Domino保护internet口令安全.docxVIP

保护 Internet 口令的安全 Internet 口令可能会受到恶意源头的攻击。例如： 一种攻击类型是读取 IBM(R) Lotus(R) Domino(TM) 目录中的所有散列口令。用户的 Internet 口令以散列版本存储在 Domino 目录的用户“个人”记录中。该目录可由系统的所有用户公开访问。您可以使用 xACL 来防止此类攻击，从而阻止对散列口令的访问。 另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全的口令格式、使用更难猜度的口令，或者通过在服务器上启用 Internet 口令锁定功能，可以防止此类攻击。 使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这些口令更加难以猜度。 xACL 更多安全口令格式 Internet 口令锁定 使用 xACL 保护 Internet 口令的安全 用来保护 Internet 口令的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。 对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令进行管理性更改）。 首先，为 Domino 目录启用扩展访问： 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 确保在数据库的 ACL 中具有“管理者”访问权限。 单击“高级”，然后选择“启用扩展权限”。 在下列提示中单击“是”以继续。 “启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅 Domino Administrator 帮助。Do you want to continue?”时， 在下列提示中单击“是”。该提示只有在数据库 ACL 的高级选项“强制所有副本使用一致的访问控制列表”尚未启用时才会出现： “必须首先启用一致性访问控制。是否立即启用？” 在下列的提示中单击“确定”： “如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以避免冲突。” 在“访问控制列表”对话框中单击“确定”。 在下列的提示中单击“确定”： “正在启用扩展访问控制限制。这可能要花费一点时间。” 接下来，设置扩???访问权限来保护 Internet 口令。 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 单击“扩展权限”。此时将出现“扩展访问权限”对话框。 在“目标”窗格中，选择根目录 [ /] 然后单击“添加”。 在“访问列表”窗格中，选择“缺省”。 单击“表单和域权限”。此时出现“表单和域”对话框。 在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。 在“域”列表框中： 选择 HttpPassword，然后将“读写”访问权限设置为“拒绝”。 如果出现 dspHttpPassword，则选择 dspHttpPassword 然后将“读写”访问权限设置为“拒绝”。 单击“确定”。 对于下列访问列表条目的“个人”表单中的 HttpPassword 和 dspHttpPassword（如果出现的话）设置重复此过程： 访问列表条目读取访问设置写入访问设置自己允许允许[本地管理员组]允许允许[本地服务器组]允许允许备注 如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中 HTTPPassword 和 dspHTTPPassword（如果出现的话）域的读写访问权限。 备注 为 Domino 目录启用了 xACL 之后，LDAP 匿名访问就不受“所有服务器配置”文档中域列表的控制了。因为匿名的缺省 xACL 设置为“无访问权限”，所以一旦启用了 xACL，所有匿名 LDAP 搜索则都会失败。 使用更为安全的口令格式 输入 Internet 口令并保存“个人”文档后，Domino 自动单向加密 Internet 口令域。要提高缺省口令的质量，请使用更为安全的口令格式。 可升级现有的“个人”文档的口令格式，或者自动对创建的所有“个人”文档使用更安全的口令格式。 现有的“个人”文档 从 Domino Administrator 中，单击“个人和组”，然后选择要升级到更安全的口令格式的“个人”文档。 选择“操作”-“升级 Internet 口令格式”。 如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 - 与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6 或更高版本相兼容的口令验证”。 新的“个人”文档 从 Domino Admi