Управление базой данных Shared Mail
Используйте для управления базой данных Shared Mail и почтовыми файлами пользователей, которые связаны с базой, следующие процедуры:
* Связывания (Link) , разрыв связей (unlink) или восстановление связей (relink) с почтовыми файлами пользователя
* Включение (Include) или исключение (exclude) почтовых файлов пользователей
* Разрешение использования Shared Mail, для реплицированных почтовых файлов
* Очистка сообщений (obsolete shared mail messages)
* Восстановление базы данных Shared Mail
* Удаление базы данных Shared Mail
Управление доступностью баз данных в кластере
Имеются три признака для баз данных, которые позволяют Вам определять, является ли база данных доступной для доступа пользователя. Они:
* Out of Service
* In Service
* Pending Delete
Управление доступом пользователей к базам данных
Пользователи должны иметь те же самые права доступа во всех репликах баз данных в кластере. Иначе, пользователи не будут получать соответствующего доступа к репликам, для которых они имеют меньшее количество прав доступа. Они могут быть лишены доступа совсем, или они не смогут увидеть те же самые документы, не смогут выполнить те же самые действия, как в оригинальной базе данных, которую они использовали.
Управление другими назначениями, которые ограничивают доступ к базам данных
Имеются методы ограничения доступа к базам данных, в дополнение к ACL. Они включают следующее:
* Ограничения для серверов. Разрешается или запрещается доступ сервера, в списках из Domino Directory
* Списки доступа, для связей с базами данных или каталогами
* Списки читателей, документов, представлений и папок
Например, если сервера в кластере содержит базу данных или связи с каталогами, которые имеют списки доступа, убедитесь, что сервера кластера находится в списках доступа. Иначе, они не будут иметь доступ к этим базам данных или каталогам, и не будут способны реплицировать данные с этими базами данных, даже если они имеют доступ менеджера в ACL.
Если документ в базе данных имеет поле Readers, сервера кластера должна быть внесены в список этого поля, или сервера не будут иметь доступ к этому документу, и не будут способны копировать этот документ. Это относится и к спискам доступа к папкам, представлениям.
Управление и контроль ICM
ICM делает соответствующие записи всех событий, чтобы найти эти события, просмотрите представление Miscellaneous Events, в файле протоколов LOG.NSF.
Вы можете просмотреть статистику ICM с консоли сервера, введите команду на консоли:
show stat icm
Вы можете использовать эту статистику, в совокупности со стандартной статистикой кластера, чтобы определить, который из серверов в кластере является самым занятым. После этого Вы можете сбалансировать рабочую нагрузку в кластере.
Управление Java сервелетами на Web сервере
Сервелет - Java программа, которая запускается на Web сервере в ответ на запрос браузера. Сервелеты для Domino должен быть - Java Servlet API Specification, фирмы Sun Microsystems Inc.
* Из клиента Domino Administrator, выбирайте закладку Настройки – Сервер, затем откройте Server документ.
* Выбирайте закладку Internet Protocols – Domino Web Engine, заполните эти поля, затем сохраните документ:
Поле | Значение | ||
Java servlet support | Выбирайте одно:
* None - (по умолчанию) не запускать Java Virtual Machine (JVM), или Servlet Manager, когда запускается задача HTTP. * Domino Servlet Manager - загрузить JVM и Servlet manager, поставляемый с Domino. * Third-Party Servlet Support - для запуска JVM, не Domino Servlet Manager. Вы можете использовать Servlet Manager, другого производителя, например IBM WebSphere. | ||
Servlet URL path | URL путь к Domino сервелетам.
По умолчанию - /servlet. | ||
Class path | Один или несколько путей, где Servlet Manager и JVM будет искать сервелеты и Dependent Classes. Стандартные Java Libraries инсталлируются для Domino автоматически и заносятся в путь поиска. Здесь можно определить дополнительные пути поиска. Вы указываете каталоги, содержащие файлы – *.JAR и *.ZIP. Ваш путь может начинаться не обязательно с каталога данных Domino. Пример:
c:\lotus\domino\data\domino\servlet c:\apps\myservlets c:\javamail\mail.jar domino\servlet\sql.zip По умолчанию - domino\servlet. | ||
Servlet file extensions | Список файлов содержащих URL с окончаниями, которые указывают Domino, что URL предназначен для servlet. Вы должны мапировать (map) каждое расширение файла, через свойства сервелет файла. По умолчание нет, не одного окончания. | ||
Session state tracking | Выбирайте одно:
* Enabled - (по умолчанию) Domino Servlet Manager проверяет периодически активность пользователя для всех – HttpSession. Сессии, которые являются неактивными в течение периода времени, указанного в поле неактивных сессий, автоматически будут закрыты. Servlet Manager вызывает метод HttpSession.invalidate(), чтобы сообщить сервелету, что сессия будет закончена. * Disabled - не проверять деятельность пользователя. Domino использует эту установку и назначения ниже только, если сервелет использует Java Servlet API HttpSession интерфейс. | ||
Idle session timeout | Время ожидания в минутах, после чего сессия будет разорвана. По умолчанию 30 минут. | ||
Maximum active sessions | Максимальное число активных сессий.
По умолчанию 1000. Если лимит будет превышен, придется ждать освобождения сессий. | ||
Session persistence | Выбирайте одно:
* Enabled - чтобы сохранять данные сессии в файле на диске, с названием sessdata.ser в каталоге данных Domino, когда HTTP задача завершается. Domino перезаписывает данные сессии, когда HTTP задача повторно начинается. * Disabled - (по умолчанию) отказываться от всех сессий, когда HTTP задача останавливается. |
* Определение, кто имеет доступ к сервелет файлам.
Управление Кеш памятью Web сервера
Чтобы оптимизировать время ответа, Domino использует память Кеш, также называемый Кеш команд. Этот отдел памяти хранить информацию о HTTP командах, базах данных и пользователей. Память Кеш хранит эту информацию, так что Domino сервер может получить к ней доступ очень быстро.
Domino кэширует страницы, которые содержат формулы @function также как страницы, которые не содержат формулы. Domino просматривают страницы для формул @function и затем оценивает изменение страниц, основанные на @function, используемые на странице. Например, Domino не кэширует страницы с формулой @New, но кэширует страницы с @Created формулами.
Чтобы контролировать эффективность Кеш памяти, смотрите статистику Кеш на Domino сервере.
Опции памяти Кеш расположены на закладке Protocols – Domino Web Engine, Server документа.
Поля | Значение | ||
Maximum cached commands | Число команд HTTP сервера для кэширования анонимных пользователей.
По умолчанию - 128. Domino должен конвертировать некоторые HTTP команды сервера типа OpenDatabase и OpenView в HTML прежде, чем сервер может обработать команды. Этот процесс требует некоторого времени. Это поле определяет, сколько команд Вы хотите хранить в памяти, когда следующий раз пользователь запускает команду на сервере, она немедленно будет доступна. | ||
Maximum cached designs | Число элементов дизайна базы данных, для пользователей.
По умолчанию - 128. Когда пользователь открывает базу данных, каждое имя модуля дизайна хранится в памяти. Используйте это поле, чтобы определить, сколько элементов, Вы хотите хранить в памяти. Когда пользователь запросит этот элемент, он появится немедленно. | ||
Maximum cached users | Число пользователей Кеш.
По умолчанию - 64. После того как пользователь успешно соединился с сервером, Domino хранит в памяти имя пользователя, пароль и список групп, к которым пользователь принадлежит. Используйте это поле, чтобы увеличить число кэшированных пользователей. | ||
Cached user expiration interval | Интервал времени в секундах, в течение которых Domino регулярно удаляет имена пользователя, пароли, членство в группах из Кеша.
По умолчанию - 120. Вы должны удалить имена пользователя, пароли и членство в группах из Кеша периодически, чтобы вынудить Domino искать пользователя в Directory, когда он получает доступ на сервер. |
Управление пользователями
Чтобы управлять пользователями, Вы можете делать любую из следующих задач:
* Изменять имя пользователя Notes
* Перемещать пользователей в различные иерархии имен организации
* Изменять общее имя пользователя
* Повторно сертифицировать ID пользователя
* Удаление имени пользователя
* Преобразование имени пользователя в иерархические
* Перемещение почтового файла пользователя
Управление пользователями, серверами и группами
Эта глава описывает как ресертифицировать ID сертификатора, переименовать его. Обратите внимание на управление пользователей. Как удалять пользователей, переименовывать их, удалять группы, или Domino сервера.
