• Entradas con formato comodín
• Nombres de usuarios, servidores y grupos (incluidos los nombres de usuarios y grupos de los clientes de Internet)
• Nombres alternativos
• Usuarios de LDAP
• Anonymous, que puede emplearse para el acceso de los usuarios de Internet anónimos y el acceso de los usuarios de Notes anónimos
• Los ID de réplica de bases de datos

Agregue los nombres a la LCA en el formato jerárquico asignado por el administrador del servidor IBM® Lotus® Domino(TM). Por ejemplo:

Sara E Salas/Oeste/HyD/ES

Entradas con formato comodín

Si desea permitir el acceso general a una base de datos, puede especificar nombres jerárquicos con un carácter comodín (*) en la Lista de control de acceso. Puede utilizar comodines en los componentes del nombre común y de las unidades organizativas.

Se asignará el mayor nivel de acceso especificado por las entradas con formato comodín correspondientes a los usuarios y/o servidores que no tengan ya un nombre de usuario o de grupo específico en la LCA y cuyos nombres jerárquicos incluyan los componentes que contienen un comodín.

He aquí un ejemplo de entrada de la LCA en formato comodín:

*/Diseño/Producción/HyD/Argentina

María Torres/Diseño/Producción/HyD/Argentina

Miguel Barrios/Diseño/Producción/HyD/Argentina

Sole Bonilla/Documentación/Producción/HyD/Argentina

Alberto Nelson/HyD/Chile

Nombres de usuarios

En la LCA puede agregar los nombres de los individuos que posean un ID de usuario de IBM® Lotus® Notes® certificado o de los usuarios de Internet que se autentifiquen mediante nombre y contraseña o usando la autentificación de clientes mediante SSL.

• Para los usuarios de Notes, escriba el nombre jerárquico completo de cada usuario (por ejemplo, Juan Salas/Ventas/HyD) independientemente de si el usuario pertenece o no a la misma organización jerárquica que el servidor en el que se encuentra la base de datos.
• Para los usuarios de Internet, escriba el nombre que aparece como primera entrada en el campo Nombre de usuario del documento de persona. Aunque puede especificar varios alias en dicho campo, la primera entrada se usará para llevar a cabo la comprobación de autorización de seguridad, por lo que es la entrada que debería usarse en todas las LCA de Domino, es decir, las listas de control de acceso de las bases de datos y los archivos del servidor.

Si desea más información sobre la definición del nivel de acceso máximo para los usuarios de Internet, consulte Acceso máximo para los usuarios no anónimos de Internet.

Nombres de servidores

Es posible agregar nombres de servidores a una LCA para controlar los cambios que recibe una base de datos desde una réplica. Para garantizar una mayor seguridad, use el nombre jerárquico completo del servidor (por ejemplo, Servidor1/Ventas/HyD), independientemente de si el nombre del servidor que se va a agregar pertenece o no a la misma organización jerárquica que el servidor en el que se encuentra la base de datos.

Nombres de grupos

Las listas de control de acceso pueden incluir nombres de grupos (por ejemplo, Formación) que representen a múltiples usuarios o servidores que necesitan el mismo nivel de acceso. Las listas de grupos pueden incluir a los usuarios con su nombre jerárquico principal o con su nombre alternativo. Los grupos también pueden tener entradas comodín como miembros. Para poder usar el nombre de un grupo en la LCA, primero es necesario crear el grupo en el Directorio de Domino o en un directorio LDAP que haya sido configurado para la expansión de grupos en la base de datos de asistencia de directorios.

Consejo Utilice nombres individuales en lugar de nombres de grupos para los gerentes de las bases de datos. De este modo, cuando los usuarios necesiten hacer alguna solicitud al gerente de la base de datos, sabrán a qué persona dirigirse.

