ホーム
保護
このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
クライアントの SSL と S/MIME
クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、SSL と S/MIME の接続を保護するための証明書を取得できます。
Notes® クライアントに信頼された証明書をプッシュする
インターネット認証者と Notes® 証明書の相互認証を Domino® ディレクトリに作成し、その相互認証を Notes クライアント上の連絡先アプリケーションにプッシュすることができます。相互認証は、認証者がサーバーにアクセスして暗号化された S/MIME メールを読む場合、または署名された Notes クライアントのプラグインをインストールする場合に、認証者とクライアントとの信頼を確立するために使用されます。相互認証をクライアントに対してプッシュすると、ユーザーによる相互認証の作成や Domino ディレクトリからの相互認証の取得を行う必要がなくなります。
ユーザーが信頼された証明書を手動で取得する方法
CA の証明書のコピーを「信頼されたルートの証明書」と呼びます。クライアントは信頼されたルートの証明書を取得すると (Notes® クライアントの場合は、ルートの証明書用のインターネット相互認証も必要)、発行元の CA を信頼し、この CA が発行した証明書をすべて信頼します。インターネットクライアント用のサーバー認証を設定する場合は、この信頼されたルートはローカルファイルに追加します。Notes クライアント用にサーバー認証を設定する場合は、この信頼されたルートは、ユーザーがアクセスして連絡先に相互認証を生成できる Domino® ディレクトリに追加します。
CA 用のインターネット相互認証を作成する
HCLDomino® クライアントでサーバーを認証したり、保護された S/MIME メッセージを送信できるようにするには、まずクライアントで CA サーバーに対する相互認証を作成し、連絡先に保存する必要があります。これにより、HCLNotes® クライントは、その CA が発行した証明書を持つサーバーまたはクライアントを信頼します。

