Lotus Domino Administrator 8 ヘルプ - セキュリティポリシー設定文書を作成する

ユーザーとサーバーの設定

セキュリティポリシー設定文書を作成する
セキュリティポリシー設定文書を使用すると、IBM(R) Lotus Notes(R) とインターネットパスワードを管理し、カスタマイズされたパスワードを組織に設定し、キーロールオーバーをセットアップし、管理 ECL を管理できます。また、複合アプリケーション用の署名付きプラグインとホームポータルサーバーも設定します。

メモ IBM(R) Lotus Domino(R) Web Access でサポートされているのは、セキュリティポリシー設定の一部です。Lotus Domino Web Access ユーザーにセキュリティ設定文書を作成する方法について詳しくは、「Lotus Domino Web Access でポリシーを使用する」を参照してください。

セキュリティ設定文書を作成するには 1 IBM(R) Lotus Domino(R) ディレクトリに対する [編集者] アクセス権と、次のロールのいずれかがあることを確認します。

設定文書を作成するための PolicyCreator ロール。
設定文書を編集するための PolicyModifier ロール。

2 Lotus Domino Administrator で、[ユーザーとグループ] タブを選択し、[設定] ビューを開きます。

3 [設定の追加] をクリックし、[セキュリティ] を選択します。

4 [基本] タブで、次のフィールドを設定します。

フィールド アクション

名前これらの設定を使用するユーザー (サービスプロバイダの場合は、ホステッドオーガニゼーション) の名前を入力します。

説明設定の説明を入力します。

5 このセキュリティ設定文書では、次のいずれかまたはすべてを実行できます。

Lotus Notes とインターネットパスワードを管理する。
インターネットパスワードのロックアウトを設定する。
カスタムパスワードポリシーを設定する。
キーロールオーバーを有効にする
管理 ECL を管理する。
署名付きプラグインを設定する。
複合アプリケーションのユーザーに対して IBM Websphere Portal 設定を定義する。

Lotus Notes とインターネットパスワードを管理する[プリファレンス] - [パスワード管理] タブの次のフィールドに必要な情報を設定します。
Lotus Notes パスワードとインターネットパスワードについて詳しくは、「パスワードの照合を設定する」および「インターネットクライアントの名前とパスワードによる認証」を参照してください。

フィールド アクション

パスワード管理オプション

Lotus Notes Client にカスタムパスワードポリシーを使用次のいずれかを選択します。

[いいえ] (デフォルト)
[はい] - カスタムパスワードポリシーを実装します。カスタムパスワードポリシーを使用すると、特定のパスワードパラメータを設定できるので、パスワードの予想がつかなくなります。[カスタムパスワードポリシー] タブの設定を使って、ポリシーをセットアップします。

Lotus Notes ID ファイルのパスワードを確認次のいずれかを選択します。

[いいえ] (デフォルト)
[はい] - ユーザー ID のすべてのコピーに同じパスワードを指定する必要があります。

HTTP でインターネットパスワードの変更を許可次のいずれかを選択します。

[はい] (デフォルト) -- ユーザーが Web ブラウザを使用してインターネットパスワードを変更できます。
無

Lotus Notes ID パスワード変更時にインターネットパスワードにも反映する次のいずれかを選択します。

[いいえ] (デフォルト)
[はい] - インターネットパスワードと Lotus Notes Client パスワードの同期を取ります。

Workplace リッチクライアントで Lotus Notes シングルサインオンを有効化 (8.0 より前) 次のいずれかを選択します。

[いいえ] (デフォルト)
[はい] - IBM Workplace リッチクライアントでは、Lotus Notes プラグインを使ってシングルログオンを有効にできます。

パスワードの有効期限

パスワードの期限を有効にする次のいずれかを選択します。

[無効] (デフォルト) -- パスワードの有効期限を無効にします。パスワードの有効期限が無効になっている場合、このセクションの残りのフィールドに必要な情報を入力しないでください。
メモ次のいずれかのオプションのパスワード有効期限を有効にすると、セキュリティ設定文書のデフォルトが変わります。

