安全性
以階層式格式將名稱新增至 ACL,以獲得更好的安全性。例如:
Randi Bowker/Sales/FactoryCo
萬用字元項目
若要允許一般存取資料庫,您可以在 ACL 中使用萬用字元 (*) 輸入階層式名稱。您可以在一般名稱及組織單位元件中使用萬用字元。
在 ACL 中尚未具有特定使用者或群組名稱項目,且其階層式名稱包含之元件含有萬用字元的使用者及/或伺服器,會被授與最高層次的存取權,由每一個符合的萬用字元項目指定。
此處是萬用字元格式的 ACL 項目:
Michael Bowling/Illustration/Production/Acme/US
Alan Nelson/Acme/US
Karen Richards/Illustration/East/Acme/US
使用者名稱
對於任何具有已認證 Notes 使用者 ID 的個人,或使用名稱及密碼或 SSL 用戶端鑑定進行鑑定的網際網路使用者,您可以將他們的名稱新增至 ACL。
附註 許多別名可輸入使用者名稱欄位,用於鑑定;不過,它是清單中的第一個名稱,用於執行安全性授權檢查。這是應使用在所有 IBM Lotus Domino 資料庫 ACL 上、「伺服器」文件上的安全設定以及 .ACL 檔中的名稱。
您可以將伺服器名稱新增至 ACL,以控制資料庫從資料庫抄本接收的變更。若要確保更嚴密的安全性,請使用伺服器的完整階層式名稱 -- 例如,Server1/Sales/Acme -- 而不論新增的伺服器名稱是否與儲存資料庫的伺服器名稱在不同的階層式組織。
群組名稱
您將群組名稱 -- 例如,Training -- 新增至 ACL,以代表需要相同存取權的多個使用者或伺服器。使用者必須以主要階層式名稱列示在群組中。群組還可以含有萬用字元項目作為成員。您必須先在「Domino 名錄」中,或次要「Domino 名錄」或已在「名錄輔助」資料庫中為群組授權配置的外部「LDAP 目錄」中,建立群組,才可在 ACL 中使用群組名稱。
附註 請確定您在 ACL 中使用的任何群組名稱,都是遵循指定的準則而建立。使用不正確的名稱可能會導致發生存取問題。
秘訣 對於資料庫的管理員,使用個人名稱,而不是群組名稱。這樣,當使用者選擇 [建立] - [其他] - [給資料庫管理員的信件] 時,他們會知道他們在給誰發送信件。
群組會提供一種管理資料庫 ACL 的方便方法。在 ACL 中使用群組會帶來下列好處:
終止群組 當員工離開您的組織時,您應在「Domino 名錄」中,從所有群組移除他們的名稱,並將他們新增至「只限拒絕清單」群組,用於拒絕存取伺服器。「伺服器」文件中的「拒絕存取清單」包含不再具有 Domino 伺服器存取權的 Notes 使用者及群組名稱。您還應確定已從組織中所有資料庫的 ACL 移除離職員工的名稱。當您從「Domino 名錄」刪除人員時,您可以選擇「在拒絕存取群組中新增刪除的使用者」(如果已建立這樣的群組)。(如果不存在這樣的群組,對話方塊即會顯示「未選取或無法使用拒絕存取群組」。)
LDAP 使用者
您可以使用次要 LDAP 目錄來鑑定網際網路使用者。然後,您可以將這些網際網路使用者的名稱新增至資料庫 ACL,以控制使用者存取資料庫。
您還可以在次要 LDAP 目錄中建立包含網際網路使用者名稱的群組,然後,新增這些群組,作為 Notes 資料庫 ACL 中的項目。例如,網際網路使用者可能嘗試存取 Domino Web 伺服器上的資料庫。如果 Web 伺服器鑑定使用者,且 ACL 包含名為 "Web" 的群組,則伺服器除了在主要「Domino 名錄」中搜尋項目之外,還可在位於外來 LDAP 目錄的 "Web" 群組中,查閱網際網路使用者的名稱。請注意,欲讓此方法行得通,Web 伺服器上的「名錄輔助」資料庫必須包含 LDAP 目錄的「LDAP 名錄輔助」文件,並啟用「群組擴展」選項。您還可以使用此功能來查閱儲存在外來 LDAP 目錄群組中的 Notes 使用者名稱,以進行資料庫 ACL 檢查。
