Lotus Domino Administrator 8.51 說明 - 保護伺服器上的檔案避免 Web 用戶端存取

WEB 伺服器

保護伺服器上的檔案避免 Web 用戶端存取
「檔案保護」文件會控制使用者可以透過 Web 瀏覽器存取的非資料庫檔案之存取權。類似資料庫檔案 (.NSF) 存取控制清單 (ACL)，指定可存取檔案的使用者名稱及使用者所具有的存取權層次，您也可以在瀏覽器使用者可存取的檔案 (例如，HTML、JPEG 與 GIF) 中強制執行檔案保護，方法是指定這些檔案類型的存取權層次及可存取檔案的使用者名稱。

您也可以對 CGI script 套用檔案保護時，檔案保護並不會延伸至那些 script 所存取的其他檔案。例如，您可對 CGI script 套用檔案保護，以限制對名為 Web Admins 的群組之存取權。然而，如果 CGI script 執行並開啟其他檔案或觸發其他要執行的 script，則「檔案保護」文件無法控制 Web Admins 是否擁有這些額外檔案的存取權。

請不要建立檔案保護文件來限制對下列目錄的存取權，其中包含 IBM Lotus Domino Web 伺服器及其他應用程式 (例如郵件資料庫) 使用的預設影像檔及 Java applet：

Domino\data\domino\java，透過 Web 瀏覽器存取，使用下列路徑：
http://<server>/domjava
Domino\data\domino\icons，透過 Web 瀏覽器存取，使用下列路徑：
http://<server>/icons

然而，檔案保護適用於存取其他檔案的檔案 -- 例如，開啟影像檔的 HTML 檔。如果使用者有 HTML 檔的存取權，但沒有 HTML 檔所用之 JPEG 檔的存取權，則使用者開啟 HTML 檔時，IBM Lotus Domino 不會顯示 JPEG 檔。

您可以建立目錄或個別檔案的「檔案保護」文件。針對某一目錄所定義的保護，所有其子目錄也會繼承該定義。您必須對 Web 使用者可存取的所有目錄設定「檔案保護」文件。沒有「檔案保護」文件的檔案及檔案目錄可以由任何人使用 Web 瀏覽器存取。

附註您不必使用檔案保護文件來保護資料庫 (.NSF) 檔案；您應使用資料庫 ACL。

控制 Web 瀏覽器存取伺服器檔案的範例
在「檔案保護」文件的欄位中指定下列設定，可使「Web 使用者群組」中的使用者，在 c:\notes\data\domino\html 目錄中開啟檔案並啟動程式。

路徑：c:\notes\data\domino\html

存取權：Web 使用者群組 (GET)

存取權：- Default - (沒有存取權)

檔案 secret.htm 位在 notes\data\domino\html subdirectory 子目錄中。您可以拒絕「Web 使用者群組」成員存取此檔案，而僅允許使用者 Joe Smith 存取。若要執行此動作，請以下列設定建立其他的「檔案保護」文件：

路徑：c:\notes\data\domino\html\secret.html

存取權：- Default - (沒有存取權)

存取權：Joe Smith (GET)

網站文件的檔案保護

您可以為特定的網站建立檔案保護文件。此檔案保護文件只適用於該特定網站。

檔案保護文件提供有限制的安全性。使用 IBM Lotus Domino 安全功能 (例如資料庫 ACL) 來保護機密性資訊。

建立網站文件的檔案保護
1. 從「Domino 管理者」中，選擇 [配置] - [Web] - [網際網路站台]。

2. 開啟您要建立檔案保護的「網站」文件。

3. 按一下「網站」，然後選擇「建立檔案保護」。

4. 按一下「基礎」，並完成下列欄位：

欄位動作

說明 (選擇性) 輸入一個名稱以區分此文件與您建立的其他文件。

目錄或檔案路徑指定您要限制存取權的目錄或檔案路徑。應該是完整的路徑格式，其中包括磁碟機字母 (例如， c:\lotus\domino\data\domino\cgi-bin)，或輸入伺服器資料目錄的相對路徑 (例如，domino\cgi-bin)。

