資格のトラッキング

Domino 12.0 では、個々のユーザーが Domino ドメイン全体で持っている最上位の資格を収集するための新しい内部メカニズムが提供されています。データベースの ACL に読者権限以上で表示されるユーザーがサーバーにアクセスする権限を持っている場合、その ユーザーは権利ユーザーと呼ばれます。

たとえば、Dana Smith/Renovations には、経費報告アプリケーション expenses.nsf への作成者アクセス権限があります。サーバーのアクセス許可セキュリティ設定では、サーバーへのアクセスに対する */Renovations 権限が許可されます。したがって、Dana Smith/Renovations は、作成者アクセス権限の資格を持つユーザーとみなされます。

約 1 日に 1 回、各 Domino 12 サーバーは、サーバー上のすべてのデータベースをスキャンし、資格を持つ各ユーザーの最上位のアクセス権を収集します。たとえば、サーバー A では次のようになります。
  • Dana Smith/Renovations には以下の権限があります。expenses.nsf の作成者アクセス権限、AcmeSales.nsf の読者権限、自身のメールファイルの編集アクセス権限、DanaSmith.nsf
  • Richard Smith/Renovations には以下の権限があります。expenses.nsf の作成者権限と AcmeSales.nsf の設計者権限。
  • Gary Smith/GS Consulting は、AcmeSales.nsf の読者権限を持っています。
スキャンが完了すると、サーバー A は次の情報を追跡します。
  • Dana Smith/Renovations は、彼女の最上位アクセス権限として編集者権限の資格を持つユーザーです。
  • Richard Smith/Renovations は、彼の最上位アクセス権限として設計者権限の資格を持つユーザーです。
  • Gary Smith/GS Consulting は、データベース ACL に読者権限が表示されていても、サーバーにアクセスできないため、資格を持つユーザーではありません。

サーバーが資格を追跡する方法

Domino インストーラーがテンプレートをインストールします。entitlementtrack.ntf. Domino サーバー更新タスクは、サーバーと連携してサーバー上の非表示のシステム・データベース entitlementtrack.ncf を作成および管理します。entitlementtrack.ncf にはサーバーの Domino ディレクトリー内のすべてのユーザーに対して、各ユーザーの最上位のアクセス・レベルを追跡するための文書があります。各文書には、ユーザーの最上位アクセス・レベルに加えて、このユーザーが最初に見つかったデータベースや、ユーザーに最上位アクセス・レベルが付与される方法などの裏付けとなる事実が含まれています。例: 「ユーザー Dana Smith/Renovations は、データベース DanaSmith.nsf に対する編集者アクセス権限を持っています」。または: 「ユーザー Richard Smith/Renovations は、このデータベースへの設計者アクセス権限を持つ AppDesigners グループのメンバーであるため、データベース AcmeSales.nsf での設計者アクセス権限を持っています」。

追跡対象者

次のユーザーが追跡されます。
  • ディレクトリー内の認証済みユーザー。認証で信頼されるすべてのディレクトリーのすべてのユーザーが追跡されます。Domino ディレクトリー内のすべてのユーザー、LDAP ディレクトリーで定義されているユーザー、またはその両方の組み合わせです。各サーバーは一意のディレクトリー構成を持つことができるため、各サーバーには一意のユーザー・セットを持つ場合があります。
  • ディレクトリーに存在しない認証済みユーザー。ディレクトリーに入っていないユーザーがサーバーに正常に接続し、データベースにアクセスした場合、追跡対象ユーザーの一覧に追加されます。この例として、HTTP 経由でサーバーにアクセスするクロス認定ユーザーがあります。
  • ディレクトリーにない ACL のユーザー。サーバーのセキュリティ設定が制限なしの場合 (「このサーバーへのアクセスを許可する」など)、データベース内のアクセス・レベルが限定されているユーザーは、資格を持つユーザーと見なされ、それに応じて追跡されます。

追跡対象外

次のエンティティーは追跡されません。
  • サーバー
  • 「サーバーへのアクセスを許可」リストに含まれていないか、「サーバーへのアクセスを許可しない」でアクセスが明示的に拒否されているためにサーバーにアクセスできないユーザー。
  • たとえば、Notes 証明書と HTTP パスワードを持たないユーザーの文書など、ルーティング目的のユーザー文書。

