Anonymer Zugriff

Mithilfe des anonymen Zugriffs können Webbenutzer ohne Angabe eines Benutzernamens oder eines Kennworts auf eine Website zugreifen. IIS ordnet anonyme Webbenutzer immer einem spezifischen anonymen Benutzerkonto zu, das Sie konfigurieren können. Ist "Anonymer Zugriff" als einzige IIS-Authentifizierungsmethode aktiviert, verwendet IIS keine Identifikationsdaten (wie Benutzername und Kennwort), die vom Browser zur Authentifizierung gesendet werden. Stattdessen werden die Identifikationsdaten vom IIS-Plug-in an Domino übergeben und Domino authentifiziert den Benutzer mithilfe der üblichen Prozedur für Webbenutzer. Wenn ein anonymer Benutzer versucht, auf eine Domino-Ressource zuzugreifen, für die eine Authentifizierung erforderlich ist, reagiert Domino gemäß den Sicherheitsoptionen, die Sie für die Domino-Website festgelegt haben (entweder eine Standardauthentifizierung mit Benutzername und Kennwort oder eine Anmeldeseite für die Sitzungsauthentifizierung). Wenn die Benutzerauthentifizierung vollständig von Domino übernommen werden soll, aktivieren Sie bei der Einrichtung der Namens- und Kennwortauthentifizierung "Anonymer Zugriff" als einzige Sicherheitsoption für die IIS-Website.

Der anonyme Zugriff basiert auf den folgenden Richtlinien:

• Der Webbenutzer muss kein registrierter Windows 2000/2003-Benutzer sein.
• Falls ein Benutzer Zugriff auf geschützte Ressourcen erhalten soll, muss der Webbenutzer ein registrierter Domino-Benutzer sein und über ein Internetkennwort verfügen.

Bei Auswahl von "Standardauthentifizierung" prüft IIS, ob die Identifikationsdaten, die der Browser sendet, einem gültigen Benutzerkonto entsprechen. Wenn "Standardauthentifizierung" als einzige IIS-Authentifizierungsmethode aktiviert ist, erfordert IIS für alle Browser-Anforderungen Identifikationsdaten. Es ist kein anonymer Zugriff möglich. Wenn ein Benutzer eine Domino-Anforderung sendet, leitet das IIS-Plug-in den Benutzernamen an Domino weiter und informiert Domino darüber, dass der Benutzer von IIS authentifiziert wurde. In diesem Fall spricht man von "vorauthentifizierten" Benutzern. Das Plug-in leitet den Namen des vorauthentifizierten Benutzers genau so weiter, wie der Benutzer ihn im Browser eingegeben hat. Domino versucht dann, den Namen in seinen Verzeichnissen zu finden. Da IIS das Kennwort des Benutzers bereits authentifiziert hat, verwendet Domino nicht das Internetkennwort, das im Personendokument oder im LDAP-Eintrag des Benutzers gespeichert ist.

Wenn Domino den Namen in einem Domino-Verzeichnis findet, verwendet Domino den primären Namen im Personendokument für die Authentifizierung (ACL-Überprüfung). Wenn Domino den Namen nicht findet, führt Domino die Authentifizierung mit dem vorauthentifizierten Namen durch.

In beiden Fällen erstellt Domino die Gruppenliste der Benutzer anhand der Gruppen im Domino-Verzeichnis, in denen auch der Benutzer als Mitglied enthalten ist. Zudem fügt Domino die spezielle Gruppe -WebPreAuthenticated- zur Gruppenliste hinzu. Sie können -WebPreAuthenticated- als Gruppeneintrag in Datenbank-ACLs und anderen Zugriffslisten verwenden.

