セキュリティ
Lotus Notes 相互認証ユーザーやサーバーが、認証階層の異なる別の組織のサーバーにアクセスしユーザーのデジタル署名を照合するには、相互認証を使用します。Lotus Domino Server は、相互認証を Domino ディレクトリに保存します。IBM(R) Lotus Notes(R) Client は、Lotus Domino Server にアクセスするために、該当するサーバーの相互認証を取得し、それを各自の個人アドレス帳に保存します。それらの相互認証を使用できるのは、相互認証が発行されたユーザーだけです。 たとえば、Alan Jones/Sales/East/Acme というユーザーが Support/Seascape サーバーにアクセスする場合、このユーザーには /Seascape からの相互認証が必要で、Support/Seascape サーバーには /Sales/East/Acme に対する相互認証が必要です。Alan が Support/Seascape サーバーで認証を行おうとすると、サーバーは個人アドレス帳にある相互認証をチェックします。相互認証が有効であることが判明した場合、Support/Seascape は、Alan がこのサーバーへのアクセスを許可されているかどうかをチェックします。
相互認証は、組織のさまざまなレベルで発生することがあります。たとえば、ある組織内のすべてのユーザーが別の組織のすべてのサーバーで認証を行えるようにするには、各ユーザーが他の組織の認証者に対する相互認証を個人アドレス帳に持つ必要があります。各組織のサーバーでは、Domino ディレクトリに他の組織の認証者に対する相互認証を持ちます。相互認証は、個々のユーザー ID やサーバー ID のレベルでも発生することがあります。たとえば、1 人のユーザーが別の組織単位のどのサーバーでも認証を行えるようにしたり、その組織単位のユーザーのデジタル署名を照合できるようにするには、ユーザー ID には、もう一方の企業の組織単位認証者に対する相互認証が必要で、その組織単位の認証者には、ユーザー ID に対する相互認証が必要です。
双方向の相互認証が対称である必要はありません。たとえば、ある組織は組織単位の認証者に対して相互認証を持つことができ、別の組織は組織の認証者に対して相互認証を持つことができます。
組織や組織単位の認証者に対して相互認証を持っている場合は、サーバーへのアクセス制限を設定し、機密情報を保存している特定のサーバーにもう一方の組織がアクセスすることを禁止します。自分の組織が別の組織のサーバーにアクセスすることは許可し、その別の組織が自分のサーバーにアクセスすることを禁止するには、必要に応じて相互認証を交換する一方で、もう一方の組織によるアクセスを禁止するようすべてのサーバー上でサーバーアクセスリストを設定します。
インターネット相互認証インターネット相互認証は、ユーザーやサーバーの正当性を検証するための認証です。インターネット相互認証は、送信者の証明書が信頼できることと、S/MIME メッセージの暗号化に使われた証明書が有効であることを、暗号化された S/MIME メッセージの受信者に保証します。また、Lotus Notes Client が SSL を使ってインターネットサーバーにアクセスする場合に、サーバーの ID の照合も行います。 インターネット相互認証は、ユーザーの個人アドレス帳の認証文書に保存され、相互認証の発行されたユーザーしか使用できません。インターネット相互認証は、リーフ証明書 (CA によってユーザーやサーバーに発行される証明書) または CA 自体に対して発行することができます。リーフ証明書に対して相互認証を作成することは、その証明書の所有者 (たとえば、署名付きメールの送信者、暗号化メールの受信者など) だけを信頼することを意味します。CA に対して相互認証を作成することは、その CA から発行された証明書の所有者すべてを信頼することを意味します。CA を相互認証すると、その CA が証明書を発行した、名前階層における下位のユーザーやサーバーを信頼することになります。たとえば、Sales/ABC を相互認証すると、Sales/ABC が証明書を発行した Fred/Sales/ABC が信頼されます。Fred/Sales/ABC に対して相互認証を作成すると、Fred/Sales/ABC だけを信頼することになります。
例 例
関連項目