Управление сертификатами сервера и запросами на выдачу сертификатов
Вы можете делать следующие, чтобы управлять Вашими сертификатами сервера и запросами на сертификацию:
* Просмотрите сертификаты сервера SSL
* Работа с просроченными сертификатами
* Просмотр запросов сертификатов
* Изменение значения “доверия”, для CA сертификатов, определенных как Trusted Root
* Изменение пароля для файла сервера Key Ring
Управление серверами
Чтобы управлять серверами, Вы должны уметь делать любую из следующих задач:
* Изменять администратора сервера
* Decommission server (сравнение серверов, например, для замены одного сервера другим)
* Удалять имя сервера
* Повторно сертифицировать ID сервера
* Преобразовать имя сервера - в иерархическое
При управлении серверами, Вы можете нуждаться в ресертификации ID сертификатора.
Управление состоянием Failover в кластере
Когда Вы устанавливаете кластер, Вы создаете реплики баз данных так, чтобы пользователи автоматически перенаправлялись к различным репликам, если оригинальная база данных или сервер, в данное время является недоступной. Кроме того, Вы можете захотеть применить опцию Failover преднамеренно:
*
Если вы модернизируйте программное обеспечение сервера или операционную систему
* Исполняете профилактическое обслуживание на сервере
* Заменяете сервер другим сервером
Как инициализировать событие Failover, для сервера.
Чтобы заставлять сервер эмулировать Failover, Вы можете использовать переменную Server_Restricted. Эта установка заставляет сервер, отрицать новые попытки на открытие баз данных и помещает сервер в состояние RESTRICTED. Установка запрещает новым пользователям вызывать сервер, хотя пользователи, которые имеют активные связи к базам данных на сервере, сохраняют их связи. Эта настройка полезна, когда Вы хотите сделать обслуживание на сервере, модернизировать сервер, или убрать сервер из обслуживания по другой причине.
Чтобы ограничить сервер от доступа на него новых пользователей, добавьте следующую строку в файл NOTES.INI:
Server_restricted=number
Где number 1 или 2.
1 - Сервер в состоянии RESTRICTED, для текущей сессии только. Перегрузка сервера очищает настройку.
2 - Сервер в состоянии RESTRICTED постоянно, даже после пере запусков сервера.
Когда сервер находится в состоянии RESTRICTED, Cluster Manager переадресовывает запросы на другой сервер кластера. Когда попытка переадресования неудачна, пользователь получает объяснительное сообщение и не может получить доступ на сервер. Для каждой попытки переназначения, Domino производит соответствующую запись в файле протоколов LOG.NSF.
Обратите внимание, что настройка Server_Restricted не затрагивает репликации.
Репликации происходят даже, когда сервер находится в состоянии RESTRICTED.
Если Вы хотите ограничить сервер и не хотеть ждать всех пользователей, чтобы закрыть их существующие сессии, введите на консоли сервера команду Drop All, после того как Вы помещаете сервер в состояние RESTRICTED. Эта команда закрывает все существующие сессии на сервере. Когда пользователи пробуют повторно открыть базы данных, которые они использовали, они будут перенаправлены на другие сервера и реплики, если такие доступны.
Когда Вы хотите перевести сервер в обычный режим работы после режима RESTRICTED, делайте одно из следующего:
* Если Вы установили значение - server_restricted=1, перезапустите сервер.
* Если Вы установили значение - server_restricted=2, замените значение в файле NOTES.INI на следующее:
server_restricted=0
Замена сервера кластера другим сервером.
Если Вы хотите заменить сервер кластера другим сервером, делайте следующее:
* Установить новый сервер, как сервер кластера.
* Создайте реплики, которые Вы хотите иметь на новом сервере.
* Добавить новый сервер в кластер.
* Установите старый сервер в состояние RESTRICTED.
Это заставляет переадресовывать запросы пользователей, на новый сервер, и позволяет Вам удалить старый сервер, без остановки пользователей.
Другие способы управлять процессом Failover.
Вы можете устанавливать сервер как резервный сервер. Вы можете устанавливать порог готовности в 100 на резервном сервере, чтобы сервер находился в состоянии BUSY всегда. Учтите, что вторичный сервер принимает запросы на открытие баз данных только, когда первичный сервер недоступен.
Регулируя порог готовности на сервере в 100, Вы помещаете сервер в состояние BUSY. Это состояние подобно состоянию RESTRICTED. Кроме того, что сервера помеченные состоянием BUSY могут принимать новые запросы на открытые базы, если никакая другая реплика не доступна. Сервер, помеченный состоянием RESTRICTED, этого делать не может.
Примечание. Вы может использовать настройку Server_Restricted, для любой Domino сервера. Эта настройка не ограничена применением в кластере.
Установка атрибута - In Service, для баз данных
Если вы пометили базу данных признаком Out of Service, но теперь хотите восстановить доступ к базе данных, Вы должны присвоить базе данных признак - In Service.
* В панели серверов, из клиента Domino Administrator, выберите сервер, который содержит базу данных, которую Вы хотите пометить как Out of Service.
* Выбирайте закладку Файлы.
* Выбирайте папку, которая содержит искомую базу данных и потом базу данных.
* Из панели инструментов, справа, выбирайте Сервис – База данных – Кластер.
* Выбирайте значение “активное” (In Service), и затем – OK.
Установка атрибута - Out of Service, для баз данных
В некоторых случаях, Вы можете отмечать базу данных признаком Out of Service. Вы делаете это, если Вы хотите сделать некоторое обслуживание базе данных, или если Вы хотите, чтобы пользователи не получали доступ к некоторым репликам баз данных, потому что сервер достигает высокого уровня использования.
Когда Вы помечаете базу данных как Out of Service, пользователи не могут открыть базу данных. Запрос на открытые базы данных терпят неудачу в этой реплике. Если никакая реплика не доступна, Domino отвергает запрос пользователей к базе данных и показывает объяснительное сообщение.
Пользователи, которые используют базу данных, когда Вы отмечаете ее признаком Out of Service, продолжают иметь доступ, пока они не закрывают базу данных. Если пользователи закрывают базу данных, но затем пробуют повторно открыть ее, они будут перенаправлены в другую доступную реплику. Это означает, что база данных постепенно перейдет в состояние Out of Service, без остановки пользователей, которые активно используют ее. Кроме того, репликации из других реплик продолжают происходить даже, когда база данных помечена как Out of Service.
Чтобы пометить базу данных признаком Out of Service, следуют этой процедурой:
* В панели серверов, из клиента Domino Administrator, выберите сервер, который содержит базу данных, которую Вы хотите пометить как Out of Service.
* Выбирайте закладку Файлы.
* Выбирайте папку, которая содержит искомую базу данных и потом базу данных.
* Из панели инструментов, справа, выбирайте - Сервис – База данных – Кластер.
Рис. 57 Диалоговое окно управления базами данных в кластере.
* Выбирайте значение “неактивное” (out of service), и затем – OK.
Вы можете пометить все базы данных признаком Out of Service, используя переменную Server_Restricted. При этом сервер не будет принимать новые запросы на открытия баз данных.
Установка числа нитей, используемых Domino Web сервером
Вы можете определить число нитей, которые Web сервер может обрабатывать или определять число запросов. Пользователь может делать единственный запрос на сервер. Вообще, число нитей указанный указывает на число пользователей, которые могут одновременно получить доступ на сервер.
Если число активных нитей достигнет установленного предела, Domino сервер не будет обрабатывать новые запросы, пока старые запросы не будут закончены. Чем большее мощнее Ваш компьютер, тем выше число нитей, Вы должны определить. Если Ваш компьютер тратит слишком много времени на задачах, типа свопирования памяти, определите более низкое число нитей.
Для определения количество нитей выбирайте закладку Internet Protocols – HTTP из Server документа.
Поле | Значение | ||
Maximum requests over a single connection | Число запросов браузера, которые можно делать на сервере в то же самое время.
По умолчанию - 1. Эта установка действует на браузеры, совместимые с HTTP 1.1 или выше, если браузер способен посылать несколько запросов на сервере без ожидания ответа от предыдущего запроса. | ||
Number active threads | Число нитей активных в одно и тоже время на сервере
По умолчанию - 40. | ||
Minimum active threads | Поле не имеет никакого влияния и остается в Server документе для обратной совместимости. |
Установка Domino Web сервера
Глава описывает, как установить и настроить Domino сервер как Web сервер.
