始める前に

IBM Domino ディレクトリに対する [編集者] アクセス権と、次のロールのいずれかがあることを確認します。

• 設定文書を作成するための PolicyCreator ロール。
• 設定文書を編集するための PolicyModifier ロール。

注: [IBM Notes 共有ログイン] タブおよび IBM Notes 共有ログインを使用してパスワードプロンプトを表示させない方法の詳細については、関連トピックを参照してください。[統合ログイン] タブの詳細については、関連トピックにある、IBM Notes 統合ログイン設定をユーザーに適用する方法の詳細を参照してください。

注: IBM iNotes ユーザー用のセキュリティポリシー設定の作成と、HTTP プロキシサーブレットを使用した外部サーバーへの URL の制限の詳細については、関連情報にある IBM iNotes Administration 製品資料を参照してください。

手順

1. Domino Administrator で、[ユーザーとグループ] タブを選択し、[設定] ビューを開きます。

2. [設定の追加] をクリックしてから、[セキュリティ] を選択します。

3. [基本] タブで、以下のフィールドに入力します。

表 1. [基本] タブのフィールド

フィールド	アクション
名前	これらの設定を使用するユーザーの名前を入力します。
説明	設定の説明を入力します。

IBM Notes とインターネットパスワードを管理する

手順

1. [パスワード管理]タブで、以下のオプションフィールドに入力します。

表 2. パスワード管理オプション

フィールド	アクション
IBM Notes クライアントにカスタムパスワードポリシーを使用	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - カスタムパスワードポリシーを実装します。カスタムパスワードポリシーを使用すると、特定のパスワードパラメータを設定できるため、パスワードの予想がつかなくなります。[カスタムパスワードポリシー] タブの設定を使用して、ポリシーをセットアップします。
Notes ID ファイルのパスワードを確認	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - ユーザー ID のすべてのコピーに同じパスワードを指定する必要があります。
HTTP でインターネットパスワードの変更を許可	次のいずれかを選択します。 [はい] (デフォルト) -- ユーザーが Web ブラウザを使用してインターネットパスワードを変更できます。 いいえ
IBM Notes クライアントのパスワード変更時にインターネットパスワードにも反映する	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - インターネットパスワードと IBM Notes クライアントのパスワードの同期を取ります。 注: [はい] を選択すると、より安全なインターネットパスワード形式の使用が有効になります (未使用時)。
他の IBM Notes ベースのプログラムでパスワードプロンプトを表示しない (セキュリティが低下)	[はい] を選択すると、このポリシーが適用される IBM Notes クライアントユーザーに対して、[セキュリティ] ダイアログボックスの [ログインとパスワードの設定] でこのオプションが設定されます。このオプションを有効にすると、IBM Notes とデータを共有するすべての IBM Notes ベースのアプリケーションにおいて、ユーザーの IBM Notes への初期ログインが再利用されるため、パスワードプロンプトが表示されなくなります。
Standard 版 IBM Notes クライアント用に Windows シングルサインオンを有効にする	Eclipse ベースの機能と製品 (ウィジェットと Live Text、Feeds、Connections、複合アプリケーション、 Sametime など) に対して、統合 Windows 認証 (SPNEGO/Kerberos を使用) のサポートを有効にします。このオプションは、IBM Notes クライアントの起動時のパスワードプロンプトには影響を与えません。ただし、使用している埋め込みおよび他のアプリケーションやコンポーネントのパスワードプロンプトは表示されなくなります。 IWA の追加情報については、関連情報にある技術情報「Integrated Windows authentication (IWA) for Eclipse-based components within Lotus Notes」を参照してください。

