資格のトラッキング
Domino 12.0 では、個々のユーザーが Domino ドメイン全体で持っている最上位の資格を収集するための新しい内部メカニズムが提供されています。データベースの ACL に読者権限以上で表示されるユーザーがサーバーにアクセスする権限を持っている場合、その ユーザーは権利ユーザーと呼ばれます。
たとえば、Dana Smith/Renovations には、経費報告アプリケーション expenses.nsf への作成者アクセス権限があります。サーバーのアクセス許可セキュリティ設定では、サーバーへのアクセスに対する */Renovations 権限が許可されます。したがって、Dana Smith/Renovations は、作成者アクセス権限の資格を持つユーザーとみなされます。
- Dana Smith/Renovations には以下の権限があります。expenses.nsf の作成者アクセス権限、AcmeSales.nsf の読者権限、自身のメールファイルの編集アクセス権限、DanaSmith.nsf。
- Richard Smith/Renovations には以下の権限があります。expenses.nsf の作成者権限と AcmeSales.nsf の設計者権限。
- Gary Smith/GS Consulting は、AcmeSales.nsf の読者権限を持っています。
- Dana Smith/Renovations は、彼女の最上位アクセス権限として編集者権限の資格を持つユーザーです。
- Richard Smith/Renovations は、彼の最上位アクセス権限として設計者権限の資格を持つユーザーです。
- Gary Smith/GS Consulting は、データベース ACL に読者権限が表示されていても、サーバーにアクセスできないため、資格を持つユーザーではありません。
サーバーが資格を追跡する方法
Domino インストーラーがテンプレートをインストールします。entitlementtrack.ntf. Domino サーバー更新タスクは、サーバーと連携してサーバー上の非表示のシステム・データベース entitlementtrack.ncf を作成および管理します。entitlementtrack.ncf にはサーバーの Domino ディレクトリー内のすべてのユーザーに対して、各ユーザーの最上位のアクセス・レベルを追跡するための文書があります。各文書には、ユーザーの最上位アクセス・レベルに加えて、このユーザーが最初に見つかったデータベースや、ユーザーに最上位アクセス・レベルが付与される方法などの裏付けとなる事実が含まれています。例: 「ユーザー Dana Smith/Renovations は、データベース DanaSmith.nsf に対する編集者アクセス権限を持っています」。または: 「ユーザー Richard Smith/Renovations は、このデータベースへの設計者アクセス権限を持つ AppDesigners グループのメンバーであるため、データベース AcmeSales.nsf での設計者アクセス権限を持っています」。次の例に示すように、12.0.2 以降、データベースでは、追跡対象サーバーでユーザーが認証された最後の日付/時刻と、ユーザーがサーバーに接続したときに使用されたプロトコルも追跡されます。
名前 | 最高アクセス | データベースで付与 | ACL エントリーによって付与 | 最後のアクセス | タイプ |
---|---|---|---|---|---|
Aaliyah Click/Guitars | 編集者 | mail3/aclick.nsf (MusicMan) | Aaliyah Click/Guitars (明示的) | 8/10/2022 16:14 | HTTP |
Alexander School/Guitars | マネージャー | cscancfg.nsf (Gibson) | LocalDomainAdmins (グループ) | 7/28/2022 9:03 | HTTP |
Alexis Rose/Guitars | 編集者 | mail2/arose.nsf (MusicMan) | Alexis Rose/Guitars (明示的) | 8/10/2022 8:54 | NRPC |
Amy Andrews/Guitars | マネージャー | specs/NewFeatures.nsf (Fender) | LocalDomainAdmins (グループ) | 7/24/2022 0:00 | NRPC |
Autumn Blakely/Guitars | 編集者 | mail4/arose.nsf (Gibson) | Autumn Blakely/Guitars (明示的) | 8/4/2022 19:39 | LDAP |
Barack Wall/Guitars | 編集者 | mail1/bwall.nsf (Gibson) | Barack Wall/Guitars (明示的) | 7/24/2022 0:00 | NRPC |
Boyd Webber/Guitars | 編集者 | mail1/bwebber.nsf (Fender) | Boyd Webber/Guitars (明示的) | 8/10/2022 8:54 | NRPC |
追跡対象者
- ディレクトリー内の認証済みユーザー。認証で信頼されるすべてのディレクトリーのすべてのユーザーが追跡されます。Domino ディレクトリー内のすべてのユーザー、LDAP ディレクトリーで定義されているユーザー、またはその両方の組み合わせです。各サーバーは一意のディレクトリー構成を持つことができるため、各サーバーには一意のユーザー・セットを持つ場合があります。
- ディレクトリーに存在しない認証済みユーザー。ディレクトリーに入っていないユーザーがサーバーに正常に接続し、データベースにアクセスした場合、追跡対象ユーザーの一覧に追加されます。この例として、HTTP 経由でサーバーにアクセスするクロス認定ユーザーがあります。
- ディレクトリーにない ACL のユーザー。サーバーのセキュリティ設定が制限なしの場合 (「このサーバーへのアクセスを許可する」など)、データベース内のアクセス・レベルが限定されているユーザーは、資格を持つユーザーと見なされ、それに応じて追跡されます。
追跡対象外
- サーバー
- 「サーバーへのアクセスを許可」リストに含まれていないか、「サーバーへのアクセスを許可しない」でアクセスが明示的に拒否されているためにサーバーにアクセスできないユーザー。
- たとえば、Notes 証明書と HTTP パスワードを持たないユーザーの文書など、ルーティング目的のユーザー文書。
ユーザーが追跡されるタイミング
サーバーは、資格を持つユーザーを毎日スキャンしますが、ユーザー追跡文書は、その資格が変更された場合にのみ追跡データベースで更新されます。たとえば、Dana Smith/Renovations のメールファイルへのアクセスが編集者から管理者に変更された場合、次回のスキャンで彼女の追跡文書が更新され、資格の変更が反映されます。
グループ、ワイルドカード、-Default- アクセス
資格は個々のユーザー・レベルで追跡されますが、Domino 管理者は通常、Domino または LDAP グループとワイルドカードを使用してサーバーとデータベースへのユーザー・アクセスを制御します。資格コレクターは、グループまたはワイルドカードの権利を個々のユーザーのセットに伝えるために、「グループのグループ」または「ユーザーに一致するワイルドカード」を再帰的に展開します。グループとワイルドカードを使用すると、一連のユーザーに明示的に権限が付与されます。
一方、-Default-アクセスの使用は、-Default-アクセス設定プロジェクトが「他のすべての人」に伝わるため、暗黙のうちに多くのユーザーに権利を与えることができます。たとえば、5 人のメンバーを持つ RenovationsManagers グループがデータベースへの管理者アクセス権限を持ち、ユーザーの Richard Smith/Renovations が明示的な編集者アクセス権を持ち、-Default-アクセスが読者である場合、これらの 6 人のユーザー以外のサーバーにアクセスできるすべてのユーザーは読者権限を持ちます。サーバーが */Renovations のすべてのユーザーにサーバーへのアクセスを許可し、構成されたディレクトリーに 1,705 の Renovations ユーザーが存在する場合、この ACL のデフォルトは、1,700 人のユーザーに読者権限を許可します。一般に、-Default- アクセスは細心の注意を払って使用する必要があります。
ドメイン・レベルでの資格を集約する
権利情報の使用方法
Entitlement Summary for 3/10/2010
Manager 13
Designer 7
Editor 234
Author 1200
Reader 2400
==================
Total 3834
この情報の使用方法
- HCL サポートから指示がない限り、資格コレクター・データベースまたはコレクター要約データベースは削除しないでください。
- 設計を変更したり、テンプレートを変更したりしないでください。
- データベースと収集サービスは「そのまま」提供され、データベースの構造とデータ収集プロセスは、製品の後続のリリースで HCL によって変更できます。