Web クライアントのアクセスからサーバーのファイルを保護する

ファイル保護文書を使用すると、Web ブラウザを使用してユーザーがアクセスできる、データベースファイル以外のファイルへのアクセスを制御できます。データベースファイル (.NSF) アクセス制御リスト (ACL) ではアクセスを許可するユーザーとそのアクセスレベルを指定できますが、それと同じように、ファイル保護文書では、ブラウザユーザーがアクセスできるファイル (HTML、JPEG、GIF など) に、ファイルシステムのセキュリティを設定し、ファイルの種類ごとにアクセスレベルとアクセスできるユーザーの名前を指定できます。

このタスクについて

ファイル保護文書は、最初にサーバーを起動したときに Domino® ディレクトリに作成されます。ファイル保護文書により、管理者には Domino ディレクトリに対する書き込み、読み込み、実行のアクセス権限が与えられます。他のユーザーはアクセス権が割り当てられません。ファイル保護文書は、Web クライアントのアクセスを制御することによりハードドライブ上のファイルを保護するセキュリティ機能です。アクセスレベルやファイルにアクセスできるユーザー名を指定することにより、ブラウザユーザーがアクセスできるファイルに対するファイルシステムセキュリティを向上することができます。

注: ファイル保護は、CGI スクリプトに適用することもできますが、それらのスクリプトからアクセスできるほかのファイルにまで拡張することはできません。たとえば、CGI スクリプトに対してファイルの保護を適用して、アクセスを Web Admin という名前のグループだけに制限できます。しかし、この CGI スクリプトからほかのファイルを実行したり、開いたりする場合や、別のスクリプトを実行する場合は、Web Admin グループをそれらのファイルにアクセスさせるかどうかはファイル保護文書では制御できません。

ファイル保護は、ほかのファイルにアクセスするファイル (イメージファイルを開く HTML ファイルなど) には適用されます。ユーザーがこの HTML ファイルに対するアクセス権を持っていても、HTML ファイルが使用する JPEG ファイルに対するアクセス権を持っていない場合は、HTML ファイルを開いても Domino ではこの JPEG ファイルは表示されません。

次のディレクトリへのアクセスを制御するファイル保護文書は作成できません。これらのディレクトリには、Domino Web サーバーとその他のアプリケーション (メールデータベースなど) によって使用されるデフォルトのイメージファイルや Java™ アプレットが含まれています。

  • Dominodatadominojava、Web ブラウザ経由で次のパスを使用してアクセス

    http://server/domjava

  • Dominodatadominoicons、Web ブラウザ経由で次のパスを使用してアクセス

    http://server/icons

ファイル保護文書は、ディレクトリや個々のファイルごとに作成できます。ディレクトリで定義されている保護は、そのすべてのサブディレクトリによって継承されます。Web ユーザーがアクセスできるすべてのディレクトリについて、ファイル保護文書を作成しなければなりません。ファイル保護文書のないファイルとファイルディレクトリには、Web ブラウザを使用して誰でもアクセスできます。

注: データベース (.NSF) ファイルの保護には、ファイル保護文書を使用する必要はありません。その場合は、データベースの ACL を使用します。

Web サイト文書用のファイル保護を作成するには

このタスクについて

特定の Web サイトに対してファイル保護文書を作成します。このファイル保護文書は、指定された Web サイトにのみ適用されます。

ファイル保護文書でサポートしているセキュリティは、制限されています。機密情報は、データベース ACL など、Domino のセキュリティ機能を使用して保護してください。

手順

  1. Domino Administrator で、[設定] > [Web] > [インターネットサイト] を選択します。
  2. ファイル保護を適用する Web サイト文書を開きます。
  3. [Web サイト] ボタンをクリックし、[ファイル保護の作成] を選択します。
  4. [基本] をクリックし、次のフィールドに必要な情報を設定します。
    表 1. [基本] タブのフィールド

    フィールド

    アクション

    説明

    この文書を、作成するほかの文書と区別するための名前を入力します。

    ディレクトリまたはファイルパス

    アクセスの制限を適用するディレクトリまたはファイルパス。ドライブ名を含む完全修飾パス (例、c:\domino\data\domino\cgi-bin)、またはサーバーのデータディレクトリの相対パス (例、domino\cgi-bin) のいずれかの形式で入力します。

    Current®アクセス制御リスト

    指定したファイルやディレクトリにアクセスできるユーザーとグループ、および許可されているアクセスの種類が表示されます。データベースの ACL と同様に、アクセス制御リストを作成すると、[なし] (変更可能) に設定された [-Default-] のアクセス権が作成されます。データベース ACL の場合と同様に、アクセスリストで指定されていないユーザーには、デフォルトのアクセスレベルが割り当てられます。

    アクセス制御リストの設定/更新
    ユーザーをアクセス制御リストに追加するには、[アクセス制御リストの設定/更新] をクリックします。Domino ディレクトリからユーザー名またはグループを選択するか、[名前] フィールドで名前を入力します。以下のいずれかを選択します。
    • 読み取り/実行アクセス (GET メソッド)
    • 書き込み/読み取り/実行アクセス (POST メソッドと GET メソッド)
    • アクセス権限なし
    [追加] をクリックし、エントリをアクセス制御リストに追加します。

    GET の場合、ユーザーはディレクトリ内のファイルを開いたり、プログラムを起動できます。POST は通常、CGI プログラムにデータを送信するために使用されます。したがって、POST は CGI プログラムが保存されているディレクトリだけに割り当てます。[なし] を選択した場合は、指定したユーザーやグループのアクセスが禁止されます。

    リストからエントリを削除するには、削除するエントリを選択して [消去] をクリックします。

    ユーザーが匿名アクセスを使用してサーバーに接続する場合は、[名前] フィールドに「Anonymous」と入力し、適切なアクセス権を割り当てます。

    注: LDAP ディレクトリに存在するユーザー名を入力する場合は、カンマ区切り文字をスラッシュに置き換える必要があります。区切り文字としてカンマを使用した名前は入力しないでください。

    たとえば、次の名前形式を持った LDAP ユーザーの場合、 

    cn=Anthony Jones,l=westford,o=renovations.com

    ファイル保護文書のアクセスリストでは、次のように入力する必要があります。

    cn=Anthony Jones/l=westford/o=renovations.com
  5. [管理] をクリックし、[所有者] フィールドと [管理者] フィールドに値を入力します。デフォルト時は、ログイン時に指定した管理者名が、これら両方のフィールドに割り当てられます。
  6. 文書を保存します。
  7. 次のコマンドを入力して、設定値を更新します。

    tell http refresh

ファイル保護文書で次のように設定すると、Web User Group のすべてのユーザーが、c:\notes\data\domino\html ディレクトリのファイルを開いて、プログラムを起動できます。

パス: c:\notes\data\domino\html

アクセス: Web User Group (GET)

アクセス: -Default- (No Access)

notes\data\domino\html ディレクトリに secret.htm ファイルが保存されているとします。Web User Group のメンバーに対してはこのファイルへのアクセスを禁止し、ユーザー Joe Smith にだけアクセスを許可できます。この場合は、次のように設定したファイル保護文書を作成します。

パス: c:\notes\data\domino\html\secret.html

アクセス: -Default- (No Access)

アクセス: Joe Smith (GET)