表 3. パスワード期限の設定

フィールド	アクション
パスワードの期限を有効にする	次のいずれかを選択します。 [無効] (デフォルト) -- パスワードの有効期限を無効にします。パスワードの有効期限が無効になっている場合、このセクションの残りのフィールドに必要な情報を入力しないでください。 [有効] 注: 次のいずれかのオプションのパスワード有効期限を有効にすると、セキュリティ設定文書のデフォルトが変わります。 [Notes のみ] -- IBM Notes パスワードの有効期限だけを有効にします。 [インターネットのみ] -- インターネットパスワードの有効期限だけを有効にします。 [Notes とインターネット] -- IBM Notes パスワードとインターネットパスワードの有効期限を両方とも有効にします。 注: インターネットパスワードの有効期限の設定は、HTTP プロトコルでしか認識されません。つまり、他のインターネットプロトコル (LDAP や POP3 など) では、インターネットパスワードを無期限に使用できることになります。 注: Domino サーバーへのログインにユーザーがスマートカードを使用する場合は、パスワードの有効期限を有効にしないでください。
必須変更間隔	パスワードの変更が必要となるまで有効な日数を指定します。 デフォルトは 0 です。 注: 30 未満の値を設定すると、[警告周期] フィールドの値が自動的に計算されます。このフィールドに入力した日数の 80% の数値が、警告周期として計算されます。
許可する猶予期間	期限が切れたパスワードを変更できる猶予期間の日数を指定します。この日数が経過すると、パスワードはロックアウトされます。デフォルトは 0 です (つまり、ユーザーはロックアウトされません)。
パスワードの履歴 (IBM Notes のみ)	保存する期限切れパスワードの数を指定します。パスワードを保存しておくと、ユーザーが古いパスワードを再使用できなくなります。デフォルトは 0 です。
警告周期	ユーザーが警告を受けるパスワードの有効期限の日数を指定します。 デフォルトは 0 です。 注: [必須変更間隔] の設定が 30 日未満に設定された場合、このフィールドの値が計算されます。このフィールドの値が計算されるように、パスワードの有効期間を有効にしなければなりません。この値が計算されると、上書きできません。
カスタム警告メッセージ	[警告周期] フィールドに指定した有効期間の限界値を過ぎたユーザーに送信されるカスタム警告メッセージを入力します。 注: パスワード有効期限をどのように有効にしたかに関わらず、カスタム警告メッセージの対象は IBM Notes クライアントのみです。インターネットユーザーには、警告メッセージが表示されません。

このタスクについて

組織でのセッション認証に SAML を使用している場合は、インターネットパスワードのロックアウト設定は無視されます。

手順

1. [パスワード管理]タブで、以下のロックアウト設定を入力します。

表 4. インターネットパスワードのロックアウト設定

フィールド	アクション
サーバーのインターネットロックアウト設定を上書きしますか?	このポリシー文書設定が有効になっている場合、そのポリシー設定によって、サーバーの設定文書内のインターネットパスワードのロックアウトの設定が上書きされます。 注: これらのポリシーを有効にするには、サーバーはインターネットパスワードのロックアウトを実施する必要があります。
許可される最大入力回数	ロックアウトが発生するまでに許容される、パスワードの最大入力回数を指定します。0 に設定すると、無制限にパスワードを試行することができます。
ロックアウトの有効期限	ロックアウトを実行する時間を指定します。 この時間が経過すると、次回にユーザーが認証しようとしたときに、ユーザーアカウントのロックが自動的に解除されます。 0 に設定すると、自動ロック解除が無効になります。
最大試行間隔	この値は、ユーザーがロックアウトされていない状態で認証を正常に行った場合に、これまでのパスワードの入力エラーがすべてクリアされるまでに必要な経過時間を表します。 より確実なセキュリティが必要な場合は、さらに長い保護強度時間を指定してください。この値が 0 に設定された場合、認証が正常に行われるたびに、それまでのパスワードの入力エラーがクリアされます。

