比较公用密钥值

经常要检查认证期间用户与服务器证书交换后的签名。可以对公用密钥启用其他验证级别,方法是根据 HCL Domino®目录中列出的密钥值检查证书中传递的密钥值。用户可以向服务器进行认证,但他们证书中的公用密钥值与 Domino® 目录中为其列出的公用密钥值不匹配。

关于此任务

此密钥验证的额外级别可防止滥用丢失或泄密的标识文件。通常,如果标识文件丢失,那么其所有者需要注册以创建一个新的标识文件和目录条目;如果标识文件泄密,那么所有者的公用密钥和专用密钥需要翻转,并且需要验证一组新的密钥(从而更新目录条目)。如果启用目录级密钥检查,即使旧的标识文件可能包含有效的证书,拥有此旧的标识文件的攻击者也无法使用该密钥访问服务器。

如果认证成功,但是检测到公用密钥不匹配,也可以选择控制是否要生成日志消息这允许管理员检测标识文件内容开始与目录条目不一致的时间,尽管如此,也不能因为公用密钥不匹配而阻止这些用户进行认证。

过程

  1. Domino® Administrator 中,单击配置选项卡,然后打开“服务器”文档。
  2. 单击安全性选项卡。
  3. 安全性设置部分中,单击比较公用密钥旁边的列表,并选择以下某个选项:
    • 对所有 Notes 用户和 Domino 服务器强制执行密钥检查 - 比较认证期间证书中传递的密钥值和 Domino® 目录中存储的密钥值。在可信目录中没有列出的任何用户和服务器将被视作没有通过此验证检查,并且不允许其访问该服务器。
    • 仅对在可信目录中列出的 Notes 用户和 Domino 服务器强制执行密钥检查 - 仅当用户和服务器在可信目录中列出时,才比较认证期间证书中传递的密钥值与存储在 Domino 目录中的密钥值。在可信目录中没有列出的任何用户和服务器将被视作已通过了此验证检查。.
      注: 此选项允许管理员授予在可信目录中没有列出的用户访问服务器上的数据库和应用程序的访问权。例如,数据库可能将其访问控制表配置为授予 Domino® 目录中列出的用户“编辑者”访问权,授予其他所有用户“读者”访问权。因此,如果启用此密钥检查选项,那么在目录中没有列出的用户仍然可以访问服务器以使用数据库,不过他们只拥有读者访问级别。
    • 不强制执行密钥检查 - 只希望在认证期间进行证书签名检查,而不想根据目录内容验证密钥。
  4. 单击记录公用密钥不匹配旁边的列表,并选择以下某个选项:
    • 为所有 Notes 用户和 Domino 服务器记录密钥不匹配 - 记录认证期间证书中传递的密钥值与存储在 Domino® 目录中的密钥值不匹配时发生的事件。
    • 仅为在可信目录中列出的 Notes 用户和 Domino 服务器记录密钥不匹配 - 仅当用户和服务器在可信目录中列出时,才记录认证期间证书中传递的密钥值与存储在 Domino 目录中的密钥值不匹配时发生的事件。
    • 不记录密钥不匹配 - 只记录认证失败。
  5. 停止并重新启动服务器以使更改生效。服务器每小时轮询一次,以确定这些设置是否发生了更改,因此,如果没有重新启动服务器,那么新的设置可能在一小时后才能生效。