データベースへのユーザーアクセスを管理する

ユーザーは、クラスタにあるデータベースのすべてのレプリカで同じアクセス権を持っている必要があります。同じアクセス権を持っていないと、アクセス権の低いレプリカにフェイルオーバーしたときに、アクセスを拒否される、使用していた元のデータベースにあるものと同じ文書を参照できない、同じ機能を実行できないといった不具合が発生します。

クラスタにデータベース ACL を設定する

このタスクについて

アクセス制御リストをすべてのレプリカで確実に同期するために、各データベースで次の手順を実行します。

手順

  1. Domino® Administrator または Web サーバー管理クライアントのサーバーペインで、[すべてのサーバー] または [クラスタ] を展開します。
  2. 目的のデータベースのレプリカを含み、クラスタにある他のレプリカの ACL で [管理者] のアクセス権を持つサーバーを選択します。
  3. [ファイル] タブをクリックします。
  4. 以下のいずれかを実行します。
    • Domino® Administrator または Web サーバー管理クライアントのタスクペインで、目的のデータベースを含むフォルダまたはビューを選択します。
    • Domino® Administrator の場合は、タスクペインで [Cluster Directory] を展開して目的のビューを選択します。
  5. 結果ペインで、目的のデータベースを選択します。
  6. ツールペインで、[データベース] を展開し、[ACL の管理] をクリックします。
  7. [詳細] アイコンをクリックします。
  8. [このデータベースのレプリカはすべての共通のアクセス制御リストを用いる] を選択して、[OK] をクリックします。

タスクの結果

この設定により、すべてのレプリカで ACL が一致し、サーバーまたはクライアントでレプリカにローカルでアクセスするときはこの ACL が強制的に使用されます。

ACL がすべてのレプリカで一致するように設定するもう 1 つの方法として、クラスタにあるすべてのデータベースにアクセスできる「管理者」権限をクラスタにあるすべてのサーバーに割り当てます。これによって、すべてのサーバーはすべてのデータベースの ACL を更新できるようになります。

すべてのデータベースにアクセスできる「管理者」権限をクラスタに割り当てると、クラスタのすべてのサーバーを含むグループ文書を Domino® ディレクトリに作成できます。さらに、このグループを各データベースの ACL に追加して、ユーザータイプとして [サーバーグループ] を選択し、そのグループに「管理者」アクセス権を割り当てます。

レプリカ間ですべてのデータを複製できるように、クラスタサーバーに適切なアクセス権を割り当てる必要があります。あるレプリカの制限がすべてのレプリカに設定されていないと、フェイルオーバーが発生したとき、ユーザーが使用できないデータが発生します。したがって、サーバーは「管理者」アクセス権を持っているだけでなく、すべてが制限なく同じデータを複製できる必要があります。

個人フォルダの複製は、クラスタ内部とクラスタ外部では異なる方法で実行されます。クラスタ外部では、個人フォルダとその内容はサーバー間の複製では複製されませんが、クラスタ - サーバー間の複製では複製されます。しかし、クラスタ内部では、個人フォルダはサーバー間で複製されるため、ユーザーは別のレプリカにフェイルオーバーしても、自分の個人フォルダにアクセスできます。クラスタ内のサーバー間で個人フォルダを確実に複製するには、ACL でサーバーのユーザータイプを [サーバー] または [サーバーグループ] に設定します。

データベースアクセスを制限するその他の設定を制御する

このタスクについて

データベースアクセスを制限するには、ACL 以外にもいくつか方法があります。完全な複製が実行され、フェイルオーバーがユーザーに気付かれずに行われるように、これらの設定はすべてのデータベース間で一致している必要があります。これには次のような設定があります。

  • サーバー制限 (Domino® ディレクトリ内の許可リストと拒否リストなど)
  • データベースとディレクトリリンク内のアクセスリスト
  • 文書、ビュー、フォルダなどにある読者リスト

たとえば、クラスタ内のサーバーに、アクセスリストを持つデータベースリンクやディレクトリリンクがある場合は、そのクラスタサーバーがそのアクセスリストに含まれていることを確認してください。アクセスリストに含まれていないと、ACL に「管理者」アクセス権が設定されていても、そのデータベースやディレクトリにアクセスできず、データベースとの複製を実行できません。

データベース内の文書に [読者] フィールドが設定されている場合は、クラスタサーバーが [読者] フィールドにリストされている必要があります。リストされていないと、そのサーバーはその文書にアクセスできず、複製することもできません。フォルダまたはビューに [読者] フィールドがある場合も同じです。[読者] フィールドはネットワーク管理者ではなく、データベース設計者によって管理されることが多いため、ネットワーク管理者はこの問題についてデータベース設計者と情報交換しておく必要があります。