ホーム
保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
Domino® サーバーベース認証機関
認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
サーバーベースの Domino® 認証機関を設定する
認証者を 1 名以上作成してからその認証者を CA プロセスで有効にすることによって、サーバーベースの認証機関を設定します。

保護
このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
- Domino のセキュリティーの概要
  組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
  - サーバーベースの Domino® 認証機関を設定する
    認証者を 1 名以上作成してからその認証者を CA プロセスで有効にすることによって、サーバーベースの認証機関を設定します。
  - Domino® CA を管理する
    HCL Domino® 認証者の管理に関連するタスクは多数あります。CA プロセスを使用する認証者を設定すると HCL Notes® 認証とインターネット認証要求の承認と拒否を、登録機関として機能する管理者に委任できます。Domino の以前のバージョンで、CA プロセスを使用することにより、CA の管理に関連する手動タスクの多くが自動化されています。
  - 認証者を CA プロセスに移行する
    既存の認証者を CA プロセスに移行するには、発行済み証明書リスト (ICL) データベースを設定し、その証明書の有効期限を設定します。また、インターネット認証者の場合は、証明書の CRL とキー使用情報を設定します。
  - 認証者を CA プロセスに追加する
    CA プロセスを管理するには、サーバーコンソールで Tell コマンドを使用します。
  - CA プロセスで実行中の認証者を表示する
    CA プロセスで実行中のすべての認証者をリスト表示するには、
  - サーバーベース CA の認証者を作成する
    組織の HCL Notes® 認証者とインターネット認証者を追加作成して、CA プロセスを使用するように設定できます。
  - Certificate Requests データベースを作成する
    作成するインターネット認証者ごとに、Certificate Requests データベース (CERTREQ.NSF) でサーバーのキーリングファイルを管理し、ユーザーがブラウザまたはメールからクライアント証明書を要求できるようにする必要があります。このデータベースには、システム管理プロセスに送信されたアクティブな認証要求と失効要求が格納されます。サーバーとクライアントは、ブラウザベースのインターフェースを使用して、証明書を要求し、発行された証明書を受け取ります。
  - サーバーベースの CA サーバーで TLS を設定する
    サーバー管理者やクライアントは、ブラウザ経由で CA サーバーにアクセスして証明書の要求や受信を行うため、TLS を使用して CA サーバーを保護してください。TLS を使用できるように CA サーバーを設定する場合は、サーバーのキー・リング・ファイルを作成して、サーバー証明書を要求します。Domino® では、サーバー証明書は自動的に承認され、CA の証明書は信頼されたルートの証明書としてマージされます。
  - Certificate Requests データベースを使用してサーバー証明書に署名する
    Domino® 管理者は、Domino サーバーで TLS を有効にするために、サーバーベースの CA にサーバー証明書を要求できます。その要求は、Certificate Requests データベースに入力され、そこで処理されます。このデータベースの管理者がその要求の承認または拒否を実行します。
  - サーバーベースの CA を編集する
    認証者を移行または作成した後、認証者 ICL か Domino® ディレクトリ内の認証者文書を使用して認証者を編集できます。ただし、編集の際、認証者を開く方法によって、実行可能な変更の数と種類が違ってきます。
  - 認証要求を表示する
    Domino® の CAA と RA では、承認待ちのサーバー認証要求とクライアント認証要求、承認済み要求、拒否された要求に関する情報を表示できます。
  - 証明書を失効させる
    CA 管理者は、たとえば証明書の対象者が異動した場合やキーが改ざんされている場合に、インターネット証明書を簡単に失効させることができます。証明書は、いったん失効すると、二度と信頼することができません。
  - 認証者をバックアップ、復旧する
    作成した各認証者のバックアップを保存しておくと、問題が発生した場合 (更新コマンドの「lo ca」や「tell ca refresh」を発行したときに、認証者によってエラーメッセージが生成された場合など) に、認証者を復旧できます。
  - 認証者を無効にする
    認証者文書を編集するには、Domino® ディレクトリに対して [編集者] のアクセス権が必要です。フルアクセスアドミニストレーターと管理者は、デフォルトでこのアクセス権を持っています。ただし、すべての認証機関 (CA) 管理者もこのアクセス権を持っています。
- TLS セキュリティー
  TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
- クライアントの TLS と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 時間ベースのワンタイム・パスワード (TOTP) 認証
  ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- 資格情報ストアを使用して資格情報を保存する
  Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
- Notes と Domino でサポートされる鍵サイズの歴史
  この記事では、Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズに関する情報を提供します。

サーバーベースの Domino® 認証機関を設定する

認証者を 1 名以上作成してからその認証者を CA プロセスで有効にすることによって、サーバーベースの認証機関を設定します。

このタスクについて

Notes® 認証者の作成を行ってから CA プロセスに移行します。

インターネット認証者の場合は CA プロセスを使用して作成と登録が行われます。

組織内に既存の Notes® 認証者が存在する場合、それらを CA プロセスに移行できます。

手順

既存の認証者を CA プロセスに移行します。
新しい認証者を作成します。
認証者をサーバーの CA プロセスに追加します。
インターネット認証者ごとに、Certificate Requests データベースを設定します。
サーバーに TLS を設定します。