設定
このタスクについて
データベース認証に使用するグループは 1 次 Domino ディレクトリに格納できるほか、ディレクトリを 1 つ追加してそこに格納することもできます。この追加ディレクトリには、2 次 Domino ディレクトリ、拡張ディレクトリカタログ、リモート LDAP ディレクトリが利用できます。データベース認証に使用するグループが 1 次 Domino ディレクトリとこの追加ディレクトリの両方に同じ名前で含まれる場合、サーバーは 1 次 Domino ディレクトリにあるグループを使用します。
手順
追加ディレクトリをグループ認証に使用するには、そのディレクトリのディレクトリアシスタント文書で以下を実行します。
クライアント認証プロセスが完了しないと、サーバーはそのクライアントのデータベースへのアクセスを検証しません。クライアント認証とグループ認証で別々のディレクトリを使用できます。たとえば、クライアント認証にリモート LDAP ディレクトリを使用し、データベース認証中のグループ検索に拡張ディレクトリカタログを使用できます。
注: リモート LDAP ディレクトリのグループ認証を有効にすると、サーバーがグループ検索に使用するカスタム検索フィルタを選択できます。
データベース認証に使用するグループをネストする
サーバーは、データベースアクセスを認証するときに、データベース ACL でリストされているグループの中にネストされているグループを検索できます。さらにそのグループの中で多重ネストされているグループも検索可能です。ただし、それらのグループがすべて同じディレクトリにあることが必要です。
2 次 Domino ディレクトリや拡張ディレクトリカタログについて [グループの許可] を有効にすると、サーバーは常に、ディレクトリ内でネストされているグループを検索します。 リモート LDAP ディレクトリについて [グループの許可] を有効にした場合は、ネストされているグループをサーバーで検索するかどうかを [入れ子になったグループへの追加] オプションを使用して指定できます。ネストされているグループを検索する場合は [はい] (デフォルト) を選択し、検索しない場合は [いいえ] を選択します。 ネストされているグループの数が多い場合は、[いいえ] を選択すると検索のパフォーマンスが向上します。
Domino は、ネストされたグループを検索するためにディレクトリアシスタント名ルールを適用しないことに注意してください。グループの DN が 2 次ディレクトリ用に確立された名前ルールに一致する場合もありますが、そのグループのメンバー (ユーザーまたはネストされたグループ) の DN は一致しません。ただし、ディレクトリアシスタント名前ルールを適用しないことによって、問題が回避され、いかなる検索要求に対しても完全な名前リストを戻せるようになります。
データベース認証に使用するグループの場所に対する制限は、他の目的に使用するグループには適用されません。たとえば、ルーターは、ディレクトリアシスタントについて設定された任意のディレクトリにあるグループを検索できます。また、ネストされているグループがその親以外のディレクトリにある場合でもそのグループを検索できます。
関連概念 ACL のデフォルトエントリ ディレクトリアシスタントを設定する ディレクトリアシスタントと命名規則 ディレクトリアシスタント
関連タスク 拡張ディレクトリカタログに対するディレクトリアシスタント リモート LDAP ディレクトリのディレクトリアシスタント文書で検索フィルタを設定する リモート LDAP ディレクトリで Notes 識別名を使用する