Lotus Domino 8.5 ID Vault 新功能介绍及体验
Lotus Domino 8.5 中新的 ID Vault 功能,可以提供更简便的方法为用户恢复 ID 文件或重置密码。从而简化了 Domino 管理员的日常管理工作,提高管理员和用户的工作效率。本文着重介绍了 ID Vault 的部署和管理流程。
Domino 管理员的日常工作比较繁忙,用户 ID 文件的管理和维护就是最常见的一项。对于管理员来说这是一项简单而繁琐的工作;而对于用户,如果问题得不到及时的解决,就会影响日常基本工作,因为没有了 ID 文件或忘记密码,用户什么都干不了。可见,及时简便的 ID 管理方式无论对管理员或用户都非常重要。
ID Vault 是 Domino 8.5 引入的一个安全特性,旨在帮助管理员简化管理流程,更有效地管理用户 ID 文件。使用 ID Vault 可以更容易地解决用户丢失 ID 文件或忘记密码的问题,与之前的 ID Recovery 机制相比大大地节约了管理成本。
Vault 意为保险库,ID Vault 最直接的理解就是一个保存 ID 文件的保险库。ID Vault 并不是 Domino 8.5 才有的新名词,它出现在许多需要保护 ID 安全性的场合。例如网上交易,用户将需要保护的账户和密码信息保存在 Vault 中进行管理。
Domino 8.5 引入 ID Vault 特性使管理员更有效更容易地管理 ID 文件。ID Vault 是一个服务器上的数据库,用来保存用户 ID 文件,并且 ID 文件是以加密备份的形式存储的。即使非法用户获得了这个 ID 文件也无法使用,保证了 ID 的安全性。要使用这个功能,管理员需在服务器上建立一个 Vault,并指定此 Vault 的适用范围,即哪个组织可以使用这个 Vault, 然后新建一个与 Vault 相关的安全策略。这时,用户的 ID 文件就会被自动上传到 Vault 数据库中妥善地保存起来。具体的步骤是:
- 可用的 Vault 数据库。其中,每个 ID Vault 对应一个数据库,此数据库就称为 Vault 数据库。Vault 数据库在 ID Vault 创建过程中自动生成,放置在 Domino 数据目录的 IBM_ID_VAULT 目录下。
- 用户的一个验证者签发了 Vault 信任证书。Vault 信任证书定义了哪些用户可以使用这个 Vault 来保存 ID 文件。以 /Acme 公司为例,如果 Acme 组织验证者 ID 对某个 Vault 签发了 Vault 信任证书,则 Acme 组织下面的所有用户都可以使用此 Vault。
- 用户的有效策略中,包含有关于 Vault 的安全设置。Vault 信任证书仅仅定义了用户可以使用某个 Vault,但用户真正使用的 Vault 还需要在安全设置中指定。只有当条件 2 和 3 匹配时,分配给用户的 Vault 才能生效。
在构建起 ID Vault 之后,无论是新注册的用户还是已有的用户都可以自动把 ID 文件上传到 Vault 数据库中。如果用户是一个新用户,ID 文件在注册过程中就会被上传到 ID Vault 中。用户第一次跟服务器做鉴权时,ID 文件自动从 Domino 目录拷贝到客户端。这点同没有配置 Vault 的用户是一样的。对于一个已经存在的用户,这个过程几乎是透明的。用户要想知道 ID 文件是否上传到 Vault 中,可以在客户端中选择 File->Security->User Security,输入用户密码查看相关信息。如下图所示,如果用户成功地启用了 Vault,则会显示相应的 Vault 名称。
Vault 启动成功之后,客户端的 ID 文件和 Vault 中的 ID 文件就会自动保持同步。当用户忘记密码时,Domino 管理员通过 Admin 客户端将用户密码重置,或者用户自助式地重置密码。用户输入重置后的密码连接到服务器,ID 文件就会自动从 Vault 中下载到客户端,而不需要手动将 ID 文件拷贝到客户端。用户 ID 文件丢失或损坏的情况则更简单,用户登录时输入用户密码,ID 文件就会自动从 Vault 下载到客户端,当然前提是有网络连接。紧从忘记密码和 ID 文件丢失就可以看出,管理工作方便了很多,那么我们总结一下使用 ID Vault 的好处包括:
