保護伺服器上的檔案避免網路用戶端存取

「檔案保護」文件會控制使用者可以透過網路瀏覽器存取的非資料庫檔案之存取權。類似資料庫檔案 (.NSF) 存取控制清單 (ACL),指定可存取檔案的使用者名稱及使用者所具有的存取權層次,您也可以在瀏覽器使用者可存取的檔案(例如,HTML、JPEG 及 GIF)中強制執行檔案保護,方法是指定這些檔案類型的存取權層次及可存取檔案的使用者名稱。

執行這項作業的原因和時機

「檔案保護」文件是在起始啟動伺服器期間於 Domino® 名錄中建立。此文件提供管理員對「Domino® 名錄」的「寫入」、「讀取」及「執行」存取權。其他的使用者則會被指派「無存取權」。「檔案保護」文件是一種安全功能,可以控制網路用戶端對檔案的存取以保護伺服器硬碟上的檔案。您可以針對瀏覽器使用者所能存取的檔案強迫執行檔案系統安全,包括存取權層次及可以存取檔案的使用者名稱。

註: 您也可以對 CGI script 套用檔案保護時,檔案保護並不會延伸至那些 script 所存取的其他檔案。例如,您可對 CGI script 套用檔案保護,以限制對名為網路Admins 的群組之存取權。然而,如果 CGI script 執行並開啟其他檔案或觸發其他要執行的 script,則「檔案保護」文件無法控制網路Admins 是否擁有這些額外檔案的存取權。

然而,檔案保護適用於存取其他檔案的檔案:例如,開啟影像檔的 HTML 檔。如果使用者有 HTML 檔的存取權,但沒有該 HTML 檔使用之 JPEG 檔的存取權,則使用者開啟 HTML 檔時,Domino® 不會顯示 JPEG 檔。

請不要建立檔案保護文件來限制對下列目錄的存取權,這些目錄中包含了 Domino®網路伺服器及其他應用程式(例如郵件資料庫)所使用的預設影像檔及 Java Applet:

  • Domino\Data\domino\java,透過網路瀏覽器存取,使用下列路徑:

    http://server/domjava

  • Domino\Data\domino\icons,透過網路瀏覽器存取,使用下列路徑:

    http://server/icons

您可以建立目錄或個別檔案的「檔案保護」文件。針對某一目錄所定義的保護,所有其子目錄也會繼承該定義。您必須對網路使用者可存取的所有目錄設定「檔案保護」文件。沒有「檔案保護」文件的檔案及檔案目錄可以由任何人使用網路瀏覽器存取。

註: 您不必使用檔案保護文件來保護資料庫(.NSF) 檔案;您應使用資料庫ACL。

建立網站文件的檔案保護

執行這項作業的原因和時機

您可以為特定的網站建立檔案保護文件。此檔案保護文件僅適用於該特定網站。

檔案保護文件提供有限制的安全性。使用 Domino® 安全功能(例如資料庫ACL)來保護機密性資訊。

程序

  1. 在「Domino® 管理員」中,選擇「配置 > Web > 網際網路網站」。
  2. 開啟您要建立檔案保護的「網站」文件。
  3. 按一下「網站」,然後選擇「建立檔案保護」
  4. 按一下「基本」,然後完成下列欄位:
    1. 「基本」標籤欄位

    欄位

    動作

    說明

    輸入名稱,以區分此文件與您建立的其他文件。

    目錄或檔案路徑

    指定您要限制存取權的目錄或檔案路徑。此路徑應該採用完整的路徑格式,其中包括磁碟機字母(例如:c:\domino\data\domino\cgi-bin),或輸入伺服器資料目錄的相對路徑(例如:domino\cgi-bin)。

    Current® 存取控制清單

    顯示可以存取您指定之檔案或目錄的使用者與群組,及容許的存取權類型。與資料庫ACL 類似,存取控制清單恆是以 -Default- 項目建立,並設定為「沒有存取權」,您可以修改此設定。在使用資料庫ACL 時,未列在「存取權清單」中的使用者則會接收預設的存取權層次。

    設定/修改存取控制清單
    若要將使用者新增至「存取控制清單」,請按一下「設定/修改存取控制清單」。在「Domino® 名錄」中選取使用者名稱或群組,或在「名稱」欄位中鍵入名稱。請選取下列一項:
    • 讀取/執行存取權(GET 方法)
    • 寫入/讀取/執行存取權(POST 及 GET 方法)
    • 無存取權
    按一下「新增」,將項目新增至「存取控制清單」。

    GET 可讓使用者在目錄中開啟檔案並啟動程式。一般而言,POST 是用來將資料傳送給 CGI 程式;因此,僅將 POST 存取權提供給包含 CGI 程式的目錄。「沒有存取權」會拒絕指定使用者或群組的存取權。

    若要從清單中移除項目,請選取該項目並按一下「清除」

    如果使用者使用「匿名」存取權連接伺服器,請在「名稱」欄位中輸入 Anonymous,並指派適當的存取權。

    註: 如果您想要輸入位於「LDAP 目錄」中的使用者名稱,則必須以斜線取代逗號分隔字元。請不要輸入以逗號作為分隔字元的名稱。

    例如,具有下列名稱格式的 LDAP 使用者: 

    cn=Anthony Jones,l=westford,o=renovations.com

    應該輸入至「檔案保護」文件的存取權清單中,類似:

    cn=Anthony Jones/l=westford/o=renovations.com
  5. 按一下「管理」,然後完成「擁有者」「管理員」欄位。根據預設,您登入所使用的管理員名稱即是被指派到這兩個欄位中的名稱。
  6. 儲存文件。
  7. 輸入此指令以重新整理設定:

    tell http refresh

範例

在「檔案保護」文件的欄位中指定下列設定,可讓「網路使用者群組」中的所有使用者,在 c:\notes\data\domino\html 名錄中開啟檔案並啟動程式。

路徑: c:\notes\data\domino\html

存取:網路使用者群組 (GET)

存取:- 預設值 - (無存取權)

檔案 "secret.htm" 位於 notes\data\domino\html 子目錄中。您可以拒絕「網路使用者群組」成員存取此檔案,而僅允許使用者 Joe Smith 存取。若要執行此動作,請以下列設定建立其他的「檔案保護」文件:

路徑: c:\notes\data\domino\html\secret.html

存取:- 預設值 - (無存取權)

存取:Joe Smith (GET)