Lotus Domino Administrator 6.5.1 ヘルプ - リモート LDAP ディレクトリのディレクトリアシスタント文書を作成する

ディレクトリサービス

リモート LDAP ディレクトリのディレクトリアシスタント文書を作成する
リモート LDAP ディレクトリに対してディレクトリアシスタントを設定するには、次のように、[ディレクトリアシスタント] データベース内に、そのディレクトリのディレクトリアシスタント文書を作成します。ディレクトリアシスタントのサービスと概念について、事前に理解しておくようにしてください。

1 [ディレクトリアシスタント] データベースの作成および複製、さらに、それを使用するためのサーバーの設定を完了していることを確認してください。

2 LDAP サービスの参照以外の用途でリモート LDAP ディレクトリを使用している場合は、TCP/IP ping ユーティリティを使用して、LDAP ディレクトリを使用する Domino Server がリモート LDAP ディレクトリサーバーに接続できるかどうかをテストします。

3 Domino Administrator で [ファイル] - [サーバーを開く] を選択し、[ディレクトリアシスタント] データベースを使用するように設定したサーバーを選択して、[OK] をクリックします。

4 [設定] タブをクリックします。

5 左側のペインで [ディレクトリ] - [ディレクトリアシスタント] を選択します。「サーバーエラー : ファイルがありません」というメッセージが表示された場合は、手順 3 で選択したサーバーが [ディレクトリアシスタント] データベースを使用するように設定されていません。

6 [ディレクトリアシスタントの追加] をクリックします。

7 [基本情報] タブで、次のフィールドに必要な情報を設定します。

フィールド 設定

ドメインタイプ [LDAP] を選択します。

ドメイン名 [ディレクトリアシスタント] データベース内の他のディレクトリアシスタント文書 (Notes または LDAP) に対して指定されているドメイン名と異なるドメイン名を選択します。詳しくは、「ディレクトリアシスタントとドメイン名」を参照してください。

会社名 (省略可能) このディレクトリに関連付けられている会社名。複数のディレクトリアシスタント文書で同じ会社名を使用できます。

検索順 (省略可能) サーバーがこのディレクトリを検索する順序または LDAP クライアントから参照する順序を表す数。[ディレクトリアシスタント] データベースで設定されている他のディレクトリからの相対値です。詳しくは、「命名規則とディレクトリの検索順序の関係」を参照してください。

このドメインを利用可能にする先次のいずれか、または両方を選択します。

Notes メールのアドレス指定、インターネットクライアント認証、またはデータベース認証のためのグループメンバーの検索でこの LDAP ディレクトリを使用する場合は、[Notes クライアントとインターネットの認証/承認]
LDAP サービスを実行しているサーバーが、LDAP クライアントからこの LDAP ディレクトリを参照できるようにする場合は、[LDAP クライアント]
詳しくは、「ディレクトリアシスタントのサービス」を参照してください。

グループの許可次のいずれかを選択します。

データベースアクセスを認証するときにこの LDAP ディレクトリにあるグループメンバーを検索する場合は、[はい]
データベースアクセスを認証するときにディレクトリにあるグループメンバーを検索しない場合は、[いいえ] (デフォルト)
[はい] は、[ディレクトリアシスタント] データベースで設定されているいずれか 1 つのディレクトリ (Notes または LDAP) についてのみ選択します。
[証明書を信用] の規則を有効化する必要はありません。
[はい] を選択した場合は、表示される [入れ子になったグループ展開] フィールドで次のいずれかを選択します。

ネストされたグループ (データベース ACL にリストされているグループのメンバーであるグループ) を検索する場合は、[はい] (デフォルト)
データベース ACL にリストされているグループのメンバーのみを検索し、それらのグループにネストされているグループのメンバーを検索しない場合は、[いいえ]
グループ認証について詳しくは、「ディレクトリアシスタントとデータベース認証のためのグループ検索」を参照してください。

有効この LDAP ディレクトリに対してディレクトリアシスタントを有効にする場合は、[はい] を選択します。

8 [名前付けのコンテキスト (ルール)] タブで、ディレクトリに対して定義する各規則について、次のフィールドに必要な情報を設定します。デフォルトでは、すべてをアスタリスクにする規則が有効であり、[証明書を信用] が [いいえ] に設定されています。

フィールド 設定

N.C # LDAP ディレクトリにあるユーザー名を表す命名コンテキスト (規則) を入力します。詳しくは、「ディレクトリアシスタントと命名規則」を参照してください。

