WEB 服务器

防止 Web 客户机访问服务器上的文件
文件保护文档控制对用户可通过 Web 浏览器访问的非数据库文件的访问。数据库文件 (.NSF) 的 ACL(存取控制列表)指定可以访问它们的用户的名称以及这些用户拥有的存取级别,同样您也可以对浏览器用户能够访问的文件(如 HTML、JPEG 和 GIF)强制实施文件保护,也就是为这些类型的文件指定存取级别以及可以访问它们的用户的名称。

尽管还可以将文件保护应用于 CGI script,但是文件保护不延伸到由这些 script 访问的其他文件。例如,可以对 CGI script 应用文件保护,以限制名为“Web Admins”的群组的访问。但是,如果 CGI script 运行时要打开其他文件,或者要触发其他 script 脚本运行,则“文件保护”文档不能控制“Web Admins”是否能够访问这些附加文件。

不要创建限制对下列目录访问的“文件保护”文档,因为这些目录中包含由 Domino Web 服务器和其他应用程序(如邮件数据库)使用的缺省的图像文件和 Java 小程序:


但是,文件保护应用于访问其他文件的文件,如打开图像文件的 HTML 文件。如果用户访问了 HTML 文件,但没有访问 HTML 文件使用的 JPEG 文件,则当用户打开 HTML 文件时,Domino 不会显示该 JPEG 文件。

可以为目录或单个文件创建“文件保护”文档。所有目录都继承对其父目录定义的保护功能。必须为 Web 用户可访问的所有目录设置“文件保护”文档。不具有“文件保护”文档的文件和文件目录可以由任何用户使用 Web 浏览器来访问。

注意 无需使用“文件保护”文档来保护数据库 (.NSF) 文件。数据库是用 ACL 进行保护。

控制 Web 浏览器访问服务器文件的样例
如果在“文件保护”文档的域中指定了下列设置,则允许 Web User Group 中的所有用户都打开 c:\notes\data\domino\html 目录下的文件并启动其中的程序。


文件 “secret.htm” 驻留在 notes\data\domino\html 子目录下。可以禁止 Web User Group 中的成员访问此文件,而仅允许用户 Joe Smith 访问。要实现这一点,请创建具有以下设置的附加“文件保护”文档:
为“Web 站点”文档创建文件保护

在 Domino 6 中,可以为特定 Web 站点创建“文件保护”文档。该文件保护文档将只应用于该特定 Web 站点。

“文件保护”文档提供的安全性有限。应使用 Domino 安全功能(如数据库 ACL)来保护敏感信息。

为“Web 站点”文档创建文件保护
1. 从 Domino Administrator 中,选择“配置”“Web”“Internet 站点”。

2. 打开要为其创建文件保护的“Web 站点”文档。

3. 单击“Web 站点”,然后选择“创建文件保护”。

4. 单击“基本”,然后填写下列域:
操作
描述(可选)输入将该文档与所创建的其他文档区分开来的名称。
目录或文件路径指定要限制对其访问的目录或文件路径。应当采用包括驱动器盘符的完全限定路径格式(如“c:\lotus\domino\data\domino\cgi-bin”),也可以输入相对于服务器的数据目录的路径(如“domino\cgi-bin”)。
当前存取控制列表显示可以访问指定文件或目录的用户和群组以及所允许的访问类型。与数据库 ACL 类似,最初创建的存取控制列表始终具有设置为“-Default--(No Access)”项,您可对该项进行修改。与数据库 ACL 一样,未在“存取列表”中列出的用户将接受缺省的存取级别。
设置/修改存取控制列表要向存取控制列表中添加用户,请单击“设置/修改存取控制列表”。从“Domino 目录”中选择用户名或群组或者在“名称”域中键入名称。相应地选择“读取/执行权限(GET 方式)”、“写/读取/执行权限(POST 和 GET)”或者“不能存取者”。然后单击“添加”将该项添加到存取控制列表中。

GET 允许用户打开目录中的文件并启动其中的程序。POST 通常用于将数据发送到 CGI 程序,因此,仅对包含 CGI 程序的目录给予 POST 访问权限。“无访问权限”表示拒绝指定的用户或群组访问。

要从列表中删除某个项,请选定该项,然后单击“清除”。

如果用户使用匿名访问连接到服务器,则在“名称”域中输入“Anonymous”,然后指定相应的访问权限。

注意 如果您希望输入驻留在 LDAP 目录中的用户名,则必须用斜杠替换逗号分隔符。不要在名称中使用逗号作为分隔符。

例如,具有下列名称格式的 LDAP 用户:

cn=Anthony Jones,l=westford,o=airius.com

应当按如下方式输入到“文件保护”文档的存取列表中:

cn=Anthony Jones/l=westford/o=airius.com

5. 单击“管理”并填写“所有者”和“管理员”域。缺省情况下,登录所用的管理员名称是在这两个域中指定的名称。

6. 保存该文档。

7. 输入下面的命令以刷新设置:


为虚拟服务器创建文件保护 (Domino 5.0x)

1. 执行下列操作之一:

2. 单击“创建 Web (R5)”,然后选择“文件保护”。

3. 单击“基本”附签并填写下列域:
操作
适用于(只读)该设置适用于基准服务器以及没有文件保护设置的所有虚拟服务器或虚拟主机。如果虚拟服务器或虚拟主机有任何文件保护设置,则该设置不适用。
路径指定要限制对其访问的驱动器、目录或文件。可使用完全限定路径或相对路径。
4. 单击“存取控制”,填写下面的域,然后保存文档:
输入
当前存取控制列表可以访问所指定的文件或目录的用户和群组以及所许可的访问类型。缺省情况下,存取控制列表包含设置为“-Default--(No Access)”项。未在该域中列出的用户接受“-Default-”存取级别。

要向该列表中添加用户,请执行下列操作:

  1. 单击“设置/修改存取控制列表”。
  2. 从“Domino 目录”中选择用户名或群组,或者在“名称”域中输入名称。
  3. 选择“读取/执行权限(GET 方法)”、“写入/读取/执行权限(POST 和 GET 方法)”或“无访问权限”。
  4. 单击“下一步”以将此项添加到存取列表中。

注意 GET 允许用户打开目录中的文件并启动其中的程序。POST 通常用于将数据发送到 CGI 程序,因此,仅对包含 CGI 程序的目录给予 POST 访问权限。“无访问权限”表示拒绝指定的用户或群组访问。

要从列表中删除某个项,请选定该项,然后单击“清除”。

如果用户使用匿名访问连接到服务器,则在“名称”域中输入“Anonymous”,然后指定相应的访问权限。

5. 在控制台输入以下命令以刷新服务器设置:


Domino 会将“文件保护”文档作为“服务器”文档的答复来显示。

另请参阅