保護
たとえば、ACL で [- Default -] が [なし] になっているデータベースをユーザーが開こうとすると、有効なユーザー名とパスワードを入力するように要求されます。認証が成功するのは、ユーザーが入力した名前とパスワードがそのユーザーのユーザー文書 (または、LDAP ディレクトリ - 一部のユーザーに対しては、ユーザーレコードではなく LDAP ディレクトリで認証が行われます) に保存されている名前とパスワードに一致し、データベースの ACL でそのユーザーにアクセス権が設定されている場合だけです。匿名ユーザーは認証されません。
TCP/IP と SSL では、名前とパスワードによるアクセスと匿名アクセスを使用できます。
この節の説明は、セッション認証が有効になっている IBM Domino Web サーバーにアクセスする Web クライアントにも適用されます。
注: DSAPI (Domino Web Server Application Programming Interface) は、IBM Domino Web サーバーの拡張を可能にする C API です。これらの拡張 (フィルタ) により、Web ユーザーの認証をカスタマイズできます。DSAPI の詳細については、Domino/Notes の Lotus® C API Toolkit を参照してください。
検証と認証の仕組み
次の例は、クライアント (Andrew) が TCP/IP を使用してサーバー (Mail-E) に接続するときの流れを示しています。
1. Andrew から Mail-E サーバー上のデータベースへのアクセスが開始されます。
2. サーバーはインターネットサイト文書 (またはサーバー文書) を調べて、TCP/IP で匿名アクセスが使用可能になっているかどうかを判断します。匿名アクセスが使用可能になっている場合は、次の処理が実行されます。
b. ACL に [Anonymous] という名前のエントリが含まれていないと、データベース ACL の [- Default -] のアクセス権を調べます。[- Default -] のアクセス権が [読者] 以上の場合、Andrew は [- Default -] のアクセスレベルを使用して匿名でデータベースにアクセスします。
b. サーバーは、Andrew がブラウザに入力したユーザー名を検索します。サーバーは、[弱いセキュリティと複数の名前のバリエーション] か [強いセキュリティで少ない名前のバリエーション] のどちらかを検索機構として使用し、入力された名前をすべてのディレクトリ内で検索します。
c. Andrew が入力したユーザー名が見つかり、Andrew が入力したパスワードが Andrew のユーザー文書の [インターネットパスワード] フィールドのパスワードと一致すると、Andrew は認証されます。サーバーは、1 次 Domino ディレクトリのユーザー文書をチェックします。2 次 Domino ディレクトリと LDAP ディレクトリを検索するように設定されている場合、サーバーは、2 次 Domino ディレクトリと LDAP ディレクトリもチェックします。
a. 次に、サーバーは「グループリスト」をコンパイルします。グループリストには、Andrew の識別名、ワイルドカードエントリ、このサーバー上で Andrew がメンバーになっているすべてのグループが含まれています。
b. サーバーは次に、データベース ACL をチェックし、Andrew の名前が ACL に明示的にリストされているかどうか、 Andrew の名前に対応するグループリストエントリが ACL にあるかどうかを調べます。
c. Andrew の識別名か、Andrew がメンバーになっているグループの名前が ACL 内のエントリに一致すると、Andrew は、ACL 内の該当するエントリで指定されているアクセスレベルを使用してデータベースにアクセスできるようになります。それ以外の場合、Andrew からのアクセスは拒否されます。
関連情報 Lotus C API ツールキット