Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Validierung und Authentifizierung für Internet- und Intranet-Clients
Nachdem Sie den Namens- und Kennwortzugriff eingerichtet und Personendokumente für Internet-/Intranet-Benutzer erstellt haben, authentifiziert Domino Benutzer entweder, wenn sie versuchen, Aufgaben mit beschränktem Zugriff auszuführen, oder wenn der anonyme Zugriff auf den Server nicht zulässig ist.

Wenn ein Benutzer beispielsweise versucht, eine Datenbank zu öffnen, in deren ACL "Kein Zugriff" für "-Default-" angegeben ist, fordert Domino den Benutzer auf, einen gültigen Benutzernamen und ein Kennwort einzugeben. Die Authentifizierung ist nur dann erfolgreich, wenn der Benutzer einen Namen und ein Kennwort angibt, die mit dem im Personendokument des Benutzers gespeicherten Namen und Kennwort übereinstimmen (oder in einem LDAP-Verzeichnis, da einige Benutzer in einem LDAP-Verzeichnis und nicht in einem Personendokument authentifiziert werden), und wenn die Datenbank-ACL diesem Benutzer Zugriff einräumt. Anonyme Benutzer werden nicht authentifiziert.

Sie können den Namens- und Kennwortzugriff und den anonymen Zugriff für TCP/IP und SSL verwenden.

Dieser Abschnitt bezieht sich auch auf Web-Clients, die auf einen Domino-Web-Server zugreifen, für den die Sitzungsauthentifizierung aktiviert wurde.

Anmerkung: Die DSAPI (Domino Web Server Application Programming Interface) ist eine C API, mit der Sie Erweiterungen für den Domino-Web-Server schreiben können. Mit diesen Erweiterungen oder Filtern können Sie die Authentifizierung von Webbenutzern anpassen. Weitere Informationen zu DSAPI finden Sie im Lotus C API Toolkit für Domino und Notes.

Funktionsweise der Validierung und Authentifizierung

Das folgende Beispiel beschreibt, wie ein Client (Andreas) TCP/IP für die Herstellung einer Verbindung mit einem Server (Mail-O) verwendet.

1. Andreas versucht, auf eine Datenbank auf Mail-O zuzugreifen.

2. Der Server prüft das Internet-Site-Dokument (oder das Serverdokument), um festzustellen, ob der anonyme Zugriff für TCP/IP aktiviert ist. Wenn das der Fall ist, geschieht Folgendes:

Der Server prüft, ob in der Datenbank-ACL der Eintrag "Anonymous" vorhanden ist. Ist der Eintrag "Anonymous" vorhanden und die Zugriffsebene für diesen Eintrag "Leser" oder höher ist, kann Andreas anonym auf die Datenbank zugreifen.

b. Wenn die ACL nicht den Eintrag "Anonymous" enthält, prüft der Server den Zugriff für "-Default-" in der Datenbank-ACL. Wenn der Zugriff für "-Default-" auf "Leser" oder höher gesetzt ist, greift Andreas mit der Zugriffsebene für "-Default-" auf die Datenbank anonym zu.

3. Wenn der anonyme Zugriff für das Protokoll deaktiviert ist oder die Datenbank-ACL keinen anonymen Zugriff zulässt, prüft der Server das Internet-Site-Dokument (oder das Serverdokument), ob der Namens- und Kennwortzugriff für TCP/IP aktiviert ist. Wenn der Namens- und Kennwortzugriff aktiviert ist, geschieht Folgendes:

Der Server fordert Andreas auf, seinen Benutzernamen und sein Kennwort einzugeben.

b. Der Server sucht den Benutzernamen, den Andreas im Browser eingegeben hat. Der Server verwendet entweder Mehr Namensvariationen mit geringerer Sicherheit oder Weniger Namensvariationen mit höherer Sicherheit, um alle Verzeichnisse nach dem eingegebenen Namern abzusuchen.

c. Wenn eine Übereinstimmung mit dem von Andreas eingegebenen Benutzernamen gefunden wird und das von Andreas eingegebene Kennwort dem Kennwort im Feld "Internetkennwort" seines Personendokuments entspricht, wird Andreas authentifiziert. Der Server sucht im primären Domino-Verzeichnis nach dem Personendokument. Der Server durchsucht auch sekundäre Domino-Verzeichnisse und LDAP-Verzeichnisse, sofern er für das Durchsuchen sekundärer Domino-Verzeichnisse und LDAP-Verzeichnisse konfiguriert ist.

Anmerkung:

Wenn Domino einen Internetbenutzer authentifiziert, wird dafür der eindeutige Name (DN) verwendet, d. h. der erste Name im Feld "Benutzername" eines Personendokuments. Dieser Name sollte in Einträgen für Gruppen, bei delegierter Serveradministration, in Datenbank-ACLs und Dateischutzdokumenten verwendet werden.

Für Benutzer, die keine Personendokumente besitzen und deren Datensätze in einem sekundären LDAP-Verzeichnis enthalten sind, kann der LDAP-Name des Benutzers in der ACL verwendet werden. Um dem Benutzer Zugriff zu gewähren, sollte die ACL den LDAP-Namen des Benutzers enthalten (es sei denn, der Benutzername wird von der Verzeichnisverwaltung einem entsprechenden Domino-Namen zugeordnet, in welchem Fall der Domino-DN in der ACL erscheinen sollte).

a. Als nächstes stellt der Server eine "Gruppenliste" zusammen, die den eindeutigen Namen von Andreas sowie Platzhaltereinträge und Gruppen, in denen er auf diesem Server Mitglied ist, enthält.

b. Anschließend überprüft der Server die Datenbank-ACL dahingehend, ob Andreas' Name explizit in der ACL aufgeführt ist oder ob einer der Gruppenlisteneinträge für seinen Namen in der ACL enthalten ist.

c. Wenn Andreas' eindeutiger Name oder der Name einer Gruppe, deren Mitglied er ist, mit einem Eintrag in der ACL übereinstimmt, erhält er Zugriff auf die Datenbank, und zwar mit der für diesen Eintrag in der ACL angegebenen Zugriffsebene. Anderenfalls wird ihm der Zugriff verweigert.

Zugehörige Konzepte
Namens- und Kennwortauthentifizierung für Internet-/Intranet-Clients
Namens- und Kennwortauthentifizierung auf Sitzungsbasis für Web-Clients

Zugehörige Informationen
Lotus C API Toolkit

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe