ホーム
保護
このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
SSL セキュリティー
SSL (Secure Sockets Layer) は、TCP/IP プロトコル経由で実行する Domino® サーバータスクの通信上の機密性を保護し、認証を行うためのセキュリティプロトコルです。
Domino® サーバーで SSL を設定する
Domino® サーバーで SSL を設定し、サーバーに接続するクライアントとサーバーが SSL を使用してネットワーク上でのプライバシーと認証を確保できるようにします。SSL は、プロトコルごとに設定します。たとえば、メールプロトコル (IMAP、POP3、SMTP など) では SSL を使用し、他のプロトコルでは使用しないように設定できます。
SSL を使用できるようにポートを設定する
サーバー認証だけを使用するようにポートを設定することも、サーバー認証とクライアント認証の両方を使用するようにポートを設定することもできます。

保護
このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
- Domino のセキュリティの概要
  組織のセキュリティを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- SSL セキュリティー
  SSL (Secure Sockets Layer) は、TCP/IP プロトコル経由で実行する Domino® サーバータスクの通信上の機密性を保護し、認証を行うためのセキュリティプロトコルです。
  - Domino® サーバーで SSL を設定する
    Domino® サーバーで SSL を設定し、サーバーに接続するクライアントとサーバーが SSL を使用してネットワーク上でのプライバシーと認証を確保できるようにします。SSL は、プロトコルごとに設定します。たとえば、メールプロトコル (IMAP、POP3、SMTP など) では SSL を使用し、他のプロトコルでは使用しないように設定できます。
    - 自己署名証明書またはサードパーティの証明書を使用してキーリングファイルを作成する
      サーバーで SSL を設定する場合は、インターネット認証機関から取得したサーバー証明書が含まれるキーリングが必要です。
    - SSL ポートの設定
      SSL プロトコルでは、暗号化されて整合性チェックが行われる通信チャネルと認証済みサーバー ID が常に提供されます。SSL サーバーを設定して、さまざまな形式のクライアント ID 認証を要求することもできます。
    - SSL を使用できるようにポートを設定する
      サーバー認証だけを使用するようにポートを設定することも、サーバー認証とクライアント認証の両方を使用するようにポートを設定することもできます。
    - サーバーに SSL 接続を要求する
      クライアントが保護された接続を使用してサーバーのデータベースにアクセスするようにしたい場合は、SSL 接続を要求します。その場合は、TCP/IP ポートを介して受信した接続要求を SSL ポートにリダイレクトします。SSL 接続を要求しない場合、クライアントは SSL か TCP/IP のどちらかを使用してサーバーに接続できます。
  - SSL クライアントのデータベースへのアクセス権を設定する
    Domino® サーバーで SSL を設定したら、サーバーのデータベースへのアクセス権をクライアントに与える必要があります。
  - サーバー証明書と認証要求を管理する
    管理者は、証明書のライフサイクルを管理する際にさまざまなタスクを実行します。このトピックでは、このプロセスについて概説するとともに、証明書の表示方法、キーリングファイルのパスワードの変更方法、認証機関の信頼されたルートの指定方法、認証要求の表示方法、期限切れ証明書の更新方法に関する追加情報へのリンクも示します。
  - SSL 証明書をテストするために自己認証証明書を作成する
    自己認証の証明書を作成して、組織の認証手順をテストすることができます。この証明書は、CA によって認証されていないため、テスト以外の目的では使用しないでください。
  - サーバー間 SSL 用のインターネット相互認証を作成する
    信頼性の確立を目的として、あるサーバーが別のサーバーからインターネット相互認証を取得することができます。たとえばサーバーが別のサーバーのディレクトリアシスタントにアクセスする必要がある場合などです。
  - SSL 暗号に関する制限を変更する
    SSL では、パブリックキー、プライベートキー、セッションで決定するセッションキーが使用されます。どの SSL 証明書でも、SSL 証明書の生成時に作成されるプライベートキーとパブリックキーのペアが存在します。それらのキーは、証明書の所有者がネットワーク上で自分自身を識別したり、S/MIME を使用してメッセージを暗号化したり、メッセージに署名することを可能にします。証明書には、パブリックキーだけが含まれます。プライベートキーは、Notes® クライアントの ID ファイルに格納されます。SSL サーバーの場合は、キーリングに格納されます。
  - 2 次 Domino® ディレクトリと LDAP ディレクトリで Web SSL クライアントを認証する
    サーバーで Web クライアント認証を行う場合、デフォルトでは、1 次 HCLDomino® ディレクトリがチェックされ、クライアント証明書がユーザー文書にあるかどうか確認されます。クライアント証明書の確認に 2 次 Domino ディレクトリや LDAP ディレクトリを使用する場合は、これらのディレクトリもチェックするように Domino を設定できます。これには、2 次 Domino ディレクトリと LDAP ディレクトリをディレクトリアシスタントデータベースで信頼されたドメインとして設定します。
  - SSL セッションの再開
    SSL セッションの再開を利用すると、SSL 使用時のパフォーマンスが大幅に改善されます。直前の成功した SSL セッションのネゴシエーションの情報を再度呼び出すことによって、SSL セッションキーのネゴシエーションという最も負荷のかかる部分をバイパスできるからです。HTTP は SSL セッションの再開によって最も恩恵を受けるプロトコルですが、他のインターネットプロトコルにもメリットがあります。
- クライアントの SSL と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、SSL と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- 資格情報ストアを使用して資格情報を共有する
  このリリースでは、オンプレミス Domino® サーバーは資格情報ストアアプリケーション (credstore.nsf) を使用できます。資格情報ストアとは、IBM Notes® クライアントユーザーが OAuth (Open Authorization) プロトコルを使用するアプリケーションへのアクセスを許可するために必要な文書暗号キーやその他のトークンのためのセキュアなリポジトリです。OAuth はユーザーの資格情報を OAuth 準拠のアプリケーションで共有できるようにすることで、余分なパスワード入力を排除します。

