比較公開金鑰值

永遠都會檢查在驗證期間交換的使用者及伺服器憑證上的簽名。您可以啟用公開金鑰的其他驗證層次,方法是以「HCL Domino® 名錄」列出的金鑰值檢查憑證中傳遞的金鑰值。使用者以伺服器進行鑑別,但可能會有使用者憑證的公開金鑰值和 Domino® 名錄中列出的值不相符的情況發生。

執行這項作業的原因和時機

這個額外的金鑰驗證層次可以避免誤用到遺失或是已被洩漏的 ID 檔案。通常,如果 ID 檔案已遺失,則必須要註冊它的擁有者以建立新的 ID 檔案及目錄項目;而且如果 ID 檔案已被洩漏,就必須要換用 ID 檔案擁有者的公開及私密金鑰,並且要認證新的那組金鑰(這樣才會更新目錄項目)。啟用目錄層次的金鑰檢查,攻擊者就無法以所擁有的舊 ID 檔案來存取伺服器,即使舊的 ID 檔案中包含有效的憑證。

如果驗證成功但偵測到有不相符之處,您也可以選擇控制是否要產生記錄訊息。這可讓管理員偵測出未與目錄項目同步化的 ID 檔案內容,但因為公開金鑰不相符,這樣做並無法避免那些使用者進行驗證。

程序

  1. 從「Domino® 管理員」中,按一下「配置」標籤,然後開啟「伺服器」文件。
  2. 按一下安全標籤。
  3. 「安全性」設定區段中,按一下「比較公開金鑰」旁邊的清單,然後選擇下列其中一個選項:
    • 強制所有 Notes 使用者及 Domino 伺服器執行金鑰檢查:比較鑑別期間所傳遞憑證中的金鑰值與 Domino® 名錄中儲存的金鑰值。未列在受信任目錄中的任何使用者或伺服器,將會視為進行此項驗證檢查失敗,而且將不允許存取此伺服器。
    • 僅強制授信目錄中列出的 Notes 使用者及 Domino 伺服器執行金鑰檢查:只有當使用者或伺服器列在授信目錄中時,才比較鑑別期間所傳遞憑證中的金鑰值跟目錄中儲存的金鑰值。未列在授信目錄中的任何使用者或伺服器,將會視為已通過此項驗證檢查。
      註: 此選項可讓管理員將伺服器上資料庫及應用程式的存取權,授與給未列在目錄中的使用者。例如,資料庫可能已設定其「存取控制清單」,將編輯者存取權授與 Domino® 名錄中列出的使用者,並將讀者權限授與其他人。因此如果啟用此金鑰檢查選項,未列在目錄」中的使用者仍可以存取伺服器使用資料庫,但將只會擁有讀者存取權。
    • 不強制執行金鑰檢查:如果只想要在鑑別期間檢查憑證簽章,而不要針對目錄內容驗證金鑰。
  4. 按一下「記載公開金鑰不符狀況」旁邊的清單,然後選擇下列其中一個選項:
    • 記載所有 Notes 使用者及 Domino 伺服器的金鑰不符狀況:記載當鑑別期間所傳遞憑證中的金鑰值與 Domino® 名錄中儲存的金鑰值不符時發生的事件。
    • 僅記載授信目錄中的 Notes 使用者及 Domino 伺服器的金鑰不符狀況:只有當使用者或伺服器列在授信目錄中時,才記載鑑別期間所傳遞憑證中的金鑰值跟目錄中儲存的金鑰值不符時發生的事件。
    • 不記載金鑰不符的狀況:僅記載鑑別失敗。
  5. 停止並重新啟動伺服器使變更生效。伺服器會每小時進行輪詢,以查看這些設定是否有所變更,因此如果並未重新啟動伺服器,新的設定最久需要一個小時才會生效。