* Прежде, чем Вы установите Web сервер:
· Удостоверитесь, что Вы понимаете TCP/IP концепции, включая DNS имена хостов и IP адресование.
· Установите Domino сервер и настройте безопасность для сервера.
* Чтобы позволить пользователям соединиться с сервером по интернету, соедините сервер с Поставщиком Обслуживания Интернет (ISP) и зарегистрируйте имя домена сервера и адрес IP на DNS ISP's сервере. Если Вы хотите, чтобы пользователи соединились с сервером по внутренней сети, без соединения с интернетом, регистрируйте имя домена сервера и адрес IP на DNS сервере в Вашей организации.
* Из клиента Domino Administrator, выбирайте закладку Настройка, выбирайте Сервер и затем откройте Server документ для будущего сервера Web.
* Выбирайте закладку Ports – Internet Ports.
* Если Вы не используете SSL, удостоверьтесь, что запрещена эта опция в TCP/IP port status или SSL port status поля, на закладке Web.
* Сохраните документ.
* Запустите Domino сервер и запустите HTTP задачу.
* Чтобы проверить Ваши настройки сервера, запустите Ваш браузер и введите имя DNS или адрес IP сервера.
Обратите внимание, При регистрации имени на DNS Domino сервера и IP адреса, пользователи могут просматривать базы данных непосредственно через Web сервер.
Установка дополнительных портов сервера
* После того, как Вы установили дополнительные Domino сервера, Вы можете добавлять дополнительные порты, например дополнительные сетевые протоколы.
* Из клиента Domino Administrator, выбирайте закладку Сервер.
* Из панели серверов, выбирайте сервер, на котором будете работать.
* Из панели инструментов, справа, выбирайте – Сервис – Сервер – Настройка портов.
* В окне портов, выбирайте создать, чтоб создать новые имена портов - например, LAN1 или TCP. Не используйте пробелы в именах. Если Вы создаете новые имена портов, определите для них драйвера и выбирайте – ОК.
* Установите “галочку” возле записи - Порт разрешен, выбирайте – ОК.
Выбирайте закладку Настройки – Сервер – Все документы на сервере.
Откройте нужный Server документ в режиме редактирования.
Выбирайте закладку Ports – Notes Network Ports, введите значения в поля, выбирайте - Сохранить:
Поля | Значения | ||
Port | Имя Порта | ||
Net Address | Например: HR-E.Acme.com, 192.168.222.1 | ||
Disabled/Enabled | Выбирайте значение - Enabled, для разрешения использования порта. |
Установка доступа к базе данных Web Administrator
Domino автоматически создает базу данных на сервере, когда задача HTTP запускается в первый раз. По умолчанию, позволяется доступ к базе всем пользователям, внесенным в поле администраторов сервера Server документа. Администратор должен или ввести пароль интернета или получить SSL сертификат клиента. Web Administrator использует имя и пароль, или SSL, чтобы проверить идентичность администратора. Метод Web, который администратор использует, зависит от того, какие вы устанавливаете опции безопасности для сервера.
Чтобы позволять другим администраторам использовать Web Administrator, Вы должны сделать изменения в назначениях доступа для них.
Установки опций безопасности по умолчанию.
Следующее установки для Web в базе данных ACL. Вы не должны изменить эти назначения, если имя администратора занесено в поле администраторов Server документа.
Максимальный доступ к базе данных, через интернет.
Установки по умолчанию | Описание | ||
Manager | Web Administrator использует эту установку, при доступе администраторов на сервер, использую имя и пароль для изменений ACL, Web базы данных. Web Administrator не использует эту установку, когда доступ администраторов на сервер использует SSL. |
ACL.
Имя по умолчания | Уровень доступа | ||
Имена, внесенные в поле Administrators из Server документа | Менеджер и роли ServerAdmin, ServerMonitor, DatabaseAdmin, FileRead и FileModify | ||
Имя | Менеджер без ролей | ||
- Default - | Нет доступа | ||
Anonymous | Нет доступа | ||
LocalDomainServers | Менеджер и роли ServerAdmin, ServerMonitor, DatabaseAdmin, FileRead и FileModify | ||
OtherDomainServers | Нет доступа | ||
Lotus Notes Template Development/Lotus Notes | Менеджер и роли ServerAdmin, ServerMonitor, DatabaseAdmin, FileRead и FileModify |
Следующее установки, должны быть установлены на закладке Security, Server документа. Вы не должны изменить эти установки, если имя администратора находится в поле администраторов, Server документа.
Установки безопасности | Имя по умолчанию | ||
Administer the server from a browser | Имена, внесенные в поле администраторов, Server документа для Domino Web сервера |
Все агенты в базе данных Web Administrator, подписаны Lotus Notes Template Development/Lotus Notes, это предоставляют неограниченные привилегии выполнения агентов по умолчанию.
Чтобы использовать имя и пароль, администраторы должны иметь пароль интернета в их Person документах. Чтобы использовать SSL идентификацию клиента, администраторы должны получить сертификат клиента, SSL должен быть установлен на сервере. Кроме того, сервер должен требовать SSL связей, для доступа к базе данных.
Установка и конфигурирование дополнительного Domino сервера
Прежде чем вы приступите к установке и конфигурированию дополнительных Domino серверов, Вы должны выполнить процедуры перечисленные ниже.
* Установить первый Domino сервер в домене.
* Создать иерархическую схему имен, основанную на структуре Вашей компании.
* Создать базу данных CertLog (CERTLOG.NSF), для регистрации дополнительных серверов и пользователей. Вы создаете базу один раз для всего домена. Если Вы создали его, при создании первого сервера или при установке предыдущего, Вы не должны создавать другой копии.
* Создать ID сертификатора, в зависимости от требований Вашей иерархической схемы имен.
* Разослать ID сертификаты администраторам других участков сети Notes.
* Добавить сервера, регистрируя их с соответствующими ID сертификаторами.
* Установить программное обеспечение для дополнительных серверов.
* Исполнить процедуры конфигурации, для новых серверов. Дополнительное конфигурирование зависит от задач и программ, которые Вы хотите запускать на серверах.
Установка и настройка Domino для использования с Microsoft Internet Information Server
Глава описывает, как установить и использовать Domino вместе с Microsoft IIS, чтобы обрабатывать HTTP запросы для баз данных Domino.
Установка и настройка Partitioned серверов
Установка программного обеспечения Partitioned серверов, подобна установке обычного сервера.
Обратите внимание, что все Partitioned сервера на компьютере, имеют общий программный каталог Domino, но каждый сервер имеет собственный каталог данных Domino.
* Запустите программу установки и следуйте инструкциям на экранах. Убедитесь, что выбрали опцию – Partitioned Server Installation.
* В программе установки, Вы вводите название каталога для программных файлов Domino, который является общим для всех Partitioned серверов. Вы также вводите в имя каталога для данных Domino для каждого Partitioned сервера.
Примечание. Присвойте каталогам данных Domino имена Partitioned серверов.
* Сконфигурируйте каждый Partitioned сервер для TCP/IP протокола.
* Сконфигурируйте и настройте каждый Partitioned сервер для использования нужных Вам сервисов - например, LDAP, NNTP, POP3, IMAP, или запустите его как Web сервер Domino.
Установка и настройка Transaction logging
Все базы данных будут зарегистрированы в каталоге данных Domino и в подкаталогах.
* Из клиента Domino Administrator, выбирайте закладку Настройка.
* Открывайте Server документ.
* Выбирайте закладку Transaction Logging.
* Заполните эти поля, сохраните документ.
Поле | Значение | ||
Transactional Logging | Выбирайте – Enabled, чтобы разрешить эту функцию.
По умолчанию – Disabled. | ||
Log path | Местоположение для файлов Transaction Log.
По умолчанию поле пусто. Файлы будут помещаться в каталог данных Domino сервера. Настоятельно рекомендуется хранить файлы протоколов на отдельном устройстве, типа RAID. Определенное дисковое устройство должно иметь, по крайней мере, 1Гб свободного места. Если Вы используете это место исключительно для хранения файлов Transaction Log, установите значение – Yes, в поле Use all available space on log device. | ||
Maximum log space | Максимальный размер в Мб, для файлов Transaction Log. По умолчанию - 192МБ. Максимум - 4096МБ (4GB).
