拡張ディレクトリカタログとリモート LDAP ディレクトリに対するディレクトリアシスタントの例

Z 社では、ドメイン A、ドメイン B、ドメイン C を使用しており、これら 3 つのドメインの Domino® ディレクトリをすべて集約した拡張ディレクトリカタログを構築しています。ドメイン間のネットワーク接続が低速なので、Z 社では、拡張ディレクトリカタログを各ドメインの戦略サーバーに複製しています。ドメイン A では、クラスタのメンバーである 2 つのサーバーにディレクトリカタログが複製されています。

このタスクについて

Domino® ドメイン A のサーバーは、ユーザーの認証に使用するリモート Active Directory サーバーにインターネットユーザーを登録します。リモート Active Directory を使用するのはドメイン A のサーバーだけであるため、ドメイン A では専用の [ディレクトリアシスタント] データベースが作成されています。

次の表は、ドメイン A のサーバーが使用する [ディレクトリアシスタント] データベースにある、拡張ディレクトリカタログとリモート Active Directory サーバーのディレクトリアシスタント文書の設定です。

1. 拡張ディレクトリカタログのディレクトリアシスタント文書
[基本] タブ 目次 コメント
ドメインタイプ Notes®
ドメイン名 EDC Domino® の実際のドメイン名と異なる名前を付けます。
会社名 Company Z
検索順 1 ドメイン A のサーバーでは、拡張ディレクトリカタログを検索してからリモート Active Directory を検索するように設定します。
このドメインを利用可能にする先
  • Notes® [クライアントとインターネットの認証/許可]
  • [LDAP クライアント]
グループの許可 はい ディレクトリカタログに集められたどのディレクトリにあるグループであっても、サーバーがデータベース認証に使用できるようにします。
有効 はい
[名前付けのコンテキスト (ルール)] タブ
N.C.1:
  • */ */ */ */ */ *
  • [有効] - [はい]
  • [資格情報を信用] - [いいえ]
ディレクトリにあるすべてのエントリをサーバーが検索できるようにします。インターネットクライアントの認証に拡張ディレクトリカタログを使用せず、リモート Active Directory のみを使用可能とするために、[資格情報を信用][いいえ] に設定します。
[レプリカ] タブ
N.C.1:
  • サーバー名: Server1/DomainA
  • ディレクトリファイル名: EDC.NSF
Server1/DomainA はクラスタのメンバーです。使用可能なレプリカの検索にクラスタフェイルオーバーが使用されるように、クラスタ内で拡張ディレクトリカタログのレプリカを 1 つだけ指定します。
2. リモート LDAP ディレクトリのディレクトリアシスタント文書
[基本] タブ 目次 コメント
ドメインタイプ LDAP
ドメイン名 ActiveDir Domino® の実際のドメイン名と異なる名前を付けます。
会社名 Company Z
検索順 2 ドメイン A のサーバーでは、拡張ディレクトリカタログを検索してからリモート Active Directory を検索するように設定します。
このドメインを利用可能にする先 Notes® [クライアントとインターネットの認証/許可] ドメイン A では、LDAP サービスで LDAP クライアントから Active Directory を参照する必要がないため、[LDAP クライアント] を選択しません。
グループの許可 いいえ ドメイン A のサーバーはデータベース認証に使用するグループを拡張ディレクトリカタログで検索するため、この用途でもリモート Active Directory を使用することはできません。データベース認証に使用されるグループはすべて、ドメイン A の 1 次 Domino® ディレクトリ、および拡張ディレクトリカタログに集約されたドメインディレクトリに格納されます。
有効 はい
[名前付けのコンテキスト (ルール)] タブ
N.C.1:
  • */ */ */ */ */ *
  • [有効] - [はい]
  • [資格情報を信用] - [はい]
Active Directory に登録されているユーザーの識別名は、Notes® の命名規則 (組織単位 (ou)、組織 (o)、国 (c)) には対応していません。したがって、Z 社では、それらユーザーの識別名を表すにはすべてをアスタリスクとする規則を使用する必要があります。

ドメイン A で Active Directory にあるユーザーエントリをインターネットクライアントの認証に使用できるように、命名コンテキスト (規則) で [資格情報を信頼] を有効にします。

[LDAP] タブ
ホスト名 ldap1.companyz.com, ldap2.companyz.com フェイルオーバーを実現するために、2 つの Active Directory サーバーを指定します。各サーバーにはディレクトリのレプリカと、同一の LDAP が設定されています。
認証資格情報 (オプション) ユーザー名: cn=john doe, cn=recipients, dc=east, dc=renovations, dc=com

パスワード: adminspass

検索するベース DN cn=recipients, dc=east, dc=renovations, dc=com
チャネルの暗号化 はい ドメイン A のサーバーはクライアント認証に Active Directory を使用するため、Domino® サーバーが TLS (Transport Layer Security) 証明を使用して Active Directory サーバーの ID を検証できるように、[チャネルの暗号化] を選択します。
ポート 636 TLS 接続に必要です。
期限切れの TLS 証明書を受け入れる はい
TLS プロトコルバージョン セッションで決定
リモートサーバーの認証を使ったサーバー名の確認 はい
タイムアウト 60
検索結果の最大数 100
検索で別名を逆参照する なし Active Directory サーバーでは別名の逆参照を使用しないため、[なし] を選択して検索のパフォーマンスを上げています。
優先するメール形式 [インターネットメールアドレス]
Notes® の識別名として使用する属性 notesname Active Directory (クライアント認証用) と Notes® データベース ACL では、ユーザーの元の LDAP 名ではなく、Notes スタイルの識別名を使用します。指定する属性 Notesname は、Notes® 名を格納する属性として、Active Directory で定義されています。Z 社では専用ツールを使用して、ユーザーエントリの notesname 属性の値に Notes スタイルの識別名を追加します。
使用する検索フィルタの種類 Active Directory Active Directory の検索用にカスタマイズした LDAP 検索フィルタをドメイン A のサーバーが使用するように設定します。