このセクションでは、操作制御リスト、ID、TLS などのセキュリティー機能について説明します。
ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
時間ベースのワンタイム パスワード認証 (TOTP) を構成するには、次の手順を実行します。
構成設定文書で TOTP 認証を有効にした後、サーバー文書、インターネット・サイト文書、または仮想サーバー文書を使用して、サーバー上で有効にします。
組織のセキュリティーを設定することは、非常に重要なタスクです。組織の IT リソースと資産を保護するためには、セキュリティーのインフラストラクチャが重要な役割を果たします。システム管理者は、サーバーまたはユーザーの設定を実行する前に、組織のセキュリティ要件を慎重に考慮する必要があります。最新の情報を把握してプランニングを行うと、セキュリティ侵害のリスクを最小限に抑えることができます。
Domino® では、ユーザーやサーバーから他のサーバーへのアクセスは、検証と認証のルールに加え、サーバー文書の [セキュリティ] タブで設定した内容に従って制御されます。Notes® ユーザー、インターネットユーザー、サーバーは、サーバーに検証および認証され、サーバー文書の設定内容でアクセスが許可されていれば、そのサーバーにアクセスできます。
各データベースにはアクセス制御リスト (ACL) が 1 つずつあります。ACL は、ユーザーとサーバーがそのデータベースに実行できるアクセスのレベルを指定します。割り当てるアクセスレベルの名前は、サーバーの場合もユーザーの場合も同じです。ただし、ユーザーに割り当てたアクセスレベルからはユーザーがデータベース内で実行できるタスクが決まり、サーバーに割り当てたアクセスレベルからはサーバーがデータベースのどの情報を複製できるかが決まります。ACL の作成や更新を行うには、[管理者] 以上のアクセス権が必要です。
Domino® は、ID ファイルを使用して、ユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、Notes® 認証者、Notes ユーザーは、ID を持つ必要があります。
操作制御リスト (ECL) を使用して、クライアントデータのセキュリティを設定します。ECL を使用すると、送信元が不明であったり疑わしい送信元から送られたアクティブコンテンツからクライアントを保護することができます。
認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。
TLS (Transport Layer Security) は、TCP/IP プロトコル経由で実行する Domino® サーバー・タスクの通信上の機密性を保護し、認証を行うためのセキュリティー・プロトコルです。
クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。
暗号化を使用すると、不正なアクセスからデータを保護できます。
基本的なパスワード認証として知られる名前とパスワードによる認証です。ユーザーに名前とパスワードを要求し、Domino® ディレクトリ内のユーザー文書に 保存されているパスワードの保護ハッシュと比較してパスワードが正確であるかを検証する、基本的な質問/応答のプロトコルが使用されます。
TOTP 認証の前提条件の概要。
時間ベースのワンタイムパスワード (TOTP) 認証を使用できるようにするには 、mfamgt サーバーコマンドを使用して、TOTP を使用するユーザーの組織単位 (OU) または組織 (O) に対して多要素認証証明書を発行します。
mfamgt
構成設定文書を使用して、Domino® サーバーで TOTP を有効にします。
サーバー文書を通じて認証を制御する場合は、その文書で TOTP を有効にします。
Web サイト文書を通じて認証を制御する場合は、その文書で TOTP を有効にします。
仮想サーバー文書を使用して認証を制御する場合は、次のように TOTP を有効にします。
オプションで、Notes ID を持つ Web ユーザー (iNotes ユーザーなど) のメールのセキュリティー保護操作 (暗号化解除、暗号化、署名) のサポートを構成できます。
カスタム・ログイン・フォーム $$LoginUserFormMFA を使用する Domino Web サーバー設定データベースを作成します。
すべての構成手順を完了したら、ボールト・サーバーを再起動します。
2 次 Domino ドメインのユーザーに対して TOTP 認証を有効化できます。設定が完了すると、2 次ドメインに登録されているユーザーは、1 次 Domino ドメインに設定されている TOTP 認証を設定して使用できます。
Docker 上の Domino サーバーで TOTP を有効にするための要件と推奨事項は次のとおりです。
Domino サーバーで時間ベースのワンタイムパスワード (TOTP) 認証を有効にした後、次に Web ユーザーがサーバーにログオンするときに、次の手順に従って TOTP を設定します。
TOTP が有効となっているサーバーにログオンするための有効な TOTP トークンをユーザーが提供できない場合は、TOTP 構成をリセットして、TOTP を再設定することができます。
以下のサーバー notes.ini 設定が、TOTP 構成をカスタマイズするために利用できます。
シングルサインオン (SSO) とも呼ばれる複数サーバーのセッションベース認証を使用することにより、Web ユーザーは、Domino® サーバーまたは WebSphere® サーバーに一度ログインすると、同一の DNS ドメイン内にあってシングルサインオン (SSO) が有効になっている他の任意の Domino サーバーや WebSphere サーバーに、再度ログインすることなくアクセス可能になります。
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。Domino® と Notes® では、ユーザー認証用の統合 ID に、OASIS の Security Assertion Markup Language (SAML) 標準が使用されます。
統合 ID は、シングルサインオンを実現して、ユーザーの利便性を高め、管理コストの削減を図る手段です。OpenID Connect (OIDC) プロバイダーの利用は、クライアントアプリケーションがユーザーを認証する方法の 1 つです。
Domino® サーバーは、資格情報ストア・アプリケーションをセキュリティーで保護された成果物リポジトリーとして使用できます。セキュリティーで保護された成果物リポジトリーの例としては、認証資格情報とセキュリティー・キーなどがあります。
Notes® と Domino® でサポートされる RSA 鍵サイズと、過去のリリースから現在のリリースまでの RSA 鍵サイズについて説明します。