Los grupos proporcionan una manera cómoda de administrar las LCA de bases de datos. El uso de grupos en la Lista de control de acceso ofrece las siguientes ventajas:

• En lugar de agregar largas listas de nombres individuales a una LCA, puede agregar un nombre de grupo. Si un grupo aparece en varias listas de control de acceso, modifique el documento de grupo del Directorio de Domino o el directorio LDAP, en lugar de agregar y eliminar nombres individuales en múltiples bases de datos.
• Puede cambiar los niveles de acceso de varios usuarios o servidores al mismo tiempo.
• Puede usar nombres de grupo que reflejen las responsabilidades de los miembros del grupo o de la organización de un departamento o de una empresa.

El grupo Bajas en la empresa

Si un empleado abandona la organización, el administrador de Domino deberá eliminar su nombre de todos los grupos del Directorio de Domino e incluirlo en un grupo de bajas, al cual le está denegado el acceso a los servidores. Póngase en contacto con el administrador del servidor para asegurarse de que los nombres de los empleados que dejen de pertenecer a la organización sean eliminados de las listas de control de acceso de todas las bases de datos de la organización. Asegúrese de que el grupo de bajas figure en las listas de control de acceso y de que el acceso asignado al grupo sea Sin acceso.

También puede usar el grupo de acceso denegado con este fin. El grupo de acceso denegado contiene los nombres de los usuarios de Notes que ya no tienen acceso a los servidores Domino. Cuando se elimina una persona del Directorio de Domino, existe la posibilidad de agregarla al grupo de acceso denegado, si se ha creado tal grupo. (Si no existe el grupo, el cuadro de diálogo mostrará el mensaje "No ha seleccionado ningún grupo de acceso denegado o no hay disponible".)

Si desea más información sobre el grupo de acceso denegado, consulte la Ayuda de Lotus Domino Administrator.

Nombres alternativos

Un nombre alternativo es un alias opcional que el administrador asigna a un usuario de Notes registrado, normalmente para publicar un nombre en dos juegos de caracteres distintos, como español y kanji. En las LCA pueden agregarse nombres alternativos. Por otra parte, este tipo de nombres ofrece el mismo nivel de seguridad que los nombres jerárquicos principales. Un ejemplo de nombre de usuario en formato de nombre alternativo es Sole Salgado/NAOeste/NAVentas/NAHyD, donde NA es un nombre alternativo.

Usuarios de LDAP

Es posible utilizar un directorio LDAP secundario para autentificar a los usuarios de Web. Para ello deberá agregar los nombres de estos usuarios de Internet a las LCA de las bases de datos; de este modo podrá controlar el acceso de los usuarios a las bases de datos.

También puede crear grupos en el directorio LDAP secundario que incluyan los nombres de los usuarios de Internet y, a continuación, agregarlos como entradas a las LCA de las bases de datos de Notes. Por ejemplo, un usuario de Internet intenta acceder a una base de datos de un servidor Web de Domino. Si el servidor Web autentifica al usuario y la LCA contiene un grupo denominado "Web", el servidor podrá buscar su nombre de usuario en el grupo "Web" ubicado en el directorio LDAP del otro sistema (al margen de que su nombre se busque en el Directorio de Domino principal). Tenga en cuenta que, para que esta situación funcione, la base de datos de asistencia de directorios del servidor Web debe incluir un documento de asistencia de directorios LDAP, para dicho directorio, con la opción de expansión de grupos activada. También se puede usar esta función para buscar los nombres de usuarios de Notes almacenados en grupos en los directorios LDAP de otro sistema y comprobar las LCA de las bases de datos.

Cuando agregue el nombre de un usuario o grupo del directorio LDAP a la LCA de una base de datos, utilice el formato LDAP para el nombre, pero use una barra inclinada (/) como delimitador en lugar de una coma (,). Por ejemplo, si el nombre de un usuario en el directorio LDAP es:

uid=Soledad Salgado,o=HyD,c=ES

uid=Soledad Salgado/o=HyD/c=ES

cn=gerentes

gerentes

cn=gerentes,o=hyd

cn=gerentes/o=hyd

Por ejemplo, si introduce este nombre en la LCA:

cn=Soledad Salgado/ou=Oeste/o=HyD/c=ES

Soledad Salgado/Oeste/HyD/ES

El acceso anónimo a las bases de datos se asigna a los usuarios de Internet y de Notes que no se han autentificado con el servidor. Para controlar el nivel de acceso que se asigna a un usuario o servidor anónimo, especifique el nombre Anonymous en la Lista de control de acceso y asígnele el nivel de acceso apropiado. Normalmente, a los usuarios anónimos se les asigna acceso de lector.

