud)
Требования к аппаратному обеспечению
Так как это облачное решение, никаких особых требований к оборудованию нет. Главное, чтобы имеющиеся устройства работали корректно и имели достаточно системных ресурсов для работы с интернетом.
В сухом остатке
Облачные сервисы Облачные сервисы IBM Connections и Verse, которые предоставляются по модели SaaS, обладают всеми основными инструментами для продуктивной коллективной работы. Среди них удобный и функциональный почтовый клиент и календарь, функция совместного удаленного редактирования файлов и передачи данных, удобный пользовательский кабинет и другие инструменты. Функциональность IBM Connections и Verse пригодится компаниям, в которых работают множество сотрудников, распределенные команды, разные отделы и удаленные пользователи, а также одновременно идет совместная работа над многими проектами. Единая платформа позволяет унифицировать подход сотрудников к работе, тем самым повышая их производительность и позволяя получить желаемый результат быстрее и с меньшими затратами.
Подготовительный шаг
Нам понадобится:
- OpenSSL
- Stunnel
- rtengine
- Доступ к тестовым серверам КриптоПро, для проверки соединения по TLS
OpenSSL для Windows можно взять отсюда, а для пользователей линукса — из репозиториев или собрать самому, скачав свежую версию отсюда. Также его можно взять из Rutoken SDK, из директории opensslopenssl-tool-1.
Пост-миграция
На этапе пост-миграции выполняется миграция локальных/шифрованных данных через self-service. Это специальная утилита, которая дешифрует сообщения. При повторной дельта-миграции эти письма будут переданы в Exchange.
Еще один опциональный этап миграции — это миграция приложений. Для этого у Quest есть специализированный продукт — Migrator for Notes to Sharepoint. В отдельной статье мы расскажем о работе с ним.
Пошаговый пример процедуры миграции при помощи решений mne и cmn
Шаг 1.
Выполнение обновления AD с помощью Coexistence Manager. Извлечение данных из каталога Domino и создание учетных записей пользователей (контактов) с включенной поддержкой почты в Active Directory. При этом почтовые ящики пользователей в Exchange еще не созданы. Записи пользователей в AD содержат текущие адреса пользователей Notes.
Шаг 2. Exchange может перенаправлять сообщения в почтовые ящики пользователей Notes сразу после изменения MX-записи. Это временное решение, чтобы перенаправить входящую почту Exchange до тех пор, пока не будут перенесены первые пользователи.
Шаг 3. Мастер переноса данных Migrator for Notes to Exchange включает учетные записи AD мигрирующих пользователей и устанавливает правила пересылки почты в Notes, чтобы почта, адресованная адресам Notes уже перенесенных пользователей, была перенаправлена в их активные почтовые ящики Exchange.
Шаг 4. Процесс повторяется при переходе каждой группы пользователей на новый сервер.
Шаг 5. Сервер Domino может быть выключен (на самом деле нет, если остались приложения).
Пре-миграция
На этом этапе выполняется анализ исходной инфраструктуры: домены, адреса, группы и т.д., создаются коллекции ящиков для миграции, учетные записи и объединение контактов с учетной записью AD.
Терминология kerberos
- Билет (ticket) – временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимая служба.
- Клиент (client) – некая сущность в сети (пользователь, хост или сервис), которая может получить билет от Kerberos.
- Центр выдачи ключей (key distribution center, KDC) – сервис, выдающий билеты Kerberos.
- Область (realm) – сеть, используемая Kerberos, состоящая из серверов KDC и множества клиентов. Имя realm регистрозависимо, обычно пишется в верхнем регистре и совпадает с именем домена.
- Принципал (principal) – уникальное имя для клиента, для которого разрешается аутентификация в Kerberos. Записывается в виде root[/instance]@REALM.
Традиционно ibm lotus notes/domino применяют для создания информационных систем следующей направленности
- Каталоги, картотеки, справочники, любые хранилища информации, в которых само собой возникает понятие «документа».
- Электронный документооборот (workflow, автоматизация бизнес-процессов) — приложения с довольно сложной логикой (ветвистые маршруты документов, множество различных состояний документа, утверждение и отклонение и т.д.), документы движутся от одного пользователя к другому, отслеживается статус, рассылаются уведомления. Электронный документооборот, системы документооборота, организация документооборота — основная сфера применения Lotus.
- Совместная работа с данными — групповая разработка документов, просмотр документов различными группами пользователей, разделение информации. В отличие от систем электронного документооборота не учитывает маршрутов документов.
- Интернет-приложения, вплоть до сайтов и порталов. Domino имеет в своем составе мощный веб-сервер, позволяющий «на лету» преобразовывать информацию, хранящуюся в базах данных, в стандарты Интернет, доступные для просмотра веб-браузерами.
- Логи, архивы, учет данных.
Установка lotus notes /domino обеспечивает:
- создание качественно нового уровня управления, основанного на электронных документах;
- повышение эффективности управления за счет документирования всей деятельности организации
- повышения прозрачности деловых процессов на всех уровнях управления;
- сокращение циклов прохождения документов и времени исполнения контрольных функций;
- обеспечение максимальной прозрачности процесса обработки документов и заданий и возможности оперативного контроля всех стадий управленческих процессов;
- создание единого информационного пространства предприятия.
По вопросам внедрения и работы продуктов Lotus обращайтесь по телефонам компании. Мы произведем для вас установку и настройку Lotus Notes.
Заключение
Применение протокола Kerberos для централизованной аутентификации в связке с централизованным созданием хранением и раздачей учетных записей (например, посредством каталога на базе OpenLDAP) позволяет создать «домен UNIX», полностью состоящий из машин под управлением свободного программного обеспечения.
