Domino系统安全性(二)-Domino服务器的分级管理

最新推荐文章于 2020-06-24 06:12:22 发布
最新推荐文章于 2020-06-24 06:12:22 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Lotus/Domino开发 文章标签: 服务器 数据库 文档 security 工作 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqzmrlc/article/details/1563710
版权
Domino 服务器的访问的安全包护包括对各种用户访问权限的设置,和对代理执行权限的设置。此间大部分内容包括在 Domino 服务器文档的“ security (安全)”符签中。接下来让我们从 security 符签开始吧!
2
Domino 服务器的管理员权限
Domino R6 开始, Domino 的管理员权限被设置为七分级管理,不同级别的管理员在 Domino 系统中能够管理不同的事务。这使得更复杂的权限策略能够被实现也使得 Domino 服务器变的更安全(尽管实施起来较为复杂)。 Domino 管理员权限如下逐渐降低受限。
完全权限管理员→管理员→数据库管理员→完全远程控制台管理员→仅查看管理员→系统管理员→受限制的系统管理员
完全权限管理员 -超级管理员,列在这个域中的用户,可以说是 Domino 系统中权限最高的人。因为完全权限管理员已经超越了下面的限制
1.       数据库ACL
2.       文档的读者域
3.       受限模式下运行代理
即无论 Domino 服务器上数据库 ACL 中有没有设置,完全权限管理员都是所有数据库的管理者;无论文档的读者域中做何设置,完全权限管理员都能看见该文档;无论何时完全权限管理员都能运行受限模式下的代理。
既然权限这么高,完全权限管理员在什么条件下才能工作呢?无论权限有多高完全权限管理员必须使用 Domino Administrator (管理客户端)才能工作,并且必须在登录系统后在管理客户端“管理”菜单启用“完全访问管理”才能完全进行工作。设置位置如下图 3 所示:
3
那么我们该如何限制完全权限管理员呢?很简单有一个方法可以,在 Domino 服务器的 notes.ini 文件中加入下面的参数,无论完全权限管理员域中有多少个用户,都不起作用。
SECURE_DISABLE_FULLADMIN = 1
看看有什么东西完全权限管理员访问不了?哦,他无法访问加密数据。呵呵用了密钥加密的东西他当然不应该能访问了。
思考: 由于完全权限管理员的权限过大,我们只有在紧急或需要的情况下才使用,并且不能把用户长期放置在该域中,这也就是为什么这个域在默认情况下是空的。
 
管理员- 最初服务器配置过程中设置的管理员会默认填写在该域中,当然该域中也可以设置其它用户或群组。总之该域中设置的管理员权限也很强大。看看他都能干什么:
1.       对web administrator数据库具有管理者权限-可以从web上管理服务器
2.       操作数据库或文件夹链接,设置管理目录(文件夹)链接的ACL
3.       压缩删除数据库,创建数据库和主模板(默认情况下,任何人都可以创建)
4.       创建、更新、删除全文索引
5.       管理某些数据库属性选项
6.       管理远程控制台
7.       使用邮件跟踪
8.       超越Server_Restricted参数的限制
看出来了,这个管理员非常能干,要是考 CLP 考试的话我们得把这些能干得记录背下来并理解了,呵呵。
数据库管理员 -顾名思义,这个域里面列出的用户、群组或 */ou/o( 这个东西当然是通配符了 ) 是专门操作管理服务器上数据库的。他们所进行的管理操作仅限于对数据库的,当然这些权限上面的那些管理员全都有。
1.       操作数据库或文件夹链接,设置管理目录(文件夹)链接的ACL
2.       压缩删除数据库,创建数据库和主模板(默认情况下,任何人都可以创建)
3.       创建、更新、删除全文索引
4.       管理某些数据库属性选项
注意:此处列出的用户并不能自动被加入到数据库的存取控制列表中,就更不能被赋予数据库的管理者了。
完全远程控制台管理员- 此处列出的用户、群组或 */ou/o ,可以使用远程控制台向服务器发送命令。
思考题:当服务器文档中此域为空时,谁可以使用远程控制台向服务器发布命令?
