インターネットサイト文書の Domino セキュリティを設定する

インターネットサイト文書のセキュリティを設定するには、インターネットクライアントとイントラネットクライアントに対し、SSL サーバーとクライアントの認証、名前とパスワードによる認証、匿名アクセスを有効にするなどの方法があります。

このタスクについて

インターネットサイトに対して SSL を有効にするには、サーバー文書で SSL ポートを設定して、インターネット認証機関からサーバー証明書とキーリングを取得することにより、サーバーで SSL を設定する必要があります。

SSL 認証を設定するには、各インターネットサイト文書についてサーバーキーリングファイルを作成する必要があります。ただし、インターネットサイト文書がすべて同じ組織用なら、別々のプロトコル用に作成されていても、1 つのサーバーキーリングファイルを使用できます。必ず、各サイト文書にある [セキュリティ] タブの該当するフィールドに、サーバーキーリングファイルの名前を入力してください。

インターネット認証機関で証明書失効リスト (CRL) を使用する場合は、インターネット証明書の発行にサーバーベースの Domino® 認証機関を使用する必要があります。

注: Web サイトの場合、サーバーキーリングの共通名は、Web サイト文書内の IP アドレスがマップされている DNS 名と同じでなければなりません。IP アドレスは、Web サイト文書にある [ホスト名またはこのサイトにマップされたアドレス] フィールドに格納されていなければなりません。Web サイト文書で [TCP から SSL へのリダイレクト] を有効にする場合、このフィールドには、ホスト名と IP アドレスの両方が格納されている必要があります。

この手順を実行するには、SSL 認証、名前とパスワードによる認証、匿名アクセスに関する知識が必要です。

注: インターネットサイト文書のすべての認証オプションで [いいえ] を選択することによって、インターネットサイトへのアクセスを禁止できます。該当する認証オプションは、TCP 認証、SSL 認証、TCP 匿名アクセスです。

手順

  1. Domino Administrator で、[設定] > [Web] > [インターネットサイト] をクリックします。
  2. 編集するインターネットサイト文書を選択し、[文書の編集] をクリックします。
  3. [セキュリティ] をクリックし、次のフィールドに必要な情報を設定します。
    表 1. インターネットサイトのセキュリティのフィールドと説明

    フィールド

    説明

    TCP 認証

    匿名

    (IMAP と POP3 を除くすべてのインターネットサイトに適用されます)

    新しく作成したグループのオプションとして、

    • [はい] - このサイトへの匿名アクセスを許可します。
    • [いいえ] - 匿名アクセスを禁止します。

    名前とパスワード

    新しく作成したグループのオプションとして、

    • [はい] - このサイトにアクセスするために、ユーザー名とインターネットパスワードで認証を受けるようユーザーに要求します。
    • [いいえ] - 名前とパスワードによる認証を要求しません。

    TCP から SSL へのリダイレクト

    (Web サイトのみ) 次のいずれかを選択します。

    • [はい] - Web サイトにアクセスするために、SSL プロトコルを使用するようクライアントとサーバーに要求します。
    • [いいえ] - Web サイトにアクセスするために、クライアントとサーバーが SSL または TCP/IP を使用することを許可します。

    SSL 認証

    匿名

    (IMAP と POP3 を除くすべてのインターネットサイトに適用されます)

    新しく作成したグループのオプションとして、

    • [はい] - SSL ポート経由でアクセスするユーザーに、名前とパスワードによる認証を要求しません。
    • [いいえ] - ユーザーの匿名アクセスを拒否します。

    名前とパスワード

    新しく作成したグループのオプションとして、

    • [はい] - SSL を使用してこのサイトにアクセスするために、ユーザー名とインターネットパスワードで認証を受けるようユーザーに要求します。
    • [いいえ] - 名前とパスワードによる認証を要求しません。

    クライアント認証

    (Web サイト、IMAP、POP3、LDAP に適用されます)

    新しく作成したグループのオプションとして、

    • [はい] - このサイトへのアクセスにクライアント認証を必要とします。
    • [いいえ] - クライアント認証を必要としません。

    SSL オプション

    キーファイル名

    サーバーのキーリングファイルの名前を入力します。

    プロトコルバージョン

    新しく作成したグループのオプションとして、

    • [V2.0 のみ] - SSL 2.0 の接続だけを許可します。
    • [V3.0 ハンドシェーク] - SSL 3.0 の接続を試行します。この試行が失敗し、リクエスタが SSL 2.0 を検出した場合は、SSL 2.0 による接続が試行されます。
    • [V3.0 のみ] - SSL 3.0 の接続だけを許可します。
    • [V3.0 と V2.0 ハンドシェーク] - SSL ハンドシェークを試行し、関連するエラーメッセージが表示されます。SSL 3.0 接続が可能な場合は、SSL 3.0 で接続します。
    • [セッションで決定する] (デフォルト) - SSL 3.0 の接続を試行します。この試行が失敗した場合、SSL 2.0 が試行されます。プロトコルのバージョンに互換性がないことに起因する接続問題が発生していない場合に、この設定を使用してください。

    SSL サイトの証明書を受け入れる

    新しく作成したグループのオプションとして、

    • [はい] - サーバーにプロトコルサーバーと共通する証明書がない場合でも、証明書を受け入れて SSL を使用します。
    • [いいえ] (デフォルト) - SSL サイトの証明書の受け入れを禁止します。

    期限切れの SSL 証明書を受け入れる

    新しく作成したグループのオプションとして、

    • [はい] - クライアント証明書の有効期限が過ぎている場合でも、クライアントアクセスを許可します。
    • [いいえ] - 期限切れの SSL 証明書を使用するクライアントアクセスを禁止します。

    CRL をチェックする

    新しく作成したグループのオプションとして、

    • [はい] - 確認しようとしているユーザーの証明書について、認証者の証明書失効リスト (CRL) をチェックします。有効な CRL が見つかり、ユーザーの証明書がリストに含まれている場合、この証明書は拒否されます。
    • [いいえ] - 証明書失効リストを使用しません。

    期限切れの CRL を信頼する

    新しく作成したグループのオプションとして、

    • [はい] - ユーザーの証明書を確認する際に、期限が切れていること以外は有効な証明書失効リストを使用します。
    • いいえ] - 期限切れの証明書失効リストを拒否します。

    CRL 検索が失敗した場合にアクセスを許可

    新しく作成したグループのオプションとして、

    • [はい] - 有効な証明書失効リストの検索に失敗した際に、[CRL をチェックする][いいえ] に設定されているものとして処理します。
    • [いいえ] - ユーザーの証明書について有効な証明書失効リストが見つからなかった場合、証明書を拒否します。[期限切れの CRL を信頼する][はい] に設定されている場合、期限切れの CRL は有効です。[期限切れの CRL を信頼する][いいえ] に設定されている場合、一致する有効な CRL が見つからなかったユーザーの証明書に対する認証は、すべて失敗します。

    SSL セキュリティ

    SSL 暗号

    このサイト文書に対する SSL 暗号の設定を変更するには、[修正] をクリックします。ここでの設定は、SSL v3 にのみ適用されます。SSL v2 暗号は変更できません。

    SSL V2 を有効にする

    このサイト文書に対して SSL v2 を有効にするには、[はい] を選択します。

  4. 文書を保存します。