[Notes のみ] -- Lotus Notes パスワードの有効期限だけを有効にします。
[インターネットのみ] -- インターネットパスワードの有効期限だけを有効にします。
[Notes とインターネット] -- Lotus Notes パスワードとインターネットパスワードの有効期限を両方とも有効にします。
メモインターネットパスワードの有効期限の設定は、HTTP プロトコルでしか認識されません。つまり、他のインターネットプロトコル (LDAP や POP3 など) では、インターネットパスワードを無期限に使用できることになります。
注意 Lotus Domino Server へのログインにユーザーがスマートカードを使用する場合は、パスワードの有効期限を有効にしないでください。

必須変更間隔パスワードが有効な日数を指定します。この日数が経過すると、パスワードの変更が必要になります。デフォルト値は 0 です。
メモ 30 未満の値を設定すると、[警告周期] フィールドが自動的に計算されます。このフィールドに入力した日数の 80% の数値が、警告周期として計算されます。

許可する猶予期間期限が切れたパスワードを変更できる猶予期間の日数を指定します。この日数が経過すると、パスワードはロックアウトされます。デフォルト値は 0 です。

パスワードの履歴 (Lotus Notes のみ) 保存する期限切れパスワードの数を指定します。パスワードを保存しておくと、ユーザーが古いパスワードを再使用できなくなります。デフォルト値は 0 です。

警告周期ユーザーが期限切れの警告メッセージを受け取る、パスワードの有効期限切れ前の日数を指定します。デフォルト値は 0 です。
メモ [必須変更間隔] の設定が 30 日未満に設定された場合、このフィールドの値が計算されます。このフィールドの値が計算されるように、パスワードの有効期間を有効にしなければなりません。この値が計算されると、上書きできません。

カスタム警告メッセージ [警告周期] フィールドに指定した有効期間の限界値を過ぎたユーザーに送信されるカスタム警告メッセージを入力します。
メモパスワード有効期限をどのように有効にしたかに関わらず、カスタム警告メッセージの対象は Lotus Notes Client のみです。インターネットユーザーには、警告メッセージが表示されません。

インターネットパスワードのロックアウトを設定する[インターネットパスワードのロックアウト設定] タブの次のフィールドに必要な情報を設定します。
インターネットパスワードのロックアウトについて詳しくは、「インターネットパスワードを保護する」を参照してください。

フィールド アクション

インターネットパスワードのロックアウトの設定

サーバーのインターネットロックアウト設定を上書きしますか? このポリシー文書設定が有効になっている場合、そのポリシー設定によって、サーバーの設定文書内のインターネットパスワードのロックアウトの設定が上書きされます。
メモこれらのポリシーを有効にするには、サーバーはインターネットパスワードのロックアウトを実施する必要があります。

許可される最大入力回数ロックアウトが発生するまでに許可されているパスワードの最大試行回数。0 に設定すると、無制限にパスワードを試行することができます。

ロックアウトの有効期限ロックアウトが実施される期間。この期間が経過すると、次回ユーザーが認証を受けようとしたときに、そのユーザーアカウントが自動的にアンロックされます。0 に設定すると、自動ロックが無効になります。

最大試行間隔ユーザーがロックアウトされていない場合、この期間を経過して認証に成功しないと、以前に失敗した試行は消去されません。より確実なセキュリティが必要な場合は、さらに長い保護強度時間を指定してください。0 に設定すると、認証に成功するたびに、失敗したパスワード試行が消去されます。

パスワードクオリティの設定

要求するパスワード長パスワードクオリティに基づいてユーザーにパスワードを選択させる必要がある場合、ドロップダウンリストの値を選択して、クオリティを指定します。
詳しくは、「パスワードクオリティスケールについて」を参照してください。

パスワード長を使用長さに基づいてユーザーにパスワードを選択させる必要がある場合、[はい] をクリックします。この操作を行うと、[要求するパスワードクオリティ] フィールドが [要求するパスワード長] に変わります。パスワードの最低の長さを指定します。

