リモート LDAP ディレクトリのディレクトリアシスタント文書を作成する

リモート LDAP ディレクトリに対してディレクトリアシスタントを設定するには、[ディレクトリアシスタント] データベース内に、そのディレクトリのディレクトリアシスタント文書を作成します。

始める前に

ディレクトリアシスタントのサービスと概念について、事前に理解しておくようにしてください。

[ディレクトリアシスタント] データベースの作成および複製、さらに、それを使用するためのサーバーの設定を完了していることを確認してください。

手順

  1. LDAP サービスの参照以外の用途でリモート LDAP ディレクトリを使用している場合は、TCP/IP ping ユーティリティを使用して、LDAP ディレクトリを使用する HCL Domino® サーバーがリモート LDAP ディレクトリサーバーに接続できるかどうかをテストします。
  2. Domino® Administrator で [ファイル] > [サーバーを開く] を選択し、[ディレクトリーアシスタント] データベースを使用するように設定したサーバーを選択してから、[OK] をクリックします。
  3. [設定] タブをクリックします。
  4. ナビゲーションペインで [ディレクトリー] > [ディレクトリーアシスタント] を展開します。「Server Error: File does not exist」というメッセージが表示された場合は、手順 2 で選択したサーバーが [ディレクトリアシスタント] データベースを使用するように設定されていません。
  5. [ディレクトリアシスタントの追加] をクリックします。
  6. [基本] タブで、以下のフィールドに入力します。
    1. [基本] タブ

    フィールド

    Enter
    基本セクション

    ドメインタイプ

    [LDAP] を選択します。

    ドメイン名

    [ディレクトリアシスタント] データベース内の他のディレクトリアシスタント文書 (HCL Notes® または LDAP) に対して指定されているドメイン名と異なるドメイン名を選択します。ディレクトリアシスタントおよびドメイン名の設定の詳細については、関連トピックを参照してください。

    会社名

    このディレクトリに関連する会社名。複数のディレクトリアシスタント文書で同じ会社名を使用できます。

    検索順

    サーバーがこのディレクトリを検索する順序または LDAP クライアントからこのディレクトリを参照する順序を表す数。[ディレクトリアシスタント] データベースで設定されている他のディレクトリからの相対値です。命名規則をディレクトリ検索順序と関連付ける方法の詳細については、関連トピックを参照してください。

    このドメインを利用可能にする先

    次のいずれか、両方を選択します。

    • Notes クライアントとインターネットの認証/許可 - HCL Notes® メールのアドレス指定、インターネットクライアント認証 (LDAP クライアント認証を含む) 用のこの LDAP ディレクトリを使用するか、データベース認証用のグループのメンバーを検索します。グループの認証の場合は、[グループの許可] も有効にする必要があります。
    • LDAP クライアント - LDAP 検索が Domino® ディレクトリで成功しないときに、LDAP サービスを実行するサーバーがこの LDAP ディレクトリに対して LDAP クライアントを参照できるようにします。

    グループの許可

    新しく作成したグループのオプションとして、

    • データベースアクセスを認証するときにこの LDAP ディレクトリにあるグループメンバーを検索する場合は、[はい]。[はい] は、[ディレクトリアシスタント] データベースで設定されているいずれか 1 つのディレクトリ (Notes® または LDAP) についてのみ選択します。
    • データベースアクセスを認証するときにディレクトリにあるグループメンバーを検索しない場合は、[いいえ] (デフォルト)。

    [資格情報を信用] の規則を有効化する必要はありません。

    [はい] を選択した場合は、表示される [入れ子になったグループへの追加] フィールドで次のいずれかを選択します。

    • ネストされたグループ (データベース ACL にリストされているグループのメンバーであるグループ) を検索する場合は、[はい] (デフォルト)。
    • データベース ACL にリストされているグループのメンバーのみを検索し、それらのグループにネストされているグループのメンバーを検索しない場合は、[いいえ]

    グループ認証の詳細については、関連トピックを参照してください。

    グループの認可または資格情報の認証専用に使用する
    注: この項目は、このディレクトリに対して [グループの許可] が有効になっている場合、または 1 つ以上のルールが [信頼済み] で有効になっている場合にのみ表示されます。

    [はい] を選択すると、このディレクトリがグループの許可処理と資格情報の認証処理の専用ディレクトリとして使用されます。このオプションを有効にすると、このディレクトリに対する認証以外の検索数を最小限に抑えることができます。

    ディレクトリを認証の検索専用に制限する方法の詳細については、関連トピックを参照してください。

    有効

    この LDAP ディレクトリに対してディレクトリアシスタントを有効にする場合は、[はい] を選択します。

    注: ディレクトリアシスタントデータベースのデータベースメインビューから、このディレクトリに対してディレクトリアシスタントを有効または無効にすることもできます。ディレクトリに対するディレクトリアシスタントレコードを選択し、ツールバーで [有効] または [無効] をクリックします。