- 当用户的 ID 文件丢失或者损坏时,可以很快地恢复,不需要管理员的参与,这个过程对用户是透明的,用户几乎感觉不到。
- 如果用户同时拥有多台 Notes 客户端,Vault 中的 ID 文件会自动与其保持同步,再不需要携带 ID 文件手动拷贝或重新同步密码。
- 当用户忘记密码时,有权限重置密码的用户可以通过 Admin 客户端很容易地重置用户密码,而不需要直接访问 ID 文件或 ID Vault。
- 可以使用定制程序来重置用户密码。当用户需要重置密码时,除了第 3 点介绍的方法,Domino 8.5 还提供 ResetUserPassword 接口给开发人员开发自己的重置密码程序。使用它,用户可以自助式地重置自己的密码,或者让 help desk 的同事来重置密码,而不需要管理员的帮助。
- ID 重命名过程中不需要用户的参与。用户启用 Vault 后,“User Security”窗口的“Ask your approval before accepting name changes”选项将不可用。当检测到服务器上的 ID 文件有更新时,客户端自动更新其 ID 文件。
- ID key rollover 过程不需要用户的参与。用户启用 Vault 后,将不能通过客户端请求 key rollover,只有管理员才能启动 key rollover。同 ID 重命名一样,当检测到服务器上的 ID 文件有更新时,客户端自动更新其 ID 文件。
  |
|
ID Vault 和 ID Recovery 恢复 ID 文件过程比较
Domino 8.5 仍然支持 ID Recovery 机制,本章以恢复 ID 文件为例,比较两种不同的工作模式。
ID Vault 是 Domino 8.5 的新功能,它对 Notes 和 Domino 的版本都有要求,如下表所列:
| ID Vault | |
| Lotus Notes | Notes 8.5 or above |
| Domino Directory server | Domino 8.5 or above |
| Vault server | Domino 8.5 or above |
| User Home Server | Domino 8.5 or above |
注:保存 Vault 数据库的服务器称为 Vault 服务器。Domino 目录的管理服务器和用户的本地服务器不要求一定是 Vault 服务器。
ID 文件不可用通常有两种情况,ID 文件丢失和用户忘记密码。Domino 管理员通过 ID 恢复过程给用户提供一个可用的 ID 文件。本节将对 ID Vault 和 ID Recovery 两种 ID 管理机制下的 ID 恢复过程进行对比。
ID Vault
配置好 ID Vault 特性之后,Vault 中的 ID 文件和各个客户端的 ID 文件就会自动保持同步,而不需要 Domino 管理员或最终用户的参与。图 2 描述了 Vault 中恢复 ID 文件的过程。
1. ID 文件丢失
如果 Notes 用户硬盘上的 ID 文件丢失,客户端试图连接 Domino 服务器时,只要提供正确的密码,ID 文件就会自动从 Vault 下载到客户端,这个过程对 Notes 用户是不可见的,用户甚至都感觉不到这个过程。
2. 用户忘记密码
用户忘记密码时,可以联系有权限重置密码的 Domino 管理员进行密码重置,或者根据部署的重置密码程序自助式地重置密码。用户在拿到新密码之后登录客户端,输入新的密码,用户 ID 文件将会自动从 Vault 中下载到客户端。
ID Recovery
在 Domino8.5 之前,管理员使用 ID Recovery 来进行 ID 恢复。启用 ID 恢复后,用户的 ID 文件中将包含恢复信息,这里我们也分两种情况介绍 ID Recovery 下的 ID 恢复。
1. ID 文件丢失
如图 3 所示,配置好 ID 恢复特性之后,要想恢复用户的 ID 文件,需要最终用户和 Domino 管理员执行一系列的操作才能完成。ID 文件丢失和用户忘记密码时恢复 ID 文件的流程几乎相同,唯一不同的是丢失 ID 文件时,最终用户在恢复 ID 文件之前,需要联系其中一名管理员获得备份的 ID 文件。
Domino 管理员需要完成的操作:
