欢迎
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
数据库访问控制列表
每个 .NSF 数据库都有一个访问控制列表 (ACL)，用于指定用户和服务器对该数据库的访问级别。尽管用户和服务器的访问级别名称相同，但分配给用户的访问级别名称决定了他们可以在数据库中执行的任务，而分配给服务器的访问级别名称则决定了服务器可以复制数据库中的哪些信息。只有具有管理员访问权限的人员才能创建或修改 ACL。
默认 ACL 条目
默认访问控制列表包括一组默认条目。

欢迎
欢迎阅读 HCL Domino ® 14.0 文档。
Domino 14 有哪些新功能？
了解 HCL Domino ® 14 中针对管理员的所有新功能。
概述
欢迎使用 HCL Domino ® 管理员帮助。
安装中
使用此文档安装HCL Domino ®服务器并随后部署HCL Notes® 客户端。
规划
使用本主题作为规划任务的概述。
配置
使用此信息来配置您的网络、用户、服务器（包括 Web 服务器）、目录服务、安全性、消息传递、小部件和实时文本以及服务器集群。
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
- Domino 安全性概述
  为您的组织设置安全性是一项关键任务。您的安全基础设施对于保护组织的 IT 资源和资产至关重要。作为管理员，在设置任何服务器或用户之前，您需要仔细考虑组织的安全要求。前期规划可以在以后最大限度地降低安全性受损的风险方面发挥作用。
- Notes®用户、Internet 用户和Domino®服务器的服务器访问
  为了控制用户和服务器对其他服务器的访问， Domino®使用您在“服务器”文档的“安全”选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证Notes®用户、Internet 用户或服务器，并且服务器文档中的设置允许访问，则允许用户或服务器访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL)，用于指定用户和服务器对该数据库的访问级别。尽管用户和服务器的访问级别名称相同，但分配给用户的访问级别名称决定了他们可以在数据库中执行的任务，而分配给服务器的访问级别名称则决定了服务器可以复制数据库中的哪些信息。只有具有管理员访问权限的人员才能创建或修改 ACL。
  - 默认 ACL 条目
    默认访问控制列表包括一组默认条目。
  - ACL 中可接受的条目
    有关您在访问控制列表 (ACL) 中所做的任何条目的详细信息，请参阅本主题。
  - 配置数据库ACL
    在将用户、组或服务器添加到数据库 ACL 之前，请规划应用程序的数据库访问。将名称添加到 ACL 后，为该名称分配访问级别。尽管分配用户类型是可选的，但它提供了额外的安全级别。如果应用程序需要，请添加访问级别权限和角色。
  - ACL 中的访问级别
    在数据库 ACL 中分配给用户的访问级别控制用户可以在数据库中执行哪些任务。访问级别权限可增强或限制分配给 ACL 中每个名称的访问级别。对于 ACL 中列出的每个用户、组或服务器，您可以选择基本访问级别和用户类型。要进一步细化访问权限，您可以选择一系列访问权限。如果应用程序设计者创建了角色，请将它们分配给适当的用户、组或服务器。
  - ACL 中的访问级别权限
    为每个用户、组和服务器分配访问级别后，您可以选择或取消选择访问级别内的权限。
  - ACL 中的用户类型
    用户类型标识 ACL 中的名称是个人、服务器还是组。将用户类型分配给名称时，您可以指定使用该名称访问数据库所需的 ID 类型。用户类型有个人、服务器、混合组、个人组、服务器组和未指定。ACL 中的-Default-组始终分配为 Unspecified 作为用户类型。如果您已将匿名添加到 ACL，则它的用户类型应为“未指定”。
  - ACL 中的角色
    数据库设计者可以通过创建角色来分配对数据库设计元素和数据库功能的特殊访问权限。角色定义一组用户和/或服务器。它们类似于您可以在Domino®目录中设置的组。但是，与组不同，角色特定于创建它们的数据库。
  - 管理数据库 ACL
    作为Domino®管理员，您可以使用其中任何一种方法来管理数据库 ACL。
  - 使用管理流程更新 ACL
    为了保持最大程度的数据库安全，您必须保持 ACL 的最新状态。您可以使用服务器管理进程来执行此操作。Administration Process 是一个服务器程序，它自动重命名或删除组、服务器、用户、个人视图、个人文件夹和专用代理，然后更新Domino®目录和任何已将运行 Administration Process 的服务器命名为自己的数据库 ACL。管理服务器。该程序还更新数据库中所有文档的读者和作者字段。
  - 设置数据库 ACL 的管理流程
