Lotus Domino Administrator 8 ヘルプ - インターネット/イントラネットクライアントの検証と認証

セキュリティ

インターネット/イントラネットクライアントの検証と認証
名前とパスワードによるアクセスを設定し、インターネットとイントラネットのユーザーのユーザー文書を作成すると、次のような場合にユーザーの認証が行われます。

アクセスが制限されている操作を実行しようとした場合
サーバーで匿名アクセスが許可されていない場合

たとえば、ACL で [- Default -] が [なし] になっているデータベースをユーザーが開こうとすると、有効なユーザー名とパスワードを入力するように要求されます。認証が成功するのは、ユーザーが入力した名前とパスワードがそのユーザーのユーザー文書（または、LDAP ディレクトリ - 一部のユーザーに対しては、ユーザーレコードではなく LDAP ディレクトリで認証が行われます) に保存されている名前とパスワードに一致し、データベースの ACL でそのユーザーにアクセス権が設定されている場合だけです。匿名ユーザーは認証されません。

TCP/IP と SSL では、名前とパスワードによるアクセスと匿名アクセスを使用できます。TCP/IP での名前とパスワードによるアクセスと匿名アクセスについては、次の項目を参照してください。

この節の説明は、セッション認証が有効になっている Lotus Domino Web サーバーにアクセスする Web クライアントにも適用されます。

メモ DSAPI (Domino Web Server Application Programming Interface) は、Lotus Domino Web サーバーの拡張を可能にする C API です。これらの拡張 (フィルタ) により、Web ユーザーの認証をカスタマイズできます。DSAPI について詳しくは、Lotus Domino/Notes の Lotus C API Toolkit を参照してください。このツールキットは、www.lotus.com/techzone で入手できます。

検証と認証の仕組み次の例は、クライアント (Andrew) が TCP/IP を使ってサーバー (Mail-E) に接続するときの流れを示しています。
1 Andrew から Mail-E サーバー上のデータベースへのアクセスが開始されます。

2 サーバーはインターネットサイト文書 (またはサーバー文書) を調べて、TCP/IP で匿名アクセスが使用可能になっているかどうかを判断します。匿名アクセスが使用可能になっている場合は、次の処理が実行されます。

サーバーはデータベース ACL を調べ、[Anonymous] という名前のエントリを探します。[Anonymous] が存在し、[Anonymous] のアクセスレベルが [読者] 以上の場合、Andrew は匿名でデータベースにアクセスします。
ACL に [Anonymous] という名前のエントリが含まれていないと、データベース ACL の [- Default -] のアクセス権を調べます。[- Default -] のアクセス権が [読者] 以上の場合、Andrew は [- Default -] のアクセスレベルを使用して匿名でデータベースにアクセスします。

3 そのプロトコルで匿名アクセスが使用不能になっていたり、データベース ACL で匿名アクセスが許可されていない場合は、インターネットサイト文書 (またはサーバー文書) を調べて、TCP/IP で名前とパスワードによるアクセスが使用可能になっているかどうかを判断します。名前とパスワードによるアクセスが使用可能になっている場合は、次の処理が実行されます。

Andrew にユーザー名とパスワードを入力するように要求します。
サーバーは、Andrew がブラウザに入力したユーザー名を検索します。サーバーは、[弱いセキュリティと複数の名前のバリエーション] か [強いセキュリティで少ない名前のバリエーション] のどちらかを検索機構として使用し、入力された名前をすべてのディレクトリ内で検索します。
Andrew が入力したユーザー名が見つかり、Andrew が入力したパスワードが Andrew のユーザー文書の [インターネットパスワード] フィールドのパスワードと一致すると、Andrew は認証されます。サーバーは、1 次 Domino ディレクトリのユーザー文書をチェックします。2 次 Domino ディレクトリと LDAP ディレクトリを検索するように設定されている場合、サーバーは、2 次 Domino ディレクトリと LDAP ディレクトリもチェックします。

メモ

Lotus Domino は、インターネットユーザーの認証時、ユーザー文書の [フルネーム] フィールドに最初に表示されている名前である「識別名」 (DN) を使用します。この名前は、グループ、代理サーバー管理、データベース ACL、ファイル保護文書のエントリで使用します。

ユーザーレコードを持たず、その代わりにレコードが 2 次 LDAP ディレクトリにあるユーザーの場合、ユーザーの LDAP 名が ACL に表示されることがあります。ユーザーにアクセスを許可するためには、ACL はユーザーの LDAP 名を含んでいなければなりません (ただし、ディレクトリアシスタンスによってユーザーの名前が対応する Lotus Domino 名にマップされていない場合は、Lotus Domino DN が ACL に表示されます)。

次に、サーバーは「グループリスト」をコンパイルします。グループリストには、Andrew の識別名、ワイルドカードエントリ、このサーバー上で Andrew がメンバーになっているすべてのグループが含まれています。
サーバーは次に、データベース ACL をチェックし、Andrew の名前が ACL に明示的にリストされているかどうか、または Andrew の名前に対応するグループリストエントリが ACL にあるかどうかを調べます。
Andrew の識別名か、Andrew がメンバーになっているグループの名前が ACL 内のエントリに一致すると、Andrew は、ACL 内の該当するエントリで指定されているアクセスレベルを使ってデータベースにアクセスできるようになります。それ以外の場合、Andrew からのアクセスは拒否されます。

関連項目

インターネット/イントラネットクライアントの名前とパスワードによる認証

Web クライアントのセッションベースの名前とパスワードによる認証

用語集

フィードバック ヘルプ または プロダクトユーザビリティ?

ヘルプの使い方

すべてのヘルプ項目

用語集