保護現實的 Domino® 伺服器
實際保護伺服器和資料庫的安全,其重要性等同於防止未獲授權的使用者和伺服器的存取。因此,請將所有 Domino® 伺服器置於通風、安全的區域(如上鎖的房間)。如果伺服器不安全,則未授權的使用者可避開安全功能(例如,ACL 設定),存取伺服器的應用程式、使用作業系統複製或刪除檔案,或實際損毀伺服器硬體。
執行這項作業的原因和時機
若要達到最大的伺服器實際安全,請執行下列一或多項:
- 使用伺服器時不用滑鼠,並鎖住鍵盤。
- 以密碼保護伺服器 ID。如果一個 ID 使用一個密碼,則必須手動重新啟動伺服器,而非自動重新啟動。必須知道伺服器密碼才能重新啟動伺服器。
- 使用 Set Secure 指令來用密碼保護主控台,同時限制當伺服器運行時所能執行的動作。
- 使用「本端安全」選項,以伺服器 ID 加密伺服器的資料庫。之後伺服器的人員僅可在其擁有加密資料庫的伺服器 ID 存取權時,才能存取資料庫。
- 使用作業系統功能保護資料檔,並鎖定鍵盤存取。若需相關資訊,請參閱作業系統文件。
使用智慧卡保護伺服器主控台
執行這項作業的原因和時機
Notes® 使用者可使用智慧卡及其使用者 ID 來登入 Notes®。使用智慧卡需要在使用者電腦上安裝智慧卡讀取器,以及智慧卡軟體及驅動程式。搭配使用智慧卡及 Notes® 的優點在於智慧卡可鎖定使用者 ID。用智慧卡登入 Notes® 時,需提供智慧卡、使用者 ID 及使用者的智慧卡 PIN。
管理員可有效運用智慧卡安全性來實際保護 Domino® 伺服器主控台。在此種情況下,管理員會以智慧卡鎖定「伺服器 ID」。開始之前,請先完成下列作業:
- 啟動 Domino® 伺服器工作站,但不要啟動 Domino® 伺服器軟體。
- 修改 Domino® 伺服器的 NOTES.INI 檔案,以併入指向智慧卡 PKCS#11 檔案的變數
PKCS11_Library=。此檔案將在安裝智慧卡時載入。例如:PKCS11_Library=C:\Program Files\Schlumberger\Smart Cards and Terminals\Common Files\slbck.dll
如需 Notes® 使用者如何設定智慧卡的相關資訊,請參閱 HCL Notes® 說明 中的「啟用智慧卡來登入 Notes®」主題。
注意: 如果不修改伺服器的 NOTES.INI 檔案以併入 PKCS11_Library 變數,則當您嘗試啟動 Domino® 伺服器時,它會關閉並傳回「使用者中止登入」錯誤。
程序
- 在 Domino® 伺服器工作站上,安裝智慧卡讀取器及智慧卡驅動程式檔案。
- 在 Notes® 用戶端工作站上,安裝智慧卡讀取器以及與 Domino® 伺服器上所安裝相同的智慧卡驅動程式檔案。此工作站將用來為伺服器配置智慧卡。
- 將 SERVER.ID 從 Domino® 伺服器複製到記憶體裝置上。將裝置插入 Notes® 工作站。
- 以伺服器具有憑證網域的使用者 ID 啟動 Notes® 用戶端。
- 將指定給伺服器的智慧卡插入 Notes® 用戶端的讀卡機。如有必要,請輸入智慧卡 PIN。
- 按一下「」,切換至 SERVER.ID 檔案副本。
-
執行下列步驟來啟用關聯智慧卡的 SERVER.ID 檔案。
- 按一下「」,然後輸入 SERVER.ID 的密碼。
- 按一下「智慧卡選項」。
- 按一下「啟用智慧卡登入」。
- 輸入密碼(必要的話)及智慧卡 PIN。大約 10 到 15 秒之後,系統將為 SERVER.ID 檔案設定智慧卡。
- 將啟用智慧卡的 SERVER.ID 檔複製回伺服器的 Domino\data 名錄。
- 將智慧卡插入 Domino® 伺服器讀卡機,然後啟動 Domino®。
- 在伺服器指令控制台,於系統提示時輸入智慧卡 PIN,便會啟動 Domino®。