認證時驗證使用者密碼
您可啟用密碼鑑別,讓 Notes® 使用者只在提供與使用者 ID 相關聯的正確密碼之後,才能與伺服器進行鑑別。
如果未獲授權的使用者取得 ID 並得知 ID 的密碼,則 ID 擁有者可使用密碼鑑別變更密碼,防止未獲授權的使用者繼續使用該 ID 與伺服器進行驗證。下一次未獲授權的使用者試圖使用舊密碼的 ID 存取伺服器時,伺服器會驗證密碼,判斷所輸入的密碼與新密碼不符,並拒絕未獲授權的使用者存取伺服器。因為密碼預設只能解密 ID 檔案,且不會驗證儲存在 Domino® 名錄中的密碼,所以若無密碼鑑別,即便使用者已變更 ID 的密碼,未獲授權的使用者仍可使用 ID 及密碼。如果設定密碼鑑別,請要求使用者定期變更其 ID 密碼。接近必須變更密碼的時間時(目前變更間隔已過去三分之二,但至少還剩兩天時),系統會顯示提示畫面,提醒使用者變更密碼。使用者變更密碼後,會以新密碼更新目前的 ID 及「人員」文件。
如果使用者有多個 ID 檔,則使用者變更每個 ID 檔的密碼以符合新密碼。您無法對包含多重密碼的 ID 檔使用密碼鑑別。
每次使用者變更密碼時,都必須指定唯一的密碼。Notes® 最多會保留 50 個先前使用過的密碼。如果啟用密碼歷程檢查(透過使用安全性設定值文件),就可以配置在重新使用指定密碼前必須使用的新密碼數目。
到期的密碼無法防止使用者讀取加密的郵件,或在本端抄本中建立新的簽名文件;然而,若不指定新的密碼,則使用者無法存取伺服器中的資料庫。
請注意,鑑別期間的密碼鑑別對網際網路使用者無效,因為網際網路使用者沒有 Notes® 使用者 ID(除非其 Notes® 及網際網路密碼已同步化)。如果 Notes® 及網際網路密碼已同步化,則對 Notes® 密碼設定所做的任何變更,都可能會影響網際網路密碼。
管理程序及密碼鑑別
密碼鑑別需要「管理程序」以更新 Domino® 名錄中的文件。啟用使用者的密碼鑑別時,「管理程序」會在「管理要求」資料庫中建立 Set Password Information 要求。Domino® 會依照「伺服器」文件中,「管理程序」區段的「間隔」欄位的設定完成此要求。此要求會在使用者「人員」文件的「管理」小節中,在 Check 密碼、Required 變更 間隔 及 Grace period 欄位中輸入值,以啟用密碼檢查。
使用者第一次登入要求密碼鑑別的伺服器時,「管理程序」會在「管理要求」資料庫中產生 Change User Password in Domino Directory 要求。此要求會在「人員」文件的「管理」區段中,其「密碼摘要」欄位中輸入 RSA 公開金鑰的對應雜湊,該雜湊是衍生自 Notes® 密碼的雜湊及 ID 檔案中儲存的某些其他祕密資訊。它亦會在「人員」文件「管理」小節的「上次變更日期」欄位中記錄使用者提供密碼的日期。若要與啟用密碼鑑別的伺服器進行認證,則使用者必須提供對應摘要的密碼。
在此之後,當使用者變更密碼時,「管理程序」便會在「管理要求」資料庫中,產生新的 Change User Password in Domino Directory 要求。此要求會更新「人員」文件的「密碼摘要」及「上次變更日期」欄位。請注意,如果您在啟用密碼鑑別後修改變更間隔或寬限期,「管理程序」必須更新「人員」文件中的欄位,使用者則必須變更密碼以使變更生效。
所需的變更間隔及寬限期
可設定伺服器在認證時驗證使用者的密碼,而不需使用者變更密碼。如果要求密碼變更,可指定寬限期,指出變更間隔到期後、使用者排除在伺服器外之前的時間長短。如果使用者變更密碼之前,所需的變更間隔已到期,則直到使用者建立新密碼為止,使用者無法與要求密碼鑑別的伺服器進行驗證。如果寬限期到期,而使用者仍未變更密碼,則管理員在「人員」文件的「密碼摘要」欄位中手動刪除資料及使用者建立新密碼前,使用者無法進行認證。如果未獲授權的使用者在已授權的 ID 擁有者變更 ID 密碼之前,即先行變更密碼,則已授權擁有者無法進行驗證,並會看見此訊息:
You have a different password on another copy of your ID file and you must change the password on this copy to match.在此情形下,請刪除「密碼摘要」欄位中的項目,並要求獲授權的使用者立即登入並輸入新密碼。