ディレクトリサービス

ディレクトリアシスタントとデータベース認証のためのグループ検索
サーバーの 1 次 IBM(R) Lotus Domino(R) ディレクトリにあるグループがデータベースのアクセス制御リスト (ACL) に含まれている場合、サーバーは、データベースに対するユーザーのアクセスを認証するときにそのグループのメンバーを自動的に検索できます。データベース認証に使用するグループは 1 次 Domino ディレクトリに格納できるほか、ディレクトリを 1 つ追加してそこに格納することもできます。この追加ディレクトリには、2 次 Domino ディレクトリ、拡張ディレクトリカタログ、またはリモート LDAP ディレクトリが利用できます。データベース認証に使用するグループが 1 次 Domino ディレクトリとこの追加ディレクトリの両方に同じ名前で含まれる場合、サーバーは 1 次 Domino ディレクトリにあるグループを使用します。

追加ディレクトリをグループ認証に使用するには、そのディレクトリのディレクトリアシスタント文書で以下を実行します。


次の図は、リモート 2 次 Domino ディレクトリでデータベース認証に使用するグループ検索を示しています。

ディレクトリアシスタントとグループの許可

ヒント 拡張ディレクトリカタログの [グループの許可] を有効にして、ディレクトリをこのディレクトリカタログに集約しておけば、データベース認証に使用するグループを複数の 2 次 Domino ディレクトリに保存できます。

クライアント認証プロセスが完了しないと、サーバーはそのクライアントのデータベースへのアクセスを検証しません。クライアント認証とグループ認証で別々のディレクトリを使用できます。たとえば、クライアント認証にリモート LDAP ディレクトリを使用し、データベース認証中のグループ検索に拡張ディレクトリカタログを使用できます。

メモ リモート LDAP ディレクトリのグループ認証を有効にすると、サーバーがグループ検索に使用するカスタム検索フィルタを選択できます。

データベース認証に使用するグループをネストするサーバーは、データベースアクセスを認証するときに、データベース ACL でリストされているグループの中にネストされているグループを検索できます。さらにそのグループの中で多重ネストされているグループも検索可能です。ただし、それらのグループがすべて同じディレクトリにあることが必要です。
2 次 Domino ディレクトリや拡張ディレクトリカタログについて [グループの許可] を有効にすると、サーバーは常に、ディレクトリ内でネストされているグループを検索します。リモート LDAP ディレクトリについて [グループの許可] を有効にした場合は、ネストされているグループをサーバーで検索するかどうかを [入れ子になったグループへの追加] オプションで指定できます。ネストされているグループを検索する場合はこのオプションで [はい] (デフォルト) を選択し、検索しない場合は [いいえ] を選択します。ネストされているグループの数が多い場合は、[いいえ] を選択すると検索のパフォーマンスが向上します。

Lotus Domino は、ネストされたグループを検索するためにディレクトリアシスタント名ルールを適用しないことに注意してください。グループの DN が 2 次ディレクトリ用に確立された名前ルールに一致する場合もありますが、そのグループのメンバー (ユーザーまたはネストされたグループ) の DN は一致しません。ただし、ディレクトリアシスタント名前ルールを適用しないことによって、問題が回避され、いかなる検索要求に対しても完全な名前リストを戻せるようになります。

データベース認証に使用するグループの場所に対する制限は、他の目的に使用するグループには適用されません。たとえば、ルーターは、ディレクトリアシスタントについて設定された任意のディレクトリにあるグループを検索できます。また、ネストされているグループがその親以外のディレクトリにある場合でもそのグループを検索できます。

関連項目