LDAP サービスを計画する

LDAP タスクを実行する HCL Domino® サーバーは、LDAP クライアントからの要求を処理できる LDAP ディレクトリサーバーとして機能します。そのような要求は、ディレクトリ情報を取得するために、LDAP サポートを組み込んだ一般的な Web ブラウザーのクライアントから来る場合や、ディレクトリ情報を検索および管理するように設計されたカスタム LDAP アプリケーションから来る場合があります。

このタスクについて

LDAP サービスを計画する場合に発生する課題をいくつか次に示します。

  • どのレベルの LDAP クライアント認証を使用するか? デフォルトで有効になっている匿名アクセスでは、LDAP クライアントは、名前と認証資格情報 (パスワードや証明書) を提示せずに接続できます。匿名で接続する LDAP クライアントに対しては、通常、ディレクトリーへの読み込みアクセスのみを許可します。
  • ディレクトリーに対する LDAP アクセスの制御で拡張 ACL を使用するか? 拡張 ACL を使用すると、データベース ACL のみのサポートよりも細分化された、ディレクトリーのアクセス制御が可能です。拡張 ACL を使用すると、データベース ACL と拡張 ACL によって、匿名 LDAP 検索アクセスと、サポートされているその他のクライアントプロトコルの匿名アクセスを制御できます。拡張 ACL を使用しない場合は、設定文書によって、匿名 LDAP 検索アクセスを制御できます。
  • Domino® ディレクトリーの全文索引を作成するか? LDAP クライアントで主に使用する検索フィルタが、名前やメールアドレスを検索する検索フィルタであれば、ディレクトリーに全文索引を作成する必要はありません。それ以外のタイプの検索フィルタを LDAP クライアントで使用する場合は、ディレクトリーに全文索引を作成することをお勧めします。それによって、LDAP サービスではこの種の要求を、全文索引の検索によって迅速に処理できるようになります。
  • 新規のオブジェクトクラスまたは属性のサポートを追加するようにスキーマを拡張するか? アプリケーション固有の情報を検索する LDAP アプリケーション使用している場合は、スキーマの拡張が必要になることがあります。[Domino® LDAP Schema] データベース (schema.nsf) を使用すると、スキーマの拡張や、ディレクトリーへのフォームやフィールドの追加が可能になります。スキーマデータベースの使用をお勧めします。

LDAP サービスに対するディレクトリアシスタントを計画する

このタスクについて

LDAP サービスがクライアント LDAP 要求を 2 次 Domino® ディレクトリーまたはリモート LDAP ディレクトリーに拡張できるように、LDAP サービスを実行するサーバーにディレクトリアシスタントを設定できます。2 次 Domino® ディレクトリーに対してディレクトリアシスタントを使用するように LDAP サービスを設定する場合は、以下の課題について検討する必要があります。

  • LDAP クライアントは 2 次 Domino® ディレクトリーに対してどのようなアクセス権が必要か? LDAP サービスの対象となる Domino® ディレクトリーまたは拡張ディレクトリー・カタログのそれぞれに対し、LDAP アクセス権を個別に制御します。
  • カスタム LDAP アプリケーションを使用してディレクトリーを管理する場合は、LDAP サービスを実行しているサーバーにそのディレクトリーがローカルに格納されている場合にかぎり、LDAP サービスは、そのアプリケーションがディレクトリーを変更することを許可します。2 次 Domino® ディレクトリーがリモートサーバーに格納されている場合、LDAP サービスは、LDAP 動作を自身で処理せずに、そのサーバーへの参照を返すことができます。

ディレクトリアシスタントを使用して LDAP クライアントからリモート LDAP ディレクトリーを参照するように LDAP サービスを設定する場合は、以下の課題について検討する必要があります。

  • LDAP サービスでは、LDAP の検索要求、追加要求、変更要求をリモート LDAP ディレクトリーで処理することはできません。LDAP クライアントからリモート LDAP ディレクトリーを参照することのみが可能です。
  • デフォルトの LDAP サービスでは、指定された LDAP クライアントに参照先として返すことができるリモート LDAP ディレクトリーは 1 つのみです。LDAP サービスが LDAP クライアントに複数の参照先を返せるようにして、最初の参照先に指定されたディレクトリサーバーが使用できない場合に LDAP クライアントが代替の参照先を使用できるようにするには、LDAP サービスの [参照最大数] の設定を大きくする必要があります。
  • リモート LDAP ディレクトリーのディレクトリアシスタント文書 1 つで、参照先の代替 LDAP ディレクトリーを指定できます。
注: LDAP サービスでは、あらゆる Domino® インターネットプロトコルサーバーと同様に、ディレクトリアシスタントを使用して、資格情報を使用するクライアントを 2 次ディレクトリーで認証できます。また、2 次ディレクトリーでグループを使用してデータベースを認証することもできます。