Domino 安全概觀設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員,您必須在設定任何伺服器或使用者之前,仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
Domino® 安全性模型Domino® 安全性模型是以保護資源(如 Domino 伺服器本身、資料庫、工作站資料及文件)的前提為基礎。建立受保護的資源或物件,以定義使用者存取及變更物件的權限。取存權限及專用權的資訊,與每個受保護的資源一同儲存。因此,給定使用者或伺服器可能有不同的存取權限組,其根據該使用者或伺服器需要存取的資源來決定。
Domino® 安全小組每個組織都應具有負責建置、實作及管理安全性基礎架構的安全小組。
安全原則您可以設定安全性設定值文件,來管理與部署執行控制清單 (ECL)、Notes® 及網際網路密碼設定與同步化。因為安全性的這兩個區域,是使用者特定的且使用者可經常變更,所以您可以使用安全原則在整個組織中實施這些區域的設定值,並控制使用者可以調整或變更這些設定值的範圍。
設定網際網路憑證中心安全性計劃中的重要區域,決定是否及如何設定憑證管理中心以發出網際網路憑證。憑證管理中心 (CA) 或發證者是發出及維護數位憑證的信任管理工具。憑證會驗證個人、伺服器或組織的身分,並允許它們使用 TLS 來通訊,及使用 S/MIME 來交換郵件。憑證由發證者的數位簽章來籤記,這會向憑證的收件者保證憑證的擁有者是憑證中命名的實體。
Notes® 使用者、網際網路使用者及 Domino® 伺服器的伺服器存取權若要控制使用者與伺服器對其他伺服器的存取權,Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值,以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別,且「伺服器」文件中的設定值允許存取,則使用者或伺服器即獲准存取伺服器。
資料庫存取控制清單每個資料庫都具有存取控制清單 (ACL),其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的,但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業,而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
Domino® 伺服器及 Notes® 使用者 IDDomino®Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者,都必須具有 ID。
執行控制清單您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容,可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
Domino® 伺服器型憑證管理中心您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者,以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時,為了充分運用 CA 處理程序活動,您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行;不過,可以將該程序鏈結到多個發證者。
TLS 安全「傳輸層安全 (TLS)」是一種安全通訊協定,可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
用戶端的 TLS 及 S/MIME用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA,來取得安全 TLS 及 S/MIME 通訊的憑證。
加密加密可保護資料不受未獲授權的存取。
網際網路/內部網路用戶端的名稱及密碼認證名稱及密碼鑑別(也稱為基本密碼鑑別)使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼,並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查,以驗證密碼的正確性。
時間型一次性密碼 (TOTP) 鑑別當使用者登入 Domo Web 伺服器時,您可以要求他們除了提供使用者名稱及密碼外,還要提供時間型一次性密碼。
多台伺服器階段作業型鑑別(單一登入)多台伺服器階段作業型鑑別(也稱為單一登入 (SSO)),可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器,即可在啟用單次登入 (SSO) 的相同 DNS 網域中,存取任何其他 Domino 或 WebSphere 伺服器,而不需要再次登入。
使用安全主張標記語言 (SAML) 以配置聯合身分鑑別聯合身分是達到單一登入的一種方法,可對使用者提供便利性,並協助降低管理成本。在 Domino® 與 Notes® 中,用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
使用認證儲存庫來儲存認證Domino® 伺服器可以使用認證儲存庫應用程式,作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
Notes 和 Domino 中支援的金鑰大小歷程 本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。