インターネットクライアントとイントラネットクライアントの検証と認証

名前とパスワードによるアクセスを設定し、インターネットとイントラネットのユーザーのユーザー文書を作成すると、Domino® は、ユーザーがアクセスが制限された動作を試みたとき、またはサーバー上で匿名アクセスが許可されていないときのいずれかの場合にユーザーの認証を行います。

たとえば、ACL で [- Default -] が [なし] になっているデータベースをユーザーが開こうとすると、Domino は有効なユーザー名とパスワードを入力するよう要求します。認証が成功するのは、ユーザーが入力した名前とパスワードがそのユーザーのユーザー文書 (または、LDAP ディレクトリ - 一部のユーザーに対しては、ユーザーレコードではなく LDAP ディレクトリで認証が行われます) に保存されている名前とパスワードに一致し、データベースの ACL でそのユーザーにアクセス権が設定されている場合だけです。匿名ユーザーは認証されません。

TCP/IP と SSL では、名前とパスワードによるアクセスと匿名アクセスを使用できます。

この節の説明は、セッション認証が有効になっている Domino Web サーバーにアクセスする Web クライアントにも適用されます。

注: DSAPI (Domino Web Server Application Programming Interface) は、Domino Web サーバーの拡張を可能にする C API です。これらの拡張 (フィルタ) により、Web ユーザーの認証をカスタマイズできます。DSAPI の詳細については、Domino/Notes® の Lotus® C API Toolkit を参照してください。

検証と認証の仕組み

次の例は、クライアント (Andrew) が TCP/IP を使用してサーバー (Mail-E) に接続するときの流れを示しています。

  1. Andrew から Mail-E サーバー上のデータベースへのアクセスが開始されます。
  2. サーバーはインターネットサイト文書 (またはサーバー文書) を調べて、TCP/IP で匿名アクセスが使用可能になっているかどうかを判断します。匿名アクセスが使用可能になっている場合は、次の処理が実行されます。
    1. サーバーはデータベース ACL を調べ、[Anonymous] という名前のエントリを探します。[Anonymous] が存在し、[Anonymous] のアクセスレベルが [読者] 以上の場合、Andrew は匿名でデータベースにアクセスします。
    2. ACL に [Anonymous] という名前のエントリが含まれていないと、データベース ACL の [- Default -] のアクセス権を調べます。[- Default -] のアクセス権が [読者] 以上の場合、Andrew は [- Default -] のアクセスレベルを使用して匿名でデータベースにアクセスします。
  3. そのプロトコルで匿名アクセスが使用不能になっていたり、データベース ACL で匿名アクセスが許可されていない場合は、インターネットサイト文書 (またはサーバー文書) を調べて、TCP/IP で名前とパスワードによるアクセスが使用可能になっているかどうかを判断します。名前とパスワードによるアクセスが使用可能になっている場合は、次の処理が実行されます。
    1. Andrew にユーザー名とパスワードを入力するように要求します。
    2. サーバーは、Andrew がブラウザに入力したユーザー名を検索します。サーバーは、[弱いセキュリティと複数の名前のバリエーション][強いセキュリティで少ない名前のバリエーション] のどちらかを検索機構として使用し、入力された名前をすべてのディレクトリ内で検索します。
    3. Andrew が入力したユーザー名が見つかり、Andrew が入力したパスワードが Andrew のユーザー文書の [インターネットパスワード] フィールドのパスワードと一致すると、Andrew は認証されます。サーバーは、1 次 Domino ディレクトリのユーザー文書をチェックします。2 次 Domino ディレクトリと LDAP ディレクトリを検索するように設定されている場合、サーバーは、2 次 Domino ディレクトリと LDAP ディレクトリもチェックします。
      注: Domino は、インターネットユーザーの認証時、ユーザー文書の [フルネーム] フィールドに最初に表示されている名前である「識別名」 (DN) を使用します。この名前は、グループ、代理サーバー管理、データベース ACL、ファイル保護文書のエントリで使用します。

    ユーザーレコードを持たず、その代わりにレコードが 2 次 LDAP ディレクトリにあるユーザーの場合、ユーザーの LDAP 名が ACL に表示されることがあります。ユーザーにアクセスを許可するためには、ACL はユーザーの LDAP 名を含んでいなければなりません (ただし、ディレクトリアシスタンスによってユーザーの名前が対応する Domino 名にマップされていない場合は、Domino DN が ACL に表示されます)。

    1. 次に、サーバーは「グループリスト」をコンパイルします。グループリストには、Andrew の識別名、ワイルドカードエントリ、このサーバー上で Andrew がメンバーになっているすべてのグループが含まれています。
    2. サーバーは次に、データベース ACL をチェックし、Andrew の名前が ACL に明示的にリストされているかどうか、 Andrew の名前に対応するグループリストエントリが ACL にあるかどうかを調べます。
    3. Andrew の識別名か、Andrew がメンバーになっているグループの名前が ACL 内のエントリに一致すると、Andrew は、ACL 内の該当するエントリで指定されているアクセスレベルを使用してデータベースにアクセスできるようになります。それ以外の場合、Andrew からのアクセスは拒否されます。