规划目录访问控制
使用数据库 ACL 可以控制用户和 HCL Domino®服务器对 Domino® 目录的一般访问。也可以选择使用扩展 ACL 使通用数据库 ACL 更加精确,并进一步限制对目录特定部分的访问权限。扩展 ACL 仅可用于 Domino® 目录和扩展目录编目。
规划目录访问控制时您可能会提出下列问题:
- 是否需要为管理员分配 Domino® 目录中的特定管理角色?
- 如果您公司中的管理员负有特殊的管理职责,请考虑仅为管理员分配 ACL 中相应于其职责的管理角色。如果公司中的管理员负责所有的管理任务,则应为其分配所有角色。
- 是否需要使用扩展 ACL?
- 使用扩展 ACL 的原因之一是要限制对包含多个组织或组织单元信息的目录的跨组织访问。
- 是否需要允许对目录的匿名访问?
- 缺省情况下,使用 Domino® 目录中域的“配置设置”文档控制匿名 LDAP 搜索访问。缺省情况下,匿名的 LDAP 用户对特定的属性列表拥有“读者”访问级别。
目录数据库 ACL 中的“Anonymous”条目缺省情况下设置为“不能访问者”,以控制除 LDAP 用户外其他所有用户的匿名访问权限。如果使用了扩展 ACL,则数据库 ACL 中的”Anonymous”条目以及扩展 ACL 还可以控制匿名 LDAP 访问权限。通常情况下应该仅为”Anonymous”条目赋予不超过“读者”的访问级别。