主页
維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
網際網路/內部網路用戶端的名稱及密碼認證
名稱及密碼鑑別（也稱為基本密碼鑑別）使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼，並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查，以驗證密碼的正確性。
維護網際網路密碼安全
網際網路密碼會受到惡意來源攻擊。不過，有一些方法您可以採取用來讓網際網路密碼更安全。
使用更安全的密碼格式
輸入網際網路密碼及儲存「人員」文件時，Domino® 會自動單向雜湊化網際網路密碼欄位。為改進預設的密碼，請使用更安全的密碼格式。

維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
- Domino 安全概觀
  設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員，您必須在設定任何伺服器或使用者之前，仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
- Notes® 使用者、網際網路使用者及 Domino® 伺服器的伺服器存取權
  若要控制使用者與伺服器對其他伺服器的存取權，Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值，以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別，且「伺服器」文件中的設定值允許存取，則使用者或伺服器即獲准存取伺服器。
- 資料庫存取控制清單
  每個資料庫都具有存取控制清單 (ACL)，其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的，但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業，而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
- Domino® 伺服器及 Notes® 使用者 IDDomino®
  Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者，都必須具有 ID。
- 執行控制清單
  您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容，可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
- Domino® 伺服器型憑證管理中心
  您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者，以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時，為了充分運用 CA 處理程序活動，您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行；不過，可以將該程序鏈結到多個發證者。
- TLS 安全
  「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
- 用戶端的 TLS 及 S/MIME
  用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA，來取得安全 TLS 及 S/MIME 通訊的憑證。
- 加密
  加密可保護資料不受未獲授權的存取。
- 網際網路/內部網路用戶端的名稱及密碼認證
  名稱及密碼鑑別（也稱為基本密碼鑑別）使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼，並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查，以驗證密碼的正確性。
  - 使用 ID 儲存庫中的 Notes® ID 密碼鑑別網路使用者
    您可以配置 HCL Domino®，以使用 ID 儲存庫中的密碼，來鑑別透過 HTTP、IMAP、POP3 及 LDAP 網際網路通訊協定存取伺服器的使用者。
  - 設定基礎名稱及密碼認證
    若要對 TCP 及 TLS 且針對所有網際網路通訊協定啟用基本的名稱及密碼鑑別：網路(HTTP)；IMAP；POP3；LDAP；SMTP 接收；以及 IIOP，您必須完成三個個別的程序。
  - 網路用戶端之以階段作業為基礎的名稱及密碼鑑別
    若要對具有 Domino®網路伺服器存取權的網路用戶端設定名稱及密碼鑑別，您可以使用下列兩個方法其中之一：基本名稱及密碼鑑別或階段作業型名稱及密碼鑑別。階段作業型的名稱及密碼鑑別包括基本名稱及密碼鑑別所沒有的額外功能。階段作業會定義為網路用戶端使用 Cookie 主動登入伺服器的時間。若要指定啟用及控制階段作業鑑別的設定值，請根據您的配置來編輯「網站」文件或「伺服器」文件。
  - 控制網際網路用戶端的認證層次
    您可以在鑑別「Domino® 名錄」及 LDAP 目錄中的使用者時，選取 HCL Domino 使用的限制層次，而且使用者已提供使用者名稱及密碼。這會套用到所有網際網路通訊協定 (HTTP、LDAP、IMAP、POP3)。
  - 管理網際網路密碼
    若要管理您指派給使用者（其在「Domino® 名錄」中有「人員」文件）的網際網路密碼，請使用「安全設定」原則文件。您可以管理網際網路密碼品質及長度，讓使用者使用網路瀏覽器變更其網際網路密碼，並控制到期時間及變更間隔。
  - 維護網際網路密碼安全
    網際網路密碼會受到惡意來源攻擊。不過，有一些方法您可以採取用來讓網際網路密碼更安全。
    - 使用更安全的密碼格式
      輸入網際網路密碼及儲存「人員」文件時，Domino® 會自動單向雜湊化網際網路密碼欄位。為改進預設的密碼，請使用更安全的密碼格式。
    - 使用網際網路密碼封鎖
      網際網路密碼封鎖，讓管理員設定 Domino®網路及 Domino網路Access 使用者的網際網路密碼鑑別失敗次數臨界值。
    - 使用 xACL 維護網際網路密碼安全
      維護網際網路密碼安全的方式之一，是以命名階層的層級以及表單與欄位層級為基礎，使用進階 ACL（或稱 xACL）控制存取。至於儲存在「Domino® 名錄」中的密碼，管理員可以針對使用者本人來設定 xACL，以限制網際網路密碼的存取權，來存取他們自己的密碼，而對於管理員，則可允許他們對密碼進行管理性的變更。
  - 匿名存取網際網路及內部網路
    設定匿名存取時，網際網路及內部網路用戶端不需自我識別就可存取伺服器。HCL Domino® 不會記錄這些用戶端的資料庫活動，例如在日誌檔及「使用者活動」對話框中。
  - 進行網際網路及內部網路用戶端的驗證及鑑別
    在您設定名稱及密碼存取，並建立網際網路/內部網路使用者的「人員」文件之後，當使用者嘗試執行限制存取的動作，或者伺服器上不允許匿名存取時，Domino® 會鑑別使用者。
- 時間型一次性密碼 (TOTP) 鑑別
  當使用者登入 Domo Web 伺服器時，您可以要求他們除了提供使用者名稱及密碼外，還要提供時間型一次性密碼。
- 多台伺服器階段作業型鑑別（單一登入）
  多台伺服器階段作業型鑑別（也稱為單一登入 (SSO)），可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器，即可在啟用單次登入 (SSO) 的相同 DNS 網域中，存取任何其他 Domino 或 WebSphere 伺服器，而不需要再次登入。
- 使用安全主張標記語言 (SAML) 以配置聯合身分鑑別
  聯合身分是達到單一登入的一種方法，可對使用者提供便利性，並協助降低管理成本。在 Domino® 與 Notes® 中，用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
- 使用認證儲存庫來儲存認證
  Domino® 伺服器可以使用認證儲存庫應用程式，作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
- Notes 和 Domino 中支援的金鑰大小歷程
  本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。