表 5. パスワードクオリティの設定

フィールド	アクション
要求するパスワード長	パスワードクオリティに基づいてユーザーにパスワードを選択させる必要がある場合、リストの値を選択して、クオリティを指定します。
パスワード長を使用	長さに基づいてユーザーにパスワードを選択させる必要がある場合、[はい] をクリックします。この操作を行うと、[要求するパスワードクオリティ] フィールドが [要求するパスワード長] に変わります。パスワードの最低の長さを指定します。

カスタムパスワードポリシーを設定する

このタスクについて

カスタムパスワードポリシーを実装するよう選択した場合にのみ、次のフィールドに必要な情報を入力する必要があります。

手順

1. [パスワード管理] タブの [パスワード管理オプション] にある [Notes クライアントにカスタムパスワードポリシーを使用] フィールドで、[はい] を選択します。

[カスタムパスワードポリシー] タブが表示されます。

表 6. [カスタムパスワードポリシー] タブのフィールド

フィールド	アクション
IBM Notes クライアントの最初の使用時にパスワードを変更する	IBM Notes を使用して初めてログインする場合のパスワードを変更する必要があります。 注: これは、ユーザー登録中にポリシーが適用された場合にのみ機能します。
パスワードに共通名の使用を許可する	ユーザーの共通名の組み合わせをパスワードで使用できます。例: John232 がユーザー CN=John Doe/O=Mutt のパスワードの場合、John Doe が共通名となります。
パスワード長 (最小)	ユーザーがパスワードで使用できる最低文字数を指定します。
パスワード長 (最大)	ユーザーがパスワードで使用できる最大文字数を指定します。
パスワードクオリティ (最小)	ユーザーがパスワードで使用できる最小パスワードクオリティ値を指定します。
アルファベットの許可 (最小)	ユーザーがパスワードで使用できるアルファベットの最小数を指定します。
必要な大文字の最小数	ユーザーがパスワードで使用できる大文字の最小数を指定します。
必要な小文字の最小数	ユーザーがパスワードで使用できる小文字の最小数を指定します。
数字の許可 (最小)	ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。
特殊文字の許可 (最小)	ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。
必要な非小文字の最小数	ユーザーパスワードに必要な特殊文字、数字、大文字の最小数を指定します。 ここに大きい値を指定すると、パスワードの解読が難しくなります。 数値の入力後に、この要件に指定できる文字タイプがリストされたチェックリストが表示されます。次のいずれかの組み合わせも可能です。 大文字 数値 特殊文字
繰り返し文字の許可 (最大)	パスワードで使用できる繰り返し文字の最大数を指定します。
固有文字の許可 (最小)	パスワードで一度だけ表示される文字の最小数を指定します。
パスワードの先頭で使用禁止の文字	パスワードの最初に使用できない文字タイプを指定します。
パスワードの末尾で使用禁止の文字	パスワードの最後に使用できない文字タイプを指定します。

このタスクについて

[実行制御リスト] タブのフィールドに必要な情報を入力し、組織で使用される管理 ECL を設定します。

表 7. [実行制御リスト] タブのフィールド

フィールド	アクション
管理者 ECL	次のいずれかを選択します。 [編集] -- [編集] ボタンの横に名前が表示される ECL を編集する場合。 [管理] -- この機能の使用方法については、「管理者 ECL の管理」を参照してください。 注: [編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。
更新モード	次のいずれかを選択します。 [更新] -- 新しい情報または管理者 ECL から変更された情報でクライアント ECL を更新するには、次の操作を実行します。 クライアント ECL が管理者 ECL にない署名を一覧表示すると、その署名および設定はクライアント ECL と同じになります。 管理者 ECL が管理者クライアント ECL にない署名を一覧表示した場合、その署名および設定はクライアント ECL に追加されます。 クライアント ECL と管理者 ECL が同じ署名を一覧表示した場合は、クライアント ECL の署名の設定が削除され、管理者 ECL の署名の設定で置き換えられます。 [置換] -- 管理者 ECL でクライアント ECL を上書きします。クライアント ECL の情報は保持されません。
更新の頻度	次のいずれかを選択します。 [日に一度] -- クライアントがホームサーバーで認証を行うとき、ECL が最後に更新されてから 1 日経過している場合、または管理者 ECL が変更された場合、クライアント ECL を更新します。 [管理者 ECL を変更するとき] -- クライアントがホームサーバーで認証を行っていて、システム管理 ECL が最終更新された後に変更された場合、クライアント ECL を更新します。 [なし] -- 認証時にクライアント ECL の更新は行われません。

