创建安全策略设置文档

安全策略设置文档允许您管理HCL Notes ®和 Internet 密码、为您的组织配置定制的密码策略、设置密钥翻转、管理管理 ECL、向客户端推送受信任的交叉证书以及配置 ID 保险库。您还可以为复合应用程序配置签名插件和主门户服务器的设置。

在你开始之前

确保您具有HCL Domino ®目录的编辑者访问权限以及以下角色之一：

用于创建设置文档的 PolicyCreator 角色
用于修改设置文档的 PolicyModifier 角色

关于这个任务

注意：有关Notes 共享登录或Nomad共享登录选项卡的信息，以及使用 Notes 或Nomad共享登录来抑制密码提示的信息，请参阅相关主题。有关“联合登录”选项卡的信息，请参阅相关主题以获取有关将 Notes 联合登录配置应用于用户的信息。

注意：有关为HCL iNotes ®用户创建安全策略设置以及使用 HTTP 代理 servlet 将 URL 限制到外部服务器的信息，请参阅相关信息中的HCL iNotes ®管理产品文档。

程序

从 Domino Administrator 中，选择“人员和组”选项卡，然后打开“设置”视图。
单击“添加设置” ，然后选择“安全” 。
在“基本信息”选项卡上，填写以下字段：

表1 .基本选项卡字段

场地行动

姓名输入可识别使用这些设置的用户的名称。

描述输入设置的说明。
完成以下任务中描述的所有必填字段。

表1 .基本选项卡字段
场地	行动
姓名	输入可识别使用这些设置的用户的名称。
描述	输入设置的说明。

管理 Notes 和 Internet 密码

程序

在“密码管理”选项卡上，完成以下选项字段：

表2 .密码管理选项
场地	行动
对 Notes 客户端使用定制密码策略	选一个：否（默认）是的——实施自定义密码策略。自定义密码策略使您能够配置特定的密码参数，以使密码变得不容易被猜测。使用自定义密码策略选项卡上的设置来设置策略。
检查 Notes ID 文件的密码	选一个：否（默认）是 - 要求所有用户 ID 副本均使用相同的密码必须通过启用服务器文档的“安全”选项卡中的“检查 Notes ID 上的密码”字段来在服务器上启用此功能。有关更多信息，请参阅设置密码验证。注意：如果用户的 Notes ID 上的密码发生更改，则在用户下次向服务器进行身份验证时，身份验证过程将生成管理进程 (AdminP) 请求，以更新目录中个人文档中的用户密码摘要字段。如果在两天之内再次更改密码，则下一个身份验证过程将延迟创建新的密码更改请求，直到两天过去。例如，如果用户在周一更改密码并启动 AdminP 请求，那么如果他们在周二再次更改密码，则身份验证过程直到周三进行身份验证时才会创建第二个 AdminP 请求。同样的延迟也适用于使用 notes.ini 设置 IDV_RESETPASSWORD_DIGEST 并在 ID 保险库中重置密码。直到上次密码重置两天后的星期三进行下一次密码重置时，才会创建新的请求。
允许用户通过 HTTP 更改 Internet 密码	选一个：是（默认）——允许用户使用 Web 浏览器更改其 Internet 密码。不
当 Notes 客户机密码更改时更新 Internet 密码	选一个：否（默认）是 —— 将用户 Internet 密码与 Notes 客户机密码同步。注意：如果尚未使用更安全的 Internet 密码格式，则选择“是”将激活该格式的使用。
不提示其他基于 Notes 的程序输入密码（降低安全性）	选择“是”将在“安全”对话框中的“您的登录名和密码设置”中为应用此策略的 Notes 客户端用户设置此选项。启用该选项后，对于任何与 Notes 共享数据的基于 Notes 的应用程序，可通过重新使用用户初始登录 Notes 来消除密码提示。
为标准 Notes 客户端启用 Windows 单点登录	为基于 Eclipse 的功能和产品（例如 Widgets 和 Live Text、Feed、 Connections、Composite Applications 和 Sametime）启用对集成 Windows 身份验证（使用 SPNEGO/Kerberos）的支持。此选项不会影响 Notes 客户机启动时密码提示，但会消除参与嵌入式和其他应用程序和组件的密码提示。