カスタムパスワードポリシーを設定するカスタムパスワードポリシーを実装するよう選択した場合、[カスタムパスワードポリシー] タブのフィールドに必要な情報を入力してください。詳しくは、「カスタムパスワードポリシー」を参照してください。

フィールド アクション

Lotus Notes Client の最初の使用時にパスワードを変更する Lotus Notes を使用して初めてログインする場合のパスワードを変更する必要があります。
メモこれは、ユーザー登録中にポリシーが適用された場合にのみ機能します。

パスワードに共通名の使用を許可するユーザーの共通名の組み合わせをパスワードで使用できます。
次に例を示します。John232 がユーザー CN=John Doe/O=Mutt のパスワードの場合、John Doe が共通名となります。

パスワード長 (最小) ユーザーがパスワードで使用できる最低文字数を指定します。

パスワード長 (最大) ユーザーがパスワードで使用できる最大文字数を指定します。

パスワードクオリティ (最小) ユーザーがパスワードで使用できる最小パスワードクオリティ値を指定します。

アルファベットの許可 (最小) ユーザーがパスワードで使用できるアルファベットの最小数を指定します。

英大文字の許可 (最小) ユーザーがパスワードで使用できる大文字の最小数を指定します。

英小文字の許可 (最小) ユーザーがパスワードで使用できる小文字の最小数を指定します。

数字の許可 (最小) ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。

特殊文字の許可 (最小) ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。

必要な非小文字の最小数ユーザーパスワードに必要な特殊文字、数字、大文字の最小数を指定します。ここに大きい値を指定すると、パスワードの解読が難しくなります。
数値の入力後に、この要件に指定できる文字タイプがリストされたチェックリストが表示されます。次のいずれかの組み合わせも可能です。

数字
特殊文字
大文字

繰り返し文字の許可 (最大) パスワードで使用できる繰り返し文字の最大数を指定します。

固有文字の許可 (最小) パスワードで 1 度だけ表示される文字の最小数を指定します。

パスワードの先頭で使用禁止の文字パスワードの最初に使用できない文字タイプを指定します。

パスワードの末尾で使用禁止の文字パスワードの最後に使用できない文字タイプを指定します。

管理 ECL を設定する[実行制御リスト] タブのフィールドに必要な情報を入力し、組織で使用される管理 ECL を設定します。
管理 ECL とクライアント ECL について詳しくは、「操作制御リスト」および「デフォルトの ECL 設定」を参照してください。

フィールド アクション

管理者 ECL 次のいずれかを選択します。

[編集] -- [編集] ボタンの横に名前が表示される ECL を編集する場合。
[管理] -- この機能の使用方法については、「管理者 ECL を管理する」を参照してください。
メモ [編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。

更新モード次のいずれかを選択します。

[更新] -- 新しい情報または管理者 ECL から変更された情報でクライアント ECL を更新するには、次の操作を実行します。
クライアント ECL が管理者 ECL にない署名を一覧表示すると、その署名および設定はクライアント ECL と同じになります。
管理者 ECL が管理者クライアント ECL にない署名を一覧表示した場合、その署名および設定はクライアント ECL に追加されます。
クライアント ECL と管理者 ECL が同じ署名を一覧表示した場合は、クライアント ECL の署名の設定が削除され、管理者 ECL の署名の設定で置き換えられます。
[置換] -- 管理者 ECL でクライアント ECL を上書きします。クライアント ECL の情報は保持されません。

更新の頻度次のいずれかを選択します。

[日に一度] -- クライアントがホームサーバーで認証を行うとき、ECL が最後に更新されてから 1 日経過している場合、または管理者 ECL が変更された場合、クライアント ECL を更新します。
[管理者 ECL を変更するとき] -- クライアントがホームサーバーで認証を行っていて、システム管理 ECL が最後に更新された後に変更された場合、クライアント ECL を更新します。
[なし] -- 認証時にクライアント ECL の更新は行われません。

