转自:网管员世界
地址:http://www.365master.com/magazine/kt_magazine_article.php?article_id=2562&categ_code=10011007&magazine_num=200603 


目前许多企业内部局域网使用Lotus Domino/Notes软件二次开发来作为企业OA(公文)、邮件等应用系统,Lotus Domino/Notes是优秀的办公电子协作平台,具有独特的安全特性,使用所有ID(验证者ID,服务器ID和用户ID)作为软件安全特色之一;但在 实际的使用过程中,经常会遇到验证字过期的问题;许多Domino系统管理员忘记或者不会对验证字过期进行处理,本文就实际操作有关问题同大家一起来探讨 (以Lotus Domino/Notes R5为例)。
 
认识ID
在 Domino/Notes系统中,我们会遇到三种ID,即SERVER.ID、CERT.ID和USER.ID;SERVER.ID中存储服务器的证书和 标识符以便于服务器之间或服务器和客户机之间的通信,当创建Notes服务器时创建SERVER.ID文件,并保存在Domino服务器的数据目录下。
CERT.ID是一个验证字文件,在服务器安装和设置时创建,它自动验证第一个服务器的标识符和管理员的用户标识符;组织验证者标识符的名称通常就是公 司名,缺省时也是Notes网络域的名称;当一个用户要访问一个服务器时,由CERT.ID在该用户标识符文件中盖的戳来验证该用户与该服务器之间的关 系;验证成功后,用户或服务器将基于被呼叫的服务器文档中的“限制-谁可以”域,来决定是否可以访问被呼叫的服务器。如果被允许的话,数据库的存取控制列 表将决定是否可以访问某数据库。
User.ID是一个二进制文件,它标识一个授权的Notes用户,像签名一样,您的User.ID是惟一 的,不可能重复,每个用户必须有一个User.ID来访问服务器,每个服务器也必须有一个Server.ID来访问另一个服务器。一个 User.ID由以下几部分组成:名称、Notes 许可证号、公共密钥和私有密钥、加密键、证书和口令。
需要说明的是,SERVER.ID、User.ID(管理员)以及用户的ID可能存在过期,默认ID的有效使用期限是2年;CERT.ID一般是100年,不存在过期问题;下面将具体说明解决ID过期问题的具体验证操作步骤。

重新验证服务器标识符
要重新验证服务器标识符(SERVER.ID),必须新建Certification Log (CERTLOG.NSF) 。
Certification Log保存一个包含以下信息的文档: 名称和许可证类型验证日期和到期日期名称、许可证类型、以及用于创建或重验证标识符的验证者标识符的标识符号。如果要为重新验证和其他任务使用 Administration Process ,则需要Certification Log 。
选择“文件→数据库→ 新建”。在“服务器”域中,选择要存储日志的服务器名。输入Certification Log 作为数据库标题。输入CERTLOG.NSF 作为数据库文件名。选择“模板服务器”并选择有 Certification Log 模板的服务器。
单击“显示高级模板”,选择 Certification Log 作为模板,然后单击“确定”。

在 Domino Administrator 中,单击“配置”。选择要重新验证的服务器。

选择“操作→重新验证选定的服务器”。选择原先用来验证该服务器的验证者标识符(例:xx市服务器验证者标识符为certzj.id) 并单击“确定”。输入验证者的口令并单击“打开”。修改验证字截止日期。单击“确定”,检查完成情况。

重新验证管理员标识符
要重新验证用户标识符(VSER.ID),必须要重新验证服务器标识符,必须新建Certification Log (CERTLOG.NSF)。如果已经建立则直接进入下一步。
在Domino Administrator中,单击“个人和群组”。

从工具窗格中,选择“个人→重新验证”。选择验证者标识符(例:某某服务器验证者标识符为certzj.id),并单击“打开”。输入所选的验证者标识符的口令并单击“确定”。

修改管理员验证字截止日期(如修改截止日期至2015年,如图5)。单击“验证”,随后单击“确定”。

重新验证用户标识符
在 Domino Administrator 中,单击“个人和群组”。从工具窗格中,选择“个人”→“ 编辑个人”。点击“检查Notes 验证字”,检查账号截止日期。

如果需要重新验证用户标识符,请参考重新验证管理员标识符步骤。

小结
  当用户验证字将要过期并希望指定新的过期日期时,需要重新验 证标识符。重新验证时若服务器上没有CERTLOG.NSF文件,则会提示错误。因此在安装了第一台 Domino 服务器后,就应创建 Certification Log (CERTLOG.NSF)。向 Domino 添加服务器和用户时,Certification Log 将保留有关注册它们的记录,如验证日期和到期日期。缺省验证字的有效期为两年,到期前三个月客户端就开始提示要求重新验证,因此为减少重新验证的工作量, 注册或重验证时可以适当延长有效期。
重新验证有两种方法:一种方法是用户通过电子邮件直接向管理员申请新的验证字,管理员反馈邮件,用户按邮 件提示操作完成;另一种方法是由系统管理员通过Administrator的“个人→重新验证”功能,分别对本单位不同部门的人员(n个部门操作n次)统 一验证,验证完后客户访问服务器时自动更新本地用户标识符,在状态栏提示:“已根据新的到期日而更改了标识符文件中的层次结构验证字”。推荐使用第二种方 法,此方法对用户是透明的,不需要用户的申请,管理员操作也简单。