认证期间认证用户密码
您可以启用密码验证,以便 Notes® 用户只有在提供了与用户标识相关联的正确密码之后才能向服务器认证。
如果未经授权的用户获得了某个标识及其密码,那么标识所有者可以使用密码认证来更改密码,从而防止未经授权的用户继续使用该标识通过服务器认证。当未经授权的用户下一次试图使用该标识和旧密码访问服务器时,服务器将验证密码,当确定出输入的密码与新密码不匹配时,将拒绝未经授权的用户访问服务器。如果没有密码验证,则即使在用户更改标识的密码之后,未经授权的用户仍然可以使用标识和密码,因为缺省情况下密码只用于解密标识文件,并不与存储在 Domino® 目录中的密码进行对比验证。如果设置密码验证,则要求用户定期更改标识中的密码。当要求的密码更改时间临近时(当前的更改间隔时间已过去三分之二,但至少提前两天),将提示用户更改密码。用户更改密码时,将使用新的密码更新当前的标识和“个人”文档。
如果用户有多个标识文件,则用户应更改每个文件中的密码以匹配新密码。不能对包含多个密码的标识文件使用密码验证。
用户每次更改密码时,都必须指定唯一的密码。Notes® 最多保留先前使用过的 50 个密码。如果启用密码历史检查(通过使用“安全性设置”文档),则可以配置在给定的密码可以重新使用之前必须使用的新密码数目。
到期的密码不会妨碍用户在本地副本中读取加密邮件或新建签名文档;但是,不指定新密码,用户将无法访问服务器上的数据库。
请注意,认证期间的密码验证对因特网用户不起作用,因为他们没有 Notes® 用户标识(除非他们的 Notes® 密码和因特网密码已同步)。如果 Notes® 密码和因特网密码同步,那么对 Notes® 密码设置所作的任何更改可能都将影响因特网密码。
管理进程和密码验证
密码验证要求管理进程更新 Domino® 目录中的文档。为用户启用密码验证后,管理进程将在“管理请求”数据库中创建 Set Password Information
请求。Domino® 将根据“服务器”文档“管理进程”部分的“时间间隔”字段中的设置执行此请求。此请求根据在用户“个人”文档“管理”部分的“检查密码”、“必需的更改时间间隔”、“宽限期”字段中输入的值启用密码检查。
用户第一次登录到要求密码验证的服务器时,管理进程将在“管理请求”数据库中生成 Change User Password in Domino Directory
请求。此请求将在“个人”文档的“管理”部分的“密码摘要”字段中输入一个与 RSA 公用密钥相应的散列,RSA 公用密钥是根据 Notes® 密码的散列和存储在标识文件中的某些其他保密信息派生而来的。同时还会在“个人”文档“管理”部分的“上次的更改日期”字段中记录用户提供密码的日期。要通过启用密码认证的服务器的认证,用户必须提供符合摘要的密码。
此后,当用户更改密码时,管理进程将在“管理请求”数据库中生成新的 Change User Password in Domino Directory
请求。此请求将更新“个人”文档中的“密码摘要”和“上次的更改日期”字段。请注意,如果在启用密码验证之后更改了时间间隔或宽限期,则管理进程必须更新“个人”文档中的字段,然后用户必须更改密码才能使更改生效。
必需的更改时间间隔和宽限期
可以设置服务器在认证期间认证用户的密码,而不要求用户更改密码。如果要求更改密码,可以指定宽限期,即更改时间间隔到期多久之后,服务器才锁定用户。如果在必需的更改时间间隔内用户未更改密码,那么用户在新建密码之前将无法通过要求密码验证的服务器的认证。如果宽限期到期而用户仍然没有更改密码,则除非由管理员手动删除“个人”文档中“密码摘要”字段中的数据并且由用户新建密码,否则用户将无法通过认证。如果未经授权的用户在已授权的标识所有者之前更改了标识的密码,那么已授权的所有者将无法通过认证,并将看到如下消息:
You have a different password on another copy of your ID file and you must change the password on this copy to match.
这时,应删除密码摘要字段中的条目,并请已授权的用户立即登录并输入新的密码。