【正文】 型的文檔而阻塞其它類型?？刂埔晥D和文件夾訪問，使用視圖和文件夾訪問列表?？刂乒ぷ髡镜脑L問，使用執(zhí)行控制列表。這是最細(xì)粒度的安全性。控制對(duì)節(jié)和段的訪問，使用“當(dāng)…時(shí)候隱藏（hidewhen）”公式。? 本地?cái)?shù)據(jù)庫(kù)安全上面的六層安全性應(yīng)用于存放在 Domino 服務(wù)器上的數(shù)據(jù)庫(kù)，并且用戶是通過網(wǎng)絡(luò)來進(jìn)行訪問。為了避免未經(jīng)授權(quán)的訪問,Notes 可以加密數(shù)據(jù)庫(kù)并且加強(qiáng)本地?cái)?shù)據(jù)庫(kù)的 ACL。任務(wù) 用途使用 ACL 限制訪問數(shù)據(jù)庫(kù) 控制 Notes 和 Inter/Intra 用戶以及 Domino 服務(wù)器對(duì)數(shù)據(jù)庫(kù)的訪問。加密數(shù)據(jù)庫(kù) 防止未經(jīng)授權(quán)的用戶訪問服務(wù)器3 / 31或工作站本地的數(shù)據(jù)庫(kù)。當(dāng)用戶訪問數(shù)據(jù)庫(kù)時(shí)，系統(tǒng)會(huì)檢查簽名以確定是否允許執(zhí)行此操作。在 Notes 客戶機(jī)上，對(duì)照工作站 ECL 中對(duì)簽名者設(shè)定的權(quán)限來檢查簽名。盡管用戶和服務(wù)器的存取級(jí)別的名稱是一樣的，但是指定給用戶的級(jí)別決定用戶在數(shù)據(jù)庫(kù)中所能執(zhí)行的任務(wù)，而指定給服務(wù)器的級(jí)別則決定服務(wù)器可以復(fù)制數(shù)據(jù)庫(kù)中的哪些信息。要控制 Notes 用戶的訪問權(quán)限，應(yīng)為每位用戶或群組選擇在數(shù)據(jù)庫(kù)中的存取級(jí)別、用戶類型和存取級(jí)別權(quán)限。如果數(shù)據(jù)庫(kù)設(shè)計(jì)者確定需要對(duì)數(shù)據(jù)庫(kù)細(xì)分存取級(jí)別，則您還可以指定角色。對(duì)于 ACL 中的每個(gè)用戶名、服務(wù)器名或群組名，可以指定： ? 存取級(jí)別? 存取級(jí)別權(quán)限? 用戶類型? 角色 中的存取級(jí)別4 / 31在數(shù)據(jù)庫(kù) ACL 中指定給用戶的存取級(jí)別能夠控制用戶在數(shù)據(jù)庫(kù)中可以執(zhí)行哪些任務(wù)。對(duì)于 ACL 中的每個(gè)用戶、群組或服務(wù)器，可以選擇基本的存取級(jí)別和用戶類型。如果數(shù)據(jù)庫(kù)設(shè)計(jì)者創(chuàng)建了角色，請(qǐng)將其分配給相應(yīng)的用戶、群組或服務(wù)器。要訪問特定服務(wù)器上的數(shù)據(jù)庫(kù)，Notes 用戶必須既具有相應(yīng)數(shù)據(jù)庫(kù)的訪問權(quán)限，又具有相應(yīng)服務(wù)器的訪問權(quán)限（在 Domino 目錄的 “服務(wù)器”文檔中指定）。下表按從高到低的順序列出了用戶存取級(jí)別。加密數(shù)據(jù)庫(kù)。刪除數(shù)據(jù)庫(kù)。負(fù)責(zé)數(shù)據(jù)庫(kù)的兩個(gè)人。 設(shè)計(jì)者 修改所有的數(shù)據(jù)庫(kù)設(shè)計(jì)元素。執(zhí)行較低存取級(jí)別允許的所有任務(wù)。編輯所有文檔（包括其他人創(chuàng)建的文檔）讀取所有的文檔，除非表單中包含“讀者”域。作者 創(chuàng)建文檔（如果用戶或服務(wù)器還具有“創(chuàng)建文檔”存取級(jí)別權(quán)限）在為用戶或服務(wù)器指定“作者”存取級(jí)別的同時(shí)，還必須指定“創(chuàng)建文檔”存取級(jí)別權(quán)限。讀取所有的文檔，除非表單中包含“讀者”域。