セキュリティポリシー設定文書を作成する

セキュリティポリシー設定文書を使用すると、HCLNotes® とインターネットパスワードの管理、組織向けのカスタマイズされたパスワードポリシーの設定、キーロールオーバーのセットアップ、管理 ECL の管理、信頼された相互認証のクライアントへのプッシュ、ID ボールトの設定を行うことができます。また、複合アプリケーション用の署名付きプラグインとホームポータルサーバーも設定できます。

始める前に

HCLDomino® ディレクトリに対する [編集者] アクセス権と、次のロールのいずれかがあることを確認します。
  • 設定文書を作成するための PolicyCreator ロール
  • 設定文書を変更するための PolicyModifier ロール

このタスクについて

注: [Notes 共有ログイン] タブおよび Notes 共有ログインを使用してパスワードプロンプトを表示させない方法の詳細については、関連トピックを参照してください。[統合ログイン] タブの詳細については、関連トピックにある、Notes 統合ログイン設定をユーザーに適用する方法の詳細を参照してください。
注: HCLiNotes® ユーザー用のセキュリティポリシー設定の作成と、HTTP プロキシサーブレットを使用した外部サーバーへの URL の制限の詳細については、関連情報にある HCLiNotes Administration 製品資料を参照してください。

手順

  1. Domino Administrator で [ユーザーとグループ] タブを選択し、[設定] ビューを開きます。
  2. [設定の追加] をクリックしてから、[セキュリティ] を選択します。
  3. [基本] タブで、以下のフィールドに入力します。
    表 1. [基本] タブのフィールド
    フィールド アクション
    名前 これらの設定を使用するユーザーの名前を入力します。
    説明 設定の説明を入力します。
  4. 次のタスクで説明する必須フィールドすべてに入力します。

IBM Notes とインターネットパスワードを管理する

手順

  1. [パスワード管理] タブで、以下のオプションフィールドに入力します。
    表 2. パスワード管理オプション
    フィールド アクション
    IBM Notes クライアントにカスタムパスワードポリシーを使用 新しく作成したグループのオプションとして、
    • [いいえ] (デフォルト)
    • [はい] - カスタムパスワードポリシーを実装します。カスタムパスワードポリシーを使用すると、特定のパスワードパラメータを設定できるため、パスワードの予想がつかなくなります。[カスタムパスワードポリシー] タブの設定を使用して、ポリシーをセットアップします。
    Notes ID ファイルのパスワードを確認 新しく作成したグループのオプションとして、
    • [いいえ] (デフォルト)
    • [はい] - ユーザー ID のすべてのコピーに同じパスワードを指定する必要があります。
    HTTP でインターネットパスワードの変更を許可 新しく作成したグループのオプションとして、
    • [はい] (デフォルト) -- ユーザーが Web ブラウザを使用してインターネットパスワードを変更できます。
    • いいえ
    IBM Notes クライアントのパスワード変更時にインターネットパスワードにも反映する 新しく作成したグループのオプションとして、
    • [いいえ] (デフォルト)
    • [はい] - インターネットパスワードと IBM Notes クライアントのパスワードの同期を取ります。
    注: [はい] を選択すると、より安全なインターネットパスワード形式の使用が有効になります (未使用時)。
    他の IBM Notes ベースのプログラムでパスワードプロンプトを表示しない (セキュリティが低下) [はい] を選択すると、このポリシーが適用される Notes クライアントユーザーに対して、[セキュリティ] ダイアログボックスの [ログインとパスワードの設定] でこのオプションが設定されます。このオプションを有効にすると、IBM Notes とデータを共有するすべての IBM Notes ベースのアプリケーションにおいて、ユーザーの IBM Notes への初期ログインが再利用されるため、パスワードプロンプトが表示されなくなります。
    Standard 版 IBM Notes クライアント用に Windows シングルサインオンを有効にする Eclipse ベースの機能と製品 (ウィジェットと Live Text、Feeds、Connections、複合アプリケーション、 Sametime など) に対して、統合 Windows 認証 (SPNEGO/Kerberos を使用) のサポートを有効にします。このオプションは、IBM Notes クライアントの起動時のパスワードプロンプトには影響を与えません。ただし、使用している埋め込みおよび他のアプリケーションやコンポーネントのパスワードプロンプトは表示されなくなります。