- 进入保存 ID 文件加密备份的 mail-in 数据库中,取得用户的 ID 文件备份。
- 如果用户丢失了 ID 文件加密备份,则向该最终用户发送其备份 ID 文件的一份拷贝。
- 在 Admin 客户端选择提取恢复密码,输入 Domino 管理员自己的密码。
- 选择第一步取得的用户 ID 文件备份,将显示出的恢复密码提供给用户。
最终用户需要完成的操作:
- 联系 Domino 管理员获得备份的 ID 文件。
- 启动 Notes 客户端,在提示输入密码窗口随意输入密码或直接单击确定,出现密码错误信息后选择"Recover Password",进入到恢复密码窗口。
- 选择需要恢复的 ID 文件,也即是第一步从 Domino 管理员那获得的 ID 文件备份。
- 输入从 ID 恢复管理员那获得的恢复密码。ID 恢复管理员有可能是多个,这时,需要从所有的 ID 恢复管理员那获得恢复密码。
- 用户正确地输入一个或多个恢复密码后,用户才能设置新的 ID 文件密码。
2. 用户忘记密码
用户有 ID 文件但是忘记密码时 , 恢复 ID 文件的流程与 ID 文件丢失的恢复流程几乎相同 , 唯一不同的是用户不需要联系 Domino 管理员获得备份的 ID 文件 , 直接使用客户端的 ID 文件即可。
从上述流程中可以看出,要想从 ID 文件的加密备份中恢复用户 ID 文件,是一件非常繁琐的事情。需要 Domino 管理员和最终用户的密切协作才能完成,尤其需要每位 ID 恢复管理员提供的恢复密码,如果有位 ID 恢复管理员没有提供恢复密码,恢复 ID 的工作就无法完成。而 ID Vault 的管理机制比 ID Recovery 机制简洁方便得多,大大地节约了管理成本。因此,尽管已有的 ID Recovery 在 Domino 8.5 的环境中仍然可用,我们还是建议 Domino 管理员用 ID Vault 替换 ID Recovery 来进行 ID 管理工作。
|
|
在了解了 ID Vault 的优势之后,本章详细介绍如何在服务器上部署 ID Vault。在开始部署之前,Domino 管理员需要考虑的几个问题。
创建多少个 Vault
首先,处于不同 Domino 域的用户不能使用同一个 Vault。因此,当环境中包含有多个 Domino 域时需要创建多个 Vault。此外,为了管理方便,即使是一个域中也需要创建多个 Vault。例如:Acme 公司包含有一个组织 /Acme 和多个组织单元,包括:/Dallas/Acme,/NewYork/Acme 和 /Shanghai/Acme 等;Acme 公司可以将所有用户的 ID 文件都保存在一个 Vault 中,但如果希望不同区域的人单独管理 ID 文件,就可以为每个区域创建一个 Vault,或者某几个区域创建一个 Vault。具体创建多少个 Vault,应该根据不同的情况,综合考虑 Vault 信任证书和 Policy 设置两个方面。现提供两种方案:
- 为了实现不同区域的人单独管理其 ID 文件,为每个组织单元单独创建 Vault。
- 为整个公司组织创建多个 vault,也即是 Acme 公司下的所有用户都可以使用这多个 Vault,但是在每个组织单元的组织策略中分配不同的 Vault。这样也可以达到不同组织单元的人使用不同的 Vault 的目的。
密码重置
用户、用户组、服务器和组织单元都可以有重置密码的权限,并将他们称为密码重置权威。在 ID Vault 中,有两种重置密码的方式供管理员选择:
- 有权限重置密码的用户通过 Admin 客户端为用户重置密码。通常都是指定某几个管理员负责为用户重置密码。
- Notes 用户自助式的密码重置。开发人员可以调用 ResetUserPassword 方法定制自己的重置密码程序,用户使用它来自助式地重置密码,或者让 help desk 的同事重置密码,而不需要管理员的帮助。ResetUserPassword 方法在 C, Java, JavaScript 以及 LotusScript 语言环境中都是可用的。在 Domino8.5 中,提供了一个名为 PwdResetSample.nsf 的样例程序供开发人员参考。它即是在“User Password Reset”代理中调用了 ResetUserPassword 方法。在将这个样例程序部署到服务器上后,用户只需要在浏览器上成功登录 http://<server>/PwdResetSample.nsf”就可以重置自己的密码。
