建立安全原則設定文件

安全原則設定文件可讓您管理 HCL Notes® 及網際網路密碼、為組織配置自訂的密碼原則、設定金鑰換用、管理「管理 ECL」、將信任的交互憑證抄寫到用戶端,以及配置 ID 儲存庫。您還可配置已簽署外掛程式的設定,以及複合應用程式的起始入口網站伺服器。

開始之前

請確定您具有「HCL Domino® 名錄」的「編輯者」存取權及下列其中一個角色:
  • PolicyCreator 角色,可建立設定文件
  • PolicyModifier 角色,可修改設定文件

執行這項作業的原因和時機

註: 如需「Notes 共用登入」標籤及使用 Notes 共用登入以暫停密碼提示的相關資訊,請參閱相關主題。如需「聯合登入」標籤的相關資訊,請參閱套用 Notes 聯合登入配置到使用者的資訊相關主題。
註: 如需建立 HCL iNotes® 使用者的安全原則設定,以及使用 HTTP-Proxy Servlet 將 URL 限制為外部伺服器之相關資訊,請參閱相關資訊中的 HCL iNotes® 管理產品說明文件。

程序

  1. 從「Domino 管理員」中,選取「人員與群組」標籤,然後開啟「設定」視圖。
  2. 按一下「新增設定」,然後選擇「安全性」
  3. 「基本」標籤上,完成下列欄位:
    1. 「基本」標籤欄位
    欄位 動作
    名稱 輸入識別使用這些設定值之使用者的名稱。
    說明 輸入設定值的說明。
  4. 完成下列作業中說明的所有必要欄位。

管理 Notes 及網際網路密碼

程序

  1. 「密碼管理」標籤上,完成下列選項欄位:
    2. 密碼管理選項
    欄位 動作
    使用 Notes 用戶端的自訂密碼原則 請選擇其中一項:
    • 否(預設值)
    • 是 - 執行自訂密碼原則。自訂密碼原則可讓您配置特定密碼參數,讓密碼變成非一般或不可預測。使用「自訂密碼原則」標籤上的設定,以設定原則。
    檢查 Notes ID 檔的密碼 請選擇其中一項:
    • 否(預設值)
    • 是 - 需要所有使用者 ID 的副本有相同的密碼。
    允許使用者透過 HTTP 變更網際網路密碼 請選擇其中一項:
    • 是(預設值):允許使用者使用網路瀏覽器變更其網際網路密碼。
    當 Notes 用戶端密碼變更時,更新網際網路密碼 請選擇其中一項:
    • 否(預設值)
    • 是:同步化使用者網際網路密碼與 Notes 用戶端密碼。
    註: 選取「是」會啟用更安全的網際網路密碼格式(如果尚未使用它的話)。
    使用其他 Notes 型程式不提示密碼(降低安全性) 選取「是」,針對要套用此原則的 Notes 用戶端使用者,在「安全性」對話框的「您的登入及密碼設定」中設定這個選項。啟用選項,藉由對與 Notes 共用資料的任何 Notes 型應用程式,重複使用使用者在 Notes 的起始登入,以減少出現密碼提示。
    對標準 Notes 用戶端啟用 Windows 單一登入 對 Eclipse 型功能及產品(例如「小組件及即時文字」、「訊息饋送」、「連線」、「複合應用程式」及 Sametime)啟用整合式 Windows 鑑別(使用 SPNEGO/Kerberos)的支援。這個選項不會影響 Notes 用戶端啟動密碼提示,但會減少參與內嵌式及其他應用程式與元件時的密碼提示次數。

    如需 IWA 的相關資訊,請參閱相關資訊中的 Technote Integrated Windows 鑑別 (IWA) for Eclipse-based 元件 within Lotus Notes