    IWA の追加情報については、関連情報にある技術情報「Integrated Windows authentication (IWA) for Eclipse-based components within Lotus Notes」を参照してください。

  2. また、[パスワード管理] タブで、以下の有効期限フィールドにも入力します。
    表 3. パスワード期限の設定
    フィールド アクション
    パスワードの有効期限の強制 新しく作成したグループのオプションとして、
    • [無効] (デフォルト) -- パスワードの有効期限を無効にします。パスワードの有効期限を無効にする場合は、このセクションの残りのフィールドに入力しないでください。
    • 有効
    注: 次のいずれかのオプションのパスワード有効期限を有効にすると、セキュリティ設定文書のデフォルトが変わります。
    • [Notes のみ] -- IBM Notes パスワードの有効期限だけを有効にします。
    • [インターネットのみ] -- インターネットパスワードの有効期限だけを有効にします。
    • [Notes とインターネット] -- IBM Notes パスワードとインターネットパスワードの有効期限を両方とも有効にします。
    注: インターネットパスワードの有効期限の設定は、HTTP プロトコルでのみ認識されます。つまり、他のインターネットプロトコル (LDAP や POP3 など) では、インターネットパスワードを無期限に使用できることになります。
    注: Domino サーバーへのログインにユーザーがスマートカードを使用する場合は、パスワードの有効期限を有効にしないでください。
    必須変更間隔 パスワードの変更が必要となるまで有効な日数を指定します。デフォルトは 0 です。
    注: 30 未満の値を設定すると、[警告周期] フィールドの値が自動的に計算されます。このフィールドに入力した日数の 80% の数値が、警告周期として計算されます。
    許可する猶予期間 期限が切れたパスワードを変更できる猶予期間の日数を指定します。この日数が経過すると、パスワードはロックアウトされます。デフォルトは 0 です (つまり、ユーザーはロックアウトされません)。
    パスワードの履歴 (IBM Notes のみ) 保存する期限切れパスワードの数を指定します。パスワードを保存しておくと、ユーザーが古いパスワードを再使用できなくなります。デフォルトは 0 です。
    警告周期 ユーザーが警告を受けるパスワードの有効期限の日数を指定します。デフォルトは 0 です。
    注: [必須変更間隔] の設定が 30 日未満に設定された場合、このフィールドの値が計算されます。このフィールドの値が計算されるように、パスワードの有効期間を有効にしなければなりません。この値が計算されると、上書きできません。
    カスタム警告メッセージ [警告周期] フィールドに指定した有効期間の限界値を過ぎたユーザーに送信されるカスタム警告メッセージを入力します。
    注: パスワード有効期限をどのように有効にしたかに関わらず、カスタム警告メッセージの対象は IBM Notes クライアントのみです。インターネットユーザーには、警告メッセージが表示されません。

