リモート LDAP ディレクトリで Notes® 識別名を使用する
組織でユーザーを Domino® ディレクトリからリモート LDAP ディレクトリに移行する場合に、この機能を使用すると、ユーザーは元の Notes® 識別名を引き続き使用できます。また、この機能は、複雑な LDAP 識別名をユーザーに意識させない方法としても有用です。
このタスクについて
リモート LDAP ディレクトリに対してディレクトリアシスタントを設定すると、Domino® サーバーで以下の処理ができるようになります。
- LDAP 識別名ではなく Notes® 識別名を使用してインターネットクライアントを認証する。
- データベースアクセス認証のために、データベース ACL にある Notes® 識別名と、データベース ACL で使用されているグループにある Notes 識別名を受け入れる。
この機能を設定するには、まず、Notes® 名を格納する属性を LDAP ディレクトリのユーザーエントリに追加し、その属性値として Notes® 識別名を追加します。次に、LDAP ディレクトリのディレクトリアシスタント文書で、Notes® 名に使用する属性を指定します。
この機能を設定しておけば、クライアントはその Notes® 識別名でも元の LDAP 識別名でも認証を受けることができます。データベースの ACL、サーバー文書のアクセス制御フィールド、アクセス制御グループ、Web サーバーのファイル保護文書で使用できるのは、Notes® 識別名のみです。
手順
- Notes® 識別名を LDAP ディレクトリに追加するには、リモート LDAP ディレクトリで、LDAP ディレクトリのユーザーエントリに Notes® 名の値を格納するための属性を選択します。この属性の構文は、DN であることが必要です。この属性として、新しい属性を作成することも、既にスキーマで定義されている既存の属性を使用することもできます。
- 選択した属性値に Notes® 名を指定して、リモート LDAP ディレクトリのユーザーエントリに追加します。
- Domino® には、名前を追加するためのツールが用意されていません。使用可能なツールを使用してください。
- Notes® 名の値に LDAP フォーマットを使用します。たとえば、cn=John Doe,o=Renovations とします。John Doe/Renovations や cn=John Doe/o=Renovations とはしません。
- 使用する識別名の値に制限はありませんが、セキュリティを高めるために、複数の部分から成る識別名をお勧めします。
- Notes® 識別名を使用するようにディレクトリアシスタントを設定します。
- LDAP ディレクトリのディレクトリアシスタント文書を作成していない場合は、作成します。
- ディレクトリアシスタント文書の [LDAP] タブの [Notes の識別名で使う属性] フィールドに、Notes® 名を格納するために LDAP ディレクトリで使用する属性の名前を追加します。
- ディレクトリアシスタント文書の [名前付けのコンテキスト (ルール)] タブで、Notes® 識別名および LDAP 識別名と一致する [資格情報を信用] の規則があることを確認します。すべてをアスタリスクとする信頼される規則を使用せず、Notes® 名および LDAP 名に別の名前階層を使用する場合は、各階層に該当する信頼される規則を設定します。
- ディレクトリアシスタント文書を保存します。
- 必要に応じて、データベースの ACL、サーバー文書のアクセス制御フィールド、アクセス制御グループ、Web サーバーのファイル保護文書に Notes® 識別名を追加します。この名前には Notes® 形式を使用して、例えば、John Doe/Renovations や cn=John Doe/o=Renovations とします。cn=John Doe,o=Renovations のような LDAP 形式は使用しないでください。
タスクの結果
リモート LDAP ディレクトリでの Notes® 識別名の使用例
このタスクについて
Renovations 社では、あるユーザーの識別名として LDAP 識別名 uid=675894,ou=boston,o=airius.com をリモート LDAP ディレクトリで使用しています。Renovations では同じユーザーに対して、Notes® データベースの ACL とデータベース ACL で使用されているグループでは、Jack Johnson/Boston/Renovations という名前を使用しています。Domino® サーバーは、ディレクトリアシスタントを使用して、クライアント認証に使用するユーザー資格情報をリモート LDAP ディレクトリで検索します。
Renovations の管理者は、以下を実行して、クライアント認証およびデータベースアクセス制御に Notes® 識別名を使用するように設定します。
手順
- リモート LDAP ディレクトリで、uid=675894,ou=boston,o=airius のユーザーエントリに notesname という属性を追加し、その属性に値 cn=Jack Johnson,ou=Boston,o=Renovations を指定します。
- LDAP ディレクトリのディレクトリアシスタント文書にある [LDAP] タブで、[Notes の識別名で使う属性] フィールドに属性 notesname を追加します。
- ディレクトリアシスタント文書の [名前付けのコンテキスト (ルール)] タブで、すべてをアスタリスクとする信頼される規則を指定します。
タスクの結果
このユーザーは、以下のどちらの名前をクライアントログオン名に使用しても認証を受けることができます。
- cn=Jack Johnson/ou=Boston/o=Renovations
- cn=Jack Johnson,ou=Boston,o=Renovations
- Jack Johnson/Boston/Renovations
- uid=675894,ou=boston,o=airius
- 675894
Jack Johnson/Boston/Renovations という Notes® 名は、データベース ACL とグループで使用されます。