安全性
如果想要依照 Domino ACL 安全性來將資料庫存取權指派給網際網路/內部網路用戶端,則必須在「Domino 名錄」中 (或者選擇性地在次要 Domino 名錄或外部 LDAP 目錄中) 建立該用戶端的「人員」文件。沒有「人員」文件的用戶端會被視為「匿名」,僅可存取允許「匿名」存取的伺服器及資料庫。
附註 若為記錄位於外部 LDAP 目錄的使用者,只有當使用者已提供正確的密碼時,才能順利透過 LDAP 鏈結作業進行密碼驗證。
名稱及密碼認證可讓 Domino 找出存取伺服器的用戶端「人員」文件 (如果存在)。識別用戶端之後,就可以決定對伺服器資源的存取權。例如,如果想讓 Alan Jones 擁有資料庫的「編輯者」權限,而讓其他存取資料庫的人員擁有「作者」權限,必須建立 Alan Jones 的「人員」文件。可設定存取控制清單資料庫,將 Alan Jones 以「編輯者」的身份併入,並將「匿名者」以「作者」的身份併入。
可以在執行網際網路通信協定 (亦即 LDAP、POP3、HTTP、SMTP、IIOP 或 IMAP) 的任何伺服器上,透過 TCP/IP 或 SSL 使用名稱及密碼認證。可為伺服器中啟用的每個網際網路通訊協定指定安全方法。例如,可以啟用用戶端憑證認證進行 HTTP 連線,但對於使用 TCP/IP 的 LDAP 連線,需要名稱及密碼安全性。或者,可以透過匿名及 SSL 用戶端認證來使用名稱及密碼安全性,例如,允許具有 SSL 用戶端憑證的使用者使用 SSL 用戶端認證來進行認證,並容許其他使用者輸入名稱及密碼 (如果他們沒有 SSL 用戶端憑證)。
附註 Domino 伺服器作為 SMTP 用戶端時,不支援名稱及密碼認證 ─ 例如,Domino 伺服器連接 SMTP 伺服器以傳送郵件時。只有在 Domino 伺服器作為 SMTP 伺服器時,才支援名稱及密碼安全 ─ 亦即 SMTP 用戶端存取 Domino 伺服器時。
如果設定 HTTP 伺服器的名稱及密碼認證,則可使用其他方法進行名稱及密碼認證:以階段作業為基礎的認證。名稱及密碼認證以未加密格式傳送名稱及密碼,且與每個申請一同傳送。以階段作業為基礎的認證則不同,因為使用者名稱及密碼是由 Cookie 來取代。使用者的名稱及密碼僅在使用者第一次登入伺服器時,透過網路來傳送。此後,會使用 Cookie 來進行認證。以階段作業為基礎的名稱及密碼認證對使用者交談的控制較基本名稱及密碼認證大,且可讓您自訂使用者輸入名稱及密碼資訊的表單。也容許使用者在不關閉瀏覽器的情況下登出階段作業。
透過非 SSL 保護的連線進行名稱及密碼認證
透過非 SSL 保護的連線使用名稱及密碼認證以識別使用者,但無需嚴密保護對伺服器資料的存取權,例如,當您要根據使用者名稱為不同的使用者顯示不同的資訊,及當資料庫中的資訊並非機密時。未加密使用者與伺服器間傳送的資訊 (包括名稱及密碼)。在此狀況下,名稱及密碼認證可阻擋某些類型的駭客,但無法避免他人監聽網路傳輸及猜測密碼。
透過 SSL 進行名稱及密碼認證
使用 SSL 時,會加密所有資訊 (包括名稱及密碼)。SSL 為設定進行名稱及密碼認證的使用者提供機密及資料的完整性。除了 SSL 安全性之外,要求名稱及密碼還可為未使用用戶端憑證認證的使用者提供安全性,並可讓您識別存取資料庫的個別使用者。
自訂名稱與密碼的認證
「Domino Web 伺服器應用程式設計介面 (DSAPI)」是一種 C API,您可以用來撰寫自己的「Domino Web 伺服器」之擴充。這些副檔名,或「篩選器」可讓您自訂化 Web 使用者的認證。
若需 DSAPI 及篩選器的相關資訊,請參閱 Lotus C API Toolkit for Domino and Notes 6。工具集可從 www.lotus.com/techzone 取得。
相關主題