ディレクトリを認証の検索専用に制限する
ディレクトリの使用を認証に制限することができます。
次の場合、認証用にディレクトリを導入する必要があることがあります。
- 同じ名前を含む Domino® ディレクトリと LDAP ディレクトリが両方存在する場合。
- メールに LDAP ディレクトリ名が使用されない場合。
- メールの送信時にメールクライアントで [あいまいな名前] ダイアログボックスが表示された場合。
組織単位で LDAP サーバーを使用し、シングルサインオン (SSO) のための認証サービス (ユーザー ID/パスワード) を提供することは一般的になっています。このような LDAP サーバーは、メール配信 (または他の IBM Domino ベース) のディレクトリ検索をサポートするよう設定、導入、意図されていないことがよくあります。
Domino 形式の ID (cn=xxxx
、ou=yyyy
、o=zzzz
というフォームのフルネームまたは識別名)、およびさまざまな LDAP ディレクトリによって導入された制限の少ない (または異なる) 識別名の形式に対して、Domino ではユニバーサルな名前マッピングスキームがサポートされていません。そのため、認証用の LDAP ディレクトリを導入すると、ネイティブな Domino ディレクトリと導入された LDAP ディレクトリに重複エントリが存在する場合、いくつかの Domino サービスにおいて、名前のあいまいさが原因となる問題が発生することがあります。通常、重複エントリはよくあるため、LDAP ディレクトリが導入されてシングルサインオンまたは LDAP ベースのインターネットサービス認証が使用可能になった場合、特定の検索については、LDAP ディレクトリへの送信を避ける必要があります。そうしないと、メールの送信によって LDAP ディレクトリへの不必要な検索が増大し、パフォーマンスが低下することがあります。
任意のディレクトリを認証専用にするには、ディレクトリアシスタント文書にある [基本情報] タブで次のように指定します。
- [グループの許可] を [はい] に設定します。または、[名前付けのコンテスト (ルール)] のいずれかを [資格情報を信用] として有効にします。これにより、新しい設定[グループの認可または資格情報の認証専用に使用する]が表示されます。
- [グループの認可または資格情報の認証専用に使用する]のデフォルト設定は [いいえ] です。このディレクトリを厳密に認証専用の検索に制限するには、[はい] に変更します。
どちらの設定も有効でない場合、そのディレクトリは検索対象になります。