認証者 ID と証明書

認証者 ID と証明書は、 HCL Domino ®セキュリティの基礎を形成します。組織の階層的な名前スキーム内にサーバーとユーザーを正しく配置するには名前ツリー上のブランチごとに認証者 ID を作成します。サーバーおよびユーザーの登録時に認証者を使用して、各サーバー ID とユーザー ID に、組織内でのそれぞれの所属先を定義する証明書を「スタンプ」します。同じ名前ツリーに属するサーバーとユーザーは相互に通信ができます。異なる名前ツリーに属するサーバーとユーザーが相互に通信するには相互証明書が必要です。

認証者 ID を作成するたびに、 Domino ® によって認証者 ID ファイルと認証者文書が作成されます。ID ファイルには、サーバーとユーザーを登録するときに使用する ID が含まれています。認証者文書は認証者 ID の記録として残され、階層名、発行に使用された認証者 ID 名、関連する認証名などが保存されます。

認証者 ID には、次の 2 つのタイプがあります: 組織および組織単位。

• 組織認証者 ID

  組織認証者は、名前ツリーの先頭に表示され、通常は Renovations などの会社名です。最初のサーバーのセットアップ中に、サーバー セットアップ プログラムは組織認証者を作成し、組織認証者 ID ファイルをDomino ®データ ディレクトリに保存し、 CERT.IDという名前を付けます。最初のサーバーのセットアップ時に、この組織認証者 ID によって、最初のDomino ®サーバー ID と管理者のユーザー ID が自動的に認証されます。

  会社が大規模で分散化されている場合は、サーバーのセットアップ後にDomino ® Administrator を使用して 2 番目の組織認証者 ID を作成し、名前をさらに区別できるようにすることをお勧めします (たとえば、会社の子会社を区別するため)。

• 組織単位の認証者 ID

  組織単位の認証者は、ツリーのすべての分岐に位置し、一般には East/Renovations や Sales/East/Renovations などの地理的な配置や部門構成を表します。サーバーの設定時に、最上位の組織単位の認証者 ID を作成することもできます。サーバーのセットアップ時にこの組織単位認証者を作成しないことを選択した場合は、後からいつでもDomino ® Administrator を使用して作成できます。サーバー ID と管理者のユーザー ID を再認証することを忘れないでください。

  組織単位の認証者は、4 つのレベルまで作成できます。第 1 レベルの組織単位の認証者 ID を作成するには、組織認証者 ID を使用します。第 2 レベルの OU 認証者 ID を作成するには、第 1 レベルの組織単位の認証者 ID を使用します。

  組織単位の認証者 ID を使用すると、社内の特定の分岐内のユーザーとサーバーを管理するシステム管理者ごとに認証者 ID を配布できるため、認証作業を分散できます。たとえば、Renovations 社に 2 人の管理者がいるとします。この場合、一方の管理者は、West/Renovations のサーバーとユーザーを管理し、West/Renovations の認証者 ID のみにアクセスできます。

デフォルトでは、サーバー セットアップ プログラムは、 Domino ®データ ディレクトリとして指定されたディレクトリに認証者 ID ファイルを保存します。Domino ® Administrator を使用して追加の組織認証者 ID または組織単位認証者 ID を作成する場合は、ID を保存する場所を指定します。セキュリティーを確保するために、鍵のかかる場所に保管されるディスクなど、安全な場所に認証者を保存するようにしてください。

HCL Notes ®ユーザーに ID とパスワードの回復を提供するには、認証者 ID ごとに回復情報を設定する必要があります。ユーザー ID ファイルを復旧するには、認証者 ID ファイルにアクセスして復旧情報を指定する必要があります。また、ユーザー ID ファイル自体も復旧可能にしなければなりません。

• ユーザー登録時に、復旧情報を含む認証者 ID で ID ファイルを作成する。
• 認証者 ID ファイルから復旧情報をエクスポートし、ユーザーがそれを受け取るようにする。
• (サーバーベースの認証機関を使用するサーバーの場合のみ) 認証者に復旧情報を追加する。既存のユーザーがホームサーバーに認証されると、ユーザー ID が自動的に更新されます。