設定
このタスクについて
リモート LDAP ディレクトリに対してディレクトリアシスタントを設定すると、Domino サーバーで以下の処理ができるようになります。
この機能を設定しておけば、クライアントはその Notes 識別名でも元の LDAP 識別名でも認証を受けることができます。データベースの ACL、サーバー文書のアクセス制御フィールド、アクセス制御グループ、Web サーバーのファイル保護文書で使用できるのは、Notes 識別名のみです。
手順
1. Notes 識別名を LDAP ディレクトリに追加するには、リモート LDAP ディレクトリで、LDAP ディレクトリのユーザーエントリに Notes 名の値を格納するための属性を選択します。 この属性の構文は、DN であることが必要です。この属性として、新しい属性を作成することも、既にスキーマで定義されている既存の属性を使用することもできます。
2. 選択した属性値に Notes 名を指定して、リモート LDAP ディレクトリのユーザーエントリに追加します。
b. ディレクトリアシスタント文書の [LDAP] タブの [Notes の識別名で使う属性] フィールドに、Notes 名を格納するために LDAP ディレクトリで使用する属性の名前を追加します。
c. ディレクトリアシスタント文書の [名前付けのコンテキスト (ルール)] タブで、Notes 識別名および LDAP 識別名と一致する [資格情報を信用] の規則があることを確認します。 すべてをアスタリスクとする信頼される規則を使用せず、Notes 名および LDAP 名に別の名前階層を使用する場合は、各階層に該当する信頼される規則を設定します。
d. ディレクトリアシスタント文書を保存します。
タスクの結果
注: この機能を有効にしていても、Notes 識別名属性の値を持たないユーザーエントリが LDAP ディレクトリにある場合、そのユーザーが認証を受けるにはその LDAP 識別名を指定する必要があります。また、Domino データベースの ACL などのアクセス制御リストでは、LDAP 識別名を使用する必要があります。
リモート LDAP ディレクトリでの Notes 識別名の使用例
Renovations 社では、あるユーザーの識別名として LDAP 識別名 uid=675894,ou=boston,o=airius.com をリモート LDAP ディレクトリで使用しています。 Renovations では同じユーザーに対して、Notes データベースの ACL とデータベース ACL で使用されているグループでは、Jack Johnson/Boston/Renovations という名前を使用しています。 Domino サーバーは、ディレクトリアシスタントを使用して、クライアント認証に使用するユーザー資格情報をリモート LDAP ディレクトリで検索します。
Renovations の管理者は、以下を実行して、クライアント認証およびデータベースアクセス制御に Notes 識別名を使用するように設定します。
1. リモート LDAP ディレクトリで、uid=675894,ou=boston,o=airius のユーザーエントリに notesname という属性を追加し、その属性に値 cn=Jack Johnson,ou=Boston,o=Renovations を指定します。
2. LDAP ディレクトリのディレクトリアシスタント文書にある [LDAP] タブで、[Notes の識別名で使う属性] フィールドに属性 notesname を追加します。
3. ディレクトリアシスタント文書の [名前付けのコンテキスト (ルール)] タブで、すべてをアスタリスクとする信頼される規則を指定します。
このユーザーは、以下のどちらの名前をクライアントログオン名に使用しても認証を受けることができます。
関連概念 ディレクトリアシスタントを設定する
関連タスク リモート LDAP ディレクトリのディレクトリアシスタント文書を作成する