En la tabla siguiente se explican las distintas formas en que el usuario anónimo puede acceder a la base de datos:

Acceso especificado	Acceso anónimo activado para el protocolo de Internet	Acceso anónimo no activado para el protocolo de Internet
Acceso anónimo activado en la LCA de la base de datos	Los usuarios acceden a la base de datos con el nivel de acceso asignado a la entrada Anonymous. Por ejemplo, si el acceso de Anonymous es el de lector, los usuarios anónimos que accedan a la base de datos tendrán acceso de lector.	Los usuarios reciben un mensaje para que se autentifiquen cuando intentan acceder a cualquiera de los recursos del servidor. Si el usuario no figura en la base de datos (mediante una entrada de grupo, una entrada con formato comodín, o si su nombre aparece explícitamente), éste accederá a la base de datos con el nivel de acceso asignado a -Default-.
La entrada Anonymous no figura en la LCA de la base de datos	Los usuarios anónimos acceden a la base de datos con el nivel de acceso asignado a la entrada -Default-. Por ejemplo, si el acceso de -Default- es el de lector y no existe la entrada Anonymous en la LCA, los usuarios anónimos que accedan a la base de datos tendrán acceso de lector.
Nivel Sin acceso asignado a Anonymous en la LCA de la base de datos Nota Los permisos para leer y crear documentos públicos deberán estar desactivados	Los usuarios recibirán un mensaje para que se autentifiquen cuando intenten acceder a esta base de datos. Una vez autentificados, se les concederá el nivel de acceso adecuado asignado en la LCA.

A los usuarios anónimos (tanto a los que se les concede el acceso a través de la entrada Anonymous como los que tienen acceso a través de la entrada -Default-) que intenten realizar alguna operación que no esté permitida por su nivel de acceso se les pedirá que se autentifiquen. Por ejemplo, si la entrada Anonymous tiene asignado el acceso de lector y un usuario anónimo intenta crear un documento nuevo, éste tendrá que autentificarse proporcionando un nombre y una contraseña.

Consejo Si desea que todos los usuarios se autentifiquen con una base de datos, asegúrese de que en su LCA figura la entrada Anonymous con el nivel "Sin acceso" y agregue el nombre del usuario de Internet a la LCA con el nivel de acceso que desea que tenga. También debe asegurarse de que los permisos para leer y crear documentos públicos están desactivados en la LCA de la base de datos.

El servidor Domino utiliza el nombre de grupo Anonymous exclusivamente para controlar el acceso. Por ejemplo, si Anonymous tiene acceso de autor en la LCA de la base de datos, en los documentos que cree en la base de datos figurará su nombre de usuario de Notes. El servidor Domino sólo puede mostrar, en los campos de autores de los documentos, el nombre auténtico de los usuarios anónimos de Notes, pero no de los usuarios anónimos de Web. Independientemente de que se use el acceso anónimo o no, el nombre almacenado en el documento nunca constituye un elemento de seguridad; si es necesario validar el nombre del autor a efectos de seguridad, entonces deberá firmarse el documento.

Los ID de réplica

Si desea permitir que un agente de una base de datos use @DbColumn o @DbLookup para obtener datos de otra, especifique el ID de réplica de la base de datos que contiene el agente en la LCA de la base de datos que contiene los datos de origen. La base de datos que contiene el agente deberá tener, como mínimo, acceso de lector a la que contiene los datos de origen. Ambas bases de datos deben residir en el mismo servidor. Un ejemplo de ID de réplica en una LCA de una base de datos es 85255B42:005A8fA4.

Si no incluye el ID de la réplica en la Lista de control de acceso, la otra base de datos aún podrá recuperar datos si el nivel de acceso predeterminado (-Default-) de su base de datos es de lector o superior.