    SSO トークン内の名前で使う属性 (Notes® LTPA_UserNm にマップ)

    LTPA_UserNm フィールドが要求された場合に返されるディレクトリ属性の名前を入力します。この値は、Domino® が生成する SSO トークンでユーザー名として使用されます。

    シングルサインオンで使用される LTPA トークンの名前マッピングの詳細については、関連トピックを参照してください。
    SSO 設定セクション
    Windows シングルサインオン (Web クライアント用)

    サーバーで SSO が使用可能な場合、および [LDAP] タブの (新規) フィールド [LDAP ベンダー][Active Directory] に設定されている場合は、このチェックボックスがデフォルトでオンになっています。

    Domino® は、この設定を使用して、ユーザーの Active Directory (Kerberos) ログオン名を検索することができます。
    Kerberos レルム

    大文字のみを使用して Active Directory ドメイン名を入力します。この名前は、[LDAP] タブのドメイン名に一致している必要があります。

    例: AD.RENOVATIONS.COM
  7. [名前付けのコンテキスト (ルール)] タブで、ディレクトリに対して定義する各規則について、次のフィールドに必要な情報を設定します。デフォルトでは、すべてをアスタリスクにする規則が有効であり、[資格情報を信用][いいえ] に設定されています。
    2. [名前付けのコンテキスト (ルール)] タブ

    フィールド

    Enter

    N.C #

    LDAP ディレクトリにあるユーザー名を表す命名コンテキスト (規則) を入力します。ディレクトリアシスタントおよび命名規則の詳細については、関連トピックを参照してください。

    有効

    新しく作成したグループのオプションとして、

    • 規則を使用可能にする場合は、[はい]
    • 規則を使用不可にする場合は、[いいえ] (デフォルト)

    資格情報を信用

    新しく作成したグループのオプションとして、

    • 規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、この LDAP ディレクトリにある資格情報をサーバーが使用できるようにする場合は、[はい]
    • 規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、サーバーがこのディレクトリを使用しないようにする場合は、[いいえ] (デフォルト)。

    信頼済みの命名規則の詳細については、関連トピックを参照してください。
  8. [LDAP] タブで、LDAP 設定ウィザードを使用して、フィールドに必要な情報を設定します。
    ディレクトリアシスタントを外部 LDAP サーバーと問題なく効果的に通信できるよう設定するには、管理者は LDAP と外部 LDAP サーバーのスキーマおよび設計をよく理解している必要があるため、難しく感じられるかもしれません。このタブにはウィザードの機能があり、管理者がディレクトリアシスタントの LDAP 設定文書を作成するのに役立ちます。このタブには、あらかじめ入力されているフィールドもあるため、管理者が必要な情報を見つけたり確認したりする作業が容易になります。
    • [候補] または [確認] をクリックすると、1 つ以上のエージェントが Domino® サーバーで実行され、多くの場合、LDAP サーバーとの通信が開始されます。設定するディレクトリアシスタントのデータベースがローカルのレプリカではなく、サーバー上で実行されていることを前提としています。
    • [候補] をクリックするとダイアログボックスが表示され、管理者はここで [開始] をクリックすることで推奨値を表示することができます。この推奨値はリストボックス内に設定されます。推奨値を選択する場合は [OK] をクリックします。キャンセルすることもできます。選択された値は、ディレクトリアシスタント文書内に自動的にコピーされます。この方法は、最初にディレクトリアシスタントのレコードを設定する場合に便利です。
    • [確認] をクリックすると、管理者が現在の設定が正しく機能しているかどうかを確認することができるダイアログボックスが表示されます。このダイアログボックスは、現在の設定が正しく機能しているかどうかを確認する場合だけでなく、ディレクトリアシスタントの設定を最初に確認する場合にも便利です。
    3. LDAP 設定ウィザード

    フィールド

    Enter
    LDAP 設定セクション

    ホスト名

    リモート LDAP ディレクトリサーバーのホスト名 (ldap.renovations.com など)。Domino® サーバーはこのホスト名を使用してリモート LDAP ディレクトリサーバーに接続します。または、LDAP クライアントの参照先を LDAP ディレクトリにします。

    [候補] をクリックすると、DNS にリストされている LDAP サーバーのホスト名を検索するダイアログボックスが開きます。

    [確認] をクリックすると、各ホスト名がアクティブな LDAP サーバーであるかを確認するダイアログボックスが開きます。

    または

    1 番目に指定されているホスト名の LDAP ディレクトリサーバーが使用不能になった場合に Domino® サーバーが代替の LDAP ディレクトリサーバーを使用できるように、追加のホスト名を 1 つ以上入力します。ホスト名をコンマかセミコロンで区切るか、1 行に 1 つのホスト名を入力します。

