Lotus Domino Administrator 6.5.1 ヘルプ - Microsoft IIS セキュリティオプションの詳細

WEB サーバー

Microsoft IIS セキュリティオプションの詳細
匿名アクセス
匿名アクセスでは、Web ユーザーはユーザー名とパスワードを入力せずに Web サイトにアクセスできます。IIS により、匿名の Web ユーザーは常に、特定の NT 匿名ユーザーアカウントにマッピングされます。使用可能な IIS 認証方法が [匿名アクセス] だけである場合、ユーザーのクレデンシャル (つまり認証のためにブラウザから送信されたユーザー名とパスワード) は IIS では使用されず、IIS プラグインにより Domino に渡されます。Domino では、通常の Web ユーザーの場合と同じ手順でユーザーが認証されます。匿名ユーザーが認証を必要とする Domino リソースへのアクセスを試みた場合、Domino は、Domino Web サイト (基本的な名前とパスワードによる認証ログインページ、またはセッション認証ログインページ) で設定されているセキュリティオプションに応じて返答します。そのため、Domino で完全なユーザー認証を実行するには、IIS Web サイトでの唯一のセキュリティオプションとして匿名アクセスを有効にする必要があります。

詳しくは、「インターネット/イントラネットクライアントの名前とパスワードによる認証」というトピックを参照してください。

匿名アクセスを使用する場合、以下のガイドラインが適用されます。

Web ユーザーは登録された NT ユーザーである必要はありません。
Web ユーザーがパスワード保護されたリソースにアクセスできるようにする場合は、そのユーザーは登録された Domino ユーザーであり、インターネットのパスワードを持っている必要があります。

基本認証
[基本認証] を使用する場合は、ブラウザから送信されたユーザーのクレデンシャルが有効な NT ユーザーアカウントであるかどうかが IIS によって確認されます。使用可能な IIS 認証方法が [基本認証] だけである場合、ブラウザからのすべての要求にクレデンシャルが含まれている必要があり、匿名アクセスは許可されません。ユーザーが Domino 要求を送信すると、IIS プラグインはユーザー名を Domino に渡し、このユーザーが IIS により認証されていることを Domino に通知します。このようなユーザーは、「事前認証済みユーザー」と呼ばれます。プラグインは、事前認証済みのユーザー名を、ユーザーがブラウザに入力したままの形式で渡します。Domino は、事前認証された名前を Domino ディレクトリ内で検索します。ユーザーのパスワードは IIS によりすでに認証されているため、Domino が、ユーザーのユーザー文書または LDAP エントリに格納されているインターネットパスワードを使用することはありません。

該当する名前が Domino ディレクトリ内で見つかった場合、Domino はユーザー登録内の基本名を使用して認証 (ACL のチェックなど) を実行します。名前が見つからなかった場合は、Domino は事前認証済みの名前を使用します。

どちらの場合でも、Domino は該当ユーザーがメンバーとして含まれている Domino ディレクトリ内の一連のグループから該当ユーザーのグループリストを作成し、そのグループリストに "-WebPreAuthenticated-" という名前の特殊なグループを追加します。-WebPreAuthenticated- は、データベース ACL などのアクセスリスト内でグループエントリとして使用することができます。

メモデータベース ACL 内の名前に従って IIS ユーザーをリスト表示する際は、名前の正しい形式を指定する必要があります。つまり、ユーザーが Domino ディレクトリ内にリスト表示される場合は基本名を、ユーザーが Domino ディレクトリ内にリスト表示されない場合は IIS で事前認証された名前を指定する必要があります。ユーザーが ACL 内で名前でリスト表示されると同時に、その ACL 内のグループのメンバーにもなっている ("-WebPreAuthenticated-" または任意のほかのグループ) 場合は、名前のエントリの方がグループのエントリより優先されます。

要約すると、[基本認証] を選択した場合、以下のガイドラインが適用されます。

匿名アクセスは許可されません。
Web ユーザーは登録された NT ユーザーである必要があります。
Web ユーザーは登録された Domino ユーザーである必要はありません。
Domino ではユーザーのインターネットパスワードは使用されません。
Web ユーザーは -WebPreAuthenticated- グループに自動的に割り当てられます。

統合化 Windows 認証 (NT では Windows NT チャレンジ/レスポンスと呼ばれていた)
統合化 Windows 認証は、Internet Explorer (IE) でサポートされている Microsoft 固有のプロトコルです。Web ユーザーがサイトに対して要求を行うと、IE によってユーザーの現在の Windows ログオンアカウント名が IIS に送信されます。この名前は IIS サーバー上の Windows レジストリと照合して確認されます。ユーザーが Domino 要求を送信すると、IIS プラグインは Windows ユーザー名を Domino に渡し、Domino は事前承認済みのそのユーザー名を、すでに説明した基本認証の手順で処理します。

Windows アカウント名は、SALES\JSmith のように「ドメイン\ユーザー名」か「コンピュータ名\ユーザー名」の形式です。Domino ディレクトリにあるユーザー文書を使用して Windows ユーザーを認証する場合は、ユーザー文書に別名として Windows アカウント名が含まれている必要があります。たとえば、Joe Smith が「CorpSales」ドメインに Notes ID を持っており、Windows の "SALES" ドメインに Windows ユーザーアカウントを持っているとします。この場合、Joe Smith のユーザー文書の [ユーザー名] フィールドには、次のように入力されている必要があります。

Joe Smith/CorpSales

SALES\JSmith

これによって、Domino で Windows ユーザー SALES\JSmith を Domino ユーザー Joe Smith/CorpSales として認証できます。

要約すると、統合された Windows 認証を選択した場合、以下のガイドラインが適用されます。

この方法だけが使用可能な場合は、IE ユーザーだけが Web サイトにアクセスできます。
要求のたびに IE によってユーザーの Windows アカウント名が自動的に送信されるので、匿名アクセスは許可されません。
Web ユーザーは登録された NT ユーザーである必要があります。
Windows ユーザーを Domino ユーザー文書に関連付ける場合は、ユーザーの Windows アカウント名を、ユーザー文書の別名として追加する必要があります。
Domino ではインターネットパスワードは使用されません。
ユーザーは -WebPreAuthenticated- グループに自動的に割り当てられます。

SSL
Web サーバー上で SSL を使用可能にした場合、実際の SSL 接続は IIS によって処理されます。ただし、Web ユーザーがクライアント証明書を送信した場合は、証明書は IIS プラグインから Domino に渡され、その証明書を使用して Domino によってユーザーが認証されます。Domino でユーザーの証明書が見つからない場合、ユーザーのアクセス権は匿名アクセスに格下げられます。

用語集

用語集