インターネット/イントラネットクライアントの名前とパスワードによる認証

基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に 保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。

このように設定すると、インターネットやイントラネットのクライアントがサーバー上の保護されているリソースにアクセスしようとした場合のみ、Domino® によって名前とパスワードの入力が要求されます。インターネットやイントラネットのアクセスは、Notes® クライアントや Domino® サーバーのアクセスとは異なります。Notes® クライアントや Domino® サーバーのアクセスでは、クライアントやサーバーが初めてサーバーにアクセスしようとしたときに、名前とパスワードの入力が Domino® サーバーによってクライアントやサーバーに要求されます。

Domino® ACL セキュリティを基にインターネットやイントラネットのクライアントにデータベースへのアクセス権を割り当てる場合は、Domino® ディレクトリにそのクライアントのユーザー文書を作成する必要があります。必要に応じて、2 次 Domino® ディレクトリや外部 LDAP ディレクトリに作成することも可能です。ユーザー文書を持っていないクライアントは匿名クライアントと見なされ、匿名アクセスが可能なサーバーやデータベースにしかアクセスできません。

注: 外部 LDAP ディレクトリ内にレコードがあるユーザーのパスワードの照合は、LDAP のバインド操作を通じて行われ、この操作はユーザーが正しいパスワードを提供した場合にのみ成功します。

名前とパスワードによる認証によって、Domino® はサーバーにアクセスしているクライアントのユーザー文書を探すことができます (ユーザー文書が存在するとき)。クライアントを特定すれば、サーバーリソースへのアクセス権を判別できます。たとえば、Alan Jones にデータベースの [編集者] アクセス権を設定し、データベースにアクセスするそれ以外のユーザーすべてに [作成者] アクセス権を設定する場合は、Alan Jones のユーザー文書を作成する必要があります。データベースの ACL で、Alan Jones を [編集者] に、匿名ユーザーを [作成者] に設定できます。

たとえば、インターネット・プロトコル、つまり LDAP、POP3、HTTP、SMTP、IIOP、IMAP を実行するサーバー上で TCP/IP か TLS を使用して名前とパスワードによる認証を行うことができます。サーバーで使用できるインターネットプロトコルのそれぞれに対して、セキュリティの適用方法を指定できます。たとえば、HTTP 接続ではクライアント証明書による認証を可能にし、TCP/IP を使用する LDAP 接続では名前とパスワードによるセキュリティを必要とするように設定できます。また、匿名の TLS クライアントには名前とパスワードによるセキュリティを使用できます。たとえば、TLS クライアント証明書を持つユーザーには TLS クライアント証明書を使用して認証を行い、TLS クライアント証明書を持たないユーザーには名前とパスワードを入力させるように設定できます。

注: Domino® サーバーを SMTP クライアントとして使用している場合は、名前とパスワードによる認証はサポートされません。例えば、メールを配信するために Domino® サーバーが SMTP サーバーに接続されている場合などです。名前とパスワードによるセキュリティは、Domino® サーバーを SMTP サーバーとして使用している場合、つまり、SMTP クライアントが Domino® サーバーにアクセスする場合のみサポートされます。

HTTP サーバーに対して名前とパスワードによる認証を設定する場合、使用できる認証方法がもう 1 つあります。これは、セッションベースの認証です。名前とパスワードによる認証では、名前とパスワードが、暗号化されない形式で、要求ごとに送信されます。セッションベースの認証では、ユーザーの名前とパスワードが Cookie に置き換えられる点が異なっています。ユーザーの名前とパスワードは、ユーザーがサーバーに最初にログインするときにだけネットワークを介して送信されます。以降は、認証では Cookie が使用されます。セッションベースの名前とパスワードによる認証では、基本的な名前とパスワードによる認証に比べ、より強力にユーザーインタラクションを制御できます。この認証方法を使用すると、名前とパスワード情報を入力するフォームをカスタマイズできます。ブラウザを終了せずにセッションからログアウトすることもできます。

非 TLS 接続を使用した名前とパスワードによる認証

ユーザーの特定が必要でも、サーバー上のデータへのアクセス保護をそれほど厳重に行う必要がない場合には、非 TLS 接続を使用した名前とパスワードによる認証を使用します。たとえば、データベース内に機密情報が含まれないときや、ユーザー名に基づいてユーザーごとに異なる情報を表示するような場合です。ユーザーとサーバー間で送信される情報は、名前とパスワードも含めすべて暗号化されません。この場合、名前とパスワードによる認証では、一部のハッカーを阻止できますが、ネットワーク送信を盗聴してパスワードを推測するような種類のハッカーは阻止できません。

TLS を使用した名前とパスワードによる認証

TLS を使用すると、名前やパスワードなどのすべての情報が暗号化されます。TLS では、名前とパスワードによる認証が設定されているユーザーに対しては、機密性とデータの保全性が保証されます。TLS を使用したセキュリティに加え、名前とパスワードの入力を要求することにより、クライアント証明書の認証を使用しないユーザーに対するセキュリティ対策が提供され、データベースにアクセスする個々のユーザーを特定できます。

名前とパスワードによる認証をカスタマイズする

DSAPI (Domino® Web Server Application Programming Interface) は、Domino® Web サーバーの拡張を可能にする C API です。これらの拡張 (フィルタ) により、Web ユーザーの認証をカスタマイズできます。

DSAPI とフィルタの詳細については、関連トピックの Notes®/Domino®Lotus® C API Toolkit を参照してください。