Purge Interval Replication Control (PIRC) - Contrôle de l’interval de réplication

InForM  12 Juin 2011 19:22:58

Cette option de réplication définie à partir de la version 8.5.3 permet d'éviter de récupérer des documents supprimés lors d'une réplication.

Pour la plupart d'entre-vous, relancer un ancien serveur Domino (de test) voire une station d'administration peut réinjecter d'anciens documents en production, vu que les talon de suppression ont disparus des répliques actuelles. Si vous avez beaucoup de situations de ce type, il va falloir étudier PIRC.

A. Architecture

PIRC interdit la réplication de certains documents en modifiant la date de dernière réplication autorisée. Si le serveur qui initie la réplication est en version 8.5.3, il consulte la date PIRC ainsi que la date limite  seuil de la réplication.

Un document DDM est généré afin de lister les documents ayant été ignorés par la réplication. Vous devez donc configurer DDM !

Si un serveur Domino non 8.5.3 réplique, alors dans ce cas, le numéro de séquence (SeqNum de l'ID unique du document Lotus) est comparé à la date PIRC. Si elle est antérieur, le document est rejeté. Le serveur d'origine n'a aucune erreur, seul un document DDM vous indique que le document a été rejeté (sur le serveur 8.5.3 Source ou Cible).

Les informations de date: PIRC prend en compte la dernière date de la purge des talons de suppression. Si aucune date limite ni de purge n'existe, PIRC prend en compte la date actuelle à laquelle il soustrait le nombre de jours de conservation des talons de suppression.

Par défaut la durée est de 90 jours + 1/3 de cette valeur, soit 120 jours



B. Alertes

Attention, avant d'activer PIRC sur une base, vous devez vous assurer QUE TOUS les documents ont été répliqués sur tous les serveurs, après c'est trop tard....
Pas vraiment, pour répliquer la totalité d'une base entre plusieurs serveurs, il suffit de forcer le paramètre -NOPIRC lors de la réplication entre les serveurs. Cela ne doit être qu'un palliatif temporaire bien sûr.
Inconvénient de l'option -NOPIRC: il faut:
a. Etre administrateur du serveur Cible
b. Avoir le droit de créer des répliques sur le serveur Cible

Profiles: en attente de validation du traitement (cf ci-dessous modèles)


Modèles Lotus-Notes (NTF)
Attention Domino prend en compte un nouveau champ de modification de la structure. Sinon vous risqueriez de perdre les anciens éléments de structures..... Donc PIRC ne supprime pas les éléments de structures anciens (Non NoteData).


C. Debug

La variable DEBUG_Repl_PIRC=1 permet de journaliser les erreurs/alertes de PIRC au niveau de Domino. Une valeur de 2 permet des informations plus détaillées.

Rappel: c'est une variable de DEBUG, donc temporaire.


E. Lister les bases PIRC

Lancer une commande SHOW DIRECTORY (Sh dir), une nouvelle colonne a été ajoutée
Ou
lancer sh dir -pirconly

pour n'avoir dans ce dernier cas que les bases PIRC.


D. Activation

Avant tout, pour activer PIRC, plusieurs possibilités:

1 Propriété de la réplication d'une base
Vérifier la date limite de réplication!!! Attention la date surveillée par PIRC correspond à la dernière date de purge!

Dans l'onglet Optimiseur cocher l'option "Enable Purge Interval Replication Control"



Cette option n'est disponible que si vous utilisez un serveur Domino 853.

2. Tâche Compact
L'option -PIRC on permet d'activer PIRC
L'option -PIRC off permet de désactiver PIRC

3. Options avancées via Administrator
L'intérêt de l'option avancée est d'utiliser Administrator pour activer cette option sur différentes bases à partir de l'outil bases de documents.

S/MIME

InForM  31 Janvier 2010 01:45:21

S/MIME est un procédé de sécurisation de la messagerie. Le message électronique peut être signé (comme pour la signature Lotus-Notes interne) et/ou chiffré (comme pour Lotus-Notes interne). Dans le cas du chiffrement vous devez posséder la clé de cotre interlocuteur (ce que fait votre client Lotus-Notes lors de l'envoi d'un courriel signé en interne).

S/MIME signifie Secure Multipurpose Mail Extension et comme son nom l'indique est basé sur MIME puisque MIME permet d'ajouter des pièces jointes et objets de tous types aux courriels.

Afin de signer un message il faut posséder la clé privée. Donc en tant qu'expéditeur, vous devez posséder une clé composée d'une clé publique et d'une clé privée. Vous allez utiliser votre ID Lotus-Notes, et donc grâce au coffre des ID, vous serez sûr de pouvez récupérer votre fichier ID, même en cas de crash de votre client Lotus-Notes.

On peut utiliser trois niveaux de certificats S/MIME:
- Level 1: ce niveau est de type "PERSON NON VALIDATED", généralement c'est une clé S/MIME (ou encore PKI pour être plus exact infrastructure de clés publiques ou encore Public Key Infrastructure)
- Level 2: ce niveau permet de prouver que votre identité a bien été contrôlée (par livraison d'une copie de deux pièces d'identité et d'un appel téléphonique)
- Level 3: ce niveau permet de prouver votre identité comme pour le niveau 2, mais de plus un entretien et une rencontre est nécessaire afin de certifier que vous être bien la personne que vous prétendez être.

Obtenir un certificat

Quel que soit le niveau un certificat s'obtient directement sur Internet (exempl StartSLL, ou un autre site). Le navigateur utilisé est important, Firefox fait très souvent l'affaire, mais vous pouvez utiliser Internet Explorer. Une fois votre certificat installé vous devez l'exporter afin que Lotus-Notes puisse être configuré.



Ensuite vous devez exporter cette clé, Firefox ou Safari permet d'exporter avec l'extension pfx ou p12 ou cer. Nous recommandons l'extension cer, mais les extensions pfx (Internet Explorer) ou p12 sont supportées.

Ensuite sous Lotus-Notes vous devez sélectionner l'option du menu Fichier/Sécurité/Sécurité utilisateur.
Choisir l'option des certificats Internet dans la boite de dialogue


Puis choisir l'option Importer les certificats Internet






Une fois le fichier sélectionné, vous devriez avoir les informations correspondant à votre certificat:

L'option détails avancés permet (s'il y a plusieurs clés) de définir le certificat par défaut pour l'envoi de messages signés.


Utilisation avec Traveler ou Blackberry
L'utilisation avec Traveler ou Blackberry est transparente, il faut que le fichier ID soit importé dans la base mail de l'utilisateur. Blackberry nécessite la saisie du mot de passe du fichier ID. Ce qui n'est pas le cas avec traveler si le mot de passe du fichier ID correspond au mot de passe de la session HTTP.
Attention si vous utilisez iNotes, il ne faut pas que la synchronisation du mot de passe Lotus-Notes et HTTP soit activés, en effet dans ce cas l'utilisateur ne peut pas importer ni mettre à jour le fichier ID présent dans sa boite mail. C'est le même problème avec le mode Lotus Single Sign-on introduit en version 8, si vous ne stockez pas le mot de passe dans le fichier ID, l'utilisateur aura un problème de mise à jour de fichier ID (et bien sûr un impact sur le coffre d'ID).



 

Lotus-Notes Traveler

InForM  12 Decembre 2009 21:52:30

Pré-requis
La version 851 FP1 corrige quelques soucis avec l'iPhone. C'est une version recommandée mais pas impérative. La version 8.5.2 de janvier 2010 contient déjà le correctif (version beta 2 utilisable en production).

Le pré-requis majeur ignoré par la plupart des administrateurs est que les serveurs de messagerie doivent au minimum être sous Domino 7.0.2. Surtout pour la partie iNotes utilisée par les téléphones portables (gestion des agendas, tâches).

Le serveur Traveler doit pouvoir accéder à toutes les bases mail et tous les serveurs de messagerie de l'entreprise. Créer un groupe pour ce serveur serait judicieux, ensuite si vous êtes maître de votre architecture (pas de prestataires), ajoutez ce groupe dans le groupe LocalDomainServers. Si vous voulez n'autoriser que quelques comptes, vous pouvez manuellement ajouter ce groupe à la Liste de contrôle d'accès des bases mails concernées.

Il faut activer l'authentitication de session (serveur seul ou SSO).

La partie client du logiciel est multi-langue, donc vous pouvez installer Traveler sur un serveur anglais dans un autre domaine que le(s) serveur(s) Domino.

Architecture

Le serveur Lotus Traveler doit être sur un serveur dédié de préférence. Pour une PME/PMI, il est parfaitement possible de l'exécuter sur l'unique serveur Domino de l'entreprise. Seul bémol, éviter d'avoir un serveur de fichiers sur la machine.
Sinon aucune incompatibilité avec un serveur BES (Blackberry Enterprise Server ou son petit frère BPS, Blackberry Professionnal Server), donc vous pouvez installer Lotus Traveler sur le même serveur Domino que votre serveur BES.

En mode multi-domaine et multi organisation, prévoyez de bien diviser votre architecture et l'assistance d'annuaires pour ne pas permettre l'accès à des annuaires non autorisés.

Sites Internet

L'utilisation des sites Internet est recommandé (mais pas obligatoire). Attention Traveler utilise le premier site présent et le modifie



Donc si votre serveur Traveler participe à plusieurs sites Internet (cas d'une PME), forcez votre configuration Traveler à fournir un site Internet non sensible en premier


Pour simplifier la gestion nous recommandons l'utilisation d'un site Internet pour le servlet de Traveler et la définition d'un hôte dédié (exemple: traveler.masociete.com), et de différents sites pour la partie téléphone (exemple: iphone.masociete.com, windowsce.masociete.com, symbian.masociete.com), non pas qu'il faille des configurations différentes, mais juste pour pouvoir tracer tout problème ou suivre la connexion de vos téléphones et bugs si nécessaire.

