第3篇 7单元 安全机制.pptVIP

Lotus Domino安全机制 ——视图表单安全性 Lotus Domino安全机制 安全层次模型 服务器安全性 应用程序安全性 （ACL） 视图表单安全性 文档安全性 规划应用程序的安全性 Domino6的新特性 视图表单安全性 限制对视图的访问 控制对表单的访问 限制对视图的访问 1．读存取列表 如果希望某些用户而不希望其他用户查看视图或文件夹，则可以创建读存取列表，不在此存取列表之内的用户不能在“查看”菜单中查看到这些视图或文件夹。 隐藏视图 为视图命名并用括号括起来，例如：(All) 控制对表单的访问 可以通过下面几种方式控制对表单的访问： 把表单从“创建”菜单中排除，表单只对一部分用户可用 使用“表单访问列表”，指定谁可以使用此表单创建文档。 为有公共访问权限的用户创建单独的表单 为有公共访问权限的用户创建表单 公共访问列表和数据库的ACL一起工作，扩展用户的视图，表单和文档的访问。允许对数据库有“不能存取者”和“存放者”级别的用户可以查看特定的表单，视图和文件夹，而无需赋予“读者”存取级别。 Lotus Domino安全机制 ——文档安全性 Lotus Domino安全机制 安全层次模型 服务器安全性 应用程序安全性 （ACL） 视图表单安全性 文档安全性 规划应用程序的安全性 Domino6的新特性 文档安全性 控制对文档的“读”访问 为创建文档的表单创建读访问列表 在文档中添加“读者”域。（域的类型为“读者”），可以添加多个。 控制对文档的“编辑”访问 增加“作者域” 创建“存取控制”区段 读访问控制 表单的读访问列表细化数据库的ACL，允许列表中的用户阅读由此表单创建的文档。 文档的作者和编辑者可以修改文档的读访问列表。 如果文档的作者或者编辑者在这里修改文档的读访问列表，将在文档中创建一个“$Readers”域，类型为读者。 读者域 如果希望限定对由某个表单所创建的特定文档的读取，则在表单中添加一个“读者”域。“读者”域清楚地列出了可以阅读由此表单所创建的文档的用户。 对文档不具有“读者”权限的用户则不能在视图中查看文档。 如果表单中有存取列表，那么“读者”域中的姓名将被添加到表单的存取列表中，否则，由“读者”域控制对由此表单所创建的文档的存取。 “读者”域中的输入项不能给用户比数据库的存取控制列表 (ACL) 中指定的权限更高的存取权限，而只能进一步限制存取权限。 编辑访问控制-作者域 “作者”域与数据库存取控制列表中的“作者”存取级别协同工作。 如果在存取控制列表中指定某个用户具有“作者”存取级别，那么他可以阅读数据库中的文档，但是不能进行编辑即使是他自己的文档。 将用户列入“作者”域可以使他们能编辑自己所创建的文档，从而扩展了他们的存取权限。 “作者”域中的项目不能超越数据库的存取控制列表，而只能细化它 “作者”域只影响在数据库中具有“作者”存取级别的用户。 如果编程改编作者域的内容，必须输入完整的规范的名称，如：CN=John Smith/OU=ACME/O=West 一般把角色输入读者域或者作者域，然后把角色分配给用户或者群组 混合使用读者域和作者域 读者域 作者域 谁可以阅读 谁可以编辑 空 空 ACL中的读者及以上 ACL中的编辑者及以上 空 McCarthy ACL中的读者及以上 McCarthy和ACL中的编辑者及以上 Carlson 空 Carlson 空 Carlson McCarthy Carlson和McCarthy McCarthy 使用存取控制区段 使用区段可以分组和组织页面或表单上的元素。 存取控制区段有一个单独的“编辑访问列表”，控制谁可以编辑区段的内容，在编辑访问列表的用户可以修改区段中的内容，不在编辑访问列表中的用户只能阅读。 区段的编辑访问列表只能进一步细化用户的权限，不能覆盖数据库的ACL。 在Web中不支持。 使用隐藏公式 使用隐藏公式可以控制用户的操作，文本，域，表格的单元等的访问 隐藏公式也不是真正的安全措施，被隐藏的域在文档属性中可以看到。 加密文档和域 加密可以在域的级别保护信息，只有拥有密钥的人才可以访问。 加密文档中包含了一个或多个加密域，这些域被链接到用来加密域数据的密钥。 密钥可以是私有的（也就是必须将密钥发送给用户，以便用户解密域）或公共的（也就是密钥已经关联“Domino 目录”中某个用户的“个人”文档）。 公共密钥用于加密邮件文档。 Web 用户可以查看加密的域。不要把加密域做为限制 Web 用户存取的方法。 详细请看电子书 Lotus Domino安全机制 ——代理的安全性 代理的安全性 主要应考虑代理的执行者，代表者。 代理在服务器上的执行权限 代理在服务器上的权限 Lotus Domino安全机制