インターネットパスワードのロックアウトを設定する

このタスクについて

組織でのセッション認証に SAML を使用している場合は、インターネットパスワードのロックアウト設定は無視されます。

手順

  1. [パスワード管理] タブで、以下のロックアウト設定を入力します。
    表 4. インターネットパスワードのロックアウト設定
    フィールド アクション
    サーバーのインターネットロックアウト設定を上書きしますか? このポリシー文書設定が有効になっている場合、そのポリシー設定によって、サーバーの設定文書内のインターネットパスワードのロックアウトの設定が上書きされます。
    注: これらのポリシーを有効にするには、サーバーはインターネットパスワードのロックアウトを実施する必要があります。
    許可される最大入力回数 ロックアウトが発生するまでに許容される、パスワードの最大入力回数を指定します。0 に設定すると、無制限にパスワードを試行することができます。
    ロックアウトの有効期限 ロックアウトを実行する時間を指定します。この時間が経過すると、次回にユーザーが認証しようとしたときに、ユーザーアカウントのロックが自動的に解除されます。0 に設定すると、自動ロック解除が無効になります。
    最大試行間隔 この値は、ユーザーがロックアウトされていない状態で認証を正常に行った場合に、これまでのパスワードの入力エラーがすべてクリアされるまでに必要な経過時間を表します。より確実なセキュリティが必要な場合は、さらに長い保護強度時間を指定してください。この値が 0 に設定された場合、認証が正常に行われるたびに、それまでのパスワードの入力エラーがクリアされます。
  2. [パスワード管理] タブで、以下のクオリティ設定フィールドにも入力します。
    表 5. パスワードクオリティの設定
    フィールド アクション
    必要なパスワードクオリティ (Required password quality) パスワードクオリティに基づいてユーザーにパスワードを選択させる必要がある場合、リストの値を選択して、クオリティを指定します。
    パスワード長を使用 長さに基づいてユーザーにパスワードを選択させる必要がある場合、[はい] をクリックします。この操作を行うと、[要求するパスワードクオリティ] フィールドが [要求するパスワード長] に変わります。このフィールドで、最小のパスワード長を指定します。
  3. [ID ファイルの暗号化設定] の下にあるフィールドの入力方法の詳細については、関連トピックにある「ID ファイルの暗号化を設定する」トピックを参照してください。

カスタムパスワードポリシーを設定する

このタスクについて

カスタムパスワードポリシーを実装するよう選択した場合にのみ、次のフィールドに必要な情報を入力する必要があります。

手順

  1. [パスワード管理] タブの [パスワード管理オプション] にある [Notes クライアントにカスタムパスワードポリシーを使用] フィールドで、[はい] を選択します。
    [カスタムパスワードポリシー] タブが表示されます。
  2. 次のフィールドに必要な情報を設定します。
    表 6. [カスタムパスワードポリシー] タブのフィールド
    フィールド アクション
    IBM Notes クライアントの最初の使用時にパスワードを変更する IBM Notes を使用して初めてログインする場合のパスワードを変更する必要があります。
    注: これは、ユーザー登録中にポリシーが適用された場合にのみ機能します。
    パスワードに共通名の使用を許可する ユーザーの共通名の組み合わせをパスワードで使用できます。例: John232 がユーザー CN=John Doe/O=Mutt のパスワードの場合、John Doe が共通名となります。
    パスワード長 (最小) ユーザーがパスワードで使用できる最低文字数を指定します。
    パスワード長 (最大) ユーザーがパスワードで使用できる最大文字数を指定します。
    パスワードクオリティ (最小) ユーザーがパスワードで使用できる最小パスワードクオリティ値を指定します。
    アルファベットの許可 (最小) ユーザーがパスワードで使用できるアルファベットの最小数を指定します。
    必要な大文字の最小数 ユーザーがパスワードで使用できる大文字の最小数を指定します。
    必要な小文字の最小数 ユーザーがパスワードで使用できる小文字の最小数を指定します。
    数字の許可 (最小) ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。
    特殊文字の許可 (最小) ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。
    必要な非小文字の最小数 ユーザーパスワードに必要な特殊文字、数字、大文字の最小数を指定します。ここに大きい値を指定すると、パスワードの解読が難しくなります。

    数値の入力後に、この要件に指定できる文字タイプがリストされたチェックリストが表示されます。次のいずれかの組み合わせも可能です。

    • 大文字
    • 数値
    • 特殊文字
    繰り返し文字の許可 (最大) パスワードで使用できる繰り返し文字の最大数を指定します。
    固有文字の許可 (最小) パスワードで一度だけ表示される文字の最小数を指定します。
    パスワードの先頭で使用禁止の文字 パスワードの最初に使用できない文字タイプを指定します。
    パスワードの末尾で使用禁止の文字 パスワードの最後に使用できない文字タイプを指定します。

