主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
基于时间的一次性密码 (TOTP) 认证
当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
配置 TOTP 认证
要配置基于时间的一次性密码认证 (TOTP)，请完成下列步骤。
2. 在“配置设置”文档中启用 TOTP 认证
通过“配置设置”文档在 Domino® 服务器上启用 TOTP。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
  - 配置 TOTP 认证
    要配置基于时间的一次性密码认证 (TOTP)，请完成下列步骤。
    - 1. 为 TOTP 发布保险库信任证书
      要允许使用基于时间的一次性密码 (TOTP) 认证，请使用 mfamgt 服务器命令为用户的 Notes 验证者发布多因素认证证书。
    - 2. 在“配置设置”文档中启用 TOTP 认证
      通过“配置设置”文档在 Domino® 服务器上启用 TOTP。
    - 3. 在服务器上启用 TOTP 认证
      在“配置设置”文档中启用 TOTP 认证后，还要通过“服务器”文档‘’、“因特网站点”文档或“虚拟服务器”文档在服务器上启用 TOTP 认证。
    - 4. 为 TOTP 启用安全邮件操作
      您可以选择为具有 Notes 标识的 Web 用户（例如 iNotes 用户）配置对安全邮件操作（解密、加密和签名）的支持。
    - 5. 配置 TOTP 登录表单
      创建使用定制登录表单 $$LoginUserFormMFA 的 Domino Web 服务器配置数据库。
    - 6. 重新启动保险库服务器以启用 TOTP
      完成所有配置步骤后，重新启动保险库服务器。
  - 配置跨域 TOTP 认证
    您可以为辅助 Domino 域中的用户启用 TOTP 认证。配置完成后，在辅助域中注册的用户可以设置并使用在主 Domino 域中配置的 TOTP 认证。
  - TOTP 认证的 Docker 注意事项
    在 Docker 上的 Domino 服务器上启用 TOTP 的要求和建议如下。
  - 用户如何设置 TOTP
    在某个 Domino 服务器上启用基于时间的一次性密码 (TOTP) 认证后，下次 Web 用户登录到该服务器时，他们将按照以下步骤设置 TOTP。
  - 重置用户的 TOTP 配置
    如果用户无法提供有效的 TOTP 令牌来登录到启用 TOTP 的服务器，那么可以重置其 TOTP 配置，以便他们可以再次设置 TOTP。
  - 用于 TOTP 的 notes.ini 设置
    以下服务器 notes.ini 设置可用于定制 TOTP 配置。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

2. 在“配置设置”文档中启用 TOTP 认证

通过“配置设置”文档在 Domino® 服务器上启用 TOTP。

过程

在 Domino® Administrator 中，单击配置选项卡，展开邮件处理部分。
选择配置。
单击添加配置以创建新的“配置设置”文档。或者，选择现有“配置设置”文档并单击编辑配置。
单击安全选项卡。

填写多因素认证部分中的以下字段。

字段	描述
用于 Web 认证的基于时间的一次性密码 (TOTP)	选择启用。
允许应急备用验证码	选择是（缺省值）可允许用户提供十个备用验证码中的一个，而不是提供 TOTP 令牌。当用户的 TOTP 应用程序不可用时（例如运行该应用程序的设备丢失时），此选项对于允许用户登录非常有用。成功设置 TOTP 之后，将立即向用户显示这些备用验证码。一个备用验证码一旦使用，便无法再次使用。
通过电子邮件向用户发送备用验证码	如果允许应急备用验证码，请选择是以在用户初始设置 TOTP 时或在其配置被重置并且他们再次设置配置时向用户发送包含备用验证码的加密电子邮件。用户还可以在设置期间复制备用验证码
最大密码数	每个用户可以设置的用于访问 Domino 服务器的 TOTP URI（帐户）的数量：1、2 或 3（缺省值）。如果 TOTP 应用程序在多个设备上运行，那么多个 TOTP URI 可能很有用。
Algorithm	用于生成令牌的算法。使用缺省算法 HMAC-SHA256，除非发现环境中存在不支持该算法的较旧 TOTP 应用程序。注：标识符保险库服务器支持将 HMAC 算法降级一个级别，例如，从 HMAC-SHA256 降级为 HMAC-SHA1。因此，我们将缺省算法保留为了 HMAC-SHA256 以支持 TOTP 客户机，例如 Google Authenticator。Authy 和 Microsoft Authenticator 当前支持 HMAC-SHA1，并且它们对启用 HMAC-SHA1 或 HMAC-SHA256 的服务器奏效。

单击保存并关闭。