第四章 Lotus Domino 65 的安全机制.docx
《第四章 Lotus Domino 65 的安全机制.docx》由会员分享,可在线阅读,更多相关《第四章 Lotus Domino 65 的安全机制.docx(60页珍藏版)》请在冰豆网上搜索。
第四章LotusDomino65的安全机制
第4章LotusDomino6.5的安全机制
第4章LotusDomino6.5的安全机制1
4.1安全性简介1
4.2安全层次模型2
4.3服务器安全性3
4.4应用程序安全性(ACL)6
4.4.1ACL中的项目8
4.4.2ACL中的存取级别13
4.4.3ACL中的用户类型16
4.4.4ACL中的角色16
4.4.5强制实现存取控制列表的一致性17
4.4.6Internet用户的最大权限18
4.4.7编程改变ACL设置19
4.5视图表单安全性20
4.6.1限制对视图的访问20
4.6.2控制对表单的访问21
4.6文档安全性24
4.6.1读访问控制24
4.6.2编辑访问控制25
4.6.3混合使用读者域和作者域26
4.6.4使用存取控制区段27
4.6.5使用隐藏公式28
4.6.6加密文档和域29
4.7Web认证33
4.8程序设计建议34
4.9规划应用程序的安全性36
4.9.1关键设计问题36
4.9.2区分真正的安全特性36
4.10Domino6的新特性37
4.11安全性总结39
4.1安全性简介
本部分描述Domino安全性功能。
Domino提供了多层次的方法以确保安全性。
可以保护域、区段、表单、视图、数据库、服务器和网络域的安全。
保证服务器的安全并且控制对网络域的存取权限是服务器管理员的职责。
作为数据库设计者,您可以控制哪些人员有权访问您创建的应用程序以及单个域的内容,并且可以控制应用程序特定特性的存取权限,例如:
数据库设计和运行于数据库上的代理。
所使用的特性决定了应用程序的安全程度。
数据库存取控制列表和加密特性提供了真正的安全性,创建表单存取列表以及隐藏设计元素允许您限制存取权限,但是它们并不是真正的安全性特性。
4.2安全层次模型
Domino安全模型以保护资源(如Domino服务器本身、数据库、工作站数据以及文档)为前提。
应对要保护的资源或对象进行设置,以定义访问和更改对象的用户权限。
有关访问权限的信息与每一个受保护的资源存储在一起。
这样,特定用户或服务器对需要访问的不同资源,可能拥有不同的访问权限设置。
下面是对Domino环境中需要保护的各种资源的简短描述。
有些主题并非只针对于Domino安全性,将其包括在内是为了叙述的完整透彻。
物理安全性
从物理上保证服务器和数据库的安全性与防止未授权的用户和服务器访问同样重要。
物理安全性是防御未授权或恶意用户访问的第一道防线,它可防止这些用户直接访问Domino服务器。
因此,我们强烈建议您将所有的Donimo服务器放在一个通风良好的安全区域,如一间上锁的房间。
如果服务器在物理上不安全,那么未授权的用户可能会绕开安全性功能(如ACL设置)而直接访问服务器上的应用程序、使用操作系统拷贝或删除文件,或者物理损坏服务器硬件本身。
物理网络安全性考虑还应包括灾难规划和恢复。
操作系统安全性
未授权的用户或恶意用户通常会利用操作系统的弱点。
作为系统管理员,应保护运行Domino服务器的操作系统的安全性。
例如,应限制管理员登录/权限、禁用FTP,并且应避免使用映射后的与Domino服务器的文件服务器或共享NAS服务器的目录链接。
应随时了解操作系统的选项,并及时地用安全性更新程序和补丁程序更新操作系统。
网络安全性
保护网络安全性的目标是防止未授权的用户访问服务器、用户和数据。
有关网络物理安全性的内容已超出了本书的范围,但在设置Notes和Domino连接安全性之前必须设置网络的物理安全性。
网络的物理安全性是通过使用设备(如过滤用路由器、防火墙和代理服务器)而建立的,这些设备对您要提供给用户的各种网络服务(如LDAP、POP3、FTP和STMP)启用网络连接。
也可使用这些设备控制网络连接安全性访问。
例如,您可以定义允许访问的连接,以及被授权使用这些连接的人员。
如果配置正确,则这些设备可防止未授权的用户执行下列操作:
✓强行进入网络并通过操作系统访问服务器及其本地服务(如文件共享)。
✓冒充经授权的Notes用户。
✓通过窃听网络来收集数据。
服务器安全性