此外，在“密码管理”选项卡上，填写以下到期字段：

表3 .密码过期设置
场地	行动
强制密码过期	选一个：禁用（默认）——禁用密码过期。如果您禁用密码过期，请不要填写此部分的其余字段。启用注意：如果为以下任何选项启用密码过期，安全设置文档默认值将会更改。仅限 Notes — 仅为 Notes 密码启用密码过期功能。仅限 Internet — 仅为 Internet 密码启用密码过期功能。 Notes 和 Internet — 启用 Notes 和 Internet 密码的过期功能。注意： Internet 密码过期设置仅被 HTTP 协议识别。这意味着 Internet 密码可以无限期地与其他 Internet 协议（例如 LDAP 或 POP3）一起使用。注意：如果用户使用智能卡登录 Domino 服务器，请不要启用密码过期功能。
要求的更换间隔	指定必须更改密码之前密码有效的天数。默认值为 0。注意：如果将此值设置为小于 30，则会自动计算警告期字段的值。计算值是此字段输入值的 80%。
允许宽限期	指定用户在被锁定之前必须更改过期密码的天数。默认值为 0，表示用户不会被锁定。
密码历史记录（仅限 Notes）	指定要存储的过期密码的数量。存储密码可防止用户重复使用旧密码。默认值为 0。
警告期	指定密码过期前多少天用户会收到过期警告消息。默认值为 0。注意：如果“必需更改间隔”设置小于 30 天，则计算此字段的值。必须启用密码过期才能计算此字段的值。如果计算出该值，则无法覆盖。
自定义警告消息	输入自定义警告消息，该消息将发送给密码已超过“警告期”字段中指定的过期阈值的用户。注意：无论您如何启用密码过期，自定义警告消息仅适用于 Notes 客户端。互联网用户看不到警告信息。

配置 Internet 密码锁定

关于这个任务

如果您的组织使用 SAML 进行会话身份验证，则会忽略 Internet 密码锁定设置。

程序

在密码管理选项卡上，完成以下锁定设置：

表4 .互联网密码锁定设置
场地	行动
覆盖服务器的互联网锁定设置？	启用此策略文档设置后，策略中的设置将覆盖服务器的配置设置文档中的 Internet 密码锁定设置。注意：服务器必须强制执行 Internet 密码锁定才能使这些策略设置生效。
允许的最大尝试次数	锁定前允许的最大密码尝试次数。设置为 0 时，允许无限制次密码尝试。
锁定到期	强制锁定的时间段。在此时间段之后，用户帐户将在用户下次尝试进行身份验证时自动解锁。设置为 0 时，自动解锁被禁用。
最大尝试间隔	如果用户没有被锁定，这是在成功的身份验证清除所有以前的失败尝试之前必须经过的时间段。指定更长的保护强度时间以获得更高的安全性。当设置为 0 时，每次验证成功后都会清除失败的密码尝试。

此外，在“密码管理”选项卡上，完成以下质量设置字段：

表5 .密码质量设置
场地	行动
所需密码质量	如果您要求用户根据密码质量来选择密码，请从列表中选择一个值来指定该质量。
使用长度代替	如果您要求用户根据长度选择密码，请单击“是”。当您执行此操作时， “所需密码质量”字段将更改为“所需密码长度” 。在此处指定最小密码长度。

有关填写ID 文件加密设置下字段的信息，请参阅相关主题中的配置 ID 文件加密主题。

配置自定义密码策略

关于这个任务

仅当您选择实施自定义密码策略时，才需要填写以下字段。

程序

在“密码管理”选项卡上的“密码管理选项”下，对“对 Notes 客户端使用自定义密码策略”字段选择“是” 。
出现“自定义密码策略”选项卡。

完成以下字段：

表6 .自定义密码策略选项卡字段
场地	行动
首次使用 Notes 客户端时更改密码	要求用户在第一次使用 Notes 登录时更改密码。注意：仅当在用户注册期间应用该策略时，此功能才有效。
允许在密码中使用通用名称	允许在密码中使用用户的常用名组合。例如：John232 是用户 CN=John Doe/O=Mutt 的密码，其中通用名称是 John Doe。
密码最小长度	指定用户密码的最小字符数
密码最大长度	指定用户密码的最大字符数
密码质量最低	指定用户密码的最低密码质量值
所需的最小字母字符数	指定用户密码中允许包含的字母字符的最小数量
所需的最小大写字符数	指定用户密码中允许包含的大写字符的最小数量
所需的最小小写字符数	指定用户密码中允许包含的最小小写字符数
所需的最小数字字符数	指定用户密码中允许包含的特殊字符（即标点符号）的最小数量
所需的最少特殊字符数	指定用户密码中允许包含的特殊字符（即标点符号）的最小数量
所需的非小写字符的最小数量	指定用户密码中要求的特殊字符、数字和大写字符的最少数量。此处的值越高，密码就越难猜测。输入数字后，将出现一个清单，列出您可以根据此要求指定的字符类型。您可以选择以下任意组合：大写字符数字特殊字符
所需重复字符的最大数量	指定用户密码中允许的最大重复字符数（任何类型的字符）。
所需的最少唯一字符数	指定密码中仅出现一次的最少字符数
密码不能以以下方式开头	指定用户密码不能以哪些字符开头
密码不能以以下形式结尾	指定用户密码不能以哪些字符结尾