    複数指定したディレクトリサーバーがそれぞれ異なるポートを監視している場合は、ホスト名の後ろにポートを指定します。例:
    ldap1.acme.com:390, ldap2.renovations.com:391

    このフィールドに入力するポートの値は、[ポート] フィールドに指定された値を上書きします。このフィールドにポートを指定しないと、[ポート] フィールドに指定された値が使用されます。

    注: このフィールドには IPv6 アドレスも指定できます。ただし、このフィールドに IPv6 アドレスを指定した場合、7.0 より前のサーバーからディレクトリアシスタントデータベースを使用しないでください。7.0 より前のサーバーでは IPv6 をサポートしていません。
    LDAP ベンダー

    LDAP ディレクトリのサービスプロバイダを入力します (必要な場合は、LDAP 管理者に確認します)。デフォルト値は Domino LDAP です。

    注: [LDAP ベンダー] の値を選択したら、[詳細オプション] セクションの [使用する検索フィルタの種類] の推奨値が一致するように調整されますが、値を変更することもできます。

    ディレクトリアシスタント文書での検索フィルタの設定の詳細については、関連トピックを参照してください。

    検索する場合の認証資格情報 (オプション)

    Domino サーバーがリモート LDAP ディレクトリサーバーに接続するときに提示する Domino® サーバー用のユーザー名とパスワードを、[認証資格情報 (オプション)] セクションで入力します。LDAP ディレクトリサーバーはこの名前とパスワードを使用して、Domino® サーバーを認証します。名前とパスワードを指定しない場合、Domino® サーバーは匿名ユーザーとして接続しようとします。

    [確認] をクリックすると、入力したユーザー名とパスワードが各ホスト名で有効であるかを確認するダイアログボックスが開きます。

    この設定は、LDAP サーバーの変更の検出に影響を及ぼすことがあります。

    LDAP ディレクトリのディレクトリアシスタント文書で Domino® サーバー用の名前とパスワードを指定する方法の詳細については、関連トピックを参照してください。

    検索するベース DN

    検索の基本条件 (LDAP ディレクトリサーバーで必要な場合)。例: 

    o=Ace Industry
    o=Ace Industry,c=US

    [候補] をクリックすると、適切な検索ベースで各ホスト名を検索することができるダイアログボックスが開きます。

    [確認] をクリックすると、設定された資格情報を使用してその検索ベースが各ホスト名にアクセスできるかを確認するダイアログボックスが開きます。

    この設定は、LDAP サーバーの変更の検出に影響を及ぼすことがあります。変更検出の特別な考慮事項の詳細については、関連トピックを参照してください。

    接続設定セクション

    チャネルの暗号化

    新しく作成したグループのオプションとして、

    • Domino® サーバーがリモート LDAP ディレクトリサーバーに接続するときに TLS を使用する場合は、[TLS] (デフォルト)
    • TLS が使用されないようにするには[nasi]

    クライアント認証のため、またはデータベース認証でグループメンバーを検索するためにリモート LDAP ディレクトリを使用する場合は、[チャネルの暗号化] フィールドで [TLS] を選択したままにします。

    [TLS] を選択した場合は、以下の関連フィールドで適切な値を選択します。

    • 期限切れの SSL 証明書を受け入れます。
    • リモートサーバーの認証を使ったサーバー名の確認

    リモート LDAP ディレクトリのディレクトリアシスタント文書で TLS を設定する方法の詳細については、関連トピックを参照してください。

    ポート

    Domino® サーバーがリモート LDAP ディレクトリサーバーに接続するときに使用するポート番号。

    • [チャネルの暗号化] フィールドで [TLS] を選択した場合、デフォルト・ポートは 636。
    • [チャネルの暗号化] フィールドで [なし] を選択した場合、デフォルトポートは 389。

    LDAP ディレクトリサーバーがどちらのデフォルトポートも使用しない場合は、別のポート番号を手動で入力します。
    [詳細オプション] セクション

    タイムアウト

    リモート LDAP ディレクトリの検索時間として許容される最大秒数。デフォルトは 60 秒です。

    リモート LDAP ディレクトリサーバーにもタイムアウト値が設定されている場合は、小さい方の値が優先されます。

    検索結果の最大数

    Domino® サーバーが検索する名前について LDAP ディレクトリサーバーが返すことのできる検索結果の最大数。LDAP ディレクトリサーバーにも最大数が設定されている場合は、小さい方の値が優先されます。LDAP ディレクトリサーバーがタイムアウトになると、その時点までに見つかった名前の数が返されます。