管理実行制御リスト (ECL) を管理する

このタスクについて

ドメイン内で最初のサーバーを設定するときに IBM Domino が作成するデフォルトのシステム管理 ECL は、後で組織に合わせてカスタマイズできます。複数のタイプの管理者 ECL を持つ必要がある場合があります。たとえば 1 つは請負業者用の管理者 ECL であり、1 つは常勤社員用の管理者 ECL です。[ワークステーションセキュリティ: Admin 実行制御リスト] ダイアログボックスを使用すると、作成した管理者 ECL を管理できます。また、このダイアログボックスを使用して、新規の管理者 ECL を作成したり、不要になった管理者 ECL を削除したりすることもできます。

注: [編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。

手順

1. セキュリティ設定文書のツールバーで、[設定の編集] をクリックします。

2. [管理] をクリックします。[ワークステーションセキュリティ: Admin 実行制御リスト] ダイアログボックスが表示されます。次のオプションから選択します。

表 8. [ワークステーションセキュリティ: Admin 実行制御リスト] のオプション

フィールド	アクション
既存の管理 ECL を編集する	編集する管理者 ECL の名前をリストボックスから選択し、[OK] をクリックします。選択した管理者 ECL の名前が、[実行制御リスト] タブの [管理者 ECL] フィールドに表示されます。 [編集] ボタンをクリックして、選択した管理者 ECL を開きます。
新規の管理者 ECL を作成する	新規の ECL の名前を [新規 Admin ECL の作成] フィールドに入力し、[OK] をクリックします。新規の管理者 ECL の名前が、[実行制御リスト] タブの [管理者 ECL] フィールドに表示されます。 [編集] ボタンをクリックして、新規の管理者 ECL を作成します。
既存の管理 ECL を削除する	削除する管理者 ECL の名前をリストボックスから選択し、[削除] をクリックします。 選択した管理者 ECL が削除され、既存の管理者 ECL のリストが更新されます。

管理者 ECL は、セキュリティ設定文書とは別に保存されます。管理 ECL を編集すると、その特定の名前の付いた管理者 ECL を参照しているすべてのセキュリティ設定文書で、その変更が使用されます。管理者 ECL を削除すると、その特定の管理者 ECL を参照しているすべてのセキュリティ設定文書で、デフォルトの管理者 ECL が使用されます。管理者 ECL を削除すると、[キャンセル] をクリックしてもその削除を元に戻すことはできません。

[キャンセル] をクリックしても、管理者 ECL の名前は変更されずに設定文書に表示されます。

キーロールオーバーを有効にする

このタスクについて

[キーと認証] タブのフィールドに必要な情報を入力し、ユーザーグループのキーロールオーバーを設定します。ユーザーのグループのキーロールオーバーを起動するトリガを指定します。このポリシーが適用されるユーザーグループのロールオーバープロセスを実行する場合、指定期間より間隔をあけることができるオプションがあります。