    要使用管理进程更新和管理 ACL 以及读者和作者字段中的名称，请将管理服务器分配给数据库。使用此方法可以为多个数据库指定管理服务器。
  - 编辑多个 ACL 中的条目
    作为Domino® Administrator，您可以更改多个数据库 ACL 中存在的条目。要编辑数据库 ACL 中的条目，您必须具有该 ACL 的管理员访问权限。
  - 查看服务器上的所有数据库 ACL
    您可以按用户名、访问级别或数据库查看服务器上的所有数据库 ACL。
  - 使用ACL日志
    您可以显示对数据库 ACL 所做的所有更改的日志。列表中的每个条目都会显示更改发生的时间、更改者以及更改内容。该日志仅存储 20 行更改，而不是完整的历史记录。
  - 实施一致的访问控制列表
    您可以确保 ACL 在服务器上的所有数据库副本以及用户在工作站或笔记本电脑上创建的所有本地副本上保持相同。
  - 更新读者和作者字段
    默认情况下，管理进程会检查数据库中的所有文档，以查找和更新读者和作者字段，并更新个人文件夹、视图和私人代理。当管理进程执行“重命名人员”或“删除人员”请求时，它会编辑或删除所有读者和作者字段、个人文件夹和视图以及私人代理中的名称。要仅更新选定文档中的“读者”和“作者”字段，您可以在数据库中创建一个特殊视图，然后更新该视图。
  - 为 Internet 用户设置数据库访问
    当您设置数据库访问时，必须为 Internet 用户做出特殊规定。请参阅相关主题以获取更多信息。
  - 阻止用户访问 Web 应用程序中的表单和视图
    如果您设计一个用户将通过浏览器访问的数据库应用程序，您可能希望限制浏览器用户使用在您的应用程序中打开表单和视图的 URL 命令。例如，您可以设计您的应用程序，以便使用表单或视图的 servlet 仅使用使用 URL 命令的表单和视图。设置“不允许 URL 打开”属性后，浏览器用户将无法使用Domino® URL 命令来操作这些应用程序组件。
  - 最大互联网名称和密码访问权限
    Notes®无法以与识别 Notes 用户相同的方式来识别通过 Internet 或 Intranet 浏览器访问数据库的用户。使用“最大 Internet 名称和密码访问权限”设置可以控制 Internet 或 Intranet 浏览器用户对数据库的最大访问类型。该列表包含 Notes 用户的标准访问级别。
  - 需要与数据库的 TLS 连接
    传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。您可以要求用户使用安全 TLS 连接访问数据库。您还可以选择要求与单个数据库或服务器上的所有数据库建立 TLS 连接。
- Domino®服务器和Notes®用户 ID
  Domino®使用 ID 文件来识别用户并控制对服务器的访问。每个 Domino 服务器、 Notes®验证者和 Notes 用户都必须有一个 ID。
- 执行控制列表
  您可以使用执行控制列表 (ECL) 来配置工作站数据安全性。ECL 保护用户工作站免受来自未知或可疑来源的活动内容的影响，并且可以配置为限制在工作站上运行的任何活动内容的操作。
- 基于Domino®服务器的证书颁发机构
  您可以设置使用 CA 进程服务器任务来管理和处理证书请求的Domino®验证者。CA 进程作为 Domino 服务器上的进程运行，用于颁发证书。当您设置Notes®或 Internet 验证者时，您可以将其链接到服务器上的 CA 进程，以便利用 CA 进程活动。一台服务器上只能运行一个CA进程实例；然而，该过程可以链接到多个验证者。
- TLS 安全
  传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
- 客户端的 TLS 和 S/MIME
  客户端可以使用Domino®证书颁发机构 (CA) 应用程序或第三方 CA 来获取用于安全 TLS 和 S/MIME 通信的证书。
- 加密
  加密可保护数据免遭未经授权的访问。
- 基于网络的身份验证
  定义和设置 Web 用户的身份验证方法，例如通过基本密码身份验证、密钥、基于时间的一次性密码或单点登录。
- 使用凭证存储来存储凭证
  Domino®服务器可以使用凭证存储应用程序作为安全工件存储库。安全工件的示例包括身份验证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解Notes®和Domino®从过去版本到当前版本支持的 RSA 密钥大小。
管理
本文档提供有关 HCL Domino 管理工具的信息。
调音
使用此信息通过使用资源平衡和活动趋势、高级数据库属性、集群统计信息和服务器健康监视器来改善HCL Domino ®服务器、 Domino Web 服务器和消息传递性能。
故障排除
本节介绍如何查找和解决HCL Domino ®服务器和管理员客户端的问题。
通知

