Hilfe zu IBM Domino Social Edition Administrator 9.0.1

KONFIGURIEREN

Serverdateien vor dem Zugriff eines Web-Clients schützen
Dateischutzdokumente steuern den Zugriff auf Dateien, die sich nicht in einer Datenbank befinden und auf die Browser-Benutzer zugreifen können. Wie bei der Verwendung von ACLs (Access Control Lists) von Datenbankdateien (.NSF), die die Namen und die Zugriffsebene von Benutzern enthalten, die zum Zugriff auf die Dateien berechtigt sind, können Sie Dateien schützen, auf die Browser-Benutzer zugreifen können (z. B. HTML-, JPEG- und GIF-Dateien), indem Sie die Zugriffsebene für diese Dateitypen und die zum Zugriff berechtigten Benutzer angeben.

Warum und wann dieser Vorgang ausgeführt wird

Ein Dateischutzdokument wird im Domino-Verzeichnis erstellt, wenn der Server zum ersten Mal startet. Dieses Dokument stellt Administratoren Schreib-, Lese- und Ausführungszugriff für das Domino-Verzeichnis zur Verfügung. Andere Benutzer erhalten keinen Zugriff. Über das Dateischutzdokument wird der Dateizugriff von Web-Clients kontrolliert, eine Sicherheitsmaßnahme für die Dateien auf der Festplatte des Servers. Bei Dateien, auf die Browser-Benutzer zugreifen können, können Sie auf Dateisystemebene festlegen, wer mit welchen Rechten auf Dateien zugreifen darf.

Anmerkung: Sie können auch für CGI-Scripts einen Dateischutz definieren. Der Dateischutz gilt in diesem Fall jedoch nicht für die Dateien, auf die diese Scripts zugreifen. Beispiel: Sie können Dateischutz auf ein CGI-Script anwenden und den Zugriff auf die Gruppe "Web-Administratoren" beschränken. Wenn das CGI-Script jedoch ausgeführt wird und andere Dateien öffnet (oder wenn es veranlasst, dass andere Scripts ausgeführt werden), wird nicht mit dem Dateischutzdokument überprüft, ob die Mitglieder der Gruppe "Web-Administratoren" auf diese Dateien zugreifen dürfen.

Der Dateischutz gilt jedoch für Dateien, die auf andere Dateien zugreifen, beispielsweise HTML-Dateien, die Bilddateien öffnen. Wenn ein Benutzer Zugriff auf die HTML-Datei hat, jedoch nicht auf die JPEG-Datei, die von der HTML-Datei verwendet wird, zeigt Domino die JPEG-Datei nicht an, wenn der Benutzer die HTML-Datei öffnet.

Erstellen Sie keine Dateischutzdokumente, die den Zugriff auf die folgenden Verzeichnisse beschränken, die vorgegebene Bilddateien und Java™-Applets enthalten, die vom Domino-Web-Server und anderen Anwendungen, z. B. der Maildatenbank, verwendet werden:

Domino\data\domino\java, Zugriff per Web-Browser über den Pfad
http://Server/domjava
Domino\data\domino\icons, Zugriff per Web-Browser über den Pfad
http://Server/icons

Sie können ein Dateischutzdokument für ein Verzeichnis oder eine einzelne Datei erstellen. Der Dateischutz für ein Verzeichnis gilt für alle zugehörigen Unterverzeichnisse. Sie müssen Dateischutzdokumente für alle Verzeichnisse erstellen, auf die Webbenutzer zugreifen können. Auf Dateien und Dateiverzeichnisse, für die keine Dateischutzdokumente vorhanden sind, kann von beliebigen Webbenutzern zugegriffen werden.

Anmerkung: Es ist nicht erforderlich, Datenbankdateien (.NSF) mithilfe von Dateischutzdokumenten zu schützen. Verwenden Sie zu deren Schutz Datenbank-ACLs.

So erstellen Sie den Dateischutz für Websitedokumente

Warum und wann dieser Vorgang ausgeführt wird

Sie können Dateischutzdokumente für bestimmte Websites erstellen. Dieses Dateischutzdokument gilt nur für diese bestimmte Website.

Dateischutzdokumente bieten nur begrenzte Sicherheit. Verwenden Sie zum Schutz kritischer Daten die Sicherheitsfunktionen von Domino, z. B. Datenbank-ACLs.

Prozedur

1. Wählen Sie in Domino Administrator die Optionen Konfiguration -> Web -> Internet-Sites aus.

2. Öffnen Sie das Websitedokument, für das Sie den Dateischutz erstellen möchten.

