リモート LDAP ディレクトリーのディレクトリアシスタント文書で TLS を設定する

HCL Domino® サーバーでリモート LDAP ディレクトリーを使用して、インターネット・クライアント認証時に資格情報を検索したり、データベース認証時にグループのメンバーを検索したりする場合は、サーバーが LDAP ディレクトリー・サーバーに接続するときに TLS を使用するように指定します。TLS を指定すると、Domino® サーバーと LDAP サーバーの間で安全な通信が可能になり、Domino® サーバーは X.509 証明書を使用して、リモート LDAP ディレクトリー・サーバーの ID を確認できます。

このタスクについて

TLS を使用するには、リモート LDAP ディレクトリーのディレクトリアシスタント文書にある [LDAP] タブの [チャネルの暗号化] フィールドで [TLS] を選択します。[TLS] を選択した場合は、次の関連フィールドでも適切な値を選択します。

  • 期限切れの TLS 証明書を受け入れる
  • リモートサーバーの認証を使ったサーバー名の確認

手順

  1. [期限切れの TLS 認証の追加] フィールドでは、次のいずれかを選択します。
    • 認証の期限が切れている場合でも、LDAP ディレクトリサーバーからの認証を受け付ける場合は、[はい] (デフォルト)
    • 期限が切れている認証を拒否してセキュリティを強化する場合は、[いいえ]
  2. [リモートサーバーの認証を使ったサーバー名の確認] フィールドでは、次のいずれかを選択します。
    • [有効] (デフォルト)
    • 無効

    リモートサーバー認証の件名行に LDAP ディレクトリサーバーのホスト名が必要な場合は、[有効] を選択します。このオプションが正常に機能するためには、リモートサーバー認証の件名行にその DNS ホスト名を含める必要があります。リモート LDAP ディレクトリサーバーの X.509 証明書にリモートサーバーのホスト名が適切な形式で含まれていることがわかっている場合は、このオプションを有効のままにしておきます。

    Domino® CA やその他の CA では、認証の要求時にユーザーが件名行を入力するためのダイアログボックスが表示されます。例えば、Domino® CA はまず、各ユーザーに対して、リモートサーバーの情報 (共通名、組織単位名、組織名、州または県、国名など) を入力するように指示します。次に、Domino® CA はこの情報を件名行に入れ、各フィールドに適切な接頭辞 (cn=、ou=、o= など) を追加します。Domino® CA を使用してリモートサーバーの認証を作成した場合は、[リモートサーバーの認証を使ったサーバー名の確認] オプションの使用時に、[共通名] フィールドにリモートサーバーのホスト名を入力します。例えば、Domino® CA は、次のような有効な件名行をユーザーが入力できるようにします (mailserver.renovations.com はサーバーの DNS ホスト名です)。

    cn=mailserver.renovations.com, ou=sales, ou=marketing, o=renovations, st=mass, c=us

    cn=mailserver, ou=sales - mailserver.renovations.com o=renovations, st=mass, c=us

    ユーザーが DNS ホスト名を正しく入力できるように、Domino® CA から認証を要求するときに DNS ホスト名を共通名 (cn=) として入力することをユーザーに推奨してください。他の CA では、件名行を入力するダイアログボックスが異なる場合がありますが、ユーザーは、それぞれのダイアログボックスの指示に従って、リモートサーバーの DNS ホスト名を入力する必要があります。