    デフォルト値は 100 です。

    検索で別名を逆参照する

    リモート LDAP ディレクトリの検索中に別名の逆参照を行う範囲を制御するには、次のいずれかを選択します。

    • アクセスなし
    • 下位のエントリのみ
    • 検索ベースのエントリのみ
    • 常時 (デフォルト)

    LDAP ディレクトリで別名を使用しない場合は、[なし] を選択すると、検索のパフォーマンスが向上します。

    ディレクトリアシスタント文書における別名の逆参照の設定の詳細については、関連トピックを参照してください。

    優先するメール形式

    ディレクトリアシスタントの設定で Notes® ユーザーから LDAP ディレクトリ内のユーザー宛てにメールの送信を許可している場合、このオプションによって Notes® メールで使用するディレクトリのアドレス形式を指定します。新しく作成したグループのオプションとして、

    • [Notes メールアドレス] - 例えば、John Doe/Renovations@Renovations。通常、このオプションは LDAP ディレクトリが Domino® ディレクトリである場合にのみ使用されます。
    • インターネットメールアドレス (デフォルト) - 例えば、jdoe@renovations.com

    ディレクトリアシスタントおよび Notes メールのアドレス指定の詳細については、関連トピックを参照してください。

    名前のマッピングを有効にする

    このチェックボックスにより、ディレクトリアシスタントは、Domino® DN 属性を、LDAP ディレクトリの DN 属性にマッピングすることができます。デフォルトで表示されます。

    このチェックボックスで名前のマッピングを有効にすると、新規フィールド [すべての参照に対してこの属性を使用する] と既存のフィールド [Notes の識別名で使う属性] が表示されるようになります。

    注: このチェックボックスを有効にすると、既存のフィールド [Notes の識別名で使う属性] に値を入力するか、フォームを保存する前にデフォルト値 ([Notes DN]) を受け入れる必要があります。

    Active Directory を使用して Domino® ユーザーを管理する際のユーザー名のマッピングの詳細については、関連トピックを参照してください。

    Notes® の識別名として使用する属性

    Domino® サーバーがリモート LDAP ディレクトリを使用してクライアント認証またはデータベース認証を行う場合は、必要に応じて、ユーザーの LDAP ディレクトリ識別名を対応する Notes® 識別名にマップします。

    [確認] をクリックすると、指定のベースに設定された資格情報を使用して、各ホスト名に Notes® の DN 属性を含むオブジェクトが 1 つ以上あるかを確認するダイアログボックスが開きます。

    リモート LDAP ディレクトリで Notes® の識別名を使用する方法の詳細については、関連トピックを参照してください。
    すべての参照に対してこの属性を使用する

    [はい] または [いいえ] を選択します。

    デフォルトでは、[名前のマッピングを有効にする] チェックボックスをオンにすると、この値は [いいえ] に設定され、インターネット/Web 認証に対してのみ名前のマッピングが有効になります。

    このフィールドで [はい] を選択し、同時に [Notes の識別名で使う属性] を選択すると、インターネット/Web 認証に対してだけではなく、すべてのディレクトリ検索において Domino® の名前マッピングが使用できるようになります。

    使用する検索フィルタの種類

    ディレクトリの検索に使用する LDAP 検索フィルタを制御するには、次のいずれかを選択します。

    [標準の LDAP] は、ほとんどの状況で機能します。

    [候補] をクリックすると、各ホスト名から最も適切なタイプの検索フィルタを検索するダイアログボックスが開きます。

    [確認] をクリックすると、選択した検索フィルタのタイプが各ホスト名に対して適切であるかを確認するダイアログボックスが開きます。

    注: オプションの [Domino LDAP][IBM Directory Server] を選択すると、LDAP Gateway は特定の LDAP サーバーに属する特殊機能を利用できます。特殊機能が判別されると、LDAP クライアントはこの特殊機能を使用するかどうかを決定できます。たとえば、LDAP サーバーは、LDAP クライアントによる dominoAccessGroups 機能の検出を直接サポートするために、ルート DSE (ディレクトリサーバーエントリ) の新しい属性を提供することができます。

    ディレクトリアシスタント文書での検索フィルタの設定の詳細については、関連トピックを参照してください。
  9. [保存して閉じる] をクリックします。

次のタスク

[グループの許可] フィールドを変更した場合は、次の操作を実行します。
  1. [ディレクトリアシスタント] データベースを使用するすべてのサーバーにこの変更が複製されるのを待つか、強制的に複製を実行します。
  2. Restart Server コンソールコマンドにより、ディレクトリアシスタントを使用してグループ認証を行う各サーバーをいったん終了した後、再起動します。これによって、各サーバーは変更を検出します。