控制網際網路用戶端的認證層次

您可以在鑑別「Domino® 名錄」及 LDAP 目錄中的使用者時,選取 IBM® Domino 使用的限制層次,而且使用者已提供使用者名稱及密碼。這會套用到所有網際網路通訊協定 (HTTP、LDAP、IMAP、POP3)。

關於這項作業

使用此設定,藉由調整 Domino 搜尋名稱及鑑別網際網路用戶端的方式,減少伺服器遭受安全性攻擊的可能性。 在 Domino 伺服器上管理的 Java Applet 以 Domino IIOP 通訊協定鑑別使用者時,Domino 也會使用此設定。

程序

  1. 從「Domino 管理者」中,按一下配置,然後開啟「伺服器」文件。
  2. 按一下安全性
  3. 網際網路存取區段的網際網路鑑別欄位中,選取下列其中一項:
    • 較少的名稱變化配合較高的安全性(預設值)- 建議使用它來保證更嚴密的安全性。此認證方法較不易受到攻擊,因為單一的認證嘗試不產生那麼多相符的狀況,減少猜到相符密碼的可能性。
    • 較多的名稱變化配合較低的安全性 - Domino 會根據輸入的名稱及密碼來嘗試鑑別使用者。 此認證方法可能易於遭受駭客侵入,駭客可嘗試使用合法的使用者帳戶存取伺服器來猜出名稱及密碼。
  4. 儲存並關閉文件。

結果

如果已選取較少的名稱變化配合較高的安全性,使用者會在 Web 瀏覽器或其他網際網路用戶端的「名稱及密碼」對話框中輸入下列項目:
表 1. 使用較少的名稱變化配合較高的安全性必要的鑑別

Domino 名錄鑑別

LDAP 目錄認證

完整階層式名稱

DN

一般名稱或具有 CN= 字首的一般名稱

CN 或具有 CN= 字首的 CN

不適用

UID 或具有 UID= 字首的 UID

別名(在「人員」文件的使用者名稱欄位中列出的名稱,不包括欄位中列出的第一個名稱)

不適用

網際網路位址(使用者的「人員」文件中網際網路位址欄位所列出的使用者電子郵件位址)

Mail
如果已選取較多的名稱變化配合較低的安全性,使用者會在 Web 瀏覽器的「名稱及密碼」對話框中輸入下列任何項目:
表 2. 使用較多的名稱變化配合較低的安全性必要的鑑別

Domino 名錄鑑別

LDAP 目錄認證

姓氏

名字

一般名稱或具有 cn= 字首的一般名稱

一般名稱 (CN) 或具有 CN= 字首的 CN

完整階層性名稱 (正規)

DN

完整階層性名稱 (縮寫)

DN

簡稱

UID 或具有 UID= 字首的 UID

別名(在「人員」文件的使用者名稱欄位中列出的名稱,不包括欄位中列出的第一個名稱)

不適用

Soundex 數目

不適用

網際網路位址(使用者的「人員」文件中網際網路位址欄位所列出的使用者電子郵件位址)

Mail

下一步

「Domino Web 伺服器應用程式設計介面 (DSAPI)」是一種 C API 工具,可用來撰寫專屬的 Domino We 伺服器延伸功能。 這些延伸功能(或過濾器)可讓您自訂 Web 使用者的鑑別。如需 DSAPI 及過濾器的相關資訊,請參閱現行 Lotus® C API Toolkit for Domino and Notes,網址為 www.ibm.com。