Domino форматирует, по крайней мере, от 3 до 64 файлов протоколов, в зависимости от максимально доступного места для этих файлов. | ||
Use all available space on log device | Выбирайте одно:
* Yes - чтобы использовать все доступное место для файлов Transaction Log. Эта опция рекомендуются, если Вы используете отдельное устройство, для хранения файлов протоколов. Если Вы выбираете – Yes, Вы не должны вводить максимальное значение в поле Maximum log space. * No - чтобы использовать значения по умолчанию или указать значения в поле Maximum log space. | ||
Automatic fixup of corrupt databases | Выбирайте одно:
* Enabled - (по умолчанию). Если база данных испорчена и Domino не может использовать Transaction Log, чтобы исправить ее, Domino запустит задачу Fixup, назначает новый идентификатор DBIID и уведомляет администратора, что новая база данных требует резервного копирования. * Disabled - Domino не запускает автоматически задачу Fixup и уведомляет администратора о факте разрушения базы с предложением запустить задачу с ключом (-J) на разрушенных базах данных. | ||
Runtime/Restart performance | Это поле управляет, как часто Domino делает запись пунктов восстановления (recovery) в файл Transaction Log. Эта установка влияет на загрузку сервера.
Чтобы делать запись пунктов восстановления, Domino оценивает каждую активно зарегистрированную базу данных, чтобы, определить, сколько, транзакций было бы необходимо для восстановления каждой базы данных после отказа системы: Создает отчет записей восстановления в файлах Transaction Log, внося в список каждую открытую базу данных, и отправную точку транзакций, необходимую для восстановления. Вынуждает базу данных при изменении, сохранятся на диске, если она не была еще сохранена. Выбирайте одно: * Standard - (рекомендуемый по умолчанию). Сохранение пунктов происходят регулярно. * Favor runtime – во время выполнения. Domino делает записи меньшего объема, улучшая производительность сервера. * Favor restart recovery time - Domino делает запись большего объема, улучшая время восстановления, потому что меньшее количество транзакций требуется для восстановления. | ||
Logging style | Выбирайте одно:
* Circular - (по умолчанию) непрерывное, повторное использование файлов протоколов и переписывать старые транзакции. Вы ограничены в восстановлении только транзакциями, сохраненными в Transaction Log. * Archive - (рекомендуется) предотвращает повторное использование файлов протоколов, пока они не архивированы. Файл протоколов может быть архивирован, когда он закрыт или не захвачен. Используйте утилиту резервного копирования, чтобы копировать и архивировать существующие файлы. Когда Domino начинает использовать существующий файл снова, он увеличивает имя файла протоколов на единицу. Если все файлы протоколов станут бездействующими и не архивированы, Domino создает дополнительные файлы протоколов. |
Установка и настройка Web Administrator
Глава содержит информацию о конфигурировании Web Administrator, который позволяет Вам использовать браузер, чтобы управлять Вашими серверами.
Установка клиентов Notes для S/MIME
Вы можете настроить клиента Notes, чтобы использовать шифрование и электронную подпись S/MIME, при рассылке почты другим пользователям, использующим программы почты с поддержкой S/MIME.
Для шифрования, использования цифровых подписей S/MIME, клиент Notes должен иметь:
* Взаимные сертификаты Domino CA, или производителей третьих фирм CA, созданные с использованием сертификата Trusted Root
* интернет сертификат, выпущенный от Domino CA или производителя третьих фирм CA
* Доступ и доверие публичному ключу получателя почты, чтобы посылать шифрованную почту.
* MIME формат, выбранный для документов, зашифрованного или подписанного
Публичные и личные ключи для интернет сертификата, могут быть произведены, используя публичные и личные ключи, которые уже существуют в Notes ID файл. Вы можете произвести новые ключи, использующие больший размер ключа. Хотя производство новых ключей более безопасно, чем использование существующих ключей, используя существующие ключи более легкий способ.
Настройка Notes клиентов с сертификатом от Domino CA.
Производитель CA и клиент заканчивают эти шаги, чтобы добавить интернет сертификат к Notes ID файлу.
* CA добавляет Trusted Root сертификат в Domino Directory, чтобы клиент мог получить доступ к нему.
· Клиент может также добавлять Trusted Root сертификат в персональную адресную книгу. Однако при добавлении Trusted Root сертификата в Domino Directory упрощается процесс настройки клиентов Notes, для S/MIME.
* Клиент создает взаимный сертификат, используя Trusted Root сертификат для CA, сохраняет его в персональной адресной книге.
* Чтобы создать сертификат, использующий существующие публичный и личный ключи, из Notes ID файла, сделайте следующее:
· (Шаг CA) Добавляет интернет сертификат в Person документ.
· (Шаг клиента) Идентифицирует на домашнем сервере. Notes автоматически добавляет интернет сертификат к ID файлу.
* Чтобы создать интернет сертификат, используя новые публичный и личный ключи, сделайте следующее:
· Клиент запрашивает интернет сертификат от CA.
· CA одобряет запрос, и Domino автоматически добавляет публичный ключ клиента к пользовательскому Person документу.
· Клиент Notes сливает сертификат в ID файл.
Настройка Notes клиентов с сертификатом от производителя третьих фирм CA.
Производитель CA и клиент заканчивает эти шаги, чтобы добавить сертификат CA в Notes ID файл.
* Используйте персональный Web Navigator, чтобы просмотреть сайт CA. Например, чтобы получить интернет сертификат VeriSign, посетите http://digitalid.verisign.com, и следуйте инструкциям.
* Клиент следует инструкциям CA, для требования и слияния интернет сертификата.
* Клиент следует порядком CA, чтобы слить CA сертификат для сервера, к которому клиент хочет получить доступ.
· Если и клиент и сервер имеют сертификаты, выпущенные от CA, или уже имеются общие CA сертификаты, то этот шаг не нужен. Notes автоматически создает взаимный сертификат CA и добавляет его к персональной адресной книге, когда Вы получаете Trusted Root сертификат.
* CA добавляет публичный ключ клиента к Person документу.
Установка опций безопасности Domino для Microsoft IIS
После того, как Вы настроили Domino для IIS, настройте опции безопасности для пользователей, обращающихся к Вашему серверу. Domino для IIS использует два уровня безопасности: для IIS и для Domino. После IIS идентификации пользователя, основанного на регистрации в NT, если пользователь успешно пропускается, обращается к опциям безопасности Domino.
Microsoft IIS поддерживает следующие методы установления подлинности пользователя:
*
Anonymous access
- пользователь не вводит имя или пароль
* Basic Authentication - пользователь вводит имя и пароль
* WindowsNT Challenge/Response - специальный протокол, поддерживаемый Microsoft Internet Explorer SSL
IIS требует установление подлинности пользователя, чтобы управлять доступом к ресурсам, принадлежащим IIS типа системным файла или Active Server Page. Если пользователь просит, доступ к Domino ресурсу, IIS пропустит введенную информацию на Domino сервер. Информация проходит и зависит от комбинации опознавательных методов, которые позволяются на IIS. После того, как информацию пропускают, Domino идентифицирует пользователя согласно процедурам, используемым родным Domino сервером и задачей HTTP. Все наборы каталогов, доступные родной HTTP задачей, типа использования нескольких Domino Directory, LDAP Directory, доступны для Domino c IIS.
Настройка опций безопасности.
* Запустите MMC для – Web site.
* Выбирайте - IIS Web site и выбирайте – Setting.
* Выбирайте закладку - Directory Security.
* Выбирайте – Edit Anonymous Access из Authentication Control section.
* Выбрать одну или большее количество опций опознания и выбирайте – ОК.
Установка приложения Server Certificate Admin
Domino автоматически создает базу данных Server Certificate Admin в течение процесса установки сервера. Если Server Certificate Admin не доступен после того, как Вы запускаете Domino сервер, используете шаблон Certificate Admin (CSRV50.NTF), чтобы создать базу данных. Используйте
Server Certificate Admin (CERTSRV.NSF) для:
* Запроса сертификата сервера от Domino, или CA независимого производителя
* Добавьте сертификата CA как Trusted Root
* Управления сертификатом сервера в файле Key Ring, и создания само заверенного сертификата для испытательных целей.
Установка приложения Server Certificate Admin.
* Удостоверьтесь, что Вы установили сервер как Domino Web сервер.
* Редактирует ACL базы данных Server Certificate Admin, следующим образом:
· Добавьте имена администраторов серверов, кто будет иметь доступ к этой базе данных из клиента Domino Administrator. Назначите им доступ менеджера.