在部署之前需要计划好重置密码的方式。如果选择第一种方式,则需要考虑哪些用户将有权限重置密码。而如果选择第二种,则需要开发自己的重置密码程序,并将它部署到服务器上。
将 Vault 保存在哪些服务器上
保存 Vault 数据库副本的服务器称为 Vault 服务器,通常情况下,将 Vault 数据库放在一台服务器上即可(要求 Domino 版本至少是 8.5)。但对于用户数很多的情况,可以在多个服务器上保存 Vault 副本来平衡性能。同时,为了避免 Vault 服务器不可用所带来的影响也需要考虑使用多个 Vault 服务器。
Vault 管理员
一个 Vault 至少需要一个 Vault 管理员,Vault 管理员能够添加 / 删除 Vault 服务器、添加 / 删除 Vault 管理员、添加 / 删除信任此 Vault 的组织、添加 / 删除密码重置权威、从 Vault 中提取 / 删除用户 ID 文件。一个用户要想成为 Vault 管理员,必须对 Admin 客户端所连接的服务器至少拥有管理员权限。
在做好了 Vault 部署计划以后就可以开始创建 ID Vault 了。Lotus Admin 客户端新增了一系列与 ID Vault 相关的操作。包括新建 Vault,管理 Vault,重置密码,导出用户 ID 文件等。
如图 4 所示,点击“Create …”创建一个新的 ID Vault,“Create and Configure Notes ID Vault”向导将会引导用户完成 Vault 的创建和配置工作,如下图所示,首先弹出来的页面包含 Notes ID Vault 的功能说明和此向导完成的工作说明,如果用户希望下次不再显示此页面,可以将“Don ’ t show this panel again”选项选上,那么下次创建 ID Vault 时将会跳过此页面。
下面我们分步骤介绍 ID Vault 创建过程:
第一步:定义 Vault 名称和描述信息
Vault 名称:
Vault 名字除了不能跟组织或组织单元的名字相同外,用户可以任意选择自己喜欢的 Vault 名称,这个名称决定了对应的 vault 数据库和 vault id 的名称。例如:命名为 ibmcn_vault 的 vault 对应的 vault 数据库为:ibmcn_vault.nsf,vault id 为:ibmcn_vault.id。此外,安全设置中分配的给用户 Vault 名称即是这个。注:Vault 一旦创建成功,vault 名称将不能再修改。
Vault 描述信息:
用户可以输入关于创建的 Vault 的一段描述信息,Vault 描述信息将作为对应的 Vault 数据库的标题。Vault 描述信息是可选的,如果用户没有输入,则 Vault 数据库的标题也为空。
第二步: Vault 密码和 ID 文件存放路径
创建的每个 ID Vault 会有对应的 Vault ID 文件和密码,这点上同用户 ID 是一样的。
Vault ID 的密码:
至少为 8 位,且遵从安全规则。
ID 文件存放路径:
应该将 vault ID 文件存放在一个安全的路径,并做好 Vault ID 文件的备份工作。
当 Vault 管理员添加或删除 ID Vault 副本时,需要提供 Vault ID 文件和密码。另外,删除 vault 时也需要提供这两个信息。
第三步:选择 ID vault 服务器列表
根据在计划阶段计划的,选择存放 vault 副本的服务器列表即可。
第四步:选择 vault 管理员
单击“Add or Remove …”添加或删除 vault 管理员。如图 10 所示:
从左边选择需要添加的用户,单击“Add”,用户则被添加到 vault 管理员列表中。需要注意的是:一个用户要想成为 Vault 管理员,必须对 Admin 客户端所连接的服务器至少拥有管理员权限。只有当这个条件满足时,用户才会出现在图 10 中可选用户列表中。
第五步:使用此 Vault 的组织或组织单元