  2. 同時,在「密碼管理」標籤上,完成下列到期日欄位:
    3. 密碼到期日設定
    欄位 動作
    強制密碼期限 請選擇其中一項:
    • 已停用(預設值):停用密碼到期。如果停用密碼有效期限,請勿完成本區段的其餘欄位。
    • 已啟用
    註: 如果您為下列任何選項啟動密碼到期,則安全性設定文件預設值會變更。
    • 僅 Notes:僅為 Notes 密碼啟用密碼到期。
    • 僅網際網路:僅為網際網路密碼啟用密碼到期。
    • Notes 及網際網路:為 Notes 及網際網路密碼啟用密碼到期。
    註: 只有 HTTP 通訊協定可辨識網際網路密碼有效期限設定。這意味著網際網路密碼可永遠用於其他網際網路通信協定(如 LDAP 或 POP3)。
    註: 如果使用者使用智慧卡登入 Domino 伺服器,請不要啟用密碼到期。
    需要的變更率 指定密碼的有效天數,超過此天數便必須變更密碼。預設值為 0。
    註: 如果將此值設為小於 30,則會自動計算「警告週期」欄位的值。計算的值是此欄位所輸入值的 80%。
    容許的寬限期 指定在使用者必須變更到期的密碼以防被封鎖之前的天數。預設值為 0,表示將不鎖定使用者。
    密碼歷程(僅適用於 Notes) 指定要儲存的到期密碼數目。儲存密碼可防止使用者重新使用舊密碼。預設值為 0。
    警告期間 指定密碼到期前的天數,使用者會收到到期警告訊息。預設值為 0。
    註: 如果將「所需的變更間隔」設定設為小於 30 天,則會計算此欄位的值。必須啟動密碼到期功能,此欄位的值才能被計算。如果計算此值,便無法覆寫。
    自訂警告訊息 輸入自訂警告訊息;當使用者的密碼超過在「警告週期」欄位中所指定的到期臨界值時,就會傳送此訊息給使用者。
    註: 自訂警告訊息僅適用於 Notes 用戶端,不論您如何啟動密碼到期。網際網路使用者不會看到警告訊息。

設定網際網路密碼封鎖

執行這項作業的原因和時機

如果組織使用 SAML 進行階段作業鑑別,則會忽略網際網路密碼鎖定設定。

程序

  1. 「密碼管理」標籤上,完成下列鎖定設定:
    4. 網際網路密碼鎖定設定
    欄位 動作
    是否覆寫伺服器的網際網路鎖定設定值? 啟用此原則文件設定時,原則中的設定值會覆寫伺服器之「配置設定」文件中的網際網路密碼鎖定設定值。
    註: 伺服器必須強制執行網際網路密碼鎖定才能使這些原則設定生效。
    最大容許嘗試次數 執行鎖定前允許的密碼嘗試次數上限。如果設為 0,則容許無限制的密碼嘗試次數。
    鎖定有效期限 強制執行鎖定的時段。過了此時段,會自動解除使用者下次要嘗試認證的使用者帳戶。如果設為 0,則會停用自動解除鎖定。
    最大嘗試間隔 如果使用者未遭鎖定,這就是成功鑑別已清除任何先前的失敗嘗試前必須經歷的時間。指定較長的保護強度時間,以便獲得更大的安全性。當設定為 0,每次認證成功就會清除失敗的密碼嘗試。
  2. 同時,在「密碼管理」標籤上,完成下列品質設定欄位:
    5. 密碼品質設定
    欄位 動作
    所需的密碼品質 如果需要使用者根據密碼品質來選擇密碼,請從清單中選擇值以指定該品質。
    改為使用長度 如果您需要使用者根據長度來選擇密碼,請按一下「是」。當您完成時,「所需密碼品質」欄位會變成「所需密碼長度」。請在此處指定密碼長度下限。
  3. 如需完成「ID 檔案加密設定」下方欄位的相關資訊,請參閱相關主題中的「配置 ID 檔案的加密」主題。

