ディレクトリサービス
[ディレクトリアシスタント] データベースで設定されているインターネットクライアント認証用ディレクトリをサーバーで使用できるようにするには、そのディレクトリのディレクトリアシスタント文書で次の処理を実行します。
メモ サーバーの 1 次 Domino ディレクトリは、常にクライアント認証のために使用可能です。これは、1 次 Domino ディレクトリ用にディレクトリアシスタント文書を作成して、[このドメインを利用可能にする先] を選択しなかった場合にも当てはまります。[Notes クライアントとインターネットの認証/承認] を選択したかどうかには関係なく可能です。
メモ サーバー文書の [ポート] - [インターネットポート] タブ、またはインターネットサイト文書では、インターネットプロトコルサーバーで使用可能なクライアント認証の種類を指定できます。
名前とパスワードによる認証で使用できる名前サーバーで名前とパスワードによるセキュリティを使用してインターネットクライアントを認証する場合は、そのサーバーがクライアントから受け入れることのできる名前のタイプを選択します。1 次 Domino ディレクトリにあるサーバー文書の [セキュリティ] - [インターネットアクセス] タブで、[弱いセキュリティと複数の名前のバリエーション] または [強いセキュリティで少ない名前のバリエーション] (デフォルト) を選択します。この選択は、1 次 Domino ディレクトリを含む任意のディレクトリを使用する、名前とパスワードによる認証に適用されます。 サーバーは、ディレクトリにあるユーザーのエントリを検索する目的であれば、識別名以外の名前でもクライアントから受け取ることができます。ただし、クライアントに対する認証を決定するためにディレクトリアシスタント文書にある信頼できる規則と比較する名前は、必ずディレクトリエントリにあるユーザー識別名になります。たとえば、識別名 cn=alice browning,o=Acme でディレクトリに登録されているユーザーが、クライアント上では alice browning という名前を設定しているとします。サーバーは、認証の過程で、alice browning という名前を含むエントリを検索します。そのエントリが見つかると、サーバーは、「cn=alice browning,o=acme」がそのディレクトリの信頼できる命名規則と一致する場合にかぎり、クライアントを認証します。
Lotus Domino では、ユーザーの識別名がアクセス制御の基礎としても使用されます。したがって、データベースの ACL、データベース ACL で使用するグループ、サーバー文書のアクセスリスト、および Web サーバーのファイル保護文書では、この識別名を使用する必要があります。
クライアント認証中に重複する名前を検出した場合クライアントから提示された名前を含むディレクトリエントリが 1 つ以上のディレクトリにまたがって複数個見つかり、それらがすべて認証に有効な識別名と一致する場合、サーバーは、有効なパスワードまたは X.509 証明書を持つエントリを使用してクライアントを認証します。このような複数のエントリの識別名が同じで、さらにいずれも有効なパスワードまたは X.509 証明書を持つ場合は、最初に見つかったパスワードまたは X.509 証明書を使用してユーザーを認証します。 マルチプロトコル間で一貫性のあるクライアント名およびパスワード複数の Lotus Domino Server が複数のインターネットプロトコルで 1 つのクライアントを認証する場合は、ディレクトリの管理を簡単にするために、すべてのプロトコルに適用できる 1 組の名前とパスワードを持つ 1 つのディレクトリエントリを、そのクライアントに対して作成します。次に、そのクライアントを、すべてのプロトコルに対して同じ名前とパスワードを使用するように設定します。 たとえば Lotus Domino Server に対して、Web ブラウズでは HTTP で接続し、ディレクトリサービスでは LDAP で接続するクライアントがある場合、1 組の名前とパスワードを持つ 1 つのディレクトリエントリをそのクライアント用に作成します。そして、両方の接続でその名前とパスワードを使用するようにクライアントを設定します。
リモート LDAP ディレクトリを使用するクライアント認証で使用可能な機能以下に示す機能は、リモート LDAP ディレクトリを使用するクライアント認証で使用できます。