IBM Domino 9.0.1 Social Edition Administrator ヘルプ

保護

Active Directory を使用して Domino ユーザーを管理する場合にユーザー名マッピングを設定する
主に Domino ディレクトリを使用して IBM® Domino のユーザー情報を管理する場合は、ここで説明する手順を実行して、Windows™ シングルサインオン環境のユーザー名のマッピングを設定します。この場合設定、ユーザーの IBM Notes 識別名を Active Directory ユーザーアカウントに追加する必要があります。

手順

1. ディレクトリアシスタントのデータベースで、Active Directory サーバーとの接続に使用する LDAP ディレクトリアシスタント文書を作成します。

表 1. LDAP ディレクトリアシスタント文書の重要なフィールド

タブ	フィールド	値	コメント
基本	このドメインを利用可能にする先	IBM Notes クライアントとインターネットの認証/承認	必須 LDAP クライアントはオプションです。
基本	グループの許可	[はい] または [いいえ]	データベース ACL で Active Directory グループを使用する場合は [はい] を選択します。
基本	SSO トークン内の名前で使う属性	$DN	Active Directory に対してユーザーを認証する IBM WebSphere® SSO サーバーが存在する場合のみ必要です。この場合、ユーザーの LTPA トークンにはユーザーの Active Directory 名が定義されます。 Web SSO 設定文書で [LTPA トークンのマップ名] を有効に設定する必要があります。 Active Directory に対してユーザー認証を行うサーバーの SSO 動作が適切であることを確認します。
基本 - SSO 設定	Web クライアント用の Windows シングルサインオン	[有効]	ユーザーの Active Directory ログオン (Kerberos) 名に基づき、効率的に名前を検索することができます。[Notes の識別名で使う属性] と組み合わせて、ユーザーの Kerberos ID を Domino 名に関連付けることができます。
基本 - SSO 設定	Kerberos レルム	Active Directory ドメイン	大文字で指定します (例: AD.RENOVATIONS.COM)。
名前付けのコンテキスト (ルール)	資格情報を信用	はい
LDAP	Notes の識別名で使う属性	属性	ユーザーの Notes 識別名が保存された Active Directory の属性。 Notes 識別名が定義されている属性がない場合、ディレクトリ管理者は、Active Directory スキーマを拡張してこの名前に属性を追加しなければならないことがあります。代わりに、`altSecurityIdentities` 属性を使用することもできます (別の目的で使用されていない場合)。 IBM Tivoli® Directory Integrator などのディレクトリ同期ツールを使用すると、Notes 名に属性を取り込むことができます。この属性に格納される値は、有効な識別名の構文に準拠している必要があります。Active Directory で Notes 名の区切り文字を指定する場合、Notes で使用するスラッシュ (/) ではなく、LDAP のカンマ (,) を使用してください。次に例を示します。 `cn=Betty Zechman,ou=Marketing,o=Renovations` 次のようなスラッシュは使用しません。 `cn=Betty Zechman/ou=Marketing/o=Renovations` この Active Directory レコードを Notes 識別名にリンクする場合に使用されます。これにより、Domino リソースにアクセスするユーザーが判別されます。
LDAP	使用する検索フィルタの種類	Active Directory

2. Domino ディレクトリにユーザー文書がある場合は、ユーザー文書を次のように編集します。IBM iNotes ユーザーではない Web ユーザーの場合、ユーザー文書の編集はオプションです。

表 2. ユーザー文書に必要な編集

タブ

フィールド

値

コメント

基本

インターネットパスワード

(HTTPPassword)

なし (推奨)

または

パスワードハッシュ

必要に応じてこのパスワードを削除し、ユーザーパスワードの確認を必要とするインターネットアクセス用に、このユーザーの Active Directory パスワードを使用します。
パスワードを削除したらディレクトリアクセスを設定し、ユーザー自身によるパスワードを追加を禁止します。
パスワードが削除され、Windows シングルサインオンが使用できない場合、Domino は Active Directory のユーザーパスワードを検証します。

3. Domino のユーザー文書が存在して、ユーザーの Domino インターネットパスワードがユーザー文書に定義されていない場合、有効なセキュリティポリシー設定文書で、次のインターネットパスワード設定を無効にする必要があります。

表 3. 有効なセキュリティポリシー設定文書で無効に設定する

タブ	フィールド	値	コメント
パスワード管理の基本	HTTP でインターネットパスワードの変更を許可	いいえ	デフォルトは [はい] です。ユーザーに対して指定されたセキュリティポリシー設定文書が存在しない場合、新しいセキュリティポリシー設定文書を作成してデフォルトの動作を変更する必要があります。
パスワード管理の基本	IBM Notes クライアントパスワード変更時にインターネットパスワードにも反映する	いいえ
パスワード管理の基本	パスワードの期限を有効にする	無効か、IBM Notes のみ

4. IBM Domino サーバーにあるサーバー文書の [セキュリティ] -> [インターネットアクセス] タブで、 for [インターネット認証] に [強いセキュリティで少ない名前のバリエーション] を選択します。

5. 一部の SSO サーバーによって Active Directory に対するユーザー認証を行っている場合、Web SSO 設定文書の設定を次のように指定します。

表 4. Web SSO 設定

タブ	フィールド	値	コメント
基本 - トークン設定	LTPA トークンのマップ名	[有効]	SSO LTPA トークンの Active Directory 識別名を Notes 識別名にマッピングする場合に使用されます。これにより、Domino のリソースにアクセスするユーザーが判別されます。 Active Directory に対してユーザー認証を行うサーバーの SSO が機能していることを確認するために使用されます。

フィードバック: ヘルプ または 製品のユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次

フィードバック: ヘルプ または ユーザビリティ

ヘルプのヘルプ

すべてのヘルプ目次