创建安全策略设置文档

安全策略设置文档允许您管理 HCL Notes®和因特网密码,配置为组织定制的密码策略,设置密钥翻转,管理“管理 ECL”,将可信保险库文件交叉证书推送到客户机以及配置标识符保险库。还可以为组合应用程序的已签名插件以及主门户网站服务器配置设置。

开始之前

确保您对 HCL Domino®目录具有编辑者访问权和以下某个角色:
  • 创建设置文档的 PolicyCreator 角色
  • 修改设置文档的 PolicyModifier 角色

关于此任务

注: 有关 Notes 共享登录选项卡以及使用 Notes 共享登录以禁止密码提示的信息,请参阅相关主题。有关联合登录选项卡的信息,请参阅相关主题以了解有关将 Notes 联合登录配置应用于用户的信息。
注: 有关为 HCL iNotes®用户创建安全策略设置,以及使用 HTTP 代理 servlet 来限制指向外部服务器的 URL 的信息,请参阅相关信息中的 HCL iNotes® 管理产品文档。

过程

  1. 在 Domino Administrator 中,选择个人和组选项卡,然后打开设置视图。
  2. 单击添加设置,然后选择安全性
  3. 基本选项卡中,填写下列字段:
    1. “基本”选项卡字段
    字段 操作
    名称 输入标识使用这些设置的用户的姓名。
    描述 输入设置的描述。
  4. 填写以下任务中描述的所有必需字段。

管理 Notes 和因特网密码

过程

  1. 密码管理选项卡上,填写以下选项字段:
    2. 密码管理选项
    字段 操作
    为 Notes 客户机使用定制密码策略 选择以下某个选项:
    • 否(缺省值)
    • 是 - 执行定制密码策略。定制密码策略使您能够配置特定的密码参数,从而这些密码比较有价值且不容易预测到。使用定制密码策略选项卡上的设置来设置策略。
    检查 Notes 标识文件中的密码 选择以下某个选项:
    • 否(缺省值)
    • 是 - 要求所有用户标识副本都要有相同的密码

    必须通过启用“服务器”文档的“安全性”选项卡中的检查 Notes 标识的密码字段来在服务器上启用此功能。有关更多信息,请参阅 设置密码验证

    注: 如果用户的 Notes 标识的密码发生更改,当用户下一次向服务器认证时,认证过程将生成管理进程 (AdminP) 请求,以更新目录中“个人”文档的用户密码摘要字段。如果在两天内再次更改密码,那么下一个认证过程会将创建新的密码更改请求延迟到两天后。

    例如,如果用户在星期一更改其密码以启动 AdminP 请求,如果他们在星期二再次更改密码,那么认证过程在星期三的认证之前不会创建第二个 AdminP 请求。

    相同的延迟也适用于使用 notes.ini 设置 IDV_RESETPASSWORD_DIGEST 重置标识符保险库中的密码。在星期三(最近一次密码重置后两天)发生下一次密码重置之前不会创建新请求。

    允许用户通过 HTTP 更改因特网密码 选择以下某个选项:
    • 是(缺省值) - 允许用户使用 Web 浏览器更改其因特网密码。
    当 Notes 客户机密码变化时升级因特网密码 选择以下某个选项:
    • 否(缺省值)
    • 是 - 使用户因特网密码和 Notes 客户机密码同步。
    注: 选择“是”将在更安全的因特网密码格式尚未使用的情况下激活它的使用。
    对于其他基于 Notes 的程序不提示输入密码(降低安全性) 选择“是”,在“安全性”对话框的登录和密码设置中,针对应用此策略的 Notes 客户机用户设置此选项。启用此选项可通过将用户的 Notes 初始登录复用于与 Notes 共享数据的任何基于 Notes 的应用程序来消除密码提示。
    为标准 Notes 客户机启用 Windows 单点登录 针对基于 Eclipse 的功能部件和产品(例如,窗口小部件和实时文本、订阅源、Connections、组合应用程序和 Sametime),启用对集成 Windows 认证(使用 SPNEGO/Kerberos)的支持。此选项不影响 Notes 客户机启动密码提示,但会消除参与的嵌入式及其他应用程序和组件的密码提示。