· Назначьте доступ по умолчанию - нет доступа, чтобы запретить другим пользователям, использовать базу данных.
· Установите в поле Предельный уровень доступа через интернет – Нет доступа.
Примечание Вы не должны добавлять имена администраторов сервера в локальном режиме доступ к базе данных.
* Закончите процедуру Create server key ring file.
Предупреждение, чтобы скрыть базу данных Server Certificate Admin, когда пользователи выбирают из меню Файл – База данных – Открыть, или когда Web клиенты просматривают список баз данных сервера, уберите отметку опции, в свойствах базы данных – Отображать в окне Открытия базы данных.
Установка программного обеспечения для связи с интернет
Прежде, чем Вы можете соединить сервер с интернетом, Вы должны установить программное обеспечение сети, которое является совместимым с интернетом.
* Если TCP/IP еще не установлен на Domino сервере, установите протокол, используя инструкции установки для операционной системы.
* Если Вы не имеете соответствующего порта, добавьте его и разрешите его использование сервером.
Установка проверки пароля
Чтобы использовать проверку пароля для пользователей Notes, Вы должны позволить проверку пароля для обоих пользователей и серверов.
* Удостоверится, что процесс администрирования настроен и запущен на сервере и что Вы имеете, по крайней мере, доступ автора и роль UserModifier к Domino Directory.
* Из клиента Domino Administrator, выбирайте закладку - Пользователи и группы, используя для доступа к Domino Directory сеть.
* Выбирайте Person документ, для которого пользователя, которому Вы хотите позволить проверку пароля.
* Выбирайте - Действия – Set Password Fields, затем – Yes, для продолжения.
* Выбирайте опцию – Check password.
* Заполните эти поля, и затем выбирайте – OK:
Рис. 95 Диалоговое окно установки проверки пароля сервером.
Поле | Значение | ||
Required change interval | Число дней, спустя которые пользователю будет предложено ввести новый пароль;
По умолчанию – 0 Не требует, чтобы пользователи изменили их пароли, и игнорирует любые значения в поле Grace period. | ||
Grace period | Число дней в течении которых сервер все еще будут просить изменить пароль и все еще пропускать пользователей.
По умолчанию – 0 Позволяет пользователям неограниченное количество времени на изменение их пароля после того, как интервал изменения истекает. Рекомендуется значение между 3 и 7 днями. |
* Делайте следующее, чтобы позволить проверку пароля на каждом сервере, с которым эти пользователи работают:
· Выбирайте закладку Настройка, откройте каждый Server документ.
· Выбирайте закладку Security.
· В поле Check passwords on Notes Ids выберите – Enabled.
Эта опция разрешает проверку пароля пользователям, для которого установка проверки пароля разрешена. Когда Вы запрещаете проверку пароля для пользователя, Domino не проверяет пароли для пользователя, даже если проверка пароля позволяется для сервера.
Запрещение проверки пароля.
* Удостоверится, что процесс администрирования настроен и запущен на сервере и что Вы имеете, по крайней мере, доступ автора и роль UserModifier к Domino Directory”.
* Из клиента Domino Administrator, выбирайте закладку - Пользователи и группы, используя для доступа к Domino Directory сеть.
* Выбирайте Person документ, для которого пользователя, которому Вы хотите позволить проверку пароля.
* Выбирайте опцию – Don't check password, затем – OK.
Рис. 96 Диалоговое окно запрещения проверки пароля сервером.
Когда Вы запрещаете проверку пароля для сервера, Domino не проверяет пароли для любых пользователей, которые имеет доступ на сервер, даже если пользователь имеет установленную опцию проверки пароля разрешенной.
* Выбирайте закладку Настройка, откройте каждый Server документ.
* Выбирайте закладку Security.
* В поле Check passwords on Notes Ids выберите – Disabled.
Установка Proxy сервера для соединения с интернет
Proxy сервер общается со всеми Domino серверами и рабочими станциями в интернете. Когда Вы используете Proxy сервер, Domino сервер не должен соединиться на прямую с Поставщиком услуг интернета (ISP), так как Proxy сервер устанавливает связь вместо Вашего сервера.
Вы можете определить Domino Passthru сервер как Proxy. для интернета - таким же самым путем, каким Вы определяете Passthru сервер, для внутренней Domino сети. Вы не нуждаетесь в конфигурировании сервера по-другому для связи по интернет.
Установка серверов Firewalls
Эта глава описывает Firewall, чтобы предотвратить нападения на Вашу систему пользователями из интернета.
Установка сервиса IMAP
Глава описывает, как настроить Domino сервер, чтобы использовать службу IMAP и как создать и настроить IMAP пользователей.
Установка сервиса LDAP
Прежде, чем Вы установите Domino LDAP сервис, удостоверитесь, что Вы используете TCP/IP, включая DNS имена хостов и адресование с использованием IP. Установите и настройте Domino сервер.
* Чтобы позволить клиентам соединяться с LDAP сервисом по интернету, соедините Domino сервер, с запущенным сервисом LDAP с интернетом и зарегистрируйте его имя в DNS и адрес IP.
* Создать полнотекстовый индекс для реплики Domino Directory на сервере с сервисом LDAP. Lotus настоятельно рекомендует создать полнотекстовый индекс.
* Запускайте Domino сервер и затем LDAP задачу.
* Если Ваша организация использует больше чем один документ Global Domain, Вы должны определить тот документ, который будет использовать сервис LDAP. Откройте Global Domain документ и поле Use as default Global Domain, выбирайте – Yes.
* Настройте LDAP клиентов.
* (Необязательно) Настраивайте конфигурацию LDAP сервиса, изменяя установки по умолчанию. В большинстве случаев, сервис LDAP функционирует правильно при использовании назначений по умолчанию.
* Чтобы проверять Ваши установки сервиса LDAP, используйте LDAP клиента или утилиту Lsearch, чтобы построить запрос к сервису LDAP.
Установка сервиса NNTP
Глава описывает, как настроить службу NNTP на Domino сервере. Как настроить и управлять группами новостей (newsgroups) и статьями новостей (newsfeeds).
Установка сервиса POPна Domino сервере
Чтобы установить службу POP3 на Domino сервере, нужно выполните следующие процедуры:
* Прежде, чем Вы установите службу POP3:
· Удостоверитесь, что Вы понимаете TCP/IP концепцию, включая имена DNS хостов и IP адресование.
· Установите Domino сервер и настройте безопасность для сервера.
* Чтобы позволить пользователям, соединиться с Вашим сервером с использованием интернета, необходимо соединить Ваш сервер с интернетом, зарегистрировать имя и IP адрес сервера, на сервере DNS Вашего поставщика услуг интернета.
* Запустите POP3 задачу на Domino сервере.
* (Необязательно) Изменение POP3 порт по умолчанию.
* Запустите SMTP, по крайней мере, одном Domino сервере и включите SMTP Listener.
Установка SSL для Notes или Domino с использованием SMTP
Клиент Notes или Domino сервер может действовать как SMTP клиент, когда он отправляет почту на SMTP сервер. Клиент Notes или Domino сервер может использовать SSL, чтобы соединить с Domino сервером, со службой SMTP, или другим типом SMTP сервера. Вы не можете настраивать клиента Notes или Domino сервер, для SSL идентифицикации клиента, при соединении с использованием SMTP.
Если Вы не имеете сертификата CA сервера, отмеченного как Trusted Root в файле сервера Key Ring, для Вашего Domino сервера, Domino автоматически добавляет сертификат и регистрирует это в файле LOG.NSF. Другие протоколы интернета не позволяют пользователям доступ, если они не имеют сертификата CA сервера, отмеченного как Trusted Root. Однако Вы должны помечать сертификаты CA как Trusted Root вручную, чтобы гарантировать, что добавленные сертификаты Trusted Root, имеет силу.
Установки SSL для Domino сервера, маршрутизирующего почту на SMTP сервера.
* Из клиента Domino Administrator, выбирайте закладку Настройка, откройте Server документ.
* Выбирайте Ports – Internet Ports – Mail.
* В секции - SMTP Outbound, выбирайте значение - Disabled, в поле TCP/IP port status.
Обратите внимание. Если Вы не выбираете значение Disabled, в поле TCP/IP port status, Domino всегда будет соединяется с серверами SMTP, без использования SSL.
* В секции SMTP Outbound, выбирайте значение – Enabled, в поле SSL port status
* Сохраните и закройте документ.
* Добавляйте сертификаты CA Trusted Root, для SMTP серверов.
