中国移动Domino数据库安全配置手册模板.doc

《中国移动Domino数据库安全配置手册模板.doc》由会员分享，可在线阅读，更多相关《中国移动Domino数据库安全配置手册模板.doc（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密 级：文档编号：项目代号：中国移动Domino数据库安全配置手册Version 1.1中国移动通信二零零四年十一月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限和文档关键关系1创建、修改、读取负责编制、修改、审核2同意负责本文档同意程序3标准化审核作为本项目标标准化责任人，负责对本文档进行标准化审核4读取5读取目 录第一章 概述1第二章 数据库存取控制22.1使用 ACL 限制访问数据库32.1.1ACL中存取等级32.1.2配置数据库 ACL62.2强制实现ACL一致性72.3加密数据库92.4为数据库或模板署名11第三章NOTES/DO

2、MINO认证123.1ID文件143.1.1 ID文件类型143.1.2 Notes ID内容153.13验证字163.2交叉验证字18第四章 INTERNET用户认证194.1基础用户名加口令认证214.2基于会话用户名加口令认证214.3 SSL认证234.3.1 服务器认证244.3.2用户端认证25第五章 安全检验列表25术语表26第一章 概述Notes/Domino 提供了一个健壮安全模型，能够经过裁剪来满足您所在组织需求。Notes/Domino 拥有一个六层安全系统。l 网络网络安全性能够预防对服务器端网络未经授权访问。假如在网络层阻塞了访问， 未经授权用户就不能访问任何Domi

3、no服务器。网络访问经典情况下是使用网络硬件和软件进行控制，不过能够经过对Domino服务器端口数据进行加密来提供深入安全性。对网络端口数据加密能够阻止未经授权用户经过使用网络协议分析器来读取数据。对网络传输加密，能够使用端口加密或SSL。l 用户认证用户认证是一个在用户端试图访问Domino服务器时Notes用户端和Domino服务器用来进行相互确定和判定过程。 Notes和Domino使用存放在Notes ID文件中验证字来进行确定和判定。 当使用Internet协议时，能够使用基于X.509验证字或用户名加口令来认证。l 服务器服务器安全性控制对Domino服务器访问。在校验服务器安全性

4、之前用户必需要经过认证。服务器访问经过在Domino目录中服务器访问列表来进行控制。l 数据库数据库安全性控制对Domino服务器上数据库访问。在校验数据库安全性之前用户必需访问到了服务器而且经过了认证。 数据库访问经过数据库访问控制列表(ACL)进行控制。当地数据库能够经过加密来确保只有拥有正确口令和ID文件用户才能进行访问。l 设计元素设计元素安全性控制对表单、视图和文件夹访问。在设计元素安全性发生作用前用户必需要访问到数据库。使用设计元素安全性，能够许可用户查看数据库中一些类型文档而阻塞其它类型。控制表单访问，使用表单访问列表和密钥。控制视图和文件夹访问，使用视图和文件夹访问列表。设计元

5、素安全性也能够用来限制运行在Notes工作站上公式和脚本行为 。控制工作站访问，使用实施控制列表。l 文档文档安全性控制对文档中域、节和段或整个文档访问。这是最细粒度安全性。能够使用读者和作者域控制对整个文档访问。控制对节和段访问，使用“当时候隐藏（hide-when）”公式。控制对域访问，使用密钥。l 当地数据库安全上面六层安全性应用于存放在Domino服务器上数据库，而且用户是经过网络来进行访问。假如某个人未经授权地访问到了用户计算机或服务器，她能够绕过安全设置直接读取当地数据库。为了避免未经授权访问,Notes能够加密数据库而且加强当地数据库ACL。第二章 数据库存取控制限制对 Domi

6、no 数据库访问能够预防未经授权用户访问信息有以下多个方法。任务用途使用 ACL 限制访问数据库控制 Notes 和 Internet/Intranet 用户和 Domino 服务器对数据库访问。 强制实现 ACL 一致性 经过强制在一个位置进行全部 ACL 更改，来保护服务器上数据库和模板。加密数据库预防未经授权用户访问服务器或工作站当地数据库。对数据库或模板进行署名识别数据库或模板创建者。当用户访问数据库时，系统会检验署名以确定是否许可实施此操作。 比如，在 Domino 服务器上，代理管理器会检验代理署名并检验署名者是否有权实施此操作。在 Notes 用户机上，对照工作站 ECL 中对署

