Last Updated:

Como activar MFA con TOTP en servidor HCL Domino

HCL Domino

HCL Domino v12 permite el uso de "MFA" - "Multi Factor Authentication". Un acceso con varios datos de autenticación.

MFA usa TOTP, el acrónimo de "time-based one-time password".

Consiste en la petición de un token al usuario además de su login y contraseña.

HCL Domino implementa la norma  RFC6238, soportada por Google Authenticator entre otros.

Requisitos
  • Servidor HCL Domino en versión 12 con ID Vault creado y usando la plantilla v12.
  • El ID Vault creado tiene que contener los ID de los usuarios que van a usar MFA.
  • Desde la versión 12, el administrador puede subir manualmente los ID en el Vault.
  • Los usuarios tienen que tener en sus dispositivos móviles o sus ordenadores una aplicación de generación de Token TOTP como Google Authenticator o Microsoft Authenticator.
Configuración

Crear un certificado de autenticación Multi Factor

mfamgmt create trustcert <Notes DN to allow>  <certifier ID file>  <certifier password> 

Comprobar su creación en la vista de certificados

El comando siguiente permite verificar que el certificado se ha creado correctamente.

show idvault

Configurar TOTP en el documento de parámetro de seguridad 

Activar TOTP a nivel de servidor (por documento de servidor o Internet Sites)

Actualizar los parámetros de Login

Actualizar la política de seguridad IDVAULT

Actualizar el documento de configuración de la base de datos de ID Vault y añadir los servidores que usarán TOTP.

Configurar el nuevo formulario de login ("$$LoginUserFormMFA") con TOTP. domcfg.ntf en su versión 12, viene con un formulario especial que incluye el campo para recoger el Token del TOTP. En la ACL, el acceso "Default" tiene nivel de "Reader" con derecho a leer documentos públicos.

Después del reinicio de servidor aparece un nuevo login.

El usuario tiene que crear una cuenta para poder usar el TOTP.

Y entonces desde el teléfono, se crea una nueva cuenta, y aparecen los dígitos a entrar para validar esta configuración.

De ahora en adelante, el usuario usará TOTP.

Scratch Code

El usuario recibirá una lista de 10 códigos para entrar sin el móvil. Es un procedimiento habitual en MFA, para casos de emergencia.

Parámetros de debug en NOTES.INI

DEBUG_TOTP=2
DEBUG_IDV_TOTP_TRANS=1
DEBUG_IDV_TRUSTCERT=1

Documentación

https://help.hcltechsw.com/domino/12.0.0/admin/conf_totp_configuring.html

https://alichtenberg.cz/hcl-domino-v12-totp-configuration/

https://www.youtube.com/watch?v=WoP2mxN9fec