主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
基于时间的一次性密码 (TOTP) 认证
当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
配置 TOTP 认证
要配置基于时间的一次性密码认证 (TOTP)，请完成下列步骤。
4. 为 TOTP 启用安全邮件操作
您可以选择为具有 Notes 标识的 Web 用户（例如 iNotes 用户）配置对安全邮件操作（解密、加密和签名）的支持。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
  - 配置 TOTP 认证
    要配置基于时间的一次性密码认证 (TOTP)，请完成下列步骤。
    - 1. 为 TOTP 发布保险库信任证书
      要允许使用基于时间的一次性密码 (TOTP) 认证，请使用 mfamgt 服务器命令为用户的 Notes 验证者发布多因素认证证书。
    - 2. 在“配置设置”文档中启用 TOTP 认证
      通过“配置设置”文档在 Domino® 服务器上启用 TOTP。
    - 3. 在服务器上启用 TOTP 认证
      在“配置设置”文档中启用 TOTP 认证后，还要通过“服务器”文档‘’、“因特网站点”文档或“虚拟服务器”文档在服务器上启用 TOTP 认证。
    - 4. 为 TOTP 启用安全邮件操作
      您可以选择为具有 Notes 标识的 Web 用户（例如 iNotes 用户）配置对安全邮件操作（解密、加密和签名）的支持。
    - 5. 配置 TOTP 登录表单
      创建使用定制登录表单 $$LoginUserFormMFA 的 Domino Web 服务器配置数据库。
    - 6. 重新启动保险库服务器以启用 TOTP
      完成所有配置步骤后，重新启动保险库服务器。
  - 配置跨域 TOTP 认证
    您可以为辅助 Domino 域中的用户启用 TOTP 认证。配置完成后，在辅助域中注册的用户可以设置并使用在主 Domino 域中配置的 TOTP 认证。
  - TOTP 认证的 Docker 注意事项
    在 Docker 上的 Domino 服务器上启用 TOTP 的要求和建议如下。
  - 用户如何设置 TOTP
    在某个 Domino 服务器上启用基于时间的一次性密码 (TOTP) 认证后，下次 Web 用户登录到该服务器时，他们将按照以下步骤设置 TOTP。
  - 重置用户的 TOTP 配置
    如果用户无法提供有效的 TOTP 令牌来登录到启用 TOTP 的服务器，那么可以重置其 TOTP 配置，以便他们可以再次设置 TOTP。
  - 用于 TOTP 的 notes.ini 设置
    以下服务器 notes.ini 设置可用于定制 TOTP 配置。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

4. 为 TOTP 启用安全邮件操作

您可以选择为具有 Notes 标识的 Web 用户（例如 iNotes 用户）配置对安全邮件操作（解密、加密和签名）的支持。

关于此任务

通过安全策略和标识符保险库配置启用，当 Web 用户启用 TOTP 时，标识文件会下载到内存中并用于安全邮件操作。可能会在初始 TOTP 认证期间进行下载，也可能在尝试安全邮件操作而标识文件不在内存中时进行下载。

过程

在用于标识符保险库的“安全性设置”文档中为 TOTP 启用安全邮件操作：
1. 打开“安全性设置”文档，然后单击标识符保险库选项卡。
2. 在基于 TOTP 的标识下载部分中的允许使用标识符保险库进行 TOTP 认证字段中选择是。
3. 要允许不使用 TOTP 的 Web 用户继续下载其 Notes 标识用于安全邮件操作，请在允许使用标识符保险库进行密码认证中选择是。要要求所有 Web 用户必须使用 TOTP 才能下载其 Notes 标识，请选择否。
在保险库配置文档中，指定使用标识符保险库并且启用 TOTP 和安全邮件操作的服务器。
1. 打开保险库数据库。
2. 打开“配置”文档。
3. 在非 iDP 认证登录部分中的可信服务器字段中指定所有 Domino Web 邮件服务器名称。