主页
維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
時間型一次性密碼 (TOTP) 鑑別
當使用者登入 Domo Web 伺服器時，您可以要求他們除了提供使用者名稱及密碼外，還要提供時間型一次性密碼。
配置跨網域 TOTP 鑑別
您可以為次要 Domino 網域中的使用者啟用 TOTP 鑑別。配置完成時，在次要網域中註冊的使用者可以設定及使用主要 Domino 網域中配置的 TOTP 鑑別。
配置跨網域 TOTP 鑑別的主網域
請完成下列步驟，以配置主網域的 TOTP 鑑別。

維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
- Domino 安全概觀
  設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員，您必須在設定任何伺服器或使用者之前，仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
- Notes® 使用者、網際網路使用者及 Domino® 伺服器的伺服器存取權
  若要控制使用者與伺服器對其他伺服器的存取權，Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值，以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別，且「伺服器」文件中的設定值允許存取，則使用者或伺服器即獲准存取伺服器。
- 資料庫存取控制清單
  每個資料庫都具有存取控制清單 (ACL)，其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的，但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業，而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
- Domino® 伺服器及 Notes® 使用者 IDDomino®
  Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者，都必須具有 ID。
- 執行控制清單
  您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容，可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
- Domino® 伺服器型憑證管理中心
  您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者，以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時，為了充分運用 CA 處理程序活動，您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行；不過，可以將該程序鏈結到多個發證者。
- TLS 安全
  「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
- 用戶端的 TLS 及 S/MIME
  用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA，來取得安全 TLS 及 S/MIME 通訊的憑證。
- 加密
  加密可保護資料不受未獲授權的存取。
- 網際網路/內部網路用戶端的名稱及密碼認證
  名稱及密碼鑑別（也稱為基本密碼鑑別）使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼，並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查，以驗證密碼的正確性。
- 時間型一次性密碼 (TOTP) 鑑別
  當使用者登入 Domo Web 伺服器時，您可以要求他們除了提供使用者名稱及密碼外，還要提供時間型一次性密碼。
  - 配置 TOTP 鑑別
    若要配置時間型一次性密碼鑑別 (TOTP)，請完成下列步驟。
  - 配置跨網域 TOTP 鑑別
    您可以為次要 Domino 網域中的使用者啟用 TOTP 鑑別。配置完成時，在次要網域中註冊的使用者可以設定及使用主要 Domino 網域中配置的 TOTP 鑑別。
    - 配置跨網域 TOTP 鑑別的主網域
      請完成下列步驟，以配置主網域的 TOTP 鑑別。
    - 配置跨網域 TOTP 鑑別的次要網域
      完成下列步驟，以配置次要網域的 TOTP 鑑別。
  - 針對 TOTP 鑑別的 Docker 考量
    在 Docker 上，於 Domino 伺服器上啟用 TOTP 的需求及建議如下。
  - 使用者如何設定 TOTP
    在 Domino 伺服器上啟用時間型一次性密碼 (TOTP) 鑑別之後，下次 Web 使用者登錄伺服器時，他們會遵循下列步驟設定 TOTP。
  - 重設使用者的 TOTP 配置
    如果使用者無法提供有效的 TOTP 記號，以登入啟用 TOTP 的伺服器，則您可以重設其 TOTP 配置，以便他們能夠再次設定 TOTP。
  - TOTP 的 notes.ini 設定
    下列伺服器 notes.ini 設定可用來自訂 TOTP 配置。
- 多台伺服器階段作業型鑑別（單一登入）
  多台伺服器階段作業型鑑別（也稱為單一登入 (SSO)），可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器，即可在啟用單次登入 (SSO) 的相同 DNS 網域中，存取任何其他 Domino 或 WebSphere 伺服器，而不需要再次登入。
- 使用安全主張標記語言 (SAML) 以配置聯合身分鑑別
  聯合身分是達到單一登入的一種方法，可對使用者提供便利性，並協助降低管理成本。在 Domino® 與 Notes® 中，用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
- 使用認證儲存庫來儲存認證
  Domino® 伺服器可以使用認證儲存庫應用程式，作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
- Notes 和 Domino 中支援的金鑰大小歷程
  本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。

配置跨網域 TOTP 鑑別的主網域

請完成下列步驟，以配置主網域的 TOTP 鑑別。

執行這項作業的原因和時機

此程序使用 Domain1 作為主網域名稱，而使用 Domain2 作為次要網域名稱。

程序

將下列 notes.ini 設定新增至 Domain1 中的所有 Web 伺服器，以及 Domain1 中的 ID 儲存庫伺服器：
ENABLE_IDV_CROSSDOMAIN_AUTHENTICATION=1
請確定 Domain1 Domino 目錄在 Domain2 的 /Org 層次上具有建立信任的 Notes 交互憑證。
配置目錄協助以查閱 Domain2 Domino 目錄中的名稱：
1. 在 Domain1 的伺服器上建立目錄協助資料庫（如果尚未建立的話）。
2. 為 Domain2 新增目錄協助文件。文件中以下欄位是必填的。
  在「基本」標籤上：
  - 網域類型：選取 Notes。
  - 網域名稱：指定次要目錄的 Domino 網域，例如 Domain2。
  - 使此網域可用於以下項目：選取 Notes 用戶端和網際網路鑑別/授權
  - 已啟用：選取是。
  在命名環境定義（規則）標籤上，針對至少一個套用至 Domain2 的規則，選取已啟用 > 是及授信認證 > 是。您可以使用預設 N.C. 1 規則。
  
  在 Domino 標籤上，指定 Domain2 管理伺服器上 Domain2 Domino 目錄的抄本。
  
  如需相關資訊，請參閱建立 Domino 名錄或延伸目錄型錄的目錄協助文件。
3. 在 Domino 伺服器主控台上，執行指令 sh xdir 來確認配置。您應該會看到類似下列輸出的輸出：
```
[11A4:0006-105C]  DomainName      DirectoryType         ClientProtocol Replica/LDAP Server
[11A4:0006-105C]    --------------- --------------------- -------------- -----------------------
[11A4:007C-105C]  1 Domain1        Primary-Notes         Notes & LDAP   names.nsf
[11A4:007C-105C]  2 Domain2        Secondary-Notes       Notes          server1/domain2!!names.nsf
```
配置 Domain1 的 TOTP 鑑別。如需相關資訊，請參閱配置 TOTP 鑑別。
將 Domain1 Domino 目錄及「目錄協助」資料庫抄寫至 Domain1 中的所有參與 Web 伺服器。