安全性

Web 用戶端之以階段作業為基礎的名稱及密碼認證
若要為具有 Domino Web 伺服器存取權的 Web 用戶端設定名稱及密碼認證,您可以使用下列兩個方法中的一個:基本名稱及密碼認證或以階段作業為基礎的名稱及密碼認證。以階段作業為基礎的名稱及密碼認證包括基本名稱及密碼認證所沒有的額外功能。階段作業會定義為 Web 用戶端使用 Cookie 主動登入伺服器的時間。若要指定啟用及控制階段作業認證的設定值,請根據您的配置決定是編輯「網站」文件還是「伺服器」文件。

此外,您還有兩個選項來啟用以階段作業為基礎的認證:單一及多重伺服器選項。單一伺服器選項會使伺服器產生僅由產生它之伺服器所承認的 Cookie,而多重伺服器選項會產生允許使用共用Web SSO 配置文件的任何伺服器進行單次登入的 Cookie。

若要使用以階段作業為基礎的認證,Web 用戶端必須使用支援 cookies 的瀏覽器。Domino 使用 cookies 追蹤使用者階段作業。

以階段作業為基礎的名稱及密碼認證功能

名稱及密碼認證傳送用戶端的名稱及未加密的密碼,且與每個申請一同傳送至伺服器。使用者名稱及密碼資訊只會在使用者登入伺服器時透過網路傳送,而不是在每次貼入要求時傳送,以階段作業為基礎的鑑定則有所不同。登入之後,使用者的名稱及登入資訊會儲存在使用者瀏覽器的 Cookie 中,而瀏覽器會將 Cookie 連同每個要求一起傳送。伺服器會先驗證 Cookie 中的資訊,然後使用 Cookie 內容來識別登入使用者,才會接受要求。階段作業只有在已執行登入的瀏覽器內有效。如果使用者關閉執行階段作業登入的瀏覽器,將會結束使用者的階段作業並毀棄 Cookie。

使用以階段作業為基礎的名稱及密碼認證對使用者交談的控制較基本名稱及密碼認證大。例如,您可以自訂使用者輸入名稱及密碼資訊的套表。也容許使用者在不關閉瀏覽器的情況下登出階段作業。

自訂 HTML 登入套表

HTML 登入套表可讓使用者輸入名稱及密碼,再使用該名稱及密碼進行整個使用者階段作業。瀏覽器會使用伺服器字集來將名稱及密碼傳送到伺服器。對於 HTTP 階段作業認證,使用者可以使用 Unicode 中任何可列印字元來輸入名稱。但使用者密碼必須以 US-ASCII 中的任何可列印字元來輸入。

附註 可列印字元不包括控制字元。

Domino 提供預設的 HTML 套表 ($$LoginUserForm),在「Domino 配置」資料庫 (DOMCFG.NSF) 中提供並配置該套表。您可自訂套表或建立自己的套表以包含額外資訊。

階段作業閒置逾時

可指定預設的登出時段,在指定的無活動期間後,將 Web 用戶端登出伺服器。這會強制 Domino 用來追蹤使用者階段作業的 Cookie 到期。自動將使用者登出伺服器,可在使用者未登出即離開工作站時,防止其他人使用 Web 用戶端假冒使用者。如果您為伺服器啟用以階段作業為基礎的名稱及密碼認證,則使用者亦可將 ?logout 加至 URL 的最後以登出階段作業,例如 http://acmeserver/sessions.nsf?logout

亦可重新導向 logout 到設計元素或 URL。例如:


可將此表示式建置到應用程式中 (例如,將其用在按鈕中) 或作為 URL 鍵入。

使用者階段作業數目的最大值

可指定伺服器上允許之並行使用者階段作業的最大數目 (僅用於單一伺服器以階段作業為基礎的認證)。如果伺服器效能較低,則您可降低此數字。

網際網路密碼管理

Domino 7 可以透過政策文件及自訂密碼政策,為以階段作業為基礎的鑑定提供管理網際網路密碼的功能。

多重伺服器之以階段作業為基礎的認證

多重伺服器之以階段為基礎的認證 (亦稱為單次登入) 允許 Domino Cookie 跨越伺服器。亦允許 Domino 及 Websphere 伺服器互動及共用 Cookie。

附註 如果伺服器已設定為環繞式 DNS,則應對以階段作業為基礎的名稱及密碼認證使用多重伺服器 (或單次登入) 選項。當將循環式 DNS 與單一伺服器 Cookie 搭配使用時,伺服器無法在記憶體中儲存階段作業資訊。此外,如果伺服器重新啟動或當機,則階段作業資訊會丟失,然後使用者必須重新輸入其名稱及密碼。在多重伺服器設定中,在某個伺服器重新啟動時 (如果 Cookie 尚未到期),該階段作業 Cookie 仍舊有效;不過,使用者必須繼續從執行使用者登入的同一個瀏覽器視窗中存取該伺服器。

另請參閱