ディレクトリサービス

リモート LDAP ディレクトリのディレクトリアシスタント文書で SSL を設定する
IBM(R) Lotus Domino(R) Server でリモート LDAP ディレクトリを使用して、インターネットクライアント認証時に証明書を検索したり、データベース認証時にグループのメンバーを検索したりする場合は、サーバーが LDAP ディレクトリサーバーに接続するときに SSL を使用するように指定します。SSL を指定すると、Lotus Domino Server と LDAP サーバーの間で安全な通信が可能になり、Lotus Domino Server は X.509 証明書を使用して、リモート LDAP ディレクトリサーバーの ID を確認できます。

SSL を使用するには、リモート LDAP ディレクトリのディレクトリアシスタント文書にある [LDAP] タブの [チャネルの暗号化] フィールドで [SSL] を選択します。[SSL] を選択した場合は、次の 3 つの関連フィールドでも適切な値を選択します。


[期限切れの SSL 認証の追加][期限切れの SSL 認証の追加] フィールドでは、次のいずれかを選択します。
[SSL プロトコルのバージョン][SSL プロトコルのバージョン] フィールドでは、使用する SSL プロトコルのバージョン番号を次のように選択します。
SSL プロトコルのバージョン説明
V2.0 のみSSL 2.0 接続のみを使用可能にします。
V3.0 ハンドシェークSSL 3.0 接続を試します。この接続が失敗し、リクエスタが SSL 2.0 を検出すると、SSL 2.0 を使用して接続を試します。
V3.0 のみSSL 3.0 接続のみを使用可能にします。
V2.0 ハンドシェークと V3.0SSL 3.0 接続を試しますが、SSL 2.0 ハンドシェークから開始します。これにより、関連のエラーメッセージが表示されます。SSL 3.0 接続が可能な場合は、SSL 3.0 で接続します。接続試行中に発生する V2.0 のエラーメッセージを受け取る場合は、[V3.0 と V2.0 ハンドシェーク] を選択します。これらのエラーメッセージは、接続時に発生する互換性の問題についての情報を提供します。
セッションで決定SSL でプロトコルのバージョンとハンドシェークを判別できるようにします。

[リモートサーバーの認証を使ったサーバー名の確認]
[リモートサーバーの認証を使ったサーバー名の確認] フィールドでは、次のいずれかを選択します。
リモートサーバー認証の件名行に LDAP ディレクトリサーバーのホスト名が必要な場合は、[有効] を選択します。このオプションが正常に機能するためには、リモートサーバー認証の件名行にその DNS ホスト名を含める必要があります。リモート LDAP ディレクトリサーバーの X.509 証明書にリモートサーバーのホスト名が適切な形式で含まれていることがわかっている場合は、このオプションを有効のままにしておきます。

Domino CA やその他の CA では、認証の要求時にユーザーが件名行を入力するためのダイアログボックスが表示されます。たとえば、Domino CA はまず、各ユーザーに対して、リモートサーバーの情報 (共通名、組織単位名、組織名、州または県、国名など) を入力するように指示します。次に、この情報を件名行に入れ、各フィールドに適切な接頭辞 (cn=、ou=、o= など) を追加します。Domino CA を使用してリモートサーバーの認証を作成した場合は、[リモートサーバーの認証を使ったサーバー名の確認] オプションの使用時に、[共通名] フィールドにリモートサーバーのホスト名を入力します。たとえば、Domino CA は、次のような有効な件名行をユーザーが入力できるようにします (mailserver.acme.com はサーバーの DNS ホスト名です)。


ユーザーが DNS ホスト名を正しく入力できるように、Domino CA から認証を要求するときに DNS ホスト名を共通名 (cn=) として入力することをユーザーに推奨してください。他の CA では、件名行を入力するダイアログボックスが異なる場合がありますが、ユーザーは、それぞれのダイアログボックスの指示に従って、リモートサーバーの DNS ホスト名を入力する必要があります。

関連項目