當您將 LDAP 目錄使用者或群組名稱新增至資料庫 ACL 時,請使用 LDAP 格式的名稱,但使用正斜線 (/) 而非逗點 (,) 作為分隔字元。例如,如果使用者在 LDAP 目錄中的名稱為:
例如,如果您在 ACL 中輸入以下名稱:
附註 如果 LDAP 名稱包含反斜線,且後續另一個字元,請在資料庫 ACL 中指定名稱時省略反斜線。
任何存取伺服器而未進行初次鑑定的使用者,或伺服器在該伺服器上的名稱為 "Anonymous"。匿名資料庫存取權會指定給未經過伺服器鑑定的網際網路使用者及 Notes 使用者。
匿名存取通常是用在位於可讓一般公開情況下使用之伺服器上的資料庫中。您可以透過在存取控制清單中輸入「匿名」的名稱,並且指定適當的存取權層級,來控制授與匿名使用者或伺服器的資料庫存取權層級。通常您指定給「匿名」使用者資料庫的「讀者」存取權。
所有資料庫範本 (.NTF 檔) 的預設 ACL 項目「匿名」具有「讀者」存取權控制單資訊,如此使用者或伺服器即可在依據範本建立或重新整理 .NSF 檔時,成功地從該範本讀取。
資料庫 (.NSF 檔) 檔案的預設 ACL 項目「匿名」為「無存取權」。
下面表格說明匿名使用者,將會擁有資料庫存取權的不同狀況:
秘訣 如果您想要所有使用者透過資料庫進行鑑定,則請確定「匿名」在資料庫 ACL 中,且存取權層次為「無存取權」,並確定未啟用「讀取公用文件」及「寫入公用文件」。將網際網路使用者名稱新增至 ACL,並授與其您所需要的存取權層次。
Domino 伺服器將群組名稱 Anonymous 僅用於存取權控制檢查。例如,如果在資料庫 ACL 中 Anonymous 具有「作者」存取權,則使用者的真實名稱會顯示在那些文件的「作者」欄位中。Domino 伺服器可在文件的「作者」欄位中,僅顯示匿名 Notes 使用者的真實名稱,而不顯示匿名網際網路使用者的真實名稱。「作者」欄位決不是一種安全性功能,不論是否使用匿名存取;如果基於安全考量需要驗證作者名稱,則應簽認文件。
抄本 ID
若要允許一個資料庫中的代理程式使用 @DbColumn 或 @DbLookup 來從另一個資料庫擷取資料,請在包含要擷取資料之資料庫的 ACL 中,輸入包含代理程式資料庫的抄本 ID。包含代理程式的資料庫,至少必須具有包含要擷取資料之資料庫的「讀者」存取權。兩個資料庫都必須在同一伺服器上。例如,資料庫 ACL 中的抄本 ID 為 85255B42:005A8fA4。您可以大寫或小寫字母輸入抄本 ID,但不要使用引號含括。
如果您未將該抄本 ID 新增至存取控制清單,則只要您資料庫的 -Default- 存取權層次為「讀者」或更高存取權,其他資料庫仍可以擷取資料庫。
ACL 項目的評估次序
系統會以特定次序評估 ACL 項目,以決定要授與嘗試存取資料庫的已鑑定使用者何種存取權層次。如果使用者無法透過伺服器進行鑑定,但儘管如此,伺服器仍允許存取,則存取會按照使用者的名稱為 "Anonymous" 的情況處理。
附註 如果您僅在 ACL 中輸入一般名稱 (例如,Sandra E Smith),則僅當使用者名稱與資料庫伺服器在同一網域階層時,該項目才符合。例如,如果使用者是 Sandra E Smith,其階層式名稱為 Sandra E Smith/West/Acme,且資料庫伺服器為 Manufacturing/FactoryCo,則項目 Sandra E Smith 不會取得伺服器 Manufacturing/FactoryCo 上 ACL 之正確層次的存取權。若要使用者在其他網域的伺服器上取得正確層次的 ACL 存取權,名稱必須以完整階層式格式輸入。
附註 如果使用者符合 ACL 中的明確項目,且是 ACL 中所列出的某個群組成員,則即使群組存取權層級更高,使用者也總是會取得指定給明確項目的存取權層級。