設定

ディレクトリアシスタントとクライアント認証
サポートされているインターネットプロトコルである Web (HTTP)、IMAP、POP3、LDAP のいずれかを使用してユーザーが IBM Domino サーバー上のデータベースにアクセスする場合、サーバーは、[ディレクトリアシスタント] データベースで設定されているディレクトリでユーザーの資格情報を検索して、このユーザーを認証することができます。サーバーは、X.509 証明書セキュリティまたは名前とパスワードによるセキュリティを使用して認証することができます。

このタスクについて

[ディレクトリアシスタント] データベースで設定されているインターネットクライアント認証用ディレクトリをサーバーで使用できるようにするには、そのディレクトリのディレクトリアシスタント文書で次の処理を実行します。


たとえば、Web ユーザーを外部 LDAP ディレクトリに登録している組織の場合、Web ユーザーが IBM Domino Web サーバー上のデータベースにアクセスしようとすると、サーバーはリモートの外部 LDAP ディレクトリサーバーに接続してユーザーの名前とパスワードを検索し、その Web ユーザーを認証します。

注: サーバーの 1 次 Domino ディレクトリは、常にクライアント認証のために使用可能です。これは、1 次 Domino ディレクトリ用にディレクトリアシスタント文書を作成して、[このドメインを利用可能にする先: Notes クライアントとインターネットの認証/許可] を選択肢なかった場合にも当てはまります。

注: サーバー文書の [ポート] - [インターネットポート] タブ、またはインターネットサイト文書では、インターネットプロトコルサーバーで使用可能なクライアント認証の種類を制御できます。

名前とパスワードによる認証で使用できる名前

このタスクについて

サーバーで名前とパスワードによるセキュリティを使用してインターネットクライアントを認証する場合は、そのサーバーがクライアントから受け入れることのできる名前のタイプを選択します。1 次 Domino ディレクトリにあるサーバー文書の [セキュリティ] -> [インターネットアクセス] タブで、[弱いセキュリティと複数の名前のバリエーション] または [強いセキュリティで少ない名前のバリエーション] (デフォルト) を選択します。この選択は、1 次 Domino ディレクトリを含む任意のディレクトリを使用する、名前とパスワードによる認証に適用されます。

サーバーは、ディレクトリにあるユーザーのエントリを検索する目的であれば、識別名以外の名前でもクライアントから受け取ることができます。ただし、クライアントに対する認証を決定するためにディレクトリアシスタント文書にある信頼できる規則と比較する名前は、必ずディレクトリエントリにあるユーザー識別名になります。たとえば、識別名 cn=alice browning,o=Renovations でディレクトリに登録されているユーザーが、クライアント上では alice browning という名前を設定しているとします。サーバーは、認証の過程で、alice browning という名前を含むエントリを検索します。そのエントリが見つかると、サーバーは、「cn=alice browning,o=renovations」がそのディレクトリの信頼できる命名規則と一致する場合にかぎり、クライアントを認証します。

Domino では、ユーザーの識別名がアクセス制御の基礎としても使用されます。したがって、データベースの ACL、データベース ACL で使用するグループ、サーバー文書のアクセスリスト、Web サーバーのファイル保護文書では、この識別名を使用する必要があります。

クライアント認証中に重複する名前を検出した場合

このタスクについて

クライアントから提示された名前を含むディレクトリエントリが 1 つ以上のディレクトリにまたがって複数個見つかり、それらがすべて認証に有効な識別名と一致する場合、サーバーは、有効なパスワードまたは X.509 証明書を持つエントリを使用してクライアントを認証します。このような複数のエントリの識別名が同じで、さらにいずれも有効なパスワードまたは X.509 証明書を持つ場合は、最初に見つかったパスワードまたは X.509 証明書を使用してユーザーを認証します。

マルチプロトコル間で一貫性のあるクライアント名およびパスワード

このタスクについて

複数の Domino サーバーが複数のインターネットプロトコルで 1 つのクライアントを認証する場合は、ディレクトリの管理を簡単にするために、すべてのプロトコルに適用できる 1 組の名前とパスワードを持つ 1 つのディレクトリエントリを、そのクライアントに対して作成します。次に、そのクライアントを、すべてのプロトコルに対して同じ名前とパスワードを使用するように設定します。

たとえば Domino に対して、Web ブラウズでは HTTP で接続し、ディレクトリサービスでは LDAP で接続するクライアントがある場合、1 組の名前とパスワードを持つ 1 つのディレクトリエントリをそのクライアント用に作成します。そして、両方の接続タイプでその名前とパスワードを使用するようにクライアントを設定します。

リモート LDAP ディレクトリを使用するクライアント認証で使用可能な機能

このタスクについて

以下に示す機能は、リモート LDAP ディレクトリを使用するクライアント認証で使用できます。


IBM Notes クライアントの認証

このタスクについて

サーバーは、デフォルトでは、IBM Notes クライアントを認証するときに、Domino ディレクトリのユーザー文書の情報を使用しません。 ただし、そのサーバーのサーバー文書の [基本] タブで [ディレクトリにあるパブリックキーと比較] オプションが有効になっている場合は、IBM Notes クライアントから提示されたパブリックキーがユーザーのユーザー文書にあるパブリックキーと一致する場合にかぎり、サーバーは IBM Notes ユーザーを認証します。

認証を受けるためにサーバーに接続している IBM Notes ユーザーの登録先が、ある 2 次 Domino ディレクトリであって、サーバーの 1 次 Domino ディレクトリではないとします。ユーザーの接続先のサーバーに対して [ディレクトリにあるパブリックキーと比較] オプションが有効になっている場合は、ディレクトリアシスタント文書のオプション [このドメインを利用可能にする先: Notes クライアントとインターネットの認証/許可] を選択して、サーバーがパブリックキーを比較できるようにする必要があります。 このディレクトリアシスタント文書は、以下に対して使用できます。


関連概念
インターネット/イントラネットクライアントの名前とパスワードによる認証
SSL セキュリティ
ディレクトリアシスタントを設定する
ディレクトリアシスタントと命名規則
ディレクトリアシスタント

関連タスク
インターネットサイト文書を作成する
1 次 Domino ディレクトリのディレクトリアシスタント
リモート LDAP ディレクトリのディレクトリアシスタント文書で検索フィルタを設定する
リモート LDAP ディレクトリで Notes 識別名を使用する