リモート LDAP ディレクトリで Notes 識別名を使用する

組織でユーザーを Domino® ディレクトリからリモート LDAP ディレクトリに移行する場合に、この機能を使用すると、ユーザーは元の Notes® 識別名を引き続き使用できます。また、この機能は、複雑な LDAP 識別名をユーザーに意識させない方法としても有用です。

このタスクについて

リモート LDAP ディレクトリに対してディレクトリアシスタントを設定すると、Domino サーバーで以下の処理ができるようになります。

  • LDAP 識別名ではなく Notes 識別名を使用してインターネットクライアントを認証する。
  • データベースアクセス認証のために、データベース ACL にある Notes 識別名と、データベース ACL で使用されているグループにある Notes 識別名を受け入れる。

この機能を設定するには、まず、Notes 名を格納する属性を LDAP ディレクトリのユーザーエントリに追加し、その属性値として Notes 識別名を追加します。次に、LDAP ディレクトリのディレクトリアシスタント文書で、Notes 名に使用する属性を指定します。

この機能を設定しておけば、クライアントはその Notes 識別名でも元の LDAP 識別名でも認証を受けることができます。データベースの ACL、サーバー文書のアクセス制御フィールド、アクセス制御グループ、Web サーバーのファイル保護文書で使用できるのは、Notes 識別名のみです。

手順

  1. Notes 識別名を LDAP ディレクトリに追加するには、リモート LDAP ディレクトリで、LDAP ディレクトリのユーザーエントリに Notes 名の値を格納するための属性を選択します。この属性の構文は、DN であることが必要です。この属性として、新しい属性を作成することも、既にスキーマで定義されている既存の属性を使用することもできます。
  2. 選択した属性値に Notes 名を指定して、リモート LDAP ディレクトリのユーザーエントリに追加します。
    • Domino には、名前を追加するためのツールが用意されていません。使用可能なツールを使用してください。
    • Notes 名の値に LDAP フォーマットを使用します。たとえば、cn=John Doe,o=Renovations とします。John Doe/Renovations や cn=John Doe/o=Renovations とはしません。
    • 使用する識別名の値に制限はありませんが、セキュリティを高めるために、複数の部分から成る識別名をお勧めします。
  3. Notes 識別名を使用するようにディレクトリアシスタントを設定します。
    1. LDAP ディレクトリのディレクトリアシスタント文書を作成していない場合は、作成します。
    2. ディレクトリアシスタント文書の [LDAP] タブの [Notes の識別名で使う属性] フィールドに、Notes 名を格納するために LDAP ディレクトリで使用する属性の名前を追加します。
    3. ディレクトリアシスタント文書の [名前付けのコンテキスト (ルール)] タブで、Notes 識別名および LDAP 識別名と一致する [資格情報を信用] の規則があることを確認します。すべてをアスタリスクとする信頼される規則を使用せず、Notes 名および LDAP 名に別の名前階層を使用する場合は、各階層に該当する信頼される規則を設定します。
    4. ディレクトリアシスタント文書を保存します。
  4. 必要に応じて、データベースの ACL、サーバー文書のアクセス制御フィールド、アクセス制御グループ、Web サーバーのファイル保護文書に Notes 識別名を追加します。この名前には Notes 形式を使用して、例えば、John Doe/Renovations や cn=John Doe/o=Renovations とします。cn=John Doe,o=Renovations のような LDAP 形式は使用しないでください。

タスクの結果

注: この機能を有効にしていても、Notes 識別名属性の値を持たないユーザーエントリが LDAP ディレクトリにある場合、そのユーザーが認証を受けるにはその LDAP 識別名を指定する必要があります。また、Domino データベースの ACL などのアクセス制御リストでは、LDAP 識別名を使用する必要があります。

リモート LDAP ディレクトリでの Notes 識別名の使用例

このタスクについて

Renovations 社では、あるユーザーの識別名として LDAP 識別名 uid=675894,ou=boston,o=airius.com をリモート LDAP ディレクトリで使用しています。Renovations では同じユーザーに対して、Notes データベースの ACL とデータベース ACL で使用されているグループでは、Jack Johnson/Boston/Renovations という名前を使用しています。Domino サーバーは、ディレクトリアシスタントを使用して、クライアント認証に使用するユーザー資格情報をリモート LDAP ディレクトリで検索します。

Renovations の管理者は、以下を実行して、クライアント認証およびデータベースアクセス制御に Notes 識別名を使用するように設定します。

手順

  1. リモート LDAP ディレクトリで、uid=675894,ou=boston,o=airius のユーザーエントリに notesname という属性を追加し、その属性に値 cn=Jack Johnson,ou=Boston,o=Renovations を指定します。
  2. LDAP ディレクトリのディレクトリアシスタント文書にある [LDAP] タブで、[Notes の識別名で使う属性] フィールドに属性 notesname を追加します。
  3. ディレクトリアシスタント文書の [名前付けのコンテキスト (ルール)] タブで、すべてをアスタリスクとする信頼される規則を指定します。

タスクの結果

このユーザーは、以下のどちらの名前をクライアントログオン名に使用しても認証を受けることができます。

  • cn=Jack Johnson/ou=Boston/o=Renovations
  • cn=Jack Johnson,ou=Boston,o=Renovations
  • Jack Johnson/Boston/Renovations
  • uid=675894,ou=boston,o=airius
  • 675894

Jack Johnson/Boston/Renovations という Notes 名は、データベース ACL とグループで使用されます。