這個額外的金鑰驗證層次可以避免誤用到遺失或是已被洩漏的 ID 檔案。通常，如果 ID 檔案已遺失，則必須要註冊它的擁有者以建立新的 ID 檔案及目錄項目；而且如果 ID 檔案已被洩漏，就必須要換用 ID 檔案擁有者的公開及私密金鑰，並且要認證新的那組金鑰 (這樣才會更新目錄項目)。啟用目錄層次的金鑰檢查，攻擊者就無法以所擁有的舊 ID 檔案來存取伺服器，即使舊的 ID 檔案中包含有效的憑證。

如果鑑定成功但偵測到有不相符之處，您也可以選擇控制是否要產生記錄訊息。這可讓管理員偵測出未與目錄項目同步化的 ID 檔案內容，但因為公開金鑰不相符，這樣做並無法避免那些使用者進行鑑定。

1. 按一下「Domino 管理員」的「配置」標籤，並開啟「伺服器」文件。

2. 按一下「安全性」標籤。

3. 在「安全性設定」區段中，按一下「比較公開金鑰」旁邊的下拉式清單，然後選擇下列其中一個選項：

• 強制所有 IBM Lotus Notes 使用者及 Domino 伺服器執行金鑰檢查 -- 比較在鑑別期間所傳送憑證中的金鑰值跟「Domino 名錄」中儲存的金鑰值。未列在受信任目錄中的任何使用者或伺服器，將會視為進行此項驗證檢查失敗，而且將不允許存取此伺服器。
• 僅強制受信任目錄中的使用者執行金鑰檢查 -- 只有當使用者或伺服器列於受信任目錄中時，才比較在鑑定期間所傳送憑證中的金鑰值跟目錄中儲存的金鑰值。未列在受信任目錄中的任何使用者或伺服器，將會視為已通過此項驗證檢查。
附註 此選項可讓管理員將伺服器上資料庫及應用程式的存取權，授與給未列在目錄中的使用者。例如，資料庫可能已設定它的「存取控制清單」，將編輯者存取權授與給「Domino 名錄」中列出的使用者，並將讀者存取權授與給每一個人。因此如果啟用此金鑰檢查選項，未列在名錄中的使用者仍可以存取伺服器使用資料庫，但將只會擁有讀者存取權。
• 不強制執行金鑰檢查 -- 如果只想要在鑑定期間檢查憑證簽名，而不要針對目錄內容來驗證金鑰。

• 記載所有 Notes 使用者及 Domino 伺服器的金鑰不符狀況 -- 記載當鑑定期間所傳送憑證中的金鑰值跟「Domino 名錄」中儲存的金鑰值不符時發生的事件。
• 僅對受信任目錄中的使用者記載金鑰不符的狀況 -- 只有當使用者或伺服器列於受信任目錄中時，才記載當鑑定期間所傳送憑證中的金鑰值跟目錄中儲存的金鑰值不符時發生的事件。
• 不記載金鑰不符的狀況 -- 僅記錄鑑定失敗。

相關主題

公開金鑰安全

名詞解釋