管理 ECL を設定する

このタスクについて

[実行制御リスト] タブのフィールドに必要な情報を入力し、組織で使用される管理 ECL を設定します。

表 7. [実行制御リスト] タブのフィールド
フィールド アクション
管理者 ECL 新しく作成したグループのオプションとして、
  • [編集] -- [編集] ボタンの横に名前が表示される ECL を編集する場合。
  • [管理] -- この機能の使用方法については、「管理者 ECL の管理」を参照してください。
注: [編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。
更新モード 新しく作成したグループのオプションとして、
  • [更新] -- 新しい情報または管理者 ECL から変更された情報でクライアント ECL を更新するには、次の操作を実行します。

クライアント ECL が管理者 ECL にない署名を一覧表示すると、その署名および設定はクライアント ECL と同じになります。

管理者 ECL が管理者クライアント ECL にない署名を一覧表示した場合、その署名および設定はクライアント ECL に追加されます。

クライアント ECL と管理者 ECL が同じ署名を一覧表示した場合は、クライアント ECL の署名の設定が削除され、管理者 ECL の署名の設定で置き換えられます。

  • [置換] -- 管理者 ECL でクライアント ECL を上書きします。クライアント ECL の情報は保持されません。
更新の頻度 新しく作成したグループのオプションとして、
  • [日に一度] -- クライアントがホームサーバーで認証を行うとき、ECL が最後に更新されてから 1 日経過している場合、または管理者 ECL が変更された場合、クライアント ECL を更新します。
  • [管理者 ECL を変更するとき] -- クライアントがホームサーバーで認証を行っていて、システム管理 ECL が最終更新された後に変更された場合、クライアント ECL を更新します。
  • [なし] -- 認証時にクライアント ECL の更新は行われません。

管理実行制御リスト (ECL) を管理する

このタスクについて

ドメイン内で最初のサーバーを設定するときに IBM Domino が作成するデフォルトのシステム管理 ECL は、後で組織に合わせてカスタマイズできます。複数のタイプの管理者 ECL を持つ必要がある場合があります。たとえば 1 つは請負業者用の管理者 ECL であり、1 つは常勤社員用の管理者 ECL です。[ワークステーションセキュリティ: Admin 実行制御リスト] ダイアログボックスを使用すると、作成した管理者 ECL を管理できます。また、このダイアログボックスを使用して、新規の管理者 ECL を作成したり、不要になった管理者 ECL を削除したりすることもできます。
注: [編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。

手順

  1. セキュリティ設定文書のツールバーで、[設定の編集] をクリックします。
  2. [管理] をクリックします。[ワークステーションセキュリティ: Admin 実行制御リスト] ダイアログボックスが表示されます。次のオプションから選択します。
    表 8. [ワークステーションセキュリティ: 実行制御リスト] のオプション
    フィールド アクション
    既存の管理 ECL を編集する
    • 編集する管理者 ECL の名前をリストボックスから選択し、[OK] をクリックします。選択した管理者 ECL の名前が、[実行制御リスト] タブの [管理者 ECL] フィールドに表示されます。
    • [編集] ボタンをクリックして、選択した管理者 ECL を開きます。
    新規の管理者 ECL を作成する
    • 新規の ECL の名前を [新規 Admin ECL の作成] フィールドに入力し、[OK] をクリックします。新規の管理者 ECL の名前が、[実行制御リスト] タブの [管理者 ECL] フィールドに表示されます。
    • [編集] ボタンをクリックして、新規の管理者 ECL を作成します。
    既存の管理 ECL を削除する
    • 削除する管理者 ECL の名前をリストボックスから選択し、[削除] をクリックします。
    • 選択した管理者 ECL が削除され、既存の管理者 ECL のリストが更新されます。