設定自訂密碼原則

執行這項作業的原因和時機

只有在您選擇實作自訂密碼原則時,才需要完成下列欄位。

程序

  1. 「密碼管理」標籤的「密碼管理選項」下,於對「Notes 用戶端使用自訂密碼原則」欄位中選取「是」
    即會出現「自訂密碼原則」標籤。
  2. 完成下列欄位:
    6. 自訂密碼原則標籤欄位
    欄位 動作
    第一次使用 Notes 用戶端時變更密碼 使用者第一次登入使用 Notes 時需要變更其密碼。
    註: 這只在使用者註冊期間套用了原則時才會運作。
    允許密碼中的一般名稱 允許在密碼中使用組合的通用使用者名稱。例如:John232 是使用者 CN=John Doe/O=Mutt 的密碼,其中通用名稱是 John Doe。
    最小密碼長度 指定使用者密碼中最小的密碼數
    最大密碼長度 指定使用者最多可在其密碼中使用多少個字元
    最低密碼品質 指定使用者密碼中的最低密碼品質
    所需的英文字母字元數下限 指定使用者密碼中的最小字母字元數目
    所需的大寫字元數目下限 指定使用者密碼中最小的大寫字元數目
    所需的小寫字元數目下限 指定使用者密碼中最小的小寫字元數目
    所需的數值字元數下限 指定特殊字元的數量下限,即允許使用者加入密碼的標點符號。
    所需的特殊字元數下限 指定特殊字元的數量下限,即允許使用者加入密碼的標點符號。
    所需的非小寫字元數目下限 指定您在使用者密碼中需要的特殊字元、數字以及大寫字元的數目下限。此數的值越多會讓密碼越難猜測。

    在您輸入一個數目之後,會顯示檢查清單,列出您可以為此需求指定的字元類型。您可以選取下列的任意組合:

    • 大寫字元
    • Number
    • 特殊字元
    所需的重複字元數上限 指定重複字元任何形式的最大數目。
    所需的唯一字元數下限 指定僅在密碼中顯示一次的最小字元數目
    密碼開頭不能是 指定使用者無法用來當密碼開頭的字元類型。
    密碼結尾不能是 指定使用者無法用來當密碼結尾的字元類型。

設定管理 ECL

執行這項作業的原因和時機

完成「執行控制清單」標籤上的欄位,以配置組織中使用的管理 ECL。

7. 執行控制清單標籤欄位
欄位 動作
Admin ECL 請選擇其中一項:
  • 編輯:編輯名稱出現在「編輯」按鈕旁邊的 ECL。
  • 管理:請參閱「管理 admin ECL」,以取得使用此功能的相關資訊。
註: 只有當安全設定文件處於編輯模式時,畫面上才會顯示「編輯」和「管理」按鈕。
更新模式 請選擇其中一項:
  • 重新整理:使用 admin ECL 中新的或變更的資訊來更新用戶端 ECL,如下所示:

如果用戶端 ECL 列出的簽章是 admin ECL 所沒有的簽章,則會在用戶端 ECL 保持原來的簽章及其設定。

如果 admin ECL 列出的簽章是用戶端 ECL 所沒有的簽章,則會將該簽章及其設定新增到用戶端 ECL。

如果用戶端 ECL 與 admin ECL 雙方列出相同的簽章,則用戶端 ECL 簽章的設定會被捨棄,並以 admin ECL 簽章的設定來取代。

  • 取代:以 admin ECL 覆寫用戶端 ECL。將不會保留用戶端 ECL 中的任何資訊。
更新頻率 請選擇其中一項:
  • 每天一次:當用戶端透過起始伺服器進行用戶端認證,且自上次 ECL 更新後已經過去一天或 admin ECL 已變更時,更新用戶端 ECL。
  • Admin ECL 變更時:當用戶端透過起始伺服器進行認證且 admin ECL 自上次更新以來已變更時,更新用戶端 ECL。
  • 從不:防止在認證期間更新用戶端 ECL。

管理「管理執行控制清單 (ECL)」

執行這項作業的原因和時機

在網域中設定第一部伺服器時,Domino 會建立預設的管理 ECL,之後您可針對貴組織加以自訂。您可能必須具有一種類型以上的管理 ECL,例如,一種用於包商而一種用於全職員工。您可以使用「工作站安全性:管理執行控制清單」對話框,管理所建立的管理 ECL。您也可以用它來建立新的 admin ECL,或刪除不再需要的 admin ECL。
註: 只有當安全設定文件處於編輯模式時,畫面上才會顯示「編輯」「管理」按鈕。