选择使用此 Vault 的组织或组织单元,也即是信任此 Vault 的组织或组织单元。在 Vault 创建过程中,会相应地为使用此 Vault 的组织或组织单元创建 Vault 信任证书(Vault Trust Certificate)。
第六步:指定有权限重置密码的用户
选择有权限重置密码的用户、用户组、服务器或组织单元。一旦它们被赋予重置密码的权限,对应地会在 Domino 目录中创建一个密码重置证书。如果计划采用代理来让用户自己重置密码,在选择给代理签名的用户时还需要把“Self-service password reset authority”选项选上。
第七步:创建 / 编辑 ID Vault Policy 设置
由于第八步和第七步是关联的,因此我们在此一并介绍。
在本文的开始已经介绍过,一个用户要想使用 Vault,需要同时满足三个条件。这第三个条件即是:“用户的有效策略中,包含有关于 Vault 的安全设置”,关于更详细的 ID Vault 安全设置,我们将“4.4 Vault 安全设置”中介绍。在管理员可以在创建完 Vault 后手动创建包含使用 vault 的安全设置,再将此安全设置添加到用户的有效策略中。为了减轻管理员的工作,这个工作也可以在创建和配置 Notes ID Vault 过程中完成。包括:
- 创建包含此 vault 的安全设置文档
- 创建包含安全设置的策略文档,根据用户的选择,可以是组织策略,显示策略或动态策略。
- 将策略文档分配给组织,特定的用户 / 用户组,或者使用特定的服务器作为本地服务器的用户。
如图 13 所示,管理员有 5 种方式可以选择。分别是:
- 创建分配给一个组织的策略文档
- 创建分配给特定用户 / 用户组的显示、动态策略文档
- 创建分配给特定用户的显示、动态策略文档,这些用户使用特定的服务器作为本地服务器。
- 编辑一个现有的策略文档
- 如果暂时不想创建安全设置文档和策略文档,可以选择跳过本步,以后再设置。
这里,我们以第一种方式为例给大家介绍,选择“Create a new policy assigned to an organization”并单击“Next”,如下图所示:
通过“Add or Remove”选择组织名,单击“Next”。在“Forgotten Password Help Text”中输入用户忘记密码时的提示信息。单击“OK”完成。
第九步:验证 vault 配置信息
至此,vault 的配置过程中已经全部完成。如图 15 所示,用户可以在这一步浏览 vault 的全部配置信息,确认无误后单击“Create Vault”创建 vault。如果发现有误则单击“Previous”返回到之前的步骤进行修改。
第十步:创建 vault
在上一步确认无误,并单击“Create Vault”开始创建 vault。这个过程中会要求用户提供使用信任此 vault 的组织的 cert ID 和密码。直到弹出如下窗口提示成功地创建完 vault,整个过程才算完成。
从图中可以看出,Vault 创建过程中会生成以下文档:
- Vault 文档,可以通过 Configuration->Security->ID Vaults 查看。
- Vault 信任证书,可以通过 Configuration->Security->Certificates 查看。
- Vault 密码重置权威,可以通过 Configuration->Security->Certificates 查看。
- Vault ID 文件,这个 ID 文件会放置在用户创建 Vault 时指定的位置。
- Vault 数据库,这个以 Vault 名字命名的数据库文件可以在 Files Tab 下的 IBM_ID_VAULT 目录找到。
如果创建 Vault 过程中选择了创建 Policy,还可以在 Domino 目录中看到 Policy 文档成功创建。
图 17 是在 server console 执行 show idvaults(sh id)的输出,从这可以很清楚地看到有关 vault 信息。
对于已经创建的 Vault,vault 管理员可以通过 Admin 客户端对它进行管理,如图 18 所示。其中包括:
- 修改 Vault 描述信息。
- 修改 Vault ID 密码。
- 添加 / 删除 Vault 服务器信息。
- 添加 / 删除 Vault 管理员。