有効次のいずれかを選択します。

規則を使用可能にする場合は、[はい]
規則を使用不可にする場合は、[いいえ] (デフォルト)

証明書を信用次のいずれかを選択します。

規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、この LDAP ディレクトリにある証明書をサーバーが使用できるようにする場合は、[はい]
規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、サーバーがこのディレクトリを使用しないようにする場合は、[いいえ] (デフォルト)
詳しくは、「信頼できる命名規則」を参照してください。

9 [LDAP] タブで、次のフィールドに必要な情報を設定します。

フィールド	設定
ホスト名	リモート LDAP ディレクトリサーバーのホスト名 (ldap.acme.com など）。Domino Server はこのホスト名を使用してリモート LDAP ディレクトリサーバーに接続します。または、LDAP クライアントの参照先を LDAP ディレクトリにします。 1 番目に指定されているホスト名の LDAP ディレクトリサーバーが使用不能になった場合に Domino Server が代替の LDAP ディレクトリサーバーを使用できるように、追加のホスト名を 1 つ以上入力します。ホスト名はコンマで区切ります。複数指定したディレクトリサーバーがそれぞれ異なるポートを監視している場合は、ホスト名の後ろにポートを指定します。次に例を示します。 ldap1.acme.com:390, ldap2.acme.com:391 詳しくは、「ディレクトリアシスタントとリモート LDAP ディレクトリのフェイルオーバー」を参照してください。
認証 (オプション)	詳しくは、「リモート LDAP ディレクトリのディレクトリアシスタント文書で Domino Server 用の名前とパスワードを指定する」を参照してください。
検索するベース DN	検索の基本条件 (LDAP ディレクトリサーバーで必要な場合)。次に例を示します。 o=Ace Industry o=Ace Industry,c=US
チャネルの暗号化	次のいずれかを選択します。 Domino Server がリモート LDAP ディレクトリサーバーに接続するときに SSL を使用する場合は、[SSL]（デフォルト） SSL を使用しない場合は、[なし] クライアント認証のため、またはデータベース認証でグループメンバーを検索するためにリモート LDAP ディレクトリを使用する場合は、[チャネルの暗号化] フィールドで [SSL] を選択したままにします。 [SSL] を選択した場合は、以下の関連フィールドで適切な値を選択します。 [期限切れの SSL 認証の追加] [SSL プロトコルのバージョン] [リモートサーバーの認証を使ったサーバー名の確認] 詳しくは、「リモート LDAP ディレクトリのディレクトリアシスタント文書で SSL を設定する」を参照してください。
ポート	Domino Server がリモート LDAP ディレクトリサーバーに接続するときに使用するポート番号 [チャネルの暗号化] フィールドで [SSL] を選択した場合のデフォルトポートは 636 [チャネルの暗号化] フィールドで [なし] を選択した場合のデフォルトポートは 389 LDAP ディレクトリサーバーがいずれのデフォルトポートも使用しない場合は、別のポート番号を手動で入力します。
タイムアウト	リモート LDAP ディレクトリの検索時間として許容される最大秒数。デフォルトは 60 秒です。リモート LDAP ディレクトリサーバーにもタイムアウト設定がある場合は、小さい方の設定が優先されます。
検索結果の最大数	Domino Server が検索する名前について LDAP ディレクトリサーバーが返すことのできる検索結果の最大数。LDAP ディレクトリサーバーにも最大数が設定されている場合は、小さい方の設定が優先されます。LDAP ディレクトリサーバーがタイムアウトになると、その時点までに見つかった名前の数が返されます。デフォルト値は 100 です。
検索でエイリアスを無効にする	リモート LDAP ディレクトリの検索中に別名の非参照を行う範囲を指定するには、次のいずれかを選択します。 [なし] [下位のエントリのみ] [検索ベースのエントリのみ] [常時] (デフォルト) LDAP ディレクトリで別名を使用しない場合は、[なし] を選択すると、検索のパフォーマンスが向上します。詳しくは、「リモート LDAP ディレクトリのディレクトリアシスタント文書で別名の非参照を設定する」を参照してください。
優先するメール形式	Notes メールで使用するアドレス形式をディレクトリから指定する場合は、次のいずれかを選択します。 [Notes メールアドレス] [インターネットメールアドレス] (デフォルト) 詳しくは、「リモート LDAP ディレクトリによる Notes メールのアドレス指定」を参照してください。
Notes の識別名で使う属性	(省略可能) Domino Server がリモート LDAP ディレクトリを使用してクライアント認証またはデータベース認証を行う場合は、必要に応じて、ユーザーの LDAP ディレクトリ識別名を対応する Notes 識別名にマップします。詳しくは、「リモート LDAP ディレクトリで Notes 識別名を使用する」を参照してください。
使用する検索フィルタの種類	ディレクトリの検索に使用する LDAP 検索フィルタを指定するには、次のいずれかを選択します。 [標準の LDAP] (デフォルト) [Active Directory] [カスタム] [標準の LDAP] は、ほとんどの状況で機能します。詳しくは、「リモート LDAP ディレクトリのディレクトリアシスタント文書で検索フィルタを設定する」を参照してください。

