本节介绍安全功能,包括执行控制列表、ID 和 TLS。
每个 .NSF 数据库都有一个访问控制列表 (ACL),用于指定用户和服务器对该数据库的访问级别。尽管用户和服务器的访问级别名称相同,但分配给用户的访问级别名称决定了他们可以在数据库中执行的任务,而分配给服务器的访问级别名称则决定了服务器可以复制数据库中的哪些信息。只有具有管理员访问权限的人员才能创建或修改 ACL。
当您设置数据库访问时,必须为 Internet 用户做出特殊规定。请参阅相关主题以获取更多信息。
Welcome to the HCL Domino® 14.0 documentation.
Learn about all of the new features for administrators in HCL Domino® 14.
Welcome to HCL Domino® Administrator Help.
Use this documentation to install the HCL Domino® server and subsequently deploy the HCL Notes®client.
Use this topic as an overview of planning task.
Use this information to configure your network, users, servers (including Web servers), directory services, security, messaging, widgets and live text, and server clusters.
为您的组织设置安全性是一项关键任务。您的安全基础设施对于保护组织的 IT 资源和资产至关重要。作为管理员,在设置任何服务器或用户之前,您需要仔细考虑组织的安全要求。前期规划可以在以后最大限度地降低安全性受损的风险方面发挥作用。
为了控制用户和服务器对其他服务器的访问, Domino®使用您在“服务器”文档的“安全”选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证Notes®用户、Internet 用户或服务器,并且服务器文档中的设置允许访问,则允许用户或服务器访问该服务器。
默认访问控制列表包括一组默认条目。
有关您在访问控制列表 (ACL) 中所做的任何条目的详细信息,请参阅本主题。
在将用户、组或服务器添加到数据库 ACL 之前,请规划应用程序的数据库访问。将名称添加到 ACL 后,为该名称分配访问级别。尽管分配用户类型是可选的,但它提供了额外的安全级别。如果应用程序需要,请添加访问级别权限和角色。
在数据库 ACL 中分配给用户的访问级别控制用户可以在数据库中执行哪些任务。访问级别权限可增强或限制分配给 ACL 中每个名称的访问级别。对于 ACL 中列出的每个用户、组或服务器,您可以选择基本访问级别和用户类型。要进一步细化访问权限,您可以选择一系列访问权限。如果应用程序设计者创建了角色,请将它们分配给适当的用户、组或服务器。
为每个用户、组和服务器分配访问级别后,您可以选择或取消选择访问级别内的权限。
用户类型标识 ACL 中的名称是个人、服务器还是组。将用户类型分配给名称时,您可以指定使用该名称访问数据库所需的 ID 类型。用户类型有个人、服务器、混合组、个人组、服务器组和未指定。ACL 中的-Default-组始终分配为 Unspecified 作为用户类型。如果您已将匿名添加到 ACL,则它的用户类型应为“未指定”。
数据库设计者可以通过创建角色来分配对数据库设计元素和数据库功能的特殊访问权限。角色定义一组用户和/或服务器。它们类似于您可以在Domino®目录中设置的组。但是,与组不同,角色特定于创建它们的数据库。
作为Domino®管理员,您可以使用其中任何一种方法来管理数据库 ACL。
为了保持最大程度的数据库安全,您必须保持 ACL 的最新状态。您可以使用服务器管理进程来执行此操作。Administration Process 是一个服务器程序,它自动重命名或删除组、服务器、用户、个人视图、个人文件夹和专用代理,然后更新Domino®目录和任何已将运行 Administration Process 的服务器命名为自己的数据库 ACL。管理服务器。该程序还更新数据库中所有文档的读者和作者字段。
要使用管理进程更新和管理 ACL 以及读者和作者字段中的名称,请将管理服务器分配给数据库。使用此方法可以为多个数据库指定管理服务器。
作为Domino® Administrator,您可以更改多个数据库 ACL 中存在的条目。要编辑数据库 ACL 中的条目,您必须具有该 ACL 的管理员访问权限。
您可以按用户名、访问级别或数据库查看服务器上的所有数据库 ACL。
您可以显示对数据库 ACL 所做的所有更改的日志。列表中的每个条目都会显示更改发生的时间、更改者以及更改内容。该日志仅存储 20 行更改,而不是完整的历史记录。
您可以确保 ACL 在服务器上的所有数据库副本以及用户在工作站或笔记本电脑上创建的所有本地副本上保持相同。
默认情况下,管理进程会检查数据库中的所有文档,以查找和更新读者和作者字段,并更新个人文件夹、视图和私人代理。当管理进程执行“重命名人员”或“删除人员”请求时,它会编辑或删除所有读者和作者字段、个人文件夹和视图以及私人代理中的名称。要仅更新选定文档中的“读者”和“作者”字段,您可以在数据库中创建一个特殊视图,然后更新该视图。
如果您设计一个用户将通过浏览器访问的数据库应用程序,您可能希望限制浏览器用户使用在您的应用程序中打开表单和视图的 URL 命令。例如,您可以设计您的应用程序,以便使用表单或视图的 servlet 仅使用使用 URL 命令的表单和视图。设置“不允许 URL 打开”属性后,浏览器用户将无法使用Domino® URL 命令来操作这些应用程序组件。
Notes®无法以与识别 Notes 用户相同的方式来识别通过 Internet 或 Intranet 浏览器访问数据库的用户。使用“最大 Internet 名称和密码访问权限”设置可以控制 Internet 或 Intranet 浏览器用户对数据库的最大访问类型。该列表包含 Notes 用户的标准访问级别。
传输层安全性 (TLS) 是一种安全协议,为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。您可以要求用户使用安全 TLS 连接访问数据库。您还可以选择要求与单个数据库或服务器上的所有数据库建立 TLS 连接。
Domino®使用 ID 文件来识别用户并控制对服务器的访问。每个 Domino 服务器、 Notes®验证者和 Notes 用户都必须有一个 ID。
您可以使用执行控制列表 (ECL) 来配置工作站数据安全性。ECL 保护用户工作站免受来自未知或可疑来源的活动内容的影响,并且可以配置为限制在工作站上运行的任何活动内容的操作。
您可以设置使用 CA 进程服务器任务来管理和处理证书请求的Domino®验证者。CA 进程作为 Domino 服务器上的进程运行,用于颁发证书。当您设置Notes®或 Internet 验证者时,您可以将其链接到服务器上的 CA 进程,以便利用 CA 进程活动。一台服务器上只能运行一个CA进程实例;然而,该过程可以链接到多个验证者。
传输层安全性 (TLS) 是一种安全协议,为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
客户端可以使用Domino®证书颁发机构 (CA) 应用程序或第三方 CA 来获取用于安全 TLS 和 S/MIME 通信的证书。
加密可保护数据免遭未经授权的访问。
定义和设置 Web 用户的身份验证方法,例如通过基本密码身份验证、密钥、基于时间的一次性密码或单点登录。
Domino®服务器可以使用凭证存储应用程序作为安全工件存储库。安全工件的示例包括身份验证凭证和安全密钥。
了解Notes®和Domino®从过去版本到当前版本支持的 RSA 密钥大小。
This documentation provides information about the administration tools for HCL Domino.
Use this information to improve HCL Domino® server, Domino Web server, and messaging performance through the use of resource balancing and activity trends, advanced database properties, cluster statistics, and the Server Health Monitor.
This section describes how to find and solve problems with HCL Domino® server and Administrator client.