程序

  1. 在「安全設定」文件的工具列上,按一下「編輯設定」
  2. 按一下「管理」。隨即出現「工作站安全性:管理執行控制清單」對話框。從下列選項中選取:
    8. 工作站安全性:管理執行控制清單選項
    欄位 動作
    編輯現有的 admin ECL
    • 從清單框中選取您要編輯的管理 ECL 名稱,然後按一下「確定」。所選 admin ECL 的名稱會顯示在「執行控制清單」標籤的「Admin ECL」欄位中。
    • 按一下「編輯」按鈕以開啟所選的 admin ECL。
    建立新的 admin ECL
    • 「建立新的管理 ECL」欄位中,鍵入新 ECL 的名稱,然後按一下「確定」。新 admin ECL 的名稱會顯示在「執行控制清單」標籤的「Admin ECL」欄位中。
    • 按一下「編輯」按鈕,以建立新的管理 ECL。
    刪除現有的 admin ECL
    • 從清單框中選取您要刪除的管理 ECL 名稱,然後按一下「刪除」
    • 所選的 admin ECL 即遭刪除,且現有 admin ECL 的清單會重新整理。

結果

管理 ECL 單獨儲存,不受安全設定文件之影響。如果您編輯管理 ECL,所有參照此特定管理 ECL 的安全設定文件,都會使用此變更。如果您刪除某個管理 ECL,所有參照此特定管理 ECL 的安全設定文件,都會使用預設的管理 ECL。一旦刪除管理 ECL,即無法按一下「取消」來復原刪除內容。

按一下「取消」,會讓顯示在設定文件中的管理 ECL 名稱保持不變。

啟用金鑰輪替

執行這項作業的原因和時機

完成「金鑰及憑證」標籤上的欄位,以為使用者的群組配置金鑰換用。您可以指定會起始一個以上的使用者群組的金鑰換用之觸發。您可以選擇在特定的時間內,為要套用此原則的使用者群組隔開換用程序。

如需配置 AES 以進行郵件及文件加密的相關資訊,請參閱相關主題。

程序

  1. 「預設公開金鑰需求」欄位中,指定母項及子項原則的設定。選取一項:
    • 從母項原則繼承公開金鑰需求設定
    • 在子項原則強制執行公開金鑰需求設定
  2. 「使用者公開金鑰需求」下,完成下列欄位。
    9. 使用者公開金鑰需求
    欄位 動作
    可容許金鑰強度下限
    註: 比指定的金鑰更弱的金鑰會遭到換用。
    • 無下限。
    • 與所有版本相容的最大值(630 位元)。
    • 與第 6 版與以上的版本相容(1024 位元)。
    • 與第 7 版以及更新版本相容(2048 位元)。
    容許的最大金鑰強度
    註: 比指定的金鑰更弱的金鑰會遭到換用。
    • 與所有版次相容(630 位元)。
    • 與第 6 版與以上的版本相容(1024 位元)。
    • 與第 7 版以及更新版本相容(2048 位元)。
    喜好的金鑰強度 選擇建立新金鑰時,要使用的喜好金鑰強度:
    • 與所有版次相容(630 位元)。
    • 與第 6 版與以上的版本相容(1024 位元)。
    • 與第 7 版以及更新版本相容(2048 位元)。
    容許的最大金鑰經歷時間(以天數為單位) 指定在需要替換金鑰前,金鑰可達到的經歷時間上限。預設值為 36500 天(100 年)。
    最早的可容許金鑰建立日期 在此日期前建立的任何金鑰將被替換。
    在這些天內,為所有使用者傳送新產生的金鑰 指定要針對此「安全設定」原則文件要套用的所有使用者,產生新金鑰的時段(以天數為單位)。使用者金鑰會在配置的時段內隨機換用。預設值為 180 天。
    建立新金鑰後,舊金鑰仍為有效的天數上限 指定在網路驗證期間,可使用舊金鑰的時間長短。在驗證 Notes 金鑰期間,所有舊的及新的憑證以及所有換用金鑰都將組織成樹狀結構,然後會遍訪該樹狀結構,以尋找一組可以一起鏈結以驗證金鑰的憑證。若憑證已到期,則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用,最好能設定一個簡短的值,作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天,而預設值為 365。
  3. 使用相關主題中「配置 AES 來加密郵件及文件」主題的資訊,完成「文件/郵件加密設定」中的欄位。
  4. 「在憑證有效期限設定」下的「警告週期」欄位中,指定憑證有效期限之前的天數,達到此天數時使用者會收到到期警告訊息;預設值為 0。
  5. 「憑證有效期限設定」「自訂警告訊息欄」位中,輸入當其憑證已超過在「警告週期」欄位中所指定的到期日臨界值時,將會傳送給使用者的自訂警告訊息。

