LDAP サービスを計画する

LDAP タスクを実行する HCLDomino® サーバーは、LDAP クライアントからの要求を処理できる LDAP ディレクトリサーバーとして機能します。そのような要求は、ディレクトリ情報を取得するために、LDAP サポートを組み込んだ一般的な Web ブラウザのクライアントから来る場合や、ディレクトリ情報を検索および管理するように設計されたカスタム LDAP アプリケーションから来る場合があります。

このタスクについて

LDAP サービスを計画する場合に発生する課題をいくつか次に示します。

  • どのレベルの LDAP クライアント認証を使用するか? デフォルトで有効になっている匿名アクセスでは、LDAP クライアントは、名前と認証資格情報 (パスワードや証明書) を提示せずに接続できます。匿名で接続する LDAP クライアントに対しては、通常、ディレクトリへの読み込みアクセスのみを許可します。
  • ディレクトリに対する LDAP アクセスの制御で拡張 ACL を使用するか? 拡張 ACL を使用すると、データベース ACL のみのサポートよりも細分化された、ディレクトリのアクセス制御が可能です。拡張 ACL を使用すると、データベース ACL と拡張 ACL によって、匿名 LDAP 検索アクセスと、サポートされているその他のクライアントプロトコルの匿名アクセスを制御できます。拡張 ACL を使用しない場合は、設定文書によって、匿名 LDAP 検索アクセスを制御できます。
  • Domino ディレクトリの全文索引を作成するか? LDAP クライアントで主に使用する検索フィルタが、名前やメールアドレスを検索する検索フィルタであれば、ディレクトリに全文索引を作成する必要はありません。それ以外のタイプの検索フィルタを LDAP クライアントで使用する場合は、ディレクトリに全文索引を作成することをお勧めします。それによって、LDAP サービスではこの種の要求を、全文索引の検索によって迅速に処理できるようになります。
  • 新規のオブジェクトクラスまたは属性のサポートを追加するようにスキーマを拡張するか? アプリケーション固有の情報を検索する LDAP アプリケーション使用している場合は、スキーマの拡張が必要になることがあります。[Domino LDAP Schema] データベース (schema.nsf) を使用すると、スキーマの拡張や、ディレクトリへのフォームやフィールドの追加が可能になります。スキーマデータベースの使用をお勧めします。

LDAP サービスに対するディレクトリアシスタントを計画する

このタスクについて

LDAP サービスがクライアント LDAP 要求を 2 次 Domino ディレクトリまたはリモート LDAP ディレクトリに拡張できるように、LDAP サービスを実行するサーバーにディレクトリアシスタントを設定できます。2 次 Domino ディレクトリに対してディレクトリアシスタントを使用するように LDAP サービスを設定する場合は、以下の課題について検討する必要があります。

  • LDAP クライアントは 2 次 Domino ディレクトリに対してどのようなアクセス権が必要か? LDAP サービスの対象となる Domino ディレクトリまたは拡張ディレクトリカタログのそれぞれに対し、LDAP アクセス権を個別に制御します。
  • カスタム LDAP アプリケーションを使用してディレクトリを管理する場合は、LDAP サービスを実行しているサーバーにそのディレクトリがローカルに格納されている場合にかぎり、LDAP サービスは、そのアプリケーションがディレクトリを変更することを許可します。2 次 Domino ディレクトリがリモートサーバーに格納されている場合、LDAP サービスは、LDAP 動作を自身で処理せずに、そのサーバーへの参照を返すことができます。

ディレクトリアシスタントを使用して LDAP クライアントからリモート LDAP ディレクトリを参照するように LDAP サービスを設定する場合は、以下の課題について検討する必要があります。

  • LDAP サービスでは、LDAP の検索要求、追加要求、変更要求をリモート LDAP ディレクトリで処理することはできません。LDAP クライアントからリモート LDAP ディレクトリを参照することのみが可能です。
  • デフォルトの LDAP サービスでは、指定された LDAP クライアントに参照先として返すことができるリモート LDAP ディレクトリは 1 つのみです。LDAP サービスが LDAP クライアントに複数の参照先を返せるようにして、最初の参照先に指定されたディレクトリサーバーが使用できない場合に LDAP クライアントが代替の参照先を使用できるようにするには、LDAP サービスの [参照最大数] の設定を大きくする必要があります。
  • リモート LDAP ディレクトリのディレクトリアシスタント文書 1 つで、参照先の代替 LDAP ディレクトリを指定できます。
注: LDAP サービスでは、あらゆる Domino インターネットプロトコルサーバーと同様に、ディレクトリアシスタントを使用して、資格情報を使用するクライアントを 2 次ディレクトリで認証できます。また、2 次ディレクトリでグループを使用してデータベースを認証することもできます。