安全性
如果希望根据 Domino ACL 安全性为 Internet/Intranet 客户机分配数据库访问权限,则必须在 Domino 目录中为该客户机创建“个人”文档,或者在辅助 Domino 目录或外部 LDAP 目录中创建。没有“个人”文档的客户机被认为是“匿名”,只能访问那些允许“匿名”访问的服务器和数据库。
名称和口令验证允许 Domino 查找访问服务器的客户机的“个人”文档(如果存在)。在识别了客户机后,即可确定其对服务器资源的访问权限。例如,如果希望 Alan Jones 对某个数据库具有“编辑者”存取级别,而访问此数据库的其他所有用户都具有“作者”存取级别,则必须为 Alan Jones 创建“个人”文档。您可以设置数据库 ACL,将 Alan Jones 作为“编辑者”包括进来,而将“匿名”作为“作者”包括进来。
可以在运行 Internet 协议(即 LDAP、POP3、HTTP、SMTP、IIOP 或 IMAP)的任意服务器上使用基于 TCP/IP 或 SSL 的名称和口令验证。可以针对服务器上启用的每个 Internet 协议指定安全方法。例如,可以对 HTTP 连接启用客户机验证字验证,而对使用 TCP/IP 的 LDAP 连接要求名称和口令安全性。也可以对匿名和 SSL 客户机验证使用名称和口令安全性,例如,允许具有 SSL 客户机验证字的用户使用 SSL 客户机验证进行验证,而允许其他没有 SSL 客户机验证字的用户输入名称和口令。
注意 充当 SMTP 客户机的 Domino 服务器不支持名称和口令验证。例如,当 Domino 服务器连接到 SMTP 服务器以路由邮件时。只有充当 SMTP 服务器的 Domino 服务器(即当 SMTP 客户机访问 Domino 服务器时)才支持名称和口令安全性。
如果要对 HTTP 服务器设置名称和口令验证,可使用另一种名称和口令验证方法,即基于会话的验证。名称和口令验证将每个请求与未加密的名称和口令一起发送。基于会话的验证的不同之处在于用户名称和口令由 cookie 代替。仅当用户首次登录服务器时,用户名称和口令才在网络上发送。之后用 cookie 进行验证。基于会话的名称和口令验证与基本的名称和口令验证相比,控制用户交互的能力更强。而且使用这种验证,您还可以定制用户在其中输入他们的名称和口令信息的表单。此选项还允许用户在不关闭浏览器的情况下注销会话。
基于无 SSL 保护的连接的名称和口令验证
使用基于无 SSL 保护的连接的名称和口令验证来识别用户,不能确保对服务器上数据的安全访问。例如,当希望根据用户名对不同的用户显示不同的信息时,以及当数据库中的信息不保密时。使用这种验证时,在用户和服务器之间发送的信息(包括名称和口令)不被加密。这种类型的名称和口令验证阻止了某些类型的黑客,但无法阻止其他类型的黑客侦听网络传输以及猜测口令。
基于 SSL 的名称和口令验证
使用 SSL,所有信息(包括名称和口令)都将加密。SSL 为设置了名称和口令验证的用户提供保密性和数据完整性。在 SSL 安全性之外要求名称和口令为不使用客户机验证字验证的用户提供了安全性,并允许您识别访问数据库的各个用户。
有关设置 SSL 服务器的信息,请参阅为 Domino 服务器设置 SSL。
有关设置 SSL 客户机的信息,请参阅设置客户机进行 SSL 服务器验证。
定制名称和口令验证
DSAPI(Domino Web 服务器应用编程接口)是一种 C API,使用它可将您自己的扩展写入 Domino Web 服务器中。您可以通过这些扩展或“过滤器”定制 Web 用户的验证。
有关 DSAPI 和过滤器的详细信息,请参阅 Domino 和 Notes 的 Lotus C API 工具包。此工具包可从 www.lotus.com/techzone 获取。
另请参阅