    有关 IWA 的其他信息,请参阅相关信息中的技术说明针对 Lotus Notes 中基于 Eclipse 的组件的集成 Windows 认证 (IWA)

  2. 另外在密码管理选项卡上,填写以下到期字段:
    3. 密码到期设置
    字段 操作
    强制密码到期 选择以下某个选项:
    • 禁用(缺省值)- 禁用密码到期。如果禁用密码到期,不要填写此区段中的其余字段。
    • 启用
    注: 如果为下列某个选项启用密码到期,“安全性设置”文档缺省值将更改。
    • 仅 Notes - 只对 Notes 密码启用密码到期。
    • 仅因特网 - 只对因特网密码启用密码到期。
    • Notes 和因特网 - 对 Notes 和因特网密码启用密码到期。
    注: 只有 HTTP 协议才能识别因特网密码到期设置。这意味着可以永远将因特网密码与其他因特网协议(如 LDAP 或 POP3)同时使用。
    注: 如果用户使用智能卡登录到 Domino 服务器,请勿启用密码到期。
    必需的更改时间间隔 指定必须更改密码之前密码有效的天数。缺省值为 0。
    注: 如果将此值设置为小于 30,那么将自动计算警告期字段的值。计算出的值等于此字段输入的值的 80%。
    允许的宽限期 指定锁定之前用户必须更改到期密码的天数。缺省值为 0,表示不会锁定用户。
    密码历史记录(仅 Notes) 指定将存储的到期密码的数目。存储密码可防止用户重新使用旧密码。缺省值为 0。
    警告期 指定密码到期之前多少天用户将收到到期警告消息。缺省值为 0。
    注: 如果必需的更改时间间隔设置被设置为小于 30 天,那么将计算此字段的值。为了计算此字段的值,必须启用密码到期。如果计算该值,该值不能被覆盖。
    定制警告消息 输入定制警告消息,这些警告消息将发送到那些密码已超出在“警告期”字段中指定的到期阈值的用户。
    注: 定制警告消息仅对 Notes 客户机可用, 不管如何启用密码到期。因特网用户看不到警告消息。

配置因特网密码锁定

关于此任务

如果您的组织是使用 SAML 进行会话认证,那么将忽略因特网密码锁定设置。

过程

  1. 密码管理选项卡上,填写以下锁定设置:
    4. 因特网密码锁定设置
    字段 操作
    是否覆盖服务器的因特网锁定设置? 当启用此策略文档设置时,策略中的设置将覆盖服务器配置设置文档中的因特网密码锁定设置。
    注: 服务器必须强制这些策略设置的因特网密码锁定生效。
    允许最大尝试数 锁定前允许的密码最大尝试次数。设置为 0 时,允许无限次的密码尝试。
    锁定到期 强制执行锁定的时间周期。在此时间段后,如果下次用户试图进行验证,将自动解锁用户帐户。设置为 0 时,将禁用自动解锁。
    最大尝试时间间隔 如果用户未被锁定,这是在成功认证清除任何先前失败尝试之前必须经历的时间周期。对于较强的安全性,请指定较长的保护强度时间。当设置此段时间为 0 时,则每出现成功验证,就立即清除失败的密码尝试。
  2. 另外在密码管理选项卡上,填写以下质量设置字段:
    5. 密码强度设置
    字段 操作
    必需的密码强度 如果需要用户基于密码强度来选择密码,请通过从列表中选择一个值来指定强度。
    改为使用长度 如果需要用户选择基于长度的密码,请单击“是”。执行此操作后,必需的密码强度字段会更改为必需的密码长度。在此处指定最小密码长度。
  3. 有关填写标识文件加密设置下各字段的信息,请参阅相关主题中的配置标识文件的加密主题。