Установка выделенной сети LAN для Вашего кластера
Использование выделенной сети LAN для Вашего кластера отделяет кластерное движение данных сервера, репликаций в кластере, от остальной части Вашей сети. При использовании выделенной сети для кластера серверов разгружает Вашу первичную сеть.
Следуйте этой процедурой, чтобы установить выделенную сеть для Вашего кластера.
*
Установите дополнительную сетевую карту в каждом сервере кластера. Эти карты должны быть связаны, через выделенный концентратор и использовать отдельный кабель для связи.
* Сконфигурируйте сеть LAN, для использования TCP/IP.
* Назначьте второй IP адрес каждому серверу. В кластере, использующем два сервера, например, Вы могли бы использовать адреса 192.168.64.1 и 192.168.64.2.
* Назначьте имена хостов, для новых адресов IP, в файле HOSTS или DNS. В кластере, использующем два сервера, например, Вы могли бы назвать сервера как – ACME_CLU и ACME2_CLU. Записи в файле HOSTS могли бы быть такими:
192.168.64.1 ACME_CLU
192.168.64.2 ACME2_CLU
* Проверьте, что выделенная сеть LAN работает. Проверьте, каждый сервер кластера с использованием утилиты PING, с использованием IP адреса и имен хостов.
* Определите новые порты в Server документе на закладке Ports, для каждого члена кластера и разрешите использование этих портов.
Например. Добавьте следующую информацию.
Port=CLUSTER
Notes Network=Cluster Network
Net Address=ACME_CLU
Enabled=ENABLED
* Назначьте каждому порту IP адрес соответствующей подсетей и разместите эту информацию в файле NOTES.INI, в следующем формате:
PORT1_TCPIPADDRESS=0,b.c.d:1352
PORT2_TCPIPADDRESS=0,e.f.g.h:1352
Где PORT1 и PORT2 - имя порта, a.b.c.d и e.f.g.h - IP адреса для портов.
Пример. Если Вы имеете порты, с именами TCPIP и CLUSTER, эти строки мог бы быть следующие:
TCPIP_TCPIPADDRESS=0,192,114,32,5:1352
CLUSTER_TCPIPADDRESS=0,192.168.64.1:1352
* Добавить следующую строку в файл NOTES.INI:
Server_Cluster_Default_Port=Cluster Port
Где Cluster Port - порт, который Вы создали для кластера.
Пример.
Server_Cluster_Default_Port=CLUSTER
Примечание. Вы может использовать Configuration Settings документ сервера, чтобы модернизировать файл NOTES.INI на всех серверах в кластере.
* Перезапустите сервер.
Как убедится, что Domino использует выделенную сеть LAN?
Чтобы убедится, что Domino использует выделенную сеть LAN, Вы можете сделать следующее:
* Введите на консоли сервера:
show cluster
* В результатах, ищите строку - Server cluster default port: Cluster Port.
Cluster Port - порт, который Вы создали для кластера. В этом примере, эта строка была бы такой:
Server cluster default port: CLUSTER
Как удостоверится, что репликации кластера используют выделенную сеть LAN?
Это хорошая идея проверить кластер, чтобы убедиться, что репликации кластера используют выделенную сеть LAN. Чтобы сделать это, Вы можете смотреть некоторую статистику кластера.
* Из клиента Domino Administrator, выбирайте закладку Сервер – Статистика.
* Выбирайте секцию NET.
* Откройте секцию с именем порта, который Вы определили для кластера.
* Ищите следующую статистику для выделенного порта сети:
· BytesReceived
· BytesSent
* Выбирайте секцию Replica – Cluster.
* Выбирайте секцию SessionBytes и ищите следующую статистику для кластера:
· In
· Out
* Сравните значения NET.portname.BytesReceived со значением Replica.Cluster.SessionBytes.In.
Эти значение должно быть близки друг к другу, хотя они не будут те же самыми.
* Сравните значения NET.portname.BytesSent со значением Replica.Cluster.SessionBytes.Out.
Эти значения должны также быть близки друг к другу. Они не будут соответствовать точно, потому, что выделенная сеть используется не только репликаторами кластера.
Установки Domino Certificate Authority
Глава описывает, как установить Domino Certificate Authority (CA), чтобы выпустить сертификаты для сервера и клиентов.
Установки Notes и интернет клиентов, для SSL идентификации сервером
Вы можете настроить Notes или другого клиента интернета для идентифицикации, чтобы шифровать сессии, заверять данные и подтверждать подлинность сервера при соединении с интернет сервером. Вы не нуждаетесь в интернет сертификате, если Вы настраиваете клиента только для серверной установке подлинности.
Вы можете выбирать разрешение SSL на всех протоколов, или позволять SSL только на некоторых протоколах. Вы должны также позволить анонимный доступ к порту, иначе Domino будет требовать интернет сертификата или имя и пароль, от клиента.
Для доступа к интернет серверу и использования установление подлинности сервером, клиенты должны иметь:
* Программное обеспечение, типа Web браузера или клиента Notes, который поддерживает SSL.
* Trusted Root сертификат Domino CA или независимого производителя CA.
* (Только для Notes клиента) взаимный сертификат, созданный с использованием Trusted Root сертификата Domino CA независимого производителя CA.
Используйте соответствующий синтаксис для установления безопасного соединения. Пример соответствующего синтаксиса, для установления безопасного соединения, когда браузер пользователи определяет URL для сервера следующий:
Https://
Установки сервиса IMAP
Чтобы настроить службу IMAP, исполните следующие процедуры:
* Прежде, чем Вы установите службу IMAP:
· Удостоверитесь, что Вы понимаете концепцию TCP/IP, DNS имен хостов и IP адресацию.
· Установите Domino сервер и настройте безопасность для сервера.
* Чтобы позволить пользователям, не использующим Вашу сеть, соединятся с сервером по интернету, соедините Ваш сервер с Поставщиком Обслуживания интернета (ISP) и зарегистрируют имя DNS сервера и IP адрес в записях DNS Вашего провайдера.
* Запустите IMAP задачу на Domino сервере.
* (Необязательно) Измените по умолчанию порт для сервиса IMAP.
* Запустите SMTP и SMTP Lister, по крайней мере, на одном Domino сервере.
Установки в Person документах, для POPпользователей
Для каждого POP3 пользователя Вы должны создать Person документ, или отредактировать существующий. В большинстве случаев, Вы создаете Person документ в течение регистрации пользователя.
* Из клиента Domino Administrator выбирайте закладку - Пользователи и группы.
* Выбирайте Domino Directory – Пользователи.
* Выбирайте нужное имя пользователя и затем, переведите документ в режим редактирования. Если пользователь не был предварительно зарегистрирован как пользователь Notes, выбирайте кнопку – Add Person.
* Выбирайте закладку – Basics и затем заполните следующие поля:
Поля | Значения | ||
First name
Last name User name | Введите имя отчество и фамилию пользователя для клиента POP3. | ||
Internet password | Пароль, который пользователь будет использовать для доступа к Domino серверу. |
* На закладке Mail заполните следующие поля, потом сохранить документ:
Поле | Значение | ||
Mail system | Почтовая система для пользователя – POP3. | ||
Domain | Введите имя домена Notes. | ||
Mail server | Имя сервера для POP3 пользователя – почтового сервера Domino. | ||
Mail file | Имя пользовательского файла, с указанием подкаталога.
Пример: MAIL\AJONES.NSF | ||
Forwarding address | Перенаправление почты на адрес. | ||
Internet message storage | Выбирайте одно:
* Notes - сохраняет сообщение только в формате Notes. * Notes и интернет присоединения сохраняются в Notes и MIME формате * Только MIME - сохраняются в MIME формате | ||
Internet address | интернет адрес для POP3 клиента. | ||
Encrypt incoming mail | Выбирайте – No. POP3 клиенты не могут читать шифрованную почту Notes. |
Установление подлинности и идентификация для SSL
SSL клиенты проверяются только тогда, когда они пытаются получить доступ к ограниченным ресурсам. Например, когда пользователи пробуют открыть базу данных, у которой доступ по умолчанию закрыт, при этом требуется использовать SSL, чтобы идентифицировать. Сервер определяет, есть ли у клиента сертификат, имеется ли анонимный доступ, или клиент должен ввести имя и пароль.
Метод использования, подтверждения подлинность LDAP клиентов зависит от того, установленной переменной LDAP_STRICT_RFC_ADHERENCE в файле NOTES.INI.