配置管理 ECL

关于这个任务

填写“执行控制列表”选项卡上的字段来配置您组织中使用的管理 ECL。

表7 .执行控制列表选项卡字段
场地	行动
管理员 ECL	选一个：编辑——编辑“编辑”按钮旁边显示的 ECL 名称。管理——有关使用此功能的信息，请参阅管理管理员 ECL。注意：仅当安全设置文档处于编辑模式时才会显示“编辑”和管理按钮。
更新模式	选一个：刷新 — 使用管理 ECL 中的新信息或更改信息来更新客户端 ECL，如下所示：如果客户端 ECL 列出了管理 ECL 中没有的签名，那么该签名及其设置在客户端 ECL 中保持不变。如果管理 ECL 列出了客户端 ECL 中没有的签名，那么该签名及其设置将被添加到客户端 ECL。如果客户端 ECL 和管理 ECL 列出了相同的签名，那么客户端 ECL 中的签名设置将被丢弃，并由管理 ECL 中的签名设置替换。替换 -- 用管理 ECL 覆盖客户端 ECL。客户端 ECL 中的任何信息均不会被保留。
更新频率	选一个：每天一次 - 当客户端与主服务器进行身份验证时以及自上次 ECL 更新以来已经过去一天或管理员 ECL 发生更改时更新客户端 ECL。当管理 ECL 发生变化时 - 当客户端与主服务器进行身份验证并且管理 ECL 自上次更新后已经发生变化时更新客户端 ECL。从不——防止在身份验证期间更新客户端 ECL。

管理执行控制列表 (ECL)

关于这个任务

当您在域中设置第一个服务器时，Domino 会创建一个默认的管理 ECL，然后您可以根据组织对其进行定制。您可能需要多种类型的管理 ECL - 例如，一种用于承包商，一种用于全职员工。您可以使用工作站安全：管理执行控制列表对话框来管理您创建的管理 ECL。您还可以使用它来创建新的或者删除不再需要的。

注意：仅当安全设置文档处于编辑模式时才会显示“编辑”和管理按钮。

程序

在“安全设置”文档工具栏上，单击“编辑设置” 。

单击“管理” 。出现工作站安全：管理执行控制列表对话框。从以下选项中选择：

表8 .工作站安全：管理执行控制列表选项
场地	行动
编辑现有的管理员 ECL	从列表框中选择要编辑的管理 ECL 的名称，然后单击“确定” 。选定的管理 ECL 的名称显示在“执行控制列表”选项卡的“管理 ECL”字段中。单击“编辑”按钮打开选定的管理 ECL。
创建新的管理 ECL	在创建新的管理 ECL字段中键入新 ECL 的名称，然后单击确定。新的管理 ECL 的名称显示在“执行控制列表”选项卡的“管理 ECL”字段中。单击“编辑”按钮来创建新的管理 ECL。
删除现有的管理员 ECL	从列表框中选择要删除的管理 ECL 的名称，然后单击“删除” 。选定的管理 ECL 被删除，并且现有管理 ECL 列表被刷新。

结果

管理 ECL 独立于安全设置文档进行存储。如果您编辑管理 ECL，则引用该特定命名管理 ECL 的所有安全设置文档都将使用所做的更改。如果删除管理 ECL，则引用该特定管理 ECL 的所有安全设置文档都将使用默认管理 ECL。一旦删除管理 ECL，则无法通过单击“取消”来撤消删除。