配置定制密码策略

关于此任务

仅当选择实施定制密码策略时,才需要填写以下字段。

过程

  1. 对于密码管理选项卡上密码管理选项下的将定制密码策略用于 Notes 客户机字段,选择
    这将显示定制密码策略选项卡。
  2. 请填写下列字段:
    6. “定制密码策略”选项卡字段
    字段 操作
    在第一个使用的 Notes 客户机上更改密码 首次登录使用 Notes 时,需要用户更改他们的密码。
    注: 仅当策略在用户注册期间应用时,该字段才有效。
    在密码中允许公共名称 在密码中允许使用用户的公共名称组合。例如:John232 是用户 CN=John Doe/O=Mutt 的密码,其中公共名称为 John Doe。
    最小密码长度 指定用户可以在密码中设置的最小字符数
    最大密码长度 指定用户可以在密码中设置的最大字符数
    最低密码强度 指定用户可以在密码中设置的最低密码强度的值
    需要的最小字母字符数 指定允许用户在密码中设置的最小字母字符数
    需要的最小大写字母字符数 指定允许用户在密码中设置的最小大写字母字符数
    需要的最小小写字母字符数 指定允许用户在密码中设置的最小小写字母字符数
    需要的最小数字字符数 指定允许用户在密码中设置的最小特殊字符数,即标点符号
    需要的最小特殊字符数 指定允许用户在密码中设置的最小特殊字符数,即标点符号
    需要的最小非小写字母字符数 指定在用户密码中需要的最小特殊字符数,数字数和大写字符数。此处设定高值会使密码更难猜测。

    输入一个数字之后,将出现一个选择列表,列出可为该需求指定的字符类型。可以使用下列任意组合。

    • 大写字符
    • 数字
    • 特殊字符
    需要的最大重复字符数 指定允许在用户密码中设置的任何形式的最大重复字符数。
    需要的唯一字符数 指定在密码中仅出现一次的最小字符数
    密码不能以…开头 指定不能用作密码开头的字符类型
    密码不能以…结束 指定不能用作密码结尾的字符类型

配置管理 ECL

关于此任务

填写执行控制列表选项卡上的字段,以配置您组织中使用的管理 ECL。

7. “执行控制列表”选项卡字段
字段 操作
管理 ECL 选择以下某个选项:
  • 编辑 - 编辑其名称显示在“编辑”按钮旁的 ECL。
  • 管理 - 有关使用此功能的信息,请参阅“对管理 ECL 进行管理”。
注: 仅当安全性设置文档处于编辑方式时,才显示“编辑”和“管理”按钮。
更新方式 选择以下某个选项:
  • 刷新 - 使用管理 ECL 的新信息或更改信息更新客户机的 ECL, 按照如下步骤操作:

如果客户机 ECL 列出了管理 ECL 没有列出的签名,这些签名及其配置将在 客户机 ECL 上保持不变。

如果管理 ECL 列出了客户机 ECL 没有列出的签名,这些签名及其配置将被添加到 客户机 ECL。

如果客户机 ECL 和管理 ECL 列出了相同的签名,那么客户机 ECL 上这些的设置就会被丢弃并被管理 ECL 上同样签名的设置覆盖。

  • 替换 - 使用管理 ECL 覆盖客户机 ECL。客户机 ECL 上的所有信息都不保留。
更新频率 选择以下某个选项:
  • 每天一次 - 当客户机通过主服务器进行身份认证,并且自上次更新 ECL 已有一天或者自管理 ECL 更改已有一天时,更新客户机 ECL。
  • 当管理 ECL 更改时 - 当客户机通过主服务器进行身份认证,并且自上次更新以来管理 ECL 已经更改时,更新客户机 ECL。
  • 无 - 在身份认证期间禁止更新客户机 ECL。