7、名者设定权限来检验署名。2.1使用 ACL 限制访问数据库每个数据库全部有一个 ACL（存取控制列表）用来指定用户和服务器对该数据库存取等级。尽管用户和服务器存取等级名称是一样，不过指定给用户等级决定用户在数据库中所能实施任务，而指定给服务器等级则决定服务器能够复制数据库中哪些信息。只有含有“管理者”存取等级用户才能创建或修改 ACL。要控制 Notes 用户访问权限，应为每位用户或群组选择在数据库中存取等级、用户类型和存取等级权限。创建数据库时能够设置 ACL 中缺省项目。假如数据库设计者确定需要对数据库细分存取等级，则您还能够指定角色。将数据库投入使用前，应和设计者和数据库用户代表一起计划

8、正确存取等级。对于 ACL 中每个用户名、服务器名或群组名，能够指定： l 存取等级l 存取等级权限l 用户类型l 角色2.1.1ACL中存取等级在数据库 ACL 中指定给用户存取等级能够控制用户在数据库中能够实施哪些任务。存取等级权限增强或限制了授予 ACL.中每个名称存取等级。对于 ACL 中每个用户、群组或服务器，能够选择基础存取等级和用户类型。要深入细化访问权限，能够选择一系列访问权限。假如数据库设计者创建了角色，请将其分配给对应用户、群组或服务器。在数据库 ACL 中分配给服务器存取等级用于控制服务器能够复制数据库中哪些信息。要访问特定服务器上数据库，Notes 用户必需既含有对应数

9、据库访问权限，又含有对应服务器访问权限（在 Domino 目录“服务器”文档中指定）。 要查看数据库 ACL，用户必需最少含有“读者”存取等级。下表按从高到低次序列出了用户存取等级。存取等级许可用户进行以下操作分配给管理者修改数据库 ACL。加密数据库。修改复制设置。删除数据库。实施较低存取等级许可全部任务。负责数据库两个人。这么，假如一个人不在，能够由另一个人管理数据库。 设计者修改全部数据库设计元素。创建全文搜索索引。实施较低存取等级许可全部任务。数据库设计者和/或负责未来设计更新人员“编辑者”存取等级创建文档。编辑全部文档（包含其它人创建文档）读取全部文档，除非表单中包含“读者”域。假如

10、编辑者未在“读者”域中列出，则含有“编辑者”ACL 存取等级用户将无法读取或编辑文档。许可在数据库中创建和编辑文档任何用户作者创建文档（假如用户或服务器还含有“创建文档”存取等级权限）在为用户或服务器指定“作者”存取等级同时，还必需指定“创建文档”存取等级权限。编辑包含“作者”域而且在该“作者”域中指定该用户为作者文档。读取全部文档，除非表单中包含“读者”域。需要向数据库公布文档用户读者读取包含“读者”域而且在该“读者”域中指定该用户为读者文档。只需要阅读数据库中文档，而不需要创建和编辑文档用户。存放者创建文档，而且除“读取公用文档”及“写入公用文档”两项权限以外，不再含有其它任何权限。这两个

11、权限是设计者可能选择要授予权限。只需要公布文档，而不需要阅读或编辑自己或其它用户文档用户。比如，为投票箱数据库使用“存放者”存取等级。不能存取者除“读取公用文档”和“写入公用文档”选项以外不含有其它任何权限。这两个权限是设计者可能选择要授予权限。已终止用户、不需要访问数据库用户或在特定基础上能访问数据库用户。注意 Note 假如一些用户是某个群组组员，而且该群组组员全部能够访问数据库，而该用户不应该含有数据库访问权限，则需要专门为这些用户指定“不能存取者”存取等级。2.1.2配置数据库 ACL在向数据库 ACL 中添加用户、群组或服务器之前，应先针对应用程序计划数据库访问。在将名称添加到 AC

12、L 中后，应为该名称指定存取等级。尽管指定用户类型是可选操作，但它能够提供附加安全性等级。假如应用程序需要，请添加存取等级权限和角色。在配置了数据库 ACL 后，用户能够经过在 Notes 用户机上单击 ACL 对话框中“有效权限”按钮来查看自己对数据库存取等级。 操作步骤： 1.确保您满足下列条件： 数据库 ACL 中“管理者”存取等级创建了期望在 ACL 中使用角色和群组。 2.从 Domino Administrator “服务器”窗格中，选择存放数据库服务器。 3.单击“文件”，然后从 Domino 数据目录中选择一个或多个数据库。 注意 能够添加同一个项目到多个数据库中。还能够在多个

13、数据库中编辑和删除项目。请参阅本章后面“编辑多个 ACL 中项目”专题。从“工具”窗格中，选择“数据库”“管理 ACL”。 5.为 Notes 用户、服务器、群组和经过验证 Internet 用户添加项目。 6.为每个项目设置存取等级。 7.（可选）为提升安全性，为每个项目选择一个用户类型。 8.（可选）经过限制或许可附加存取等级权限来细化项目。 9.（可选）为 ACL 项目指定角色。选定角色将显示复选标识。 10.（可选）在数据库多个复本之间强制实现 ACL 一致性。 11.（可选）指定管理服务器自动更新 ACL 项目。 12.（可选）为了预防含有“存放者”或“不能存取者”存取等级用户利用操

14、作系统进行数据库拷贝，能够经过“当地加密”选项使用服务器标识符对数据库进行加密。这么，即使数据库被拷贝，也能够确保对服务器标识符没有访问权限任何用户全部无法使用该数据库。 13. 单击“确定”保留更改。2.2强制实现ACL一致性能够确保服务器上全部数据库复本 ACL 完全相同，同时还能够确保用户在工作站或便携式计算机上制作全部当地复本 ACL 完全相同。要保持数据库在全部服务器上复本存取控制列表相同，能够在某个复本（该复本所在服务器对其它复本拥有“管理者”存取等级）上选择“强制使用一致存取控制列表”设置。假如选择复本所在服务器对其它复本没有“管理者”存取等级，那么复制将失败，因为该服务器不含有

15、复制 ACL 所需足够权限。 假如用户在当地复制数据库，数据库 ACL 将识别出该用户存取等级，因为该存取等级对于服务器来说是已知。在进行当地复制时，这种情况是自动发生，而无须考虑是否启用了“强制使用一致存取控制列表”。 应该注意是，启用了“强制使用一致存取控制列表”当地复本将试图遵从 ACL 中信息并对应地确定用户能够实施操作。不过，这也存在部分限制。一个限制是群组信息是在服务器上生成，而不是在当地复本中生成。在当地复制数据库时，实施复制个人群组组员信息将存放在数据库中以供 ACL 检验使用。假如实施复制用户之外个人/标识符访问当地复本，将没有相关该用户群组组员信息可用，ACL 仅能使用该用

16、户标识符而不是群组组员备份进行访问权限检验。另外，强制使用一致存取控制列表并不能为当地复本提供额外安全性。要保持当地复本数据安全性，应对数据库进行加密。注意 当选中了“强制使用一致存取控制列表”选项时，假如用户更改了当地或远程服务器数据库复本 ACL，数据库将停止复制。日志文件 (LOG.NSF) 统计一条消息，说明因为程序无法在复本中维持一致 ACL，所以复制无法进行下去。操作步骤：a .确保在选定全部数据库 ACL 中全部含有“管理者”存取等级。b 从 Domino Administrator “服务器”窗格中，选择对期望强制使用一致 ACL 数据库有“管理者”存取等级服务器。c 单击“文

17、件”，然后从 Domino 数据目录中选择一个或多个数据库。d 单击“工具”“数据库”“管理 ACL”。e 单击“高级”。f 选择“修改一致 ACL 设置”选项。要强制使用一致 ACL，请选择“强制此数据库全部复本使用一致存取控制列表”。要严禁使用一致 ACL，请选择“不实施一致 ACL 设置”。g 单击“确定”。2.3加密数据库a 打开当地数据库。b 选择“文件”“数据库”“属性”。c 单击“基础”附签，然后单击“加密设置”按钮。 d 选择“此数据库当地加密方法”，然后选择下列选项之一：“一般加密对临时窥探提供了有限保密。” “中等加密提供了良好安全，确保了访问文档速度。”对于大多数用户，此

18、等级可能是正确选择。“当关键考虑文档保密性时才使用强度加密。”e （可选）缺省情况下，仅列出您用户标识符在数据库加密后只有您用户标识符能够打开此数据库。假如期望将访问此数据库权限授予另一个用户，请单击“连续时间”按钮，然后从“选择名称”对话框中选择一个通讯录和用户。警告 假如选择另一个用户使其含有访问此数据库权限，您将丧失对此数据库访问权限。提醒 要关闭对此当地数据库加密，请选择“不在当地对数据库进行加密”。2.4为数据库或模板署名能够为模板或数据库署名，以确保其完整性。比如，您能够经过这种方法为某个代理署名，方便服务器上代理管理器能够验证署名者是否含有实施代理权限。或，您能够为数据库或模板署

19、名，方便 Notes 用户机上 ECL 评定哪些数据库操作是能够实施。假如为模板署名，则由该模板创建全部数据库全部会继承此署名。 注意 假如只想为一个特定设计文档或某个文档中一个设计元素署名（如特定代理），则必需首先确定该文档注释标识符。要确定文档注释标识符，请选择该文档，并选择“文件”“文档属性”，然后单击属性框最终一个附签。最终一行为注释标识符，比如，NT00000902。 a 选择存放要署名数据库或模板服务器。b 在“文件”附签上，选择需要署名数据库或模板。c 选择“工具”“数据库”“署名”。d 请选择其中之一：选择“目前用户标识符”以使用您标识符署名。选择“目前服务器标识符”以使用存放

20、数据库或模板服务器标识符署名。e 选择下列选项之一，以指定要署名元素：选择“全部设计文档”为每个设计元素署名。假如为多个数据库或模板署名并选择此选项，则署名过程可能要花费一段时间。 选择“全部数据文档”为数据文档中全部目前内容（热点）署名。选择“全部文档类型”为特定设计元素类型署名。选择“指定 Notes 标识符”为特定设计元素署名。f 选择“仅更新现有署名（快速）”方便只更新以前署名过设计元素。使用此选项将更改以前署名过设计元素上署名。g 单击“确定”。对话框将显示已处理数据库及所出现错误（假如有）数目。相关具体信息，请参阅 Notes 日志。第三章Notes/Domino认证全部Notes

21、/Domino安全性全部是基于用户认证。认证很关键，因为它能够将一个用户和其它区分开来；没有它就无法识别一个用户是否就是她声称那个。所以它是提供对Notes和Domino资源进行访问限制关键。Notes认证过程依靠于一个由验证者加到ID文件中验证字。每个Notes用户端使用一个ID文件来进行识别。验证和识别是个复杂地过程。熟悉下面术语有利于深入了解这些过程。l 公钥加密公钥加密也称非对称加密。使用公钥加密用户拥有一对密钥私钥和公钥。公钥分发给全部和你通信人。在Domino中，公钥公布在Domino目录中。l 对称加密对称加密，通常指是密钥加密，使用一个通用密钥和相同数学运算法则来对信息进行加密

22、和解密。假如两个人想和对方通信，双方全部要在对数据加密和解密数学运算法则上达成协议，她们还需要一个通用密钥。l 数字署名数字署名是一个手写署名等价物，它是一个附加在一条信息上能够校验身份唯一文字块。它能够确定发送者身份和信息完整性。这个文字块使用公钥和私钥进行加密和解密。l 公钥验证字验证字是一个存放在Notes或Domino ID文件中使用公钥和一个名字关联唯一电子印记。验证字许可用户和服务器访问特定Domino服务器。一个ID文件能够有多个验证字。SSL验证字使服务器用Domino验证字应用程序创建验证字能够让Domino和其它应用程序更轻易地交换验证字。SSL验证字包含一个公钥、一个名字

23、、一个过期日期和一个数字署名而且存放在一个叫做钥匙圈文件中。钥匙圈文件是被口令保护，而且存放了一个或多个验证字，在用户端或服务器硬盘上。公钥和私钥是一对用来初始化SSL加密事务有数学运算关系唯一密钥。l 层次命名层次命名一个和Notes ID相关命名系统，用来表现一个组织中验证者名称间关系。层次命名格式是:通用名称/组织单元/组织/国家代码比如, OA邮件管理员/湖北省企业/中国移动/CN全部层次命名必需包含通用名称和组织部分。组织单元（最多能够四层）和国家代码是可选部分。层次命名有利于区分含有相同通用名称用户从而提供额外安全性而且许可验证字分散管理。3.1ID文件当注册一个用户时，管理员输入

24、用户名、口令、过期日期和其它默认选项。注册进程创建一个ID，放在Domino目录中或（而且）放在文件中，这个ID文件需要放到用户Notes工作站中。3.1.1 ID文件类型Notes ID本质上是存放验证字和密钥。有三种不一样类型Notes ID: 用户、服务器和验证者。用户ID是供Notes用户端使用,服务器ID是供Domino服务器使用。验证者ID使用方法则不一样， 它仅用于验证其它Notes ID并不能用来运行用户端或服务器。然而，验证者ID对于一个组织却更关键，因为很多Notes安全性是基于署名和认证而且二者全部使用验证字。验证者ID因该存放在另外安全位置，而不是放在未经授权用户可能访

25、问到服务器硬盘上。任何不能信赖人员取得对验证者ID访问全部能够轻而易举访问信任这验证者系统。3.1.2 Notes ID内容当管理员试图注册一个新用户或服务器时，Domino管理端为这个条目产生两个RSA密钥对。一个 512位长度密钥用于美国和加拿大之外国家数据加密。另一个630-bit长度密钥用于美国和加拿大数据加密，而且用来作为世界范围署名和认证。Domino 管理端然后建立一个验证字并用验证者私钥签署这个验证字。这个签署过验证字接下来被放进Notes ID文件。注册过程后，ID文件包含：l 用户名和Notess授权号l 两个公钥和私钥对l 两个用户验证字l 一个祖先验证者验证字l (可选

26、)ID文件恢复信息公钥和私钥有数学运算关系而且唯一识别一个用户。信息使用公钥加密后只能使用同一密钥对中私钥解密。使用公钥加密最大好处是不用担心谁来访问公钥，因为没有私钥它没有什么用处。所以能够使公钥对全部些人可用，而不会危害到安全。Notes能够存放恢复信息到Notes ID文件中。使用恢复信息，假如假如用户忘记了口令，管理员能够恢复ID文件，或假如ID file被损坏，能够从一个加密备份中恢复ID文件。注册后，应用开发者分发密钥可能已经加到了ID文件中来许可加密和解密文档中域。 私钥和ID文件中其它密钥用用户口令计算出密钥进行了加密，所以只有全部者才能使用这个ID文件。象用户名和公钥这些公用

27、信息是没有加密过。下图显示了用户Bob和服务器ServerAID文件内容3.13验证字一个验证字包含：l 验证字全部者名称l 验证字全部者公钥l 验证者名称l 验证者公钥l 验证字过期日期l 一个使用验证者私钥生成数字署名。这给署名提供验证字真实性验证字存放在Notes ID文件和Domino目录中。当全部属于这个Domino域用户和服务器试图加密和签署消息或文档数据时，她们全部能够查阅注册到Domino目录验证字。注意，验证字本身并不包含任何秘密信息；所以它能够公开而且分发到任何地方。下图显示验证字怎样放置在ID文件和Domino目录中。3.2交叉验证字交叉验证字用来在不一样验证层次组织中建

28、立信任关系。经典地，用户建立信任取决于她们是否有共同祖先。在不一样验证层次组织中，用户是没有共同祖先；所以用户需要交叉验证字来建立信任关系。交叉验证字存放在用户个人通讯录和服务器Domino目录文档中。交叉验证字拥有“公布者”和“公布给”域。 “公布者”指示谁信任这个验证字。假如验证字是由Bob Smith/East/Acme公布，只有使用这个Notes ID名字用户会信任这个验证字。“公布给”指示这个验证字应该信任那个Notes。一个公布给/Acme验证字信任全部包含/Acmes层次结构用户和服务器比如，/East/Acme和/West/Acme。一个公布给/East/Acme验证字则信任较

29、少范围用户和服务器比如，/East/Acme和/Sales/East/Acme，而不是/West/Acme。比如，用户Bob Smith/East/Acme想访问ServerA/Central/Widgets。/East/Acme和/Central/Widgets不在同一个层次，所以不能被信任。ServerA经过取得对/Acme交叉验证字建立信任，而且Bob经过取得对/Widgets交叉验证字建立信任。 ServerA也能够经过取得对/East/Acme交叉验证字建立信任，而且Bob能够经过取得对/Central/Widgets交叉验证字建立信任；然而，这么做会限制能够信任其它服务器和用户范围

30、。交叉验证字也被用于建立对数字署名信任和加密经过Internet发送S/MIME消息。这种情况下数字署名，只有使用数字署名文档容器需要对这个署名者交叉验证字。这种情况下Internet消息加密，发送消息用户需要交叉验证字来加密消息。第四章 Internet用户认证对Internet用户端有两种认证方法：用户名加口令和SSL。a 用户名加口令认证用户名加口令认证有两种类型：l 基础用户名加口令认证l 基于会话用户名加口令认证用户名加口令认证，也称作基础口令认证，它使用一个基础质询/响应协议。只要用户试图访问受限制信息，她们就会被提醒输入用户名和口令。然而在TCP/IP端口上用户名加口令认证并不十

31、分安全。在用户端和服务器之间传输信息，包含用户名和口令，是没有经过加密。任何人只要在任何地方沿着会话路径使用网络嗅探器或跟踪工具全部能够截获信息。为阻止这种类型攻击，用户名加口令认证能够在SSL端口上使用。当为访问HTTP服务器而设置用户名加口令认证时，管理员能够使用基于会话用户名加口令认证。基于会话用户名加口令认证在用户交互方面提供了比基础用户名加口令认证更大控制力。管理员能够定制用户输入用户名和口令信息表单，而且用户能够在不关闭浏览器情况下注销会话。b SSL认证SSL认证类似于Notes和Domino认证。SSL用户端提供一个验证字给Domino服务器。服务器使用验证字认证用户端，反之亦

32、然。和Notes和Domino认证不一样是，SSL不要求用户端和服务器必需相互认证。假如启用了SSL，Domino要求用户端认证服务器；然而服务器认证用户端是可选。SSL使用X.509格式Internet验证字，X.509是一个包含Domino等大多数应用全部使用工业标准。一个Internet验证字经典由下列域组成：l 验证字格式版本l 验证字序列号l 数字署名算法标识(给发行者数字署名)l 发行者名称(验证字权威机构名称)l 使用期l 主体名称 用户或服务器l 主体公钥信息：算法标识和公钥值l 发行者唯一标识l 主体唯一标识l 扩展l 发行者对上面域数字署名Internet验证字能够由第三方

33、验证字权威机构(CA)发行，比如VeriSign，或管理员能够使用Domino验证字权威机构应用程序建立一个CA。要取得X.509验证字更多信息，清参考IBM红皮书Lotus Notes and Domino R5.0 Security Infrastructure Revealed，这本书能够经过访问站点取得。c Internet协议受支持认证方法下面表格列出了Domino支持Internet协议和每个协议能够使用得认证类型 4.1基础用户名加口令认证用户名加口令认证使用一个基础质询/响应协议要求用户用户名和口令而且经过和存放在Domino目录中人员文档中口令进行比较来校验输入口令正确性。采

34、取这种设置情况下，仅当Internet/intranet用户端试图实施访问受限制资源任务时，Domino才要求用户名和口令。Internet/intranet访问不一样于当一个用户端或服务器最初尝试访问Domino服务器时, Domino 服务器要求这个Notes用户端或服务器提供用户名和密码情况。数据库管理器能够使用Domino安全性分配Internet/intranet用户端访问数据库前，系统管理员必需在Domino目录中创建那个用户端个人文档。没有个人文档用户端被看成匿名用户而且只能访问那些许可匿名访问服务器和数据库。用户名加口令认证许可Domino定位那些要访问服务器用户端个人文档。D

35、omino使用这个个人文档识别用户端。用户端被识别后，就能够确定对数据库访问。有些Internet协议能够在用户名加口令认证上使用SSL。这么,系统会在使用SSL连接到安全会话前提醒用户输入用户名和口令。4.2基于会话用户名加口令认证会话是Web用户端活动地登录在服务器上一段时期。基于会话用户名加口令认证包含基础用户名加口令认证没有附加功效。Domino目录中服务器文档包含启用和控制会话认证设置。a 定制化HTML登录表单HTML登录表单许可用户输入用户名和密码，然后在整个会话期间使用这个用户名和密码。浏览器将这个用户名和密码根据服务器字符集发送到服务器；所以，用户能够用不一样于ASCII 或

36、Latin-1其它字符集输入用户名和密码。Domino提供了一个默认HTML表单，它在配置数据库(DOMCFG.NSF)中创建和配置，而且能够经过进行定制来包含额外信息。b 空闲超时时间当会话保持非活动状态超出空闲超时时间后，Web用户端将会从服务器被注销。自动将用户从服务器注销能够预防其它人使用没有注销Web用户端冒充正当用户。用户也能够在URL后面输入?logout参数注销会话。c 最大活动会话出于对性能考虑，管理员能够调整服务器上同时许可最大活动会话数。 4.3 SSL认证假如一个协议上启用了SSL，用户端必需对服务器进行认证。可选地，服务器也能够对用户端进行认证。Domino能够在一个

37、个协议基础上建立SSL。比如，能够在用户端经过HTTP协议连接服务器时使用SSL，但经过LDAP协议时不使用SSL。4.3.1 服务器认证假如连接到服务器得Internet用户端已经取得了和服务器共同可信任验证字，那么Internet用户端就能够确信服务器所说。只有服务器要求Internet验证字，用户端需要和验证字建立信任，不过不要求Internet验证字。要控制什么用户能够看到安全得站点，不管怎样，管理员必需管理每个用户用户名和口令或要求用户使用用户端认证来连接。用户端从验证字权威机构（CA）取得可信任验证字。CA能够作为一个第三方机构指示服务器验证字是能够信任。从Internet用户端使

38、用SSL连接服务器这个视图端点看上去，整个得商议和认证过程全部是透明。比如，一个Web用户端要建立SSL连接，URL前缀必需从http:/改成https:/。SSL连接建立后，浏览器会给用户一个可视化指示比如，在IE或Netscape Navigator中关闭状态挂锁会出现在屏幕左下角。4.3.2用户端认证使用用户端认证，Notes和Domino进行更深入认证。用户端认证使得管理员认证Internet 用户端对服务器访问而且使用基于用户端身份访问控制。对于服务器认证，Internet 用户端使用由CA签署Internet验证字。对于用户端验证，管理员不需要管理用户口令，因为 由CA担保它们真实

39、性。第五章 安全检验列表为Domino/Notes安全请实施下面安全检验：l 更新服务器软件请访问IBMDomino/Notes网站，检索相关安全补丁，立即下载更新l 启用两层防火墙架构和外部网络接口和和内部网络接口部分使用防火墙，进行特定模式IP包过滤、内部结构隐藏和地址过滤等防护，在网络和应用两个层次上提供安全保障。l 外部邮件过滤在中立区内设置邮件过滤服务器，全部进出邮件必需经过该项邮件过滤服务器进行邮件过滤。l 防病毒在服务端和用户端全部安装防病毒软件。l 在Internet用户端和服务器间启用安全通信启用SSL加密Internet用户端和服务器间通信l 防御拒绝服务攻击经过在 SMT

40、P 服务器上配置邮件限制参数阻止邮件传输过程中提议拒绝服务攻击。 l 防御垃圾邮件能够采取部分第三方软件。l 设置密码策略确保用户密码足够长和复杂，并定时更改l 建立安全管理方法n 建立用户正规操作手册和培训方案，帮助并要求使用者按正确规则进行操作；n 制订安全管理规章制度；n 建立系统管理步骤；n 建立具体Intranet用户档案和Internet访问用户档案，用户档案变更后需要立即更新；n 制订对违反操作、有意造成损失处罚方法；术语表l Domino目录，Domino Directory，一个存放用户、群组、服务器和其它实体目录数据库。l LDAP ，Lightweight Directo

41、ry Access Protocol，轻量级目录访问协议，是一个访问目录信息协议集。基于X.500协议，不过支持访问Internet所必需TCP/IP协议集。l MIME,Multipurpose Internet Mail Extensions,多用途Internet邮件扩展，许可在邮件消息中附加非文本文件。l S/MIME,Secure/MIME,安全MIME，MIME安全版本，许可用户发送机密和包含电子署名邮件。l SSL：Secure Sockets Layer，安全套接层，一个用于Internet和intranet安全协议，能够用来提供在TCP上秘密和经过认证通信。l ACL：access control list，访问控制列表，用来描述哪个用户能够访问数据库和什么任务能够实施。l ECL：execution control list，实施控制列表，用来描述哪些她人创建公式和脚本能够在你Notes工作站上运行。l 验证字，certificate，也称作证书，Notes/Domino习惯上叫做验证字。l CA，Certificate Authority，验证字(证书)权威机构。