授權追蹤

從 Domino 12.0 開始,提供了一種新的內部機制,用於跨 Domino 網域收集個別使用者具有的最高授權。當具有「讀者」權限或以上的使用者出現在資料庫的 ACL 中,並且該使用者有權存取伺服器時,該使用者會被稱為授權使用者

例如,Dana Smith/Renovations 對費用報告應用程式 expenses.nsf 具有「作者」權限。伺服器的「允許存取」安全設定容許 */Renovations 存取伺服器。因此,Dana Smith/Renovations 被認為是具有「作者」權限的授權使用者。

大約一天一次,每一部 Domono 12 伺服器都會掃描伺服器上的每一個資料庫,並收集每一個授權使用者的最高存取層次。例如,在「伺服器 A」上:
  • Dana Smith/Renovations 具有:expenses.nsf 的「作者」權限、AcmeSales.nsf 的「讀者」權限,以及郵件檔 DanaSmith.nsf 的「編輯者」權限。
  • Richard Smith/Renovations 具有:expenses.nsf 的「作者」權限及 AcmeSales.nsf 的「設計者」權限。
  • Gary Smith/GS Consulting 具有 AcmeSales.nsf 的「讀者」權限。
完成掃描之後,「伺服器 A」會追蹤:
  • Dana Smith/Renovations 是「編輯者」作為其最高存取層次的授權使用者。
  • Richard Smith/Renovations 是「設計者」作為其最高存取層次的授權使用者。
  • Gary Smith/GS Consulting 不是授權使用者,因為雖然他以「讀者」權限出現在資料庫 ACL 中,但是他無法存取伺服器。

伺服器如何追蹤授權

Domino 安裝程式會安裝範本:entitlementtrack.ntf。Domino 伺服器更新作業會使用伺服器,以在伺服器上建立及管理隱藏的系統資料庫 entitlementtrack.ncfentitlementtrack.ncf 對伺服器的 Domino 名錄中的每一個使用者都具有一份文件,以追蹤每一個使用者的最高授權存取層次。除了使用者的最高授權存取層次外,每一份文件還包含佐證事實,例如其中發現此使用者的第一個資料庫,以及如何授予使用者最高授權存取層次。例如:「使用者 Dana Smith/Renovations 在資料庫 DanaSmith.nsf 中具有「編輯者」權限,因為她已在 ACL 中明確命名。」或:「使用者 Richard Smith/Renovations 在資料庫 AcmeSales.nsf 中具有「設計者」權限,因為他是對此資料庫具有「設計者」權限之 AppDesigners 群組的成員。」

被追蹤者

追蹤下列使用者:
  • 目錄中的已鑑別使用者。追蹤所有目錄中受信任進行鑑別的每一個使用者。這可能與 Domino 名錄中的所有使用者、LDAP 目錄中定義的使用者或兩者的組合一樣簡單。因為每一部伺服器都可以具有唯一的目錄配置,所以每一部伺服器可能都有一組唯一的使用者。
  • 不在目錄中的已鑑別使用者。如果不在目錄中的使用者已順利地連接到伺服器並存取資料庫,則他們會新增至被追蹤使用者的清單。例如,透過 HTTP 存取伺服器的交互認證使用者。
  • ACL 中不在目錄中的使用者。如果伺服器的安全設定是非限制性的(例如「容許任何人存取此伺服器」),則資料庫中具有合格存取層次的任何使用者都被視為授權使用者,並相應地進行追蹤。

未被追蹤者

不追蹤下列實體:
  • 伺服器。
  • 由於下列原因而無法存取伺服器的使用者:他們未包含在「容許存取伺服器」清單中,或在「不容許存取伺服器」中明確拒絕他們存取。
  • 僅基於遞送目的的人員文件,例如,沒有 Notes 憑證及 HTTP 密碼的人員文件。