管理“管理执行控制列表”(ECL)

关于此任务

在域中设置了第一台服务器之后,Domino 会创建一个缺省管理 ECL,您可以为您组织定制管理 ECL。您可能需要有多种类型的管理 ECL,例如一个管理 ECL 用于承包商,而另一个管理 ECL 用于全职员工。您可以使用“工作站安全性:管理执行控制列表”对话框来管理创建的管理 ECL。您还可以使用它来创建新的管理 ECL 或删除任何不再需要的管理 ECL。
注: 仅当安全性设置文档处于编辑方式时,才显示编辑管理按钮。

过程

  1. 在“安全性设置”文档工具栏上,单击编辑设置
  2. 单击管理。系统显示“工作站安全性:管理执行控制列表对话框。可选择以下选项:
    8. “工作站安全性:管理执行控制列表”选项
    字段 操作
    编辑现有管理 ECL
    • 从列表框中选择要编辑的管理 ECL 的名称,然后单击确定。所选管理 ECL 的名称将显示在“执行控制列表”选项卡的“管理 ECL”字段中。
    • 单击“编辑”按钮可打开所选管理 ECL。
    新建管理 ECL
    • 新建管理 ECL 字段中输入新 ECL 的名称,然后单击确定。新管理 ECL 的名称将显示在“执行控制列表”选项卡的“管理 ECL”字段中。
    • 单击编辑按钮以创建新的管理 ECL。
    删除现有管理 ECL
    • 从列表框中选择要删除的管理 ECL,然后单击删除
    • 将删除所选管理 ECL,并刷新现有管理 ECL 的列表。

结果

管理 ECL 独立存储在安全性设置文档中。如果编辑管理 ECL,引用此特定名称的管理 ECL 的所有安全性设置文档都将使用更改如果删除管理 ECL,引用此特定管理 ECL 的所有安全性设置文档将使用缺省管理 ECL。一旦删除管理 ECL,将无法通过单击取消来撤销删除。

单击取消将使显示在设置文档中的管理 ECL 的名称保持不变。

启用密码翻转

关于此任务

填写密钥和证书选项卡上的字段,为用户组配置密钥翻转。指定启动用户组密钥翻转的触发器。您可以在一段指定时间内为应用该策略的用户组分隔密钥翻转过程。

有关配置 AES 用于邮件和文档加密的信息,请参阅相关主题。

过程

  1. 缺省公用密钥需求字段中,指定父策略和子策略的设置。选择以下某项:
    • 从父策略继承公用密钥需求设置
    • 在子策略中强制公用密钥需求设置
  2. 用户公用密钥需求下,填写以下字段。
    9. 用户公用密钥需求
    字段 操作
    允许的最小密钥强度
    注: 比指定密钥弱的密钥将被结转。
    • 无最小值。
    • 与所有发行版最大程度的兼容(630 位)。
    • 与 R6 及更高版本兼容(1024 位)。
    • 与 R7 及更高版本兼容(2048 位)。
    允许的最大密钥强度
    注: 比指定密钥弱的密钥将被结转。
    • 与所有版本兼容(630 位)。
    • 与 R6 及更高版本兼容(1024 位)。
    • 与 R7 及更高版本兼容(2048 位)。
    首选密钥强度 当创建新的密钥时,选择使用首选密钥强度:
    • 与所有版本兼容(630 位)。
    • 与 R6 及更高版本兼容(1024 位)。
    • 与 R7 及更高版本兼容(2048 位)。
    允许的最大密钥生存期(天) 指定密钥在需要被翻转之前能够达到的最大生存期。缺省为 36500 天(100 年)。
    允许的最早密钥创建日期 在此日期之前创建的任何密钥将被翻转。
    为超越此时间段的所有用户展开新的密钥生成: 指定时间段(天)为适用该安全性设置策略文档的所有用户创建新密钥。用户密钥在配置的时间段内可被随机翻转。缺省值为 180 天。
    新密钥被创建后旧密钥保持有效的最大天数 指定旧密钥在网络认证期间仍能使用的最大天数。在 Notes 密钥验证期间,所有证书(旧的和新的)和所有翻转密钥组成一个树,然后,对该树进行遍历,查找一组可链接在一起以验证密钥的证书。在该链中不能使用已到期的证书。当您因害怕密钥已被泄露而翻转它时,最好为发布到该密钥的旧证书可以使用的时间长度设置一个较短的值。此设置的有效值为 1 到 36500 天,缺省值为 365 天。
  3. 使用相关主题中配置 AES 用于邮件和文档加密主题内的信息,填写文档/邮件加密设置中的字段。
  4. 证书到期设置下的警告期字段中,指定证书到期前用户接收到期警告消息的天数;缺省值为 0。
  5. 证书到期设置下的定制警告消息字段中,输入将向证书已超出在警告期字段中所指定到期阈值的用户发送的定制警告消息。