Le mode ultra-lite ne peut être accessible sur un serveur de messagerie, donc votre serveur Traveler (si aucune bàl n'est présente) ne sert qu'à la synchronisation. Pour permettre l'accès en mode http/https, vous devez utiliser un reverse proxy pour permettre l'accès aux boites aux lettres de vos utilisateurs à partir de Safari (iPhone) ou du logiciel Microsoft (Internet Explorer).

Installation

Il faut arrêter le serveur Domino avant de lancer le programme d'installation de Lotus-Notes Traveler. Une fois le serveur Domino arrêté, exécuter le programme d'installation de Lotus-Notes Traveler sur votre serveur (une installation à distance est parfaitement réalisable comme pour BES, sauf que contrairement à BES vous n'avez pas à relancer Windows pour terminer l'installation). Attention, les versions actuelles de Lotus-Notes Traveler ne sont disponibles que pour la plateforme Windows.

Votre fichier notes.ini doit être "propre", vous devez remplacer JavaUserClasses= par JavaUserClassesExt= AVANT d'installer Lotus-Notes Traveler.

Exemple

JAVAUSERCLASSESEXT=DOMCLASS1,DOMCLASS2,DOMCLASS3,DOMCLASS4,NTS_CLASSES
DOMCLASS1=e:\lotus\domino\java
DOMCLASS2=ibmjsse.jar
DOMCLASS3=mail.jar
DOMCLASS4=activation.jar
NTS_CLASSES=e:\IBM\Lotus\Domino\traveler.jar

La dernère ligne sera ajoutée par Traveler en fin d'installation. D'une part la variable JavauserClasses permet de s'affranchir de la limite des 255 caractères, d'autre part c'est plus lisible. Un bon administrateur découpera les noms comme suit:
DOM = Domino
ST=Sametime
QR=Quickplace our QuickR
NTS=Traveler

Ainsi si vous supprimez un logiciel, il suffit - après sa suppression propre au niveau du système d'exploitation - de supprimer les variables sans avoir à réfléchir (trop?).

Journalisation

Comme pour BES (BlackBerry Enterprise Server ou sa version gratuite BPS), Traveler journalise (moins que BES toutefois)

Le répertoire .../data/Traveler/logs contient les fichiers de journalisation.
Vous pouvez définir le niveaux de journalisation via la commande
Tell Traveler Log Level "niveau"
Exemple:
Tell Traveler Log Level severe
Seuls les événements de type sévère seront enregistrés dans les journaux

Les niveaux de journalisation sont
- Severe
- Warning
- Info
- Fine
- Finer
- Finest (valeur par défaut de Traveler)

Pour arrêter la journalisation d'un utilisateur, il suffit de lancer la commande suivante:
Tell traveler log RemoveUser "nom utilisateur"
Exécuter la commande suivante:
Tell traveler Log RemoveUser *
Permet d'appliquer le processus à tous les utilisateurs

Mappage des noms

Comme pour BES, Traveler permet de définir un mappage des noms, par exemple pour ne plus utiliser MailAddress, il suffit de modifier le mappage concernant ce champ notes. Il suffit de modifier les documents concernés dans la base des personnes et/ou des personnes iNotes. Ces bases Lotus sont stockées dans le répertoire .../traveler/map:














Si vous utilisez la version 6 de  la base mail (déconseillé, mais bon....), il faudra modifier le mappage via les bases "R6xxx"

Rappel: Les bases mails doivent être hébergées au minimum sur un serveur R7 de Domino.

SSL

Il est recommandé d'utiliser SSL pour sécuriser les échanges entre l'iPhone et votre serveur Traveler. Si vous déployez SSL après les premières installations, il faudra demander aux utilisateurs de recréer leur profil iPhone afin de pouvoir se connecter.
Si vous utilisez les sites Internet, vous pouvez depuis la version 8 n'utiliser SSL que pour l'authentification. A vous de juger de l'utilisation de SSL pour toute la session ou non.

Captures d'écran

Tellement compliqué à faire des copies d'écran sous l'iPhone....


L'accès à la messagerie via le profil ActiveSync















Accès aux différents dossiers
















Attention vous devez définir la liste des dossiers que vous souhaitez synchroniser. Par défaut la corbeille ne peut pas être synchronisée.


La création d'un message permet de sélectionner les destinataires















La sélection d'un destinataire permet de sélectionner les comptes locaux par défaut ainsi que les contacts récents (Depuis Domino 8).



















L'icône "Lotus iNotes" permet d'accéder à la messagerie Lotus-iNotes:

















Chiffrement (Lotus)  

Vous pouvez directement utiliser l'application iNotes pour cela, mais:
Pour lire les courriels chiffrés, vous pouvez déployer l'application Lotus Notes Companion. Soit à partir de l'Apple Store, rechercher IBM Lotus Notes Traveler Companion.
Cela installe une nouvelle application sur votre iPhone:





Ensuite il faut configurer Lotus Companion. Pour cela:
- S'assurer que votre base mail contient votre ID Lotus-Notes
- Vous connaissez l'url de votre serveur Traveler:www.trucmuch.com/servlet/traveler
- Vous connaissez votre mot de passe et compte HTTP
- Vous savez si vous utilisez ou non SSL (important sinon il faut recommancer!

Si tout est OK, une fois la configuration effectuée vous avez vos informations:





Ensuite en réception d'un mail chiffré, il suffit d'ouvrir  le message puis de sélectionner le lien vers Companion.
Il y a deux actions à réaliser:
1 Ouvrir le courriel puis cliquer sur le lien:




2. Saisir votre mot de passe

Assistance d’annuaires

InForM  21 Juillet 2009 23:34:14

Une assistance d'annuaire est créée et utilisée après les étapes suivantes (Au nombre de 3)

Etape 1:

Création de la base d'assistance, avec le modèle DA50.NTF (DA.ntf à partir de Domino 8.5.1) localisé sur le serveur Domino
Le nom de la base importe peu, nous recommandons d'éviter DA.nsf, car c'est le premier nom qui nous vient à l'esprit lors d'une attaque d'un serveur Domino.
ATTENTION: la base d'assistance doit impérativement être localisée à la racine du répertoire de données de Domino (DATA).



Etape 2:

Création des documents permettant à Domino de fournir les différents annuaires. Les annuaires Domino référencés peuvent être placés dans n'importe quel sous-répertoire de Domino (en dessous de data donc)

Vue d'ensemble, une fois les documents créés


La colonne type permet de savoir si c'est un annuaire Notes ou LDAP, lma colonne règle permet de contrôler la recherche (pour la messagerie par exemple (ici *, donc aucune restriction), la colonne trusted permet d'indiquer si l'annuaire référencé permet l'authentification, la colonne Groupe permet de savoir si l'annuaire référencé contient des groupes qui seront utilisés pour l'authentification (un seul et unique annuaire), la colonne Uniquement pour l'authentification permet depuis la version 8 d'optimiser Domino, ainsi les annuaires de ce type ne contienne que des comptes pour l'authentification et seront ignorés par la tâche routeur.

Les différentes parties des documents

Onglet 1


Le nom de domaine (en dessous du type Notes) ne doit pas correspondre à votre nom de domaine (sauf si vous souhaitez utiliser plusieurs annuaires de groupes, mais ce n'est officiellement pas supporté).
Le nom de la société ne doit pas correspondre au nom de votre société.

Vous pouvez rendre ce domaine (ou annuaire) accessible aux clients Notes et Web (authentification) et/ou aux clients LDAP

Onglet 2


La dernière colonne permet d'autoriser Domino à utiliser cet annuaire pour l'authentification via le Web.

Onglet 3



Nous utilisons le caractère Joker, car notre configuration en cluster permet de répliquer tous les annuaires sur tous les serveurs, le fait de mettre "*" permet d'utiliser le serveur local (courant) et donc d'être plus performant. Si toutefois un nombre restreint de serveurs Domino possèdent une réplique des annuaires référencés, il sera préférable de lister les serveurs sous leur nom canonique (CN=SRV/O=ORG). Mais même si votre serveur est listé, ce ne sera pas forcément ce dernier qui sera utilisé.

Pour LDAP nous retrouvons presque la même chose

Onglet 1:


L'option Web permet d'accéder à un serveur LDAP non Domino

Onglet 2:
Inchangé, sauf que le champ Authentification positionné à "Yes" nécessite une connexion SSL définie au niveau de l'onglet 3

Onglet 3


Les boutons Verify vous permettent de contrôler les saisies manuelles (vérification en ligne) et le bouton suggest vous permet de récupérer les valeurs considérées comme valeurs par défaut pour les champs concernés.

Etape 3:

Activer l'assistance d'annuaire au niveau du document serveur, soit via adminp (menu Actions) soit manuellement (dans ce dernier cas il sera nécessaire de relancer Domino). Nous vous recommandons si c'est possible de le faire manuellement et de relancer Domino dans la foulée.



Le nom de la base est enregistré au niveau du document serveur sélectionné



Après redémarrage les étapes de validation suivantes peuvent être réalisée:
- Pour toute personne ayant le serveur concerné par l'assistance d'annuaires en tant que serveur de messagerie, il suffit de créer un mémo, de cliquer sur le lien "A" et de lister les différents annuaires, noramelement tous les annuaires accessibles par l'assistance sont présents dans la liste



- Lancer la commande suivantes sur la console Administrator ou serveur: SHOW XDIR ou Show X, le résultat est le suivant:

sh x
  DomainName      DirectoryType         ClientProtocol Replica/LDAP Server
  --------------- --------------------- -------------- -----------------------
1 DFUG            Primary-Notes         Notes & LDAP   names.nsf
2 AZERTY          Secondary-Notes       Notes          angus.nsf
3 AZYUI           Secondary-Notes       Notes          lost.nsf
4 AIUOO           Secondary-Notes       Notes          d2r2.nsf
5 APOIU           Secondary-Notes       Notes          c2.nsf
6 KJHJJ           Secondary-Notes       Notes          c.nsf
7 YYYYYYY         Secondary-Notes       Notes          eT.nsf
8 AAAA            Secondary-Notes       Notes          e.nsf
9 AAAACVV         Secondary-Notes       Notes          g.nsf
10 AAAABVV         Secondary-Notes       Notes          h.nsf
11 IOOOOOOOS       Secondary-Notes       Notes          i.nsf
12 UYTY            Secondary-Notes       Notes          n.nsf
13 OXSS            Secondary-Notes       Notes          o.nsf
14 SAZE            Secondary-Notes       Notes          s.nsf
15 Z.TOTO           Secondary-Notes       Notes          Annuaires\Z.nsf
Directory Assistance Database 'dahub.nsf' in use

Droits d’exécution des agents

InForM  30 Mars 2009 20:45:27

Les agents Lotus-Notes développés en interne ou par des sociétés externes ne sont autorisés à être exécutés qu'en fonction du droit du "signataire" de l'agent'.

