• 使用者試圖執行有存取權限制的動作
• 伺服器不允許匿名存取

可利用 TCP/IP 及 SSL 使用名稱及密碼及匿名存取。以 TCP/IP 使用名稱及密碼及匿名存取的說明如下。

本節亦會套用到正在存取已啟用階段作業認證之 Domino Web 伺服器的 Web 用戶端。

附註 「Domino Web 伺服器應用程式設計介面 (DSAPI)」是一種 C API，用來將延伸功能寫入 Domino Web 伺服器。使用這些延伸功能 (或篩選器)，您可以自訂 Web 使用者的認證。若需 DSAPI 的相關資訊，請參閱 Lotus C API Toolkit for Domino and Notes 6。工具集可從 www.lotus.com/techzone 取得。

驗證及認證運作的方式

本例說明用戶端 (Andrew) 如何使用 TCP/IP 連接伺服器 (Mail-E)。

1. Andrew 試圖存取 Mail-E 的資料庫。

2. 伺服器會檢查「網際網路網站」文件 (或「伺服器」文件)，決定是否啟用 TCP/IP 的匿名存取。如果啟用，則：

1. 伺服器會檢查資料庫存取控制清單，查看名為「匿名」的項目。如果存在「匿名」，且「匿名」存取的層次是「讀者」或更高，則 Andrew 將匿名存取資料庫。
2. 如果存取控制清單不包含名為「匿名」的項目，則伺服器會在資料庫存取控制清單中，檢查「預設」存取權限。如果「-預設-」存取權是「讀者」或更高，則 Andrew 可以使用「-預設-」存取權控制單資訊匿名存取資料庫。

1. 伺服器會提示 Andrew 輸入使用者名稱及密碼。
2. 伺服器會查閱 Andrew 在瀏覽器中輸入的使用者名稱。伺服器會使用「較多的名稱變更配合較低的安全性」或「較少的名稱變更配合較高的安全性」作為查閱機制來搜尋所有目錄，以查找所輸入的名稱。
3. 如果找到符合 Andrew 所輸入的使用者名稱，且 Andrew 所輸入的密碼符合其「人員」文件之網際網路密碼欄位中的密碼，則會認證 Andrew。伺服器會檢查「人員」文件的主要「Domino 名錄」。如果將伺服器配置為搜尋次要「Domino 名錄」及 LDAP 目錄，則伺服器也會檢查次要「Domino 名錄」及 LDAP 目錄。
附註 當 Domino 認證網際網路使用者時，會使用辨別名稱 (DN)，這是「人員」文件之「完整名稱」欄位中出現的第一個名稱。此名稱應用在群組、委派的伺服器管理、資料庫 ACL 及檔案保護文件的項目中。

對於沒有「人員」記錄而將記錄改放在次要 LDAP 名錄中的使用者，使用者的 LDAP 名稱可能會出現在 ACL 上。若要容許使用者的存取權，ACL 應該包括使用者的 LDAP 名稱 (除非「名錄輔助」將使用者的名稱對應到對應的 Domino 名稱，在此情況下，Domino DN 應會出現在 ACL 上)。

1. 接下來，伺服器會編譯「群組清單」，其包含 Andrew 的辨識名稱，以及所有萬用字元項目及他在該伺服器上所屬的任何群組。
2. 然後，伺服器會檢查資料庫 ACL 以判斷 Andrew 的名稱是否確實列示在 ACL 上，或其名稱的任何群組清單項目是否出現在 ACL 中。
3. 如果 Andrew 的辨識名稱或他所屬之任何群組的名稱符合 ACL 中的項目，則 Andrew 會使用為 ACL 中該項目所指定的存取權控制單資訊來取得資料庫的存取權。否則，他的存取會被拒絕。

網際網路/內部網路用戶端的名稱及密碼認證
Web 用戶端之以階段作業為基礎的名稱及密碼認證

名詞解釋