パブリックキーの値の比較

認証中に交換されるユーザー証明書とサーバー証明書の署名は常にチェックされます。証明書で渡されるキーの値を、 HCL Domino ®ディレクトリにリストされているキーの値と照合することで、公開キーの追加レベルの検証を有効にすることができます。ユーザーがサーバーで認証できても、証明書内の公開キーの値とDomino ®ディレクトリにリストされている値が一致しない可能性があります。

このタスクについて

追加的なキー照合によって、失われたり改ざんされた ID ファイルの不正使用を防止できます。通常、ID ファイルを失った場合、新規の ID ファイルとディレクトリエントリを作成するためにその所有者を登録する必要があり、また ID ファイルが改ざんされた場合は、所有者のパブリックキーとプライベートキーをロールオーバーし、その新規のキーセットを認証する必要があります (それによってディレクトリエントリが更新されます)。ディレクトリレベルのキーチェック機能を有効にすることによって、古い ID ファイルを所有している攻撃者は、その古い ID ファイルに有効な証明書が含まれている場合でも、そのファイルを使用してサーバーにアクセスできなくなります。

また、認証が成功しても不一致が検出された場合、ログメッセージを生成するかどうかコントロールすることを選択できます。これによって、管理者は、ID ファイルの内容がディレクトリエントリと一致しなくなった場合にそれを検出できます。

手順

  1. Domino ® Administrator で、[設定]タブをクリックし、サーバー文書を開きます。
  2. 「セキュリティー」タブをクリックします。
  3. [セキュリティ設定] セクションの [パブリックキーの比較] フィールドをクリックし、次のいずれかのオプションを選択します。
    • すべての Notes ユーザーと Domino サーバーに対してキー チェックを強制します- 認証中に渡された証明書のキー値をDomino ®ディレクトリに保存されているキー値と比較します。信頼できるディレクトリにリストされていないユーザーまたはサーバーは、この検証チェックに不合格であったかのように扱われ、このサーバーへのアクセスが禁止されます。
    • [キーを確認 (信頼するディレクトリリストの Notes ユーザーと Domino サーバーのみ)] -- 信頼できるディレクトリにユーザーまたはサーバーがリストされている場合のみ、認証中に渡された証明書内のキーの値をディレクトリに格納されているキーの値と比較します。信頼できるディレクトリにリストされていないユーザーまたはサーバーは、この検証チェックに合格したかのように扱われます。
      注:このオプションを使用すると、管理者はディレクトリにリストされていないユーザーにサーバー上のデータベースおよびアプリケーションへのアクセス権を付与できます。たとえば、データベースのアクセス制御リストでは、 Domino ®ディレクトリにリストされているユーザーには編集者アクセス権が付与され、その他のすべてのユーザーには読者アクセス権が付与されるように設定できます。そのため、このキーチェック機能オプションを有効にすると、Domino ディレクトリにリストされていないユーザーはまだ、サーバーにアクセスしてデータベースを使用することができます。
    • [キーを確認しない] -- 認証中にチェックされた証明書の署名のみ必要であり、キーをディレクトリの内容と照合して確認しない場合。
  4. [セキュリティ設定] セクションの [パブリックキー不一致の記録] フィールドのドロップダウンリストをクリックし、次のいずれかのオプションを選択します。
    • すべての Notes ユーザーと Domino サーバーのキーの不一致をログに記録する- 認証中に渡された証明書のキー値がDomino ®ディレクトリに保存されているキー値と一致しない場合に発生するイベントをログに記録します。
    • [キー不一致を記録 (信頼するディレクトリリストの Notes ユーザーと Domino サーバーのみ)] -- 信頼できるディレクトリにユーザーまたはサーバーがリストされている場合のみ、認証中に渡された証明書内のキーの値がディレクトリに格納されているキーの値と一致しなかった場合に発生するイベントを記録します。
    • [キー不一致を記録しない] -- 認証の失敗のみを記録します。
  5. サーバーをシャットダウンして再起動すると、変更内容が有効になります。サーバーは、1 時間おきにポーリングを行って、これらの設定が変更されたかどうかを確認します。