メールと文書の暗号化で AES を設定する方法の詳細については、関連トピックを参照してください。

手順

1. [パブリックキー要求のデフォルト] フィールドで、親ポリシーと子ポリシーの設定を指定します。次のいずれかを選択します。

• パブリックキーの要件を親ポリシーから継承します。
• パブリックキーの要件を子ポリシーで有効にします。

表 9. ユーザーのパブリックキー要件

フィールド	アクション
キー強度の許可 (最小)	注: 指定したレベルより弱く押したキーは、ロールオーバーされます。 制限なし (指定しないことも可能) すべてのリリースで互換の最大値 (630 ビット) Release 6 以降と互換 (1024 ビット) 7.0 以降と互換 (2048 ビット)
キー強度の許可 (最大)	注: 指定したレベルより弱く押したキーは、ロールオーバーされます。 すべてのリリースで互換 (630 ビット) Release 6 以降と互換 (1024 ビット) 7.0 以降と互換 (2048 ビット)
推奨するキー強度	新規キーの作成時に使用する優先キーの強さを選択します。 すべてのリリースで互換 (630 ビット) Release 6 以降と互換 (1024 ビット) 7.0 以降と互換 (2048 ビット)
許容するキーの世代(最大) (日数)	ロールオーバーが必要になるまでにキーが到達できる最長経過期間を指定します。デフォルトは 36500 日 (100 年) です。
許容する最初のキー作成日	この日付より以前に作成されたキーはロールオーバーされます。
指定した日数の経過後にすべてのユーザーに新規キーを生成して配布	セキュリティ設定ポリシー文書が適用されるすべてのユーザーに対し新規キーが作成される期間を指定します。ユーザーキーは、指定期間中不規則にロールオーバーされます。デフォルトは 180 日です。
新規キーの作成後に古いキーが使用可能な日数の最大値	ネットワーク認証中に古いキーを使用できる期間を指定します。IBM Notes のキー照合時には、新旧すべての証明書とすべてのロールオーバーキーが 1 つのツリーにまとめられ、そのツリーが渡されて、キーを照合するためにチェーン化できる証明書セットが検索されます。有効期限が過ぎた証明書は、このチェーンの中では使用できません。キーが改ざんされている可能性に対応するためにキーをロールオーバーする場合、そのキーに発行された古い証明書を使用できる期間を短い値に設定することを推奨します。この設定の有効な値は 1 日から 36500 日で、デフォルトは 365 日です。

4. [認証期限の設定] の [警告周期] フィールドで、ユーザーが期限切れの警告メッセージを受け取る、認証の有効期限切れ前の日数を指定します。デフォルトは 0 です。

5. [認証期限の設定] の [カスタム警告メッセージ] フィールドにおいて、証明書の有効期限が [警告周期] フィールドで指定した期限のしきい値を超えたユーザーに対して送信されるカスタム警告メッセージを入力します。

On-line Certificate Status Protocol (OCSP) チェックを有効にする

このタスクについて

Online Certificate Status Protocol (OCSP) を使用すると、識別された証明書の取り消し状態をアプリケーションで判別することができます。OCSP チェックは、S/MIME 署名検査中とメールの暗号化中に IBM Notes クライアントによって行われます。OCSP は、ポリシーで、セキュリティ設定文書の [キーと認証] タブの [OCSP のチェックを有効にする] 設定を使用することによって有効化されます。

信頼された相互認証をクライアントに適用する

このタスクについて

ユーザープロンプトを表示させずに、相互認証を作成することができます。[キーと認証] タブの [管理者の信頼のデフォルト] セクションを使用して、信頼されたインターネット証明書、インターネット相互認証、IBM Notes 相互認証を IBM Notes クライアントに適用します。クライアントに対して信頼された証明書を適用する (プッシュするという場合もあります) 方法の詳細については、関連トピックを参照してください。

署名付きプラグインのインストールを設定する

このタスクについて

プラグインは IBM Notes ユーザーに提供可能で、通常は証明書で署名されています。この証明書は、IBM Notes クライアントによって信頼されており、そのプラグインに含まれているデータが破損していないことを証明します。こうすることで、ユーザーは署名付きプラグインのインストールや更新を行うことができます。

