权利跟踪

从 Domino 12.0 开始,提供了一个新的内部机制,用于收集各个用户在某个 Domino 域中拥有的最高权利。如果某个用户在数据库的 ACL 中显示为拥有“读者”或更高访问权,并且该用户有权访问服务器,该用户被称为授权用户

例如,Dana Smith/Renovations 拥有费用报告应用程序 expenses.nsf 的“作者”访问权。服务器的“允许访问”安全设置允许 */Renovations 访问服务器的许可权。因此,Dana Smith/Renovations 被视为拥有“作者”访问权的授权用户。

每台 Domino 12 服务器大约每天扫描一次服务器上的每个数据库,并收集每个授权用户的最高级别访问权。例如,在服务器 A 上:
  • Dana Smith/Renovations 拥有:expenses.nsf 的“作者”访问权、AcmeSales.nsf 的“读者”访问权以及她的邮件文件 DanaSmith.nsf 的“编辑者”访问权。
  • Richard Smith/Renovations 拥有:expenses.nsf 的“作者”访问权和 AcmeSales.nsf 的“设计者”访问权。
  • Gary Smith/GS Consulting 拥有 AcmeSales.nsf 的“读者”访问权。
完成扫描后,服务器 A 将跟踪:
  • Dana Smith/Renovations 是授权用户,“编辑者”是她的最高级别访问权。
  • Richard Smith/Renovations 是授权用户,“设计者”是他的最高级别访问权。
  • Gary Smith/GS Consulting 不是授权用户,因为尽管他在数据库 ACL 中显示为拥有“读者”访问权,但是他无权访问服务器。

服务器如何跟踪权利

Domino 安装程序会安装以下模板:entitlementtrack.ntf。Domino 服务器更新任务与服务器共同在服务器上创建和管理隐藏的系统数据库 entitlementtrack.ncfentitlementtrack.ncf 会在服务器的 Domino 目录中为每个用户创建一个文档,用于跟踪每个用户的最高授权访问级别。除了用户的最高授权访问级别外,每个文档还包含诸如找到此用户的第一个数据库以及如何授予用户最高授权访问级别之类的确凿事实。例如:“用户 Dana Smith/Renovations 在数据库 DanaSmith.nsf 中拥有“编辑者”访问权,因为在 ACL 中显式指定了她。” 或:“用户 Richard Smith/Renovations 在数据库 AcmeSales.nsf 中拥有“设计者”访问权,因为他是 AppDesigners 组的成员,该组对此数据库具有“设计者”访问权。”

跟踪对象

跟踪以下用户:
  • 目录中已认证的用户。跟踪受认证信任的所有目录中的每个用户。这可能与 Domino 目录中的所有用户、LDAP 目录中定义的用户或两者的组合一样简单。由于每个服务器可以具有唯一的目录配置,因此每个服务器可能具有一组唯一的用户。
  • 不在目录中的已认证用户。如果不在目录中的用户成功连接到了服务器并访问了数据库,那么他们会被添加到跟踪用户列表中。这种情况的一个示例是通过 HTTP 访问服务器的交叉认证用户。
  • 在 ACL 中但不在目录中的用户。如果服务器的安全设置没有限制(例如“允许任何人访问此服务器”),那么数据库中具有合格访问权级别的任何用户都将被视为授权用户,并会相应地跟踪这些用户。

非跟踪对象

不跟踪以下实体:
  • 服务器。
  • 因为未包含在“允许访问服务器”列表中或因为在“不允许访问服务器”中被明确拒绝访问,而无法访问服务器的用户。
  • 仅用于路由目的的“个人”文档,例如,没有 Notes 证书且没有 HTTP 密码的“个人”文档。

何时跟踪用户

尽管服务器每天扫描一次授权用户,但只有当用户的权利发生更改时才会在跟踪数据库中更新其跟踪文档。例如,如果 Dana Smith/Renovations 对其邮件文件的访问权从“编辑者”更改为“管理者”,那么才会在下一次扫描时更新她的跟踪文档以反映权限更改。

组、通配符和缺省访问权

虽然在单个用户级别跟踪权限,但 Domino 管理员通常使用 Domino 或 LDAP 组和通配符来控制用户对服务器和数据库的访问权。权限收集器以递归方式扩展“组的组”和/或“匹配用户的通配符”,以将组或通配符的权限投射到一组单个用户。使用组和通配符显式授权一组用户。

另一方面,使用缺省访问权可以隐式授权许多用户,因为缺省访问权设置投射到“其他所有人”。例如,如果具有五个成员的组 RenovationsManagers 对数据库具有“管理者”访问权,用户 Richard Smith/Renovations 具有显示“编辑者”访问权,缺省访问权是“读者”,那么除了这六个用户外有权访问服务器的所有人都将被授予“读者”访问权。如果服务器允许具有 */Renovations 的任何人访问服务器,并且配置的目录有 1,705 个 Renovations 用户,那么此 ACL 缺省授予 1,700 个用户“读者”访问权。通常,应非常谨慎地使用缺省访问权。

注: 如果 Domino 系统数据库随附的 -Default- ACL 条目允许访问权,那么该条目不会被视为权限,并且将被排除在处理之外。例如, Domino 帮助数据库随 -Default- ACL 条目一起提供,允许“读者”访问权,因此处理时将排除那些 -Default- ACL 条目。

在域级别汇总权限

域中每个 Domino 服务器每天收集的权利数据也会针对整个域在域管理服务器上进行汇总。目录编目任务管理同步过程,并且来自每个服务器的合并权利跟踪数据聚合到该管理服务器上的 entitlements.nsf 数据库中。该管理服务器既有自己的权利跟踪数据库 (entitlementtrack.ncf),也有域中所有服务器的聚合跟踪信息 (entitlements.nsf) 。该管理服务器标识域中每个用户的最高级别访问权,并存储特定用户具有最高访问权级别的服务器以及其他佐证信息,例如用户拥有权限的数据库及授予用户权限的方式。
注: entitlements.nsf 中的“历史记录”视图包含快照按钮。单击此按钮会生成一个文档,该文档根据当前数据按访问级别汇总当前权限总数。Domino 每周自动运行一次此操作,以便提供权限更改的历史记录。

如何使用权限信息

收集权限信息是为了帮助 Domino 客户监控他们的环境。HCL 不会以任何方式收集这些数据,也不会以任何方式将这些数据用于控制服务器访问。HCL 可能要求您提供的唯一信息是“权利报告”,其中包含各访问级别的权利总数,例如:
Entitlement Summary for 3/10/2010
	Manager         13
	Designer         7
	Editor         234
	Author        1200
	Reader        2400
	==================
	Total	    3834

如何使用这些信息

权利摘要中的信息对于了解您有多少个具有不同访问权级别的用户以及哪些服务器、数据库、ACL 和许可权会增加这些数字非常有用。缺省情况下,这些数据库仅具有 LocalDomainAdmins 的访问权,但是由于这些是您的数据,因此您能够以您认为符合以下限制的任何方式来管理对这些数据的访问:
  • 除非 HCL 支持人员指示,否则不要删除权利收集器数据库或收集器摘要数据库。
  • 请不要以任何方式修改设计或更改模板。
  • 数据库和收集服务“按原样”提供,并且在产品的后续发行版中,HCL 可以更改数据库的结构和数据收集过程。