WEB 伺服器

保護伺服器上的檔案避免 Web 用戶端存取
「檔案保護」文件會控制使用者可以透過 Web 瀏覽器存取的非資料庫檔案之使用權。類似資料庫檔案 (.NSF) 使用權控制清單 (ACL),指定可存取檔案的使用者名稱及使用者所具有的使用權層次,您也可以在瀏覽器使用者可存取的檔案 (例如,HTML、JPEG 與 GIF) 中強制執行檔案保護,方法是指定這些檔案類型的使用權層次及可存取檔案的使用者名稱。

您也可以對 CGI script 套用檔案保護時,檔案保護並不會延伸至那些 script 所存取的其他檔案。例如,您可對 CGI script 套用檔案保護,以限制對名為 Web Admins 的群組之使用權。然而,如果 CGI script 執行並開啟其他檔案或觸發其他要執行的 script,則「檔案保護」文件無法控制 Web Admins 是否擁有這些額外檔案的使用權。

請不要建立檔案保護文件來限制對下列目錄的使用權,其中含有 Domino Web 伺服器使用的預設影像檔及 Java applet 與其他應用程式,如郵件資料庫:


然而,檔案保護適用於存取其他檔案的檔案 -- 例如,開啟影像檔的 HTML 檔。如果使用者有 HTML 檔的使用權,但沒有 HTML 檔使用之 JPEG 檔的使用權,則使用者開啟 HTML 檔時,Domino 不會顯示 JPEG 檔。

您可以建立目錄或個別檔案的「檔案保護」文件。針對某一目錄所定義的保護,所有其子目錄也會繼承該定義。您必須對 Web 使用者可存取的所有目錄設定「檔案保護」文件。沒有「檔案保護」文件的檔案及檔案目錄可以由任何人使用 Web 瀏覽器存取。

附註 您不必使用檔案保護文件來保護資料庫 (.NSF) 檔案;您應使用資料庫 ACL。

控制 Web 瀏覽器存取伺服器檔案的範例
在「檔案保護」文件的欄位中指定下列設定,可使「Web 使用者群組」中的使用者,在 c:\notes\data\domino\html 目錄中開啟檔案並啟動程式。


檔案 secret.htm 位在 notes\data\domino\html subdirectory 子目錄中。您可以拒絕「Web 使用者群組」成員存取此檔案,而僅允許使用者 Joe Smith 存取。若要執行此動作,請以下列設定建立其他的「檔案保護」文件:
建立網站文件的檔案保護

在 Domino 6 中,您可以建立特定「網站」的檔案保護文件。則此檔案保護文件只能套用於該特定「網站」。

檔案保護文件提供有限制的安全性。請使用 Domino 安全性特性 (如資料庫 ACL) 來保護敏感資訊。

建立網站文件的檔案保護
1. 從「Domino 管理員」中,選擇 [配置][Web][網際網路站台]。

2. 開啟您要建立檔案保護的「網站」文件。

3. 按一下「網站」,然後選擇「建立檔案保護」。

4. 按一下「基礎」,並完成下列欄位:
欄位動作
說明(選擇性) 輸入一個名稱以區分此文件與您建立的其他文件。
目錄或檔案路徑指定您要限制使用權的目錄或檔案路徑。應該是完整的路徑格式,其中包括磁碟機字母 (例如, c:\lotus\domino\data\domino\cgi-bin),或輸入伺服器資料目錄的相對路徑 (例如,domino\cgi-bin)。
現行使用權控制清單顯示可以存取您指定之檔案或目錄的使用者與群組,及容許的使用權類型。與資料庫 ACL 類似,使用權控制清單恆是以 -Default- 項目建立,並設定為「沒有使用權」,您可以修改此設定。 在使用資料庫 ACL 時,未列在「使用權清單」中的使用者則會接收預設的使用權層次。
設定/修改使用權控制清單若要將使用者新增至「使用權控制清單」,請按一下「設定/修改使用權控制清單」。從「Domino 名錄」中選取使用者名稱或群組,或在「名稱」欄位中鍵入名稱。選取「讀取/執行使用權 (GET 方法)」或「寫入/讀取/執行使用權 (POST 及 GET 方法)」或「沒有使用權」。按一下「新增」,將項目新增至「使用權控制清單」。

GET 可讓使用者在目錄中開啟檔案並啟動程式。一般而言,POST 是用來將資料傳送給 CGI 程式;因此,僅將 POST 使用權提供給包含 CGI 程式的目錄。「沒有使用權」會拒絕指定使用者或群組的使用權。

若要從清單中移除項目,請選取項目並按一下「清除」。

如果使用者使用「匿名」使用權連接伺服器,請在「名稱」欄位中輸入「Anonymous」,並指派適當的使用權。

附註 如果您想要輸入位於「LDAP 目錄」中的使用者名稱,則必須以斜線取代逗號分隔字元。請不要輸入以逗號作為分隔字元的名稱。

例如,具有下列名稱格式的 LDAP 使用者:

cn=Anthony Jones,l=westford,o=airius.com

應該輸入至「檔案保護」文件的使用權清單中,類似:

cn=Anthony Jones/l=westford/o=airius.com

5. 按一下「管理」,並完成「擁有者」及「管理員」欄位。根據預設,您登入所使用的管理員名稱即是被指派到這兩個欄位中的名稱。

6. 儲存文件。

7. 輸入此指令以重新顯示設定:


建立虛擬伺服器的檔案保護 (Domino 5.0x)

1. 請執行下列其中一項:

2. 按一下「建立 Web (R5)」,然後選擇「檔案保護」。

3. 按一下「基礎」標籤,並完成下列欄位:
欄位動作
套用到(唯讀) 此設定會套用於基礎伺服器,以及沒有檔案保護設定的所有虛擬伺服器或虛擬主電腦。如果虛擬伺服器或虛擬主電腦有任何檔案保護設定,則不會套用此設定。
路徑指定您要限制使用權的磁碟機、目錄或檔案。您可以使用完整路徑或相對路徑。
4. 按一下「使用權控制」,完成此欄位,然後儲存文件:
欄位輸入
現行使用權控制清單您指定可以存取檔案或目錄的使用者與群組及其使用權類型。根據預設,使用權控制清單含有 -Default- 項目,設定為「沒有使用權」。未列在此欄位的使用者會接收 -Default- 使用權層次。

若要將使用者新增至此清單:

  1. 按一下「設定/修改使用權控制清單」。
  2. 從「Domino 名錄」中選取使用者名稱或群組,或在「名稱」欄位中輸入名稱。
  3. 選取「讀取/執行使用權 (GET 方法)」、「寫入/讀取/執行使用權 (POST 及 GET 方法)」或「沒有使用權」。
  4. 按一下「下一步」,將此項目新增至使用權清單。

附註 GET 可讓使用者在目錄中開啟檔案並啟動程式。一般而言,POST 是用來將資料傳送給 CGI 程式;因此,僅將 POST 使用權提供給包含 CGI 程式的目錄。「沒有使用權」會拒絕指定使用者或群組的使用權。

若要從清單中移除項目,請選取該項目,然後按一下「清除」。

如果使用者使用「匿名」使用權連接伺服器,請在「名稱」欄位中輸入「Anonymous」,並指派適當的使用權。

5. 在控制台中輸入此指令,以重新顯示伺服器設定:


Domino 會顯示「檔案保護」文件作為對「伺服器」文件的回應。

另請參閱