このタスクについて

追加的なキー照合によって、失われたり改ざんされた ID ファイルの不正使用を防止できます。通常、ID ファイルを失った場合、新規の ID ファイルとディレクトリエントリを作成するためにその所有者を登録する必要があり、また ID ファイルが改ざんされた場合は、所有者のパブリックキーとプライベートキーをロールオーバーし、その新規のキーセットを認証する必要があります (それによってディレクトリエントリが更新されます)。ディレクトリレベルのキーチェック機能を有効にすることによって、古い ID ファイルを所有している攻撃者は、その古い ID ファイルに有効な証明書が含まれている場合でも、そのファイルを使用してサーバーにアクセスできなくなります。

また、認証が成功しても不一致が検出された場合、ログメッセージを生成するかどうかコントロールすることを選択できます。これによって、管理者は、ID ファイルの内容がディレクトリエントリと一致しなくなった場合にそれを検出できます。その場合でも、パブリックキーの不一致が原因でこれらのユーザーが認証できなくなることはありません。

手順

1. IBM Domino Administrator で [設定] タブをクリックし、サーバー文書を開きます。

2. [セキュリティ] タブをクリックします。

3. [セキュリティ設定] セクションの [パブリックキーの比較] フィールドをクリックし、次のいずれかのオプションを選択します。

• [キーを確認 (Notes ユーザーと Domino サーバーのすべて)] --認証中に渡された証明書内のキーの値を Domino ディレクトリに格納されているキーの値と比較します。信頼できるディレクトリにリストされていないユーザーまたはサーバーは、この検証チェックに不合格であったかのように扱われ、このサーバーへのアクセスが禁止されます。
• [キーを確認 (信頼するディレクトリリストの Notes ユーザーと Domino サーバーのみ] -- 信頼できるディレクトリにユーザーまたはサーバーがリストされている場合のみ、認証中に渡された証明書内のキーの値をディレクトリに格納されているキーの値と比較します。信頼できるディレクトリにリストされていないユーザーまたはサーバーは、この検証チェックに合格したかのように扱われます。

  注: このオプションによって、管理者は、ディレクトリにリストされていないユーザーにサーバー上のデータベースとアプリケーションに対するアクセス権を提供できます。たとえば、データベースには、Domino ディレクトリにリストされているユーザーに対して有効にされた編集者アクセス権を提供し、誰にでも読者アクセス権を提供するように設定されているアクセス制御リストが含まれている場合があります。そのため、このキーチェック機能オプションを有効にすると、Domino ディレクトリにリストされていないユーザーはまだ、サーバーにアクセスしてデータベースを使用することができます。その場合ユーザーは、読者アクセス権のみを与えられます。

• [キーを確認しない] -- 認証中にチェックされた証明書の署名のみ必要であり、キーをディレクトリの内容と照合して確認しない場合。

• [キー不一致を記録(Notes ユーザーと Domino サーバーのすべて)] -- 認証中に渡された証明書内のキーの値が Domino ディレクトリに格納されているキーの値と一致しない場合に発生するイベントを記録します。
• [キー不一致を記録(信頼するディレクトリリストの Notes ユーザーと Domino サーバーのみ) ] -- 信頼できるディレクトリにユーザーまたはサーバーがリストされている場合のみ、認証中に渡された証明書内のキーの値がディレクトリに格納されているキーの値と一致しなかった場合に発生するイベントを記録します。
• [キー不一致を記録しない] -- 認証の失敗のみを記録します。

関連概念
パブリックキーのセキュリティ

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