3. Klicken Sie auf Website und wählen Sie Dateischutz erstellen aus.

4. Klicken Sie auf das Register Allgemein und geben Sie in die folgenden Felder Werte ein:

Tabelle 1. Felder im Register "Allgemein"

Feld	Aktion
Beschreibung	Geben Sie einen eindeutigen Namen für das Dokument ein, durch das es sich von anderen Dokumenten unterscheidet, die Sie erstellen.
Verzeichnis- oder Dateipfad	Geben Sie den Verzeichnis- oder Dateipfad an, für den Sie den Zugriff beschränken möchten. Verwenden Sie entweder den vollständig qualifizierten Pfad, der den Laufwerkbuchstaben enthält, z. B. `c:\domino\data\domino\cgi-bin`, oder geben Sie den Pfad ein, der relativ zum Data-Verzeichnis des Servers ist, z. B. `domino\cgi-bin`.
Aktuelle Zugriffskontrollliste	Zeigt die Benutzer und Gruppen an, die auf die von Ihnen angegebene Datei oder das Verzeichnis Zugriff haben, sowie die Art des gewährten Zugriffs. Ähnlich der Zugriffskontrollliste einer Datenbank wird die Zugriffskontrollliste stets mit dem "-Default"-Eintrag erstellt, für den als Zugriffsrecht "Kein Zugriff" festgelegt ist. Sie können diesen Eintrag ändern. Wie bei der Datenbankzugriffsliste erhalten nicht in der Liste aufgeführte Benutzer die unter "-Default-" festgelegten Zugriffsrechte.
Zugriffskontrollliste festlegen/ändern	Wenn Sie weitere Benutzer zur Zugriffskontrollliste hinzufügen möchten, klicken Sie auf Zugriffskontrollliste festlegen/ändern. Wählen Sie einen Benutzer- oder Gruppennamen im Domino-Verzeichnis aus oder geben Sie einen Namen in das Feld "Name" ein. Folgende Optionen stehen zur Auswahl: Lese-/Ausführungszugriff (GET-Methode) Schreib-/Lese-/Ausführungszugriff (POST- und GET-Methoden) Kein Zugriff Klicken Sie auf Hinzufügen, um den Eintrag zur Zugriffskontrollliste hinzuzufügen. Mit "GET" können Benutzer Dateien öffnen und Programme im Verzeichnis starten. "POST" wird normalerweise zum Senden von Daten an ein CGI-Programm verwendet. Weisen Sie daher den Zugriff "POST" nur Verzeichnissen zu, die CGI-Programme enthalten. Bei "Kein Zugriff" wird einem bestimmten Benutzer oder einer Gruppe kein Zugriff gewährt. Um einen Eintrag aus der Liste zu löschen, wählen Sie ihn aus und klicken Sie auf Löschen. Wenn Benutzer anonym auf den Server zugreifen dürfen, geben Sie "Anonymous" in das Feld "Name" ein und weisen die entsprechenden Zugriffsrechte zu. Anmerkung: Wenn Sie einen Benutzernamen angeben möchten, der sich in einem LDAP-Verzeichnis befindet, müssen Sie die Kommas durch Schrägstriche ersetzen. Verwenden Sie bei der Eingabe des Namens keine Kommas als Trennzeichen. Beispiel: Der Name eines Benutzers im LDAP-Verzeichnis hat das folgende Format: `cn=Anthony Jones,l=westford,o=renovations.com` In der Zugriffsliste des Dateischutzdokuments sollte der Name im folgenden Format angegeben werden: `cn=Anthony Jones/l=westford/o=renovations.com`

5. Klicken Sie auf Administration und geben Sie Werte in die Felder Besitzer und Administratoren ein. Standardmäßig wird der Administratorname, den Sie beim Anmelden verwendet haben, in beiden Feldern angegeben.

6. Speichern Sie das Dokument.

7. Geben Sie den folgenden Befehl ein, um die Einstellungen zu aktualisieren:

tell http refresh

Beispiel

Wenn Sie folgende Einstellungen in den Feldern des Dateischutzdokuments angeben, können alle Benutzer in der Gruppe "Webbenutzer" im Verzeichnis c:\notes\data\domino\html Dateien öffnen und Programme starten.

Pfad: c:\notes\data\domino\html

Zugriff: Gruppe "Webbenutzer" (GET)

Zugriff: - Vorgabe - (Kein Zugriff)

Die Datei "secret.htm" befindet sich im Unterverzeichnis notes\data\domino\html. Sie können Mitgliedern der Gruppe "Webbenutzer" den Zugriff auf diese Datei verweigern und nur Jürgen Müller zum Zugriff berechtigen. Dazu erstellen Sie ein weiteres Dateischutzdokument mit folgenden Einstellungen:

Pfad: c:\notes\data\domino\html\secret.html

Zugriff: - Vorgabe - (Kein Zugriff)

Zugriff: Jürgen Müller (GET)

Zugehörige Konzepte
Zugriff von Web-Browsern auf Serverdateien steuern

Zugehörige Tasks
Web-Serverauthentifizierungsrealm erstellen

Zugehörige Informationen
IBM developerWorks Technical Library

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe