ACL 中的可接受項目
請參閱本主題,以取得在「存取控制清單 (ACL)」中產生項目的詳細資料。
ACL 中的可接受項目包含:
- 萬用字元項目
- 使用者、伺服器及群組名稱 (包含網際網路用戶端的使用者及群組名稱)
- LDAP 使用者
- 匿名,用於匿名網際網路使用者存取,以及匿名 HCL Notes® 使用者存取。
- 資料庫抄本 ID
每個 ACL 項目最多可具有 255 個字元。
以階層式格式將名稱新增至 ACL,以獲得更好的安全性。例如:
Sandra E Smith/West/Renovations/US
Randi Bowker/Sales/FactoryCo
萬用字元項目
若要允許一般存取資料庫,您可以在 ACL 中使用萬用字元 (*) 輸入階層式名稱。您可以在一般名稱及組織單位元件中使用萬用字元。
在 ACL 中尚未具有特定使用者或群組名稱項目,且其階層式名稱包含之元件含有萬用字元的使用者及/或伺服器,會被授與最高層次的存取權,由每一個符合的萬用字元項目指定。
此處是萬用字元格式的 ACL 項目:
*/Illustration/Production/Renovations/US
此項目將所選存取權控制單資訊授與給:
Mary Tsen/Illustration/Production/Renovations/US
Michael Bowling/Illustration/Production/Renovations/US
此項目不將所選存取權控制單資訊授與給:
Sandy Braun/Documentation/Production/Renovations/US
Alan Nelson/Renovations/US
您僅可以在 ACL 項目的最左部分使用萬用字元。例如,您不能使用項目:
*/Illustration/*/Renovations/US
代表下列項目:
Michael Bowling/Illustration/West/Renovations/US
Karen Richards/Illustration/East/Renovations/US
當您使用萬用字元 ACL 項目時,請將使用者類型設為「未指定」、「混合式群組」或「個人群組」。
使用者名稱
對於任何具有已認證 Notes® 使用者 ID 的個人,或使用名稱及密碼或 SSL 用戶端鑑別進行鑑別的網際網路使用者,您可以將其名稱新增至 ACL。
- 若為 Notes® 使用者,無論使用者是否與儲存資料庫的伺服器位於同一階層式組織,都請輸入每位使用者的完整階層式名稱;例如 John Smith/Sales/Renovations。
- 若為網際網路使用者,請輸入顯示為「人員」文件中「使用者名稱」欄位之第一個項目的名稱。 註: 許多別名可輸入使用者名稱欄位,用於驗證;不過,它是清單中的第一個名稱,用於執行安全性授權檢查。這是應使用在所有 HCL Domino® 資料庫ACL 上、「伺服器」文件上的安全設定以及 .ACL 檔案中的名稱。
伺服器名稱
您可以將伺服器名稱新增至 ACL,以控制資料庫從資料庫抄本接收的變更。若要確保更嚴密的安全性,請使用伺服器的完整階層式名稱:例如 Server1/Sales/Renovations:不論新增的伺服器名稱是否與儲存資料庫的伺服器名稱位於不同的階層式組織。
群組名稱
您將群組名稱:例如,Training:新增至 ACL,以代表需要相同存取權的多個使用者或伺服器。使用者必須以主要階層式名稱列出在群組中。群組還可以含有萬用字元項目作為成員。您必須先在 HCL Domino® 名錄或次要 Domino® 名錄,或已在「目錄協助」資料庫中為群組授權配置的外部「LDAP 目錄」中建立群組,才可在 ACL 中使用群組名稱。
群組會提供一種管理資料庫ACL 的方便方法。在 ACL 中使用群組會帶來下列好處:
- 不用將冗長的個人名稱清單新增至 ACL,新增一個群組名稱即可。如果群組列出在多個 ACL 中,只需修改 Domino® 名錄或「LDAP 目錄」中的群組文件即可,而不用在多個資料庫中新增及刪除個別名稱。
- 如果您需要變更數個使用者或伺服器的存取層次,為整個群組進行一次該動作即可。
- 使用群組名稱,可以反映出群組成員的責任,或部門或公司的組織情況。
終止群組
當員工離開您的組織時,您應從 Domino® 名錄的所有群組中移除其名稱,並將他們新增至用於拒絕存取伺服器的「只限拒絕清單」群組。「伺服器」文件中的「拒絕存取清單」包含不再具有 Domino® 伺服器存取權的 Notes® 使用者及群組名稱。您還應確定已從組織中所有資料庫的 ACL 移除離職員工的名稱。當您從 Domino® 名錄刪除人員時,您可以選擇「將刪除的使用者新增至拒絕存取群組」(如果已建立這類群組的話)。(如果沒有這類群組,對話框會顯示未選取或「無法使用拒絕存取群組」。)
