ディレクトリアシスタントとデータベース認証のためのグループ検索

サーバーの 1 次 Domino® ディレクトリにあるグループがデータベースのアクセス制御リスト (ACL) に含まれている場合、サーバーは、データベースに対するユーザーのアクセスを認証するときにそのグループのメンバーを自動的に検索できます。

このタスクについて

データベース認証に使用するグループは 1 次 Domino® ディレクトリに格納できるほか、ディレクトリを 1 つ追加してそこに格納することもできます。この追加ディレクトリには、2 次 Domino® ディレクトリ、拡張ディレクトリカタログ、リモート LDAP ディレクトリが利用できます。データベース認証に使用するグループが 1 次 Domino® ディレクトリとこの追加ディレクトリの両方に同じ名前で含まれる場合、サーバーは 1 次 Domino® ディレクトリにあるグループを使用します。

手順

追加ディレクトリをグループ認証に使用するには、そのディレクトリのディレクトリアシスタント文書で以下を実行します。
  • [基本] タブの [このドメインを利用可能にする先] で、[Notes クライアントとインターネットの認証/許可] を選択します。
  • [基本] タブの [グループの許可] の横で [はい] を選択します。
ヒント: 拡張ディレクトリカタログの [グループの許可] を有効にして、ディレクトリをこのディレクトリカタログに集約しておけば、データベース認証に使用するグループを複数の 2 次 Domino® ディレクトリに効率的に保存できます。

クライアント認証プロセスが完了しないと、サーバーはそのクライアントのデータベースへのアクセスを検証しません。クライアント認証とグループ認証で別々のディレクトリを使用できます。たとえば、クライアント認証にリモート LDAP ディレクトリを使用し、データベース認証中のグループ検索に拡張ディレクトリカタログを使用できます。

注: リモート LDAP ディレクトリのグループ認証を有効にすると、サーバーがグループ検索に使用するカスタム検索フィルタを選択できます。

データベース認証に使用するグループをネストする

このタスクについて

サーバーは、データベースアクセスを認証するときに、データベース ACL でリストされているグループの中にネストされているグループを検索できます。さらにそのグループの中で多重ネストされているグループも検索可能です。ただし、それらのグループがすべて同じディレクトリにあることが必要です。

2 次 Domino® ディレクトリや拡張ディレクトリカタログについて [グループの許可] を有効にすると、サーバーは常に、ディレクトリ内でネストされているグループを検索します。リモート LDAP ディレクトリについて [グループの許可] を有効にした場合は、ネストされているグループをサーバーで検索するかどうかを [入れ子になったグループへの追加] オプションを使用して指定できます。ネストされているグループを検索する場合は [はい] (デフォルト) を選択し、検索しない場合は [いいえ] を選択します。ネストされているグループの数が多い場合は、[いいえ] を選択すると検索のパフォーマンスが向上します。

Domino® は、ネストされたグループを検索するためにディレクトリアシスタント名ルールを適用しないことに注意してください。グループの DN が 2 次ディレクトリ用に確立された名前ルールに一致する場合もありますが、そのグループのメンバー (ユーザーまたはネストされたグループ) の DN は一致しません。ただし、ディレクトリアシスタント名前ルールを適用しないことによって、問題が回避され、いかなる検索要求に対しても完全な名前リストを戻せるようになります。

データベース認証に使用するグループの場所に対する制限は、他の目的に使用するグループには適用されません。たとえば、ルーターは、ディレクトリアシスタントについて設定された任意のディレクトリにあるグループを検索できます。また、ネストされているグループがその親以外のディレクトリにある場合でもそのグループを検索できます。