現行存取控制清單顯示可以存取您指定之檔案或目錄的使用者與群組，及容許的存取權類型。與資料庫 ACL 類似，存取控制清單恆是以 -Default- 項目建立，並設定為「沒有存取權」，您可以修改此設定。在使用資料庫 ACL 時，未列在「存取權清單」中的使用者則會接收預設的存取權層次。

設定/修改存取控制清單若要將使用者新增至「存取控制清單」，請按一下「設定/修改存取控制清單」。從「Domino 名錄」中選取使用者名稱或群組，或在「名稱」欄位中鍵入名稱。選取「讀取/執行存取權 (GET 方法)」或「寫入/讀取/執行存取權 (POST 及 GET 方法)」或「沒有存取權」。按一下「新增」，將項目新增至「存取控制清單」。
GET 可讓使用者在目錄中開啟檔案並啟動程式。一般而言，POST 是用來將資料傳送給 CGI 程式；因此，僅將 POST 存取權提供給包含 CGI 程式的目錄。「沒有存取權」會拒絕指定使用者或群組的存取權。
若要從清單中移除項目，請選取項目並按一下「清除」。
如果使用者使用「匿名」存取權連接伺服器，請在「名稱」欄位中輸入 Anonymous，並指派適當的存取權。
附註如果您想要輸入位於「LDAP 目錄」中的使用者名稱，則必須以斜線取代逗號分隔字元。請不要輸入以逗號作為分隔字元的名稱。
例如，具有下列名稱格式的 LDAP 使用者：
cn=Anthony Jones,l=westford,o=airius.com
應該輸入至「檔案保護」文件的存取權清單中，類似：
cn=Anthony Jones/l=westford/o=airius.com

5. 按一下「管理」，並完成「擁有者」及「管理者」欄位。根據預設，您登入所使用的管理員名稱即是被指派到這兩個欄位中的名稱。

6. 儲存文件。

7. 輸入此指令以重新整理設定：

tell http refresh

相關主題

控制 Web 瀏覽器對檔案的存取權

建立網站鑑定領域文件

名詞解釋

建議說明或 產品可用性?

說明的說明

所有說明內容

名詞解釋

欄位	動作
說明	(選擇性) 輸入一個名稱以區分此文件與您建立的其他文件。
目錄或檔案路徑	指定您要限制存取權的目錄或檔案路徑。應該是完整的路徑格式，其中包括磁碟機字母 (例如， c:\lotus\domino\data\domino\cgi-bin)，或輸入伺服器資料目錄的相對路徑 (例如，domino\cgi-bin)。
現行存取控制清單	顯示可以存取您指定之檔案或目錄的使用者與群組，及容許的存取權類型。與資料庫 ACL 類似，存取控制清單恆是以 -Default- 項目建立，並設定為「沒有存取權」，您可以修改此設定。在使用資料庫 ACL 時，未列在「存取權清單」中的使用者則會接收預設的存取權層次。
設定/修改存取控制清單	若要將使用者新增至「存取控制清單」，請按一下「設定/修改存取控制清單」。從「Domino 名錄」中選取使用者名稱或群組，或在「名稱」欄位中鍵入名稱。選取「讀取/執行存取權 (GET 方法)」或「寫入/讀取/執行存取權 (POST 及 GET 方法)」或「沒有存取權」。按一下「新增」，將項目新增至「存取控制清單」。 GET 可讓使用者在目錄中開啟檔案並啟動程式。一般而言，POST 是用來將資料傳送給 CGI 程式；因此，僅將 POST 存取權提供給包含 CGI 程式的目錄。「沒有存取權」會拒絕指定使用者或群組的存取權。若要從清單中移除項目，請選取項目並按一下「清除」。如果使用者使用「匿名」存取權連接伺服器，請在「名稱」欄位中輸入 Anonymous，並指派適當的存取權。附註如果您想要輸入位於「LDAP 目錄」中的使用者名稱，則必須以斜線取代逗號分隔字元。請不要輸入以逗號作為分隔字元的名稱。例如，具有下列名稱格式的 LDAP 使用者： cn=Anthony Jones,l=westford,o=airius.com 應該輸入至「檔案保護」文件的存取權清單中，類似： cn=Anthony Jones/l=westford/o=airius.com