- 添加 / 删除使用 Vault 组织列表。
- 添加 / 删除密码重置权威。
- 创建 / 编辑 Vault Policy 设置。
从列表中可以看到,vault 的配置信息除了 vault 名称是不可更改的,其他信息都是可以重新配置的。
此外,管理员还可以通过 Admin 客户端 Configuration->Tools->ID Vaults 下的“Delete …”菜单删除 Vault。删除 Vault 会同时删除保存在 Vault 中的用户 ID 文件,所以应该谨慎操作。
在 8.5 中,安全设置中新增了关于 Vault 的设置项,如图 19 所示:
其中,管理员可以进行以下设置:
- 分配给用户的 Vault。如图 19 所示,Assigned vault(分配的 vault)域中为下划线加 vault 的名字。
- 用户忘记密码时的帮助信息。当用户在 Notes 客户端登录窗口单击“Forgot your password?”时,会显示这一帮助信息。你可以在这里提示用户忘记密码时联系某位管理员进行密码重置,或者提供给用户自助式的重置密码步骤。
- 密码重置后是否强制用户修改自己的密码。如果选择“Yes”,用户用管理员提供的密码登录后,必须重新设置自己的密码。而选择“No”则不需要,可以直接使用管理员提供的密码,除非用户自己修改。
- 是否允许 ID 文件自动下载。ID 文件下载次数是 ID Vault 中一个很重要的概念。这里,“允许 ID 文件自动下载”选项可以设置成“Yes”或“No”。“Yes”表明允许用户无限量的 ID 文件下载,而“No”则表明 ID 文件下载是有次数限制的。为了增加安全性,可以将“允许 ID 文件自动下载”选项置为“No”,当用户确实需要从 Vault 中下载 ID 文件时,再手动设置用户 ID 文件的最大允许下载次数。Notes 用户每成功从 Vault 中下载 ID 文件一次,最大允许下载次数减 1,直到减为 0 用户不能自动下载 ID 文件为止。
- ID 文件的下载期限。
在“允许 ID 文件自动下载”为“No”时,这个选项才可以设置。它定义了 ID 文件的下载期限,例如:“允许 ID 文件自动下载”置为“No”,而“ID 文件的下载期限”为 2 天 12 小时。当管理员通过 Admin 客户端重置用户密码,并且设置最大允许下载次数为 1 时,用户必须在 2 天 12 小时的期限内使用重置后的密码登陆 Notes,用户 ID 文件才会自动从 Vault 中下载到本地客户端。
- ID 文件下载出错信息,当用户因为没有权限下载 ID 文件或下载期限已过而出错时,这一信息可以提示用户联系管理员设置 ID 下载次数或再次重置密码。
用户注册
在 8.5 的 Admin 客户端中注册用户时,高级菜单中的“ID Info”选项栏增加了一个关于 Vault 的选项。如果注册服务器版本低于 8.5,“ID vault not supported for this version of Domino.”会显示在“ID Info”选项栏。而对于 8.5 及 8.5 以后的版本,则变成“In Notes ID vault”选项域。当用户应用 Vault 的三个条件同时都满足时,这个选项默认已经选上,而且是不可以修改的。这种情况下,注册用户的同时用户 ID 文件会自动上传到 Vault。如图 20 所示:
注册完成后,可以到 Vault 数据库中查看保存的 vault 用户信息,如图 21 所示,新注册的用户 ID 文件已经上传到 Vault 中。Vault 用户文档中除了包含用户 ID 文件外,还有 ID 文件最后修改时间和最大允许下载次数。
删除用户
在删除用户时,可以选择将 ID 置为非活动而将 ID 文件依然保留在 vault 中,或者直接将 ID 文件从 vault 中删除。如图 22 所示:
如果用户的 ID 文件在 Vault 中处于非活动状态,他 / 她将不能执行有关 Vault 的操作,包括重置密码,自动保持同步等;
重置用户密码
当 Notes 用户忘记密码时,有权限重置用户密码的用户可以通过 Admin 客户端重置密码。其步骤如下 :
- 从 Admin 客户端打开 People & Groups 页,选中需要提取重置密码的用户文档 .
