Domino® ディレクトリを使用して Domino® ユーザーを管理する場合のユーザー名マッピングの設定

主に Domino® ディレクトリを使用して HCL Domino® のユーザー情報を管理する場合は、ここで説明する手順を実行して、Windows シングルサインオン環境のユーザー名のマッピングを設定します。IBM® Tivoli® Directory Integrator などのディレクトリ同期ツールを使用すると、必要な Active Directory 情報を Domino® に取り込むことができます。

このタスクについて

IBM® Tivoli® Access Manager WebSEAL リバースプロキシまたは IBM® WebSphere® DataPower® セキュリティゲートウェイなどのアプリケーションを使用して Domino® へのインターネットアクセスを管理している場合は、Domino® のユーザー文書ではなくユーザーの Active Directory レコードに対してインターネットユーザーを認証するようにアプリケーションを設定できます。この場合には、以下のようになります。
  • 手順 1 の Domino® ユーザー文書の [インターネットパスワード (HTTP Password)] フィールドでのパスワードの指定はオプションです。Web クライアントへの Windows シングルサインオンも IBM® アプリケーションが管理するインターネット認証も、このフィールドは使用しません。
  • アプリケーションがユーザーに代わって LTPA トークンを常に作成する場合、手順 1 と手順 2 での [LTPA ユーザー名] フィールドの入力はオプションです。

手順

  1. 参加する Web ユーザーのユーザー文書 (Domino® ディレクトリ内) を次のように編集します。
    1. Web ユーザーのユーザー文書の編集

    Tab

    フィールド

    コメント

    基本

    ユーザー名

    (FullName)

    2 つの部分から構成される Active Directory ログオン名
    • ユーザーの Active Directory アカウントのユーザーインターフェースに表示されるログオン名を指定します。
    • 3 番目以降の名前をこのフィールドに指定します。
    • 先頭部分の名前は、Active Directory での表記と正確に一致するように大文字と小文字を区別します。2 番目の名前は、Active Directory の表記にかかわらず常に大文字で指定します。

    例: bzechman@AD1.SUBNET2.RENOVATIONS.COM

    • [krbPrincipalName] フィールドにもオプションで名前を追加することができます。
    • このユーザー文書を Active Directory の Kerberos ID にリンクする際に使用されます。

    基本

    ユーザー名 (FullName)

    Active Directory でのユーザー識別名

    • Active Directory に対してユーザーを認証する IBM® WebSphere® SSO サーバーが存在する場合のみ必要です。この場合、ユーザーの LTPA トークンにはユーザーの Active Directory 名が定義されます。
    • このフィールドに既に定義されている名前の後に、この名前を追加します。
    • Active Directory で使用されている名前と同じ値になるよう、大文字と小文字を正確に区別する必要があります。
    • Active Directory 名の区切り文字には、LDAP で使用するカンマ (,) ではなく、HCL Notes® のスラッシュ (/) を使用してください。次に例を示します。 
    uid=bzechman/ou=marketing/dc=renovations/dc=com

    次のようなスラッシュは使用しません。

    uid=bzechman,ou=marketing,dc=renovations,dc=com
    • SSO LTPA トークンの Active Directory 識別名を Notes® 識別名にマッピングする場合に使用されます。これにより、Domino® のリソースにアクセスするユーザーが判別されます。

    基本

    インターネットパスワード (HTTPPassword)

    		 password-hash
    • Domino® でディレクトリアシスタントを使用して Active Directory サーバーに接続する場合、Active Directory のユーザーパスワードとは異なる値をこのパスワードに指定する必要があります。
    • Windows シングルサインオンが使用できない場合、Domino® を有効にして Domino® ディレクトリのユーザーパスワードが検証されます。

    管理 (クライアント情報セクション)

    Active Directory (Kerberos) ログオン名

    (krbPrincipalName)

    2 つの部分から構成される Active Directory ログオン名
    • このフィールドはオプションです。
    • ユーザーの Active Directory アカウントのユーザーインターフェースに表示されるログオン名を指定します。
    • この名前の詳細については、この表の最初の行を参照してください。
    • このフィールドを指定した場合、次の設定をサーバーの NOTES.INI ファイルに追加して、Domino® ディレクトリ内のこのフィールドまたはディレクトリアシスタント経由でアクセスする 2 次ディレクトリで見つかった値を有効にする必要があります。 
    WIDE_SEARCH_FOR_KERBEROS_NAMES=1
    • このフィールドを指定した場合、Domino® ディレクトリの全文索引を作成してこのフィールドの検索を最適化する必要があります。

    管理 (クライアント情報セクション)

    LTPA ユーザー名

    Active Directory でのユーザー識別名
    • Active Directory に対してユーザーを認証する IBM® WebSphere® SSO サーバーが存在する場合のみ必要です。この場合、ユーザーの LTPA トークンにはユーザーの Active Directory 名が定義されます。
    • SSO LTPA トークンの Active Directory 識別名を Notes® 識別名にマッピングする場合に使用されます。これにより、Domino® のリソースにアクセスするユーザーが判別されます。
  2. 一部の SSO サーバーによって Active Directory に対するユーザー認証を行っている場合、Web SSO 設定文書の設定を次のように指定します。
    2. Web SSO 設定

    Tab

    フィールド

    コメント

    基本 - トークン設定

    LTPA トークンのマップ名

    有効
    • Active Directory に対してユーザー認証を行うサーバーの SSO 動作が適切であることを確認します。