認証者 ID と証明書

認証者 ID と証明書は、HCL Domino® セキュリティーの基礎となるものです。組織の階層名体系内でサーバーとユーザーを正しく配置するには、名前ツリーの各分岐に対して認証者 ID を作成します。認証者は、サーバーとユーザーの登録時に、各サーバー ID とユーザー ID にそれぞれが所属する部署を定義する証明書を「スタンプ」します。同一の名前ツリーに属しているサーバーとユーザーは、互いに通信できます。サーバーとユーザーが別の名前ツリーに属している場合に通信を行うには、相互認証が必要です。

注: Domino® サーバーベースの認証機関に認証者を移行してあれば、各サーバー ID やユーザー ID にスタンプがなくても、サーバーとユーザーを登録できます。

認証者 ID を作成するたびに、Domino® では認証者 ID ファイルと認証者文書が作成されます。ID ファイルには、サーバーとユーザーを登録するときに使用する ID が含まれています。認証者文書は認証者 ID の記録として残され、階層名、発行に使用された認証者 ID 名、関連する認証名などが保存されます。

注: サーバーの設定時には、新しい認証者 ID を作成する代わりに既存の認証者 ID を使用できます。指定する認証者 ID には、複数のパスワードを割り当てることはできません。複数のパスワードを使用して認証者 ID を使用しようとすると、エラーメッセージが発生し、サーバーの設定は停止します。

認証者 ID には、次の 2 つのタイプがあります: 組織および組織単位。

  • 組織認証者 ID

    組織認証者は、名前ツリーの先頭に表示され、通常は Renovations などの会社名です。サーバーを最初に設定する際、サーバーセットアッププログラムによって組織認証者が作成され、組織認証者 ID ファイルが CERT.ID という名前で Domino® データディレクトリーに保存されます。サーバーを最初に設定する際、この組織認証者 ID は、最初の Domino® サーバー ID と管理者のユーザー ID を自動的に認証します。

    複数の組織に分散している大企業の場合などは、サーバーの設定後に Domino® Administrator を使用して、組織認証者 ID をもう 1 つ作成し、子会社の名前で区別することもできます。

  • 組織単位の認証者 ID

    組織単位の認証者は、ツリーのすべての分岐に位置し、一般には East/Renovations や Sales/East/Renovations などの地理的な配置や部門構成を表します。サーバーの設定時に、最上位の組織単位の認証者 ID を作成することもできます。その場合、サーバー ID とシステム管理者のユーザー ID には、組織認証者ではなく組織単位の認証者がスタンプされます。サーバーの設定時に最上位の組織単位の認証者を作成しなかった場合でも、後から Domino® Administrator でいつでも作成できます。ただし、この場合、サーバー ID とシステム管理者のユーザー ID を再認証することを忘れないでください。

    組織単位の認証者は、4 つのレベルまで作成できます。第 1 レベルの組織単位の認証者 ID を作成するには、組織認証者 ID を使用します。第 2 レベルの OU 認証者 ID を作成するには、第 1 レベルの組織単位の認証者 ID を使用します。第 3 レベル以降も同様です。

    組織単位の認証者 ID を使用すると、社内の特定の分岐内のユーザーとサーバーを管理するシステム管理者ごとに認証者 ID を配布できるため、認証作業を分散できます。たとえば、Renovations 社に 2 人の管理者がいるとします。この場合、一方の管理者は、West/Renovations のサーバーとユーザーを管理し、West/Renovations の認証者 ID のみにアクセスできます。もう一方の管理者は、East/Renovations のサーバーとユーザーを管理し、East/Renovations の認証者 ID のみにアクセスできます。

認証者 ID ファイルは、デフォルトでは、サーバーのセットアッププログラムによって Domino® データディレクトリーとして指定したディレクトリーに保存されます。Domino® Administrator で 2 つ目の組織認証者 ID または組織単位の認証者 ID を作成する場合は、ID の保存先を指定できます。セキュリティーを確保するために、鍵のかかる場所に保管されるディスクなど、安全な場所に認証者を保存するようにしてください。

HCL Notes® ユーザーに ID とパスワードの復旧機能を提供するには、各認証者 ID に復旧情報を設定する必要があります。ユーザー ID ファイルを復旧するには、認証者 ID ファイルにアクセスして復旧情報を指定する必要があります。また、ユーザー ID ファイル自体も復旧可能にしなければなりません。これを行うには、以下の 2 つの方法があります。

  • ユーザー登録時に、復旧情報を含む認証者 ID で ID ファイルを作成する。
  • 認証者 ID ファイルから復旧情報をエクスポートし、ユーザーがそれを受け取るようにする。
  • (サーバーベースの認証機関を使用するサーバーの場合のみ) 認証者に復旧情報を追加する。既存のユーザーがホームサーバーに認証されると、ユーザー ID が自動的に更新されます。