• ワイルドカードを使用するエントリ
• ユーザー名、サーバー名、グループ名 (インターネットクライアントのユーザー名とグループ名を含む)
• ユーザー名の別名
• LDAP ユーザー
• 匿名のインターネットユーザーや匿名の Lotus Notes ユーザーのアクセスで使用可能な匿名
• データベースのレプリカ ID

IBM(R) Lotus Domino(R) Server 管理者によって割り当てられた階層形式を使用して ACL に名前を追加します。以下に例を示します。

Sandra E Smith/West/Acme/US

ワイルドカードを使用するエントリ

データベースのアクセスに規則性を持たせるには、ACL でワイルドカード文字 (*) のある階層名を入力します。ワイルドカードは共通名や組織単位の設計要素に使用できます。

ACL で特定のユーザー名またはグループ名のエントリを持たず、その階層名の中にワイルドカードが含まれる設計要素があるユーザーまたはサーバーに、一致するすべてのワイルドカードエントリで指定された最も高いアクセスレベルが与えられます。

次のように、ACL エントリの一部にワイルドカードを使用するとします。

*/Illustration/Production/Acme/US

Mary Tsen/Illustration/Production/Acme/US

Michael Bowling/Illustration/Production/Acme/US

Sandy Braun/Documentation/Production/Acme/US

Alan Nelson/Acme/US

ユーザー名

ACL には、認証された IBM(R) Lotus Notes(R) ユーザー ID を持つユーザー名や、名前とパスワードまたは SSL クライアント認証を使用して認証するインターネットユーザー名を追加できます。

• Lotus Notes ユーザーの場合は、ユーザーがデータベースを格納するサーバーと同じ組織階層にあるかに関係なく、John Smith/Sales/Acme のように、ユーザーごとに階層化された完全な名前を入力します。
• インターネットユーザーの場合は、ユーザー文書の [ユーザー名] フィールドに最初のエントリとして表示される名前を入力します。[ユーザー名] フィールドには複数の別名を入力できますが、最初のエントリがセキュリティ認証チェックを実行するために使用されます。したがって、そのエントリが、すべての Lotus Domino ACL、つまりサーバーファイルとデータベース ACL で使用するエントリになります。

インターネットユーザーのアクセスレベルの上限について詳しくは、「Web ユーザーによるアクセスの上限」を参照してください。

サーバー名

ACL にサーバー名を追加すると、データベースのレプリカが行うデータベースの変更を制御できます。セキュリティをさらに堅固にするために、追加されるサーバーの名前がデータベースを格納するサーバーの階層組織とは別の階層組織にあるかどうかに関係なく、Server1/Sales/Acme のように、サーバーの完全な階層名を使用します。

グループ名

ACL に、同じアクセス権が必要な複数のユーザーやサーバーの代わりにグループを追加できます。ユーザーは主になる階層名かユーザー名の別名のどちらかでグループに登録します。グループもメンバーとしてワイルドカードエントリを持つことができます。ACL でグループ名を使用するには、Domino ディレクトリか [ディレクトリアシスタント] データベースでグループ拡張用に設定されている LDAP ディレクトリに、あらかじめグループを作成しておく必要があります。

ヒント データベース管理者には、グループ名ではなく個人名を使用します。こうすると、ユーザーが [作成] - [メール] - [その他] - [データベース管理者へのメモ] を選択したときに、相手が誰か分かります。

グループを使用すると、データベース ACL を管理しやすくなります。ACL でグループを使用することには次の利点があります。

• ACL に多数の名前を個々に追加するのではなく、グループ名を 1 つ追加できます。つまりグループが複数の ACL に含まれている場合に、それぞれのデータベースで名前の追加や削除を行うのではなく、Domino ディレクトリか LDAP ディレクトリのグループ文書を変更するだけで済みます。
• 複数のユーザーまたはサーバーのアクセスレベルを同時に変更できます。
• グループ名を使用すると、グループメンバーの役割分担や、部門や会社の組織を反映できます。

[Terminations] グループ

社員が退職するとき、Domino システム管理者は、Domino ディレクトリにあるすべてのグループからその社員の名前を削除し、サーバーにアクセスできない退職者のグループに追加します。サーバー管理者と協力して、組織内のすべてのデータベースの ACL から退職者の名前が削除されているか確認してください。退職者のグループが ACL に追加され、そのグループに [なし] のアクセス権が割り当てられているか確認してください。

