标识保险库密码重置安全性
保险库的一个好处是当用户忘记标识上的密码时可轻松重置密码。有两种模型可用于重置密码:获得授权的人员可以使用 Domino® Administrator 为用户重置密码,或者用户或获得授权的人员可以使用定制应用程序重置密码。您可以实现一种或所有两种模型。
这两种模型都有两个安全性注意事项:重置密码的人员或应用程序的信任,以及要重置其密码的用户的身份的信任。对重置密码的人员或应用程序的权限的信任通过特殊用途的交叉证书(称为密码重置证书)建立。您使用或工具来从保险库中存储的用户标识的父验证者发布密码重置证书。这些证书在 Domino® 目录的视图中创建。对要重置密码的用户的身份的信任必须由重置密码的人员或应用程序建立。
使用 Domino® Administrator 重置密码的人员的密码重置权限
以具有密码重置权限的身份登录到 Domino® Administrator 的人员可以使用重置密码工具重置用户密码。要向这些人员授予密码重置权限,Domino® 管理员可为个人或组织单元创建密码重置证书。不能为目录组创建密码重置证书,但可以选择组作为为每个当前成员轻松创建个人密码重置证书的方式。
通过 Domino® Administrator 重置密码的人员有两种选项来将新密码传达给用户。他们可以选择新密码或生成随机密码,然后自行向用户通知密码。他们应具有确认用户身份的方法,这一点非常重要。或者,他们也可以生成随机新密码,并通过加密电子邮件将该密码发送给某个人员,例如,用户的经理。
您应向特别为重置密码而注册并使用的标识授予密码重置权限。
应用程序的密码重置权限
开发者可以使用 C、Java™、JavaScript™ 或 LotusScript® 中可用的 ResetUserPassword 方法来开发用于重置密码的定制应用程序。这可以是允许用户重置自己密码的自助应用程序,也可以是技术支持人员用于重置用户密码的应用程序。
如果在 LotusScript® 代理程序或 Java™ 代理程序中使用 ResetUserPassword 方法,必须将带有自助密码重置权限标志的密码重置权限授予已签署代理程序的用户身份,最好是专门为此目的注册的用户身份。要部署代理程序的服务器也必须具有此权限,并且必须为代理程序签名者授予运行受限的 LotusScript/Java 代理程序访问权。
如果在非代理程序应用程序中使用 ResetUserPassword 方法,请将具有自助密码重置权限标志的密码重置权限授予已授权运行应用程序的用户或服务器身份。
应用程序负责验证使用该程序的用户的身份。这可以通过使用 Domino® Web 服务器 HTTP 用户名和密码来完成。或者,应用程序本身可以处理认证,例如通过使用 LDAP 目录服务器认证或通过向用户提出个人问题。
Domino® 随附一个样本自助应用程序,它使用 LotusScript® 代理程序中的 ResetUserPassword 方法,您可以为您的环境定制该应用程序。