管理者 ECL の管理
ドメイン内で最初のサーバーを設定するときに Lotus Domino が作成するデフォルトのシステム管理 ECL は、後で組織に合わせてカスタマイズできます。複数のタイプの管理者 ECL を持つ必要がある場合があります。たとえば 1 つは請負業者用の管理者 ECL であり、1 つは常勤社員用の管理者 ECL です。[ワークステーションセキュリティ: Admin 実行制御リスト] ダイアログボックスを使用すると、作成した管理者 ECL を管理できます。また、このダイアログボックスを使用して、新規の管理者 ECL を作成したり、不要になった管理者 ECL を削除したりすることもできます。

1 セキュリティ設定文書のツールバーで、[設定の編集] をクリックします。

メモ

[編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。

2 [管理] をクリックします。[ワークステーションセキュリティ: Admin 実行制御リスト] ダイアログボックスが表示されます。これにより、次のオプションを使用できるようになります。

意図	次の手順を実行します。
既存の管理 ECL を編集する	編集する管理者 ECL の名前をリストボックスから選択します。選択した管理者 ECL の名前が、[実行制御リスト] タブの [管理者 ECL] フィールドに表示されます。 [編集] ボタンをクリックして、選択した管理者 ECL を開きます。
新規の管理者 ECL を作成する	新規の ECL の名前を [新規 Admin ECL の作成] フィールドに入力し、[OK] をクリックします。新規の管理者 ECL の名前が、[実行制御リスト] タブの [管理者 ECL] フィールドに表示されます。 [編集] ボタンをクリックして、新規の管理者 ECL を作成します。
既存の管理 ECL を削除する	削除する管理者 ECL の名前をリストボックスから選択し、[削除] をクリックします。選択した管理者 ECL が削除され、既存の管理者 ECL のリストが更新されます。

注意管理者 ECL は、セキュリティ設定文書とは別に保存されます。管理 ECL を編集すると、その特定の名前の付いた管理者 ECL を参照しているすべてのセキュリティ設定文書で、その変更が使用されます。管理者 ECL を削除すると、その特定の管理者 ECL を参照しているすべてのセキュリティ設定文書で、デフォルトの管理者 ECL が使用されます。管理者 ECL を削除すると、[キャンセル] をクリックしてもその削除を元に戻すことはできません。

メモ [キャンセル] をクリックしても、管理者 ECL の名前は変更されずに設定文書に表示されます。

キーロールオーバーを有効にする[パブリックキー情報] タブのフィールドに必要な情報を入力し、ユーザーグループのキーロールオーバーを設定します。ユーザーのグループのキーロールオーバーを起動するトリガーを指定します。このポリシーが適用されるユーザーグループのロールオーバープロセスを実行する場合、指定期間より間隔をあけることができるオプションがあります。
キーロールオーバーについて詳しくは、「ユーザーとサーバーキーのロールオーバー」を参照してください。

フィールド 設定内容

パブリックキー要求のデフォルト

パブリックキーの要件を親ポリシーから継承します。
パブリックキーの要件を子ポリシーで有効にします。

ユーザーのパブリックキー要件

キー強度の許可 (最小) メモ指定したレベルより弱く押したキーは、ロールオーバーされます。

制限なし (指定しないことも可能)
すべてのリリースで互換の最大値 (630 ビット)
6.0 以降と互換 (1024 ビット)
7.0 以降と互換 (2048 ビット)

キー強度の許可 (最大) メモ指定したレベルより弱く押したキーは、ロールオーバーされます。

すべてのリリースで互換 (630 ビット)
6.0 以降と互換 (1024 ビット)
7.0 以降と互換 (2048 ビット)

推奨するキー強度新規キーの作成時に使用する優先キーの強さを選択します。

すべてのリリースで互換 (630 ビット)
6.0 以降と互換 (1024 ビット)
7.0 以降と互換 (2048 ビット)

許容するキーの世代(最大) (日数) ロールオーバーが必要になるまでにキーが到達できる最長経過期間を指定します。デフォルトは 36500 日 (100 年) です。

