Como activar MFA con TOTP en servidor HCL Domino
HCL Domino v12 permite el uso de "MFA" - "Multi Factor Authentication". Un acceso con varios datos de autenticación.
MFA usa TOTP, el acrónimo de "time-based one-time password".
Consiste en la petición de un token al usuario además de su login y contraseña.
HCL Domino implementa la norma RFC6238, soportada por Google Authenticator entre otros.
Requisitos
- Servidor HCL Domino en versión 12 con ID Vault creado y usando la plantilla v12.
- El ID Vault creado tiene que contener los ID de los usuarios que van a usar MFA.
- Desde la versión 12, el administrador puede subir manualmente los ID en el Vault.
- Los usuarios tienen que tener en sus dispositivos móviles o sus ordenadores una aplicación de generación de Token TOTP como Google Authenticator o Microsoft Authenticator.
Configuración
Crear un certificado de autenticación Multi Factor
mfamgmt create trustcert <Notes DN to allow> <certifier ID file> <certifier password>
Comprobar su creación en la vista de certificados
El comando siguiente permite verificar que el certificado se ha creado correctamente.
show idvault
Configurar TOTP en el documento de parámetro de seguridad
Activar TOTP a nivel de servidor (por documento de servidor o Internet Sites)
Actualizar los parámetros de Login
Actualizar la política de seguridad IDVAULT
Actualizar el documento de configuración de la base de datos de ID Vault y añadir los servidores que usarán TOTP.
Configurar el nuevo formulario de login ("$$LoginUserFormMFA") con TOTP. domcfg.ntf en su versión 12, viene con un formulario especial que incluye el campo para recoger el Token del TOTP. En la ACL, el acceso "Default" tiene nivel de "Reader" con derecho a leer documentos públicos.
Después del reinicio de servidor aparece un nuevo login.
El usuario tiene que crear una cuenta para poder usar el TOTP.
Y entonces desde el teléfono, se crea una nueva cuenta, y aparecen los dígitos a entrar para validar esta configuración.
De ahora en adelante, el usuario usará TOTP.
Scratch Code
El usuario recibirá una lista de 10 códigos para entrar sin el móvil. Es un procedimiento habitual en MFA, para casos de emergencia.
Parámetros de debug en NOTES.INI
DEBUG_TOTP=2
DEBUG_IDV_TOTP_TRANS=1
DEBUG_IDV_TRUSTCERT=1
Documentación
https://help.hcltechsw.com/domino/12.0.0/admin/conf_totp_configuring.html
https://alichtenberg.cz/hcl-domino-v12-totp-configuration/
https://www.youtube.com/watch?v=WoP2mxN9fec