欢迎
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
基于网络的身份验证
定义和设置 Web 用户的身份验证方法，例如通过基本密码身份验证、密钥、基于时间的一次性密码或单点登录。
Internet/Intranet 客户端的名称和密码身份验证
名称和密码身份验证，也称为基本密码身份验证，使用基本的质询/响应协议来询问用户的名称和密码，然后通过对照存储在 Person 中的密码的安全哈希值进行检查来验证密码的准确性Domino®目录中的文档。
匿名 Internet 和 Intranet 访问
当您设置匿名访问时，Internet 和 Intranet 客户端无需表明身份即可访问服务器。HCL Domino®不会记录这些客户端的数据库活动 - 例如，在日志文件和“用户活动”对话框中。

欢迎
欢迎阅读 HCL Domino ® 14.0 文档。
Domino 14 有哪些新功能？
了解 HCL Domino ® 14 中针对管理员的所有新功能。
概述
欢迎使用 HCL Domino ® 管理员帮助。
安装中
使用此文档安装HCL Domino ®服务器并随后部署HCL Notes® 客户端。
规划
使用本主题作为规划任务的概述。
配置
使用此信息来配置您的网络、用户、服务器（包括 Web 服务器）、目录服务、安全性、消息传递、小部件和实时文本以及服务器集群。
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
- Domino 安全性概述
  为您的组织设置安全性是一项关键任务。您的安全基础设施对于保护组织的 IT 资源和资产至关重要。作为管理员，在设置任何服务器或用户之前，您需要仔细考虑组织的安全要求。前期规划可以在以后最大限度地降低安全性受损的风险方面发挥作用。
- Notes®用户、Internet 用户和Domino®服务器的服务器访问
  为了控制用户和服务器对其他服务器的访问， Domino®使用您在“服务器”文档的“安全”选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证Notes®用户、Internet 用户或服务器，并且服务器文档中的设置允许访问，则允许用户或服务器访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL)，用于指定用户和服务器对该数据库的访问级别。尽管用户和服务器的访问级别名称相同，但分配给用户的访问级别名称决定了他们可以在数据库中执行的任务，而分配给服务器的访问级别名称则决定了服务器可以复制数据库中的哪些信息。只有具有管理员访问权限的人员才能创建或修改 ACL。
- Domino®服务器和Notes®用户 ID
  Domino®使用 ID 文件来识别用户并控制对服务器的访问。每个 Domino 服务器、 Notes®验证者和 Notes 用户都必须有一个 ID。
- 执行控制列表
  您可以使用执行控制列表 (ECL) 来配置工作站数据安全性。ECL 保护用户工作站免受来自未知或可疑来源的活动内容的影响，并且可以配置为限制在工作站上运行的任何活动内容的操作。
- 基于Domino®服务器的证书颁发机构
  您可以设置使用 CA 进程服务器任务来管理和处理证书请求的Domino®验证者。CA 进程作为 Domino 服务器上的进程运行，用于颁发证书。当您设置Notes®或 Internet 验证者时，您可以将其链接到服务器上的 CA 进程，以便利用 CA 进程活动。一台服务器上只能运行一个CA进程实例；然而，该过程可以链接到多个验证者。
- TLS 安全
  传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
- 客户端的 TLS 和 S/MIME
  客户端可以使用Domino®证书颁发机构 (CA) 应用程序或第三方 CA 来获取用于安全 TLS 和 S/MIME 通信的证书。
- 加密
  加密可保护数据免遭未经授权的访问。
- 基于网络的身份验证
  定义和设置 Web 用户的身份验证方法，例如通过基本密码身份验证、密钥、基于时间的一次性密码或单点登录。
  - Internet/Intranet 客户端的名称和密码身份验证
    名称和密码身份验证，也称为基本密码身份验证，使用基本的质询/响应协议来询问用户的名称和密码，然后通过对照存储在 Person 中的密码的安全哈希值进行检查来验证密码的准确性Domino®目录中的文档。
    - 根据 ID 库中的Notes® ID 密码对 Web 用户进行身份验证
      您可以将 HCL Domino®配置为使用 ID 保险库中的密码对通过 HTTP、IMAP、POP3 和 LDAP Internet 协议访问服务器的用户进行身份验证。
    - 设置基本的名称和密码身份验证
      为 TCP 和 TLS、所有 Internet 协议启用基本名称和密码身份验证：Web (HTTP)； IMAP； POP3； LDAP； SMTP 入站；和 IIOP，您必须完成三个单独的程序。
    - Web 客户端基于会话的名称和密码身份验证
      要为有权访问Domino® Web 服务器的 Web 客户端设置名称和密码身份验证，可以使用以下两种方法之一：基本名称和密码身份验证或基于会话的名称和密码身份验证。基于会话的名称和密码身份验证包含基本名称和密码身份验证所不具备的附加功能。会话定义为 Web 客户端使用 cookie 主动登录到服务器的时间。要指定启用和控制会话身份验证的设置，您可以编辑网站文档或服务器文档，具体取决于您的配置。
    - 控制 Internet 客户端的身份验证级别
      您可以选择在对 Domino 目录和 LDAP 目录中的用户进行身份验证并且用户已提供用户名和密码时HCL Domino®使用的限制级别。这适用于所有 Internet 协议（HTTP、LDAP、IMAP、POP3）。
    - 管理互联网密码
      要管理分配给在Domino®目录中拥有个人文档的用户的 Internet 密码，请使用安全设置策略文档。您可以管理 Internet 密码的质量和长度，并允许用户使用 Web 浏览器更改其 Internet 密码，并控制过期期限和更改间隔。
    - 保护互联网密码
      互联网密码可能会受到恶意来源的攻击。但是，您可以采取一些措施来提高互联网密码的安全性。
    - 匿名 Internet 和 Intranet 访问
      当您设置匿名访问时，Internet 和 Intranet 客户端无需表明身份即可访问服务器。HCL Domino®不会记录这些客户端的数据库活动 - 例如，在日志文件和“用户活动”对话框中。
      - 设置 Internet/Intranet 客户端以进行匿名访问
        要设置 Internet/Intranet 客户端进行匿名访问，您可以设置 Internet 站点或服务器进行匿名访问，然后设置数据库 ACL 以包含条目Anonymous 。
    - Internet 和 Intranet 客户端的验证和身份验证
      设置名称和密码访问并为 Internet/Intranet 用户创建个人文档后， Domino®会在用户尝试执行访问受限的操作或服务器上不允许匿名访问时对用户进行身份验证。
  - 密钥认证
    了解如何在 Domino 服务器或 Internet 站点上启用密钥身份验证以提高安全性。
  - 基于时间的一次性密码 (TOTP) 身份验证
    当用户登录到 Domino Web 服务器时，您可以要求他们除了用户名和密码之外还提供基于时间的一次性密码。
  - 基于多服务器会话的身份验证（单点登录）
    基于多服务器会话的身份验证，也称为单点登录 (SSO)，允许 Web 用户登录到Domino®或 WebSphere® 服务器一次，然后访问同一 DNS 域中的任何其他 Domino 或 WebSphere 服务器。启用单点登录 (SSO)，无需再次登录。
  - 使用安全断言标记语言 (SAML) 配置联合身份验证
    联合身份是实现单点登录、为用户提供便利并有助于降低管理成本的一种手段。在Domino®和Notes®中，用于用户身份验证的联合身份使用 OASIS 的安全断言标记语言 (SAML) 标准。
  - 使用 OpenID Connect (OIDC) 配置联合身份验证
    联合身份是实现单点登录、为用户提供便利并帮助降低管理成本的一种手段。客户端应用程序对用户进行身份验证的一种方法是使用 OpenID Connect (OIDC) 提供商。
- 使用凭证存储来存储凭证
  Domino®服务器可以使用凭证存储应用程序作为安全工件存储库。安全工件的示例包括身份验证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解Notes®和Domino®从过去版本到当前版本支持的 RSA 密钥大小。
管理
本文档提供有关 HCL Domino 管理工具的信息。
调音
使用此信息通过使用资源平衡和活动趋势、高级数据库属性、集群统计信息和服务器健康监视器来改善HCL Domino ®服务器、 Domino Web 服务器和消息传递性能。
故障排除
本节介绍如何查找和解决HCL Domino ®服务器和管理员客户端的问题。
通知

