Lotus Domino Administrator 6.5.1 ヘルプ - インターネットサイト文書のセキュリティを設定する

インストール

インターネットサイト文書のセキュリティを設定する
インターネットサイト文書のセキュリティを設定するには、インターネットクライアントとイントラネットクライアントに対し、SSL サーバーとクライアントの認証、名前とパスワードによる認証、または匿名アクセスを有効にするなどの方法

があります。

インターネットサイトに対して SSL を有効にするためには、サーバー文書で SSL ポートを設定して、インターネット認証機関からサーバー証明書とキーリングを取得することにより、サーバーで SSL を設定する必要があります。

SSL 認証を設定するには、各インターネットサイト文書についてサーバーキーリングファイルを作成する必要があります。ただし、インターネットサイト文書がすべて同じ組織用なら、別々のプロトコル用に作成されていても、1 つのサーバーキーリングファイルを使用できます。必ず、各サイト文書にある [セキュリティ] タブの該当するフィールドに、サーバーキーリングファイルの名前を入力してください。

インターネット認証機関で証明書失効リスト (CRL) を使用する場合は、インターネット証明書の発行にサーバーベースの Domino 認証機関が使用されていなければなりません。

ホステッドオーガニゼーションで SSL を有効にするには、インターネットサイト文書の [基本] タブにある [ホスト名またはこのサイトにマップされたアドレス] フィールドにサーバーの IP アドレスを使用する必要があります。

メモ Web サイトの場合、サーバーキーリングの共通名は、Web サイト文書内の IP アドレスがマップされている DNS 名と同じでなければなりません。IP アドレスは、Web サイト文書にある [ホスト名またはこのサイトにマップされたアドレス] フィールドに格納されていなければなりません。Web サイト文書で [TCP から SSL へのリダイレクト] を有効にする場合、このフィールドには、ホスト名と IP アドレスの両方が格納されている必要があります。

この手順を実行するには、SSL 認証、名前とパスワードによる認証、匿名アクセスに関する知識が必要です。

SSL 認証について詳しくは、「Domino Server で SSL を設定する」の項目を参照してください。

名前とパスワードによる認証および匿名アクセスについて詳しくは、「インターネット/イントラネットクライアントの名前とパスワードによる認証」と「インターネットやイントラネットへの匿名アクセス」の項目を参照してください。

インターネットサイト文書のセキュリティを設定するには
メモ Domino 6 では、インターネットサイト文書のすべての認証オプションで [いいえ] を選択することによって、インターネットサイトへのアクセスを効果的に禁止できます。該当する認証オプションは、TCP 認証、SSL 認証、TCP 匿名アクセスです。

1 Domino Administrator で、[設定] - [Web] - [インターネットサイト] をクリックします。

2 編集するインターネットサイト文書を選択し、[文書の編集] をクリックします。

3 [セキュリティ] をクリックし、次のフィールドに必要な情報を設定します。

フィールド 設定

TCP 認証

Anonymous (IMAP と POP3 を除くすべてのインターネットサイトに適用されます)
次のいずれかを選択します。

[はい] - このサイトへの匿名アクセスを許可します。
[いいえ] - 匿名アクセスを禁止します。

名前とパスワード次のいずれかを選択します。

[はい] - このサイトにアクセスするために、ユーザー名とインターネットパスワードで認証を受けるようユーザーに要求します。
[いいえ] - 名前とパスワードによる認証を要求しません。

TCP から SSL へのリダイレクト (Web サイトのみ) 次のいずれかを選択します。

[はい] - Web サイトにアクセスするために、SSL プロトコルを使用するようクライアントとサーバーに要求します。
[いいえ] - Web サイトにアクセスするために、クライアントとサーバーが SSL または TCP/IP を使用することを許可します。

SSL 認証

Anonymous (IMAP と POP3 を除くすべてのインターネットサイトに適用されます)
次のいずれかを選択します。

[はい] - SSL ポート経由でアクセスするユーザーに、名前とパスワードによる認証を要求しません。
[いいえ] - ユーザーの匿名アクセスを拒否します。

名前とパスワード次のいずれかを選択します。

[はい] - SSL を使用してこのサイトにアクセスするために、ユーザー名とインターネットパスワードで認証を受けるようユーザーに要求します。
[いいえ] - 名前とパスワードによる認証を要求しません。