使用更安全的密碼格式

輸入網際網路密碼及儲存「人員」文件時，Domino® 會自動單向雜湊化網際網路密碼欄位。為改進預設的密碼，請使用更安全的密碼格式。

執行這項作業的原因和時機

可升級現存的「人員」文件密碼格式，或為所有建立的「人員」文件自動使用較安全的密碼格式。

現有的人員文件

程序

從「Domino® 管理員」中，按一下「人員與群組」，並選取要升級為更安全之密碼格式的「人員」文件。
選擇動作 > 升級至更安全的網際網路密碼格式。
如果 Domino® 網域中的所有伺服器都執行 8.0.1 版或更新版本，請選取「是 - 與 Notes/Domino 8.0.1 版或更新版本相容的密碼驗證」。否則，選取「是 - 與 Notes/Domino 4.6 版或更新版本相容的密碼驗證」。

若為新的人員文件

程序

從「Domino® 管理員」中，按一下「配置」，然後選取「所有「伺服器」文件」。
選擇動作 > 編輯目錄設定檔。
如果 Domino® 網域中的所有伺服器都是執行 8.0.1 版或更新版本，請選取「是 - 與 Notes/Domino 8.0.1 版或更新版本相容的密碼驗證」。否則，選取「是 - 與 Notes/Domino 4.6 版或更新版本相容的密碼驗證」。
儲存並關閉文件。

註：如果選擇同步化使用者的網際網路密碼與其 Notes® 密碼，則需要更安全的密碼格式。

提示：防止惡意來源猜出密碼的另一個方式，就是讓密碼難以猜測：方法是讓密碼更長更複雜、使用各種字元、避免使用實際存在的字詞等等。