Domino服务器是需要保护的最重要的资源,并且是在用户或服务器获准访问网络中的Domino服务器后,Domino强制执行的第一级安全性。
可指定哪些用户和服务器可以访问Domino服务器,并限制其在服务器上的活动。
例如,限制可以创建新复本和使用中继连接的人员。
还可以限制并定义管理员访问权限,即根据管理员职责和任务委派访问权限。
例如,您可以对系统管理员启用通过服务器控制台访问操作系统命令的权限,而将数据库访问权限授予那些负责维护Domino数据库的管理员。
如果针对Internet/Intranet访问对服务器进行设置,则应设置SSL、名称和口令验证,以保护通过网络传输的网络数据的安全性,并验证服务器和客户机。
标识符安全性
Notes或Domino标识符用以唯一地标识用户或服务器。
Domino使用标识符中的信息控制用户和服务器对其他服务器和应用程序的访问。
管理员的责任之一是保护标识符,并确保XX的用户无法使用标识符访问Domino环境。
某些站点可能要求多个管理员输入口令才能批准访问验证者或服务器标识符文件。
这样可以防止由一个人控制标识符。
在这种情况下,每个管理员应确保每个口令都是安全的,以防止对标识符文件的未授权访问。
也可以使用智能卡保护Notes用户标识符的安全性。
智能卡可降低用户标识符被盗的威胁,这是因为使用智能卡的用户需要使用用户标识符、智能卡以及智能卡PIN才能访问Notes。
应用程序安全性
在用户和服务器获得对Domino服务器的访问权限后,您可使用数据库ACL(存取控制列表)来限制特定用户和服务器对该服务器上各个Domino应用程序的访问权限。
此外,为提供数据的保密性,应使用标识符加密数据库以使XX的用户无法访问本地存储的数据库拷贝、对用户收发的邮件消息进行签名或加密,以及对数据库或模板进行签名以避免在工作站中运行公式。
应用程序设计元素安全性
即使用户可以访问应用程序,但他们仍然可能无法访问应用程序中的某些设计元素,如表单、视图和文件夹。
设计Domino应用程序时,应用程序开发人员可使用存取控制列表和特定域来限制对某些特定设计元素的访问。
工作站数据安全性
Notes用户可保留并使用其工作站中的重要应用程序和信息。
可通过使用ECL(执行控制列表)来保护此信息。
ECL定义了来自其他用户的活动内容对用户工作站的访问权限。
从设计者的角度看,一个用户如果希望访问文档中的内容,需要经过下面的一些步骤。
如果在哪一步受到阻止,则不能进行下一步。
例如,一个用户如果不能访问Domino服务器,那么就不能访问数据库。
4.3服务器安全性
为保护Domino服务器的安全性,应允许或禁止用户和服务器访问。
此外,还可以限制用户和服务器在Domino服务器上执行的操作。
要设置Domino服务器的安全性,请以系统管理员的身份登录,打开DominoAdministrator,单击“配置”附签,然后打开“服务器”“当前服务器”文档;单击“安全性”附签。
图1服务器的安全性
设置对Domino的服务器的访问可以执行下面一些任务。
关于其详细操作,请参考管理员帮助。
表格1服务器安全性的说明
任务
用途
选择内部或外部Internet验证字认证中心
在组织中设置用于发布Internet验证字的验证者。
交叉验证Notes用户标识符以及Domino服务器和验证者标识符
对于具有不同验证层次的组织,允许其中的Notes用户和Domino服务器确定其他Notes组织中的用户和服务器的身份。
允许或拒绝访问服务器
指定被授权访问服务器的Notes用户、Internet客户机和Domino服务器。
允许匿名访问服务器
为组织外的Notes用户和Domino服务器提供不需要发布交叉验证字即可访问服务器的权限。
允许Internet/Intranet客户机进行匿名访问
决定是否允许Internet/Intranet用户匿名访问服务器。
使用名称和口令验证保护服务器的安全性
根据用户名识别访问服务器的Internet和Intranet用户并控制对应用程序的访问。
启用基于会话的验证
允许Web浏览器客户机使用Cookie验证和维护在服务器中的状态。
使用基于会话的名称和口令验证。
通过基于会话的验证,管理员可提供定制的登录表单并配置会话到期时间,使用户在指定的闲置时间后从服务器上注销。
还提供了使用同一个Cookie在Domino和WebSphere服务器之间进行单次登录的功能。
控制Web客户机的验证级别
指定当搜索名称和验证Web用户时服务器应使用的精确级别。