匿名 Internet 和 Intranet 访问

当您设置匿名访问时，Internet 和 Intranet 客户端无需表明身份即可访问服务器。HCL Domino ®不会记录这些客户端的数据库活动——例如，在日志文件和“用户活动”对话框中。

通过匿名访问，您永远不知道谁在访问服务器上的数据库。因此，您不能使用客户的身份（即客户的姓名和密码）来控制对数据库和设计元素的访问。当您不需要知道谁在访问数据库和/或不需要根据客户端身份控制访问时，请使用匿名访问。

您可以在任何运行 LDAP、HTTP、SMTP 或 IIOP 的服务器上使用 TCP/IP 和/或 TLS 进行匿名访问。对于服务器上启用的每个 Internet 协议，您可以指定安全方法。例如，您可以为 HTTP 连接启用 TLS，但对使用 TCP/IP 的 LDAP 连接要求名称和密码身份验证。

除了使用匿名访问之外，您还可以启用名称和密码身份验证以及 TLS 客户端身份验证。然后用户可以使用任何身份验证方法连接到服务器。例如，如果用户具有 TLS 客户端证书，则用户可以使用 TLS 访问服务器；而没有 TLS 客户端证书的用户则可以匿名访问服务器。

要添加有关此主题的反馈，请选中以下复选框：

单击此框即表示您承认您不是美国联邦政府雇员或机构，也不会提交与其中或代表其相关的信息。HCL 通过其合作伙伴 Four, Inc 向美国联邦政府客户提供软件和服务。请通过https://hcltechsw.com/resources/us-government-contact联系该团队。请勿在此评论框中包含任何个人数据。 注意：要报告有关产品软件的问题或疑问，请勿使用此表单。相反，请访问HCL 软件支持站点。不应在此评论框中共享个人数据。请参阅我们的隐私声明以了解如何使用个人数据。