Par défaut le signataire d'un agent est le développeur Lotus-Notes qui l'a enregistré en dernier. Toutefois depuis la version 6 le signataire en met plus la copie limité de son fichier ID. Il est recommandé de signer les bases devant s'exécuter avec tous les pouvoirs avec un compte administrateur ou l'ID du serveur.

Attention quelque soit l'ID utilisé, il est recommandé de définir ce compte dans la Liste de contrôle d'exécution des postes afin d'éviter les alertes de LCE sur le poste utilisateur (cela ne concerne que les agents et codes interactifs).

Les droits d'exécution sont définis dans l'onglet "Sécurité" du document serveur.



La définition des droits se fait du niveau le plus élevé vers le moins élevé (de 1 à 6 selcon la copie d'écran). C'est à dire que pour avoir tous les droits d'exécution il suffit de définir le nom des développeurs au niveau le plus élevé (Niveau 1). Par défaut cela autorise tous les autres niveaux pour ce développeur et/ou signataire.
Lotus inclut d'office les comptes Serveur (courant) et Lotus-Notes Template Development/Lotus-Notes, vous n'avez pas à les ajouter.

Le Niveau 1
Le niveau 1 permet de définir les signataires autorisés pour les agents de type non restrictifs (qui peuvent modifier le système par exemple: changement de date, suppression de fichiers, etc....). Les personnes, groupes ou comptes autorisés seront les seuls ahbilités à créer un agent de sécurité de type 2 ou 3 (Autoriser les opérations restreintes et opérations restreintes avec droits d'administration complet).



Les utilisateurs définis en tant qu'administrateur de base au niveau du serveur Domino peuvent aussi supprimer des bases Lotus-Notes par un agent SANS être explicitement définis au niveau de la LCA de cette base.

Cette sécurité s'applique aussi aux xPages, toute fois une xPage non restreinte ne peut pas être exécutée avec les droits d'administration complet.

Le Niveau 2
Ce niveau permet de définir les droits d'exécution pour le compte de.... Tout signataire autorisé pourra exécuter ses agents pour le ocmpte de quelqu'un d'autre. Cela peut être dangereux (accès aux données confidentielles).

Le Niveau 3
Signer des agents pour le compte de l'appellant. Ce niveau de sécurité ne concerne que les agents Web ou les xPages. Ce champ est vide (par souci de compatibilité), ce qui signifie que par défaut tout signataire d'agent ou de xPage est habilité à exécuté son code sur le serveur Domino.

Le Niveau 4
Cette sécurité permet d'exécuter du code LotusScript et Java restrictif (pas d'accès au système).

Le Niveau 5
Permet d'exécuter des agents simples et des agents en formule. Par défaut ce champ - s'il est vide - permet l'exécution pour tout signataire.

Le Niveau 7
Sa valeur vide par défaut permet d'exécuter des bibliothèques de script à partir d'un agent SANS restriction. Attention aux performances, si vous activez cette zone, certains problèmes de performances peuvent apparaître, car à chaque chargement de bibliothèques, Domino contrôle les droits d'exécution.

Journalisation transactionnelle

InForM  2 Février 2009 09:48:13

La journalisation transactionnelle existe sous Domino depuis la version 5. La version 7 permet aux développeurs de journaliser ou ne pas journaliser une vue.

En utilisant la bonne version d'ODS, cela permet d'optimiser globalement certaines actions du serveur Domino (à l'époque de NSFDB2, il était nécessaire d'activer cette fonctionnalité). Les seules contraintes sont désormais les outils de sauvegarde et DAOS.

Que fait la journalisation transactionnelle?
Par défaut Domino va enregistrer les documents créés/modifiés dans la journalisation transactionnelle, puis les enregistrer définitivement dans la base Lotus-Notes. Les vues peuvent aussi êtres journalisées ce qui permet un affichage plus rapide des dernières informations en cas de crash par exemple (mais cela posait problème avec DB2).

Optimisation

Les optimisations permises par l'activation de cette option:

- Optimisation du temps de sauvegarde: en effet les outils de sauvegarde moderne permettent la sauvegarde quotidienne des journaux de transaction, ce qui est forcément plus rapide. Une sauvegarde complète est effectuée en fin de semaine, cela impacte donc aussi la restauration des données en terme de vitesse de traitement.

- Stockage des vues (attention vérifier avec l'équipe de développement): cette option permet d'optimiser l'affichage des vues au niveau des clients Lotus-Notes.

- Redémarrage rapide: en cas de crash les exécutions de fixup sont beaucoup plus rapide, ainsi les utilisateurs n'ont pas à attendre que la tâche de correction se termine sur leurs bases applicatives ou de messagerie.

- Récupération du système: le fait d'utiliser les journaux transactionnels couplés avec un outil de sauvegarde efficace permet de restaurer très rapidement un système Domino complet.

L'activation de la journalisation transactionnelle permet grandement d'optimiser les performances de Domino. Certains ont confondu les performances du journal avec l'intégration de DB2 (désormais en maintenance uniquement), en effet, le journal transactionnel permet aux applications Lotus-Notes, de ne pas attendre la validation de l'enregistrement d'un document ou de la réindexation d'une vue physiquement. Dès qu'un document est enregistré, c'est le journal qui intercepte l'information et renvoit rapidement le code de retour à l'application. Les données ne sont inscrites dans la base qu'après un délai. Les enregistrements du journal sont de type séquentiels, donc si vous choisissez un disque et un contrôleur rapides, les écritures sont très performantes et anticipés par le système Domino.

Les entrées/sorties disque utilisent le système d'exploitation, ainsi si la mise à jour d'une base Lotus-notes nécessite beaucoup d'entrées/sorties, l'utilisation du journal transactionnel permet de libérer Domino de l'attente des écritures sur disque.


Identifiant unique de base (DBIID)

Attention Le journal transactionnel utilise le DBIID (Database Internal ID) qui est différent de l'ID réplique de la base. Certaines commandes de compactage change ce numéro interne, vous devez donc absolument analyser tous les documents programmes et valider chaque commande compact exécutée sur le système Domino.
Le numéro DBIID est attribué et/ou modifié lors des actions suivantes:

- A la première exécution du journal transactionnel.

- Lors de l'exécution de certaines commandes compact (option -c ou  -D par exemple).

- Lors de l'exécution de la tâche FIXUP, vous devez exécuter fixup avec l'option -J et planifier une sauvegarde COMPLETE du serveur Domino.

- Lors du déplacement d'une base d'un serveur Domino vers un serveur Domino qui utilise le journal transactionnel.

Méthodes de journalisation

Trois méthodes ou version de journalisation existent, vous devez choisir une des méthodes en fonction de l'utilisation du journal transactionnel

- Circulaire: cette méthode journalisation utilise 4go pour la taille des fichiers, les entrées les plus anciennes sont remplacées par les plus récentes. Lors d'une sauvegarde quotidienne, le journal complet doit être sauvegardé. Cette méthode est suffisant pour DAOS.

- Linéaire: cette méthode est identique à la précédent sauf que la taille du journal peut dépasser la limite des 4Go.

- Archive: cette méthode ne purge pas les journaux transactionnels, il est donc nécessaire de lancer fréquemment la sauvegarde et surtout de s'assurer que la purge est effective car le serveur Domino pourrait ne plus avoir d'espace libre.


Préparation de l'activation du journal transactionnel

Il est nécessaire de s'assurer des points suivants

- Le matériel côté serveur doit être correctement configuré, il est recommandé d'utiliser au minimum du RAID 1 et surtout un contrôleur de disque dédié pour le journal transactionnel. VOUS NE DEVEZ PAS INSTALLER LE JOURNAL TRANSACTIONNEL DANS LE REPERTOIRE DATA DE DOMINO.

- Assurer vous que votre outil de sauvegarde (Tivoli, Tina, etc....) supporte la journalisation transactionnelle si vous l'activez pour la sauvegarde. De plus contactez le support de votre outil de sauvegarde pour valider la méthode de journalisation (Circulaire, Linéaire, Archive).

- Définir la méthode que vous souhaitez utiliser (Circulaire/Linéraire/Archive)

- Utilisation de la journalisation au niveau de la base (toutes les bases peuvent être journalisée) dans le cas d'un cluster, vous pouvez effectuer deux types de journalisation différentes par exemple. Vous devez utiliser le bon format ODS pour cela (au minimum version 5 et pour les développeurs ayant désactivé l'option au niveau de la vue, l'ODS version 6).

