Welcome
セキュリティ
このセクションでは、実行制御リスト、ID、TLS などのセキュリティ機能について説明します。
TLS セキュリティ
Transport Layer Security (TLS) は TCP/IP 上で動作する Domino サーバータスクに通信のプライバシーと認証を提供するセキュリティプロトコルです。
TLS クライアントからのデータベースアクセスの設定
Domino サーバーに TLS を設定した後、クライアントにサーバー上のデータベースへのアクセスを許可する必要があります。

Welcome
Welcome to the HCL Domino® 14.0 documentation.
What's new in Domino 14?
Learn about all of the new features for administrators in HCL Domino® 14.
Overview
Welcome to HCL Domino® Administrator Help.
Installing
Use this documentation to install the HCL Domino® server and subsequently deploy the HCL Notes®client.
Planning
Use this topic as an overview of planning task.
Configuring
Use this information to configure your network, users, servers (including Web servers), directory services, security, messaging, widgets and live text, and server clusters.
セキュリティ
このセクションでは、実行制御リスト、ID、TLS などのセキュリティ機能について説明します。
- Domino セキュリティの概要
  組織のセキュリティ設定は重要なタスクです。セキュリティインフラストラクチャは組織の IT リソースと資産を保護するために重要です。管理者は、サーバーやユーザーを設定する前に、組織のセキュリティ要件を慎重に考慮する必要があります。事前の計画は、後でセキュリティ侵害のリスクを最小限に抑える上で効果を発揮します。
- Notes ユーザー、インターネットユーザー、Domino サーバーからのサーバーアクセス
  他のサーバーへのユーザーとサーバーのアクセスを制御するために、検証や認証のルールと同様に Domino はサーバー文書の「セキュリティ」タブの設定を使用します。サーバーが Notes ユーザー、インターネットユーザー、サーバーを検証および認証し、サーバー文書の設定でアクセスが許可されている場合、ユーザーやサーバーはサーバーへのアクセスが許可されます。
- データベースのアクセス制御リスト
  すべての .NSF データベースには、ユーザーとサーバーがそのデータベースに対して持つアクセスレベルを指定するアクセス制御リスト (ACL) があります。アクセスレベルの名前はユーザーとサーバーで同じですが、ユーザーに割り当てられたアクセスレベルによりデータベース内で実行できるタスクを決定され、サーバーに割り当てられたアクセスレベルはサーバーがデータベース内のどの情報を複製できるかを決定します。管理者アクセス権を持つユーザーのみが ACL を作成や変更できます。
- Domino サーバーと Notes ユーザー ID
  Domino は ID ファイルを使用してユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、 Notes 認証者、および Notes ユーザーは ID を持っている必要があります。
- 実行制御リスト
  実行制御リスト (ECL) を使用してワークステーションのデータセキュリティを構成します。ECL は、不明なソースや疑わしいソースからのアクティブコンテンツからユーザーワークステーションを保護し、ワークステーション上で実行されるアクティブコンテンツのアクションを制限するように構成できます。
- Domino サーバーベースの認証局
  CA プロセスサーバータスクを使用して証明書要求を管理および処理する Domino 認証者をセットアップできます。CA プロセスは証明書の発行に使用される Domino サーバー上のプロセスとして実行されます。Notes やインターネット認証者を設定するときは、CA プロセスのアクティビティを利用するために、それをサーバー上の CA プロセスにリンクします。サーバー上で実行できる CA プロセスのインスタンスは 1 つだけです。ただし、プロセスは複数の認証者にリンクできます。
- TLS セキュリティ
  Transport Layer Security (TLS) は TCP/IP 上で動作する Domino サーバータスクに通信のプライバシーと認証を提供するセキュリティプロトコルです。
  - 証明書マネージャーを使用した TLS 証明書の管理
    HCL Domino 12 では、新しいサーバータスクである証明書マネージャー (CertMgr) が導入されました。このタスクは、証明書ストア (certstore.nsf) という新しいデータベースと連携して、Domino サーバーの TLS 証明書を管理します。
  - TLS ポートの設定
    TLS プロトコルでは、暗号化されて整合性チェックが行われる通信チャネルと認証済みサーバー ID が常に提供されます。TLS サーバーを設定して、さまざまな形式のクライアント ID 認証を要求することもできます。
  - サーバーへの TLS 接続の要求
    クライアントが保護された接続を使用してサーバーのデータベースにアクセスするようにしたい場合は、TLS 接続を要求します。その場合は、TCP/IP ポートを介して受信した接続要求を TLS ポートにリダイレクトします。TLS 接続が不要な場合、クライアントは TLS または TCP/IP のいずれかを使用してサーバーに接続できます。
  - サーバー間 TLS のインターネット相互証明書の作成
    信頼性の確立を目的として、あるサーバーが別のサーバーからインターネット相互認証を取得することができます。たとえばサーバーが別のサーバーのディレクトリアシスタントにアクセスする必要がある場合などです。
  - TLS クライアントからのデータベースアクセスの設定
    Domino サーバーに TLS を設定した後、クライアントにサーバー上のデータベースへのアクセスを許可する必要があります。
  - TLS 暗号制限の変更
    TLS では、パブリックキー、プライベートキー、セッションで決定するセッションキーが使用されます。どの TLS 証明書のセットでも、パブリックキーとプライベートキーのペアを持ち、証明書の所有者がネットワーク上で自分自身を識別したり、S/MIME を使用してメッセージを暗号化しメッセージに署名したりすることを可能にする X.509 証明書があります。証明書には、キーペアのうち、パブリックキーだけが含まれます。プライベートキーは、Notes クライアントの場合は ID ファイルに保存され、TLS サーバーの場合はキーリングファイルまたは cerstore.nsf データベース内の文書に保存されます。TLS サーバーの場合は、キーリングファイルまたは cerstore.nsf データベースに格納されます。詳細については、 wn_ECDSA_cryptography.htmlを参照してください。
  - 2 次 Domino ディレクトリおよび LDAP ディレクトリでの Web TLS クライアントの認証
    Web クライアントがサーバーで認証されるとき、デフォルトでは、サーバーはプライマリHCL Domino ディレクトリをチェックして、クライアント証明書がユーザー文書に存在するかどうかを確認します。組織がクライアント証明書の検証に二次 Domino ディレクトリや LDAP ディレクトリを使用している場合は、それらの追加ディレクトリを確認するように Domino を設定できます。これを行うには、ディレクトリアシスタントデータベース内で信頼できるドメインとして二次 Domino ディレクトリと LDAP ディレクトリを登録します。
  - TLS セッションの再開
    TLS セッションの再開を利用すると、直前の成功したセッションを呼び出して TLS セッションで最も計算量の多い処理をバイパスできるので、TLS 使用時のパフォーマンスが大幅に改善されます。HTTP は TLS セッション再開の恩恵を最も受けるプロトコルですが、他のインターネットプロトコルも同様に恩恵を受ける可能性があります。
  - 証明書マネージャーを使用しない TLS 証明書の管理
    証明書マネージャー (CertMgr) および証明書ストア (certstore.nsf) データベースで証明書を管理しない場合は、このセクションで説明するように、証明書を手動で生成および管理します。
- クライアント向けの TLS と S/MIME
  クライアントは、 Domino 認証局 (CA) アプリケーションやサードパーティ CA を使用して、安全な TLS および S/MIME 通信用の証明書を取得できます。
- 暗号化
  暗号化により、データが不正アクセスから保護されます。
- Web ベースの認証
  パスワードによるベーシック認証、パスキー、時間ベースのワンタイムパスワード、シングルサインオンなど、Web ユーザーの認証方法を定義および設定します。
- 資格情報ストアを使用した資格情報の保存
  Dominoサーバーは、資格情報ストアアプリケーションを安全な成果物リポジトリとして使用できます。安全なアーティファクトの例には認証資格情報やセキュリティキーが含まれます。
- Notes/Domino でサポートされるキーサイズの履歴
  過去のリリースから現在のリリースまで、 Notes および Domino でサポートされている RSA キーのサイズを理解します。
Administering
This documentation provides information about the administration tools for HCL Domino.
Tuning
Use this information to improve HCL Domino® server, Domino Web server, and messaging performance through the use of resource balancing and activity trends, advanced database properties, cluster statistics, and the Server Health Monitor.
Troubleshooting
This section describes how to find and solve problems with HCL Domino® server and Administrator client.
Notices

