Lotus Domino Administrator 7 說明 - 建立安全政策設定值文件

使用者及伺服器配置

建立安全政策設定值文件
安全政策設定值文件控制「管理 ECL」、Notes 及網際網路密碼以及 Notes ID 的公開金鑰需求。

建立安全設定值

1. 請確定您具有「Domino 名錄」的「編輯者」存取權及下列其中一個角色：

PolicyCreator 角色，可以建立設定值文件
PolicyModifier 角色，可以修改設定值文件

2. 從「Domino 管理者」，選取「人員與群組」標籤，然後開啟「設定值」視界。

3. 按一下「新增設定值」，然後選擇「安全」。

4. 在「基礎」標籤中，填寫下列欄位：

欄位動作

名稱輸入名稱來定義會使用這些設定值的使用者 (如果您是服務提供者，請輸入主控組織的名稱)。

說明輸入設定值的說明。

5. 在「密碼管理」標籤上，完成下列欄位：

欄位動作

密碼管理選項

使用 Notes 用戶端的自訂密碼政策請選擇其中一項：

否 (預設值)
是 - 執行自訂密碼政策。自訂密碼政策可讓您配置特定密碼參數，讓密碼變成非一般或不可預測。使用「自訂密碼政策」標籤上的設定值以設定政策。

檢查 Notes ID 檔的密碼請選擇其中一項：

否 (預設值)
是 - 需要所有使用者 ID 的副本有相同的密碼。

允許使用者透過 HTTP 變更網際網路密碼請選擇其中一項：

是 (預設值) -- 允許使用者使用 Web 瀏覽器變更其網際網路密碼。
否

當 Notes 用戶端密碼變更時，更新網際網路密碼請選擇其中一項：

否 (預設值)
是 -- 同步化使用者網際網路密碼與 Notes 用戶端密碼。

啟動工作區豐富型用戶端的 Notes 單一登入請選擇其中一項：

否 (預設值)
是 - 允許使用者可利用 Notes 外掛程式為 IBM Workplace Rich Client 啟用單一登入

密碼到期設定

強制密碼到期請選擇其中一項：

已停用 (預設值) -- 停用密碼到期。如果您關閉密碼到期，請勿完成本區段的其餘欄位。
附註如果您為下列任何選項啟動密碼到期，則安全性設定文件預設值會變更。

僅 Notes -- 僅為 Notes 密碼啟用密碼到期。
僅網際網路 -- 僅為網際網路密碼啟用密碼到期。
Notes 及網際網路 -- 為 Notes 及網際網路密碼啟用密碼到期。
附註僅 HTTP 通訊協定可辨識網際網路密碼到期設定值。這意味著網際網路密碼可永遠用於其他網際網路通訊協定 (如 LDAP 或 POP3)。
警告如果使用者使用智慧卡登入 Domino 伺服器，請不要啟用密碼到期。

需要的變更率指定密碼的有效天數，超過此天數便必須變更密碼。預設值為 0。
附註如果您將此值設為小於 30，則會自動計算「警告週期」欄位的值。計算的值是此欄位所輸入值的 80%。

容許的寬限期指定在使用者必須變更到期的密碼以防被封鎖之前的天數。預設值為 0。

密碼歷程 (僅適用於 Notes) 指定要儲存的到期密碼數目。儲存密碼可防止使用者重新使用舊密碼。預設值為 0。

警告期間指定密碼到期之前的天數，使用者會收到到期警告訊息。預設值為 0。
附註如果將「所需的變更間隔」設定設為小於 30 天的話，則會計算此欄位的值。必須啟動密碼到期功能，此欄位的值才能被計算。如果計算此值，便無法覆寫。

自訂警告訊息輸入自訂警告訊息；當使用者的密碼超過在「警告週期」欄位中所指定的到期臨界值時，就會傳送此訊息給使用者。
附註自訂警告訊息僅適用於 Notes 用戶端，不論您如何啟動密碼到期。網際網路使用者不會看到警告訊息。