Mise en oeuvre de la journalisation

1. Editer le document serveur à partir de l'annuaire ou de l'onglet Configuration/Vue Tous les serveurs du logiciel Administrator
2. Sélectionner l'onglet "Journalisation transactionnelle"
3. Activer la journalisation transactionnelle dans le champ correspondant

4. Saisir le chemin physique pour l'enregistrement des journaux transactionnels, NE PAS UTILISER LE REPERTOIRE DATA, NI LE DISQUE CONTENANT LE REPERTOIRE DATA.
Indiquer si vous souhaiter utiliser la totalité de l'espace disque (rappel: les fichiers font 4Go). Sinon vous devez spécifier la taille maximale en Mo (Attention cette valeur est rémanente, en cas de changement de choix, enlevez D'abord la valeur du champ).
La valeur de taille autorisée va de 192 Mo à 4go (4096Mo), il est recommandé d'utiliser une valeur de 1028Mo soit 1Go.

5. Choisir le type de journalsiation.
La méthode Archive ne doit être utilisée que si vous avez un outil de sauvegarde.

6. Activer l'option de correction automatique des bases, cela permet de ne plus programmer la tâche fixup sur les bases journalisées et est beaucoup plus rapide en cas de crash.

7. Définir le type de performance "standard" convient dans la majorité des cas. L'option "Exécution" permet de favoriser les temps de réponse en producation. L'option "Récupération" permet d'optimiser les temps de récupération en cas de crash.


8. Quotas

L'option de quotas n'est pas propre à la journalisation transactionnelle, mais vous pouvez la configurer avant d'enregistrer votre document.


9. Enregistrer le document serveur

10. Si vous avez configuré plusieurs serveurs, forcez la réplication de l'annuaire Domino

11 Relancer Domino via la commande console RESTART SERVER. Attention: vous êtes en production et donc ne pouvez peut-être pas le faire n'importe quand.


Taille

La variable Create_R85_Log=1 du fichier notes.ini permet d'indiquer à Domino d'utiliser la taille des clusters de disque défini au niveau de l'OS au lieu des 512 octets par défaut.

Service Domino de gestion des Objets et des pièces jointes (DAOS)

InForM  1 Février 2009 19:23:03

DAOS (Domino Attachment and Object Service) permet d'optimiser de manière importante la gestion des pièces jointes et objets et ce depuis la version 8.5 de Domino en consolidant les pièces jointes au niveau du système d'exploitation.

Attention: il ne faut pas confondre DAOS et Shared_Mail, même si par certains aspects il semblerait qu'il y ait un lien, DAOS peut être étendu à d'autres applications que les applications de messagerie.


Que faut-il considérer avant d'activer DAOS?
- Le nombre de pièces jointes dupliquées: soit avec plusieurs bases soit au sein d'une même base (utiliser DAOSEST)
- La taille des pièces jointes: le gain est important pour les fichiers de taille moyenne et grande, les petits fichiers n'ont pas d'impact (la taille minimale est de 4ko), valider avec DAOSEST
- Tâche compact, DAOS optimise l'exécution de la tâche compact ainsi que les sauvegardes


Afin d'activer DAOS vous devez effectuer les opérations suivantes:
- Les bases concernées doivent être au format ODS de la version 8.5. Pour activer ce format l'administrateur a dû ajouter la variable CREATE_R85_DATABASES=1.
- Activer la journalisation transactionnelle et relancer Domino pour valider la journalisation transactionnelle (pas obligatoire).
- Activer DAOS au niveau du document serveur ET RELANCER DOMINO (impératif pour la suite des événements).



Attention si shared_mail est utilisé vous devez d'abord lancer la command load object -unlink nom base shared_mail, car DAOS et shared_mail sont incompatibles.

Vous pouvez utiliser DAOS  pour autre chose qu'une base mail (base applicative lourde par exemple).

Le chemin des fichiers DAOS peut-être relatif ou non au répertoire DATA de Domino. Nous vous recommandons de stocker les fichiers en dehors de data, donc sous Windows par exemple vous pouvez les placer sur un autre disque (e:\autredisque), pareil sous les autres OS (pour linux montez un volume dédié que vous pouvez rendre relatif à DATA, comme on peut le faire pour le sous-répertoire mail).


Estimation du gain apporté par DAOS

Vous devez estimez le gain de DAOS sur votre système: DAOSest est disponible à l'URL IBM suivante: http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg24021920

Exemple de statistiques, il est flagrant que c'est un petit serveur, 32000 pièce jointes uniquement

L'option -v permet d'avoir toutes les informations. Vous pouvez lancer DAOSest(.exe sous Windows) serveur arrêté ou via la console avec LOAD daosest -o nomdufichierdanslebinairedomino -v:

IL EST IMPORTANT DE VALIDER LE GAIN vs L'ADMINISTRATION!

Summary:
Total DB's analyzed:                             290
Total DB's skipped due to errors:                  0
Total Size of NSF's Examined:                   16.1 GB                  
Total Attachments found:                       32560                      
Total Duplicate Attachments found:              7218                      
Total Duplicate Attachments found:             32560                      
Estimated Size of DAOSified NSF's:               5.2 GB                  
Estimate Size of DAOS dir:                       8.7 MB                  
Total Disk Savings:                              3.1 GB                  
Compression Statistics:                                                  
None:                                        22980                      
Huffman:                                      8353                      
LZ1:                                          1227                      
Huffman on LZ1 servers:                          0                      

=============================================================================
|                 Size Distribution of All Attachments Found                 |
=============================================================================
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
|                                  |10210 |                                  |
| 6967 |                           |10210 |                                  |
| 6967 |                           |10210 |                                  |
| 6967 |                           |10210 |                                  |
| 6967 |                           |10210 |                                  |
| 6967 |                           |10210 |                                  |
| 6967 |                           |10210 |                                  |
| 6967 |             | 3982 | 4112 |10210 |                                  |
| 6967 |             | 3982 | 4112 |10210 |                                  |
| 6967 |             | 3982 | 4112 |10210 |                                  |
| 6967 |             | 3982 | 4112 |10210 |                                  |
| 6967 |             | 3982 | 4112 |10210 |                                  |
| 6967 |             | 3982 | 4112 |10210 |                                  |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 |                           |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 |                           |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 |                           |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 |                           |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 |                           |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 |                           |
| 6967 | 2494 | 2360 | 3982 | 4112 |10210 | 2156 | 261  |  13  |  5   |  0   |
|      |      |      |      |      |      |      |      |      |      |      |
=============================================================================
| 0.1% | 0.1% | 0.2% | 0.8% | 1.6% |26.0% |38.9% |19.1% | 5.1% | 8.0% | 0.0% |
=============================================================================
| 4 KB | 8 KB |16 KB |32 KB |64 KB | 1 MB | 5 MB |20 MB |100 MB| 1 GB |> 1 GB|
=============================================================================

- Histogram shows the number of attachments contained in each bucket.
- Percentages are the percent of total disk space of all attachments per bucket.
DAOS Minimum Size versus number of NLO's and Disk Space:

0.0 KB will result in     32560 .nlo files using     7.7 GB                  
4.0 KB will result in     25593 .nlo files using     7.7 GB                  
8.0 KB will result in     23099 .nlo files using     7.7 GB                  
16.0 KB will result in     20739 .nlo files using     7.7 GB                  
32.0 KB will result in     16757 .nlo files using     7.6 GB                  
64.0 KB will result in     12645 .nlo files using     7.5 GB                  
1.0 MB will result in      2435 .nlo files using     5.5 GB                  
5.0 MB will result in       279 .nlo files using     2.9 GB                  
20.0 MB will result in        18 .nlo files using     1.4 GB                  
100.0 MB will result in         5 .nlo files using   887.4 MB                  


Exemple pour une base donnée
Database Name           Orig NSF New NSF  Num    Dup    DAOS   Compr    Space    DAOS Ob
                       Size     Size     Files  Files  Files  Size     Savings  Size  
================================= ======== ======== ====== ====== ============= ======== ========
mail/test.nsf                  1.0 GB 415.6 MB   4496   1896   2600 633.6 MB  47.4 MB 586.3 MB


DAOS et le cluster Domino

L'activation se fait par serveur (document serveur) et via le compactage de la base (compact -C -daos on ), mais l'administrateur peut activer l'option DAOS dans les propriétés de la base.
Donc dans le cas d'un cluster, il n'y a pas d'impact, un serveur peut utiliser DAOS, un autre non.

Copie de fichier par l'OS

Une fois DAOS activé, vous ne pourrez plus copier de fichier Lotus-Notes (extension NSF) via le système d'exploitation, car il faudrait aussi copier le répertoire DAOS, hors ce dernier est lié au serveur Domino*. Lors d'un changement de machine, vous devrez impérativement passer par une sauvegarde système et restaurer dans le même contexte (même names.nsf, même ID, etc....).

La solution la plus simple lors d'un changement de machine:
- Créer un nouveau serveur ID
- Configurer ce nouveau serveur
- Créer des répliques de toutes les bases DAOS et non DAOS
- Modifier la configuration en mode non DAOS sur le serveur d'origine
- Arrêter les 2 serveurs
- Permuter les deux fichiers ID
- Permuter les deux fichiers notes.ini (c'est une métaphore, il faut corriger de part et d'autre)
- Relancer les serveurs Domino

Chiffrement des fichiers NLO

Par défaut les fichiers DAOS sont chiffrés avec l'ID du serveur la variable DAOSEncryption=0 permet de ne pas chiffrer ces fichiers, Attention la base d'aide version 85 standard parle de la variable Daos_Encrypt_NLO=1, pas connue.

Vous ne pouvez plus déchiffrer les fichiers NLO chiffrés, pour l'instant la seul méthode est de supprimer et recréer les pièces jointes, si vous souhaitez désactiver le chiffrement longtemps après l'avoir activé.


Désactiver DAOS

Il est possible de désactiver DAOS, mais cela ne permet pas de récupérer les pièces jointes dans les bases Lotus-Notes. Vous devrez donc impérativement avoir une sauvegarde complète de votre système. Pour pouvoir récupérer les fichiers rattachés vous devrez répliquer avec un serveur Domino non DAOS.
Si pour une base donnée vous souhaitez réintégrer les pièces jointes dans la base, il suffit d'exécuter :
LOAD compact -c - DAOS off
MAIS, il faut s'assurer que le processus n'est pas interrompu... En effect si le compact -c est interrompu, Domino réutilise le fichier NSF et supprime le fichier temporaire (.TMP).