Anmerkung: Wenn Sie IIS-Benutzer in Datenbank-ACLs nach Namen sortieren möchten, müssen Sie darauf achten, den richtigen Namen zu verwenden. Verwenden Sie den primären Namen, wenn der Benutzer im Domino-Verzeichnis aufgeführt ist, oder den vorauthentifizierten IIS-Namen, wenn der Benutzer nicht im Verzeichnis aufgeführt ist. Wenn Benutzer in einer ACL nach Namen sortiert sind und außerdem Mitglieder in einer Gruppe in der ACL sind (einschließlich -WebPreAuthenticated- oder anderer Gruppen), müssen Sie beachten, dass der Name Vorrang vor dem Gruppeneintrag hat.

Die Standardauthentifizierung basiert im Wesentlichen auf den folgenden Richtlinien:

• Der anonyme Zugriff ist nicht zulässig.
• Der Webbenutzer muss ein registrierter Windows™ 2000/2003-Benutzer sein.
• Der Webbenutzer muss kein registrierter Domino-Benutzer sein.
• Domino verwendet nicht das Internetkennwort des Benutzers.
• Der Webbenutzer wird automatisch Mitglied der Gruppe -WebPreAuthenticated-.

Die integrierte Windows-Authentifizierung ist ein Microsoft-spezifisches Protokoll, das von Internet Explorer (IE) unterstützt wird. Wenn ein Webbenutzer eine Anforderung an die Site richtet, sendet IE automatisch den aktuellen Namen des Windows-Anmeldebenutzerkontos an IIS. IIS vergleicht den Namen mit der Windows-Registrierung auf IIS-Server. Wenn ein Benutzer eine Anforderung an Domino richtet, leitet das IIS-Plug-in an Domino den Windows-Namen des Benutzers weiter und Domino verarbeitet den vorauthentifizierten Namen (wie im vorhergehenden Abschnitt beschrieben) für eine Standardauthentifizierung.

Die Namen der Windows-Benutzerkonten haben das Format Domäne\Benutzername oder Computername\Benutzername, zum Beispiel VERTRIEB\JSchmitt. Wenn Domino Personendokumente im Domino-Verzeichnis zum Authentifizieren von Windows-Benutzern verwendet, müssen alle Dokumente die exakten Namen von Windows-Benutzerkonten als Aliasnamen enthalten. Verfügt beispielsweise Jan Schmitt über eine Notes-ID in der Domäne "OrgVertrieb" und ein Windows-Benutzerkonto in der Windows-Domäne "VERTRIEB", muss im Feld "Benutzername" von Jan Schmitts Personendokument Folgendes enthalten sein:

Jan Schmitt/OrgVertrieb

VERTRIEB\JSCHMITT

Dies ermöglicht Domino, den Windows-Benutzer VERTRIEB\J Schmitt als Domino-Benutzer Jan Schmitt/OrgVertrieb zu authentifizieren.

Die integrierte Windows-Authentifizierung basiert im Wesentlichen auf den folgenden Richtlinien:

• Wenn dies als einzige Authentifizierungsmethode aktiviert ist, können nur IE-Benutzer auf die Website zugreifen.
• Der anonyme Zugriff ist nicht möglich, da IE bei jeder Anforderung automatisch den Namen des Windows-Benutzerkontos sendet.
• Der Webbenutzer muss ein registrierter Windows 2000/2003-Benutzer sein.
• Wenn Sie den Windows-Benutzer einem Domino-Personendokument zuordnen möchten, müssen Sie den Namen des Windows-Benutzerkontos den Personendokumenten als Alias hinzufügen.
• Domino verwendet nicht das Internetkennwort.
• Der Benutzer wird automatisch Mitglied der Gruppe -WebPreAuthenticated-.

Wenn Sie SSL auf einem Web-Server aktivieren, wird die aktuelle SSL-Verbindung durch IIS unterstützt. Gibt ein Webbenutzer jedoch ein Client-Zertifikat an, übergibt das IIS-Plug-in das Zertifikat an Domino und Domino verwendet das Zertifikat zur Authentifizierung des Benutzers. Wenn Domino kein Zertifikat für den Benutzer finden kann, stuft Domino den Benutzer auf den anonymen Zugriff herab.

Zugehörige Konzepte
Namens- und Kennwortauthentifizierung für Internet-/Intranet-Clients

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe