安全性

验证期间验证用户口令
可以启用口令验证,使 Notes 用户只能在提供与用户标识符关联的正确口令之后通过服务器验证。如果未经授权的用户获得了某个标识符及其口令,则标识符所有者可以使用口令验证来更改口令,从而防止未经授权的用户继续使用该标识符通过服务器验证。当未经授权的用户下一次试图使用该标识符和旧口令访问服务器时,服务器将验证口令,当确定出输入的口令与新口令不匹配时,将拒绝未经授权的用户访问服务器。如果没有口令验证,则即使在用户更改标识符的口令之后,未经授权的用户仍然可以使用标识符和口令,因为缺省情况下口令只用于解密标识符文件,并不与存储在 Domino 目录中的口令进行对照。如果设置口令验证,则要求用户定期更改标识符中的口令。当要求的口令更改时间临近时(当前的更改间隔时间已过去三分之二,但至少提前两天),将提示用户更改口令。用户更改口令时,将使用新的口令更新当前的标识符和“个人”文档。

如果用户有多个标识符文件,则用户应更改每个文件中的口令以匹配新口令。不能对包含多个口令的标识符文件使用口令验证。

用户每次更改口令时,都必须指定唯一的口令。Notes 会保留以前用过的 50 个口令。如果启用口令历史检查(通过使用“安全性设置”文档),则可以配置在给定的口令可以重新使用之前必须使用的新口令数目。

到期的口令不会妨碍用户在本地复本中读取加密邮件或新建签名文档;但是,不指定新口令,用户将无法访问服务器上的数据库。

请注意验证期间的口令验证不适用于 Internet 用户,因为他们没有 Notes 用户标识符(除非他们的 Notes 口令和 Internet 口令已同步)。如果 Notes 口令和 Internet 口令同步,则对 Notes 口令所做的任何更改都将影响 Internet 口令。

有关 Notes 口令和 Internet 口令同步的详细信息,请参阅创建“安全性策略设置”文档

警告 不要对已使用智能卡锁定标识符文件的用户启用口令到期功能。否则,用户标识符可能被锁定,直到口令摘要清除为止。

管理进程和口令验证

口令验证要求管理进程更新 Domino 目录中的文档。为用户启用口令验证后,管理进程将在“管理请求”数据库中创建“设置口令信息”请求。Domino 将根据“服务器”文档“管理进程”区段的“时间间隔”域中的设置执行此请求。此请求根据在用户“个人”文档“管理”区段的“检查口令”、“必需的更改时间间隔”、“宽限期”域中输入的值启用口令检查。

用户第一次登录到要求口令验证的服务器时,管理进程将在“管理请求”数据库中生成“在 Domino 目录中更改用户口令”请求。此请求将在“个人”文档“管理”区段的“口令摘要”域中输入相应的口令摘要,同时还会在“个人”文档“管理”区段的“上次的更改日期”域中记录用户提供口令的日期。要通过启用口令验证的服务器的验证,用户必须提供符合摘要的口令。

此后,当用户更改口令时,管理进程将在“管理请求”数据库中生成新的“在 Domino 目录中更改用户口令”请求。此请求将更新“个人”文档中的“口令摘要”和“上次的更改日期”域。请注意,如果在启用口令验证之后更改了时间间隔或宽限期,则管理进程必须更新“个人”文档中的域,然后用户必须更改口令才能使更改生效。

有关详细信息,请参阅管理进程主题。

必需的更改时间间隔和宽限期

可以设置服务器在验证期间验证用户的口令,而不要求用户更改口令。如果要求更改口令,可以指定宽限期,即更改时间间隔到期多久之后,服务器才锁定用户。如果在必需的更改时间间隔内用户未更改口令,则用户在新建口令之前将无法通过要求口令验证的服务器的验证。如果宽限期到期而用户仍然没有更改口令,则除非由管理员手动删除“个人”文档中“口令摘要”域中的数据并且由用户新建口令,否则用户将无法通过验证。如果未经授权的用户在已授权的标识符所有者之前更改了标识符的口令,则已授权的所有者将无法通过验证,并将看到如下消息:


这时,应删除“口令摘要”域中的项目,并请已授权的用户立即登录并输入新的口令。

警告 对于使用智能卡锁定标识符文件的用户,应将必需的更改时间间隔和宽限期设置为 0。否则,用户标识符可能被锁定。

另请参阅