- 选择 Tools->ID Vaults->Reset Password。
- 在如图 23 所示的“Reset User ’ s Password”窗口中,“User name”为刚才选中的用户名称。
- 选择密码通知的方式,管理员有两种方式可以选择:
- 选择“In Person”,在输入框中手动输入新密码或者随机产生新密码,再将它提供给用户。
- 选择“By E-mail to manager”,将随机产生的新密码以加密邮件的方式发送出去。 在这种方式下,密码只能随机生成,而不能手动输入。
- 单击“Reset Password”重置用户密码。
注:如果用户的 Vault 安全设置“允许 ID 文件自动下载”参数为“No”,则在图 23 的 “Reset User ’ s Password”窗口中,还可以设置用户 ID 文件的最大允许下载次数。
提取 ID 文件
在有些情况下,需要把 ID 文件从 vault 中提取出来。例如:用户没有网络连接,不能自动下载 ID 文件;这时就需要 Domino 管理员把 ID 文件提取出来交给用户。注:Domino 管理员和 vault 管理员都有权限提取 ID 文件。其步骤如下:
- 从 Admin 客户端打开 People & Groups 页,选中需要提取 ID 文件的用户文档,如果是提取非活动用户的 ID 文件,随意选中一个用户文档即可。
- 单击 Tools->ID Vaults->Extract ID From Vault。
- 如图 24 所示,用户名和 vault 信息会自动出现。其中 vault 名字是在用户的有效 Policy 设置中指定的 vault。如果是非活动用户,这两项需要手动输入。
- 输入需要提取 ID 文件的用户密码。注:具有“Auditor”角色的 vault 管理员可以不输入密码就提取用户 ID 文件。
- 单击“OK”,指定存放 ID 文件的位置。
- 如果在第 4 步中没有输入用户密码,会提示管理员输入新密码。
为了适应某些特殊需求,ID Vault 允许具有“Auditor”角色的 vault 管理员在不提供密码的情况下就提取出 ID 文件。如果想禁用这个功能,可以到所有的 vault 服务器上,设置 notes.ini 参数 SECURE_DISABLE_AUDITOR=1。SECURE_DISABLE_AUDITOR 是个系统变量,只能到 notes.ini 文件中修改,不能够在 server console 上修改。需要启用时再将 SECURE_DISABLE_AUDITOR=1 从 notes.ini 文件中删除,并重启 vault 服务器。
设置 ID 文件下载次数
为了控制 ID 文件的下载,可以将图 4 中的“Allow automatic ID downloads”(允许 ID 文件自动下载)设成“No”,并同时指定 ID 文件下载期限。
手动设置 ID 文件下载次数:使用 Admin 客户端,打开 People & Groups 页,单击要修改 ID 下载次数的用户文档,选择 Tools->ID Vaults-> Set ID Download Count …菜单,如图 25 所示。一般可以采用以下规则:用户在几个工作站上运行 Lotus Notes,就将最大允许下载次数设成几。也可以平时置成 0,当用户需要下载时 Domino 管理员再将其置成 1.
设置完 ID 下载次数之后,可以到 Vault 数据库中查看 vault 用户文档,确认最大允许下载次数已经修改。从图 26 中可以看出,最大允许下载次数已经置为 1。每次用户自动下载 ID 文件之后,这个数字会减 1,直到 0 为止。
除了使用“Set ID Download Count …”菜单设置最大允许下载次数,在重置密码窗口中也可以设置此参数,请参考图 23。
从 Vault 中删除用户 ID 文件 / 将 ID 置成非活动状态
保存在 Vault 中的 ID 文件可以被删除,也可以标记为非活动状态。关于这一点我们已经在讲解删除用户时介绍,管理员在删除用户时可以选择将 ID 文件从 Vault 中删除,或标记为非活动状态,如图 22 所示。此外,Vault 管理员也可以到 IBM_ID_VAULT 子目录下的 Vault 数据库中手动修改 ID 状态。
1. 手动将 ID 文件从 Vault 中删除。
打开 IBM_ID_VAULT 子目录下的 vault 数据库,选择相应的用户文档,单击“DEL”,按 F9 刷新即可。
2. 手动将 ID 文件标记为非活动状态。
打开 IBM_ID_VAULT 子目录下的 vault 数据库,选择相应的用户文档,单击“Mark ID Inactive”,用户文档就将出现在“Inactive User IDs”视图中。如果想还原 ID 的话,在“Inactive User IDs”视图中,单击“Restore ID”即可。
|
|
Roaming 用户是一种特殊的 Notes 用户,在 8.5 之前,只有一种 Domino Roaming 用户,它的一个功能就是用户的 ID 文件被隐藏地存储到该用户的 names.nsf 中,这样用户在不同的客户机上配置和访问 Notes 客户端时就不需要手工携带并拷贝 ID 文件了,非常方便。但这一功能仅仅局限在 Domino Roaming 用户。
从 8.5 开始,一种新的 Roaming 用户,File Server Roaming 诞生了,与经典的 Domino Server Roaming 相比,File Server Roaming 是把数据存储到本地的文件服务器上,而不是存储到异地的 Domino 服务器上,这种方式的优点是可以充分得利用本地高速网络带宽,快速存取数据,提高产品性能。而对于 File Server Roaming 用户,则不具备隐藏存储 ID 文件这样的功能。这对于最终用户来说,非常不方便。管理员可以利用 ID Vault 来实现这一功能,同样达到自动同步 ID 文件和密码的作用。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |