安全性


ACL 中的可接受項目
ACL 中的可接受項目包含:
每個 ACL 項目最多可具有 255 個字元。

以階層式格式將名稱新增至 ACL,以獲得更好的安全性。例如:


ACL 項目類型

萬用字元項目

若要允許一般存取資料庫,您可以在 ACL 中使用萬用字元 (*) 輸入階層式名稱。您可以在一般名稱及組織單位元件中使用萬用字元。

在 ACL 中尚未具有特定使用者或群組名稱項目,且其階層式名稱包含之元件含有萬用字元的使用者及/或伺服器,會被授與最高層次的存取權,由每一個符合的萬用字元項目指定。

此處是萬用字元格式的 ACL 項目:


此項目將所選存取權控制單資訊授與給:
此項目不將所選存取權控制單資訊授與給:
您僅可以在 ACL 項目的最左部份使用萬用字元。例如,您不能使用項目:
代表下列項目:
當您使用萬用字元 ACL 項目時,請將使用者類型設為「未指定」、「混合式群組」或「個人群組」。

使用者名稱

對於任何具有已認證 Notes 使用者 ID 的個人,或使用名稱及密碼或 SSL 用戶端鑑定進行鑑定的網際網路使用者,您可以將他們的名稱新增至 ACL。


伺服器名稱

您可以將伺服器名稱新增至 ACL,以控制資料庫從資料庫抄本接收的變更。若要確保更嚴密的安全性,請使用伺服器的完整階層式名稱 -- 例如,Server1/Sales/Acme -- 而不論新增的伺服器名稱是否與儲存資料庫的伺服器名稱在不同的階層式組織。

群組名稱

您將群組名稱 -- 例如,Training -- 新增至 ACL,以代表需要相同存取權的多個使用者或伺服器。使用者必須以主要階層式名稱列示在群組中。群組還可以含有萬用字元項目作為成員。您必須先在「Domino 名錄」中,或次要「Domino 名錄」或已在「名錄輔助」資料庫中為群組授權配置的外部「LDAP 目錄」中,建立群組,才可在 ACL 中使用群組名稱。

附註 請確定您在 ACL 中使用的任何群組名稱,都是遵循指定的準則而建立。使用不正確的名稱可能會導致發生存取問題。

秘訣 對於資料庫的管理員,使用個人名稱,而不是群組名稱。這樣,當使用者選擇 [建立] - [其他] - [給資料庫管理員的信件] 時,他們會知道他們在給誰發送信件。

群組會提供一種管理資料庫 ACL 的方便方法。在 ACL 中使用群組會帶來下列好處:


秘訣 您還可以使用群組,讓某些使用者控制資料庫的存取權,無需授與他們「管理員」或「設計者」存取權。例如,您可以在「Domino 名錄」中,為所需之每個層次的資料庫存取權建立群組,將這些群組新增至 ACL,並允許特定使用者擁有這些群組。這些使用者則可以修改群組,但他們無法修改資料庫設計。

終止群組
當員工離開您的組織時,您應在「Domino 名錄」中,從所有群組移除他們的名稱,並將他們新增至「只限拒絕清單」群組,用於拒絕存取伺服器。「伺服器」文件中的「拒絕存取清單」包含不再具有 Domino 伺服器存取權的 Notes 使用者及群組名稱。您還應確定已從組織中所有資料庫的 ACL 移除離職員工的名稱。當您從「Domino 名錄」刪除人員時,您可以選擇「在拒絕存取群組中新增刪除的使用者」(如果已建立這樣的群組)。(如果不存在這樣的群組,對話方塊即會顯示「未選取或無法使用拒絕存取群組」。)

LDAP 使用者

您可以使用次要 LDAP 目錄來鑑定網際網路使用者。然後,您可以將這些網際網路使用者的名稱新增至資料庫 ACL,以控制使用者存取資料庫。

您還可以在次要 LDAP 目錄中建立包含網際網路使用者名稱的群組,然後,新增這些群組,作為 Notes 資料庫 ACL 中的項目。例如,網際網路使用者可能嘗試存取 Domino Web 伺服器上的資料庫。如果 Web 伺服器鑑定使用者,且 ACL 包含名為 "Web" 的群組,則伺服器除了在主要「Domino 名錄」中搜尋項目之外,還可在位於外來 LDAP 目錄的 "Web" 群組中,查閱網際網路使用者的名稱。請注意,欲讓此方法行得通,Web 伺服器上的「名錄輔助」資料庫必須包含 LDAP 目錄的「LDAP 名錄輔助」文件,並啟用「群組擴展」選項。您還可以使用此功能來查閱儲存在外來 LDAP 目錄群組中的 Notes 使用者名稱,以進行資料庫 ACL 檢查。

當您將 LDAP 目錄使用者或群組名稱新增至資料庫 ACL 時,請使用 LDAP 格式的名稱,但使用正斜線 (/) 而非逗點 (,) 作為分隔字元。例如,如果使用者在 LDAP 目錄中的名稱為:


請在資料庫 ACL 中輸入以下名稱:
若要在 ACL 中輸入非階層式 LDAP 目錄群組的名稱,請僅輸入屬性值,而不要輸入屬性名稱。例如,如果 LDAP 群組的非階層式名稱為:
請在 ACL 中僅輸入:
若要輸入階層式群組名稱的名稱,請將 LDAP 屬性名稱併入 ACL 項目。例如,如果群組的階層式名稱為:
請在 ACL 中輸入:
請注意,如果您所指定的屬性名稱與 Notes 中所使用的那些名稱完全對應 -- cn、ou、o、c -- 則 ACL 不會顯示屬性。