LDAP 使用者
您可以使用次要 LDAP 目錄來驗證網際網路使用者。然後,您可以將這些網際網路使用者的名稱新增至資料庫ACL,以控制使用者存取資料庫。
您也可以在次要 LDAP 目錄中建立包括網際網路使用者名稱的群組,然後新增這些群組以作為 Notes® 資料庫ACL 中的項目。例如,網際網路使用者可能會嘗試存取 Domino®網路伺服器上的資料庫。如果網路伺服器鑑別使用者,且 ACL 包含名為「Web」的群組,則伺服器除了在主要 Domino® 名錄中搜尋項目之外,還可在位於外部 LDAP 目錄的「Web」群組中,查閱網際網路使用者的名稱。請注意,欲讓此方法行得通,網路伺服器上的「目錄協助」資料庫必須包含 LDAP 目錄的「LDAP 目錄協助」文件,並啟用「群組擴展」選項。您也可以使用此功能來查閱儲存在外部 LDAP 目錄群組中的 Notes® 使用者名稱,以進行資料庫ACL 檢查。
當您將 LDAP 目錄使用者或群組名稱新增至資料庫ACL 時,請使用 LDAP 格式的名稱,但使用正斜線 (/) 而非逗點 (,) 作為定界字元。例如,如果使用者在 LDAP 目錄中的名稱為:
uid=Sandra Smith,o=Renovations,c=US
請在資料庫ACL 中輸入以下名稱:
uid=Sandra Smith/o=Renovations/c=US
若要在 ACL 中輸入非階層式 LDAP 目錄群組的名稱,請僅輸入屬性值,而不要輸入屬性名稱。例如,如果 LDAP 群組的非階層式名稱為:
cn=managers
請在 ACL 中僅輸入:
managers
若要輸入階層式群組名稱的名稱,請將 LDAP 屬性名稱併入 ACL 項目。例如,如果群組的階層式名稱為:
cn=managers,o=acme
請在 ACL 中輸入:
cn=managers/o=acme
請注意,如果您所指定的屬性名稱與 Notes® 中所使用的名稱完全對應(cn、ou、o、c),則 ACL 不會顯示屬性。
例如,如果您在 ACL 中輸入以下名稱:
cn=Sandra Smith/ou=West/o=Renovations/c=US
因為屬性與 Notes® 所使用的那些屬性完全對應,所以在 ACL 中名稱顯示為:
Sandra Smith/West/Renovations/US
LDAP 使用者的可接受 ACL 項目
LDAP DN |
ACL 項目 |
---|---|
|
|
|
註: 如果 LDAP 名稱包含反斜線,且後續另一個字元,請在資料庫ACL 中指定名稱時省略反斜線。 |
|
|
|
|
匿名
任何存取伺服器而未進行初次驗證的使用者,或伺服器在該伺服器上的名稱為 "Anonymous"。匿名資料庫存取會指定給未經伺服器鑑別的網際網路使用者及 Notes® 使用者。
匿名存取通常是用在位於可讓一般公開情況下使用之伺服器上的資料庫中。您可以透過在存取控制清單中輸入「匿名」的名稱,並且指派適當的存取層次,來控制授與匿名使用者或伺服器的資料庫存取層次。通常您指派給「匿名」使用者資料庫的「讀者」存取權。
所有資料庫範本 (.NTF) 檔案的預設 ACL 項目「匿名」具有「讀者」存取層次,因此使用者或伺服器即可在根據該範本建立或重新整理 .NSF 檔時,成功地從該範本讀取。
資料庫(.NSF) 檔案的預設 ACL 項目「匿名」為「無存取權」。
已啟用網際網路通訊協定的匿名存取 |
未啟用網際網路通訊協定的匿名存取 | |
---|---|---|
已在資料庫ACL 中啟用匿名存取 |
使用者以「匿名」項目的存取權控制單資訊存取資料庫。例如,如果「匿名」存取權設為「讀者」,則會授與存取資料庫的匿名使用者「讀者」存取權。 |
當使用者嘗試存取伺服器上的任何資源時,系統會提示使用者進行驗證。如果使用者未列出在資料庫中(透過群組項目、萬用字元項目,或如果使用者名稱已明確列出),則使用者會以 -Default- 項目的存取權控制單資訊存取資料庫。 |
已在資料庫ACL 中授與匿名「無存取權」 |
如果已授與匿名「無存取權」(但未啟用「讀取與寫入公用文件」使用權限),則不允許「匿名」使用者存取資料庫,並會提示他們進行鑑別。當他們進行驗證時,會檢查資料庫ACL 中的名稱,以決定應授與的資料庫存取權層次。 | |
未在資料庫ACL 中列出匿名 |