Supervision

Pour contrôler DAOS à partir d'Administrator vous devez configurer l'onglet Fichiers via les préférences d'administration.



Ce qui vous permet d'accéder aux informations sur la taille des applications qui utilisent DAOS




Catalogue

DAOS utilise une base Lotus-Notes DAOSCAT.nsf, vous devez la maintenir en cas de problème (cf paragraphe suivant), cette base est vitale.
Vous ne pouvez pas ouvrir cette base, il n'y a aucune vue de présente, normalement la LCA est limitée uniquement à votre serveur qui est défini en tant que gestionnaire.

.


Maintenance

Vous devez planifier la maintenance de DAOS (resynchronisation) via un document programme Attention cette exécution est pénalisante, ne pas l'exécuter en pleine charge Domino.

Programme: nserver
Ligne de commande: tell DaosMgr resync

L'option Force permet de forcer la reconstruction du catalogue DAOS
TELL DaosMgr resync Force


Certaines commandes permettent aussi d'optimiser DAOS


- Suppression des pièces jointes non référencées (plus de référence dans la base)
TELL DaosMgr Prune
TELL DaosMgr Prune nombre de jour d'ancienneté


Aide à l'administration:

- Lister les bases activées pour DAOS

Tell DAOSMgr DbSummary
Tell DAOSMgr Databases (plus détaillé)

- Lister les Pièces jointes du fichier NLO manquantes ou non dans une base Lotus-Notes
TELL DaosMgr ListNLO (version antérieure à Domino 8.5.2)
TELL DaosMgr ListNLO missing (Domino 8.5.2 et supérieur)

L'option -o pour (output) permet d'enregistrer le résultat dans un fichier texte
Le mot-clé ALL ou MISSING permet de sélectionner ce que vous recherchez

Exemple: tell daosmgr ListNLO missing test.nsf
permet de lister les pièces jointes présentes dans le fichier NLO mais inexistant dans la base test.nsf.

Limites
Les limites de DAOS sont basiques, en théorie, DAOS peut gérer 1000 répertoires de 40000 fichiers, ce qui vous permet d'avoir 40 millions de fichiers "daosifiés". Cette limite peut être modifiée par une variable notes.ini DAOS_MAX_FILES_PER_SUBCONTAINER=nnnnn. Toutefois la limite de 1000 sous-dossiers principaux (à la racine de votre répertoire DAOS) ne peut pas être modifiée.

Le coffre d’ID - ID Vault

InForM  31 Janvier 2009 23:44:19

La nouvelle fonctionnalité de coffre des ID de Domino permet de gérer plus efficacement les fichiers ID des utilisateurs Lotus. Attention les clients doivent utiliser Lotus-Notes 8.5 minimum et le serveur Domino doit utiliser Domino 8.5 minimum.

D'un point de vue strictement utilisateur, trois avantages importants:
- Possibilité de réinstaller Lotus-Notes sans avoir le fichier id en local
- Le changement du mot de passe Lotus-Notes est propagé sur toutes les copies des fichiers ID
- Le mot de passe peut être réinitialisé rapidement.

Du point de vue de l'administrateur les avantages sont bien sûr plus importants:
- Centralisation des fichiers ID dans un ou plusieurs coffres
- Les fichiers ID sont envoyés sur le poste client à la connexion
- Si l'utilisateur change de mot de passe, le fichiers ID stocké dans le coffre est mis à jour et propagé sur les différents postes si l'utilisateur change de pc
- Les politiques permettent d'indiquer comment changer les mots de passe via l'apparition d'un bouton d'aide dans la fenêtre de saisie de mot de passe
- Réinitialisation des mots de passe en deux click

Un exemple parlant: un utilisateur a un certificat Internet de type S/MIME dans son fichier ID, il met à jour son fichier ID sur son ordinateur portable suite à un renouvellement de sa clé avec Verisign. Son portable ne lui sert qu'en déplacement, de retour au bureau, il utilise le client Lotus-Notes de son poste fixe. Avant ID Vault, il devait ne pas oublier de copier son fichier ID de son portable et de remplacer celui de son poste fixe avec pas mal de risque d'erreurs (merci le copier coller Microsoft). Désormais avec l'ID vault, il n'a qu'à lancer son poste fixe et retrouvera son fichier ID mis à jour. Attention: cela suppose que son portable a pu se connecter SUR son serveur de mail pour intégrer son ID.


En aucun cas vous ne pouvez avoir recours à la tâche d'Organisme de Certification lors du processus de création et de gestion des coffres.

Procédures du coffre d'ID
1. Création du coffre
2. Définition du serveur et des administrateurs
3. Spécifier l'organisation qui validera le stockage des ID dans le coffre (nécessite l'accès au certificat)
4. Spécifier le mode libre service ou l'accès pour la réinitialisation des mots de passe (nécessite l'accès au certificat)
5. Définir la politique pour spécifier quels ID doivent être stockés dans le coffre


1. Création du coffre

Les bases de coffre d'id sont créés dans le dossier IBM_ID_VAULT du serveur Domino.

Le fichier ID par contre est créé localement, il est fortement recommandé de la partager sur une ressource réseau.

Dans Administrator, sélectionner le serveur à administrer, puis l'onglet configuration et dans l'outil "ID Vaults" sélectionner l'option permettant la création du coffre des ID.


Une fois l'option création sélectionnée, la boite de dialogue suivante apparait:



Ensuite il faut définir le nom du coffre, ce nom correspond à l'équivalent d'une organisation Domino,
ATTENTION, vous ne devez pas nommer le coffre en accord avec votre organisation, son nom doit être distinct!



Définition du nom et du titre de la base du coffre des ID.



Définition du mot de passe: attention techniquement c'est l'équivalent d'une organisation, son fichier sera créé en local,
vous devez donc noter son mot de passe!



2. Définition du serveur et des administrateurs

Dans un permier temps vous définissez un seul serveur, pour créer des répliques sur d'autres serveurs,
il faudra utiliser l'outil de gestion après la création du coffre des ID.



L'administrateur défini dans cette boite de dialogue sera habilité à administrer le coffre d'ID créé



3. Spécifications de l'organisation  

Cette étape vous permet de définir la liste des organisations qui feront confiance au coffre d'ID.




4. Accès à la réinitialisation des mots de passe

Vous pouvez déléguer les droits de regénération de mots de passe à toute une organisation ou un groupe d'utilisateurs.
Si vous activez l'option libre-service (l'utilisateur pourra regénérer son mot de passe par un agent, vous devez impérativement
ajouter les serveurs. Dans ce cas il est recommandé d'utiliser le groupe LocalDomainServers ou équivalent.




5. Définition de la politique

Vous pouvez demander à Lotus de créer le document pour vous.



Si vous souhaitez le faire manuellement, il suffit d'éditer le document de paramètres de type Sécurité et
de sélectionner l'onglet ID Vault, attention vous devez avoir une politique pour toutes les organisations sélectionnées



Notez le "/" devant le nom de la base de coffre d'ID, nous parlons bien d'une organisation.

Afin d'éviter les téléchargements intempestifs, il est possible d'interdire le téléchargement automatique
des fichiers ID pendant plus de h heures dans j journées et de fournir un message à l'utilisateur.

Sinon vous pouvez demander la création des documents de politiques pour vous







Pour l'utilisateur le résultat est le suivant




6. Fin de l'installation


Fin de l'installation avec vérification manuelle





Vérification de l'installation, normalement votre fichier ID a été créé localement dans le répertoire IDS de votre poste dans le dossier data\ids\vault.



Ensuite dans administrator, sélectionner le coffre des ID


Puis vérifier que les options suivantes sont disponibles


7. Création d'une réplique

Une fois votre base de coffre créée, vous devez créer une réplique sur d'autres serveurs si nécessaire (Clusters, etc.....)

Dans Administrator, sélectionnez l'option Configurer/Manage


Puis sélectionnez les actions que vous souhaitez réaliser sur le coffre des ID





Ici nous avons sélectionné l'option permettant de créer une réplique de la base sur un autre serveur.
Attention le premier serveur sera le seul à exécuter les actions (renommage, changement de clé de type rollover, etc....) afin d'éviter les conflits de réplication
Sélection du serveur, le serveur ayant la coche est le serveur maître



Information sur le traitement




Demande du mot de passe de l'id du coffre actuel



Fin du traitement



La Base de coffre contient les configurations serveurs ainsi que les ID récupérés par la politique





8. Gestion des utilisateurs

A travers l'onglet Personnes et Groupes du logiciel administrator vous pouvez réinitialiser le mot de passe d'un utilisateurs Lotus-Notes via l'option ID Vault ainsi que d'autres actions.



Pour la réinitialisation du mot de passe, vous avez la possibilité de fournir le mot de passe à l'utilisateur ou par mail à son responsable

Correction automatique des entrées d’agenda dupliquées

InForM  29 Janvier 2009 12:39:46

Copyright IBM: 2009 (images et contenu)

Lotus-Notes 8.5 permet de corriger automatiquement les entrées d'agenda dupliquées sur des entrées dagenda de type répétitives.

Pour désactiver cette option il est possible de propager la variable notes.ini suivante: CSEnableEventRepair=0, cette valeur à 0 permet de désactiver cette nouvelle fonctionnalité.

Exemple d'une version serveur d'entrées d'agenda répétitive sur serveur:



Modification d'une des entrées sur le serveur pour le mardi (30 minutes de plus)


Modificaiton d'une des entrées en local pour le jeudi 5 février (décalage d'une heure)




Après réplication les conflits suivants apparaissent:


Pour corriger le problème en Lotus-Notes 8.5, il suffit d'ouvrir une des entrées de l'agenda



L'option détail permet d'afficher les informations suivantes




Si vous validez la modification via le bouton OK, vous obtenez cette boite de dialogue




Après exécution du code les modifications apportées sont les suivantes:



La journée de jeudi a bien été prise en compte (modification la plus récente) mais pas celle du mardi (la plus ancienne), la date de modification (champ $UpdatedBy) est prise en compte.


Mais où sont les entrées d'origine?

Lotus-Notes conserve les informations, pour y accéder il faut sélectionner l'option de groupe d'entrées


Les entrées dupliquées sont visibles grâce à l'icône de vue. L'image suivante vous donne un aperçu de l'affichage de ces modifications




Si vous ouvrez un des documents dupliqués, vous verrez la mention "DUPLICATE CALENDAR ENTRY" affichée dans le document.



Si vous devez conserver un document dupliqué parce qu'il est considéré comme correct, vous devez copier les informations du document dupliqué dans le document corrigé, puis supprimer le document dupliqué.

Les futures versions de Lotus-Notes permettront la gestion des entrées d'agenda non répétitives, actuellement la version 8.5 ne permet de régler que les problèmes liés aux entrées d'agenda répétitives.

Optimisation de la configuration Domino

InForM  25 Janvier 2009 20:39:53

Cette option apparue avec Domino 8.5 est disponible via le site d'IBM pour d'autres plateformes Domino (il est nécessaire d'avoir un client 8)

Il est nécessaire de créer une base locale à partir du modèle fourni




Une fois la base créée il suffit d'ouvrir cette base locale à partir de votre client Lotus-Notes 8. Attention il sera peut-être nécessaire de relancer votre client Lotus-Notes.




Première exécution:
Pour lancer l'exécution de DCT, vous devez cliquer sur le bouton "Run New Scan".



Lors de la première exécution de DCT (Domino Configuration Tuner) vous devez définir la liste des serveurs à analyser en cliquant sur le bouton



Attendre la fin de l'exécution du scan après l'avoir lancé.



Le scan est terminé, lorsque la barre d'état affiche l'information suivante:



Il suffit ensuite de cliquer sur View Results pour afficher les résultats.


Exemple d'informations pertinentes:




L'administrateur n'a plus qu'à consulter l'onglet Files pour obtenir l'ODS des bases concernées et corriger ou non le problème.


Exemple de document d'information:



Mise à jour des informations:

Afin de maintenir à jour le système DCT, vous devez exécuter manuellement la mise à jour de la base.


Il est possible de ne pas vérifier la configuration de certains points ou résultats bloquants si l'option est "normale" dans votre configuration. Cela permet donc de limiter le nombre d'erreurs:

Architecture multi-domaine

InForM  12 Janvier 2009 00:21:09

Le choix de la définition de plusieurs domaines Domino permet d’étendre les fonctionnalités de Domino tout en augmentant les tâches administratives. Les intérêts d’un déploiement multi-domaine pourraient être les suivants:
•        Nombre importants d’administrateurs / Administration répartie ou décentralisée
•        Développeurs internes
•        Sites multiples et éloignés
•        Nécessité de sécuriser le routage de courrier
•        Gestion optimale de la sécurité
•        Partitionnement ou cloisonnement des utilisateurs
•        Nombre important d’utilisateurs
•        Connexion hétérogènes (liaisons physiques lentes)
•        Nombre importants d’administrateurs / Administration répartie ou décentralisée Ce critère peut être important pour des sites étendus ou internationaux ouverts. Certaines organisations préfèrent déléguer la gestion de certains domaines au administrateurs des différents site ou organisations. Cette méthode permet ainsi une certaine “liberté” et une meilleure autonomie. Le revers de la médaille réside dans la confiance entre les différents administrateurs et leur même degré de compréhension de Domino. Il est possible toutefois de limiter les dangers en ne fournissant pas tous les certificats principaux et subordonnés. Un certificat subordonné peut-être livré pour les utilisateurs et un autre pour les serveurs, mais aucun des serveurs certifiés par ces sous-certificats ne peut avoir accès aux serveurs de l’entreprise des autres domaines.
•        Développeurs internes L’arrivée des développeurs micro (HTML, Javascript, JAVA, Windows, etc…) nécessite une plus grande sécurisation des serveurs de production. L’architecture multi-domaine vous permet de canaliser les ardeurs de vos chers développeurs. Dans une premier temps, il est possible d’envisager un domaine de développement, seuls les développeurs et les administrateurs ont accès aux ressources de ce domaine.


Un domaine de test peut-être mis en œuvre afin de permettre le test des applications développées et enfin pour parachever le tout, vous pouvez déployer un domaine de production qui est, bien entendu, le domaine de vos utilisateurs Notes, sur lequel les développeurs n’ont qu’un accès utilisateur.
En cas de paranoïa, vous pouvez aussi créer deux fichiers ID pour les développeurs, un ID pour les domaines Développement et Test et un fichier ID non développeur (Licence Desktop) pour le domaine de production. Cela demande de modifier les documents sites et le routage de courrier entre les deux domaines pour ces individus. Ce mécanisme à mettre en œuvre permet aussi de se rendre compte que la gestion multi-domaine nécessite de vrais administrateurs et non plus de simple manipulateur de souris.
•        Sites multiples et éloignés En cas de sites multiples et éloignés, il est préférable de choisir un tel type de domaine, en effet, cela permet de répartir les charges de réplication et de routage de courrier entre domaines plus ou moins performants. Un petit carnet d’adresses est préférable à un gros si votre organisation subit énormément de changements dans son organigramme. La gestion d’un annuaire doit être analysée au cas par cas.La notion de carnet d’adresses minimal (et de catalogue en version 5) permet de réduire les temps de réplication. Names.nsf est nécessaire pour tous les accès et ne peut donc pas être tronqué quand nous sommes en mono-domaine. L’intérêt du multi-domaine est donc de permettre la réplication de petites entités.
•        Nécessité de sécuriser le routage de courrier Le multi-domaine vous permet en effet de contrôler l’émission de courrier. En effet un document de domaine adjacent vous permet d’interdire le routage de courrier à destination ou en provenance d’un autre domaine. Comme nous l’expliquerons dans la partie architecture de ce module, cela permet d’autoriser certains individus à envoyer et recevoir un message d’Internet et de l’interdire à d’autres. Ou encore de permettre l’émission, mais pas la réception.
•        Gestion optimale de la sécurité Cette partie peut être à double tranchant. Un des intérêts toutefois est de permettre la protection totale des informations internes par rapport à l’extérieur. Par extérieur, il faut comprendre les autres domaines de l’organisation ou les autres organisations. On peut de ce fait simuler un firewall. Cela permet par exemple de créer un domaine pour la Direction sans qu’aucun autre administrateur ou utilisateur ait accès aux ressources de ce domaine.
•        Partitionnement ou cloisonnement des utilisateurs Comme précédemment, cela permet aussi de ne pas permettre l’accès aux informations de certains utilisateurs ou de ne pas autoriser le routage de courrier en provenance ou à destination de certains utilisateurs. Les domaines sont une solution élégante pour masquer ou répartir certains utilisateurs.
•        Nombre important d’utilisateurs La gestion des utilisateurs par domaine peut aussi être un critère important. Plutôt que d’installer un énorme domaine, il vous est possible de répartir vos utilisateurs par entités. Lors de l’adressage de courrier, les utilisateurs peuvent choisir dans un domaine et n’ont pas à vérifier de quelle sous-unité vient l’utilisateur. Cela peut-être le cas pour les développeurs, les commerciaux, les chargés d’études, etc…
•        Connexion hétérogènes (liaisons physiques lentes) Vos connexions réseau physique peuvent favoriser le choix d’un domaine ou d’un autre. Un site localisé à Pékin se devra d’être autonome, car les liaisons RTC ne sont pas forcément fabuleuses. Il est donc préférable que leurs serveurs répliquent un carnet d’adresses minimal avec les autres serveurs de l’organisation.



Mono-Domaine : Avantages
•        Simple
•        Centralisation de l’administration
•        Intervention rapide
•        Un seul annuaire
•        Contrôles des serveurs
•        Maîtrise de l’architecture
•        Routage de courrier simple àadministrer et mettre en oeuvre

Les avantages d’une organisation mono-domaine sont les suivants:
•        Centralisation de l’administration
•        Centralisation de la sécurité
•        Simplification du routage de courrier
•        Centralisation de la réplication
•        Centralisation de l’administration Le carnet d’adresses NAMES.NSF étant une réplique pour tous les serveurs du domaine Domino, cela permet de centraliser les requêtes administratives. Tous les documents serveurs étant contenus dans un seul carnet d’adresses, il est plus facile de modifier le comportement de tous les serveurs à partir d’une seule base Lotus-Notes.

Tous les documents de configuration permettent ainsi de configurer tous les serveurs du même domaine à partir d’une seule station d’administration.
•        Centralisation de la sécurité Toute la liste de contrôle d’accès des différents serveurs et bases de documents Lotus-Notes peut être centralisée à partir d’un même poste. La gestion des groupes et des utilisateurs est simplifiée.
•        Simplification du routage de courrier Tous les documents de connexion Notes et SMTP étant centralisés dans une même base, tous les accès et planifications peuvent ainsi être contrôlés très rapidement et de manière simple. De même la gestion des erreurs est simplifiée du fait de l’accès direct aux donnée de statrep.nsf et events4.nsf.
•        Centralisation de la réplication Tous les documents de connexion de réplication peuvent être mis en œuvre de manière rapide et contrôlée. En cas de problème la seule réplication du carnet

NSFDB2

InForM  11 Janvier 2009 23:42:49

Pourquoi en parler? Supprimé après Domino 8.5, aucun intérêt donc.

Application d’une politique

InForM  13 Novembre 2008 10:58:41

L'attribution d'une politique pour un groupe doit être correctement interprétée en ce qui concerne les version ANTERIEURES à Domino 8.5:

- Lors de l'application d'une politique explicite à un groupe, seuls les membres définis lors de l'action sont concernés

En version 8.5 et supérieure de Domino, il est désormais possible d'attribuer la politique à un groupe en affectant ce groupe à la politique et non pas aux membres de ce groupe.

Ainsi tout utilisateur changeant de groupe se verrra attribuer ou retirer une politique.

La version 8.5 permet aussi un gestion plus rapide des erreurs:

Dans le cas d'un paramètre inexistant ou supprimé l'administrateur en est informé en ouvrant le document politique.

Ajout d’une signature (manuelle)

InForM  9 Novembre 2008 17:41:29

Il est possible d'ajouter une signature propre au client lourd et propre au client léger (iNotes) depuis la version 8.5.

Via Lotus-Notes, ouvrir sa base courrier et sélectionner l'option préférences (soit par le menu Fichier/Préférences, soit par l'option Préférences du dossier Courrier en arrivée)

Vous pouvez importer du HTML, des fichiers graphiques ou directement coller du texte mis en forme (Texte riche sous Lotus)




remarque, dans les versions beta de Lotus-Notes 8.5, vous devez réaliser deux fois l'opération (comme pour les contacts dynamiques).

Via le client iNotes (anciennement Webmail puis iNotes puis Domino Web Access puis de nouveau iNotes)
Rappel Webmail concerne l'interface non iNotes de la base courrier vie un accès Internet, ce terme a été utilisé à tort pour l'interface iNotes plus conviviale.



Remarque importante: ne pas utiliser de crochets "[" dans le signature pour iNotes. En effet Lotus-Notes considère les crochets comme un indicateur de code HTML, ainsi dans notre exemple [In://ForM] devient In://ForM.

Récupération des fichiers ID

InForM  16 Août 2008 15:52:43

Depuis la version 5, vous devez intégrer une information de récupération d’ID dans les fichiers ID de vos clients. Pour ce faire, vous devez d’abord intégrer cette information dans tous les fichiers certificateurs principaux et subordonnés, cette intégration ne peut pas être transitive.

Si vous utilisez le processus d'organisme de certification (CA Process en anglais, OC en français), nous vous recommandons de le faire d'abord dans le fichier ID du certificateur, de le migrer puis de le maintenir (à chaque mise à jour).

Afin de ne pas avoir à ajouter/retirer les administrateurs Lotus-Notes/Domino, pensez à créer d'abord des comptes génériques et de fournir ces fichiers ID autorisés aux personnes devant récupérer les mots de passe oubliés

Attention: la limite est de 8 (huit) comptes actuellement.

La procédure est la suivante:

1. Vous pouvez créer manuellement une base sur votre serveur, de préférence une base créée à partir du modèle courrier ou le faire durant l'activation de cette option
2. Vous pouvez créer manuellement une boite de courrier en arrivée dans l’annuaire. Ce document permet de définir le serveur, le domaine et le nom de la base physique, ou mieux laisser Lotus le faire pour vous lors de la définition de la reprise.
3. Vous devez modifier l’ID certificateur pour intégrer l’information de récupération

Il faut, dans l’onglet Configuration, sélectionner l’outil Certification puis l’option Modifier les options de récupération des IDS.


Vous devez en première étape choisir le fichier certificateur qui doit intégrer cette information de récupération.
Vous pouvez utiliser indifférement le fichier de certification ou l'organisme de certification.


Une fois le mot de passe du certificateur saisi, vous accédez à la boite de dialogue suivante:



Lotus recommande trois autorités de récupération, donc au minimum trois personnes nécessaires pour permettre la récupération des informations. Certains sites sont opposés à ce mécanisme, car il permet de stocker un mot de passe supplémentaire dans le fichier de l’utilisateur (à son insu?). Le mot de passe enregistré dépend de votre clé publique et privée. Vous ne pouvez pas choisir un groupe de personnes. Cela pose un autre problème, vous devez recommencer la procédure si un administrateur quitte la société. Le bouton Adresser permet de sélectionner  la base de courrier créé lors de l’étape un.
Vous pouvez préciser une longueur de mot de passe inférieure à 16 caractère.

4. Vous devez mettre à jour tous les comtpes déjà existants pour qu’ils intègrent eux aussi cette information. Pour ce faire, vous devez sélectionner l’option Exporter.
5. Accepter les informations de récupération

L’utilisateur recevra un message dans sa boite aux lettres. Dès l’acceptation des informations de récupération, son fichier ID sera automatiquement transmis à la base créée à l’étape un. Vous pourrez ainsi récupérer physiquement les fichiers perdus ainsi que le mot de passe en en générant un nouveau.

Une fois validé, l’utilisateur va envoyer sa mise à jour aux administrateurs de la récupération des fichiers ID, Vous pouvez utiliser la recertification Domino pour propager cette nouveauté sans avoir à intervenir.

En résultat, la base dédiée aux récupérations des fichiers ID permet aux administrateurs de conserver une copie à jour du fichier ID. Cette mise à jour est automatique et concerne toutes les mises à jour du fichier ID. Ne sont pas concernés par cette gestion, les changements de mot de passe de l’utilisateur.

Le fichier ~~tmpid.ide est en fait un fichier ID, son extension peut être modifiée lors du détachement du fichier. Cette entrée sera mise à jour automatiquement en cas de modification. La sécurité de cette base doit être considérée avec le plus grand soin!

Récupération d’un mot de passe oublié

L’outil certification, option Recupération des Informations de mot de passe permet d’obtenir votre mot de passe ‘administratif” pour un fichier ID précis. Si l’utilisateur ne vous a pas fourni son fichier, vous devez d’abord le détacher de la base de stockage des fichiers ID. Pour pouvoir récupérer une information, il vous faut donc le logiciel Administrator.

Une fois le mot de passe affiché, vous devez le noter, puis, deux solutions:
Appeler l’utilisateur et lui expliquer la marche à suivre
Fournir le fichier id regénéré (nouveau mot de passe) à l’utilisateur
L’utilisateur lance Lotus-Notes, à la demande de saisie de mot de passe, il fait annuler pour atteindre la fenêtre de récupération des mots de passe. L’administrateur lui dicte au téléphone (à éviter) le mot de passe récupéré, puis saisi un nouveau mot de passe.

Une fois validé le mot de passe “d’administration” (mot de passe différent pour tous les fichiers ID et par administrateur autorisé), l’utilisateur peut changer son mot de passe.

Puis l’utilisateur doit confirmer son nouveau mot de passe.

La deuxième solution est préférable, l’administrateur ouvre le fichier à récupérer via le menu Fichier/Outils/Récupération d’ID. Il sélectionne le fichier à récupérer puis saisi son mot de passe et en créé un nouveau pour l’utilisateur. Ce dernier devra attendre la livraison de son fichier ID par clé USB ou disquette ou réseau ou mieux par la messagerie d’un de ses collègues.

Dans le cas de l'utilisation de la tâche Organisme de certification, vous n'avez pas besoin d'exporter les informations de repirse vers les utilisateurs. Il  suffit de recertifier les utilsateurs.

Client Notes : DNS, fichier hosts ou Domino ?

InForM  12 Août 2008 23:37:40

Tout administrateur Domino est tributaire des ingénieurs systèmes. De plus en plus de sociétés délèguent la gestion de leur DNS à l’extérieur et de plus en plus d’utilisateurs se voient forcés d’utiliser des fichiers hosts. Comme  chacun le sait, les fichiers hosts sont une plaie pour les administrateurs réseaux, combien d’utilisateurs sans profils errants (avec les serveurs NT ou 2000) se permettent de modifier ces fichiers sans en avertir leurs administrateurs.
En tant qu’administateur Domino, il est souhaitable de ne plus avoir à supporter les incessants coup de téléphone pour l’assistance en ligne : « je n’arrive pas à me connecter, ça ‘ping’ pas ». Merveilleux, soit vous implémentez un DNS, couplé avec WINS et DHCP (le DNS est recommandé, pour les autres, à vous de juger). Mais manque de chance, votre DNS est géré aux Etats-Unis. Trêve de plaisanterie, la solution est entre vos mains.

Le client Notes et sa face cachée

En effet, essayez d’ouvrir une base sur le serveur 192.168.1.11. Que va faire votre client Notes ? Le résultat vous est donné avec la figure 1, nous avons d’abord testé l’adresse 192.168.1.11 (le serveur existe mais est arrêté), puis l’adresse 192.168.1.10. Regardons d’abord la figure 1:





Le client Notes est un client Version 6, mais vous pouvez aussi utiliser un client Version 5. Le port « HELLO » est le nom du port Notes pour le protocole TCP/IP. Le serveur mururoa/Dfug/FR est le serveur de hôte (celui qui contient la boite aux lettres) du client Notes utilisé. Le test sur l’adresse 192.168.1.11 se fait par le biais du menu Notes Fichier/Base de Documents/Ouvrir (ou CTRL-O). Le client Notes demande à son serveur hôte de trouver l’adresse du serveur « 192.168.1.11 », ce qui est réalisé par ce dernier. Or ce serveur ne connaît pas le serveur « 192.168.1.11 ». A partir de ce moment là, le client Notes émet une diffusion via le port Notes pour trouver le serveur  192.168.1.11 », comme ce dernier est arrêté, nous ne pouvons pas aboutir. C’est à partir de ce moment là que le client Notes utilise la configuration réseau du poste local (fichier hosts, puis le DNS). Si vous regardez la recherche  pour l’adresse 192.168.1.10, c’est la même chose, sauf que nous avons triché, le serveur mururoa possède deux adresses IP dont une officielle MAIS, il est configuré uniquement sur le nom DNS qui correspond à l’adresse IP officielle.


Apport du client Notes

Que nous apporte cette information. ? Une chose toute simple, si le client Notes demande à son serveur hôte, c’est que ce dernier possède un outil de résolution de nom en adresses. Il suffit de le trouver et de savoir quand et comment l’utiliser!