只需要閱讀數(shù)據(jù)庫(kù)中的文檔，而不需要?jiǎng)?chuàng)建和編輯文檔的用戶。這兩個(gè)權(quán)限是設(shè)計(jì)者可能選擇要授予的權(quán)限。例如，為投票箱數(shù)據(jù)庫(kù)使用“存放者”存取級(jí)別。這兩個(gè)權(quán)限是設(shè)計(jì)者可能選擇要授予的權(quán)限。注意 Note 如果某些用戶是某個(gè)群組的成員，并且該群組的成員都可以訪問數(shù)據(jù)庫(kù)，而該用戶不應(yīng)該具有數(shù)據(jù)6 / 31庫(kù)訪問權(quán)限，則需要專門為這些用戶指定“不能存取者”存取級(jí)別。在將名稱添加到 ACL 中后，應(yīng)為該名稱指定存取級(jí)別。如果應(yīng)用程序需要，請(qǐng)?zhí)砑哟嫒〖?jí)別權(quán)限和角色。 操作步驟： 1. 確保您滿足下列條件： 數(shù)據(jù)庫(kù) ACL 中的“管理者”存取級(jí)別創(chuàng)建了希望在 ACL 中使用的角色和群組。 3. 單擊“文件”，然后從 Domino 數(shù)據(jù)目錄中選擇一個(gè)或多個(gè)數(shù)據(jù)庫(kù)。還可以在多個(gè)數(shù)據(jù)庫(kù)中編輯和刪除項(xiàng)目。從“工具”窗格中，選擇“數(shù)據(jù)庫(kù)”“管理 ACL”。 6. 為每個(gè)項(xiàng)目設(shè)置存取級(jí)別。 8. （可選）通過限制或允許附加的存取級(jí)別權(quán)限來細(xì)化項(xiàng)目。選定的角色將顯示復(fù)選標(biāo)記。 11. （可選）指定管理服務(wù)器自動(dòng)更新 ACL 項(xiàng)目。這樣，即使數(shù)據(jù)庫(kù)被拷貝，也可以確保對(duì)服務(wù)器標(biāo)識(shí)符沒有訪問權(quán)限的任何用戶都無法使用該數(shù)據(jù)庫(kù)。 強(qiáng)制實(shí)現(xiàn) ACL 的一致性8 / 31可以確保服務(wù)器上所有數(shù)據(jù)庫(kù)復(fù)本的 ACL 完全相同，同時(shí)還可以確保用戶在工作站或便攜式計(jì)算機(jī)上制作的所有本地復(fù)本的 ACL 完全相同。如果選擇的復(fù)本所在的服務(wù)器對(duì)其他復(fù)本沒有“管理者”存取級(jí)別，那么復(fù)制將失敗，因?yàn)樵摲?wù)器不具有復(fù)制 ACL 所需的足夠權(quán)限。在進(jìn)行本地復(fù)制時(shí)，這種情況是自動(dòng)發(fā)生的，而不必考慮是否啟用了“強(qiáng)制使用一致的存取控制列表”。但是，這也存在一些限制。在本地復(fù)制數(shù)據(jù)庫(kù)時(shí)，執(zhí)行復(fù)制的個(gè)人的群組成員信息將存儲(chǔ)在數(shù)據(jù)庫(kù)中以供 ACL 檢查使用。另外，強(qiáng)制使用一致的存取控制列表并不能為本地復(fù)本提供額外的安全性。注意 當(dāng)選中了“強(qiáng)制使用一致的存取控制列表”選項(xiàng)時(shí)，如果用戶更改了本地或遠(yuǎn)程服務(wù)器數(shù)據(jù)庫(kù)復(fù)本的 ACL，數(shù)據(jù)庫(kù)將停止復(fù)制。操作步驟：a .確保在選定的所有數(shù)據(jù)庫(kù)的 ACL 中都具有“管理者”存取級(jí)別。c 單擊“文件”，然后從 Domino 數(shù)據(jù)目錄中選擇一個(gè)或多個(gè)數(shù)據(jù)庫(kù)。9 / 31e 單擊“高級(jí)”。要強(qiáng)制使用一致的 ACL，請(qǐng)選擇“強(qiáng)制此數(shù)據(jù)庫(kù)的所有復(fù)本使用一致的存取控制列表”。g 單擊“確定”。b 選擇“文件”“數(shù)據(jù)庫(kù)”“屬性”。 