密碼品質設定

所需的密碼品質如果您需要使用者根據密碼品質來選取密碼，請從下拉清單中選取值以指定該品質。
如需相關資訊，請參閱瞭解密碼品質。

使用長度替代如果您需要使用者根據長度來選擇密碼，請按一下「是」。當您完成時，「所需密碼品質」欄位會變成「所需密碼長度」。指定此處最小的密碼長度。

6. 如果您已選擇執行自訂密碼政策，請在「自訂密碼政策」欄位中完成下列欄位。

如需相關資訊，請參閱自訂密碼政策。

欄位動作

第一次使用 Notes 用戶端時變更密碼使用者第一次登入使用 Notes 時需要變更其密碼。
附註這只在使用者註冊期間套用了政策時才會運作。

允許密碼中的一般名稱允許在密碼中使用組合的通用使用者名稱。
例如：John232 是使用者 CN=John Doe/O=Mutt 的密碼，其中 John Doe 是通用名稱。

最小密碼長度指定使用者密碼中最小的密碼數

最大密碼長度指定使用者最多可在其密碼中使用多少個字元

最低密碼品質指定使用者密碼中的最低密碼品質

所需的英文字母字元數下限指定使用者密碼中的最小字母字元數目

所需的大寫字元數下限指定使用者密碼中最小的大寫字元數目

所需的小寫字元數下限指定使用者密碼中最小的小寫字元數目

所需的數值字元數下限指定特殊字元的數量下限，即允許使用者加入密碼的標點符號。

所需的特殊字元數下限指定特殊字元的數量下限，即允許使用者加入密碼的標點符號。

所需的重複字元數上限指定重複字元任何形式的最大數目。

所需的唯一字元數下限指定僅在密碼中顯示一次的最小字元數目

需要非小寫字元的最小數目指定在密碼中您需要的特殊字元、數字以及大寫字元的最小數目。此數的值越多會讓密碼越難猜測。
在您輸入一個數目之後，會顯示檢查清單，列出您可以為此需求指定的字元類型。您可以選取下列的任意組合：

數字
特殊字元
大寫

密碼開頭不能是指定使用者無法用來當密碼開頭的字元類型。

密碼結尾不能是指定使用者無法用來當密碼結尾的字元類型。

7. 請完成「執行控制清單」標籤中的欄位，以配置「管理 ECL」。

如需相關資訊，請參閱執行控制清單。

欄位動作

Admin ECL 預設管理 ECL 是此欄位的預設值。
請選擇其中一項：

編輯 -- 編輯預設管理 ECL。
新建 -- 建立新的管理 ECL。輸入新 ECL 名稱並選擇「工作站安全」中的選項：「執行控制清單」對話方塊。新 ECL 名稱出現在此欄位中。

更新模式請選擇其中一項：

重新顯示 -- 以對「管理 ECL」所做的變更來更新工作站 ECL。如果某設定值出現在管理及工作站 ECL 兩者中，則管理 ECL 設定會複寫工作站 ECL 設定。
取代 -- 以「管理 ECL」覆寫工作站 ECL。此選項會覆寫全部工作站 ECL 設定值。

更新頻率請選擇其中一項：

每天一次 -- 當用戶端透過起始伺服器進行認證，且自上次 ECL 更新後已經過去一天或管理 ECL 已變更時，更新工作站 ECL。
Admin ECL 變更時 -- 當用戶端透過起始伺服器進行認證且管理 ECL 自上次更新以來已變更時，更新工作站 ECL。
從不 -- 防止在認證期間更新工作站 ECL。

8. 請完成「金鑰及憑證」標籤上的欄位，以為使用者的群組配置金鑰換用。您可以為使用者的群組指定起始金鑰換用的觸發。您可以選擇在特定的時間內，為要套用此政策的使用者群組隔開換用程序。