許容する最初のキー作成日この日付より以前に作成されたキーはロールオーバーされます。

指定した日数の経過後にすべてのユーザーに新規キーを生成して配布セキュリティ設定ポリシー文書が適用されるすべてのユーザーに対し新規キーが作成される期間を指定します。ユーザーキーは、指定期間中不規則にロールオーバーされます。デフォルトは 180 日です。

新規キーの作成後に古いキーが使用可能な日数の最大値ネットワーク認証中に古いキーを使用できる期間を指定します。Lotus Notes のキー照合時には、新旧すべての証明書とすべてのロールオーバーキーが 1 つのツリーにまとめられ、そのツリーが渡されて、キーを照合するためにチェーン化できる証明書セットが検索されます。有効期限が過ぎた証明書は、このチェーンの中では使用できません。キーが改ざんされている可能性に対応するためにキーをロールオーバーする場合、そのキーに発行された古い証明書を使用できる期間を短い値に設定することを推奨します。この設定の有効な値は 1 ～ 36500 日で、デフォルトは 365 日です。

認証の有効期間の設定

警告周期ユーザーが期限切れの警告メッセージを受け取る、認証の有効期限切れ前の日数を指定します。デフォルト値は 0 です。

カスタム警告メッセージ [警告周期] フィールドに指定した有効期間の限界値を過ぎたユーザーに送信されるカスタム警告メッセージを入力します。

On-line Certificate Status Protocol (OCSP) チェックを有効にするOnline Certificate Status Protocol (OCSP) を使用すると、識別された証明書の取り消し状態をアプリケーションで判別することができます。OCSP チェックは、S/MIME 署名検査中とメールの暗号化中に Lotus Notes Client によって行われます。OCSP は、ポリシーで、セキュリティ設定文書の [パブリックキー情報] タブの [OCSP のチェックを有効にする] 設定を使用することによって有効化されます。
署名付きプラグインを設定するプラグインはクライアントソフトウェアで提供され、通常は証明書で署名されています。この証明書は、Lotus Notes Client によって信頼されており、そのプラグインに含まれているデータが破損していないことを証明します。このようにして署名されたプラグインは、ユーザーにプロンプトを表示してそのプラグインを受け入れるよう要求しなくても、インストールすることができます。
プラグインに問題があることが判明することもあります。このようなプラグインは、署名されていないか、信頼できる証明書で署名されていないか、証明書の有効期限が切れているか、またはまだ有効になっていないかのいずれかです。このような場合、ポリシーを設定して、これらのプラグインをインストールしないようにするか、常にインストールするか、またはワークステーションにプラグインをインストールするときにユーザーに決定させることができます。

フィールド 設定内容

期限切れのプラグインまたはまだ有効になっていないプラグインのインストール

ユーザーに確認
インストールしない
常にインストール

署名されていないプラグインのインストール

ユーザーに確認
インストールしない
常にインストール

認識できない認証者によって署名されたプラグインのインストール

ユーザーに確認
インストールしない
常にインストール

ポータルサーバー設定を定義するには

フィールド アクション

ホームポータルサーバー Lotus Notes ユーザーアカウントをホストする IBM(R) WebSphere(R) Portal Server の名前を入力します。

認証 URL Lotus Notes ユーザーが Portal Server で認証を受けるためにアクセスする必要のある URL を入力します。

認証の種類次のいずれかを選択します。

J2EE-Form
HTTP -- Web ベースの認証用

関連項目

ポリシー文書を作成する

パスワードクオリティスケール

用語集

フィードバック ヘルプ または プロダクトユーザビリティ?

