主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
因特网/内部网客户机的名称和密码认证
名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
保护因特网密码的安全
因特网密码可能会受到恶意源头的攻击。但是，可以采取多种措施来使因特网密码更安全。
使用 xACL 保护因特网密码的安全
用来保护因特网密码的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和字段级别来控制访问。对于存储在 Domino® 目录中的密码，管理员可以设置 xACL 以将因特网密码的访问限制为用户自己（以访问其自己的密码）和管理员（以允许对密码进行管理更改）。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
  - 根据标识符保险库中的 Notes® 标识密码对 Web 用户进行身份验证
    您可以配置 HCL Domino® 以使用标识符保险库中的密码对通过 HTTP、IMAP、POP3 和 LDAP 因特网协议访问服务器的用户进行身份验证。
  - 设置基本的名称和密码认证
    要对所有因特网协议（Web (HTTP)、IMAP、POP3、LDAP、SMTP Inbound 以及 IIOP）启用 TCP 和 TLS 的基本名称和密码认证，必须完成以下三个独立的过程。
  - Web 客户机基于会话的名称和密码认证
    要对拥有 Domino® Web 服务器访问权的 Web 客户机设置名称和密码认证，可以使用以下两种方法之一：基本名称和密码认证或基于会话的名称和密码认证。基于会话的名称和密码认证包括基本名称和密码认证不可用的其他功能。会话被定义为 Web 客户机使用 cookie 登录服务器这一时间段。要指定启用并控制会话认证的设置，可根据配置编辑“Web 站点”文档或“服务器”文档。
  - 控制因特网客户机的认证级别
    您可以选择 HCL Domino®在认证 Domino 目录和 LDAP 目录中已提供用户名和密码的用户时可以使用的限制级别。这适用于所有的因特网协议（HTTP、LDAP、IMAP、POP3）。
  - 管理因特网密码
    要管理分配给在 Domino® 目录中拥有“个人”文档的用户的因特网密码，请使用安全设置策略文档。可以管理因特网密码强度和长度，并允许用户使用 Web 浏览器更改其因特网密码、控制到期时间以及更改时间间隔。
  - 保护因特网密码的安全
    因特网密码可能会受到恶意源头的攻击。但是，可以采取多种措施来使因特网密码更安全。
    - 使用更为安全的密码格式
      输入因特网密码并保存“个人”文档后，Domino® 自动对因特网密码字段进行单向散列。要提高缺省密码的质量，请使用更为安全的密码格式。
    - 使用因特网密码锁定
      因特网密码锁定允许管理员为 Domino® Web 和 Domino Web Access 用户的因特网密码认证失败次数设置一个阈值。
    - 使用 xACL 保护因特网密码的安全
      用来保护因特网密码的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和字段级别来控制访问。对于存储在 Domino® 目录中的密码，管理员可以设置 xACL 以将因特网密码的访问限制为用户自己（以访问其自己的密码）和管理员（以允许对密码进行管理更改）。
  - 匿名因特网和内部网访问
    在设置匿名访问后，因特网和内部网客户机可以在不声明自身身份的情况下访问服务器。HCL Domino®不会在日志文件和“用户活动”对话框中记录这些客户机的数据库活动。
  - 因特网和内部网客户机的验证和认证
    在设置名称和密码访问并为因特网/内部网用户创建“个人”文档之后，在用户尝试执行某些访问权被限制执行的操作时，或者在服务器上不允许匿名访问时，Domino® 将对用户进行认证。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

使用 xACL 保护因特网密码的安全

用来保护因特网密码的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和字段级别来控制访问。对于存储在 Domino® 目录中的密码，管理员可以设置 xACL 以将因特网密码的访问限制为用户自己（以访问其自己的密码）和管理员（以允许对密码进行管理更改）。

过程

首先，为 Domino® 目录启用扩展访问权：
1. 打开数据库，并选择文件 > 应用程序 > 访问控制。
2. 确保在数据库的 ACL 中具有“管理者”访问权。
3. 单击高级，然后选择启用扩展访问权。
4. 系统提示以下内容时，单击是以继续：启用扩展访问控制将强制进行其他安全性检查。有关详细信息，请参阅“Domino Administrator 帮助”。是否要继续？
5. 如果高级数据库 ACL 选项强制所有副本使用一致的访问控制表尚未启用，那么会提示您必须首先启用一致的访问控制。是否要立即启用？单击是。
6. 出现提示如果有多个管理员管理此数据库的扩展访问控制，请对该数据库启用文档锁定以避免冲突时，单击确定。
7. 在“访问控制表”对话框中单击确定。
8. 消息正在启用扩展访问控制限制。这可能需要一些时间。显示时，单击确定。

接下来，设置扩展访问权以保护因特网密码：

打开数据库，并选择文件 > 应用程序 > 访问控制。
单击扩展访问权。此时将出现“扩展访问权限”对话框。
在“目标”窗格中，选择根目录 [ /] 并单击添加。
在“访问列表”窗格中，选择缺省值。
单击表单和字段访问权。此时出现“表单和字段”对话框。
在表单列表框中，选择个人。将“表单”的“访问”设置保留为空。
在字段列表框中：
单击确定。

对于“个人”表单中的 HttpPassword 和 dspHttpPassword（如果显示）设置重复此过程：

表 1. “个人”表单中的“访问列表”条目
访问列表条目	读访问权设置	写访问权设置
自己	允许	允许
[本地管理员组]	允许	允许
[本地服务器组]	允许	允许

注：如果以前在访问列表中定义了匿名访问，那么应该将其设置为拒绝对“个人”表单中 HTTPPassword 和 dspHTTPPassword（如果显示）字段的读和写访问权。

注：为 Domino® 目录启用了 xACL 之后，LDAP 匿名访问将不受“所有服务器配置”文档中的字段列表控制。因为匿名的缺省 xACL 设置为“无访问权限”，所以一旦启用了 xACL，所有匿名 LDAP 搜索则都会失败。