d 選擇“此數(shù)據(jù)庫(kù)的本地加密方式”，然后選擇下列選項(xiàng)之一：“普通加密對(duì)臨時(shí)窺探提供了有限的保密?！睂?duì)于大多數(shù)用戶，此級(jí)別可能是正確選擇?！眅 （可選）缺省情況下，僅列出您的用戶標(biāo)識(shí)符在數(shù)據(jù)庫(kù)加密后只有您的用戶標(biāo)識(shí)符可以打開此數(shù)據(jù)庫(kù)。11 / 31警告 如果選擇另一個(gè)用戶使其具有訪問此數(shù)據(jù)庫(kù)的權(quán)限，您將喪失對(duì)此數(shù)據(jù)庫(kù)的訪問權(quán)限。 為數(shù)據(jù)庫(kù)或模板簽名可以為模板或數(shù)據(jù)庫(kù)簽名，以確保其完整性?；蛘?，您可以為數(shù)據(jù)庫(kù)或模板簽名，以便 Notes 客戶機(jī)上的 ECL 評(píng)估哪些數(shù)據(jù)庫(kù)操作是可以執(zhí)行的。 注意 如果只想為一個(gè)特定的設(shè)計(jì)文檔或某個(gè)文檔中的一個(gè)設(shè)計(jì)元素簽名（如特定的代理），則必須首先確定該文檔的注釋標(biāo)識(shí)符。最后一行為注釋標(biāo)識(shí)符，例如，NT00000902。b 在“文件”附簽上，選擇需要簽名的數(shù)據(jù)庫(kù)或模板。12 / 31d 請(qǐng)選擇其中之一：選擇“當(dāng)前用戶標(biāo)識(shí)符”以使用您的標(biāo)識(shí)符簽名。e 選擇下列選項(xiàng)之一，以指定要簽名的元素：選擇“所有設(shè)計(jì)文檔”為每個(gè)設(shè)計(jì)元素簽名。 選擇“所有數(shù)據(jù)文檔”為數(shù)據(jù)文檔中的所有當(dāng)前內(nèi)容（熱點(diǎn)）簽名。選擇“指定 Notes 標(biāo)識(shí)符”為特定的設(shè)計(jì)元素簽名。使用此選項(xiàng)將更改以前簽名過的設(shè)計(jì)元素上的簽名。對(duì)話框?qū)@示已處理的數(shù)據(jù)庫(kù)及所出現(xiàn)錯(cuò)誤（如果有）的數(shù)目。第三章 Notes/Domino 認(rèn)證所有 Notes/Domino 安全性都是基于用戶認(rèn)證的。因此它是提供對(duì) Notes 和 Domino 資源進(jìn)行訪問限制的關(guān)鍵。每個(gè) Notes客戶端使用一個(gè) ID 文件來進(jìn)行識(shí)別。熟悉下面的術(shù)語有助于進(jìn)一步理解這些過程。使用公鑰加密用戶擁有一對(duì)密鑰—私鑰和公鑰。在Domino中，公鑰發(fā)布在Domino目錄中。如果兩個(gè)人想和對(duì)方通信，雙方都要在對(duì)數(shù)據(jù)加密和解密的數(shù)學(xué)運(yùn)算法則上達(dá)成協(xié)議，他們還需要一個(gè)通用的密鑰。它可以確認(rèn)發(fā)送者的身份和信息的完整性。? 公鑰驗(yàn)證字驗(yàn)證字是一個(gè)存儲(chǔ)在 Notes 或 Domino ID 文件中使用公鑰和一個(gè)名字關(guān)聯(lián)的唯一電子印記。一個(gè)ID 文件可以有多個(gè)驗(yàn)證字。SSL 驗(yàn)證字包含一個(gè)公鑰、一個(gè)名字、一個(gè)過期日期和一個(gè)數(shù)字簽名并且存儲(chǔ)在一個(gè)叫做鑰匙圈的文件中。公鑰和私鑰是一對(duì)用來初始化 SSL 加密事務(wù)的有數(shù)學(xué)運(yùn)算關(guān)系的唯一密鑰。層次命名的格式是:通用名稱/組織單元/組織/國(guó)家代碼例如, OA 郵件管理員/湖北省公司/中國(guó)移動(dòng)/CN所有的層次命名必需包含通用名稱和組織部分。層次命名有助于區(qū)分具有相同通用名稱的用戶從而提供額外的安全性并且允許驗(yàn)證字的分散管理。注冊(cè)進(jìn)程創(chuàng)建一個(gè) ID，放在 Domino 目錄中或者（并且）放在文件