ヘルプの使い方

すべてのヘルプ項目

用語集

フィールド	アクション
名前	これらの設定を使用するユーザー (サービスプロバイダの場合は、ホステッドオーガニゼーション) の名前を入力します。
説明	設定の説明を入力します。

フィールド	アクション
パスワード管理オプション
Lotus Notes Client にカスタムパスワードポリシーを使用	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - カスタムパスワードポリシーを実装します。カスタムパスワードポリシーを使用すると、特定のパスワードパラメータを設定できるので、パスワードの予想がつかなくなります。[カスタムパスワードポリシー] タブの設定を使って、ポリシーをセットアップします。
Lotus Notes ID ファイルのパスワードを確認	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - ユーザー ID のすべてのコピーに同じパスワードを指定する必要があります。
HTTP でインターネットパスワードの変更を許可	次のいずれかを選択します。 [はい] (デフォルト) -- ユーザーが Web ブラウザを使用してインターネットパスワードを変更できます。無
Lotus Notes ID パスワード変更時にインターネットパスワードにも反映する	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - インターネットパスワードと Lotus Notes Client パスワードの同期を取ります。
Workplace リッチクライアントで Lotus Notes シングルサインオンを有効化 (8.0 より前)	次のいずれかを選択します。 [いいえ] (デフォルト) [はい] - IBM Workplace リッチクライアントでは、Lotus Notes プラグインを使ってシングルログオンを有効にできます。
パスワードの有効期限
パスワードの期限を有効にする	次のいずれかを選択します。 [無効] (デフォルト) -- パスワードの有効期限を無効にします。パスワードの有効期限が無効になっている場合、このセクションの残りのフィールドに必要な情報を入力しないでください。メモ次のいずれかのオプションのパスワード有効期限を有効にすると、セキュリティ設定文書のデフォルトが変わります。 [Notes のみ] -- Lotus Notes パスワードの有効期限だけを有効にします。 [インターネットのみ] -- インターネットパスワードの有効期限だけを有効にします。 [Notes とインターネット] -- Lotus Notes パスワードとインターネットパスワードの有効期限を両方とも有効にします。メモインターネットパスワードの有効期限の設定は、HTTP プロトコルでしか認識されません。つまり、他のインターネットプロトコル (LDAP や POP3 など) では、インターネットパスワードを無期限に使用できることになります。注意 Lotus Domino Server へのログインにユーザーがスマートカードを使用する場合は、パスワードの有効期限を有効にしないでください。
必須変更間隔	パスワードが有効な日数を指定します。この日数が経過すると、パスワードの変更が必要になります。デフォルト値は 0 です。メモ 30 未満の値を設定すると、[警告周期] フィールドが自動的に計算されます。このフィールドに入力した日数の 80% の数値が、警告周期として計算されます。
許可する猶予期間	期限が切れたパスワードを変更できる猶予期間の日数を指定します。この日数が経過すると、パスワードはロックアウトされます。デフォルト値は 0 です。
パスワードの履歴 (Lotus Notes のみ)	保存する期限切れパスワードの数を指定します。パスワードを保存しておくと、ユーザーが古いパスワードを再使用できなくなります。デフォルト値は 0 です。
警告周期	ユーザーが期限切れの警告メッセージを受け取る、パスワードの有効期限切れ前の日数を指定します。デフォルト値は 0 です。メモ [必須変更間隔] の設定が 30 日未満に設定された場合、このフィールドの値が計算されます。このフィールドの値が計算されるように、パスワードの有効期間を有効にしなければなりません。この値が計算されると、上書きできません。
カスタム警告メッセージ	[警告周期] フィールドに指定した有効期間の限界値を過ぎたユーザーに送信されるカスタム警告メッセージを入力します。メモパスワード有効期限をどのように有効にしたかに関わらず、カスタム警告メッセージの対象は Lotus Notes Client のみです。インターネットユーザーには、警告メッセージが表示されません。