タスクの結果

管理者 ECL は、セキュリティ設定文書とは別に保存されます。管理 ECL を編集すると、その特定の名前の付いた管理者 ECL を参照しているすべてのセキュリティ設定文書で、その変更が使用されます。管理者 ECL を削除すると、その特定の管理者 ECL を参照しているすべてのセキュリティ設定文書で、デフォルトの管理者 ECL が使用されます。管理者 ECL を削除すると、[キャンセル] をクリックしてもその削除を元に戻すことはできません。

[キャンセル] をクリックしても、管理者 ECL の名前は変更されずに設定文書に表示されます。

キーロールオーバーを有効にする

このタスクについて

[キーと認証] タブのフィールドに必要な情報を入力し、ユーザーグループのキーロールオーバーを設定します。ユーザーのグループのキーロールオーバーを起動するトリガを指定します。このポリシーが適用されるユーザーグループのロールオーバープロセスを実行する場合、指定期間より間隔をあけることができるオプションがあります。

メールと文書の暗号化で AES を設定する方法の詳細については、関連トピックを参照してください。

手順

  1. [パブリックキー要求のデフォルト] フィールドで、親ポリシーと子ポリシーの設定を指定します。以下のいずれかを選択します。
    • パブリックキーの要件を親ポリシーから継承します。
    • パブリックキーの要件を子ポリシーで有効にします。
  2. [ユーザーのパブリックキーの要求] で、次のフィールドに必要な情報を設定します。
    表 9. ユーザーのパブリックキー要件
    フィールド アクション
    キー強度の許可 (最小)
    注: 指定したレベルより弱く押したキーは、ロールオーバーされます。
    • 制限なし (指定しないことも可能)
    • すべてのリリースで互換の最大値 (630 ビット)
    • Release 6 以降と互換 (1024 ビット)
    • 7.0 以降と互換 (2048 ビット)
    キー強度の許可 (最大)
    注: 指定したレベルより弱く押したキーは、ロールオーバーされます。
    • すべてのリリースで互換 (630 ビット)
    • Release 6 以降と互換 (1024 ビット)
    • 7.0 以降と互換 (2048 ビット)
    推奨するキー強度 新規キーの作成時に使用する優先キーの強さを選択します。
    • すべてのリリースで互換 (630 ビット)
    • Release 6 以降と互換 (1024 ビット)
    • 7.0 以降と互換 (2048 ビット)
    許容するキーの世代(最大) (日数) ロールオーバーが必要になるまでにキーが到達できる最長経過期間を指定します。デフォルトは 36500 日 (100 年) です。
    許容する最初のキー作成日 この日付より以前に作成されたキーはロールオーバーされます。
    指定した日数の経過後にすべてのユーザーに新規キーを生成して配布 セキュリティ設定ポリシー文書が適用されるすべてのユーザーに対し新規キーが作成される期間を指定します。ユーザーキーは、指定期間中不規則にロールオーバーされます。デフォルトは 180 日です。
    新規キーの作成後に古いキーが使用可能な日数の最大値 ネットワーク認証中に古いキーを使用できる期間を指定します。IBM Notes のキー照合時には、新旧すべての証明書とすべてのロールオーバーキーが 1 つのツリーにまとめられ、そのツリーが渡されて、キーを照合するためにチェーン化できる証明書セットが検索されます。有効期限が過ぎた証明書は、このチェーンの中では使用できません。キーが改ざんされている可能性に対応するためにキーをロールオーバーする場合、そのキーに発行された古い証明書を使用できる期間を短い値に設定することを推奨します。この設定の有効な値は 1 日から 36500 日で、デフォルトは 365 日です。
  3. 関連トピックにある「AES によるメールと文書の暗号化を設定する」トピックの情報を使用して、[文書とメールの暗号化設定] 内のフィールドに必要な情報を入力します。
  4. [認証期限の設定][警告周期] フィールドで、ユーザーが期限切れの警告メッセージを受け取る、認証の有効期限切れ前の日数を指定します。デフォルトは 0 です。
  5. [認証期限の設定][カスタム警告メッセージ] フィールドにおいて、証明書の有効期限が [警告周期] フィールドで指定した期限のしきい値を超えたユーザーに対して送信されるカスタム警告メッセージを入力します。

