SICHERHEIT
Domino fordert nur dann zur Eingabe von Name und Kennwort auf, wenn ein Internet-/Intranet-Client versucht, auf eine geschützte Ressource auf dem Server zuzugreifen. Der Internet-/Intranetzugriff unterscheidet sich vom Zugriff durch Notes-Clients und Domino-Server darin, dass Domino beim Zugriff durch einen Notes-Client oder Domino-Server zur Eingabe eines Namens oder Kennworts auffordert, wenn der Client oder Server zum ersten Mal versucht, auf den Server zuzugreifen.
Wenn Sie einem Internet-/Intranet-Client auf der Grundlage der Domino-ACL-Sicherheit Datenbankzugriff zuweisen möchten, müssen Sie für diesen Client ein Personendokument im Domino-Verzeichnis oder optional in einem sekundären Domino-Verzeichnis oder einem externen LDAP-Verzeichnis erstellen. Clients, für die keine Personendokumente bestehen, werden als anonym betrachtet und können nur auf Server und Datenbanken zugreifen, die den anonymen Zugriff zulassen.
Anmerkung: Für Benutzer, deren Datensätze sich in einem externen LDAP-Verzeichnis befinden, erfolgt die Kennwortverifizierung über eine LDAP-Bindung, die nur erfolgreich sein kann, wenn der Benutzer das richtige Kennwort angegeben hat.
Die Authentifizierung mit Name und Kennwort ermöglicht es Domino, das Personendokument (falls vorhanden) für den Client zu finden, der versucht, auf den Server zuzugreifen. Nachdem der Client identifiziert ist, kann der Zugriff auf Serverressourcen ermittelt werden. Wenn beispielsweise Kurt Schulz Editorzugriff auf eine Datenbank und alle anderen Benutzer, die auf die Datenbank zugreifen, Autorenzugriff haben sollen, müssen Sie ein Personendokument für Kurt Schulz erstellen. Sie können die Datenbank-ACL so einrichten, dass "Kurt Schulz" als Editor und "Anonymous" als Autor enthalten ist.
Sie können die Namens- und Kennwortauthentifizierung mit TCP/IP oder SSL auf allen Servern verwenden, auf denen ein Internetprotokoll ausgeführt wird, also LDAP, POP3, HTTP, SMTP, IIOP oder IMAP. Für jedes auf dem Server aktivierte Internetprotokoll können Sie die Sicherheitsmethode angeben. Sie können beispielsweise die Client-Zertifikatsauthentifizierung für HTTP-Verbindungen aktivieren, während Sie eine Namens- und Kennwortsicherheit für LDAP-Verbindungen, die TCP/IP verwenden, vorschreiben. Sie können auch eine Namens- und Kennwortsicherheit mit einer Authentifizierung für anonyme und SSL-Clients verwenden, damit es beispielsweise Benutzern mit SSL-Clientzertifikaten möglich ist, sich über eine SSL-Client-Authentifizierung zu authentifizieren, während andere Benutzer, die nicht über ein SSL-Clientzertifikat verfügen, einen Namen und ein Kennwort eingeben können.
Anmerkung: Die Authentifizierung mit Name und Kennwort wird nicht unterstützt, wenn ein Domino-Server als SMTP-Client agiert, z. B. wenn ein Domino-Server eine Verbindung zu einem SMTP-Server herstellt, um Mail zu übertragen. Die Namens- und Kennwortsicherheit wird nur dann unterstützt, wenn ein Domino-Server als SMTP-Server agiert, d. h. beim Zugriff von SMTP-Clients auf einen Domino-Server.
Beim Einrichten einer Authentifizierung mit Name und Kennwort für einen HTTP-Server steht Ihnen eine weitere Methode für die Namens- und Kennwortauthentifizierung zur Verfügung: die sitzungsbasierte Authentifizierung. Bei der Namens- und Kennwortauthentifizierung werden der Name und das Kennwort in unverschlüsseltem Format gesendet, und zwar mit jeder Anforderung. Die sitzungsbasierte Authentifizierung unterscheidet sich dadurch, dass der Benutzername und das Kennwort durch ein Cookie ersetzt werden. Name und Kennwort des Benutzers werden nur bei der ersten Anmeldung am Server über das Netzwerk gesendet. Anschließend wird das Cookie für die Authentifizierung verwendet. Die Namens- und Kennwortauthentifizierung auf Sitzungsbasis ermöglicht eine stärkere Kontrolle der Benutzerinteraktion als die allgemeine Namens- und Kennwortauthentifizierung. Außerdem können Sie die Maske anpassen, in die die Benutzer Namen und Kennwort eingeben. Die Benutzer können sich bei der Sitzung abmelden, ohne den Browser zu schließen.
Namens- und Kennwortauthentifizierung über nicht durch SSL gesicherte Verbindungen
Verwenden Sie die Namens- und Kennwortauthentifizierung über nicht durch SSL gesicherte Verbindungen, um Benutzer zu identifizieren, ohne den Zugriff auf die Daten auf dem Server stark zu sichern, z. B., wenn Sie verschiedene Informationen für verschiedene Benutzer auf der Basis des Benutzernamens anzeigen möchten und die Informationen in der Datenbank nicht vertraulich sind. Es werden keine der zwischen Benutzer und Server gesendeten Informationen verschlüsselt, auch nicht Name und Kennwort. In diesem Fall schreckt die Namens- und Kennwortauthentifizierung bestimmte Hacker ab, verhindert jedoch nicht, dass andere die Netzwerkübertragungen "mithören" und Kennwörter erraten.
Namens- und Kennwortauthentifizierung über SSL
Bei Verwendung von SSL werden alle Informationen, einschließlich Name und Kennwort, verschlüsselt. SSL bietet Vertraulichkeit und Datenintegrität für Benutzer, die für Namens- und Kennwortauthentifizierung eingerichtet wurden. Wenn neben der SSL-Sicherheit die Angabe von Namen und Kennwort erforderlich ist, bietet dies Sicherheit für Benutzer, die keine Client-Zertifikatsauthentifizierung verwenden. Außerdem können Sie einzelne Benutzer identifizieren, die auf eine Datenbank zugreifen.
Namens- und Kennwortauthentifizierung anpassen
Die DSAPI (Domino Web Server Application Programming Interface) ist eine C-API, mit der Sie Ihre eigenen Erweiterungen für den Domino-Web-Server schreiben können. Mit diesen Erweiterungen (bzw. "Filtern") können Sie die Authentifizierung von Webbenutzern anpassen.
Weitere Informationen zu DSAPI und Filtern finden Sie im Lotus C API Toolkit für Notes und Domino und in der entsprechenden Dokumentation unter den verwandten Themen.
Zugehörige Konzepte Notes- und Internet-Clients für die SSL-Authentifizierung einrichten Namens- und Kennwortauthentifizierung auf Sitzungsbasis für Web-Clients
Zugehörige Tasks SSL auf einem Domino-Server einrichten Allgemeine Namens- und Kennwortauthentifizierung einrichten
Zugehörige Informationen Lotus C API Toolkit for Notes and Domino 8.5.2 Multiplatform