限制创建新数据库、复本或模板的权限
允许指定的Notes用户和Domino服务器在服务器上创建数据库和复本数据库。
限制此权限是为了防止服务器上数据库和复本的增长得过快。
控制对服务器网络端口的访问
允许指定的Notes用户和Domino服务器通过端口访问服务器。
加密服务器的网络端口
对从服务器网络端口发送的数据进行加密,以防止网络窃听。
通过口令保护服务器控制台
防止XX的用户在服务器控制台上输入命令。
限制管理员的访问权限
根据管理员需要在Domino服务器上完成的任务,将不同类型的管理员访问权限指定给个人。
限制服务器代理
指定允许哪些Notes用户和Domino服务器在服务器上运行哪些种代理。
限制中继访问
指定哪些Notes用户和Domino服务器可以将该服务器作为中继服务器访问,并指定访问的目标服务器。
限制运行Java或JavaScript程序的浏览器用户的服务器访问权限
指定可以使用DominoORB在该服务器上运行Java或Javascript程序的Web浏览器用户。
使用SSL保护服务器的安全性
为Internet/Intranet用户设置SSL安全性,以便验证服务器、加密数据、防止消息被篡改以及验证客户机(可选)。
对于电子商务来说这是必需的,以确保企业对企业消息传递的安全性。
设置邮件路由器限制
根据Domino网络域、组织和组织单元限制邮件路由。
设置外来SMTP限制
对外来邮件的限制可防止Domino收到不请自来的商业电子邮件。
使用S/MIME
使用S/MIME加密外出邮件。
为确保企业对企业消息传递的安全性,这通常是必不可少的。
防止通过MTA转发
增强SMTP路由器的安全性。
使用文件保护文档
指定可以访问服务器硬盘驱动器上的文件(如HTML、GIF、或JPEG)的人员。
使用辅助Domino目录或LDAP目录验证Internet客户机
验证Web客户机,该客户机使用由网络域标记为“可信”的辅助Domino目录或LDAP目录中的名称和口令或SSL客户机验证。
针对特定领域验证Web客户机
允许Web用户访问Domino服务器上的某个驱动器、目录或文件,并防止Domino提示用户对不同的领域输入相同的名称和口令。
在安全区域中查找服务器
防止对存储在服务器硬盘驱动器上的未加密数据以及服务器和验证者标识符进行XX的用户访问。
使用智能卡保护服务器控制台的安全性
通过要求使用智能卡登录到Domino,防止用户对服务器控制台进行XX的访问。
使用防火墙保护对服务器的访问
控制从公用Internet对专有网络进行的XX的用户访问。
4.4应用程序安全性(ACL)
限制对Domino应用程序的访问可以防止XX的用户访问信息。
前面讲过,Domino应用程序是由一个或者多个数据库组成。
应用程序的安全性关键在数据库的安全性。
下面是针对应用程序的安全性可以做的一些设置。
表格2应用程序安全性设置
任务
用途
使用ACL限制访问应用程序
控制Notes和Internet/Intranet用户以及Domino服务器对应用程序的访问。
强制实现ACL的一致性
通过强制在一个位置进行全部的ACL更改,来保护服务器上的数据库和模板。
加密应用程序
防止XX的用户访问服务器或工作站本地的应用程序。
对应用程序或模板进行签名
识别应用程序或模板的创建者。
当用户访问应用程序时,系统会检查签名以确定是否允许执行此操作。
例如,在Domino服务器上,代理管理器会检验代理的签名并检查签名者是否有权执行此操作。
在Notes客户机上,对照工作站ECL中对签名者设定的权限来检查签名。
加密外来和外出的Notes邮件
确保只有原定收件人才能阅读邮件。
使用电子方式对邮件消息进行签名
验证发送消息的人是否是作者,以及是否有人篡改过数据。
数据库的安全性关键在“存取控制列表”(ACL:
AccessControlList)。
每个数据库都有一个ACL用来指定用户和服务器对该数据库的存取级别。
尽管用户和服务器的存取级别的名称是一样的,但是指定给用户的级别决定用户在数据库中所能执行的任务,而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。
只有具有“管理者”存取级别的用户才能创建或修改ACL。
要控制Notes用户的访问权限,应为每位用户或群组选择在数据库中的存取级别、用户类型和存取级别权限。
创建数据库时可以设置ACL中的缺省项目。
如果数据库设计者确定需要对应用程序细分存取级别,则您还可以指定角色。
将数据库投入使用前,应与设计者以及应用程序的用户代表一起规划正确的存取级别。
对于ACL中的每个用户名、服务器名或群组名,可以指定:
✓存取级别
✓存取级别权限
✓用户类型
✓角色
打开数据库ACL的步骤
✓在Designer中打开一个数据库,在菜单中选择“文件”,“数据库”,“存取控制”。
图2打开ACL
✓或者在数据库上单击右键,在右键菜单上选择“数据库”“存取控制”。
存取控制列表如下:
图3设置ACL
4.4.1ACL中的项目
1.缺省ACL项目
ACL是由很多ACL项目(ACLEntry)组成的。
新建数据库的ACL中缺省情况下包含以下项目:
✓-Default-
✓Anonymous
✓数据库创建者的用户名
✓LocalDomainServers
✓OtherDomainServers
图4ACL中的项目
在缺省的ACL项目中,“Anonymous”和数据库创建者的用户名是ACL中唯一定义为“个人”的项目。
“Anonymous”和“-Default-”是唯一只与数据库有关的项目,而与Domino目录中的项目无关。
例如,LocalDomainServers是Domino目录自动创建的,并且在创建数据库时添加到ACL中。
而“Anonymous”仅当创建数据库时才作为一个ACL项目创建。
-Default-
如果没有为用户和服务器特别指定其他存取级别(无论是单独指定还是作为群组成员指定,或者是根据通配符项目指定),那么他们将具有指定给“-Default-”项目的存取级别。
此外,如果数据库ACL中不包含“Anonymous”项目,那么匿名访问数据库的用户将具有“-Default-”存取级别。
“-Default-”的缺省存取级别取决于数据库模板的设计并且在不同的模板中会有所变化。
指定给“-Default-”项目的存取级别取决于您希望数据库具有怎样的安全性。
如果希望数据库只供有限数目的用户使用,那么请选择“不能存取者”。
如果希望数据库可广泛使用,则可以选择“作者”或“读者”存取级别。
“-Default-”项目的用户类型应该为“未指定”。
不能将“-Default-”项目从ACL中删除。
Anonymous
匿名数据库访问权限授予那些未经过服务器验证的Internet用户和Notes用户。
所有数据库模板(.NTF文件)的缺省ACL项目“Anonymous”的存取级别为“只读”,这样当用户或服务器根据模板创建或刷新.NSF文件时,可以成功地读取模板。
数据库(.NSF文件)文件的缺省ACL项目“Anonymous”的存取级别为“不能存取者”。
数据库创建者用户名
数据库创建者的用户名是创建数据库的用户的层次用户名。
创建数据库的用户的缺省存取级别为“管理者”。
通常,该用户始终保持对该数据库的“管理者”存取级别或被授予对该数据库的“设计者”存取级别。
LocalDomainServers
LocalDomainServers群组列出了与存储数据库的服务器在同一网络域内的所有服务器,缺省情况下为每个Domino目录提供该群组。
当用户创建一个新的数据库时,LocalDomainServers的缺省存取级别为“管理者”。
该群组至少应该具有“设计者”存取级别,才能允许在网络域内复制数据库设计的更改。
LocalDomainServers群组通常会被赋予比OtherDomainServers群组更高的存取级别。
OtherDomainServers
OtherDomainServers群组列出了存储数据库的服务器所在网络域以外的所有服务器,缺省情况下为每个Domino目录提供该群组。
当创建一个新的数据库时,OtherDomainServers的缺省存取级别为“不能存取者”。
2.ACL中可接受的项目
ACL中可接受的项目包括:
✓通配符项目
✓用户、服务器及群组名(包括Internet客户机的用户和群组名)
✓等价名
✓LDAP用户
✓Anonymous,用于匿名Internet用户访问和匿名Notes用户访问
✓数据库复本标识符
每个ACL项目最多可以有255个字符。
使用层次名称格式在ACL中添加名称可以提高安全性。
层次名称如下所示:
✓SandraESmith/West/Acme/US
✓RandiBowker/Sales/FactoryC
ACL项目的类型
通配符项目
要允许对数据库进行一般的访问,可以在ACL中输入带有通配符(*)的层次名称。
可以在公用名称和组织单元组件中使用通配符。