TLS クライアントからのデータベースアクセスの設定

Domino ®サーバー上で TLS を設定した後、クライアントにサーバー上のデータベースへのアクセスを許可する必要があります。

匿名ユーザーの場合

サーバー認証だけを使用するようにクライアントを設定した場合は、クライアントはユーザー名を使用してサーバーにアクセスしないため、データベースの ACL にユーザーの名前を入力することはできません。代わりに、Anonymous というエントリをデータベースの ACL と設計要素アクセスリストに追加します。匿名アクセスを指定しない場合、 Domino ® は匿名ユーザーに -Default- アクセスを許可します。

クライアント認証の場合

クライアント認証とサーバー認証を使用するようにクライアントを設定した場合は、クライアントの名前をデータベースの ACL と設計要素アクセスリストに追加すれば、データベースへのクライアントのアクセスを制御できます。クライアントのユーザー文書にある [ユーザー名] フィールドの先頭にリストされている名前を使用する必要があります。たとえば、[ユーザー名] フィールドに Alan Jones/Renovations、ajones、Alan、AJ というエントリが含まれている場合は、Alan Jones/Renovations という名前を ACL と設計要素アクセスリストに追加します。Alan Jones はリストされている名前のいずれかを使用してサーバーで認証できますが、 Domino ® はユーザー名フィールドの最初の名前を使用して ACL および設計要素アクセスリストのエントリを検証します。先頭の名前は、階層名の形式にするよう強く推奨します。

To add feedback about this topic, select the following checkbox:

このボックスをクリックすると、あなたが米国連邦政府の職員や政府機関ではないこと、またそれらに関する情報やその代理人として情報を送信していないことを承認したことになります。HCL は、パートナーの Four, Inc. を通じて米国連邦政府の顧客にソフトウェアとサービスを提供しています。 https://hcltechsw.com/resources/us-goverment-contactでこのチームにお問い合わせください。このコメントボックスには個人データを含めないでください。注:製品ソフトウェアに関する問題や質問を報告する場合は、このフォームを使用しないでください。代わりに、HCL ソフトウェアサポートサイトにアクセスしてください。このコメントボックスでは個人データを共有しないでください。個人データがどのように使用されるかを理解するには、プライバシーに関する声明をご覧ください。