如需金鑰換用的相關資訊，請參閱使用者及伺服器金鑰換用。

欄位動作

預設公開金鑰需求

從父項政策繼承公開金鑰需求設定
在子項政策強制執行公開金鑰需求設定

使用者公開金鑰需求

允許的最小金鑰強度選擇一項。金鑰弱於指定要被換用的金鑰：

無下限。
與所有版本相容的最大值 (630 位元)。
和第 6 版與以上的版本相容 (1024 位元)。

允許的最大金鑰強度選擇一項。將會替換強度比指定的強之金鑰。

最小值 (512 位元)
與所有版本相容的最大值 (630 位元)。
和第 6 版與以上的版本相容 (1024 位元)。

偏好的金鑰強度選擇建立新金鑰時，要使用的偏好金鑰強度：

最小值 (512 位元)。
與所有版本相容的最大值 (630 位元)。
和第 6 版與以上的版本相容 (1024 位元)。

金鑰允許的經歷時間最大值 (以天數為單位) 指定在需要替換金鑰前，金鑰可達到的經歷時間上限。預設值為 36500 天 (100 年)。

允許的最早金鑰建立日期在此日期前建立的任何金鑰將被替換。

在這些天內，為所有使用者傳送新產生的金鑰指定要針對此安全設定政策文件要套用的所有使用者，產生新金鑰的時段 (以天為單位)。使用者金鑰會在配置的時段內隨機換用。預設為 180 天。

建立新金鑰後，舊金鑰仍為有效的天數上限指定在網路鑑別期間，可使用舊金鑰的時間長短。在驗證 Notes 金鑰期間，所有憑證 (舊的及新的)，以及所有換用金鑰都將組織成樹狀結構，然後會遍訪該樹狀結構，以尋找一組可以一起鏈結以驗證金鑰的憑證。若憑證已到期，則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用，最好能設定一個簡短的值，作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天，而預設值為 365。

