Active Directory を使用して Domino ユーザーを管理する場合にユーザー名マッピングを設定する
主に Active Directory を使用して HCLDomino® のユーザー情報を管理する場合は、ここで説明する手順を実行して、Windows™ シングルサインオン環境のユーザー名のマッピングを設定します。この場合設定、ユーザーの HCLNotes® 識別名を Active Directory ユーザーアカウントに追加する必要があります。
手順
-
ディレクトリアシスタントのデータベースで、Active Directory サーバーとの接続に使用する LDAP ディレクトリアシスタント文書を作成します。
表 1. LDAP ディレクトリアシスタント文書の重要なフィールド タブ
フィールド
値
コメント
基本
このドメインを利用可能にする先
Notes クライアントとインターネットの認証/承認
- 必須
- LDAP クライアントはオプションです。
基本
グループの許可
[はい] または [いいえ]
データベース ACL で Active Directory グループを使用する場合は [はい] を選択します。
基本
SSO トークン内の名前で使う属性
$DN
- Active Directory に対してユーザーを認証する IBM® WebSphere® SSO サーバーが存在する場合のみ必要です。この場合、ユーザーの LTPA トークンにはユーザーの Active Directory 名が定義されます。
- Web SSO 設定文書で [LTPA トークンのマップ名] を有効に設定する必要があります。
- Active Directory に対してユーザー認証を行うサーバーの SSO 動作が適切であることを確認します。
基本 - SSO 設定
Windows シングルサインオン (Web クライアント用)
有効
ユーザーの Active Directory ログオン (Kerberos) 名に基づき、効率的に名前を検索することができます。[Notes の識別名で使う属性] と組み合わせて、ユーザーの Kerberos ID を Domino 名に関連付けることができます。
基本 - SSO 設定
Kerberos レルム
Active Directory ドメイン
大文字で指定します (例: AD.RENOVATIONS.COM)。
名前付けのコンテキスト (ルール)
資格情報を信用
はい
LDAP
Notes の識別名として使用する属性
attribute - ユーザーの Notes 識別名が保存された Active Directory の属性。
- Notes 識別名が定義されている属性がない場合、ディレクトリ管理者は、Active Directory スキーマを拡張してこの名前に属性を追加しなければならないことがあります。代わりに、
altSecurityIdentities
属性を使用することもできます (別の目的で使用されていない場合)。 - IBM Tivoli® Directory Integrator などのディレクトリ同期ツールを使用すると、Notes 名に属性を取り込むことができます。
- この属性に格納される値は、有効な識別名の構文に準拠している必要があります。Active Directory で Notes 名の区切り文字を指定する場合、Notes で使用するスラッシュ (/) ではなく、LDAP のカンマ (,) を使用してください。次に例を示します。
cn=Betty Zechman,ou=Marketing,o=Renovations
次のようなスラッシュは使用しません。
cn=Betty Zechman/ou=Marketing/o=Renovations
- この Active Directory レコードを Notes 識別名にリンクする場合に使用されます。これにより、Domino リソースにアクセスするユーザーが判別されます。
LDAP
使用する検索フィルタの種類
Active Directory
-
Domino ディレクトリにユーザー文書がある場合は、ユーザー文書を次のように編集します。HCLiNotes® ユーザーではない Web ユーザーの場合、ユーザー文書の編集はオプションです。
表 2. ユーザー文書に必要な編集 タブ
フィールド
値
コメント
基本
インターネットパスワード
(HTTPPassword)
なし (推奨)
OR
password-hash
- 必要に応じてこのパスワードを削除し、ユーザーパスワードの確認を必要とするインターネットアクセス用に、このユーザーの Active Directory パスワードを使用します。
- パスワードを削除したらディレクトリアクセスを設定し、ユーザー自身によるパスワードを追加を禁止します。
- パスワードが削除され、Windows シングルサインオンが使用できない場合、Domino は Active Directory のユーザーパスワードを検証します。
-
Domino のユーザー文書が存在して、ユーザーの Domino インターネットパスワードがユーザー文書に定義されていない場合、有効なセキュリティポリシー設定文書で、次のインターネットパスワード設定を無効にする必要があります。
表 3. 有効なセキュリティポリシー設定文書で無効に設定する タブ
フィールド
値
コメント
パスワード管理の基本
HTTP でインターネットパスワードの変更を許可
いいえ
デフォルトは [はい] です。ユーザーに対して指定されたセキュリティポリシー設定文書が存在しない場合、新しいセキュリティポリシー設定文書を作成してデフォルトの動作を変更する必要があります。
パスワード管理の基本
Notes ID パスワードの変更時にインターネットパスワードへ反映
いいえ
パスワード管理の基本
パスワードの期限を有効にする
無効か、Notes のみ
- Domino サーバーにあるサーバー文書の [セキュリティ] > [インターネットアクセス] タブで、[インターネット認証] に [強いセキュリティで少ない名前のバリエーション] を選択します。
-
一部の SSO サーバーによって Active Directory に対するユーザー認証を行っている場合、Web SSO 設定文書の設定を次のように指定します。
表 4. Web SSO 設定 タブ
フィールド
値
コメント
基本 - トークン設定
LTPA トークンのマップ名
有効
- SSO LTPA トークンの Active Directory 識別名を Notes 識別名にマッピングする場合に使用されます。これにより、Domino のリソースにアクセスするユーザーが判別されます。
- Active Directory に対してユーザー認証を行うサーバーの SSO が機能していることを確認するために使用されます。