单击“取消”将使设置文档中显示的管理 ECL 名称保持不变。

启用密钥翻转

关于这个任务

填写“密钥和证书”选项卡上的字段来为用户组配置密钥翻转。您可以指定为多个用户组启动密钥翻转的触发器。您可以选择为适用此策略的用户组在指定的时间段内安排滚动过程。

有关配置 AES 进行邮件和文档加密的信息，请参阅相关主题。

程序

在默认公钥要求字段中，指定父策略和子策略的设置。选择一项：
- 从父策略继承公钥要求设置
- 在子策略中强制执行公钥要求设置

根据用户公钥要求，填写以下字段。

表9 .用户公钥要求
场地	行动
允许的最小密钥强度	注意：比指定密钥更弱的密钥将被跳过。没有最低限额。最大程度兼容所有版本 (630 位)。与版本 6 及更高版本（1024 位）兼容。与版本 7 及更高版本（2048 位）兼容。
最大允许按键强度	注意：比指定密钥更弱的密钥将被跳过。与所有版本兼容（630 位）。与版本 6 及更高版本（1024 位）兼容。与版本 7 及更高版本（2048 位）兼容。
首选密钥强度	选择创建新密钥时要使用的首选密钥强度：与所有版本兼容（630 位）。与版本 6 及更高版本（1024 位）兼容。与版本 7 及更高版本（2048 位）兼容。
密钥的最大允许使用期限（以天为单位）	指定密钥在需要更新之前可以达到的最大期限。默认值为 36500 天（100 年）。
允许的最早密钥创建日期	在此日期之前创建的任何密钥都将被延续。
在这么多天里为所有用户传播新密钥生成：	指定为所有适用此安全设置策略文档的用户生成新密钥的时间段（以天为单位）。用户密钥在配置的时间段内随机滚动更新。默认为 180 天。
新密钥生成后旧密钥的有效期最长天数	指定网络认证期间可以使用旧密钥的时间长度。在 Notes 密钥验证期间，所有证书（新旧）以及所有滚动密钥都被组织成一棵树，然后遍历该树以查找一组可以链接在一起以验证密钥的证书。如果证书已过期，则不能在该链中使用。当您因为担心密钥已被泄露而对其进行滚动更新时，最好为该密钥颁发的旧证书的使用时间长度设置一个较短的值。此设置的有效值为 1 至 36500 天，默认值为 365。

使用相关主题中为邮件和文档加密配置 AES中的信息填写文档/邮件加密设置中的字段。
在“证书到期设置”下的“警告期”字段中，指定证书到期前多少天用户会收到到期警告消息；默认值为 0。
在“证书过期设置”下的“自定义警告消息”字段中，输入将发送给证书已超过“警告期”字段中指定的过期阈值的用户的自定义警告消息。

启用在线证书状态协议 (OCSP) 检查

关于这个任务

在线证书状态协议 (OCSP) 使应用程序能够确定已识别证书的撤销状态。Notes 客户端在 S/MIME 签名验证和邮件加密期间会进行 OCSP 检查。OCSP 是通过策略启用的，使用安全设置文档的密钥和证书选项卡上的启用 OCSP 检查设置。

将受信任的交叉证书应用于客户端

关于这个任务

您可以避免用户提示创建交叉证书。使用“密钥和证书”选项卡的“管理信任默认值”部分将可信 Internet 证书、Internet 交叉证书和 Notes 交叉证书应用于 Notes 客户机。有关将受信任的证书应用（有时称为推送）给客户端的信息，请参阅相关主题。

配置签名插件的安装

关于这个任务

插件可以提供给 Notes 用户，并且通常使用 Notes 客户端信任的证书进行签名，并验证其中包含的数据未损坏。然后用户可以安装或更新已签名的插件。

有时，会发现某个插件有问题。它是未签名的、未使用受信任的证书签名的、或者证书已过期或尚未生效。对于这些情况，您可以制定一项策略：永不安装这些插件、始终安装这些插件或要求用户在其计算机上安装插件时做出决定。

您可以使用 Java SDK 提供的 jar 签名工具对插件 jar 签名进行时间戳记，以确保插件签名的长期有效性。Notes 客户端使用插件 jar 签名中包含的时间戳来确定插件签名证书在签名时是否有效。如果插件签名证书已过期但在签名时有效，Notes 会接受该证书，以便用户在插件安装或配置期间不会看到安全提示。使用签名插件选项卡上的忽略时间戳证书过期设置来控制是否允许安装带有过期时间戳证书的签名插件。默认情况下允许安装它们。

表10 .忽略时间戳证书设置的过期时间
场地	行动
安装已过期或尚未生效的插件	询问用户永不安装始终安装
安装未签名的插件	询问用户永不安装始终安装
安装由无法识别的实体签名的插件	询问用户永不安装始终安装
信任插件签名证书	询问用户永远不要相信安装始终信任安装
忽略时间戳证书的到期日期	询问用户永不安装始终安装

配置门户服务器设置

关于这个任务

表11 .门户服务器设置
场地	行动
主页门户服务器	输入托管 Notes 用户帐户的 HCL Digital Experience Server 的名称。
认证网址	输入 Notes 用户需要访问的 URL，以便向门户服务器进行验证。
认证类型	选一个： J2EE-Form，用于 HTTP，用于基于 Web 的身份验证

注意：有关ID Vault和代理选项卡的信息，请参阅相关主题。