何時追蹤使用者

雖然伺服器每天都會掃描授權使用者,但是使用者追蹤文件只有在其授權變更時才會在追蹤資料庫中更新。例如,如果 Dana Smith/Renovations 對其郵件檔的存取權從「編輯者」變更為「管理者」,則其追蹤文件會在下次掃描時更新,以反映授權中的變更。

群組、萬用字元及 -Default- 存取權

授權是在個別使用者層次進行追蹤,但 Domino 管理員通常使用 Domino 或 LDAP 群組及萬用字元,來控制使用者對伺服器及資料庫的存取。授權收集器會遞迴地擴展「群組的群組」及/或「符合使用者的萬用字元」,將群組或萬用字元的授權投影到一組個別使用者。使用群組及萬用字元明確地授權一組使用者。

另一方面,使用 -預設- 存取可以隱含地授權許多使用者,因為 -Default- 存取權設定會投影至「其他所有人」。例如,如果擁有五個成員的群組 RenovationsManagers 具有對資料庫的「管理者」權限、使用者 Richard Smith/Renovations 具有明確的「編輯者」權限,以及 -Default- 存取權是「讀者」,則可以存取伺服器的每一個人都被授與「讀者」權限,但這六個使用者除外。如果伺服器容許具有 */Renovations 的任何人都可以存取伺服器,並且配置的目錄有 1,705 個 Renovations 使用者,則此 ACL 預設值會授與 1,700 個使用者「讀者」權限。一般來說,應該格外小心地使用 -Default- 存取權。

註: 如果 Domino 系統資料庫隨附的 -Default- ACL 項目容許存取,則該項目不會被視為具備授權,且會從處理中排除。例如, Domino 說明資料庫隨附的 -Default- ACL 項目容許讀者權限,因此那些 -Default- ACL 項目會從處理中排除。

彙總網域層次的授權

對於網域管理伺服器上的整個網域,也會聚集網域中每一部 Domino 伺服器每天收集的授權資料。目錄型錄作業會管理同步化程序,並將來自每一部伺服器的組合授權追蹤資料聚集成管理伺服器上的 entitlements.nsf 資料庫。管理伺服器同時具有自己的授權追蹤資料庫 (entitlementtrack.ncf),以及網域中所有伺服器的聚集追蹤資訊 (entitlements.nsf)。管理伺服器可識別網域中每一個使用者的最高存取層次,以及儲存哪部伺服器對特定使用者具有最高存取層次,以及其他佐證資訊,例如哪個資料庫及如何授權使用者。
註: entitlements.nsf 中的「歷程」視圖包含資料保存按鈕。按一下此按鈕,則會根據現行資料,產生依存取層次彙總現行授權總數的文件。Domino 會每週自動執行此動作一次,如此就會有授權變更的歷程記錄。

授權資訊的使用方式

收集授權資訊以協助 Domino 客戶監視其環境。HCL 不會以任何方式收集此資料,也不會以任何方式使用此資料來控制伺服器存取。HCL 可能要求您提供的唯一資訊是「授權報告」,其中包含按存取層次的授權總數,例如:
Entitlement Summary for 3/10/2010
	Manager         13
	Designer         7
	Editor         234
	Author        1200
	Reader        2400
	==================
	Total	    3834

如何使用此資訊

授權摘要中的資訊可能對於瞭解您有多少個使用者具有不同的存取層次,以及哪些伺服器、資料庫、ACC 和許可權促成這些數目極其有用。依預設,這些資料庫只能由 LocalDomainAdmins 存取,但因為這是您的資料,所以您可以採取任何您認為合適的方式管理對它的存取,並提供以下警告:
  • 請不要刪除授權收集器資料庫或收集器摘要資料庫,除非「HCL 支援中心」指示這樣做。
  • 不要以任何方式修改設計或變更範本。
  • 資料庫和收集服務都是「按原狀」提供,而且 HCL 可在產品後續版本中變更資料庫結構及資料收集程序。