保護
このセクションでは、操作制御リスト、ID、SSL などのセキュリティ機能について説明します。
- Domino のセキュリティの概要
  組織のセキュリティを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
- Notes® ユーザー、インターネットユーザー、Domino® サーバーのサーバーへのアクセス
  Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
- データベースのアクセス制御リスト
  各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
- Domino® サーバー ID と Notes® ユーザー ID
  Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
- 実行制御リスト
  操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
- Domino® サーバーベース認証機関
  認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
- SSL セキュリティー
  SSL (Secure Sockets Layer) は、TCP/IP プロトコル経由で実行する Domino® サーバータスクの通信上の機密性を保護し、認証を行うためのセキュリティプロトコルです。
- クライアントの SSL と S/MIME
  クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、SSL と S/MIME の接続を保護するための証明書を取得できます。
  - Notes® クライアントとインターネットクライアントで SSL 認証を設定する
    Notes® や他のインターネットクライアントは、データの暗号化、インターネットサーバーへの接続時のサーバー ID の認証などを実行するように設定できます。クライアントでサーバー認証だけを設定する場合は、インターネット証明書は必要ありません。
  - Notes® クライアントに信頼された証明書をプッシュする
    インターネット認証者と Notes® 証明書の相互認証を Domino® ディレクトリに作成し、その相互認証を Notes クライアント上の連絡先アプリケーションにプッシュすることができます。相互認証は、認証者がサーバーにアクセスして暗号化された S/MIME メールを読む場合、または署名された Notes クライアントのプラグインをインストールする場合に、認証者とクライアントとの信頼を確立するために使用されます。相互認証をクライアントに対してプッシュすると、ユーザーによる相互認証の作成や Domino ディレクトリからの相互認証の取得を行う必要がなくなります。
    - Domino® ディレクトリにインターネット認証者をインポートする
      Notes® クライアントがサードパーティのインターネット認証者を信頼するよう設定するには、最初に認証者を Domino® ディレクトリにインポートします。VeriSign などの CA から購入した証明書、または Sun Java™ ソフトウェア開発キット (SDK) に付属するキーと証明書管理ツール (keytool) などのツールを使用して作成した自己署名証明書のいずれかを、インターネット認証者として使用することができます。どちらの場合も、証明書は RSA キーアルゴリズムに基づいている必要があります。それ以外の証明書をインポートすることはできません。自己署名証明書を作成する場合は、RSA キーアルゴリズムを使用するよう指定する必要があります。
    - 認証者文書を使用して Domino ディレクトリにインターネット相互認証を作成する
      インターネット用の相互認証を HCLDomino® ディレクトリに作成します。この手順を実行すると、相互認証を HCLNotes® クライアントにプッシュして、クライアント上の認証者の信頼を確立することができます。
    - セキュリティポリシー設定を使用して証明書をクライアントにプッシュする
      インターネット認証者または Notes® 認証者の相互認証が Domino® ディレクトリに作成されている場合、セキュリティポリシー設定を使用して、その相互認証を Notes クライアントの連絡先にプッシュすることができます。オプションで、インターネット認証者をプッシュすることもできます。ユーザーは連絡先で相互認証や認証者を確認できますが、これを編集または削除することはできません。
    - ユーザーが信頼された証明書を手動で取得する方法
      CA の証明書のコピーを「信頼されたルートの証明書」と呼びます。クライアントは信頼されたルートの証明書を取得すると (Notes® クライアントの場合は、ルートの証明書用のインターネット相互認証も必要)、発行元の CA を信頼し、この CA が発行した証明書をすべて信頼します。インターネットクライアント用のサーバー認証を設定する場合は、この信頼されたルートはローカルファイルに追加します。Notes クライアント用にサーバー認証を設定する場合は、この信頼されたルートは、ユーザーがアクセスして連絡先に相互認証を生成できる Domino® ディレクトリに追加します。
      - CA 用のインターネット相互認証を作成する
        HCLDomino® クライアントでサーバーを認証したり、保護された S/MIME メッセージを送信できるようにするには、まずクライアントで CA サーバーに対する相互認証を作成し、連絡先に保存する必要があります。これにより、HCLNotes® クライントは、その CA が発行した証明書を持つサーバーまたはクライアントを信頼します。
  - SSL と S/MIME 用のインターネット証明書
    インターネットクライアントや Notes® クライアントでクライアント認証を使用したり、署名付きのメールを送信できるようにするには、インターネット証明書が必要です。暗号化されたメールを S/MIME を使用して送信するには、受信者のインターネット証明書が必要です。
  - Notes® クライアントの S/MIME を設定する
    Notes® クライアントで、S/MIME をサポートするメールアプリケーションのユーザーにメールを送信する際に S/MIME 暗号化や電子署名を使用するように設定できます。
  - Notes® クライアントとインターネットクライアントで SSL クライアント認証を設定する
    Notes® クライアントやインターネットクライアントでサーバーとのクライアント認証を設定できます。SMTP と IIOP 接続では、クライアント認証は使用できません。
  - SMTP を使用する Notes® や Domino® の SSL を設定する
    Notes® クライアントや Domino® サーバーは、SMTP サーバーにメールを配信する際に SMTP クライアントとして機能します。Notes クライアントや Domino サーバーは、SSL を使用して、SMTP サービスを実行する Domino サーバーや種類が異なる SMTP サーバーに接続できます。SMTP を使用して接続しているときは、Notes クライアントや Domino サーバーで SSL クライアント認証を設定することはできません。
  - LDAP ディレクトリのディレクトリアシスタント設定時に SSL を使用する
    ディレクトリアシスタントを使用して、サーバーの 1 次 Domino® ディレクトリから、2 次 Domino ディレクトリなどの他の Notes® ディレクトリや、リモート LDAP ディレクトリにディレクトリサービスを拡張することができます。ディレクトリアシスタントを設定するには、DA.NTF テンプレートを使用してディレクトリアシスタントデータベースを作成した後、そのデータベース内でディレクトリアシスタント文書を作成し、特定のディレクトリのサービスを設定します。
  - X.509 証明書の失効確認に使用する OCSP
    Online Certificate Status Protocol (OCSP) を使用すると、識別された証明書の取り消し状態をアプリケーションで判別することができます。OCSP を使用すると、証明書失効リスト (CRL) を使用する場合よりも適切なタイミングに失効情報を必要とするような運用要件を満たすことができます。また、状態に関する追加情報も取得できます。OCSP クライアントは OCSP レスポンダに状態の要求を発行し、レスポンダが応答を返すまで問い合わせ中の証明書の受け入れを一時停止します。
- 暗号化
  暗号化を使用すると、不正なアクセスからデータを保護できます。
- インターネット/イントラネットクライアントの名前とパスワードによる認証
  基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
- 複数サーバーのセッションベースの認証 (シングルサインオン)
  シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
- Security Assertion Markup Language (SAML) を使用して統合 ID 認証を設定する
  統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。IBM Domino® と IBM Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
- 資格情報ストアを使用して資格情報を共有する
  このリリースでは、オンプレミス Domino® サーバーは資格情報ストアアプリケーション (credstore.nsf) を使用できます。資格情報ストアとは、IBM Notes® クライアントユーザーが OAuth (Open Authorization) プロトコルを使用するアプリケーションへのアクセスを許可するために必要な文書暗号キーやその他のトークンのためのセキュアなリポジトリです。OAuth はユーザーの資格情報を OAuth 準拠のアプリケーションで共有できるようにすることで、余分なパスワード入力を排除します。

CA 用のインターネット相互認証を作成する

HCLDomino® クライアントでサーバーを認証したり、保護された S/MIME メッセージを送信できるようにするには、まずクライアントで CA サーバーに対する相互認証を作成し、連絡先に保存する必要があります。これにより、HCLNotes® クライントは、その CA が発行した証明書を持つサーバーまたはクライアントを信頼します。

このタスクについて

クライアントは、信頼されたルートの証明書を使用して相互認証を作成します。相互認証を作成した後は、信頼されたルートの証明書はクライアントにとって不要になります。

Notes 以外のインターネットクライアント用の SSL サーバー認証には、相互認証は不要です。

Notes クライアントでは、サーバーまたはクライアント用の相互認証を作成することもできます。しかし、この場合、Notes クライアントは、そのサーバーまたはクライアントだけを信頼し、CA から発行された証明書を持つ他のサーバーまたはクライアントを信頼しません。

注: ユーザーに Domino ディレクトリから信頼された相互認証を取得させずに、IBM Notes クライアントの連絡先に信頼された相互認証をプッシュすることをお勧めします。

手順

CA により Domino ディレクトリ内に信頼されたルートの証明書が作成されたことを確認します。
[ユーザーセキュリティ] ダイアログボックスでインターネット相互認証を取得するようクライアントに指示します。

タスクの結果

Notes ユーザーは、連絡先に格納されているインターネット相互認証を表示できます。IBM Notes ユーザーがインターネット相互認証を参照する方法については、IBM Notes のヘルプを参照してください。