憑證到期設定

警告期間指定憑證到期之前的天數，使用者會收到到期警告訊息。預設值為 0。

自訂警告訊息輸入當其憑證已超過在「警告週期」欄位中所指定的到期臨界值時，將會傳送到使用者的自訂警告訊息。

9. 儲存文件。

將現存的 Admin ECL 指定給安全性設定值文件

可以藉由執行下列動作，將現存的 Admin ECL 指定至安全性設定文件：

1. 在「安全性設定值」文件下，按一下「執行控制清單」。

2. 按一下「編輯設定值」。

3. 按一下「新增」，再輸入想要指定至「安全性設定值」文件的 Admin ECL 名稱。則會顯示 Admin ECL。

4. 按一下「確定」。

若需 Notes 及網際網路密碼的相關資訊，請參閱主題設定密碼驗證及網際網路用戶端的名稱及密碼認證。

如需管理及工作站 ECL 的相關資訊，請參閱執行控制清單及預設 ECL 設定值。

另請參閱

建立政策文件

密碼品質範圍

名詞解釋

意見說明？

說明的說明

開啟完整的說明視窗

名詞解釋

意見說明？

說明的說明

開啟完整的說明視窗

欄位	動作
名稱	輸入名稱來定義會使用這些設定值的使用者 (如果您是服務提供者，請輸入主控組織的名稱)。
說明	輸入設定值的說明。

欄位	動作
密碼管理選項
使用 Notes 用戶端的自訂密碼政策	請選擇其中一項：否 (預設值) 是 - 執行自訂密碼政策。自訂密碼政策可讓您配置特定密碼參數，讓密碼變成非一般或不可預測。使用「自訂密碼政策」標籤上的設定值以設定政策。
檢查 Notes ID 檔的密碼	請選擇其中一項：否 (預設值) 是 - 需要所有使用者 ID 的副本有相同的密碼。
允許使用者透過 HTTP 變更網際網路密碼	請選擇其中一項：是 (預設值) -- 允許使用者使用 Web 瀏覽器變更其網際網路密碼。否
當 Notes 用戶端密碼變更時，更新網際網路密碼	請選擇其中一項：否 (預設值) 是 -- 同步化使用者網際網路密碼與 Notes 用戶端密碼。
啟動工作區豐富型用戶端的 Notes 單一登入	請選擇其中一項：否 (預設值) 是 - 允許使用者可利用 Notes 外掛程式為 IBM Workplace Rich Client 啟用單一登入
密碼到期設定
強制密碼到期	請選擇其中一項：已停用 (預設值) -- 停用密碼到期。如果您關閉密碼到期，請勿完成本區段的其餘欄位。附註如果您為下列任何選項啟動密碼到期，則安全性設定文件預設值會變更。僅 Notes -- 僅為 Notes 密碼啟用密碼到期。僅網際網路 -- 僅為網際網路密碼啟用密碼到期。 Notes 及網際網路 -- 為 Notes 及網際網路密碼啟用密碼到期。附註僅 HTTP 通訊協定可辨識網際網路密碼到期設定值。這意味著網際網路密碼可永遠用於其他網際網路通訊協定 (如 LDAP 或 POP3)。警告如果使用者使用智慧卡登入 Domino 伺服器，請不要啟用密碼到期。
需要的變更率	指定密碼的有效天數，超過此天數便必須變更密碼。預設值為 0。附註如果您將此值設為小於 30，則會自動計算「警告週期」欄位的值。計算的值是此欄位所輸入值的 80%。
容許的寬限期	指定在使用者必須變更到期的密碼以防被封鎖之前的天數。預設值為 0。
密碼歷程 (僅適用於 Notes)	指定要儲存的到期密碼數目。儲存密碼可防止使用者重新使用舊密碼。預設值為 0。
警告期間	指定密碼到期之前的天數，使用者會收到到期警告訊息。預設值為 0。附註如果將「所需的變更間隔」設定設為小於 30 天的話，則會計算此欄位的值。必須啟動密碼到期功能，此欄位的值才能被計算。如果計算此值，便無法覆寫。
自訂警告訊息	輸入自訂警告訊息；當使用者的密碼超過在「警告週期」欄位中所指定的到期臨界值時，就會傳送此訊息給使用者。附註自訂警告訊息僅適用於 Notes 用戶端，不論您如何啟動密碼到期。網際網路使用者不會看到警告訊息。
密碼品質設定
所需的密碼品質	如果您需要使用者根據密碼品質來選取密碼，請從下拉清單中選取值以指定該品質。如需相關資訊，請參閱瞭解密碼品質。
使用長度替代	如果您需要使用者根據長度來選擇密碼，請按一下「是」。當您完成時，「所需密碼品質」欄位會變成「所需密碼長度」。指定此處最小的密碼長度。

欄位	動作
第一次使用 Notes 用戶端時變更密碼	使用者第一次登入使用 Notes 時需要變更其密碼。附註這只在使用者註冊期間套用了政策時才會運作。
允許密碼中的一般名稱	允許在密碼中使用組合的通用使用者名稱。例如：John232 是使用者 CN=John Doe/O=Mutt 的密碼，其中 John Doe 是通用名稱。
最小密碼長度	指定使用者密碼中最小的密碼數
最大密碼長度	指定使用者最多可在其密碼中使用多少個字元
最低密碼品質	指定使用者密碼中的最低密碼品質
所需的英文字母字元數下限	指定使用者密碼中的最小字母字元數目
所需的大寫字元數下限	指定使用者密碼中最小的大寫字元數目
所需的小寫字元數下限	指定使用者密碼中最小的小寫字元數目
所需的數值字元數下限	指定特殊字元的數量下限，即允許使用者加入密碼的標點符號。
所需的特殊字元數下限	指定特殊字元的數量下限，即允許使用者加入密碼的標點符號。
所需的重複字元數上限	指定重複字元任何形式的最大數目。
所需的唯一字元數下限	指定僅在密碼中顯示一次的最小字元數目
需要非小寫字元的最小數目	指定在密碼中您需要的特殊字元、數字以及大寫字元的最小數目。此數的值越多會讓密碼越難猜測。在您輸入一個數目之後，會顯示檢查清單，列出您可以為此需求指定的字元類型。您可以選取下列的任意組合：數字特殊字元大寫
密碼開頭不能是	指定使用者無法用來當密碼開頭的字元類型。
密碼結尾不能是	指定使用者無法用來當密碼結尾的字元類型。

