WEB サーバー

Web クライアントのアクセスからサーバーのファイルを保護する
ファイル保護文書を使うと、Web ブラウザを使ってユーザーがアクセスできる、データベースファイル以外のファイルへのアクセスを制御できます。データベースファイル (.NSF) アクセス制御リスト (ACL) ではアクセスを許可するユーザーとそのアクセスレベルを指定できますが、それと同じように、ファイル保護文書では、ブラウザユーザーがアクセスできるファイル (HTML、JPEG、GIF など) に、ファイルシステムのセキュリティを設定し、ファイルの種類ごとにアクセスレベルとアクセスできるユーザーの名前を指定できます。

ファイル保護は、CGI スクリプトに適用することもできますが、それらのスクリプトからアクセスできるほかのファイルにまで拡張することはできません。たとえば、CGI スクリプトに対してファイルの保護を適用して、アクセスを Web Admin という名前のグループだけに制限できます。しかし、この CGI スクリプトからほかのファイルを実行したり、開いたりする場合や、別のスクリプトを実行する場合は、Web Admin グループをそれらのファイルにアクセスさせるかどうかはファイル保護文書では制御できません。

次のディレクトリへのアクセスを制御するファイル保護文書は作成できません。これらのディレクトリには、Lotus Domino Web サーバーとその他のアプリケーション (たとえば、メールデータベースなど) によって使用されるデフォルトのイメージファイルや Java アプレットが含まれています。


ファイル保護は、ほかのファイルにアクセスするファイル (イメージファイルを開く HTML ファイルなど) には適用されます。ユーザーがこの HTML ファイルに対するアクセス権を持っていても、HTML ファイルが使う JPEG ファイルに対するアクセス権を持っていない場合は、HTML ファ

イルを開いてもこの JPEG ファイルは表示されません。

ファイル保護文書は、ディレクトリや個々のファイルごとに作成できます。ディレクトリで定義されている保護は、そのすべてのサブディレクトリによって継承されます。Web ユーザーがアクセスできるすべてのディレクトリについて、ファイル保護文書を作成しなければなりません。ファイル保護文書のないファイルおよびファイルディレクトリには、Web ブラウザを使って誰でもアクセスできます。

メモ データベース (.NSF) ファイルの保護には、ファイル保護文書を使う必要はありません。その場合は、データベースの ACL を使います。

例:Web ブラウザからサーバーのファイルへのアクセスを制御する
ファイル保護文書で次のように設定すると、Web User Group のすべてのユーザーが、c:\notes\data\domino\html ディレクトリのファイルを開いて、プログラムを起動できます。


notes\data\domino\html ディレクトリに secret.htm ファイルが保存されているとします。Web User Group のメンバーに対してはこのファイルへのアクセスを禁止し、ユーザー Joe Smith にだけアクセスを許可できます。この場合は、次のように設定したファイル保護文書を作成します。
Web サイト文書のファイル保護特定の Web サイトに対してファイル保護文書を作成します。このファイル保護文書は、指定された Web サイトにのみ適用されます。
ファイル保護文書でサポートしているセキュリティは、制限されています。機密情報は、データベース ACL など、Lotus Domino のセキュリティ機能を使って保護してください。

Web サイト文書用のファイル保護を作成するには
1 Lotus Domino Administrator で、[設定] - [Web] - [インターネットサイト] を選択します。

2 ファイル保護を適用する Web サイト文書を開きます。

3 [Web サイト] をクリックし、[ファイル保護の作成] を選択します。

4 [基本] をクリックし、次のフィールドに必要な情報を設定します。
フィールドアクション
説明(省略可能) この文書を、作成するほかの文書と区別するための名前を入力します。
ディレクトリまたはファイルパスアクセスの制限を適用するディレクトリまたはファイルパス。ドライブ名を含む完全修飾パス (例、c:\lotus\domino\data\domino\cgi-bin)、またはサーバーのデータディレクトリの相対パス (例、domino\cgi-bin) のいずれかの形式で入力します。
現在のアクセス制御リスト指定したファイルやディレクトリにアクセスできるユーザーとグループ、および許可されているアクセスの種類が表示されます。データベースの ACL と同様に、アクセス制御リストを作成すると、[なし] (変更可能) に設定された [-Default-] のアクセス権が作成されます。データベース ACL の場合と同様に、アクセスリストで指定されていないユーザーには、デフォルトのアクセスレベルが割り当てられます。
アクセス制御リストの設定/更新ユーザーをアクセス制御リストに追加するには、[アクセス制御リストの設定/更新] をクリックします。Domino ディレクトリからユーザー名またはグループを選択するか、[名前] フィールドで名前を入力します。[参照/実行アクセス (GET メソッド)]、[作成/参照/実行アクセス (POST と GET メソッド)]、または [なし] を選択します。[追加] をクリックし、エントリをアクセス制御リストに追加します。

GET の場合、ユーザーはディレクトリ内のファイルを開いたり、プログラムを起動できます。POST は通常、CGI プログラムにデータを送信するために使用されます。したがって、POST は CGI プログラムが保存されているディレクトリだけに割り当てます。[なし] を選択した場合は、指定したユーザーやグループのアクセスが禁止されます。

リストから項目を削除するには、削除する項目を選択して [消去] をクリックします。

ユーザーが匿名アクセスを使ってサーバーに接続する場合は、[名前:] フィールドに「Anonymous」と入力し、適切なアクセス権を割り当てます。

メモ LDAP ディレクトリに存在するユーザー名を入力する場合は、カンマ区切り文字をスラッシュに置き換える必要があります。区切り文字としてカンマを使用した名前は入力しないでください。

たとえば、次の名前形式を持った LDAP ユーザーの場合、

cn=Anthony Jones,l=westford,o=airius.com

ファイル保護文書のアクセスリストでは、次のように入力する必要があります。

cn=Anthony Jones/l=westford/o=airius.com

5 [管理] をクリックし、[所有者] フィールドおよび [管理者] フィールドに値を入力します。デフォルト時は、ログイン時に指定した管理者名が、これら両方のフィールドに割り当てられます。

6 文書を保存します。

7 次のコマンドを入力して、設定値を更新します。


関連項目