启用联机证书状态协议 (OCSP) 检查

关于此任务

联机证书状态协议 (OCSP) 使应用程序能确认已识别证书的撤销状态。在 Notes 客户机进行 S/MIME 签名验证和邮件加密期间,将执行 OCSP 检查。OCSP 通过策略启用,方法是使用“安全性设置”文档中密钥和证书选项卡上的启用 OCSP 检查设置。

将可信交叉证书应用于客户机

关于此任务

您可以取消显示用于创建交叉证书的用户提示。使用密钥和证书选项卡的管理信任缺省值部分,将可信因特网证书、因特网交叉证书和 Notes 交叉证书应用于 Notes 客户机。有关将可信证书应用于(有时称为推送)客户机的信息,请参阅相关主题。

配置已签名插件的安装

关于此任务

插件可以供应给 Notes 用户,通常使用 Notes 客户机信任的证书进行签名,并验证包含的数据是否损坏。用户随后可以安装或更新已签名的插件。

有时候也会发现有问题的插件。可能是功能部件或插件没有使用可信证书签名,或者证书已经到期或尚未可用。对于这些情况可以建立策略:从不安装这些插件、总是安装这些插件,或者将插件安装到计算机时询问用户以确定是否安装。

可以使用 Java SDK 提供的 JAR 签名者工具来标记插件 jar 签名的时间戳记,以确保插件签名长期有效。Notes 客户机使用插件 jar 签名中包括的时间戳,以确定在签名时插件签名证书是否有效。如果插件签名证书已到期,但在签名时是有效的,那么 Notes 会接受此证书,这样用户在插件安装或供应期间就不会看到安全提示。使用已签名插件选项卡上的忽略证书时间戳记的到期日期设置,可控制是否允许安装证书时间戳记到期的已签名插件。缺省情况下,允许此安装。

10. “忽略证书时间戳记到期时间”设置
字段 操作
安装已过期或尚未生效的插件
  • 询问用户
  • 从不安装
  • 总是安装
安装未签名的插件
  • 询问用户
  • 从不安装
  • 总是安装
安装由未承认实体签名的插件
  • 询问用户
  • 从不安装
  • 总是安装
信任插件签名证书
  • 询问用户
  • 对安装从不信任
  • 对安装总是信任
忽略证书时间戳记到期日期
  • 询问用户
  • 从不安装
  • 总是安装

配置门户网站服务器设置

关于此任务

11. 门户网站服务器设置
字段 操作
主门户网站服务器 输入托管 Notes 用户帐户的 HCL Digital Experience Server。
认证 URL 输入 Notes 用户需要访问以认证门户网站服务器的 URL。
认证类型 选择以下某个选项:
  • J2EE 表单
  • HTTP,用于基于 Web 的认证
注: 有关标识符保险库代理选项卡的信息,请参阅相关主题。