仅查看管理员 -填写规范就不在赘述,这个家伙较惨,能从远程控制台发布命令吧?能,但只能发布那些查看状态的命令,不能发布对服务器运行产生影响的命令。
系统管理员 - 这个系统管理员指的是操作系统管理员,更详细的说是列在这个域中的用户可以发布完全的操作系统命令。很显然我们用过 Domino 的用户或管理员可能会发现,我们在 Domino 的控制台也好,远程控制台也好是发布不了操作系统命令的,那么为什么这里说可以呢?当然这是有条件的。
要使用这项功能,我们必须运行 Domino 服务器控制器。很好又出来了个新概念“ Domino 服务器控制器”? Domino 服务器控制器其实是个 java 程序,来干嘛的呢?来控制 Domino 服务器的。就这样简单。说道这儿我们必须得讲讲 Domino 在启动时的参数。关于 Domino 的启动参数见下表:
 
2
启动命令
描述
nserver -jc
运行服务器控制器、服务器、服务器控制台
nserver -jc -c
运行服务器控制器、服务器
nserver -jc -s
运行服务器控制器、服务器控制台
nserver -jc -c -s
只运行服务器控制器
思考题 1 :什么是服务器控制器、服务器、服务器控制台?
思考题 2 :为何要设置这些启动参数来启动服务器?
受限制的系统管理员 -受限制的系统管理员,就是不能发布那么多操作系统命令,那么他能发布什么命令呢?他只能发布列在“受限制的系统命令”域里面的命令,这个域的位置就在“受限制的系统管理员”域下面。
 
陆君风
关注
专栏目录
关于Lotus Domino HTTP密码安全性的说明和建议
03-09
关于Lotus Domino HTTP密码安全性的说明和建议
浅析利用LOTUS DOMINO平台开发永煤集团OA办公自动化系统.pdf
09-14
这种机制有效保障了系统权限分级控制和安全性。 3. 员工信息管理:系统应具备员工信息的添加、修改、删除及查询功能,管理员可以根据员工所属部门进行信息管理,对员工的调整和调动提供了便捷的操作。 4. 柜台...
Domino系统安全性(一)-Domino系统的安全架构
陆君风的专栏
04-13 1699
Domino系统的安全架构我们在这里讨论的Domino系统不是一般意义上(狭义范围内)的Domino系统,而是对包含了Domino安全模型、Domino系统安全和为保证Domino系统安全而进行的组织机构的建设的综合研究和讨论。事实上在使用Domino的大型机构里面,对上述几方面内容建设执行中没有主次之分均是重中之重。图1Domino安全模型的基础Domino安全模型建
谈Notes和Domino提供的安全级别
weixin_34038652的博客
06-04 89
谈Notes和Domino提供的安全级别 在谈及Notes和Domino安全性之前,我们可以看图 1所示从上到下的九个层,最上一层限制访问D o m i n o服务器所在的网络,最下一层涉及Domino文档内的域级别的安全性。图1实际上描述了访问权限从上到下越来越严格的特性。 图1 下面我们将介绍N o t e s和D o m i n o安全级别。 1. 网络安全性 对于网络的...