10 [保存して閉じる] をクリックします。

11 [グループの許可] フィールドを変更した場合は、次の操作を実行します。

[ディレクトリアシスタント] データベースを使用するすべてのサーバーにこの変更が複製されるのを待つか、強制的に複製を実行します。
各サーバーを再起動コンソールコマンドにより、ディレクトリアシスタントを使用してグループ認証を行う各サーバーをいったん終了した後、再起動します。これによって、各サーバーは変更を検出します。

関連項目

用語集

用語集

フィールド	設定
ドメインタイプ	[LDAP] を選択します。
ドメイン名	[ディレクトリアシスタント] データベース内の他のディレクトリアシスタント文書 (Notes または LDAP) に対して指定されているドメイン名と異なるドメイン名を選択します。詳しくは、「ディレクトリアシスタントとドメイン名」を参照してください。
会社名	(省略可能) このディレクトリに関連付けられている会社名。複数のディレクトリアシスタント文書で同じ会社名を使用できます。
検索順	(省略可能) サーバーがこのディレクトリを検索する順序または LDAP クライアントから参照する順序を表す数。[ディレクトリアシスタント] データベースで設定されている他のディレクトリからの相対値です。詳しくは、「命名規則とディレクトリの検索順序の関係」を参照してください。
このドメインを利用可能にする先	次のいずれか、または両方を選択します。 Notes メールのアドレス指定、インターネットクライアント認証、またはデータベース認証のためのグループメンバーの検索でこの LDAP ディレクトリを使用する場合は、[Notes クライアントとインターネットの認証/承認] LDAP サービスを実行しているサーバーが、LDAP クライアントからこの LDAP ディレクトリを参照できるようにする場合は、[LDAP クライアント] 詳しくは、「ディレクトリアシスタントのサービス」を参照してください。
グループの許可	次のいずれかを選択します。データベースアクセスを認証するときにこの LDAP ディレクトリにあるグループメンバーを検索する場合は、[はい] データベースアクセスを認証するときにディレクトリにあるグループメンバーを検索しない場合は、[いいえ] (デフォルト) [はい] は、[ディレクトリアシスタント] データベースで設定されているいずれか 1 つのディレクトリ (Notes または LDAP) についてのみ選択します。 [証明書を信用] の規則を有効化する必要はありません。 [はい] を選択した場合は、表示される [入れ子になったグループ展開] フィールドで次のいずれかを選択します。ネストされたグループ (データベース ACL にリストされているグループのメンバーであるグループ) を検索する場合は、[はい] (デフォルト) データベース ACL にリストされているグループのメンバーのみを検索し、それらのグループにネストされているグループのメンバーを検索しない場合は、[いいえ] グループ認証について詳しくは、「ディレクトリアシスタントとデータベース認証のためのグループ検索」を参照してください。
有効	この LDAP ディレクトリに対してディレクトリアシスタントを有効にする場合は、[はい] を選択します。

フィールド	設定
N.C #	LDAP ディレクトリにあるユーザー名を表す命名コンテキスト (規則) を入力します。詳しくは、「ディレクトリアシスタントと命名規則」を参照してください。
有効	次のいずれかを選択します。規則を使用可能にする場合は、[はい] 規則を使用不可にする場合は、[いいえ] (デフォルト)
証明書を信用	次のいずれかを選択します。規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、この LDAP ディレクトリにある証明書をサーバーが使用できるようにする場合は、[はい] 規則に対応する識別名を LDAP ディレクトリに持つインターネットクライアントの認証で、サーバーがこのディレクトリを使用しないようにする場合は、[いいえ] (デフォルト) 詳しくは、「信頼できる命名規則」を参照してください。