Domino® サーバーを物理的に保護する

サーバーとデータベースの物理的な安全性を確保することは、権限のないユーザーやサーバーのアクセスを禁止することと同様に重要です。Domino® サーバーは、換気のよい安全な場所 (鍵のかかる部屋など) に設置してください。Domino サーバーの安全性を確保しておかないと、権限のないユーザーがアクセス制御リストなどのセキュリティ機能の裏をかいて、サーバー上のアプリケーションにアクセスしたり、オペレーティングシステムからファイルのコピーや削除を行ったり、サーバーのハードウェア自体に物理的な損傷を与えたりすることもありえます。

このタスクについて

サーバーの物理的なセキュリティを最大限に確保するには、次のような方法があります。

  • サーバーではマウスを使用できないようにし、キーボードはロックしておきます。
  • サーバー ID をパスワードで保護します。ID をパスワードで保護すると、サーバーの再起動を自動実行するのではなく、手動で行わなければなりません。サーバーを再起動するには、サーバーパスワードを知っている必要があります。
  • Set Secure コマンドを使用して、コンソールをパスワードで保護し、サーバーの動作中に実行できる機能を制限します。
  • [ローカルのデータベースを暗号化する] オプションを使用して、サーバー上のデータベースをサーバー ID で暗号化します。データベースの暗号化に使用したサーバー ID へのアクセス権がないユーザーは、サーバーのデータベースにアクセスできなくなります。
  • オペレーティングシステムの機能を使用して、データファイルを保護し、キーボードアクセスをロックします。詳しくは、オペレーティングシステムのドキュメントを参照してください。

スマートカードを使用してサーバーコンソールを保護する

このタスクについて

Notes® ユーザーは各自のユーザー ID とスマートカードを使用して Notes® にログインできます。スマートカードを使用する場合、ユーザーのコンピュータに、スマートカードソフトウェアとドライバに加えて、スマートカードリーダーをインストールすることが必要です。Notes® でスマートカードを使用することの利点は、スマートカードがユーザー ID をロックするということです。スマートカードを使用して Notes® にログインするには、スマートカード、ユーザー ID、スマートカードの PIN が必要になります。

システム管理者は、スマートカードによるセキュリティを利用して、Domino® サーバーコンソールを物理的に保護することができます。この場合、システム管理者は、サーバー ID をスマートカードでロックします。はじめに、次の作業を行います。

  • Domino® サーバーワークステーションが起動しているが、Domino® サーバーソフトウェアは起動していないこと。
  • Domino® サーバーの NOTES.INI ファイルに PKCS11_Library=変数が含まれていて、スマートカードの PKCS#11 ファイルを指すように設定されていること。このファイルは、スマートカードのインストール時にロードされます。例:

    PKCS11_Library=C:\Program Files\Schlumberger\Smart Cards and Terminals\Common Files\slbck.dll

Notes® ユーザーがスマートカードを設定する方法の詳細については、HCL Notes® ヘルプ の「Notes® ログインに対してスマートカードを有効にする」のトピックを参照してください。

注意: PKCS11_Library 変数を含むように NOTES.INI ファイルを編集していない場合、Domino® サーバーを起動しようとすると、シャットダウンされ、「Login aborted by user」というエラーが返されます。

手順

  1. Domino® サーバーワークステーションで、スマートカードリーダーとスマートカードドライバファイルをインストールします。
  2. Notes® クライアントワークステーションで、スマートカードリーダーと Domino® サーバーにインストールしたものと同じスマートカードドライバファイルをインストールします。このワークステーションは、サーバーに対してスマートカードを設定するときに使用されます。
  3. SERVER.IDDomino® サーバーからメモリデバイスにコピーします。デバイスを Notes® クライアントのワークステーションに挿入します。
  4. サーバーが証明書を持っているドメインから、ユーザー ID を使用して Notes® クライアントを起動します。
  5. このサーバー用に指定されているスマートカードを Notes® クライアントのカードリーダーに入れます。必要に応じて、スマートカードの PIN を入力します。
  6. [ファイル] > [セキュリティ] > [ID の切り替え] をクリックし、SERVER.ID ファイルのコピーに切り替えます。
  7. 関連するスマートカードに対する SERVER.ID ファイルを有効にするには、次の手順を実行します。
    1. [ファイル] > [セキュリティ] > [ユーザーセキュリティ] をクリックし、SERVER.ID のパスワードを入力します。
    2. [Smartcard] をクリックします。
    3. [Smartcard ログインを有効にする] をクリックします。
    4. パスワード (必要な場合) とスマートカードの PIN を入力します。10 秒から 15 秒ほどで、SERVER.ID ファイルに対してスマートカードが設定されます。
  8. スマートカードが有効になった SERVER.ID ファイルをサーバーの Domino\data ディレクトリにコピーします。
  9. スマートカードを Domino® サーバーのカードリーダーに入れて、Domino® を起動します。
  10. サーバーコマンドコンソールで、指示に従ってスマートカードの PIN を入力すると、Domino® が起動します。