SSL を使用できるようにポートを設定する

サーバー認証だけを使用するようにポートを設定することも、サーバー認証とクライアント認証の両方を使用するようにポートを設定することもできます。

このタスクについて

インターネットサイト文書を使用する場合は、関連情報にある、インターネットサイト文書のセキュリティの設定に関するトピックを参照してください。

手順

HCLDomino® Administrator から、[設定] > [サーバー] をクリックしてサーバー文書を開きます。
[ポート] > [インターネットポート] タブをクリックします。

以下のフィールドに入力します。

表 1. [インターネットポート] フィールド
フィールド	Enter
SSL キーファイル名	サーバーが使用するサーバーキーリングファイルのファイル名。注: Domino® は、IIOP ではこのフィールドを使用しません。IIOP は別のキーリングファイルを使用します。IIOP キーリングファイルのファイル名は変更できません。
SSL プロトコルのバージョン	新しく作成したグループのオプションとして、 [V2.0 のみ] - SSL 2.0 の接続だけを許可します。 [V3.0 ハンドシェーク] - SSL 3.0 の接続を試行します。この試行が失敗し、リクエスタが SSL 2.0 を検出した場合は、SSL 2.0 による接続が試行されます。 [V3.0 のみ] - SSL 3.0 の接続だけを許可します。 [V3.0 と V2.0 ハンドシェーク] - SSL 2.0 ハンドシェークに続いて、SSL 3.0 の接続を試行します。関連エラーメッセージが表示されます。SSL 3.0 の接続が可能な場合は、SSL 3.0 で接続します。 [セッションで決定する] (デフォルト) - SSL 3.0 の接続を試行します。この試行が失敗した場合、サーバーは SSL 2.0 を試行します。プロトコルのバージョンに互換性がないことに起因する接続問題が発生していない場合に、この設定を使用してください。注: Domino® では、HTTP でこのフィールドは使用されません。
SSL サイトの証明書を受け入れる	新しく作成したグループのオプションとして、 [はい] - Domino® サーバーがインターネットサーバーと共通の証明書を持っていない場合でも、このサーバーがサイト証明書を受理し、SSL を使用してインターネットサーバーにアクセスできるようになります。 [いいえ] - このサーバーがサイト証明書を受理することを禁止します。
期限切れの SSL 証明書を受け入れる	新しく作成したグループのオプションとして、 [はい] - クライアント証明書の有効期限が過ぎている場合でも、クライアントがサーバーにアクセスできるようになります。 [いいえ] - 期限切れのクライアント証明書を使用してサーバーにアクセスできなくなります。

設定したいプロトコルのタブをクリックし、次のフィールドに必要な情報を設定します。

表 2. [プロトコル] フィールド
フィールド	Enter
SSL ポート番号	Domino® が SSL 要求を待機するポート番号を入力します。[インターネットサイト] ビューを使用している場合でも、[Web 設定] ビューを使用している場合でも、この値はここで設定します。注: デフォルトのポート番号を変更すると、クライアントの設定も変更しなければなりません。通常、デフォルトのポート番号を変更するのは、予約ポート番号をファイアウォールプロキシが使用している場合だけです。
SSL ポートステータス	ポートで SSL 接続を使用できるようにするには [有効] を選択します。[インターネットサイト] ビューを使用している場合でも、[Web 設定] ビューを使用している場合でも、この値はここで設定します。注: Domino® サーバーは、SMTP サーバーにも SMTP クライアントにもなりますから、[SSL ポートステータス] フィールドで、2 つのオプションのいずれも選択できます。Domino® サーバーを、SSL が使用できる SMTP サーバーとして設定するには、[メール] タブの [メール (SMTP インバウンド)] フィールドで [有効] を選択します。
クライアント認証	新しく作成したグループのオプションとして、 [いいえ] - クライアント認証を使用しません。 [はい] - クライアント認証を使用します。注: SMTP と IIOP は、クライアント認証をサポートしていません
名前とパスワード	新しく作成したグループのオプションとして、 [いいえ] - 名前とパスワードによる認証を使用しません。 [はい] - 名前とパスワードによる認証を使用します。
匿名	新しく作成したグループのオプションとして、 [はい] - 匿名アクセスを許可します。サーバー認証だけを使用してユーザーに接続させる場合は、[はい] を選択しなければなりません。 [いいえ] - 匿名アクセスを禁止します。 [匿名] と [クライアント認証] の両方に [はい] を選択した場合、Domino® では最初にクライアントの認証が試行されます。これも失敗すると、Domino® では匿名接続が試行されます。 [匿名]、[クライアント認証]、[名前とパスワード] で [はい] を選択すると、Domino® では最初にクライアント証明書を使用してクライアントの認証が試行されます。これが失敗すると、Domino® では名前とパスワードによる認証が試行されます。これも失敗すると、Domino® では匿名接続が試行されます。名前の検索を実行できるように、LDAP では匿名 SSL 接続を許可するように設定する必要があります。 IMAP、POP3、SMTP では、匿名アクセスをサポートしていません。