因特网/内部网客户机的名称和密码认证
名称和密码认证(也称为基本密码认证)使用基本的提问/应答协议来向用户询问其名称和密码,然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查,从而验证密码的准确性。
当设置了此认证时,只有在因特网/内部网客户机尝试访问服务器上的受保护资源时,Domino® 才会询问名称和密码。因特网/内部网访问与 Notes® 客户机和 Domino® 服务器访问的不同之处在于,当客户机或服务器最初尝试访问服务器时,Domino® 服务器会要求 Notes® 客户机或 Domino® 服务器提供名称和密码。
如果希望根据 Domino® ACL 安全性为因特网/内部网客户机分配数据库访问权,必须在 Domino® 目录中为该客户机创建“个人”文档,或者(可选)在辅助 Domino® 目录或外部 LDAP 目录中创建。没有“个人”文档的客户机被认为是“匿名”,只能访问那些允许“匿名”访问的服务器和数据库。
名称和密码认证允许 Domino® 为访问服务器的客户机查找“个人”文档(如果存在)。在识别了客户机后,即可确定其对服务器资源的访问权限。例如,如果希望 Alan Jones 对某个数据库具有“编辑者”访问级别,而访问此数据库的其他所有用户都具有“作者”访问级别,则必须为 Alan Jones 创建“个人”文档。您可以设置数据库 ACL,将 Alan Jones 作为“编辑者”包括进来,而将“匿名”作为“作者”包括进来。
可以在运行因特网协议(即 LDAP、POP3、HTTP、SMTP、IIOP 或 IMAP)的任意服务器上使用基于 TCP/IP 或 TLS 的名称和密码认证。可以针对服务器上启用的每个因特网协议指定安全方法。例如,可以对 HTTP 连接启用客户机证书认证,而对使用 TCP/IP 的 LDAP 连接要求名称和密码安全性。也可以对匿名和 TLS 客户机认证使用名称和密码安全性,例如,允许具有 TLS 客户机认证字的用户使用 TLS 客户机证书进行认证,而允许其他没有 TLS 客户机证书的用户输入名称和密码。
如果要对 HTTP 服务器设置名称和密码认证,可将另一种方法用于名称和密码认证:基于会话的认证。名称和密码认证将每个请求与未加密的名称和密码一起发送。基于会话的认证的不同之处在于用户名称和密码由 cookie 代替。仅当用户首次登录服务器时,用户名称和密码才在网络上发送。之后用 cookie 进行认证。基于会话的名称和密码认证与基本的名称和密码认证相比,控制用户交互的能力更强。而且使用这种认证,您还可以定制用户在其中输入他们的名称和密码信息的表单。此选项还允许用户在不关闭浏览器的情况下注销会话。
基于无 TLS 保护的连接的名称和密码认证
使用基于无 TLS 保护的连接的名称和密码认证来识别用户,不能确保对服务器上数据的安全访问。例如,当希望根据用户名对不同的用户显示不同的信息时,以及当数据库中的信息不保密时。使用这种认证时,在用户和服务器之间发送的信息(包括名称和密码)不被加密。这种类型的名称和密码认证阻止了某些类型的黑客,但无法阻止其他类型的黑客侦听网络传输以及猜测密码。
基于 TLS 的名称和密码认证
使用 TLS,所有信息(包括名称和密码)都将加密。TLS 为设置了名称和密码认证的用户提供保密性和数据完整性。在 TLS 安全性之外要求名称和密码为不使用客户机证书认证的用户提供了安全性,并允许您识别访问数据库的各个用户。
定制名称和密码认证
Domino® Web 服务器应用程序编程接口 (DSAPI) 是一种 C API,可用于编写您自己对 Domino® Web 服务器的扩展。您可以通过这些扩展或“过滤器”定制 Web 用户的认证。
有关 DSAPI 和过滤器的更多信息,请参阅相关主题中的 Lotus® C API Toolkit for Notes® and Domino® 及其文档。