例如,如果您在 ACL 中輸入以下名稱:


因為屬性與 Notes 所使用的那些屬性完全對應,所以在 ACL 中名稱顯示為:
LDAP 使用者的可接受 ACL 項目
LDAP DNACL 項目
cn=Scott Davidson+ id=1234, ou=Sales,o=Acmecn=Scott Davidson+id=1234/ou=Sales/o=Acme
cn=Scott Davidson,o=Acme\, Inccn=Scott Davidson/o=Acme, Inc

附註 如果 LDAP 名稱包含反斜線,且後續另一個字元,請在資料庫 ACL 中指定名稱時省略反斜線。

uid=smd12345,dc=Acme,dc=Comuid=smd12345/dc=Acme/dc=Com
uid=Sandra Smith,o=Acme,c=USuid=Sandra Smith/o=Acme/c=US

匿名

任何存取伺服器而未進行初次鑑定的使用者,或伺服器在該伺服器上的名稱為 "Anonymous"。匿名資料庫存取權會指定給未經過伺服器鑑定的網際網路使用者及 Notes 使用者。

匿名存取通常是用在位於可讓一般公開情況下使用之伺服器上的資料庫中。您可以透過在存取控制清單中輸入「匿名」的名稱,並且指定適當的存取權層級,來控制授與匿名使用者或伺服器的資料庫存取權層級。通常您指定給「匿名」使用者資料庫的「讀者」存取權。

所有資料庫範本 (.NTF 檔) 的預設 ACL 項目「匿名」具有「讀者」存取權控制單資訊,如此使用者或伺服器即可在依據範本建立或重新整理 .NSF 檔時,成功地從該範本讀取。

資料庫 (.NSF 檔) 檔案的預設 ACL 項目「匿名」為「無存取權」。

下面表格說明匿名使用者,將會擁有資料庫存取權的不同狀況:
已啟用網際網路通訊協定的匿名存取未啟用網際網路通訊協定的匿名存取
已在資料庫 ACL 中啟用匿名存取使用者以「匿名」項目的存取權控制單資訊存取資料庫。例如,如果「匿名」存取權設為「讀者」,則會授與存取資料庫的匿名使用者「讀者」存取權。當使用者嘗試存取伺服器上的任何資源時,系統會提示使用者進行鑑定。如果使用者未列示在資料庫中 (透過群組項目、萬用字元項目,或如果使用者名稱已明確列出),則使用者會以 -Default- 項目的存取權控制單資訊存取資料庫。
已在資料庫 ACL 中授與匿名「無存取權」如果已授與「匿名」「無存取權」(但未啟用「讀取與寫入公用文件」專用權),則不允許「匿名」使用者存取資料庫,並會提示他們進行鑑定。當他們進行鑑定時,會檢查資料庫 ACL 中的名稱,以決定應授與的資料庫存取權層次。
未在資料庫 ACL 中列出匿名匿名使用者以 -Default- 項目的存取權控制單資訊存取資料庫。例如,如果 -Default- 存取權設為「讀者」,且 ACL 中沒有「匿名」項目,則會授與存取資料庫的匿名使用者「讀者」存取權。
匿名使用者 (那些透過「匿名」項目被授與資料庫存取權,以及那些透過 -Default- 項目獲得存取權的使用者) 在資料庫中嘗試執行某些他們存取權層次所不允許的動作時,系統會提示他們進行鑑定。例如,如果「匿名」設為「讀者」,且匿名使用者嘗試建立新文件,則會提示該使用者以名稱及密碼進行鑑定。

秘訣 如果您想要所有使用者透過資料庫進行鑑定,則請確定「匿名」在資料庫 ACL 中,且存取權層次為「無存取權」,並確定未啟用「讀取公用文件」及「寫入公用文件」。將網際網路使用者名稱新增至 ACL,並授與其您所需要的存取權層次。

Domino 伺服器將群組名稱 Anonymous 僅用於存取權控制檢查。例如,如果在資料庫 ACL 中 Anonymous 具有「作者」存取權,則使用者的真實名稱會顯示在那些文件的「作者」欄位中。Domino 伺服器可在文件的「作者」欄位中,僅顯示匿名 Notes 使用者的真實名稱,而不顯示匿名網際網路使用者的真實名稱。「作者」欄位決不是一種安全性功能,不論是否使用匿名存取;如果基於安全考量需要驗證作者名稱,則應簽認文件。

抄本 ID

若要允許一個資料庫中的代理程式使用 @DbColumn 或 @DbLookup 來從另一個資料庫擷取資料,請在包含要擷取資料之資料庫的 ACL 中,輸入包含代理程式資料庫的抄本 ID。包含代理程式的資料庫,至少必須具有包含要擷取資料之資料庫的「讀者」存取權。兩個資料庫都必須在同一伺服器上。例如,資料庫 ACL 中的抄本 ID 為 85255B42:005A8fA4。您可以大寫或小寫字母輸入抄本 ID,但不要使用引號含括。

如果您未將該抄本 ID 新增至存取控制清單,則只要您資料庫的 -Default- 存取權層次為「讀者」或更高存取權,其他資料庫仍可以擷取資料庫。

ACL 項目的評估次序

系統會以特定次序評估 ACL 項目,以決定要授與嘗試存取資料庫的已鑑定使用者何種存取權層次。如果使用者無法透過伺服器進行鑑定,但儘管如此,伺服器仍允許存取,則存取會按照使用者的名稱為 "Anonymous" 的情況處理。


相關主題