Para determinar el ID de la réplica de una base de datos, seleccione Archivo - Aplicación - Propiedades y haga clic en la ficha General. O bien seleccione Archivo - Aplicación - Sinopsis del diseño y seleccione Replicación en Info. de la base de datos.

Para agregar un ID de réplica a la LCA

Escriba o copie y pegue el ID de réplica del cuadro de diálogo Sinopsis del diseño en la LCA o escriba el ID de réplica que aparece en la ficha General del cuadro de propiedades de la base de datos. Utilice mayúsculas o minúsculas, pero no lo encierre entre comillas.

Orden de evaluación de las entradas de la LCA

Las entradas de la LCA se evalúan en un orden específico para determinar el nivel de acceso que se le asignará al usuario de Notes autentificado que intenta acceder a la base de datos.

• En primer lugar, la LCA comprueba si el nombre del usuario coincide con alguna de las entradas de la LCA. La LCA comprueba si existen varias entradas que coincidan con el nombre del usuario. Por ejemplo, Sandra E Salas/Oeste/HyD se correspondería con las entradas Sandra E Salas/Oeste/HyD/ES y Sandra E Salas. En caso de que dos entradas distintas de un individuo tengan niveles de acceso diferentes (por ejemplo, asignados en momentos distintos por varios administradores), al usuario que intente acceder a la base de datos se le asignará el nivel de acceso mayor, además de la unión de los permisos de acceso de las dos entradas correspondientes a dicho usuario en la LCA. Esto también puede suceder si el usuario tiene nombres alternativos.

  Nota Si se introduce únicamente el nombre común en la LCA (por ejemplo, Sandra E Salas), entonces esa entrada solo coincide si el nombre del usuario y el servidor de bases de datos se encuentran en la misma jerarquía de dominios. Por ejemplo, si el usuario es Sandra E Salas, cuyo nombre jerárquico es Sandra E Salas/Oeste/HyD, y el servidor de bases de datos es Manufacturas/FactoryCo, la entrada Sandra E Salas no obtendrá el nivel de acceso correcto para las LCA en el servidor Manufacturas/FactoryCo. El nombre se debe introducir en formato jerárquico completo para que el usuario pueda obtener el nivel de acceso correcto a las LCA de los servidores de otros dominios.

• Si no se encuentra ninguna entrada que coincida con el nombre de usuario, la LCA comprobará si existe alguna entrada de nombre de grupo que se corresponda. Si el usuario que intenta acceder a la base de datos pertenece a varios grupos, por ejemplo, si es miembro de Ventas y las dos entradas de dicho grupo son Ventas/Oeste/HyD y Ventas/HyD, se le asignará el nivel de acceso mayor, además de la unión de los permisos de acceso de las dos entradas correspondientes a dicho usuario en la LCA.

  Nota Si el usuario coincide con una entrada explícita en la LCA, y es miembro de un grupo que también aparece en ésta, el usuario siempre obtendrá el nivel de acceso asignado a dicha entrada, aunque el nivel de acceso del grupo sea superior.

• Si no se encuentra ninguna entrada que coincida con el nombre de grupo, la LCA comprobará si existe alguna entrada con formato comodín que se corresponda. Si el nombre del usuario que intenta acceder a la base de datos se corresponde con varias entradas con formato comodín, se le asignará el nivel de acceso mayor, además de la unión de los permisos de acceso de las entradas con formato comodín correspondientes.
• Si una entrada de grupo y una entrada de comodín se corresponden con un usuario que está intentando acceder a la base de datos, el usuario tendrá el acceso asignado a la entrada de grupo. Por ejemplo, si el grupo Ventas tiene acceso de lector y la entrada de comodín */oeste/HyD dispone de acceso de gerente, y ambas entradas se corresponden con un usuario, entonces éste tendrá acceso de lector a la base de datos.
• Si el nombre de usuario no coincide con ninguna de las entradas de la LCA de la base de datos, se le asignará el nivel de acceso definido para la entrada -Default-.

Configuración de la LCA de una base de datos
Entradas predeterminadas de la LCA

Glosario