扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共19页)
Domino服务器的安全性保障
对Domino服务器的访问的安全包护包括对各种用户访问权限的设置,和对代理执行权限的设置。此间大部分内容包括在Domino服务器文档的“security(安全)”符签中。接下来让我们从security符签开始吧!
图2
Domino服务器的管理员权限
自Domino R6开始,Domino的管理员权限被设置为七分级管理,不同级别的管理员在Domino系统中能够管理不同的事务。这使得更复杂的权限策略能够被实现也使得Domino服务器变的更安全(尽管实施起来较为复杂)。Domino管理员权限如下逐渐降低受限。
完全权限管理员→管理员→数据库管理员→完全远程控制台管理员→仅查看管理员→系统管理员→受限制的系统管理员
完全权限管理员-超级管理员,列在这个域中的用户,可以说是Domino系统中权限最高的人。因为完全权限管理员已经超越了下面的限制
1. 数据库ACL
2. 文档的读者域
3. 受限模式下运行代理
即无论Domino服务器上数据库ACL中有没有设置,完全权限管理员都是所有数据库的管理者;无论文档的读者域中做何设置,完全权限管理员都能看见该文档;无论何时完全权限管理员都能运行受限模式下的代理。
既然权限这么高,完全权限管理员在什么条件下才能工作呢?无论权限有多高完全权限管理员必须使用Domino Administrator(管理客户端)才能工作,并且必须在登录系统后在管理客户端“管理”菜单启用“完全访问管理”才能完全进行工作。设置位置如下图3所示:
图3
那么我们该如何限制完全权限管理员呢?很简单有一个方法可以,在Domino服务器的notes.ini文件中加入下面的参数,无论完全权限管理员域中有多少个用户,都不起作用。
SECURE_DISABLE_FULLADMIN = 1
看看有什么东西完全权限管理员访问不了?哦,他无法访问加密数据。呵呵用了密钥加密的东西他当然不应该能访问了。
思考:由于完全权限管理员的权限过大,我们只有在紧急或需要的情况下才使用,并且不能把用户长期放置在该域中,这也就是为什么这个域在默认情况下是空的。
管理员-最初服务器配置过程中设置的管理员会默认填写在该域中,当然该域中也可以设置其它用户或群组。总之该域中设置的管理员权限也很强大。看看他都能干什么:
1. 对web administrator数据库具有管理者权限-可以从web上管理服务器
2. 操作数据库或文件夹链接,设置管理目录(文件夹)链接的ACL
3. 压缩删除数据库,创建数据库和主模板(默认情况下,任何人都可以创建)
4. 创建、更新、删除全文索引
5. 管理某些数据库属性选项
6. 管理远程控制台
7. 使用邮件跟踪
8. 超越Server_Restricted参数的限制
看出来了,这个管理员非常能干,要是考CLP考试的话我们得把这些能干得记录背下来并理解了,呵呵。
数据库管理员-顾名思义,这个域里面列出的用户、群组或*/ou/o(这个东西当然是通配符了)是专门操作管理服务器上数据库的。他们所进行的管理操作仅限于对数据库的,当然这些权限上面的那些管理员全都有。
1. 操作数据库或文件夹链接,设置管理目录(文件夹)链接的ACL
2. 压缩删除数据库,创建数据库和主模板(默认情况下,任何人都可以创建)
3. 创建、更新、删除全文索引
4. 管理某些数据库属性选项
注意:此处列出的用户并不能自动被加入到数据库的存取控制列表中,就更不能被赋予数据库的管理者了。
完全远程控制台管理员-此处列出的用户、群组或*/ou/o,可以使用远程控制台向服务器发送命令。
思考题:当服务器文档中此域为空时,谁可以使用远程控制台向服务器发布命令?
仅查看管理员-填写规范就不在赘述,这个家伙较惨,能从远程控制台发布命令吧?能,但只能发布那些查看状态的命令,不能发布对服务器运行产生影响的命令。
系统管理员-这个系统管理员指的是操作系统管理员,更详细的说是列在这个域中的用户可以发布完全的操作系统命令。很显然我们用过Domino的用户或管理员可能会发现,我们在Domino的控制台也好,远程控制台也好是发布不了操作系统命令的,那么为什么这里说可以呢?当然这是有条件的。
要使用这项功能,我们必须运行Domino服务器控制器。很好又出来了个新概念“Domino服务器控制器”?Domino服务器控制器其实是个java程序,来干嘛的呢?来控制Domino服务器的。就这样简单。说道这儿我们必须得讲讲Domino在启动时的参数。关于Domino的启动参数见下表:
表2
启动命令 描述
nserver -jc 运行服务器控制器、服务器、服务器控制台
nserver -jc -c 运行服务器控制器、服务器
nserver -jc -s 运行服务器控制器、服务器控制台
nserver -jc -c -s 只运行服务器控制器
思考题1:什么是服务器控制器、服务器、服务器控制台?
思考题2:为何要设置这些启动参数来启动服务器?
受限制的系统管理员-受限制的系统管理员,就是不能发布那么多操作系统命令,那么他能发布什么命令呢?他只能发布列在“受限制的系统命令”域里面的命令,这个域的位置就在“受限制的系统管理员”域下面。
好了好了,这几个域终于罗嗦完了。
2007-3-29晚
Zz于北京五道口
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1541902
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者