保护服务器上的文件不被 Web 客户端访问

文件保护文档控制对用户可通过 Web 浏览器访问的非数据库文件的访问。与数据库文件 (.NSF) 访问控制列表 (ACL) 类似,它指定了可以访问它们的用户的名称及其具有的访问级别,您可以对浏览器用户可以访问的文件(例如 HTML、JPEG 和 GIF)实施文件保护,也可以通过指定这些类型的文件的访问级别和可以访问它们的用户的名称来实现。

关于这个任务

在初始服务器启动期间,会在Domino ®目录中创建文件保护文档。本文档为管理员提供对Domino ®目录的写入、读取和执行访问权限。其他用户被指定为无访问权限。文件保护文档是一种安全功能,它通过控制 Web 客户端对文件的访问来保护服务器硬盘上的文件。您可以对浏览器用户可以访问的文件强制实施文件系统安全性,包括访问级别和可以访问这些文件的用户的名称。

注意:虽然您也可以对 CGI 脚本应用文件保护,但文件保护不会扩展到这些脚本访问的其他文件。例如,您可以对 CGI 脚本应用文件保护,以限制名为“Web Admins”的组的访问。但是,如果 CGI 脚本运行并打开其他文件,或者触发其他脚本运行,则文件保护文档无法控制“Web 管理员”是否可以访问这些附加文件。

但是,文件保护确实适用于访问其他文件的文件 - 例如,打开图像文件的 HTML 文件。如果用户有权访问 HTML 文件,但无权访问 HTML 文件使用的 JPEG 文件,则当用户打开 HTML 文件时, Domino ®不会显示 JPEG 文件。

请不要创建限制对以下目录的访问的文件保护文档,这些目录包含Domino ® Web 服务器和其他应用程序(如邮件数据库)使用的默认图像文件和Java applet:

  • Domino\data\domino\java,通过 Web 浏览器使用路径访问

    http://服务器/domjava

  • Domino\data\domino\icons,通过 Web 浏览器使用路径访问

    http://服务器/图标

您可以为目录或单个文件创建文件保护文档。目录定义的保护会被其所有子目录继承。您必须为所有 Web 用户可访问的目录设置文件保护文档。任何使用 Web 浏览器的人都可以访问没有文件保护文档的文件和文件目录。

注意:您不需要使用文件保护文档来保护数据库 (.NSF) 文件;而是使用数据库 ACL。

为网站文档创建文件保护

关于这个任务

您为特定网站创建文件保护文档。该文件保护文档仅适用于该特定网站。

文件保护文档提供有限的安全性。使用Domino ®安全功能(例如数据库 ACL)来保护敏感信息。

程序

  1. Domino ® Administrator 中,选择配置> Web > Internet 站点
  2. 打开您想要创建文件保护的网站文档。
  3. 单击“网站”并选择“创建文件保护”
  4. 单击“基本信息”并填写以下字段:
    1 .基本选项卡字段

    场地

    行动

    描述

    输入一个名称,以将此文档与您创建的其他文档区分开来。

    目录或文件路径

    指定要限制访问的目录或文件路径。它应该是包含驱动器号的完全限定路径格式 - 例如, c:\domino\data\domino\cgi-bin ,或者输入相对于服务器数据目录的路径 - 例如, domino\cgi-bin

    当前®访问控制列表

    显示可以访问指定文件或目录的用户和组,以及他们被允许的访问类型。与数据库 ACL 类似,访问控制列表始终使用“-Default-”条目创建,设置为“无访问权限”,您可以修改该条目。与数据库 ACL 一样,访问列表中未列出的用户将获得默认访问级别。

    设置/修改访问控制列表
    要将用户添加到访问控制列表,请单击设置/修改访问控制列表。从Domino ®目录中选择用户名或组,或者在名称字段中键入名称。选择以下选项之一:
    • 读取/执行访问(GET 方法)
    • 写/读/执行访问(POST 和 GET 方法
    • 无法访问
    单击“添加”将该条目添加到访问控制列表中。

    GET 允许用户打开文件并启动目录中的程序。POST 通常用于将数据发送到 CGI 程序;因此,仅向包含 CGI 程序的目录授予 POST 访问权限。“禁止访问”拒绝指定用户或组的访问。

    要从列表中删除条目,请选择它并单击清除

    如果用户使用匿名访问连接到服务器,请在名称字段中输入匿名并分配适当的访问权限。

    注意:如果您希望输入位于 LDAP 目录中的用户名,则必须用斜线替换逗号分隔符。输入名称时请勿使用逗号作为分隔符。

    例如,具有以下名称格式的 LDAP 用户: 

    cn=Anthony Jones,l=westford,o=renovations.com

    应像这样输入到文件保护文档的访问列表中:

    cn=Anthony Jones/l=westford/o=renovations.com
  5. 单击“管理”并填写所有者管理员字段。默认情况下,您登录时使用的管理员名称是分配给这两个字段的名称。
  6. 保存文档。
  7. 输入此命令来刷新设置:

    告诉http刷新

例子

在文件保护文档中的字段中指定这些设置将允许 Web 用户组中的所有用户打开文件并启动c:\notes\data\domino\html目录中的程序。

路径: c:\notes\data\domino\html

访问:Web 用户组 (GET)

访问: - 默认 - (无访问权限)

文件“secret.htm”位于notes\data\domino\html子目录中。您可以拒绝 Web 用户组成员访问此文件并仅允许用户 Joe Smith 访问。为此,请使用以下设置创建附加文件保护文档:

路径: c:\notes\data\domino\html\secret.html

访问: - 默认 - (无访问权限)

访问:Joe Smith(GET)