默认 ACL 条目

默认访问控制列表包括一组默认条目。

默认情况下，新数据库的 ACL 中包含以下条目：

-默认-
数据库创建者用户名
本地域服务器
其他域服务器

在默认的 ACL 条目中，数据库创建者的用户名是唯一在 ACL 中自动定义为人员的条目。

-Default- 条目是特定于数据库的唯一条目，与Domino ®目录中的条目无关。例如，LocalDomainServers 会在Domino ®目录中自动创建，并在创建数据库时添加到 ACL。仅当创建数据库时，才会将 -Default- 创建为 ACL 条目。

-默认-

如果没有专门为用户和服务器分配其他访问级别（无论是作为个人、作为组成员还是从通配符条目），则用户和服务器将获得分配给 -Default- 条目的访问权限。此外，如果数据库 ACL 不包含“匿名”条目，则匿名访问数据库的用户将获得“默认”级别的访问权限。-Default- 的默认访问取决于数据库模板的设计，并且在不同的模板之间有所不同。

您为 -Default- 条目指定的访问级别取决于您希望数据库的安全程度。如果您希望数据库仅供有限数量的用户使用，请选择“无访问权限”。选择“作者”或“读者”访问权限可以使数据库可供一般使用。-Default- 条目应该具有“未指定”的用户类型。

您不能从 ACL 中删除 -Default- 条目。

数据库创建者用户名

数据库创建者用户名是创建数据库的人员的分层用户名。创建数据库的用户的默认访问权限是管理员。通常，此人保留管理员访问权限或被授予数据库的设计者访问权限。

本地域服务器

LocalDomainServers 组列出了与存储数据库的服务器位于同一域中的服务器，并且每个 Domino ®目录都默认提供该组。当您创建新的数据库时，LocalDomainServers 的默认访问权限是 Manager。该组至少应具有设计者访问权限，以允许在域内复制数据库设计更改。LocalDomainServers 组通常具有比 OtherDomainServers 组更高的访问权限。

其他域服务器

OtherDomainServers 组列出了存储数据库的服务器域之外的服务器，并且每个 Domino ®目录都默认提供该组。当您创建新数据库时，OtherDomainServers 的默认访问权限为无访问权限。

要添加有关此主题的反馈，请选中以下复选框：

单击此框即表示您承认您不是美国联邦政府雇员或机构，也不会提交与其中或代表其相关的信息。HCL 通过其合作伙伴 Four, Inc 向美国联邦政府客户提供软件和服务。请通过https://hcltechsw.com/resources/us-government-contact联系该团队。请勿在此评论框中包含任何个人数据。 注意：要报告有关产品软件的问题或疑问，请勿使用此表单。相反，请访问HCL 软件支持站点。不应在此评论框中共享个人数据。请参阅我们的隐私声明以了解如何使用个人数据。