Validation et authentification pour les clients Internet et intranet

Une fois que vous avez configuré un accès par nom et par mot de passe et créé des documents Personne pour les utilisateurs Internet/Intranet, Domino® authentifie les utilisateurs soit lorsqu'ils tentent d'exécuter une action pour laquelle l'accès est restreint, soit lorsque la connexion anonyme n'est pas autorisée sur le serveur.

Domino® demande un nom et un mot de passe à tout utilisateur tentant d'ouvrir une base de données pour laquelle la valeur Pas d'accès est activée par défaut. L'authentification réussit uniquement si l'utilisateur fournit un nom et un mot de passe correspondant au nom et au mot de passe stockés dans le document Personne de l'utilisateur (ou dans un annuaire LDAP, certains utilisateurs sont authentifiés d'après un annuaire LDAP et non un enregistrement Personne) et si la liste de contrôle d'accès (LCA) de la base de données offre un accès à cet utilisateur. Dans un tel schéma, les utilisateurs anonymes ne peuvent pas s'authentifier.

Vous pouvez activer les accès par nom/mot de passe et les accès anonymes avec TCP/IP et SSL.

Cette section s'applique également aux clients Web qui accèdent à un serveur Web Domino® pour lequel l'authentification pour les sessions est activée.

Remarque : La DSAPI (Domino® Web Server Application Programming Interface) est une interface de programmation d'applications (API) en C que vous utilisez pour écrire les extensions pour le serveur Web Domino®. L'utilisation de ces extensions ou filtres vous permet de personnaliser l'authentification des utilisateurs Web. Pour plus d'informations sur DSAPI, reportez-vous au kit d'outils C API pour Lotus® Domino® et Notes®.

Exemple de validation et d'authentification

L'exemple qui suit illustre la méthode employée par un client (André) pour se connecter à un serveur (Courrier-Est) à l'aide du protocole TCP/IP.

  1. André tente d'accéder à une base de données du serveur Courrier-Est.
  2. Le serveur vérifie le document de site Internet (ou le document Serveur) pour déterminer si les accès anonymes sont autorisés pour TCP/IP. Si c'est le cas :
    1. Le serveur recherche une entrée Anonymous dans la LCA de la base. Si Anonymous existe et que le niveau d'accès pour Anonymous est Lecteur ou supérieur, André a accès à la base anonymement.
    2. Si la LCA ne contient pas d'entrée Anonymous, le serveur contrôle l'accès par défaut défini dans la LCA. Si l'accès par défaut est de niveau Lecteur ou supérieur, André se connecte anonymement à la base via l'accès par défaut.
  3. Si les accès anonymes sont désactivés pour le protocole ou si la LCA de la base n'autorise pas les accès anonymes, le serveur vérifie le document de site Internet (ou le document Serveur) pour déterminer si l'accès par nom/mot de passe est activé pour TCP/IP. Dans l'affirmative :
    1. Le serveur invite André à entrer son nom et son mot de passe.
    2. Le serveur recherche le nom d'utilisateur qu'André a entré dans le navigateur. Le serveur utilise soit l'option Plus de variantes de noms et moins de sécurité , soit l'option Moins de variantes de noms et plus de sécurité comme mécanisme de recherche pour rechercher le nom entré dans tous les annuaires.
    3. Si une correspondance est trouvée pour le nom d'utilisateur d'André et si son mot de passe correspond à celui du champ Mot de passe Internet du document Personne, André est authentifié. Le serveur recherche le document Personne dans l'annuaire Domino® principal. S'il est configuré pour rechercher dans les annuaires Domino® et LDAP secondaires, il effectue également des vérifications dans ces annuaires Domino® et LDAP secondaires.
      Remarque : Lorsque Domino® authentifie un utilisateur Internet, il utilise le nom distinctif (DN), c'est-à-dire le premier nom qui apparaît dans le champ Nom complet d'un document Personne. Ce nom doit être utilisé dans les entrées des groupes, de l'administration serveur déléguée, des LCA de bases de données et des documents de protection de fichiers.

    Pour les utilisateurs qui, à défaut d'enregistrements Personne, disposent d'enregistrements dans un annuaire LDAP secondaire, il est possible que le nom LDAP de l'utilisateur apparaisse dans la LCA. Pour autoriser un accès à l'utilisateur, la LCA doit inclure le nom LDAP de l'utilisateur (sauf si la base Directory Assistance associe le nom de l'utilisateur à un nom Domino® correspondant, auquel cas le nom spécifique (DN) Domino® doit apparaître dans la LCA).

    1. Ensuite, le serveur compile une "grouplist" qui contient le nom distinctif d'André, ainsi que toutes les entrées de caractères génériques et tous les groupes dont il est membre sur ce serveur.
    2. Le serveur vérifie ensuite la LCA de bases de données pour déterminer si le nom d'André est répertorié de façon explicite dans la LCA ou si n'importe quelle entrée de la grouplist correspondant à ce nom apparaît dans la LCA.
    3. Si le nom distinctif d'André ou le nom de n'importe quel groupe dont il est membre correspond à une entrée de la LCA, André peut se connecter à la base en bénéficiant du niveau d'accès spécifié pour cette entrée dans la LCA. Sinon, il se verra refuser l'accès.