ディレクトリアシスタントとクライアント認証

サポートされているインターネットプロトコルである Web (HTTP)、IMAP、POP3、LDAP のいずれかを使用してユーザーが Domino® サーバー上のデータベースにアクセスする場合、サーバーは、[ディレクトリアシスタント] データベースで設定されているディレクトリでユーザーの資格情報を検索して、このユーザーを認証することができます。サーバーは、X.509 証明書セキュリティまたは名前とパスワードによるセキュリティを使用して認証することができます。

このタスクについて

[ディレクトリアシスタント] データベースで設定されているインターネットクライアント認証用ディレクトリをサーバーで使用できるようにするには、そのディレクトリのディレクトリアシスタント文書で次の処理を実行します。

  • [基本] タブの [このドメインを利用可能にする先] で、[Notes クライアントとインターネットの認証/許可] を選択します。
  • [名前付けのコンテキスト (ルール)] タブで、ディレクトリ内の認証するユーザーの識別名に対応する規則を 1 つ以上有効化し、[資格情報を信用][はい] を選択します。

たとえば、Web ユーザーを外部 LDAP ディレクトリに登録している組織の場合、Web ユーザーが Domino® Web サーバー上のデータベースにアクセスしようとすると、サーバーはリモートの外部 LDAP ディレクトリサーバーに接続してユーザーの名前とパスワードを検索し、その Web ユーザーを認証します。

注: サーバーの 1 次 Domino® ディレクトリは、常にクライアント認証のために使用可能です。これは、1 次 Domino® ディレクトリ用にディレクトリアシスタント文書を作成して、[このドメインを利用可能にする先: Notes クライアントとインターネットの認証/許可] を選択しなかった場合にも当てはまります。
注: サーバー文書の [ポート] - [インターネットポート] タブ、またはインターネットサイト文書では、インターネットプロトコルサーバーで使用可能なクライアント認証の種類を制御できます。

名前とパスワードによる認証で使用できる名前

このタスクについて

サーバーで名前とパスワードによるセキュリティを使用してインターネットクライアントを認証する場合は、そのサーバーがクライアントから受け入れることのできる名前のタイプを選択します。1 次 Domino® ディレクトリーにあるサーバー文書の [セキュリティ] > [インターネットアクセス] タブで、[弱いセキュリティと複数の名前のバリエーション] または [強いセキュリティで少ない名前のバリエーション] (デフォルト) を選択します。この選択は、1 次 Domino® ディレクトリを含む任意のディレクトリを使用する、名前とパスワードによる認証に適用されます。

サーバーは、ディレクトリにあるユーザーのエントリを検索する目的であれば、識別名以外の名前でもクライアントから受け取ることができます。ただし、クライアントに対する認証を決定するためにディレクトリアシスタント文書にある信頼できる規則と比較する名前は、必ずディレクトリエントリにあるユーザー識別名になります。たとえば、識別名 cn=alice browning,o=Renovations でディレクトリに登録されているユーザーが、クライアント上では alice browning という名前を設定しているとします。サーバーは、認証の過程で、alice browning という名前を含むエントリを検索します。そのエントリが見つかると、サーバーは、「cn=alice browning,o=renovations」がそのディレクトリの信頼できる命名規則と一致する場合にかぎり、クライアントを認証します。

Domino® では、ユーザーの識別名がアクセス制御の基礎としても使用されます。したがって、データベースの ACL、データベース ACL で使用するグループ、サーバー文書のアクセスリスト、Web サーバーのファイル保護文書では、この識別名を使用する必要があります。

クライアント認証中に重複する名前を検出した場合

このタスクについて

クライアントから提示された名前を含むディレクトリエントリが 1 つ以上のディレクトリにまたがって複数個見つかり、それらがすべて認証に有効な識別名と一致する場合、サーバーは、有効なパスワードまたは X.509 証明書を持つエントリを使用してクライアントを認証します。このような複数のエントリの識別名が同じで、さらにいずれも有効なパスワードまたは X.509 証明書を持つ場合は、最初に見つかったパスワードまたは X.509 証明書を使用してユーザーを認証します。

マルチプロトコル間で一貫性のあるクライアント名およびパスワード

このタスクについて

複数の Domino® サーバーが複数のインターネットプロトコルで 1 つのクライアントを認証する場合は、ディレクトリの管理を簡単にするために、すべてのプロトコルに適用できる 1 組の名前とパスワードを持つ 1 つのディレクトリエントリを、そのクライアントに対して作成します。次に、そのクライアントを、すべてのプロトコルに対して同じ名前とパスワードを使用するように設定します。

たとえば Domino® に対して、Web ブラウズでは HTTP で接続し、ディレクトリサービスでは LDAP で接続するクライアントがある場合、1 組の名前とパスワードを持つ 1 つのディレクトリエントリをそのクライアント用に作成します。そして、両方の接続タイプでその名前とパスワードを使用するようにクライアントを設定します。

リモート LDAP ディレクトリを使用するクライアント認証で使用可能な機能

このタスクについて

以下に示す機能は、リモート LDAP ディレクトリを使用するクライアント認証で使用できます。

  • 設定可能な検索フィルタ。リモート LDAP ディレクトリで名前を検索するときに検索条件を制御できます。
  • LDAP と Domino の間の名前マッピング。LDAP 識別名ではなく Notes® 識別名を使用してユーザーを認証できるようにします。

Notes® クライアント認証

このタスクについて

サーバーは、デフォルトでは、Notes® クライアントを認証するときに、Domino® ディレクトリのユーザー文書の情報を使用しません。ただし、そのサーバーのサーバー文書の [基本] タブで [ディレクトリにあるパブリックキーと比較] オプションが有効になっている場合は、Notes® クライアントから提示されたパブリックキーがユーザーのユーザー文書にあるパブリックキーと一致する場合にかぎり、サーバーは Notes® ユーザーを認証します。

認証を受けるためにサーバーに接続している Notes® ユーザーの登録先が、ある 2 次 Domino® ディレクトリであって、サーバーの 1 次 Domino® ディレクトリではないとします。ユーザーの接続先のサーバーに対して [ディレクトリにあるパブリックキーと比較] オプションが有効になっている場合は、ディレクトリアシスタント文書のオプション [このドメインを利用可能にする先: Notes クライアントとインターネットの認証/許可] を選択して、サーバーがパブリックキーを比較できるようにする必要があります。このディレクトリアシスタント文書は、以下に対して使用できます。

  • Notes® ユーザーが登録されている 2 次 Domino® ディレクトリ
  • Notes® ユーザーが登録されている 2 次 Domino® ディレクトリを集約した拡張ディレクトリカタログ