Domino保护internet口令安全

保护 Internet 口令的安全

Internet 口令可能会受到恶意源头的攻击。例如：

∙一种攻击类型是读取 IBM(R) Lotus(R) Domino(TM) 目录中的所有散列口令。用户的 Internet 口令以散列版本存储在 Domino 目录的用户“个人”

记录中。该目录可由系统的所有用户公开访问。您可以使用 xACL 来防止

此类攻击，从而阻止对散列口令的访问。

∙另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全

的口令格式、使用更难猜度的口令，或者通过在服务器上启用 Internet

口令锁定功能，可以防止此类攻击。

使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这些口令更加难以猜度。

∙xACL

∙更多安全口令格式

∙Internet 口令锁定

使用 xACL 保护 Internet 口令的安全

用来保护 Internet 口令的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。

对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令进行管理性更改）。

首先，为 Domino 目录启用扩展访问：

1.打开数据库，然后选择“文件”-“应用程序”-“访问控制”。

2.确保在数据库的 ACL 中具有“管理者”访问权限。

3.单击“高级”，然后选择“启用扩展权限”。

4.在下列提示中单击“是”以继续。

“启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅

Domino Administrator 帮助。Do you want to continue?”时，

5.在下列提示中单击“是”。该提示只有在数据库 ACL 的高级选项“强制

所有副本使用一致的访问控制列表”尚未启用时才会出现：

“必须首先启用一致性访问控制。是否立即启用？”

6.在下列的提示中单击“确定”：

“如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启

用文档锁定以避免冲突。”

7.在“访问控制列表”对话框中单击“确定”。

8.在下列的提示中单击“确定”：

“正在启用扩展访问控制限制。这可能要花费一点时间。”

接下来，设置扩展访问权限来保护 Internet 口令。

1.打开数据库，然后选择“文件”-“应用程序”-“访问控制”。

2.单击“扩展权限”。此时将出现“扩展访问权限”对话框。

3.在“目标”窗格中，选择根目录 [ /] 然后单击“添加”。

4.在“访问列表”窗格中，选择“缺省”。

5.单击“表单和域权限”。此时出现“表单和域”对话框。

6.在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。

7.在“域”列表框中：

1.选择 HttpPassword，然后将“读写”访问权限设置为“拒绝”。

2.如果出现 dspHttpPassword，则选择 dspHttpPassword 然后将

“读写”访问权限设置为“拒绝”。

8.单击“确定”。

9.对于下列访问列表条目的“个人”表单中的 HttpPassword 和

dspHttpPassword（如果出现的话）设置重复此过程：

备注如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中 HTTPPassword 和 dspHTTPPassword（如果出现的话）域的读写访问权限。

备注为 Domino 目录启用了 xACL 之后，LDAP 匿名访问就不受“所有服务器配置”文档中域列表的控制了。因为匿名的缺省 xACL 设置为“无访问权限”，所以一旦启用了 xACL，所有匿名 LDAP 搜索则都会失败。

使用更为安全的口令格式

输入 Internet 口令并保存“个人”文档后，Domino 自动单向加密 Internet 口令域。要提高缺省口令的质量，请使用更为安全的口令格式。

可升级现有的“个人”文档的口令格式，或者自动对创建的所有“个人”文档使用更安全的口令格式。

现有的“个人”文档

1.从 Domino Administrator 中，单击“个人和组”，然后选择要升级到更

安全的口令格式的“个人”文档。

2.选择“操作”-“升级 Internet 口令格式”。

3.如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 -

与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6

或更高版本相兼容的口令验证”。

新的“个人”文档

1.从 Domino Administrator 中，单击“配置”，然后选择“所有服务器文

档”。

2.选择“操作”-“编辑目录概要文件”。

3.如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 -

与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6

或更高版本相兼容的口令验证”。

4.保存并关闭文档。

备注如果您选择将用户的 Internet 口令与其 Notes 口令同步，则需要更安全的口令格式。

另一种用来防止恶意源头猜度口令的方式是使得这些口令难以猜度：通过让口令更长并且更复杂、使用多种字符、避免使用实际词语等。

使用 Internet 口令锁定

Internet 口令锁定使得管理员能够为 Domino Web 和 Domino Web 访问用户的Internet 认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值范围内无法登录的用户进行锁定，可帮助防止针对用户 Internet 帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在 Internet 锁定应用程序中维护，管理员可以在该应用程序中分别清除失败和解锁用户帐户。

应该注意的一点是，此功能容易受到服务拒绝 (DoS) 攻击。DoS 攻击指的是这样一种攻击：恶意用户明确阻止某个服务的合法用户使用该服务。对于这种Internet 口令锁定情况，可能会有故意进行失败登录尝试的攻击者来阻止合法的 Internet 用户登录 Domino 服务器。

备注Internet 口令锁定对 Domino 脱机服务 (DOLS) 没有影响。

Internet 口令锁定有一些使用限制：