Complications

Nous mettrons en oeuvre la solution pour un cas réellement complexe: plusieurs domains Domino, des DNS et zones totalement protégés et des résolutions de noms réservées aux serveurs Domino.

Mise en oeuvre de la résolution de nom pour des serveurs DOMINO

Tout d’abord s’il existe plusieurs domaines DOMINO, il faut le faire savoir à tous les serveurs de votre domaine, sans oublier les serveurs hôtes. Pour se faire, nous allons créer un document de domaine étranger (cf figure 2), et vous devez ouvrir l’annuaire de votre domaine (names.nsf) et sélectionner la vue Serveur/Informations réseau de domaine externe.

Compte Escrow

InForM  17 Juin 2008 15:39:57

L’agent Escrow Lotus-Notes Version 4

L'agent Escrow est un compte Lotus-Notes qui doit porter le nom "Escrow Agent". Ce compte doit avoir une boite aux lettres et surtout une clé publique pour permettre le chiffrement et la signature des fichiers ID (serveur ou utilisateur) que l'administrateur d'un domaine doit créer. D'après la documentation Lotus, il est aussi possible de créer un groupe portant ce nom.

L'intérêt de ce compte est encore plus important en environnement multi-domaine et multi-organisation. Si Domino ne trouve pas d'agent Escrow dans le carnet d'adresses du domaine, il consulte tous les autres annuaires.

Dans le pire des cas, une autre organisation peut avoir créé un agent Escrow et dans ce cas, recevra vos fichiers ID, ainsi que le mot de passe en clair.

Pour permettre à tous les administrateurs d'un site Domino de détacher les fichiers ID, il est nécessaire d'avoir un accès au minimum Lecteur sur la base courrier de l'agen Escrow (mail/eagent.nsf). Toutefois, ils ne pourront pas accéder au mot de passe, car seul le possesseur du fichier ID de l'agent Escrow est autorisé à le faire (le mot de passe est crypté avec la clé publique, donc seul le possesseur de la clé privée peut déchiffrer le message).
Le seul fichier ID que vous ne pouvez pas détacher est le fichier de l'agent Escrow, en effet, seul le possesseur du fichier ID de l'agent Escrow peut le détacher.
Il est donc recommandé d'en faire une sauvegarde dès le déploiement du site.L'administrateur du domaine Domino devra effectuer régulièrement des sauvegardesde la base courrier de cet utilisateur.
Il ne faut pas oublier que les recertifications ne sont pas envoyées à l'agent Escrow,c'est donc à l'administrateur de collecter tous les fichiers ID recertifiés pour maintenir l'intégrité des fichiers ID.

Cette fonctionnalité n'est plus supportée depuis la version 5 de Domino, puisque le mécanisme de récupération des fichiers ID est maintenant intégré dans le produit pour le client d'administration.

Les fichiers de redirection

InForM  12 Mai 2008 01:51:57

Les redirections de Domino 8 vous permettent de rediriger un ou plusieurs utilisateurs sur une réplique présente sur un autre serveur. Cela permet par exemple de répartir sur  deux serveurs, les applications et la messagerie.

Il est par contre nécessaire -surtout en présence de clients Lotus-Notes Version 6 - de répliquer un catalogue à jour (base catalog.nsf) sur tous les serveurs de messagerie des clients V6.

La mise en oeuvre des fichiers de redirection (.nrf) peut se faire manuellement directement sur le système, ou en utilisant le logiciel Administrator (recommandé).

Intérêt des redirections:

• Quand vous supprimez une base Lotus-Notes, vous pouvez désormais créer un fichier de redirection permettant ainsi de supprimer TOUTE référence à la base sur l'espace de travail de l'utilisateur .
• Quand vous supprimez une base d'un serveur, vous pouvez rediriger tout ou partie des utilisateurs vers une réplique de cette base sur un autre serveur.
• Quand vous souhaitez effectuer des tests pour certains comptes, vous pouvez rediriger les autres utilisateurs sur une réplique d'un autre serveur.
• Quand vous déplacez une base d'un serveur à un autre, vos utilisateurs continueront d'utiliser l'application sans que vous ayez à intervenir sur leurs postes.

La mise en place via administrator peut être faite via


- L'option de suppression de base




Si vous ne précisez pas de redirection, Lotus-Notes supprimera la référence de la base (dans les signets, l'espace de travail)

- L'option création de redirection dans les outils de bases de documents

Il faut d'abord sélectionner la base concernée puis ajouter les références des répliques de substitution:





Pour chaque réplique il est possible de définir une liste de personnes habilitées à utiliser cette redirection:




Si vous ne précisez pas de noms, Domino redirigera tout le monde vers la nouvelle réplique.


- L'option déplacement de base

Cette option permet de déplacer une base sur un autre serveur et ainsi de définir un fichier de redirection:


Rappel: comme pour tous les fichiers textes (IND,ACL, etc...), le processus de renommage d'adminp ne prend pas en compte les fichiers .NRF. Des plus dans un cluster Domino, ces fichiers ne sont pas répliqués.

Les serveurs partitionnés

InForM  8 Mai 2008 17:20:12

Processus d’authentification

InForM  3 Mai 2008 21:31:24

L'authentification est l'étape la plus importante mise en oeuvre lors des connexions établies entre des clients ou des serveurs avec un serveur Domino.

La bonne compréhension des différentes étapes permet ainsi de corriger tous les problèmes d'inter-connexion entre les différents participants d'un site Domino/Lotus-Notes.

Les différentes étapes permettent ainsi d'éviter certaines erreurs lors de la création des certificats principaux. En effet, il n'est pas possible de se connecter entre clients et serveurs qui auraient un certificat de même nom mais différent. Le nom représente un contrôle pour Domino, il doit donc être unique. Nous avons cette même contrainte avec les noms de domaine Internet.

Le mécanisme d'authentification est bi-directionnel, le serveur doit vous authentifier et le client doit pouvoir authentifier le serveur. Lors de la connexion entre un client et un serveur, il est donc nécessaire au client de s'assurer de l'authenticité du serveur. Le chapitre sur les certifications croisées permettra de mieux assimiler cette notion fondamentale.

Cette étape ne peut avoir lieu qu'après la saisie du mot de passe afin de pouvoir accéder aux certificats et clés publiques stockées dans le fichier ID de l'utilisateur ou du serveur.

La demande du mot de passe a lieu après connexion au serveur, dès que le client détecte le serveur sur le réseau, la station Lotus-Notes demande le mot de passe, ce qui permet ainsi de débuter l'étape d'authentification.

Les nombres sont chiffrés avec les clés publiques du destinataire, d'où l'échange des clés publiques. Seuls les détenteurs des clés privées peuvent déchiffrer les nombres aléatoires fournis. La clé publique est obligatoirement fournie pour permettre la vérification de la signature, en effet cette dernière est stockée dans le champ $Signature, mais comme il y a un chiffrement, ce champ est inclus dans le champ $SealData. Le champ $Seal contient la clé de chiffrement intermédiaire qui peut être déchiffrée par la clé privée du destinataire. La deuxième raison de l'échange de clé publique est que le poste client et le serveur ne détiennent pas forcément la clé publique du serveur de destination (cas de connexion Notes [port 1352] par Internet par exemple)

L'échange des certificats (Nom et Identifiant) permet à Domino de vérifier s'il existe un certificat en commun ou non. En présence de cetificat différent (pas de père en commun), Domino recherche les certifications croisées dans les vues internes. Il est donc impossible de se connecter à un serveur avec un nom de certificat (Organisation en X500) identique mais contenant un numéro d'identifiant différent.

Le contrôle des certificats en commun est réalisé des deux côtés de la connexion, un client peut refuser une connexion en présence d'un certificat douteux.

Si le client, ne possède pas de certificat en commun, le serveur Domino refuse la connexion. Ce phénomène se produit aussi si le client est renseigné dans le champ "Accès interdit" du document serveur ou si vous avez demandé de vérifier la présence du client dans le carnet d'adresses (attention cette fonction diminue les performances du serveur lors de connexions/déconnexions répétées). L'analyseur de Windows NT sera d'un grand secours pour améliorer les performances de votre serveur. Vous avez les mêmes fonctionnalités sous AIX.

Le serveur peut s'assurer de l'authenticité du client. Pour ce faire, vous devez sélectionner l'option "Comparer les clé publiques", au niveau du document du serveur. Dans le cas inverse, seul le client (pour le point 1) vérifie l'authenticité du serveur. Cette option permet d'éliminer les clients "pirates" après une recertification par exemple.

En cas de non-conformité du nombre aléatoire envoyé par le serveur, le poste client annule la demande de connexion et prévient l'utilisateur de l'erreur de la connexion.

Lors de l'étape 2, le client fournit les informations au serveur, qui , à son tour peut annuler la connexion en cas de non conformité du nombre aléatoire.

Tout ce mécanisme permet ainsi de s'assurer que la connexion a bien été établie avec le bon serveur ou le bon client et évite toute intrusion non autorisée

Cette étape finale n'est pas actuellement exploitée par le client, toutefois en lançant la commande Show Tasks Debug sur la console du serveur, vous pouvez obtenir le numéro de session fournie au client par Domino. Ce numéro de session ne change qu'en cas de suppression de la session par Domino et lors d'une reconnexion au serveur par le client. Une autre méthode est de lancer une des commandes console suivantes:

• Show Users Debug
• Show db nombase.nsf
• Show File nombase.nsf

La commande Show Users Debug est intéressante lors de l'emploi du protocole TCP/IP puisqu'elle permet de connaître l'adresse IP du client actuellement connecté et de suivre ainsi qui utilise le même ID qu'un autre utilisateur. Désormais le logiciel Administrator vous permet d'obtenir l'adresse TCPIP de l'utilisateur via l'onglet Serveur.