ユーザーが追跡されるタイミング

サーバーは、資格を持つユーザーを毎日スキャンしますが、ユーザー追跡文書は、その資格が変更された場合にのみ追跡データベースで更新されます。たとえば、Dana Smith/Renovations のメールファイルへのアクセスが編集者から管理者に変更された場合、次回のスキャンで彼女の追跡文書が更新され、資格の変更が反映されます。

グループ、ワイルドカード、-Default- アクセス

資格は個々のユーザー・レベルで追跡されますが、Domino 管理者は通常、Domino または LDAP グループとワイルドカードを使用してサーバーとデータベースへのユーザー・アクセスを制御します。資格コレクターは、グループまたはワイルドカードの権利を個々のユーザーのセットに伝えるために、「グループのグループ」または「ユーザーに一致するワイルドカード」を再帰的に展開します。グループとワイルドカードを使用すると、一連のユーザーに明示的に権限が付与されます。

一方、-Default-アクセスの使用は、-Default-アクセス設定プロジェクトが「他のすべての人」に伝わるため、暗黙のうちに多くのユーザーに権利を与えることができます。たとえば、5 人のメンバーを持つ RenovationsManagers グループがデータベースへの管理者アクセス権限を持ち、ユーザーの Richard Smith/Renovations が明示的な編集者アクセス権を持ち、-Default-アクセスが読者である場合、これらの 6 人のユーザー以外のサーバーにアクセスできるすべてのユーザーは読者権限を持ちます。サーバーが */Renovations のすべてのユーザーにサーバーへのアクセスを許可し、構成されたディレクトリーに 1,705 の Renovations ユーザーが存在する場合、この ACL のデフォルトは、1,700 人のユーザーに読者権限を許可します。一般に、-Default- アクセスは細心の注意を払って使用する必要があります。

注: Domino システム・データベースに付属の -Default- ACL エントリーがアクセスを許可している場合、そのエントリーは使用権とは見なされず、処理から除外されます。例えば、Domino ヘルプ・データベースには読者権限を許可する -Default- ACL エントリーが付属しているため、これらの -Default- ACL エントリーは処理から除外されます。

ドメイン・レベルでの資格を集約する

ドメイン内の各 Domino サーバーによって毎日収集される資格データは、ドメイン管理サーバー上のドメイン全体に対しても集計されます。ディレクトリー・カタログ・タスクは同期プロセスを管理し、各サーバーからの資格追跡データを結合して管理サーバー上の entitlements.nsf データベースに集約します。管理サーバーには、独自の資格追跡データベース (entitlementtrack.ncf) と、ドメイン内のすべてのサーバーの集約追跡情報 (entitlements.nsf) があります。管理サーバーは、ドメイン内の各ユーザーの最上位レベルのアクセスを識別し、特定のユーザーに対して最も高いアクセス・レベルを持つサーバーと、その他の情報 (ユーザーが資格を持つデータベースや資格が与えられる方法など) を格納します。
注: entitlements.nsf の「履歴」ビューには 、スナップショット ボタン が含まれています。このボタンをクリックすると、現在のデータに基づいて、アクセス・レベル別に現在の使用権の総数を要約した文書が生成されます。Domino はこの同じアクションを週に 1 回自動的に実行するため、使用権の変更の履歴が記録されます。

権利情報の使用方法

Domino の顧客が環境を監視できるように、資格情報が収集されます。このデータは、HCL によって収集されるものではなく、サーバーのアクセスを制御するために使用されるものではありません。HCL から提供を求められる情報は、アクセス・レベル別の資格の合計数を含む「資格レポート」だけです。例:
Entitlement Summary for 3/10/2010
	Manager         13
	Designer         7
	Editor         234
	Author        1200
	Reader        2400
	==================
	Total	    3834

この情報の使用方法

資格の概要の情報は、アクセス・レベルが異なるユーザー数と、これらの数に影響を与えているサーバー、データベース、ACL、アクセス許可を理解するうえで非常に役立ちます。デフォルトでは、これらのデータベースは LocalDomainAdmins にアクセス制限されていますが、これはデータであるため、次の注意事項に適合する任意の方法でアクセスを管理できます。
  • HCL サポートから指示がない限り、資格コレクター・データベースまたはコレクター要約データベースは削除しないでください。
  • 設計を変更したり、テンプレートを変更したりしないでください。
  • データベースと収集サービスは「そのまま」提供され、データベースの構造とデータ収集プロセスは、製品の後続のリリースで HCL によって変更できます。