クライアント認証 (Web サイト、IMAP、POP3、LDAP に適用されます)
次のいずれかを選択します。

[はい] - このサイトへのアクセスにクライアント認証を必要とします。
[いいえ] - クライアント認証を必要としません。

SSL オプション

キーファイル名サーバーのキーリングファイルの名前を入力します。

プロトコルバージョン次のいずれかを選択します。

[V2.0 のみ] - SSL 2.0 の接続だけを許可します。
[V3.0 ハンドシェーク] - SSL 3.0 の接続を試行します。この試行が失敗し、リクエスタが SSL 2.0 を検出した場合は、SSL 2.0 による接続が試行されます。
[V3.0 のみ] - SSL 3.0 の接続だけを許可します。
[V3.0 と V2.0 ハンドシェーク] - SSL ハンドシェークを試行し、関連するエラーメッセージが表示されます。SSL 3.0 接続が可能な場合は、SSL 3.0 で接続します。
[セッションで決定する] (デフォルト) - SSL 3.0 の接続を試行します。この試行が失敗した場合、SSL 2.0 が試行されます。プロトコルのバージョンに互換性がないことに起因する接続問題が発生していない場合に、この設定を使用してください。

SSL のサイト証明を受け入れる次のいずれかを選択します。

[はい] - サーバーにプロトコルサーバーと共通する証明書がない場合でも、証明書を受け入れて SSL を使用します。
[いいえ] (デフォルト) - SSL サイトの証明書の受け入れを禁止します。

期限切れの SSL 証明書を受け入れる次のいずれかを選択します。

[はい] - クライアント証明書の有効期限が過ぎている場合でも、クライアントアクセスを許可します。
[いいえ] - 期限切れの SSL 証明書を使用するクライアントアクセスを禁止します。

CRL をチェックする次のいずれかを選択します。

[はい] - 確認しようとしているユーザーの証明書について、認証者の証明書失効リスト (CRL) をチェックします。有効な CRL が見つかり、ユーザーの証明書がリストに含まれている場合、この証明書は拒否されます。
[いいえ] - 証明書失効リストを使用しません。

期限切れの CRL を信頼する次のいずれかを選択します。

[はい] - ユーザーの証明書を確認する際に、期限が切れていること以外は有効な証明書失効リストを使用します。
いいえ] - 期限切れの証明書失効リストを拒否します。

CRL 検索が失敗した場合にアクセスを許可次のいずれかを選択します。

[はい] - 有効な証明書失効リストの検索に失敗した際に、[CRL をチェックする] が [いいえ] に設定されているものとして処理します。
[いいえ] - ユーザーの証明書について有効な証明書失効リストが見つからなかった場合、証明書を拒否します。[期限切れの CRL を信頼する] が [はい] に設定されている場合、期限切れの CRL は有効です。[期限切れの CRL を信頼する] が [いいえ] に設定されている場合、一致する有効な CRL が見つからなかったユーザーの証明書に対する認証は、すべて失敗します。

SSL セキュリティ

SSL 暗号このサイト文書に対する SSL 暗号の設定を変更するには、[修正] をクリックします。ここでの設定は、SSL v3 にのみ適用されます。SSL v2 暗号は変更できません。

