サーバー間の複製用にデータベース ACL を設定する

データベース ACL にサーバー名を追加する方法は、ユーザー名を追加する場合と同じです。ACL でサーバーに与えられているアクセスレベルで、そのサーバーがレプリカに複製できる変更内容が決まります。

ACL のデフォルトのサーバーグループ

どのデータベース ACL にも、デフォルトで [LocalDomainServers] と [OtherDomainServers] の 2 つのサーバーグループがあります。
  • [LocalDomainServers] - このグループのサーバーは、レプリカがあるサーバーと同じ Domino® ドメインのサーバーです。通常、このグループにはデータベース ACL で [OtherDomainServers] グループより高いアクセス権を割り当てます。
  • [OtherDomainServers] - このグループのサーバーは、レプリカがあるサーバーの Domino® ドメイン以外のサーバーです。通常、このグループには、データベース ACL で [LocalDomainServers] グループよりも制限の多いアクセスレベルを割り当てます。たとえば、このグループに ACL で [読者] アクセス権を割り当てると、ローカル Domino® ドメインがデータベースの制御の維持を保証できます。
注: [LocalDomainServers] や [OtherDomainServers] に組織外のサーバー名を追加しないでください。この 2 つのグループはデフォルトで全データベースに含まれ、高いアクセスレベルが設定されている場合があります。代わりに、組織が情報を交換する外部サーバーには、たとえば External Servers というような名前の専用のグループを作成します。その後で、必要に応じてデータベース ACL にこのグループを追加します。

アクセスレベル権限

アクセスレベルごとに、次の権限の有効、無効を設定します。

  • 文書の作成
  • 文書の削除
  • 個人エージェントの作成
  • 個人フォルダと個人ビューの作成
  • 共有フォルダと共有ビューの作成
  • LotusScript/Java エージェントの作成
  • パブリック文書 [読者]
  • パブリック文書 [作成者]

通常サーバーに対しては、選択したアクセスレベルが許可する権限をすべて有効にします。こうすると、サーバーにユーザー以上のアクセス権があることになり、ユーザーの変更内容をすべて複製できます。しかし、各ユーザーの権限を無効にしないで、特定の変更内容の複製を防ぐには、ACL のサーバーエントリの権限を個別に無効にします。

たとえば、特定サーバーにあるデータベースの文書の削除が複製されないようにするには、そのサーバーの ACL エントリで [文書の削除] を無効にします。こうすると、ACL で [文書の削除] の権限を持つユーザーが文書を削除しても、削除が複製されません。

さらに、ハブスポーク設定では、複製がハブに戻されて、次の設計要素に影響を与える可能性があります: ビュー、フォルダ、共有列、ナビゲータなどの設計要素に影響する可能性があります。スポークサーバーが設計要素の変更内容をハブに複製するのを防ぐには、各スポークサーバーの ACL エントリで [共有フォルダ/ビューの作成] の権限を無効にします。

1. 最上位から最下位までのサーバーアクセスレベル
アクセス権レベル サーバーが送信できる変更内容 担当者
管理者
  • ACL 設定
  • データベース暗号化設定
  • 複製設定
  • 下位のアクセスレベルで許可されているすべての要素

ACL 変更のソースとして使用するサーバー。データベースの安全性を確保するため、このアクセス権を与えるサーバーは最小限に抑えます。通常、サーバー構成がハブスポークの場合は、ハブサーバーに [管理者] のアクセス権を与えます。

Design
  • 設計要素
  • 下位のアクセスレベルで許可されているすべての要素

設計変更のソースとして使用するサーバー。ACL と設計の変更を 1 台のサーバーで管理する場合は、[設計者] ではなく [管理者] のアクセス権を使用します。

エディター
  • 新しい文書すべて
  • 文書の変更すべて

ユーザーが文書の追加、更新だけに使用するサーバー。通常、サーバー構成がハブスポークの場合は、スポークサーバーに [編集者] のアクセス権を与えます。

作成者

新しい文書

なし。通常、サーバーにこのアクセス権を使用することはありません。

読者

なし。変更内容は受信できます。

変更を行わないサーバー。通常、[OtherDomainServers] グループのサーバーには [読者] のアクセス権を与えます。

投稿者

新しい文書。変更内容は受信できません。

なし。通常、サーバーに [作成者] のアクセス権を与えることはありません。

アクセス権限なし

なし。変更内容は受信できません。

アクセスを拒否するサーバー。[OtherDomainServers] グループのサーバーには [なし] を与える場合があります。

注: 複製を実行しないデータベースの ACL には、データベースのシステム管理サーバーとして使用するサーバーが最低でも 1 台は登録する必要があります。管理サーバーを登録すると、組織内で名前の変更があったときに、サーバーのシステム管理プロセスで ACL にある名前を更新できます。