プラグインに問題があることが判明することもあります。このようなプラグインは、署名されていないか、信頼できる証明書で署名されていないか、証明書の有効期限が切れているか、まだ有効になっていないかのいずれかです。このような場合、ポリシーを設定して、これらのプラグインをインストールしないようにするか、常にインストールするか、コンピュータにプラグインをインストールするときにユーザーに決定させることができます。

Java SDK によって提供される jar signer ツールを使用して、プラグイン jar 署名にタイムスタンプを付けることにより、プラグイン署名の有効性を長期間にわたって確保することができます。Notes クライアントは、プラグインの JAR 署名に付いているタイムスタンプを使用して、プラグインによって署名された証明書が署名された時点で有効であったかどうかを判定します。プラグインによって署名された証明書が期限切れであっても署名の時点で有効であれば、IBM Notes は証明書を受け入れるため、プラグインのインストール中またはプロビジョニング中に、セキュリティプロンプトがユーザーに表示されることはありません。期限切れのタイムスタンプが付いた証明書で署名されたプラグインのインストールを許可するかどうかを制御するには、[署名付きプラグイン] タブにある [タイムスタンプ認証の期限を無視] 設定を使用します。デフォルトでは、インストールは許可されます。

表 10. [タイムスタンプ認証の期限を無視] の設定

フィールド	アクション
期限切れのプラグインまたはまだ有効になっていないプラグインのインストール	ユーザーに確認 インストールしない 常にインストール
署名されていないプラグインのインストール	ユーザーに確認 インストールしない 常にインストール
認識できない認証者によって署名されたプラグインのインストール	ユーザーに確認 インストールしない 常にインストール
IBM プラグインによって署名された証明書を信頼する	ユーザーに確認 インストールの際に信頼しない インストールの際に常に信頼する
タイムスタンプ認証の期限を無視	ユーザーに確認 インストールしない 常にインストール

ポータルサーバー設定を定義する

このタスクについて

表 11. ポータルサーバー設定

フィールド	アクション
ホームポータルサーバー	IBM Notes ユーザーアカウントをホストする IBM WebSphere Portal Server の名前を入力します。
認証 URL	IBM Notes ユーザーがポータルサーバーで認証を受けるためにアクセスする必要のある URL を入力します。
認証の種類	次のいずれかを選択します。 J2EE-Form HTTP -- Web ベースの認証用

注: [ID ボールト] タブおよび [プロキシ] タブについては、関連トピックを参照してください。

関連概念
IBM Notes 共有ログインを利用して、パスワードを求めるプロンプトが出ないようにする
インターネットパスワードを管理する
統合ウィンドウ認証 (IWA) を Eclipse ベースクライアントで有効にする
IBM Notes クライアントの S/MIME を設定する
インターネット/イントラネットクライアントの名前とパスワードによる認証
plugin_customization.ini を使用して IBM Notes をカスタマイズする
Domino のポリシーを使用してクライアントプラグインの信頼を設定または検証する
Notes ID ボールト

関連タスク
パスワードの照合を設定する
セキュリティ設定ポリシーを使用して Notes 統合ログイン設定をクライアントユーザーに適用する
インターネットパスワードを保護する
ID ファイルの暗号化を設定する
操作制御リスト
AES によるメールと文書の暗号化を設定する
Notes クライアントとインターネットクライアントで SSL クライアント認証を設定する
ユーザーとサーバーキーのロールオーバー
セキュリティポリシー設定を使用して証明書をクライアントにプッシュする
ID ボールトポリシー設定文書を手作業で作成、編集する
インストールと更新用にカスタムまたはサードパーティのフィーチャーとプラグインに署名する

関連資料
カスタムパスワードポリシー
デフォルトの ECL 設定
パスワードクオリティスケール

関連情報
IBM iNotes 製品資料
HTTP プロキシサーブレットを使用して外部サーバーへの URL を制限する
技術情報 21459717: Integrated Windows authentication (IWA) for Eclipse-based components within Lotus Notes

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