保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
  - 加密标准
    HCL Domino® 遵循多个加密标准，尤其是联邦信息处理标准 (FIPS) 要求或规定的标准。
  - 配置标识文件的加密
    用于当前 HCL Notes®客户机的任何标识都可具备 AES 加密所提供的高安全性。
  - 邮件加密
    邮件加密防止未经授权的用户访问消息。只对邮件消息正文进行了加密；头信息（如收件人、发件人和主题字段中的文本）未加密。
  - 配置端口加密和认证的级别
    您可以控制 HCL Domino® 服务器上使用的端口加密和认证的级别。
  - 电子签名
    电子签名与加密密切相关。电子签名可以验证数据确实来自于作者，并且未经其他人篡改。用户可以向邮件消息添加电子签名，也可以向文档中的字段和部分添加电子签名。数据库设计者决定用户是否可以对数据库中的字段和部分进行签名以及单个用户是否可以选择对邮件消息签名。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

配置端口加密和认证的级别

您可以控制 HCL Domino® 服务器上使用的端口加密和认证的级别。

关于此任务

在 Domino 服务器上启用 NRPC 端口加密时，从 Domino 12 开始，缺省情况下会启用使用 X25519 (https://en.wikipedia.org/wiki/Curve25519) 的向前保密 (https://en.wikipedia.org/wiki/Forward_secrecy)。下表介绍了基于使用缺省算法连接到 Domino 12 或更高版本服务器的 NRPC 客户机版本所使用的 NRPC 加密算法。客户机可以是 Notes 客户机，也可以是使用 Domino12 服务器进行复制的 Domino 服务器。

表 1. 客户机版本使用的 NRPC 加密算法
NRPC 客户机版本	连接到 Domino 12 时使用的算法
V9.0.1 FP7 之前的客户机	RC4
V9.0.1 FP7 和更高版本的 FP V10 V11	用于网络加密和完整性保护的 128 位 AES-GCM 和 128 位 AES 凭单
V12	用于网络加密和完整性保护的 256 位 AES-GCM，用于前向保密的 X25519，以及 128 位 AES 凭单。

从 Domino® 9.01 Fix Pack 7 起，以下 notes.ini 设置可用：

PORT_ENC_ADV。使用此设置可控制端口加密级别并启用 AES 凭单。
TICKET_ALG_SHA. 使用此设置可控制构造凭单时要使用的密码算法。

使用 DEBUG_PORT_ENC_ADV=1 可查看有关新算法的详细信息以及使用新算法时遇到的任何错误。

使用 LOG_AUTHENTICATION=1 可确定正在使用哪种认证算法。此设置已经过增强，可包含有关新算法的信息，并可更轻松地进行解释。例如：

认证 {E970014}：CN=Ultraviolet/O=MiniPax            T:RC2:128 E:1: P:c:e S:RC4:128 A:4:1 L:N:N:N FS: 认证 {BA6001C}：CN=Ultraviolet/O=MiniPax            T:RC2:128 E:1: P:t:e S:AES-CBC:128 A:2:1 L:N:N:N FS: 认证 {BA6000B}：CN=Ultraviolet/O=MiniPax            T:AES:128 E:1: P:t:e S:AES-GCM:256 A:2:1 L:N:N:N FS:DHE-2048

T 表示凭单算法和密钥大小。

S 表示会话（网络加密）算法和密钥大小。

FS 表示用于向前保密的算法（如果有）。

E、P、A 和 L 与前发行版相同。