リモート LDAP ディレクトリのディレクトリアシスタント文書で SSL を設定する

HCLDomino® サーバーでリモート LDAP ディレクトリを使用して、インターネットクライアント認証時に資格情報を検索したり、データベース認証時にグループのメンバーを検索したりする場合は、サーバーが LDAP ディレクトリサーバーに接続するときに SSL を使用するように指定します。SSL を指定すると、Domino サーバーと LDAP サーバーの間で安全な通信が可能になり、Domino サーバーは X.509 証明書を使用して、リモート LDAP ディレクトリサーバーの ID を確認できます。

このタスクについて

SSL を使用するには、リモート LDAP ディレクトリのディレクトリアシスタント文書にある [LDAP] タブの [チャネルの暗号化] フィールドで [SSL] を選択します。[SSL] を選択した場合は、次の 3 つの関連フィールドでも適切な値を選択します。

  • 期限切れの SSL 証明書を受け入れる
  • SSL プロトコルのバージョン
  • リモートサーバーの認証を使ったサーバー名の確認

手順

  1. [期限切れの SSL 認証の追加] フィールドでは、次のいずれかを選択します。
    • 認証の期限が切れている場合でも、LDAP ディレクトリサーバーからの認証を受け付ける場合は、[はい] (デフォルト)
    • 期限が切れている認証を拒否してセキュリティを強化する場合は、[いいえ]
  2. [SSL プロトコルのバージョン] フィールドで、使用する SSL プロトコルのバージョン番号を選択します。
    表 1. SSL プロトコルのバージョン番号と説明

    SSL プロトコルのバージョン

    説明

    V2.0 のみ

    SSL 2.0 接続のみを使用可能にします。

    V3.0 ハンドシェーク

    SSL 3.0 接続を試します。この接続が失敗し、リクエスタが SSL 2.0 を検出すると、SSL 2.0 を使用して接続を試します。

    [V3.0 のみ]

    SSL 3.0 の接続だけを許可します。

    V2.0 ハンドシェークと V3.0

    SSL 3.0 接続を試しますが、SSL 2.0 ハンドシェークから開始します。これにより、関連のエラーメッセージが表示されます。SSL 3.0 接続が可能な場合は、SSL 3.0 で接続します。接続試行中に発生する可能性のある V2.0 のエラーメッセージを受け取る場合は、[V3.0 と V2.0 ハンドシェーク] を選択します。これらのエラーメッセージは、接続時に発生する互換性の問題についての情報を提供します。

    セッションで決定

    SSL でプロトコルのバージョンとハンドシェークを判別できるようにします。

  3. [リモートサーバーの認証を使ったサーバー名の確認] フィールドでは、次のいずれかを選択します。
    • [有効] (デフォルト)
    • 無効

    リモートサーバー認証の件名行に LDAP ディレクトリサーバーのホスト名が必要な場合は、[有効] を選択します。このオプションが正常に機能するためには、リモートサーバー認証の件名行にその DNS ホスト名を含める必要があります。リモート LDAP ディレクトリサーバーの X.509 証明書にリモートサーバーのホスト名が適切な形式で含まれていることがわかっている場合は、このオプションを有効のままにしておきます。

    Domino CA やその他の CA では、認証の要求時にユーザーが件名行を入力するためのダイアログボックスが表示されます。例えば、Domino CA はまず、各ユーザーに対して、リモートサーバーの情報 (共通名、組織単位名、組織名、州または県、国名など) を入力するように指示します。次に、Domino CA はこの情報を件名行に入れ、各フィールドに適切な接頭辞 (cn=、ou=、o= など) を追加します。Domino CA を使用してリモートサーバーの認証を作成した場合は、[リモートサーバーの認証を使ったサーバー名の確認] オプションの使用時に、[共通名] フィールドにリモートサーバーのホスト名を入力します。例えば、Domino CA は、次のような有効な件名行をユーザーが入力できるようにします (mailserver.renovations.com はサーバーの DNS ホスト名です)。

    cn=mailserver.renovations.com, ou=sales, ou=marketing, o=renovations, st=mass, c=us

    cn=mailserver, ou=sales - mailserver.renovations.com o=renovations, st=mass, c=us

    ユーザーが DNS ホスト名を正しく入力できるように、Domino CA から認証を要求するときに DNS ホスト名を共通名 (cn=) として入力することをユーザーに推奨してください。他の CA では、件名行を入力するダイアログボックスが異なる場合がありますが、ユーザーは、それぞれのダイアログボックスの指示に従って、リモートサーバーの DNS ホスト名を入力する必要があります。