ID ボールトのパスワードをリセットする場合のセキュリティ

Domino® Administrator を使用してパスワードのリセットを行うユーザーに対するパスワードリセット権限

パスワードのリセット権限が設定された ID で Domino® Administrator にログインしたユーザーは、[パスワードのリセット] ツールを使用してパスワードをリセットすることができます。Domino® 管理者がパスワードリセット権限をユーザーに付与する場合、個人用または組織単位用のパスワードリセット証明書を作成します。ディレクトリグループの場合、パスワードリセット証明書を作成することはできません。ただし、現在の各メンバーに対して個別のパスワードリセット証明書を簡単に作成する方法として、ディレクトリグループを選択することができます。

Domino® Administrator を使用してパスワードをリセットする場合、新しいパスワードをユーザーに提供するためのオプションが 2 つあります。新しいパスワードを選択するオプションと、無作為にパスワードを生成してからユーザーに通知するオプションです。どちらのオプションも、ユーザーの ID を確認するための方法があることが重要です。または、新しいパスワードを無作為に作成してから暗号化して、任意のユーザー (対象ユーザーの上司など) にメールで送信することもできます。

パスワードのリセット専用に登録して使用する ID に対して、パスワードリセット権限を付与する必要があります。

アプリケーションに付与するパスワードリセットの権限

C、Java™、JavaScript™、LotusScript® で使用できる ResetUserPassword というメソッドにより、パスワードをリセットするためのカスタムアプリケーションを開発することができます。このメソッドを使用して、ユーザーが自分のパスワードをリセットできるセルフサービスアプリケーションや、ヘルプデスク担当者がユーザーのパスワードをリセットできるアプリケーションを開発することができます。

ResetUserPassword メソッドを LotusScript® エージェントや Java™ エージェントから呼び出す場合、[セルフサービスパスワードのリセット権限] が選択されたパスワードリセット権限を、これらのエージェントに署名したユーザー ID に付与する必要があります。このユーザー ID には、パスワードのリセット専用に登録した ID を使用することをお勧めします。エージェントを格納するサーバーにもこの権限を設定する必要があります。また、エージェントの署名者に対して、[制限付き LotusScript/Java エージェントの実行] アクセス権を付与する必要があります。

ResetUserPassword メソッドをエージェント以外のアプリケーション内で使用すると、このアプリケーションの実行権限を持つユーザーやサーバー ID に対して、[セルフサービスパスワードのリセット権限] が選択されたパスワードのリセット権限が設定されます。

このアプリケーションにより、ユーザー ID を確認します。Domino® Web サーバーの HTTP ユーザー名とパスワードを使用して、この確認を行うことができます。または、LDAP ディレクトリサーバー認証を行うか、ユーザーに個人的な質問をすることによって、アプリケーション自身が認証を処理することもできます。

Domino® には、LotusScript® エージェント内で ResetUserPassword メソッドを使用するサンプルのセルフサービスアプリケーションが用意されています。これにより、ユーザーが自分で環境をカスタマイズすることができます。