• アクセスが制限されている操作を実行しようとした場合
• サーバーで匿名アクセスが許可されていない場合

TCP/IP と SSL では、名前とパスワードによるアクセスと匿名アクセスを使用できます。TCP/IP での名前とパスワードによるアクセスと匿名アクセスについては、次の項目を参照してください。

この節の説明は、セッション認証が有効になっている Domino Web サーバーにアクセスする Web クライアントにも適用されます。

メモ DSAPI (Domino Web Server Application Programming Interface) は、Domino Web サーバーの拡張を可能にする C API です。これらの拡張 (フィルタ) により、Web ユーザーの認証をカスタマイズできます。DSAPI について詳しくは、Domino/Notes の Lotus C API Toolkit を参照してください。このツールキットは、//www.lotus.com/techzone で入手できます。

検証と認証の仕組み
次の例は、クライアント (Andrew) が TCP/IP を使ってサーバー (Mail-E) に接続するときの流れを示しています。

1 Andrew から Mail-E サーバー上のデータベースへのアクセスが開始されます。

2 サーバーはインターネットサイト文書 (またはサーバー文書) を調べて、TCP/IP で匿名アクセスが使用可能になっているかどうかを判断します。匿名アクセスが使用可能になっている場合は、次の処理が実行されます。

1. サーバーはデータベース ACL を調べ、[Anonymous] という名前のエントリを探します。[Anonymous] が存在し、[Anonymous] のアクセスレベルが [読者] 以上の場合、Andrew は匿名でデータベースにアクセスします。
2. ACL に [Anonymous] という名前のエントリが含まれていないと、データベース ACL の [- Default -] のアクセス権を調べます。[- Default -] のアクセス権が [読者] 以上の場合、Andrew は [- Default -] のアクセスレベルを使用して匿名でデータベースにアクセスします。

1. Andrew にユーザー名とパスワードを入力するように要求します。
2. サーバーは、Andrew がブラウザに入力したユーザー名を検索します。サーバーは、[弱いセキュリティと複数の名前のバリエーション] か [強いセキュリティで少ない名前のバリエーション] のどちらかを検索機構として使用し、入力された名前をすべてのディレクトリ内で検索します。
3. Andrew が入力したユーザー名が見つかり、Andrew が入力したパスワードが Andrew のユーザー文書の [インターネットパスワード] フィールドのパスワードと一致すると、Andrew は認証されます。サーバーは、1 次 Domino ディレクトリのユーザー文書をチェックします。2 次 Domino ディレクトリと LDAP ディレクトリを検索するように設定されている場合、サーバーは、2 次 Domino ディレクトリと LDAP ディレクトリもチェックします。
メモ Domino は、インターネットユーザーの認証時、ユーザー文書の [フルネーム] フィールドに最初に表示されている名前である「識別名」を使用します。この名前は、グループ、代理サーバー管理、データベース ACL、ファイル保護文書のエントリで使用します。
1. 次に、サーバーは「グループリスト」をコンパイルします。グループリストには、Andrew の識別名、ワイルドカードエントリ、このサーバー上で Andrew がメンバーになっているすべてのグループが含まれています。
2. サーバーは次に、データベース ACL をチェックし、Andrew の名前が ACL に明示的にリストされているかどうか、または Andrew の名前に対応するグループリストエントリが ACL にあるかどうかを調べます。
3. Andrew の識別名か、Andrew がメンバーになっているグループの名前が ACL 内のエントリに一致すると、Andrew は、ACL 内の該当するエントリで指定されているアクセスレベルを使ってデータベースにアクセスできるようになります。それ以外の場合、Andrew からのアクセスは拒否されます。

インターネット/イントラネットクライアントの名前とパスワードによる認証
Web クライアントのセッションベースの名前とパスワードによる認証