ディレクトリサービス
拡張ディレクトリカタログをクライアント認証に使用するサーバーが拡張ディレクトリカタログを使用して、認証のためにクライアント名を参照できるようにするには、拡張ディレクトリカタログのディレクトリアシスタント文書で、認証用として信頼される規則を有効にします。 また、文書のフィールドすべてを推奨されているように集約するわけではない場合でも、認証に必須のフィールドは必ず集約するようにします。たとえば、名前とパスワードによるセキュリティを使用する場合は、ユーザー文書から [HTTPPassword] フィールドを集約します。また、X.509 証明書セキュリティを使用する場合は、[userCertificate] フィールドを集約します。
インターネットクライアントの認証のために一部の 2 次 IBM(R) Lotus Domino(R) ディレクトリのみをサーバーで使用する場合は、その Domino ディレクトリを集約する拡張ディレクトリカタログと、その他の Domino ディレクトリを集約する拡張ディレクトリカタログを作成します。次に、それぞれの拡張ディレクトリカタログごとにディレクトリアシスタント文書を作成し、認証に使用するディレクトリを集約した拡張ディレクトリカタログでのみ、認証用として信頼される規則を有効にします。
要約ディレクトリカタログをクライアント認証に使用する要約ディレクトリカタログに集約された任意のユーザー名の証明書をサーバーが参照できるようにするには、Domino ディレクトリにあるそのサーバーのサーバー文書の [基本] タブで [インターネットプロトコルで認証されたディレクトリカタログがベースになっているサーバーを信頼する] オプションを選択します。 特定のソース Domino ディレクトリから要約ディレクトリカタログに集約されたユーザー名の証明書のみをサーバーで参照できるようにする場合は、上記のオプションを選択しないでください。この場合は、[ディレクトリアシスタント] データベースをサーバーに作成します。このデータベース内で、認証に使用する、集約された各 Domino ディレクトリのディレクトリアシスタント文書を作成します。各ディレクトリアシスタント文書で、認証用として信頼される規則を有効にします。
名前とパスワードによるセキュリティをインターネットクライアントの認証に使用する場合は、パスワードを要約ディレクトリカタログに格納できます。そのためには、ユーザー文書から [HTTPPassword] フィールドを集約します。この場合、サーバーは、ディレクトリカタログでパスワードを参照します。ソース Domino ディレクトリでパスワードを参照するためのディレクトリアシスタントは必要としません。
クライアント認証に X.509 証明書を使用する場合、その証明書を要約ディレクトリカタログに保存することはお勧めできません。これは、X.509 証明書のサイズが大きいからです。その場合は、ディレクトリアシスタントを設定して、ソース Domino ディレクトリで証明書を直接参照します。同様にサーバーは、パスワードをディレクトリカタログに集約せずに、ディレクトリアシスタントを使用してソース Domino ディレクトリでパスワードを参照できます。これによって、要約ディレクトリカタログのサイズをコンパクトに保つことができます。
パスワードと X.509 証明書をディレクトリカタログに格納しない場合は、ディレクトリカタログとディレクトリアシスタントを併用すると、ディレクトリアシスタントを単独で使用する場合より高速な検索が実現します。これは、名前の検索に使用するデータベースがディレクトリカタログのみになるためです。
ディレクトリカタログと Lotus Notes Client 認証デフォルトでは、IBM(R) Lotus Notes(R) Client がサーバーにログオンするとき、そのクライアントの認証処理中に Domino ディレクトリにあるユーザー文書の情報はサーバーによって参照されません。ただし、サーバーのサーバー文書で [Domino ディレクトリにあるパブリックキーとの比較] オプションが有効になっている場合、サーバーは、ユーザー文書のパブリックキー情報を参照して Lotus Notes Client を認証できる必要があります。このオプションが有効になっているサーバーを使用している Lotus Notes ユーザーがそのサーバーの 1 次 Domino ディレクトリに登録されていない場合、サーバーは、認証用として信頼されるディレクトリカタログを使用して、パブリックキーと比較する名前を参照できます。 関連項目