このセクションでは、実行制御リスト、ID、TLS などのセキュリティ機能について説明します。
パスワードによるベーシック認証、パスキー、時間ベースのワンタイム パスワード、シングル サインオンなど、Web ユーザーの認証方法を定義および設定します。
ユーザーが Domino Web サーバーにログオンする場合、ユーザー名とパスワードに加えて、ユーザーが時間ベースのワンタイム・パスワードを提供するように要求できます。
時間ベースのワンタイム パスワード認証 (TOTP) を構成するには、次の手順を実行します。
Welcome to the HCL Domino® 14.0 documentation.
Learn about all of the new features for administrators in HCL Domino® 14.
Welcome to HCL Domino® Administrator Help.
Use this documentation to install the HCL Domino® server and subsequently deploy the HCL Notes®client.
Use this topic as an overview of planning task.
Use this information to configure your network, users, servers (including Web servers), directory services, security, messaging, widgets and live text, and server clusters.
組織のセキュリティ設定は重要なタスクです。セキュリティインフラストラクチャは組織の IT リソースと資産を保護するために重要です。管理者は、サーバーやユーザーを設定する前に、組織のセキュリティ要件を慎重に考慮する必要があります。事前の計画は、後でセキュリティ侵害のリスクを最小限に抑える上で効果を発揮します。
他のサーバーへのユーザーとサーバーのアクセスを制御するために、 検証や認証のルールと同様に Domino はサーバー文書の「セキュリティ」タブの設定を使用します。サーバーが Notes ユーザー、インターネット ユーザー、サーバーを検証および認証し、サーバー文書の設定でアクセスが許可されている場合、ユーザーやサーバーはサーバーへのアクセスが許可されます。
すべての .NSF データベースには、ユーザーとサーバーがそのデータベースに対して持つアクセスレベルを指定するアクセス制御リスト (ACL) があります。アクセスレベルの名前はユーザーとサーバーで同じですが、ユーザーに割り当てられたアクセスレベルによりデータベース内で実行できるタスクを決定され、サーバーに割り当てられたアクセスレベルはサーバーがデータベース内のどの情報を複製できるかを決定します。管理者アクセス権を持つユーザーのみが ACL を作成や変更できます。
Domino は ID ファイルを使用してユーザーを識別し、サーバーへのアクセスを制御します。すべての Domino サーバー、 Notes 認証者、および Notes ユーザーは ID を持っている必要があります。
実行制御リスト (ECL) を使用してワークステーションのデータ セキュリティを構成します。ECL は、不明なソースや疑わしいソースからのアクティブ コンテンツからユーザーワークステーションを保護し、ワークステーション上で実行されるアクティブコンテンツのアクションを制限するように構成できます。
CA プロセスサーバータスクを使用して証明書要求を管理および処理する Domino 認証者をセットアップできます。CA プロセスは証明書の発行に使用される Domino サーバー上のプロセスとして実行されます。Notes やインターネット認証者を設定するときは、CA プロセスのアクティビティを利用するために、それをサーバー上の CA プロセスにリンクします。サーバー上で実行できる CA プロセスのインスタンスは 1 つだけです。ただし、プロセスは複数の認証者にリンクできます。
Transport Layer Security (TLS) は TCP/IP 上で動作する Domino サーバータスクに通信のプライバシーと認証を提供するセキュリティプロトコルです。
クライアントは、 Domino 認証局 (CA) アプリケーションやサードパーティ CA を使用して、安全な TLS および S/MIME 通信用の証明書を取得できます。
暗号化により、データが不正アクセスから保護されます。
名前とパスワードの認証はベーシックパスワード認証とも呼ばれ、基本的なチャレンジ/レスポンス プロトコルを使用してユーザーに名前とパスワードを要求し、そのパスワードを Domino ディレクトリ内のユーザー文書に保存されているパスワードの安全なハッシュと照合してチェックすることでパスワードの正確性を検証します。
セキュリティを向上させるために Domino サーバーまたはインターネットサイトでパスキー認証を有効にする方法を説明します。
TOTP 認証の前提条件の概要。
時間ベースのワンタイムパスワード(TOTP)認証の使用を許可するには、 mfamgt TOTP を使用するユーザーの組織単位 (OU) または組織 (O) に対して多要素認証証明書を発行するサーバー コマンド。
mfamgt
構成設定文書を使用して、 Domino®サーバーで TOTP を有効にします。
構成設定文書で TOTP 認証を有効にした後、サーバー文書、インターネット・サイト文書、または仮想サーバー文書を使用して、サーバー上で有効にします。
オプションで、Notes ID を持つ Web ユーザー (iNotes ユーザーなど) のメールのセキュリティー保護操作 (暗号化解除、暗号化、署名) のサポートを構成できます。
カスタム・ログイン・フォーム $$LoginUserFormMFA を使用する Domino Web サーバー設定データベースを作成します。
すべての構成手順を完了したら、ボールト・サーバーを再起動します。
2 次 Domino ドメインのユーザーに対して TOTP 認証を有効化できます。設定が完了すると、2 次ドメインに登録されているユーザーは、1 次 Domino ドメインに設定されている TOTP 認証を設定して使用できます。
Docker 上の Domino サーバーで TOTP を有効にするための要件と推奨事項は次のとおりです。
管理者は、TOTP 構成チェッカーを使用して、ユーザー、サーバー、サーバー構成、およびインターネット サイトのドキュメントが適切に構成されているかどうかをチェックできます。
Domino サーバーで時間ベースのワンタイムパスワード (TOTP) 認証を有効にした後、次に Web ユーザーがサーバーにログオンするときに、次の手順に従って TOTP を設定します。
TOTP が有効となっているサーバーにログオンするための有効な TOTP トークンをユーザーが提供できない場合は、TOTP 構成をリセットして、TOTP を再設定することができます。
以下のサーバー notes.ini 設定が、TOTP 構成をカスタマイズするために利用できます。
シングル サインオン (SSO) とも呼ばれるマルチサーバー セッションベースの認証を使用すると、Web ユーザーは Domino サーバーまたは WebSphere サーバーに一度ログインすると、同じ DNS ドメイン内の他の Domino サーバーまたは WebSphere サーバーにアクセスできます。再度ログインしなくてもシングル サインオン (SSO) が有効になります。
フェデレーション ID はシングル サインオンを実現する手段であり、ユーザーに利便性を提供し、管理コストの削減に役立ちます。Domino や Notes では、ユーザー認証のフェデレーテッド ID は OASIS の Security Assertion Markup Language (SAML) 標準を使用します。
フェデレーション ID はシングル サインオンを実現する手段であり、ユーザーに利便性を提供し、管理コストの削減に役立ちます。OpenID Connect (OIDC) プロバイダーの利用は、クライアントアプリケーションがユーザーを認証する方法の 1 つです。
Dominoサーバーは、資格情報ストアアプリケーションを安全な成果物リポジトリとして使用できます。安全なアーティファクトの例には認証資格情報やセキュリティキーが含まれます。
過去のリリースから現在のリリースまで、 Notes および Domino でサポートされている RSA キーのサイズを理解します。
This documentation provides information about the administration tools for HCL Domino.
Use this information to improve HCL Domino® server, Domino Web server, and messaging performance through the use of resource balancing and activity trends, advanced database properties, cluster statistics, and the Server Health Monitor.
This section describes how to find and solve problems with HCL Domino® server and Administrator client.