フィールド	アクション
インターネットパスワードのロックアウトの設定
サーバーのインターネットロックアウト設定を上書きしますか?	このポリシー文書設定が有効になっている場合、そのポリシー設定によって、サーバーの設定文書内のインターネットパスワードのロックアウトの設定が上書きされます。メモこれらのポリシーを有効にするには、サーバーはインターネットパスワードのロックアウトを実施する必要があります。
許可される最大入力回数	ロックアウトが発生するまでに許可されているパスワードの最大試行回数。0 に設定すると、無制限にパスワードを試行することができます。
ロックアウトの有効期限	ロックアウトが実施される期間。この期間が経過すると、次回ユーザーが認証を受けようとしたときに、そのユーザーアカウントが自動的にアンロックされます。0 に設定すると、自動ロックが無効になります。
最大試行間隔	ユーザーがロックアウトされていない場合、この期間を経過して認証に成功しないと、以前に失敗した試行は消去されません。より確実なセキュリティが必要な場合は、さらに長い保護強度時間を指定してください。0 に設定すると、認証に成功するたびに、失敗したパスワード試行が消去されます。
パスワードクオリティの設定
要求するパスワード長	パスワードクオリティに基づいてユーザーにパスワードを選択させる必要がある場合、ドロップダウンリストの値を選択して、クオリティを指定します。詳しくは、「パスワードクオリティスケールについて」を参照してください。
パスワード長を使用	長さに基づいてユーザーにパスワードを選択させる必要がある場合、[はい] をクリックします。この操作を行うと、[要求するパスワードクオリティ] フィールドが [要求するパスワード長] に変わります。パスワードの最低の長さを指定します。

フィールド	アクション
Lotus Notes Client の最初の使用時にパスワードを変更する	Lotus Notes を使用して初めてログインする場合のパスワードを変更する必要があります。メモこれは、ユーザー登録中にポリシーが適用された場合にのみ機能します。
パスワードに共通名の使用を許可する	ユーザーの共通名の組み合わせをパスワードで使用できます。次に例を示します。John232 がユーザー CN=John Doe/O=Mutt のパスワードの場合、John Doe が共通名となります。
パスワード長 (最小)	ユーザーがパスワードで使用できる最低文字数を指定します。
パスワード長 (最大)	ユーザーがパスワードで使用できる最大文字数を指定します。
パスワードクオリティ (最小)	ユーザーがパスワードで使用できる最小パスワードクオリティ値を指定します。
アルファベットの許可 (最小)	ユーザーがパスワードで使用できるアルファベットの最小数を指定します。
英大文字の許可 (最小)	ユーザーがパスワードで使用できる大文字の最小数を指定します。
英小文字の許可 (最小)	ユーザーがパスワードで使用できる小文字の最小数を指定します。
数字の許可 (最小)	ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。
特殊文字の許可 (最小)	ユーザーがパスワードで使用できる特殊文字、つまり句読点の最小数を指定します。
必要な非小文字の最小数	ユーザーパスワードに必要な特殊文字、数字、大文字の最小数を指定します。ここに大きい値を指定すると、パスワードの解読が難しくなります。数値の入力後に、この要件に指定できる文字タイプがリストされたチェックリストが表示されます。次のいずれかの組み合わせも可能です。数字特殊文字大文字
繰り返し文字の許可 (最大)	パスワードで使用できる繰り返し文字の最大数を指定します。
固有文字の許可 (最小)	パスワードで 1 度だけ表示される文字の最小数を指定します。
パスワードの先頭で使用禁止の文字	パスワードの最初に使用できない文字タイプを指定します。
パスワードの末尾で使用禁止の文字	パスワードの最後に使用できない文字タイプを指定します。

フィールド	アクション
管理者 ECL	次のいずれかを選択します。 [編集] -- [編集] ボタンの横に名前が表示される ECL を編集する場合。 [管理] -- この機能の使用方法については、「管理者 ECL を管理する」を参照してください。メモ [編集] ボタンと [管理] ボタンは、セキュリティ設定文書が編集モードのときにのみ、表示されます。
更新モード	次のいずれかを選択します。 [更新] -- 新しい情報または管理者 ECL から変更された情報でクライアント ECL を更新するには、次の操作を実行します。クライアント ECL が管理者 ECL にない署名を一覧表示すると、その署名および設定はクライアント ECL と同じになります。管理者 ECL が管理者クライアント ECL にない署名を一覧表示した場合、その署名および設定はクライアント ECL に追加されます。クライアント ECL と管理者 ECL が同じ署名を一覧表示した場合は、クライアント ECL の署名の設定が削除され、管理者 ECL の署名の設定で置き換えられます。 [置換] -- 管理者 ECL でクライアント ECL を上書きします。クライアント ECL の情報は保持されません。
更新の頻度	次のいずれかを選択します。 [日に一度] -- クライアントがホームサーバーで認証を行うとき、ECL が最後に更新されてから 1 日経過している場合、または管理者 ECL が変更された場合、クライアント ECL を更新します。 [管理者 ECL を変更するとき] -- クライアントがホームサーバーで認証を行っていて、システム管理 ECL が最後に更新された後に変更された場合、クライアント ECL を更新します。 [なし] -- 認証時にクライアント ECL の更新は行われません。