匿名使用者以 -Default- 項目的存取權控制單資訊存取資料庫。例如,如果 -Default- 存取權設為「讀者」,且 ACL 中沒有「匿名」項目,則會授與存取資料庫的匿名使用者「讀者」存取權。 |
匿名使用者 (那些透過「匿名」項目被授與資料庫存取權,以及那些透過 -Default- 項目獲得存取權的使用者) 在資料庫中嘗試執行某些他們存取權層次所不允許的動作時,系統會提示他們進行驗證。例如,如果「匿名」設為「讀者」,且匿名使用者嘗試建立新文件,則會提示該使用者以名稱及密碼進行驗證。
Domino® 伺服器將群組名稱 Anonymous 僅用於存取控制檢查。例如,如果在資料庫ACL 中 Anonymous 具有「作者」存取權,則使用者的真實名稱會顯示在那些文件的「作者」欄位中。Domino® 伺服器可在文件的「作者」欄位中,僅顯示匿名 Notes® 使用者的真實名稱,而不顯示匿名網際網路使用者的真實名稱。「作者」欄位決不是一種安全功能,不論是否使用匿名存取;如果基於安全考量需要驗證作者名稱,則應簽署文件。
抄本 ID
若要允許一個資料庫中的代理程式使用 @DbColumn 或 @DbLookup 來從另一個資料庫擷取資料,請在包含要擷取資料之資料庫的 ACL 中,輸入包含代理程式資料庫的抄本 ID。包含代理程式的資料庫,至少必須具有包含要擷取資料之資料庫的「讀者」存取權。兩個資料庫都必須在同一伺服器上。例如,資料庫ACL 中的抄本 ID 為 85255B42:005A8fA4
。您可以大寫或小寫字母輸入抄本 ID,但不要使用引號含括。
如果您未將該抄本 ID 新增至存取控制清單,則只要您資料庫的 -Default- 存取權層次為「讀者」或更高存取權,其他資料庫仍可以擷取資料庫。
ACL 項目的評估次序
系統會以特定次序評估 ACL 項目,以決定要授與嘗試存取資料庫的已驗證使用者何種存取權層次。如果使用者無法透過伺服器進行驗證,但儘管如此,伺服器仍允許存取,則存取會按照使用者的名稱為 "Anonymous" 的情況處理。
- ACL 會先檢查使用者名稱,以查看其是否符合 ACL 中的明確項目。ACL 會檢查所有相符的使用者名稱。例如,Sandra E Smith/West/Renovations 將與項目 Sandra E Smith/West/Renovations/US 及 Sandra E Smith 相符。如果個人的兩個不同項目具有不同的存取權層次(例如,在不同時間由不同管理員套用),則會授與嘗試存取資料庫的使用者最高存取權層次,以及 ACL 中該使用者之兩個項目的存取專用權聯集。 註: 如果您僅在 ACL 中輸入一般名稱(例如,Sandra E Smith),則僅當使用者名稱與資料庫伺服器在同一網域階層時,該項目才符合。例如,如果使用者是 Sandra E Smith(其階層式名稱為 Sandra E Smith/West/Renovations),且資料庫伺服器為 Manufacturing/FactoryCo,則項目 Sandra E Smith 不會取得伺服器 Manufacturing/FactoryCo 上 ACL 的正確存取層次。若要使用者在其他網域的伺服器上取得正確層次的 ACL 存取權,名稱必須以完整階層式格式輸入。
- 如果沒有與使用者名稱相符的項目,則 ACL 會檢查以查看是否有群組名稱項目可與之相符。如果嘗試存取資料庫的個人碰巧與多個群組項目相符,例如,如果此人是「銷售」部門成員,且有兩個「銷售」群組項目:Renovations Sales 及 Sales Managers,則會授與此人最高存取層次,以及 ACL 中該群組兩個項目的合併存取權。註: 如果使用者符合 ACL 中的明確項目,且是 ACL 中所列出的某個群組成員,則即使群組存取層次更高,使用者也總是會取得指派給明確項目的存取層次。
- 如果沒有與群組名稱相符的項目,則 ACL 會檢查以查看是否有萬用字元項目可與之相符。如果嘗試存取資料庫的個人碰巧與多個萬用字元項目相符,則會授與此人最高存取權層次,以及所有相符萬用字元項目的存取專用權聯集。
- 如果同時將群組項目及萬用字元項目套用至嘗試存取資料庫的使用者,則該使用者會具有指派給群組項目的存取權。例如,如果「銷售」群組具有「讀者」存取權,且萬用字元項目 */West/Renovations 具有「管理員」存取權,並將這兩者套用至使用者,則使用者具有資料庫的「讀者」存取權。
- 最後,如果從資料庫ACL 項目中找不到相符項目,則會授與此人為 -Default- 項目定義的存取層次。