在IBM說明中,有說到ND8支援了Notes共享登入,但這跟以往單一登入有何不同?

目前notes密碼與windows同步機制為何?為什麼說無法全部支援?

說明這個部份前, 需要先簡單說個概念,windows的密碼可以利用windows提api取得使用者已存在windows密碼庫的密碼嗎?

答案不行,為什麼不行?

若可以的話,你知道windows有多不安全,也就是說,駭客或有心人事只要懂api就可以存取任何windows存在的使用密碼是什麼了!

簡單說這樣就會造成安全問題!

那可能又有人說密碼忘記,管理者不是都可以清除密碼或更改密碼,請注意這句話 清除密碼或更改密碼,沒有說可以知道原來使用者密碼!

這代表管理者也不知道之前密碼是什麼?只能利用清除密碼或幫你更改密碼方式。

所以如果真的管理者可以這樣做,那只要管理者權加api就可以取得windows使用者到底存著什麼密碼!

故IBM不可能可以知道windows到底存在的密碼!否則就等於破解了微軟的密碼加密機制囉!

那為什麼有人說IBM可以做到密碼同步?

原因在於取得密碼是從使用者在密碼輸入時,還未寫入到windows密碼儲存庫中,這種方式就可以取得輸入欄位的密碼!

不過當然不是這樣做的,而是使用windows logon的api來使用囉!

而早期的版本是叫做單一登入,也就只要windows密碼與notes 密碼一致就可以在登入windows時登入密碼。但這個部份只能用於像早期XP,

因為後來windows的安全機做了變更,不能再由windows logon時取得密碼導致你會發現早期notes登一單入在新版如win7無法使用。

這部直到 Lotus Notes 8.0 提供了NSL(共享登入), NSL 不同於Notes單一登錄(必須要求 Notes 使用者的 ID 檔密碼和 Windows 密碼保持同步)，m不需要與windows密碼同步,而是利用  Windows 自帶的安全機制 DPAPI（Windows Data Protection API）對 ID 檔進行加密和解密。DPAPI 加密是一種由 Windows 作業系統提供的、不需要其他額外庫支援的加密方式。

簡單說表面上對使用者來說,都是一樣只要能正碼從windows登入正確,就可以不輸入密碼進入notes,只是背景作法不同(及Notes 使用者的 ID 檔密碼和 Windows 密碼保持同步)。

但也因為這樣,各位要注意到若使用winxp就算是ND8也無法使用(共享登入)因為Windows Data Protection API只能用較新的OS如win7。

故舊OS只能用單一登錄功能(因此ND8仍然保持單一登入支援),故除非ND8安裝在舊版OS,否則一律建議使用NSL(共享登入)不要再安裝單一登錄

至於到底那一個方面要用NSL或單一登入可參照IBM原文說明
http://www-01.ibm.com/support/docview.wss?uid=swg21437726