Правило доверия SSL публичным ключам.
Доверенный сертификат CA подписывает ключевые пары, публичного и личного ключей, и надежно передает их клиенту.
Вы можете доверять любому серверу или клиенту, которые имеют цифровую подпись или для которого Вы имеете сертификат CA, помеченный как Trusted Root.
Пример применения доверия.
Следующий пример описывает, как клиент Hugo использует SSL, чтобы соединиться с сервером Mail-E:
* Hugo пробует доступ к базе данных на сервере Mail-E.
* Mail-E проверяет Server документ, чтобы видеть, позволяется ли SSL для протокола. Если SSL позволяется, установление подлинности продолжается. Иначе, Hugo лишается доступа на сервер с использованием SSL.
* Hugo посылает запрос, Mail-E определяет информацию относительно SSL соединения, типа поддерживаемых алгоритмов шифрования и даты истечения сертификата.
* Mail-E посылает сертификат Hugo, который содержит публичный ключ Mail-E. Hugo проверяет цифровую подпись CA на сертификате Mail-E, чтобы идентифицировать сервера Mail-E. Если Hugo имеет сертификат CA сервер Mail-E, отмеченный как Trusted Root, в своем сертификате, или если Hugo использует клиента Notes, Hugo имеет взаимный сертификат для CA, то Hugo знает, что сертификат сервера Mail-E имеет силу, и опознавательный процесс, продолжается.
В противном случае, опознавательный процесс завершается.
* Если Hugo доверяет сертификату CA Mail-E, Hugo использует алгоритм, чтобы создать ключ сессии. Он использует публичный ключ, сохраненный в сертификате Mail-E, чтобы зашифровать ключ сессии, и посылает его Mail-E. Ключ для сессии, из соображений безопасности генерируется для каждой сессии.
* Mail-E использует личный ключ Mail-E, для де шифрования ключа сессии и использует ключ сессии, чтобы шифровать данные между Hugo и Mail-E.
* Если установление подлинности клиента позволяется, следующее происходит:
· Mail-E запрашивает сертификат Hugo.
· Hugo посылает Mail-E свой сертификат.
· Mail-E проверяет цифровую подпись CA на сертификате Hugo, чтобы проверить идентичность Hugo. Если Mail-E имеет сертификат CA Hugo, отмеченным как Trusted Root в сертификате сервера, то Mail-E знает, что сертификат Hugo имеет силу.
· Mail-E проверяет имя пользователя, в Person документе и имя в сертификате Hugo и подтверждает, что публичный ключ в сертификате Hugo, соответствует публичному ключу в его Person документе. Mail-E проверяет сначала Person документы в первичном Domino Directory. Mail-E также проверяет вторичные Domino Directory и LDAP Directory, если пользователь - Web клиент, а Domino сконфигурирован для поиска во вторичных Domino Directory и LDAP Directory.
* Если Mail-E не может идентифицировать Hugo, Mail-E проверяет, позволяется ли анонимный доступ на сервер для протокола.
Если позволено, следующее происходит:
· Сервер проверяет, имеется ли запись имени Anonymous в ACL базы данных.
· Если не имеется, сервер проверяет доступ по умолчанию.
· Если доступ по умолчанию читатель и выше, то Hugo позволяется анонимный доступ к базе данных, используя уровень доступов - по умолчанию.
* Если анонимный доступ не разрешается, или если в ACL базы данных не позволяет анонимный доступ, сервер проверяет, позволяется ли идентификация, с использованием имени и пароля, на сервере, для протокола. Если доступ по имени и пароля позволяется, следующее происходит:
· Сервер просит, чтобы Hugo ввел свое имя пользователя и пароль.
· Сервер проверяет имя в Person документах для пользователя Hugo и пароль, который Hugo ввел. Сервер также проверяет вторичные Domino Directory и LDAP Directory, если пользователь - Web клиент, а Domino сконфигурирован для поиска во вторичных Domino Directory и LDAP Directory..
· Если пароль верен, сервер проверяют ACL базы данных для первой записи, из списка имен Person документа для Hugo.
* Если первая запись в поле имени, соответствует записи в ACL, Hugo получает доступ к базе данных, используя уровень доступа, указанный для этой записи.
Увеличение производительности Web сервера
После того, как Вы установили Domino сервер и удостоверитесь, что он работает должным образом, проверьте работу сервера и время ответа сервера. Чтобы улучшать производительность сервера и время его ответа, сделаете любое из следующего действий:
* Измените настройки Кеш памяти
* Измените значение Time-Out
* Изменение номера нитей сервера
* Установка Domino Web сервера в кластер
* Оптимизация загрузки файлов для Web клиентов
* Определите метод, используемый для связи с внешними базами используемый для переадресации URL команд.
* Определите количество данных пользователей, позволяемых послать серверу с использованием команды HTTP POST.
Validation и Authentication, для интернет / интранет клиентов
После того, как Вы устанавливаете доступ клиентам, с использованием проверки их имени и пароля, создаете Person документы, для пользователей интернет / интранет, Domino идентифицирует пользователей когда:
* Они пытаются делать кое-что, для чего доступ ограничен.
* Установление подлинности для сессии разрешено.
* Анонимный доступ не позволяется на сервер.
Например, когда пользователь пробует открыть базу данных, которая имеет ACL без доступа назначенного по умолчанию. Domino проверяет пользователя по имени пользователя и паролю. Идентификация завершается правильно, если пользователь вводит имя и пароль, который соответствует имени и паролю, сохраненному в Person документе пользователя. Если ACL базы данных позволяет доступ этому пользователю, пользователь получает доступ к базе.
Этот метод, Domino использует для идентификации LDAP клиентов и зависит от того, установлена ли переменная LDAP_STRICT_RFC_ADHERENCE в файле NOTES.INI.
Как работает Validation и Authentication?
Этот пример описывает, как клиент Andrew использует TCP/IP, для соединения с сервером Mail-E.
* Andrew пробует получить доступ к базе данных на сервере Mail-E.
* Сервер проверяет Server документ, чтобы определить, позволяется ли анонимный доступ для TCP/IP. Если это так, то:
· Сервер проверяет ACL базы данных на наличие записи Anonymous.
· Если ACL не содержит записи Anonymous, сервер проверяет доступ по умолчанию, в ACL базе данных.
· Если по умолчанию, доступ читатель или выше, Andrew получает доступ к базе данных
* Если анонимный доступ запрещен для этого протокола, или если ACL базы данных не позволяет анонимный доступ, то сервер проверяет Server документ, чтобы определить, позволяется ли доступ для TCP/IP, с использованием имени и пароля. Если доступ с использованием имени и пароля позволяется, то:
· Сервер вынуждает пользователя Andrew ввести имя пользователя и пароль.
· Если Andrew использует Web клиента, сервер проверяет что введенное имя пользователя соответствует уровню требуемого для идентификации - More name variations with lower security или Fewer name variations with higher security.
· Сервер проверяет имя пользователя в поле User Name, в Person документе для пользователя и проверяет пароль в поле Internet Password, из Person документа.
· Сервер проверяет первичный Domino Directory для Person документа. Сервер также проверяет вторичные Domino Directory и LDAP Directory, если пользователь - Web клиент, и Domino сконфигурирован, для поиска имени во вторичных Domino Directory и LDAP Directory.
· Если пароль введен правильно, сервер проверяют ACL базы данных для введенного имени, которое внесено в список имен поля первым, в Person документе.
· Если первая запись поля, соответствует записи в ACL, Andrew получает доступ к базе данных, используя уровень доступа, указанный для этой записи в ACL.
Включение баз данных в Domain Index
Чтобы включать базу данных в Domain Index, разрешите опцию - Включить в индекс, охватывающий несколько баз данных, в свойствах базы данных. Процесс Domain Index действует следующим образом:
* Просматривается информация о каталогах в Domain Catalog относительно всех баз данных.
* Когда задача Domain Index запускается, она проверяет Domain Catalog и индексы всех базы данных, которые имеют разрешенную опцию - Включить в индекс, охватывающий несколько баз данных.
Включение баз данных в индекс домена.
Вы можете использовать Клиента Domino Administrator, чтобы добавить группу баз данных в Domain Index немедленно.
Из клиента Domino Administrator, выберите сервер, который содержит базу данных, которую Вы хотите включить.
Выбирайте закладку Файлы и затем выбирайте базы данных, которые Вы хотите добавить в Domain Catalog.