フィールド	設定内容
パブリックキー要求のデフォルト	パブリックキーの要件を親ポリシーから継承します。パブリックキーの要件を子ポリシーで有効にします。
ユーザーのパブリックキー要件
キー強度の許可 (最小)	メモ指定したレベルより弱く押したキーは、ロールオーバーされます。制限なし (指定しないことも可能) すべてのリリースで互換の最大値 (630 ビット) 6.0 以降と互換 (1024 ビット) 7.0 以降と互換 (2048 ビット)
キー強度の許可 (最大)	メモ指定したレベルより弱く押したキーは、ロールオーバーされます。すべてのリリースで互換 (630 ビット) 6.0 以降と互換 (1024 ビット) 7.0 以降と互換 (2048 ビット)
推奨するキー強度	新規キーの作成時に使用する優先キーの強さを選択します。すべてのリリースで互換 (630 ビット) 6.0 以降と互換 (1024 ビット) 7.0 以降と互換 (2048 ビット)
許容するキーの世代(最大) (日数)	ロールオーバーが必要になるまでにキーが到達できる最長経過期間を指定します。デフォルトは 36500 日 (100 年) です。
許容する最初のキー作成日	この日付より以前に作成されたキーはロールオーバーされます。
指定した日数の経過後にすべてのユーザーに新規キーを生成して配布	セキュリティ設定ポリシー文書が適用されるすべてのユーザーに対し新規キーが作成される期間を指定します。ユーザーキーは、指定期間中不規則にロールオーバーされます。デフォルトは 180 日です。
新規キーの作成後に古いキーが使用可能な日数の最大値	ネットワーク認証中に古いキーを使用できる期間を指定します。Lotus Notes のキー照合時には、新旧すべての証明書とすべてのロールオーバーキーが 1 つのツリーにまとめられ、そのツリーが渡されて、キーを照合するためにチェーン化できる証明書セットが検索されます。有効期限が過ぎた証明書は、このチェーンの中では使用できません。キーが改ざんされている可能性に対応するためにキーをロールオーバーする場合、そのキーに発行された古い証明書を使用できる期間を短い値に設定することを推奨します。この設定の有効な値は 1 ～ 36500 日で、デフォルトは 365 日です。
認証の有効期間の設定
警告周期	ユーザーが期限切れの警告メッセージを受け取る、認証の有効期限切れ前の日数を指定します。デフォルト値は 0 です。
カスタム警告メッセージ	[警告周期] フィールドに指定した有効期間の限界値を過ぎたユーザーに送信されるカスタム警告メッセージを入力します。

フィールド	設定内容
期限切れのプラグインまたはまだ有効になっていないプラグインのインストール	ユーザーに確認インストールしない常にインストール
署名されていないプラグインのインストール	ユーザーに確認インストールしない常にインストール
認識できない認証者によって署名されたプラグインのインストール	ユーザーに確認インストールしない常にインストール

フィールド	アクション
ホームポータルサーバー	Lotus Notes ユーザーアカウントをホストする IBM(R) WebSphere(R) Portal Server の名前を入力します。
認証 URL	Lotus Notes ユーザーが Portal Server で認証を受けるためにアクセスする必要のある URL を入力します。
認証の種類	次のいずれかを選択します。 J2EE-Form HTTP -- Web ベースの認証用