欄位	動作
Admin ECL	預設管理 ECL 是此欄位的預設值。請選擇其中一項：編輯 -- 編輯預設管理 ECL。新建 -- 建立新的管理 ECL。輸入新 ECL 名稱並選擇「工作站安全」中的選項：「執行控制清單」對話方塊。新 ECL 名稱出現在此欄位中。
更新模式	請選擇其中一項：重新顯示 -- 以對「管理 ECL」所做的變更來更新工作站 ECL。如果某設定值出現在管理及工作站 ECL 兩者中，則管理 ECL 設定會複寫工作站 ECL 設定。取代 -- 以「管理 ECL」覆寫工作站 ECL。此選項會覆寫全部工作站 ECL 設定值。
更新頻率	請選擇其中一項：每天一次 -- 當用戶端透過起始伺服器進行認證，且自上次 ECL 更新後已經過去一天或管理 ECL 已變更時，更新工作站 ECL。 Admin ECL 變更時 -- 當用戶端透過起始伺服器進行認證且管理 ECL 自上次更新以來已變更時，更新工作站 ECL。從不 -- 防止在認證期間更新工作站 ECL。

欄位	動作
預設公開金鑰需求	從父項政策繼承公開金鑰需求設定在子項政策強制執行公開金鑰需求設定
使用者公開金鑰需求
允許的最小金鑰強度	選擇一項。金鑰弱於指定要被換用的金鑰：無下限。與所有版本相容的最大值 (630 位元)。和第 6 版與以上的版本相容 (1024 位元)。
允許的最大金鑰強度	選擇一項。將會替換強度比指定的強之金鑰。最小值 (512 位元) 與所有版本相容的最大值 (630 位元)。和第 6 版與以上的版本相容 (1024 位元)。
偏好的金鑰強度	選擇建立新金鑰時，要使用的偏好金鑰強度：最小值 (512 位元)。與所有版本相容的最大值 (630 位元)。和第 6 版與以上的版本相容 (1024 位元)。
金鑰允許的經歷時間最大值 (以天數為單位)	指定在需要替換金鑰前，金鑰可達到的經歷時間上限。預設值為 36500 天 (100 年)。
允許的最早金鑰建立日期	在此日期前建立的任何金鑰將被替換。
在這些天內，為所有使用者傳送新產生的金鑰	指定要針對此安全設定政策文件要套用的所有使用者，產生新金鑰的時段 (以天為單位)。使用者金鑰會在配置的時段內隨機換用。預設為 180 天。
建立新金鑰後，舊金鑰仍為有效的天數上限	指定在網路鑑別期間，可使用舊金鑰的時間長短。在驗證 Notes 金鑰期間，所有憑證 (舊的及新的)，以及所有換用金鑰都將組織成樹狀結構，然後會遍訪該樹狀結構，以尋找一組可以一起鏈結以驗證金鑰的憑證。若憑證已到期，則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用，最好能設定一個簡短的值，作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天，而預設值為 365。
憑證到期設定
警告期間	指定憑證到期之前的天數，使用者會收到到期警告訊息。預設值為 0。
自訂警告訊息	輸入當其憑證已超過在「警告週期」欄位中所指定的到期臨界值時，將會傳送到使用者的自訂警告訊息。