尚未在ACL中指定用户或群组名项目,并且其层次名称中包含带通配符组件的用户和/或服务器,将获得匹配的每个通配符项目指定的最高级别的访问权限。
下面是一个通配符格式的ACL项目:
*/Illustration/Production/Acme/US
该项目将选定的存取级别授予:
MaryTsen/Illustration/Production/Acme/US
MichaelBowling/Illustration/Production/Acme/US
而不将选定的存取级别授予:
SandyBraun/Documentation/Production/Acme/US
AlanNelson/Acme/US
只能在ACL项最左边的部分使用一个通配符。
例如,不能使用如下所示的项目:
*/Illustration/Production/Acme/US
来表示这些项目:
MichaelBowling/Illustration/Production/Acme/US
KarenRichards/Illustration/East/Acme/US
当使用带通配符的ACL项目时,应将用户类型设置为“未指定”、“混合群组”或“个人群组”。
用户名
对于具有经过验证的Notes用户标识符的任何个人名称,或使用名称和口令或SSL客户机验证进行验证的Internet用户的名称,可以将其添加到ACL中。
对于Notes用户,为每个用户输入完整的层次名称,如JohnSmith/Sales/Acme,而不需要考虑该用户与存储数据库的服务器是否在同一个层次组织中。
对于Internet用户,输入作为“个人”文档的“用户名”域中第一个项目的名称。
注意:
可以在用户名域中输入许多别名并且可以使用这些别名进行验证,但是,只能使用列表中的第一个名称来进行安全授权检查。
这是应该在所有的Domino数据库ACL、“服务器”文档中的安全设置以及.ACL文件中使用的名称。
服务器名称
可以向ACL中添加服务器的名称以控制数据库从数据库复本中接收更改。
为了保证更严格的安全性,应使用服务器完整的层次名称,如Server1/Sales/Acme,而无需考虑添加的服务器的名称与存储数据库的服务器是否在不同的层次组织中。
群组名
可以向ACL中添加群组名(如Training)代表要求相同存取级别的多个用户或服务器。
用户必须在群组中列出并且有一个主层次名或等价名。
群组中也可以包含使用通配符的项目。
在ACL中使用群组名之前,必须在下列任一目录中创建该群组:
Domino目录、辅助Domino目录,或者外部LDAP目录(在“目录服务”数据库中已经对群组授权进行了配置)。
提示:
数据库的管理者应使用单独的名称而不是群组名。
这样,当用户选择“创建”“其他”“给数据库管理者发送便笺”时,就可以知道自己在向谁发信。
群组提供了管理数据库ACL的便捷方法。
在ACL中使用群组有如下优点:
✓无需向ACL中添加很长单个名称列表,而只需添加一个群组名称。
如果某个群组不止出现在一个ACL中,则只需修改Domino目录或LDAP目录中的群组文档,而无需在多个数据库中添加和删除单个名称。
✓如果需要更改几个用户或服务器的存取级别,可以只对整个群组进行一次更改。
✓使用群组名称来反映群组成员的职责,或者部门或公司的组织。
提示:
还可以使用群组授予某些用户对数据库的控制访问权限,而无需授予他们“管理者”或“设计者”访问权限。
例如,可以在Domino目录中为每个需要的数据库存取级别创建群组、将此群组添加到ACL中,并允许特定的用户拥有该群组。
这些用户可以修改群组,但是不能修改数据库的设计。
终止群组
当雇员离开组织时,应该从Domino目录的所有群组里删除他们的姓名并将其添加到“仅拒绝列表”群组中,以拒绝他们对服务器的访问。
“服务器”文档中的禁止存取列表里包含了不再具有访问Domino服务器权限的Notes用户名和群组名。
同时,对于已经离开的雇员,必须确保在组织里所有数据库的ACL中删除该雇员的姓名。
在Domino目录中删除某人时,如果已经创建了“仅拒绝列表”群组,用户就可以看到“将已删除的用户添加到拒绝访问群组”选项。
(如果该群组不存在,对话框将显示“没有选定或可用的拒绝访问群组”。
)
等价名
等价名是可选的别名,由管理员分配给已注册的Notes用户。
可以向ACL中添加等价名。
等价名提供的安全性级别与用户的主层次名称相同。
如果某用户的主名称为
升级会员 