SSL V2 を有効にするこのサイト文書に対して SSL v2 を有効にするには、[はい] を選択します。

4 文書を保存します。

関連項目

用語集

用語集

フィールド	設定
TCP 認証
Anonymous	(IMAP と POP3 を除くすべてのインターネットサイトに適用されます) 次のいずれかを選択します。 [はい] - このサイトへの匿名アクセスを許可します。 [いいえ] - 匿名アクセスを禁止します。
名前とパスワード	次のいずれかを選択します。 [はい] - このサイトにアクセスするために、ユーザー名とインターネットパスワードで認証を受けるようユーザーに要求します。 [いいえ] - 名前とパスワードによる認証を要求しません。
TCP から SSL へのリダイレクト	(Web サイトのみ) 次のいずれかを選択します。 [はい] - Web サイトにアクセスするために、SSL プロトコルを使用するようクライアントとサーバーに要求します。 [いいえ] - Web サイトにアクセスするために、クライアントとサーバーが SSL または TCP/IP を使用することを許可します。
SSL 認証
Anonymous	(IMAP と POP3 を除くすべてのインターネットサイトに適用されます) 次のいずれかを選択します。 [はい] - SSL ポート経由でアクセスするユーザーに、名前とパスワードによる認証を要求しません。 [いいえ] - ユーザーの匿名アクセスを拒否します。
名前とパスワード	次のいずれかを選択します。 [はい] - SSL を使用してこのサイトにアクセスするために、ユーザー名とインターネットパスワードで認証を受けるようユーザーに要求します。 [いいえ] - 名前とパスワードによる認証を要求しません。
クライアント認証	(Web サイト、IMAP、POP3、LDAP に適用されます) 次のいずれかを選択します。 [はい] - このサイトへのアクセスにクライアント認証を必要とします。 [いいえ] - クライアント認証を必要としません。
SSL オプション
キーファイル名	サーバーのキーリングファイルの名前を入力します。
プロトコルバージョン	次のいずれかを選択します。 [V2.0 のみ] - SSL 2.0 の接続だけを許可します。 [V3.0 ハンドシェーク] - SSL 3.0 の接続を試行します。この試行が失敗し、リクエスタが SSL 2.0 を検出した場合は、SSL 2.0 による接続が試行されます。 [V3.0 のみ] - SSL 3.0 の接続だけを許可します。 [V3.0 と V2.0 ハンドシェーク] - SSL ハンドシェークを試行し、関連するエラーメッセージが表示されます。SSL 3.0 接続が可能な場合は、SSL 3.0 で接続します。 [セッションで決定する] (デフォルト) - SSL 3.0 の接続を試行します。この試行が失敗した場合、SSL 2.0 が試行されます。プロトコルのバージョンに互換性がないことに起因する接続問題が発生していない場合に、この設定を使用してください。
SSL のサイト証明を受け入れる	次のいずれかを選択します。 [はい] - サーバーにプロトコルサーバーと共通する証明書がない場合でも、証明書を受け入れて SSL を使用します。 [いいえ] (デフォルト) - SSL サイトの証明書の受け入れを禁止します。
期限切れの SSL 証明書を受け入れる	次のいずれかを選択します。 [はい] - クライアント証明書の有効期限が過ぎている場合でも、クライアントアクセスを許可します。 [いいえ] - 期限切れの SSL 証明書を使用するクライアントアクセスを禁止します。
CRL をチェックする	次のいずれかを選択します。 [はい] - 確認しようとしているユーザーの証明書について、認証者の証明書失効リスト (CRL) をチェックします。有効な CRL が見つかり、ユーザーの証明書がリストに含まれている場合、この証明書は拒否されます。 [いいえ] - 証明書失効リストを使用しません。
期限切れの CRL を信頼する	次のいずれかを選択します。 [はい] - ユーザーの証明書を確認する際に、期限が切れていること以外は有効な証明書失効リストを使用します。いいえ] - 期限切れの証明書失効リストを拒否します。
CRL 検索が失敗した場合にアクセスを許可	次のいずれかを選択します。 [はい] - 有効な証明書失効リストの検索に失敗した際に、[CRL をチェックする] が [いいえ] に設定されているものとして処理します。 [いいえ] - ユーザーの証明書について有効な証明書失効リストが見つからなかった場合、証明書を拒否します。[期限切れの CRL を信頼する] が [はい] に設定されている場合、期限切れの CRL は有効です。[期限切れの CRL を信頼する] が [いいえ] に設定されている場合、一致する有効な CRL が見つからなかったユーザーの証明書に対する認証は、すべて失敗します。
SSL セキュリティ
SSL 暗号	このサイト文書に対する SSL 暗号の設定を変更するには、[修正] をクリックします。ここでの設定は、SSL v3 にのみ適用されます。SSL v2 暗号は変更できません。
SSL V2 を有効にする	このサイト文書に対して SSL v2 を有効にするには、[はい] を選択します。