AdminQ キーロールオーバー要求の処理方法
ID ボールトセキュリティ設定ポリシーから Notes ID キーロールオーバー要求を開始すると、ボールトに保存された ID を持つ Web ユーザーの ID ファイル内のキーを更新するために、以下の手順が実行されます。
AdminQ を使用しない場合、キーロールオーバーを行うには、HCL Verse ユーザーなどの Web ユーザーが HCL Notes クライアントを使用して Domino で認証を受け、更新された ID ファイルを取得する必要があります。
ステップ 1 とステップ 10 のみが、管理者側でアクションを必要とするステップです。
処理に関係するサーバーは、Domino 12.0.2 以降を実行し、12.0.2 以降の adminq.ntf 設計を使用する必要があります。
これらのステップのグラフィック表示については、「AdminQ キーロールオーバーの図」を参照してください。
- ドメイン管理サーバーで、管理者は、ID ボールトセキュリティ設定ポリシーに割り当てられたユーザーに対してキーロールオーバーを開始する手順「キーロールオーバーを有効にする」に従います。
- names.nsf のポリシー変更がボールト管理サーバーに複製されます。
- 午前 0 時を過ぎると、ボールト管理サーバーの AdminQ は names.nsf のセキュリティ設定ポリシーをチェックして、キーロールオーバーが必要なユーザーが存在するかどうかを確認します。
- AdminQ は、キーロールオーバー日付に到達したことを検出すると、ユーザーの ID ボールト内のキーロールオーバーの「ロールオーバースケジュール済み日付」を設定します。
- AdminQ は、「ロールオーバースケジュール済み日付」に到達したユーザーの ID ボールトを 1 時間ごとにチェックします。
- AdminQ は、ユーザーの「ロールオーバースケジュール済み日付」に到達したことを検出し、「Needs Processing」状態を割り当てられた adminq.nsf 内のユーザーに対して「UserRollover」要求を作成します。
- AdminQ は、adminq.nsf の「UserRollover」要求に「Needs Processing」状態が割り当てられているかどうかを 1 時間ごとにチェックします。
- AdminQ は、ユーザーの「UserRollover」要求が「Needs Processing」状態であることを検出すると、admin4.nsf に [新規ユーザーキーの認証要求] を作成し、その状態を「保留パブリックキー」に変更します。AdminQ は、ID ボールトの [キーロールオーバー] ビューで ID を「保留中」状態に移動します。
- [新規ユーザーキーの認証要求] は、ドメイン管理サーバーの admin4.nsf に複製されます。
- 管理者は admin4.nsf の [新規キー要求の認証] ビューを開き、ユーザーエントリを選択し、[選択エントリの認証] をクリックし、プロンプトに従って ID を認証します。
- AdminP は、admin4.nsf に [Domino ディレクトリのユーザー再認証] を作成します。
- AdminP は、AdminP 間隔設定に従って [Domino ディレクトリのユーザー再認証] 要求を開始します。
- AdminP は、Domino ディレクトリにあるそのユーザーのユーザー文書でパブリックキーを編集します。
- AdminQ は、ユーザーの adminq.nsf に「UserRecertify」要求を作成します。その要求を実行するために取られるステップについては、「AdminQ 再認証要求の処理方法」を参照してください。
- names.nsf の更新されたユーザー文書は、ドメイン管理サーバーからボールト管理サーバーに複製されます。
- AdminQ は、新しいパブリックキーを持つユーザーを 1 時間ごとにチェックします。
- AdminQ は、ユーザーの新しいパブリックキーを検出し、ユーザーの ID ボールト内のキーを更新します。
- AdminQ は、adminq.nsf の「UserRollover」要求の状態を「Processed」に変更します。また、ID ボールトの [キーロールオーバー] ビューの ID の状態も「保留中」から「完了」に変更します。
- Web ユーザーは、Domino HTTP サーバー (ID ボールトサーバーとは異なる可能性のあるサーバー) に接続します。
- HTTP でユーザーを認証し、ユーザー ID を ID ボールトからメモリにロードします。
- ユーザーは HTTP サーバー上のリソースにアクセスします。
注: サーバー文書の [セキュリティ] タブの [パブリックキーの比較] フィールドでキーの確認が有効になっていると、キーロールオーバー直後に Notes クライアントユーザーがサーバーにログオンできない場合があります。これは、Notes クライアントがボールトと同期していないために、ユーザー文書の新しいキーがローカル ID ファイルにまだ存在しない場合に発生します。この場合、ユーザーはローカル ID ファイルを削除するか、 をクリックし、[ID ボールトの同期] をクリックして、最新の ID ファイルをボールトからダウンロードできます。[パブリックキーの比較] フィールドの近くにある [パブリックキー不一致の記録] オプションは、これが問題となる ID の検出に役立ちます。