Выбирайте из меню справа опцию - Индекс по нескольким БД, затем выбирайте - OK.
Просмотр информации о Domain Catalog.
Используйте эти представления Domain Catalog для исследования этой информации о базах данных, серверов и пользователей в домене.
Включение или исключение почтового файла в базу данных Shared Mail
Вы можете исключать определенный почтовый файл из Shared Mail, или включать ранее исключенный почтовый файл, в Shared Mail.
Исключение почтового файла.
Введите эту команду на консоли сервера:
Load Object Set -Never USERMAIL.NSF
Где USERMAIL.NSF - имя почтового файла или имя каталога, который содержит почтовые файлы.
Включение, ранее исключенного почтового файла.
Введите эту команду на консоли сервера:
Load Object Reset -Never USERMAIL.NSF
Где USERMAIL.NSF - имя почтового файла или название каталога, который содержит почтовые файлы.
Восстановление базы данных Shared Mail
Потеря Данных - необычное явление, но это может произойти в любой системе. Чтобы предотвратить потерю данных из базы данных Shared Mail, проверяйте базу данных, по крайней мере, один раз в день. Продумайте создание больше чем одной базы данных Shared Mail на сервере. При использовании нескольких баз данных на сервере уменьшается количество сообщений Shared Mail, которые могли бы быть потеряны. Например, Вы можете создавать новую базу данных на сервере каждую неделю и использовать ее как базу данных для вновь поступающей почты.
Если потеря данных все-таки происходит, и Вы восстанавливаете базу данных Shared Mail, возможно, что не все сообщения будут восстановлены, в этой базе данных. Поэтому почтовые файлы пользователей могут все еще содержать заголовки сообщений, которые Вам не удалось восстановить в базе Shared Mail. Ваши пользователи не смогут читать эти сообщения, потому что база данных Shared Mail не содержит содержание этих сообщений.
Процедура восстановления базы данных Shared Mail.
* Загрузите самую современную резервную копию базы данных Shared Mail в каталог, который не является каталогом Domino сервера. Этот каталог может быть сетевым диском, если не имеется достаточно места на локальных дисках сервера.
* На консоли, введите команду Push, чтобы вытолкнуть изменения из резервной базы данных Shared Mail, в текущую базу данных Shared Mail. Например, после разгрузки резервной копии базы данных в каталог h:\backup, введите команду:
Push Manufacturing h:\backup\SHARE1.NSF
Где Manufacturing - имя сервера, SHARE1.NSF - имя базы данных Shared Mail.
* Удалите резервную копию базы данных Shared Mail.
* В почтовых файлах пользователя, произведите чистку сообщений, которые больше не имеют соответствующего содержание сообщений в файле Shared Mail.
Восстановление пароля для ID файла
Если пользователь теряет или портит свой ID файл, или забывает пароль, пользователь может работать с администраторами и восстановить ID файл из резервного.
Запрос резервной копии файла ID
Пользователь делает следующие шаги.
* Если Вы подозреваете, что ID файл поврежден, запросите зашифрованный резервный ID у своего администратора.
* Выбирайте Файл – Сервис – Восстановить учетную запись.
* Выбирайте ID файл, который Вы хотите восстановить.
* Войдите в контакт с первым администратором, внесенным в список, в окна диалога и запросите первый пароль для восстановления ID.
* Введите пароль, полученный от администратора, и затем нажимайте Enter.
Рис. 101 Диалоговое окно ввода пароля для восстановления пароля ID файла.
* Шаги описанные выше повторите для всех администраторов, пока Вы не получаете число паролей, требуемых, чтобы отпереть файл.
* Введите новый пароль, и затем повторите ввод пароля снова, чтобы подтвердить изменения.
* Если Вы имеете, несколько ID файлов, удалите их и использует копию восстановленного ID файла.
Получение пароля восстановления для ID файла.
Из соображения безопасности, администраторы должны выполнять эти шаги с их собственных рабочих местах. Использование отдельного рабочего места предотвращают от использования программ перехвата. Если неправомочный пользователь получает ID файл администратора и пароль, неправомочный пользователь может получить пароль восстановления администратора для всех ID файлов. Поэтому Вы должны защитить ID файл администратора.
* Отсоедините на локальный диск, зашифрованный резервный ID файл пользователя из почтовой базы или Mail-In базы данных.
* Если ID файл пользователя поврежден, пошлите копию ID файла из централизованной почтовой базы или из Mail-In базы данных пользователю.
* Из клиента Domino Administrator, выбирайте закладку Настройка – Сервис – Заверения – Пароль восстановления.
* Введите пароль ID файла администратора.
* Определите ID файл, который Вы хотите восстановить. Укажите файл, который вы отсоединили.
Рис. 102 Информационное окно с паролем восстановления ID файла.
* Администратор дает пользователю пароль администрирования, который будет показан.
Восстановление пароля ID файла
Чтобы предохранится от потери или повреждения ID файла, рекомендуйте, чтобы все пользователи имели резервные копии своих ID файлов в безопасном месте - например, на диске, сохраненные в недоступной области. Потеря или повреждение ID файла, или забытие пароля имеет серьезные последствия. Без ID пользователи Вы не можете получить доступ на сервера, или читать сообщения и другие данные, которые они зашифровали с использованием потерянного ID. Чтобы предотвратить эти проблемы, когда пользователи теряют или повреждают ID файлы или забывают пароли, настройте Domino, для восстановления ID файлов.
Вы должны определять несколько администраторов, которые будут действовать как группа, для восстановления ID и пароли. Вы можете определять единственного администратора, чтобы управлять ID файлами и восстанавливать пароли. Мы рекомендуем, по крайней мере, присутствия трех администраторов, для работы вместе, по восстановлению ID файлов. Наличие группы администраторов помогает предотвращать нарушение безопасности одним администратором, который имеет доступ ко всем ID файлам. Когда Вы определяете группу администраторов, Вы можете определить, что только минимальный набор их присутствия, в течение фактического восстановления ID.
Например, если Вы определяете пять администраторов для восстановления ID, но требуете присутствия только троих администраторов, для отпирания ID файла. Любые три из пяти администраторов могут отпирать ID файл. При обозначении группы администраторов и при требовании присутствия только нескольких человек, также предотвращает проблемы, которые происходят, если один администратор недоступен или оставляет компанию.
Прежде, чем Вы можете отпирать ID файлы, Вы должны делать следующее:
* Администратор, который имеет доступ к файлу ID сертификатора, должен определить информацию восстановления.
* Пользователи должны принять информацию восстановления в их ID файл, или ID файл должен быть создан с ID сертификатора, который содержит информацию восстановления.
После принятия информации восстановления или регистрации нового пользователя, Notes автоматически отправляет зашифрованную резервную копию ID файлов в специальную централизованную базу данных. ID файлы, которые не содержат информации восстановления, не может быть восстановлен.
Domino хранит ID информацию восстановления в ID файле сертификатора. Сохраненная информация включает имена администраторов, кому позволяется отпирать ID файлов, адрес почтовой базы данных, или Mail-In базы данных, куда пользователи посылают зашифрованную резервную копию их ID файлов, число администраторов, требуемых, чтобы отпереть ID файл. База данных Mail-In содержит документы, которые хранят присоединенные файлы, с шифрованной резервной копией ID файлов. Эти файлы шифруются с использованием случайного ключа и не могут использоваться с Notes, пока они не будут восстановлены.
Зашифрованная резервная копия ID файла требуется, чтобы заменить потерянный или разрушенный ID файл. Восстановление ID файла, для которого пароль был забыт, немного легче. Если оригинал ID файла содержит информацию восстановления, администраторы могут восстановить ID файл, даже если зашифрованный резервный ID файл не существует.
Восстановление представлений в базах данных на модернизированном Domino сервере
Как только Domino сервер запущен, введите на консоли сервера:
Load updall
Эта команда восстановит представления баз данных, позволяя пользователям более быстрый доступу к Domino Directory и к другим базам данных на сервере.
Восстановление представлений в Domino Directory
Введите с командной строки, Вашей операционной системы команду восстановления видов ($ServerAccess) и ($Users) в Domino Directory.
В Microsoft Windows95/98/NT/2000 (Intel платформы), тип команды:
Nupdall names.nsf -t "($ServerAccess)" -r
Nupdall names.nsf -t "($Users)" -r
При восстановлении представлений ($ServerAccess) и ($Users), Domino Directory позволяют клиентам более быстрый доступ к серверу.