セキュリティ

Domino CA を管理する
認証者の管理に関連するタスクは多数あります。CA プロセスを使用する認証者を設定すると、IBM(R) Lotus Notes(R) 認証およびインターネット認証要求の承認と拒否を、登録機関として機能する管理者に委任できます。

メモ IBM(R) Lotus Domino(R) 6 では、CA プロセスを使用することにより、CA の管理に関連する手動タスクの多くが自動化されています。

Lotus Domino 認証機関の管理者のタスクLotus Domino 認証機関の管理者 (CAA) が担当するタスクは、次のとおりです。


CAA は、ドメインのマスター Lotus Domino ディレクトリに対して [編集者] 以上のアクセス権を持つ必要があります。

認証者ごとに、CAA を 2 人以上指定しておくとよいでしょう。そうしておけば、一方が異動しても、すぐに対処できます。

メモ デフォルトでは、認証者を作成した管理者は、その認証者の CAA および RA として自動的に指定されます。別の CAA を作成する場合、RA のロールが割り当てられないと、認証要求の承認や拒否を行うことができません。

Lotus Domino 登録機関の管理者のタスク登録機関 (RA) の管理者は、Lotus Notes 認証要求またはインターネット認証要求の承認または拒否、インターネット証明書の失効 (必要に応じて) を実行します。CA 管理者を登録機関にすることもできますが、RA のロールを別に設けると、Lotus Domino 管理者や CA 管理者からそれらのタスクの負荷を減らすことができます。さらに、Lotus Domino 管理者は、CA プロセスが有効になっている認証者ごとに、RA を 1 つまたは複数設定することもできます。
RA は、該当する認証者によって受け付けられた要求だけを承認します。CA の ICL データベースに格納されている CA 設定文書および CA 証明書プロフィール文書では、受け付け可能な要求について規定されています。文書の現在の有効なコピーも添付ファイルとして CA の認証者文書と共に保存されます。

認証者に証明書を発行してもらうために必要な手順を最小限にするために、Lotus Notes ユーザーを登録する Lotus Domino 管理者は、該当する Lotus Notes 認証者の RA としてもリストされている必要もあります。

Web サーバー管理クライアントを使用している場合、Lotus Notes ユーザーを登録するには、サーバーベースの認証機関を設定する必要があります。Web サーバー管理データベースが存在するサーバーだけでなく、Web サーバー管理クライアントも該当する認証者の RA としてリストされなければなりません。

Lotus Domino 登録機関 (RA) の管理者が担当するタスクは、次のとおりです。


メモ RA がユーザーを登録できるためには、RA はドメインのマスター Lotus Domino ディレクトリに対して [文書の作成] 権限と [User Creator] ロールの両方を持つ [作成者] 以上のアクセス権を持つ必要があります。これは、Lotus Notes ユーザーを登録するのに Lotus Domino Administrator で必要とされるアクセス権限と同じものです。

関連項目