domino密码安全策略配置建议
林中随行的博客
05-09 828
百度文库地址,写的很详细的配置项目 https://wenku.baidu.com/view/9b02203708a1284ac95043c3.html
Lotus Domino/Notes development 学习笔记(1)
lius008的专栏
06-01 333
<br />最近打算用Lotus做个项目,第一次接触感觉不太容易上手,网上的资料少的可怜,只有凑合了。项目时间很紧,不知道能不能搞定。<br />Lotus Notes/Domino 是业界公认的群件“鼻祖”和事实标准。它有机集成了电子邮件系统文档数据库和 Web 服务器。在 Domino 中,以邮件系统为通讯基础,以文档数据库存放信息进行数据的分析处理和管理,以 Web 服务器提供用户更灵活的访问服务器的方式。<br />Lotus Domino/notes 分为 Domino 服务器和 Notes 客
理解 IBM Lotus Domino 邮件数据库的限额
陆君风的专栏
04-16 3001
学习邮件限额的实现如何能显著增强管理团队控制邮件数据库大小的能力 —— 管理 IBM Lotus Domino 环境的一个重要能力。学习实现限额所需的步骤和对用户群的影响。邮件数据库的大小以及它们在服务器上使用的资源是许多公司都非常关注的。邮件数据库越大,管理团队管理备份和维护环境就越困难。另外,由于对处理器、内存、磁盘输入/输出(I/O)和带宽需求的增加,当用户访问数据库时会发现服务器和他们
衢州市第人民医院容灾备份系统
weixin_33725722的博客
11-30 365
采购内容及要求序号产品名称产品模块产品描述数量1存储容灾一体机系统主机模块机架式IP SAN/NAS存储系统;64位六核存储处理器*1,可扩到双路八核;128GB缓存,最大支持不小于512GB;RAID0、1、10、5、6;Stor Manager存储管理软件、虚拟化管理平台、和灾备控制模块,支持Snapshot、Email报警、SSD CCache掉电保护,冗余热插拔交流...
OA服务器管理:DOMINO/NOTES安装与配置详解
1. 安全性:通过ID与口令双重验证,以及应用模块的分级权限管理,确保数据的安全性和用户的访问权限控制。 2. 广泛应用:适用于政府、金融、电信、教育机构和企业等多个行业,满足不同领域对高效协作的需求。 3. ...
金融_保险公司_Domino邮件系统.ppt
03-09
金融保险公司的邮件系统基于Lotus Domino,涉及公司总部和全国20多个分公司的复杂网络环境,包括AIX、SUN Solaris、Windows等多个平台,采用多版本的Lotus Domino集群服务器。邮件路由根据Notes逻辑在内部网络域和外...
IBM Lotus Domino/Notes办公自动化系统安装与配置
Lotus Domino/Notes的安全性是其一大亮点,采用ID与口令的双重验证机制,同时提供应用模块的分级权限管理,确保了信息的安全。该系统不仅适用于政府、金融、电信、教育等多元领域,而且界面友好,支持B/S(浏览器-...
定制Lotus Domino/Notes办公自动化系统安装与个性化配置
1. **安全性**:Domino/Notes采用双重验证机制,即ID与口令,确保数据的安全。同时,它还支持应用模块的分级权限管理,根据员工角色分配不同级别的访问权限。 2. **广泛应用领域**:由于其强大的功能和易用性,...
Q:管理员在domino ad中无法对用户文件进行操作,提示无权限
jacky的专栏
03-24 2670
<br /><br /><br />1、使用domino ad连接服务器后,进入域->配置->当前服务器文档->安全性,将“具有完全权限的管理员”和“数据库管理员”设置为管理员帐号;<br /><br />2、进入domino ad,在菜单“管理”->选择“完全访问管理”<br /> <br /><br /> 
lotus domino_保护IBM Lotus Domino Web服务器的安全:案例研究
cuyi7076的博客
06-24 1334
许多客户在其Intranet或Internet网站中使用IBM Lotus Domino。 在这些环境中保护Domino服务器对于确保数据的完整性和网站(尤其是Internet)的可用性非常重要。 我们先前的developerWorks Lotus文章“ 保护Domino Web服务器的安全”讨论了Domino安全模型以及如何在Web认证,服务器安全和数据安全方面保护Web服务器的安全。 在本...
用 LotusScript 实现 Excel 报表的自动生成和操作
陆君风的专栏
04-12 3903
使用 HTML 和 JavaScript 为 Lotus Domino 创建一个 Web 2.0 风格的瘦 Web 客户机。基于以前有关 IBM Lotus Domino XML (DXL) 框架的文章,本文向您介绍如何使用 Ajax 扩展 Notes/Domino 应用程序。在文章 “访问 Notes/Domino 数据的定制 DXL 框架” 中,我向您介绍了 Lotus Domino XM
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值