On-line Certificate Status Protocol (OCSP) チェックを有効にする

このタスクについて

Online Certificate Status Protocol (OCSP) を使用すると、識別された証明書の取り消し状態をアプリケーションで判別することができます。OCSP チェックは、S/MIME 署名検査中とメールの暗号化中に IBM Notes クライアントによって行われます。OCSP は、ポリシーで、セキュリティ設定文書の [キーと認証] タブの [OCSP のチェックを有効にする] 設定を使用することによって有効化されます。

信頼された相互認証をクライアントに適用する

このタスクについて

ユーザープロンプトを表示させずに、相互認証を作成することができます。[キーと認証] タブの [管理者の信頼のデフォルト] セクションを使用して、信頼されたインターネット証明書、インターネット相互認証、Notes 相互認証を Notes クライアントに適用します。クライアントに対して信頼された証明書を適用する (プッシュするという場合もあります) 方法の詳細については、関連トピックを参照してください。

署名付きプラグインのインストールを設定する

このタスクについて

プラグインは IBM Notes ユーザーに提供可能で、通常は証明書で署名されています。この証明書は、IBM Notes クライアントによって信頼されており、そのプラグインに含まれているデータが破損していないことを証明します。こうすることで、ユーザーは署名付きプラグインのインストールや更新を行うことができます。

場合によっては、プラグインに問題が発見されることもあります。このようなプラグインは、署名されていないか、信頼できる証明書で署名されていないか、証明書の有効期限が切れているか、まだ有効になっていないかのいずれかです。このような場合、ポリシーを設定して、これらのプラグインをインストールしないようにするか、常にインストールするか、コンピュータにプラグインをインストールするときにユーザーに決定させることができます。

Java SDK によって提供される jar signer ツールを使用して、プラグイン jar 署名にタイムスタンプを付けることにより、プラグイン署名の有効性を長期間にわたって確保することができます。Notes クライアントは、プラグインの JAR 署名に付いているタイムスタンプを使用して、プラグインによって署名された証明書が署名された時点で有効であったかどうかを判定します。プラグインによって署名された証明書が期限切れであっても署名の時点で有効であれば、IBM Notes は証明書を受け入れるため、プラグインのインストール中またはプロビジョニング中に、セキュリティプロンプトがユーザーに表示されることはありません。期限切れのタイムスタンプが付いた証明書で署名されたプラグインのインストールを許可するかどうかを制御するには、[署名付きプラグイン] タブにある [タイムスタンプ認証の期限を無視] 設定を使用します。デフォルトでは、インストールは許可されます。

表 10. [タイムスタンプ認証の期限を無視] の設定
フィールド アクション
期限切れのプラグインまたはまだ有効になっていないプラグインのインストール
  • ユーザーに確認
  • インストールしない
  • 常にインストール
署名されていないプラグインのインストール
  • ユーザーに確認
  • インストールしない
  • 常にインストール
認識できない認証者によって署名されたプラグインのインストール
  • ユーザーに確認
  • インストールしない
  • 常にインストール
プラグインによって署名された証明書を信頼する
  • ユーザーに確認
  • インストールの際に信頼しない
  • インストールの際に常に信頼する
タイムスタンプ認証の期限を無視
  • ユーザーに確認
  • インストールしない
  • 常にインストール

ポータルサーバー設定を定義する

このタスクについて

表 11. ポータルサーバー設定
フィールド アクション
ホームポータルサーバー Notes ユーザーアカウントをホストする HCL Digital Experience Server の名前を入力します。
認証 URL IBM Notes ユーザーがポータルサーバーで認証を受けるためにアクセスする必要のある URL を入力します。
認証の種類 新しく作成したグループのオプションとして、
  • J2EE-Form
  • HTTP -- Web ベースの認証用
注: [ID ボールト] タブおよび [プロキシ] タブについては、関連トピックを参照してください。