パブリックキーの値の比較

認証中に交換されるユーザー証明書とサーバー証明書の署名は常にチェックされます。証明書で渡されるキーの値を HCLDomino® ディレクトリ内にリストされているキーの値と照合することによって、パブリックキーに対して追加的な照合を行うことができます。ユーザーがサーバーで認証されても、証明書の中のパブリックキーの値と Domino ディレクトリ内にリストされている値が一致しないことがあり得ます。

このタスクについて

追加的なキー照合によって、失われたり改ざんされた ID ファイルの不正使用を防止できます。通常、ID ファイルを失った場合、新規の ID ファイルとディレクトリエントリを作成するためにその所有者を登録する必要があり、また ID ファイルが改ざんされた場合は、所有者のパブリックキーとプライベートキーをロールオーバーし、その新規のキーセットを認証する必要があります (それによってディレクトリエントリが更新されます)。ディレクトリレベルのキーチェック機能を有効にすることによって、古い ID ファイルを所有している攻撃者は、その古い ID ファイルに有効な証明書が含まれている場合でも、そのファイルを使用してサーバーにアクセスできなくなります。

また、認証が成功しても不一致が検出された場合、ログメッセージを生成するかどうかコントロールすることを選択できます。これによって、管理者は、ID ファイルの内容がディレクトリエントリと一致しなくなった場合にそれを検出できます。その場合でも、パブリックキーの不一致が原因でこれらのユーザーが認証できなくなることはありません。

手順

  1. Domino Administrator で、[設定] タブをクリックしてサーバー文書を開きます。
  2. [セキュリティ] タブをクリックします。
  3. [セキュリティ設定] セクションの [パブリックキーの比較] フィールドをクリックし、次のいずれかのオプションを選択します。
    • [キーを確認 (Notes ユーザーと Domino サーバーのすべて)] --認証中に渡された証明書内のキーの値を Domino ディレクトリに格納されているキーの値と比較します。信頼できるディレクトリにリストされていないユーザーまたはサーバーは、この検証チェックに不合格であったかのように扱われ、このサーバーへのアクセスが禁止されます。
    • [キーを確認 (信頼するディレクトリリストの Notes ユーザーと Domino サーバーのみ)] -- 信頼できるディレクトリにユーザーまたはサーバーがリストされている場合のみ、認証中に渡された証明書内のキーの値をディレクトリに格納されているキーの値と比較します。信頼できるディレクトリにリストされていないユーザーまたはサーバーは、この検証チェックに合格したかのように扱われます。
      注: このオプションによって、管理者は、ディレクトリにリストされていないユーザーにサーバー上のデータベースとアプリケーションに対するアクセス権を提供できます。例えば、データベースには、Domino ディレクトリにリストされているユーザーに対して有効にされた編集者アクセス権を提供し、誰にでも読者アクセス権を提供するように設定されているアクセス制御リストが含まれている場合があります。そのため、このキーチェック機能オプションを有効にすると、Domino ディレクトリにリストされていないユーザーはまだ、サーバーにアクセスしてデータベースを使用することができます。その場合ユーザーは、読者アクセス権のみを与えられます。
    • [キーを確認しない] -- 認証中にチェックされた証明書の署名のみ必要であり、キーをディレクトリの内容と照合して確認しない場合。
  4. [セキュリティ設定] セクションの [パブリックキー不一致の記録] フィールドのドロップダウンリストをクリックし、次のいずれかのオプションを選択します。
    • [キー不一致を記録 (Notes ユーザーと Domino サーバーのすべて)] -- 認証中に渡された証明書内のキーの値が Domino ディレクトリに格納されているキーの値と一致しない場合に発生するイベントを記録します。
    • [キー不一致を記録 (信頼するディレクトリリストの Notes ユーザーと Domino サーバーのみ)] -- 信頼できるディレクトリにユーザーまたはサーバーがリストされている場合のみ、認証中に渡された証明書内のキーの値がディレクトリに格納されているキーの値と一致しなかった場合に発生するイベントを記録します。
    • [キー不一致を記録しない] -- 認証の失敗のみを記録します。
  5. サーバーをシャットダウンして再起動すると、変更内容が有効になります。サーバーは、1 時間おきにポーリングを行って、これらの設定が変更されたかどうかを確認します。そのため、サーバーが再起動されていない場合、新規の設定が有効になるまでに最長で 1 時間かかることがあります。