進行網際網路及內部網路用戶端的驗證及鑑別

在您設定名稱及密碼存取,並建立網際網路/內部網路使用者的「人員」文件之後,當使用者嘗試執行限制存取的動作,或者伺服器上不允許匿名存取時,Domino® 會鑑別使用者。

例如,使用者嘗試開啟資料庫,而該資料庫的 ACL 中的「無存取權」為 -Default- 時,Domino® 會要求使用者輸入有效的使用者名稱及密碼。只有當使用者提供的名稱及密碼與使用者的「人員」文件中儲存的名稱及密碼相符時(或者在 LDAP 目錄中,部分使用者是針對 LDAP 目錄進行鑑別,而不是「人員」記錄),而且如果資料庫ACL 對該使用者授與存取權時,鑑別才會成功。無法認證匿名使用者。

可利用 TCP/IP 及 SSL 使用名稱及密碼及匿名存取。

本節也會套用到正在存取已啟用階段作業鑑別的 Domino®網路伺服器的網路用戶端。

註: Domino®網路伺服器應用程式設計介面 (DSAPI) 是一種 C API,可以用來撰寫 Domino®網路伺服器的延伸。使用這些延伸功能(或過濾器),您可以自訂網路使用者的認證。如需 DSAPI 的相關資訊,請參閱「Lotus® C API Toolkit for Domino®Notes®」。

驗證及認證運作的方式

本例說明用戶端 (Andrew) 如何使用 TCP/IP 連接伺服器 (Mail-E)。

  1. Andrew 試圖存取 Mail-E 的資料庫。
  2. 伺服器會檢查「網際網路網站」文件(或「伺服器」文件),決定是否啟用 TCP/IP 的匿名存取。如果啟用,則:
    1. 伺服器會檢查資料庫存取控制清單,查看名為「匿名」的項目。如果存在「匿名」,且「匿名」存取的層次是「讀者」或更高,則 Andrew 將匿名存取資料庫。
    2. 如果存取控制清單不包含名為「匿名」的項目,則伺服器會在資料庫存取控制清單中,檢查「預設」存取權限。如果 -Default- 存取權是「讀者」或更高,則 Andrew 可以使用 -Default- 存取層次以匿名存取資料庫。
  3. 如果已停用通訊協定的匿名存取,或如果資料庫ACL 不允許匿名存取,則伺服器會檢查「網際網路網站」文件(或「伺服器」文件),決定是否啟用 TCP/IP 的名稱及密碼存取權。如果啟用名稱及密碼存取,則:
    1. 伺服器會提示 Andrew 輸入使用者名稱及密碼。
    2. 伺服器會查閱 Andrew 在瀏覽器中輸入的使用者名稱。伺服器會使用「較多的名稱變更配合較低的安全 」或「較少的名稱變更配合較高的安全」作為查閱機制來搜尋所有目錄,以查找所輸入的名稱。
    3. 如果找到符合 Andrew 所輸入的使用者名稱,且 Andrew 所輸入的密碼符合其「人員」文件之網際網路密碼欄位中的密碼,則會認證 Andrew。伺服器會檢查「人員」文件的主要「Domino® 名錄」。如果將伺服器配置為搜尋次要「Domino® 名錄」及 LDAP 目錄,則伺服器也會檢查次要「Domino® 名錄」及 LDAP 目錄。
      註:Domino® 鑑別網際網路使用者時,會使用識別名稱 (DN),這是「人員」文件的「完整名稱」欄位中出現的第一個名稱。此名稱應用在群組、委派的伺服器管理、資料庫ACL 及檔案保護文件的項目中。

    對於沒有「人員」記錄而將記錄改放在次要 LDAP 目錄中的使用者,使用者的 LDAP 名稱可能會出現在 ACL 上。若要容許使用者的存取權,ACL 應該包括使用者的 LDAP 名稱(除非「目錄協助」將使用者的名稱對映到對應的 Domino® 名稱,在此情況下,Domino® DN 應會出現在 ACL 上)。

    1. 接下來,伺服器會編譯「群組清單」,其包含 Andrew 的識別名稱,以及所有萬用字元項目及他在該伺服器上所屬的任何群組。
    2. 然後,伺服器會檢查資料庫ACL 以判斷 Andrew 的名稱是否確實列出在 ACL 上,或其名稱的任何群組清單項目是否出現在 ACL 中。
    3. 如果 Andrew 的識別名稱或他所屬之任何群組的名稱符合 ACL 中的項目,則 Andrew 會使用為 ACL 中該項目所指定的存取權控制單資訊來取得資料庫的存取權。否則,他的存取會被拒絕。