セキュリティ

インターネット/イントラネットクライアントの名前とパスワードによる認証
基本パスワード認証とも呼ばれている名前とパスワードによる認証は、基本的なチャレンジ/レスポンスプロトコルを使用してユーザーに名前とパスワードを尋ね、それらを IBM(R) Lotus Domino(R) ディレクトリのユーザー文書に保存されているパスワードの安全なハッシュと照合して、パスワードが正しいかどうかを確認します。このように設定すると、インターネットやイントラネットのクライアントがサーバー上の保護されているリソースにアクセスしようとした場合のみ、名前とパスワードの入力が要求されます。インターネットやイントラネットのアクセスは、IBM(R) Lotus Notes(R) Client や Lotus Domino Server のアクセスとは異なります。Lotus Notes Client や Lotus Domino Server のアクセスでは、Lotus Notes Client や Lotus Domino Server が初めてサーバーにアクセスしようとしたときに、名前とパスワードの入力がクライアントやサーバーに要求されます。

LotusDomino ACL セキュリティを基にインターネットやイントラネットのクライアントにデータベースへのアクセス権を割り当てる場合は、Domino ディレクトリにそのクライアントのユーザー文書を作成する必要があります。必要に応じて、2 次 Domino ディレクトリや外部 LDAP ディレクトリに作成することも可能です。ユーザー文書を持っていないクライアントは匿名クライアントと見なされ、匿名アクセスが可能なサーバーやデータベースにしかアクセスできません。

メモ 外部 LDAP ディレクトリ内にレコードがあるユーザーのパスワードの照合は、LDAP のバインド操作を通じて行われ、この操作はユーザーが正しいパスワードを提供した場合にのみ成功します。

名前とパスワードによる認証によって、Lotus Domino はサーバーにアクセスしているクライアントのユーザー文書を探すことができます (ユーザー文書が存在するとき)。クライアントを特定すれば、サーバーリソースへのアクセス権を判別できます。たとえば、Alan Jones にデータベースの [編集者] アクセス権を設定し、データベースにアクセスするそれ以外のユーザーすべてに [作成者] アクセス権を設定する場合は、Alan Jones のユーザー文書を作成する必要があります。データベースの ACL で、Alan Jones を [編集者] に、匿名ユーザーを [作成者] に設定できます。

たとえば、インターネットプロトコル、つまり LDAP、POP3、HTTP、SMTP、IIOP、IMAP を実行するサーバー上で TCP/IP か SSL を使って名前とパスワードによる認証を行うことができます。サーバーで使用できるインターネットプロトコルのそれぞれに対して、セキュリティの適用方法を指定できます。たとえば、HTTP 接続ではクライアント証明書による認証を可能にし、TCP/IP を使用する LDAP 接続では名前とパスワードによるセキュリティを必要とするように設定できます。また、匿名の SSL クライアントには名前とパスワードによるセキュリティを使用できます。たとえば、SSL クライアント証明書を持つユーザーには SSL クライアント証明書を使って認証を行い、SSL クライアント証明書を持たないユーザーには名前とパスワードを入力させるように設定できます。

メモ Lotus Domino Server を SMTP クライアントとして使用している場合は、名前とパスワードによる認証はサポートされません。たとえば、メールを配信するために Lotus Domino Server が SMTP サーバーに接続されている場合などです。名前とパスワードによるセキュリティは、Lotus Domino Server を SMTP サーバーとして使用している場合、つまり、SMTP クライアントが Lotus Domino Server にアクセスする場合のみサポートされます。

HTTP サーバーに対して名前とパスワードによる認証を設定する場合、使用できる認証方法がもう 1 つあります。これは、セッションベースの認証です。名前とパスワードによる認証では、名前とパスワードが、暗号化されない形式で、要求ごとに送信されます。セッションベースの認証では、ユーザーの名前とパスワードが Cookie に置き換えられる点が異なっています。ユーザーの名前とパスワードは、ユーザーがサーバーに最初にログインするときにだけネットワークを介して送信されます。以降は、認証では Cookie が使用されます。セッションベースの名前とパスワードによる認証では、基本的な名前とパスワードによる認証に比べ、より強力にユーザーインタラクションを制御できます。この認証方法を使用すると、名前とパスワード情報を入力するフォームをカスタマイズできます。ブラウザを終了せずにセッションからログアウトすることもできます。

非 SSL 接続を使用した名前とパスワードによる認証ユーザーの特定が必要でも、サーバー上のデータへのアクセス保護をそれほど厳重に行う必要がない場合には、非 SSL 接続を使った名前とパスワードによる認証を使用します。たとえば、データベース内に機密情報が含まれないときや、ユーザー名に基づいてユーザーごとに異なる情報を表示するような場合です。ユーザーとサーバー間で送信される情報は、名前とパスワードも含めすべて暗号化されません。この場合、名前とパスワードによる認証では、一部のハッカーを阻止できますが、ネットワーク送信を盗聴してパスワードを推測するような種類のハッカーは阻止できません。

SSL を使用した名前とパスワードによる認証SSL を使用すると、名前やパスワードなどのすべての情報が暗号化されます。SSL では、名前とパスワードによる認証が設定されているユーザーに対しては、機密性とデータの保全性が保証されます。SSL を使ったセキュリティに加え、名前とパスワードの入力を要求することにより、クライアント証明書の認証を使用しないユーザーに対するセキュリティ対策が提供され、データベースにアクセスする個々のユーザーを特定できます。
SSL サーバーの設定について詳しくは、「Lotus Domino Server で SSL を設定する」を参照してください。

SSL を使用できるようにクライアントを設定する方法について詳しくは、「Lotus Notes Client とインターネットクライアントで SSL 認証を設定する」を参照してください。

名前とパスワードによる認証をカスタマイズするDSAPI (Domino Web Server Application Programming Interface) は、Lotus Domino Web サーバーの拡張を可能にする C API です。これらの拡張 (フィルタ) により、Web ユーザーの認証をカスタマイズできます。
DSAPI とフィルタについて詳しくは、Lotus Domino/Notes の Lotus C API Toolkit を参照してください。このツールキットは、www.lotus.com/techzone で入手できます。

関連項目