In mijn vorige artikel legde ik uit hoe je Domino x.509 client certificaten kan laten ondersteunen voor de authenticatie van gebruikers op websites. Certificaten worden normaal gesproken voor een jaar uitgegeven en vervallen als deze niet tijdig worden verlengd. Op het web site document binnen de Domino Directory kan je aangeven wat er dient te gebeuren met vervallen certificaten. Onder de SSL Options (Accept expired SSL certificates) zal vermeld moeten worden wat er moet gebeuren met zo'n certificaat: accepteren of niet.
Naast vervallen certificaten kennen we ook nog een groep van certificaten die niet meer geldig zijn omdat deze ingetrokken zijn door de uitgever van het certificaat. Denk hierbij aan een certificaat van een gebruiker die bijvoorbeeld uitdienst is getreden bij zijn werkgever voor de vervaldatum van het certificaat. Dit certificaat is technisch gezien nog bruikbaar, het certificaat is immers nog niet vervallen. Echter het certificaat mag functioneel niet meer gebruikt worden omdat de betreffende werknemer niet meer bij zijn werkgever werkt. Het certificaat dient te worden ingetrokken door de uitgever van het certificaat en zal door hem op een CRL (= certificate revoke list) lijst geplaatst worden. Deze CRL kan gebruikt worden om te verifieren of een certificaat nog geldig is (gedurende de looptijd van het certificaat).
Domino ondersteund de CRL functie voor certificaten. Ik wilde er daarom gebruik van maken om de beveiliging van het Extranet op een hoger niveau te brengen. Helaas is deze ondersteuning alleen van toepassing op certificaten die door het Domino CA proces aangemaakt worden. Externe certificaten, zoals het Digitaal Paspoort waarmee ik bezig ben, en de bijbehorende externe CRL's worden nog niet ondersteund in Domino. Ten minste niet in Domino 6.5.4 dat wij momenteel gebruiken op ons werk. Ik heb het nodige leeswerk gedaan in de handleidingen van Domino en gezocht op het Lotus Notes/Domino 6 and 7 Forum en kan niets vinden dat op de ondersteuning van externe CRL's wijst.
Zoals ieder systeem heeft Active Directory ook zijn limieten. Tijdens wat Active Directory research kwam ik het volgende Technet artikel tegen waarin deze worden benoemd: Active Directory Maximum Limits . Kort samengevat zijn de limieten: Maximum aantal objecten per domain controller in een forest : ongeveer 2,5 biljoen (gedurende de volledige levensduur). Maximum aantal security identifiers (SID's) per domein : ongeveer 1 biljoen (gedurende de volledige levensduur). Aantal groepen waarvan een security indentifier (persoon, groep, computer account) lid kan zijn : ongeveer 1.015 groepen. FQDN lengte limiet : maximum lengte is 64 tekens (dit is inclusief punten en mintekens) voor de fully qualified domain name (FQDN). Bestandsnaam limiet : Windows kent een pad lengte limiet van 260 tekens. Deze is ook van toepassing op de fysieke bestanden van AD zoals SYSVOL. Organisational unit limiet : maximum lengte is 64 tekens. Heeft te maken met de Windows limiet van 260 tekens die in de gaten
Reacties