啟用線上憑證狀態通訊協定 (OCSP) 檢查

執行這項作業的原因和時機

「線上憑證狀態通訊協定 (OCSP)」會啟用應用程式來決定已識別憑證的廢止狀態。OCSP 檢查是在進行 S/MIME 簽名驗證及郵件加密時由 Notes 用戶端負責執行。OCSP 可透過原則啟用,方法是使用「安全設定」文件的「金鑰及憑證」標籤上的「啟用 OCSP 檢查」設定。

將信任交互憑證套用至用戶端

執行這項作業的原因和時機

您可以避免使用者提示即可建立交互憑證。使用「金鑰及憑證」標籤中的「管理信任預設值」區段,將信任的網際網路憑證、網際網路交互憑證及 Notes 交互憑證套用至 Notes 用戶端。如需將信任憑證套用至(有時候稱為抄寫)用戶端的相關資訊,請參閱相關主題。

配置已簽署外掛程式的安裝

執行這項作業的原因和時機

外掛程式可提供給 Notes 使用者,一般是以 Notes 用戶端所信任且可驗證其所含資料並未毀損的憑證來簽署。然後使用者可安裝或更新已簽署的外掛程式。

有時候會發現外掛程式有問題。它可能未經簽署、未使用授信憑證簽署,或者憑證已過期或已不再有效。對於這些情況,您可以建立下列項目的原則:永不安裝這些外掛程式、一律安裝這些外掛程式,或者要求使用者在其電腦上已安裝外掛程式時作出決定。

您可以使用 Java SDK 提供的 jar 簽章者工具,在外掛程式 jar 簽章加上時間戳記,以確保外掛程式簽章長期有效。Notes 用戶端使用外掛程式 jar 檔簽章包括的時間戳記,來判斷外掛程式簽署憑證在簽署時是否有效。如果外掛程式簽署憑證到期,但在簽署時有效,Notes 會接受它,如此使用者在外掛程式安裝或供應期間就不會看到安全性提示。使用已簽署外掛程式標籤上的「忽略時間戳記憑證的到期日」設定,控制是否容許以到期時間戳記憑證進行「簽署的外掛程式」安裝。依預設容許其安裝。

10. 忽略時間戳記憑證的到期日設定
欄位 動作
外掛程式的安裝已過期或不再有效
  • 詢問使用者
  • 從不安裝
  • 一律安裝
安裝未經簽署的外掛程式
  • 詢問使用者
  • 從不安裝
  • 一律安裝
安裝由無法辨識之實體簽署的外掛程式
  • 詢問使用者
  • 從不安裝
  • 一律安裝
信任外掛程式簽署憑證
  • 詢問使用者
  • 永不信任進行安裝
  • 一律信任進行安裝
忽略時間戳記憑證的到期
  • 詢問使用者
  • 從不安裝
  • 一律安裝

配置入口網站伺服器設定

執行這項作業的原因和時機

11. 入口網站伺服器設定
欄位 動作
起始入口網站伺服器 輸入管理 Notes 使用者帳戶的 HCL 數位體驗伺服器名稱。
鑑別 URL 輸入 URL,Notes 使用者需要存取它才能鑑別入口網站伺服器。
認證類型 請選擇其中一項:
  • J2EE-Form,用於
  • HTTP,用於網路型認證
註: 如需「ID 儲存庫」「Proxies」標籤的相關資訊,請參閱相關主題。