zarazaga.net

Trabajando en un cliente me surgió una pequeña duda y he realizado una pequeña prueba de concepto de cómo funciona la autenticación en Domino para las diferentes opciones de configuración que tenemos disponibles.

Como casos de prueba he creado 2 usuarios, para los cuáles en los diferentes casos de prueba he hecho coincidir contraseña y nombre corto.
Las pruebas las he realizado con Lotus Domino 8.0.2  y con IE7 .





Cuando un usuario intenta conectarse a una aplicación Web en Domino, si la aplicación no es pública, recibe una pantalla para la introducción del usuario y contraseña.


El usuario introduce el usuario y la contraseña y el sistema valida el usuario o le indica que el usuario o la contraseña son incorrectos.

Domino puede identificar al usuario de una manera más laxa o más estricta en función de cómo esté configurado el servidor.
En el documento del servidor, en la pestaña "Security", tenemos la entrada "Internet Authentication", que determina el valor que el usuario puede introducir en el campo "User name" a la hora de autenticarse. Los posibles valores son (en la versión inglesa):
- More name variations with lower security
- Fewer name variations with higher security






Las pruebas han consistido en modificar y combinar:
- El valor del campo "Internet Authentication"
- El valor de la contraseña para Internet del usuario ( haciéndola coincidir para dos usuarios)


Los resultados de las pruebas han sido los siguientes:



Explicación de abreviaturas:
FN = Nombre
LN = Apellido
CN = Nombre y apellido
SN = Nombre corto

Y = Acceso permitido
N = Acceso denegado

Las conclusiones, que por cierto han sido las esperadas:
- Con la opción More name variations with lower security  seleccionada, el usuario puede autenticarse con Nombre, Apellido, Nombre y Apellido, Nombre corto. El sistema intentará localizar una combinación única de usuario + contraseña, y si existe autenticará al usuario. Si hay conflicto, es decir repetición en el sistema de usuario + contraseña, entonces no autenticará.
- Con la opción Fewer name variations with higher security seleccionada, únicamente podrá autenticarse un usuario si introduce su nombre completo (Nombre y Apellido). En este caso, el sistema también tratará de localizar una combinación única usuario + contraseña para autenticar al usuario.

Con lo visto, el posible problema a la hora de registrar usuarios en los que haya un conflicto de nombre y apellido, o el uso de contraseña genérica a la hora de registrar usuarios, no afecta a la autenticación de usuarios a través de web. Evidentemente, registrar usuarios con el mismo nombre y apellidos o nombre corto es un error nuestro como administradores, pero Domino gestiona este problema no permitiendo la autenticación en caso de conflicto.

Por cierto, como solución a estos problemas, una buena práctica, definible mediante políticas y disponible en Domino 8, es exigir al usuario un cambio de contraseña la primera vez que se conecta al servidor Web de Domino.

Adicionalmente, en la definición de direcciones de correo Internet, el conflicto a la hora de determinar el destinatario, funciona de manera similar, y Domino no reparte un mensaje cuando hay dos o más posibles usuarios que tienen asociada la misma dirección de correo electrónico.