DOMINO/NOTES的用户和ID文件管理 陈剑波 2001年 17期 LOTUS DOMINO/NOTES集电子邮件、数据库、开发环境、管理工具等于一身,在办公自动化、协同工作环境、工作流程控制、电子邮件和共享多媒体文档数据库等方面有显著的特长和杰出的安全特性,在机关、企事业单位得到了广泛的应用。笔者从事DOMINO/NOTES的开发、应用和管理多年,在深感其功能强大的同时,体会到要真正用好它,管理是一个非常重要的环节。DOMINO/NOTES的管理涉及很广,其中用户管理和ID文件的管理是日常管理工作的重点,下面笔者结合自己在这方面的工作实践,谈谈用户管理和ID文件管理的经验和要注意的问题。   用户管理的内容包括用户注册管理、系统访问权限管理、系统资源管理、用户移动管理、用户注销管理、群组管理等。用户管理的主要对象是各类ID文件,包括验证者标识符ID文件、用户ID文件和服务器ID文件。ID文件是进入系统的身份识别依据,应注意严格加以管理。   #1 一、用户注册   用户注册发生在系统初建或新用户进入系统时,由持有组织或组织单元验证者标识符文件的系统管理员来完成。注册过程并不局限于在服务器上进行,只要管理员掌握验证ID文件,在任何客户机上都可以完成。   1.由于一个应用系统中会有大量的组织和组织单元存在,为结构的规范和严谨起见,应为不同组织单元的人员设置不同的验证者标识符,这时就有多个验证者ID文件存在,在注册用户时要注意选择正确的ID文件。   2.注册时应严格按照用户的命名标准来为用户起名,建议采用用户姓名的中文全称来注册用户,方便直观,便于管理。只须在姓氏中输入姓名的中文全称即可,名字和中间名可为空。注意邮件文件名和ID文件名应与姓名的中文全称一致。   3.系统初建时,由于用户数量大、重复性强,可采用文件批量注册方式,将需要注册的用户信息按固定格式编辑成文本文件再运行注册过程,注册后删除文本文件。   4.注册时为用户设的口令应以统一易记为准,避免大量用户注册时遗忘口令。用户拿到自己的ID文件后应立即自行更改口令。口令长度以8字为宜。   5.用户的个人ID要以文件形式交到用户手中,不要由他人转交,也不要放在公共通讯录中传送,避免在该用户完成其客户端设置前被他人截获。   6.用户注册过程完成后,系统管理员应按照系统的安全策略、管理策略和命名规则等将用户放入不同的群组当中。   #1 二、用户更新   用户信息的更新主要包括用户更名、ID文件的重新验证、宿主邮件服务器的变更、用户个人注释性信息的更改等。   1.注释性信息是指公共通讯录的个人文档中一些非关键性的信息,如工作地点、单位名称、电话等,而关键性的信息是指个人文档中可以影响系统运行方式的信息,如用户名称、宿主服务器、邮箱文件的位置等。用户可随时修改自己文档中的注释性信息,但无法改动关键信息。具有编辑者以上权限的系统管理员可随时改动个人文档中的所有信息。   2.当某个标识符的验证字即将到期或标识符已经被他人盗窃,必须重新验证该标识符,可由系统管理员手工完成,主要分三步:用户生成自己ID文件的“安全拷贝”、系统管理员重新验证“安全拷贝”、用户合并“安全拷贝”。   3.用户更名由用户提出,由掌握相应级别的验证ID文件的系统管理员来操作完成。使用管理进程时,系统管理员只需在公共通讯录中提交用户更名请求即可。   4.用户移动分两种情况:不改变用户名称时只移动用户邮箱的位置,变更宿主服务器,系统管理员可以手工将其邮箱文件复制到新的宿主服务器上,然后手工更改该用户个人文档中有关邮箱位置的描述,最后从原服务器上删除旧邮箱文件。需要改变用户名称时,由系统管理员在公共通讯录中提交用户移动请求,由DOMINO服务器上的管理任务进程自动完成用户移动工作。   #1 三、用户注销   用户注销发生在用户已调离本系统,不应该再访问本系统中的任何信息时。用户注销主要包括删除公共通讯录中此人的个人文档和系统中所有数据库的ACL存取控制表中此人的名字,把他的名字放入已注销用户群组中,删除该用户在服务器上的邮箱文件。   #2注销用户时须注意以下几点:   1.注销用户之前首先必须确认该用户已经不在本系统中扮演重要角色,尤其在该用户是某些数据库或服务器唯一的管理员的情况下,必须指定另外的人代替其角色,避免该用户被删除后无法移交管理权。   2.注销用户的正规操作是使用管理进程,这是为了减轻管理员的工作量和避免手工操作时容易产生的用户个人文档误删除事故,同时所有操作过程会留下详细的记录,便于管理。   3.用户删除后,记住把其名字放入本地的拒绝访问者群组中,以防该用户继续使用其ID文件访问本系统中的信息。   #1 四、群组管理   只有系统管理员才可以在公共通讯录中创建群组,用户如果需要使用在公共通讯录中没有的组时,可在本地个人通讯录中自行创建。系统管理员可以在所有服务器上的NOTES数据库的ACL存取控制表中使用各种群组名,这样可以避免ACL表过于冗长,便于管理。用户应该以其全名(包括所有层次结构)的形式出现在用户组中,避免因用户普通名的重名而带来管理上的混淆。组的成员中可以包含组,如上级组包含下级组,最低级别的组才包含用户名。注意此处级别是逻辑上的,不一定是行政隶属关系。   #1 五、ID文件的管理   #21.验证者ID文件的管理   验证者ID文件用以注册下一层的验证者ID文件、服务器ID文件以及用户ID文件,所以验证者ID文件是NOTES系统安全性的基石之一。如果一个验证者ID文件失密,则在其下注册的所有验证者ID、服务器ID、用户ID文件必须全部重新验证,才能确保整个系统的安全性。验证者ID应由各级的管理员创建和管理并保存在隐蔽而安全的地方。   #22.服务器ID文件的管理   服务器ID文件不设置口令,应由管理员通过加密邮件或磁盘的方式进行散发,而不要通过公共通讯录散发。服务器ID文件的备份应同时保存在网络的安全目录中和非网络的安全的地方。   #23.用户ID文件的管理   每个NOTES用户都拥有一个用户标识符,系统通过它判定用户访问服务器及其信息的权限,所以系统的每一个合法用户在访问系统时都必须出示自己的合法ID文件。用户标识符是系统进行访问和安全控制的基础,ID文件的使用和保存必须严格管理,并形成制度,严格遵守。用户ID的管理应注意以下几点:   系统管理员为每个合法用户注册,将ID文件保存在磁盘上并交给用户,不要通过公共通讯录传送ID文件。   用户ID文件的有效期限设置为两年。   用户收到ID文件后立即更改个人密码,牢记并保密。   严禁私自使用他人的ID文件,对系统造成危害的必须追究责任。严禁将ID文件借与他人使用,否则产生的后果由用户负责。   系统管理员行使管理职能时必须使用其个人ID文件,除非极特殊情况下才可操作服务器进行管理。   建议系统管理员对所有用户使用系统提供的“口令检查”功能,这样可以督促用户定期更改自己的口令,以使口令可以更安全地保护ID文件。   为使系统具有更高的安全系数,服务器管理员可以选择NOTES的检查公共验证字功能,这样用户在怀疑自己的ID文件已被他人拷贝并盗用时,通过重新验证的方法使被盗的ID文件作废。   一个用户对应一个ID文件,不要多个用户共享一个ID文件。若硬件条件非常有限且有必要多个NOTES用户共用同一台工作站,各个NOTES用户的ID文件应存放在软盘上,严禁在一台机器硬盘上存放多个ID文件。   系统管理员制定用户ID文件的备份与恢复策略,如:用户自行保存备份ID文件,所辖用户ID的口令都设成系统管理员极易回忆起的统一口令,ID文件统一保存在一个受多条口令保护的特殊ID才可以访问的特别数据库中,每个系统管理员只掌管一条口令,这样只有所有系统管理员都在场的情况下才可以打开此数据库。