比較公開金鑰值
永遠都會檢查在鑑別期間交換的使用者及伺服器憑證上的簽名。您可以啟用公開金鑰的其他驗證層次,方法是以「IBM® Domino® 名錄」列出的金鑰值檢查憑證中傳遞的金鑰值。 使用者以伺服器進行鑑別,但可能會有使用者憑證的公開金鑰值和「Domino 名錄」中列出的值不相符的情況發生。
關於這項作業
這個額外的金鑰驗證層次可以避免誤用到遺失或是已被洩漏的 ID 檔案。通常,如果 ID 檔案已遺失,則必須要註冊它的擁有者以建立新的 ID 檔案及目錄項目;而且如果 ID 檔案已被洩漏,就必須要換用 ID 檔案擁有者的公開及私密金鑰,並且要認證新的那組金鑰(這樣才會更新目錄項目)。啟用目錄層次的金鑰檢查,攻擊者就無法以所擁有的舊 ID 檔案來存取伺服器,即使舊的 ID 檔案中包含有效的憑證。
如果鑑別成功但偵測到有不相符之處,您也可以選擇控制是否要產生記錄訊息。這可讓管理者偵測出未與目錄項目同步化的 ID 檔案內容,但因為公開金鑰不相符,這樣做並無法避免那些使用者進行鑑別。