また、この目的のために、アクセス不可グループを使用することもできます。アクセス不可グループには、Lotus Domino サーバーへのアクセス権がなくなった Lotus Notes ユーザーの名前が含まれています。Domino ディレクトリからユーザーを削除する場合に、アクセス不可グループが作成されていれば、「削除されたユーザーをアクセス不可グループに追加」することもできます。このグループがない場合は、ダイアログボックスに「アクセス禁止グループが未選択または有効ではありません」と表示されます。

アクセス不可グループについて詳しくは、『Lotus Domino Administrator ヘルプ』を参照してください。

ユーザー名の別名

ユーザー名の別名は、登録されている Lotus Notes ユーザーに、システム管理者がオプションで割り当てる別名のことです。多くの場合、名前を、英語と漢字のように、2 つの異なるキャラクタセットで発行するために使用されます。ユーザー名の別名は、ACL に追加できます。ユーザー名の別名には、ユーザーの主な階層名と同じレベルのセキュリティが与えられます。ユーザー名を別名の形式で示すと次のようになります。次の例では、AN はユーザー名の別名です。例: Sandy Smith/ANWest/ANSales/ANAcme。

LDAP ユーザー

2 次 LDAP ディレクトリを使用して Web ユーザーを認証できます。次にこれらのインターネットユーザー名をデータベースの ACL に追加し、ユーザーのデータベースへのアクセスを制御できます。

インターネットユーザー名を含む 2 次 LDAP ディレクトリを使用してグループを作成し、Lotus Notes データベースの ACL エントリとして追加することもできます。たとえばインターネットユーザーが Lotus Domino Web サーバーで、Lotus Notes のデータベースにアクセスを試みたとします。Web サーバーがユーザーを認証し、ACL に「Web」という名前のグループがあると、1 次 Domino ディレクトリ内の検索に加えて外部の LDAP ディレクトリにある「Web」グループ内のユーザー名がサーバーによって検索できます。このケースが正しく処理されるためには、Web サーバー上の [ディレクトリアシスタント] データベースに、LDAP ディレクトリ用の LDAP ディレクトリアシスタント文書が格納されていて、文書の [グループの追加] オプションで [はい] が選択されている必要があります。この機能は、データベース ACL の確認のために、外部 LDAP ディレクトリグループに格納されている Lotus Notes ユーザー名を検索する場合にも利用できます。

LDAP ディレクトリユーザーやグループ名をデータベース ACL に追加するとき、名前の形式は LDAP 形式を使用し、区切り文字にはカンマ (,) ではなくスラッシュ (/) を使用してください。たとえば LDAP ディレクトリのユーザー名が次のような場合は、

uid=Sandra Smith,o=Acme,c=US

uid=Sandra Smith/o=Acme/c=US

cn=managers

managers

cn=managers,o=acme

cn=managers/o=acme

たとえば、次のような名前を ACL に入力すると、

cn=Sandra Smith/ou=West/o=Acme/c=US

Sandra Smith/West/Acme/US

サーバーで認証されなかったインターネットユーザーや Lotus Notes ユーザーには、匿名のデータベースのアクセス権が与えられます。匿名ユーザーや匿名サーバーからデータベースへのアクセスのレベルを制御するには、アクセス制御リストに [Anonymous] という名前を入力し、適切なアクセスレベルを割り当てます。通常、[Anonymous] のユーザーには、データベースに対して [読者] のアクセス権を与えます。

次の表では、匿名のユーザーがデータベースにアクセスするさまざまな方法を説明します。

指定するアクセス権	インターネットプロトコルで使用可能になっている匿名アクセス	インターネットプロトコルで使用不可能になっている匿名アクセス
データベース ACL で使用可能になっている匿名アクセス	ユーザーは、[Anonymous] エントリのアクセスレベルでデータベースにアクセスします。たとえば、匿名アクセスが [読者] に設定されている場合、データベースにアクセスする匿名ユーザーは [読者] のアクセス権を持ちます。	ユーザーは、サーバー上のリソースにアクセスしようとするときに認証を受けるように要求されます。データベースにリストされていない場合 (グループエントリ、ワイルドカードエントリを使用するか、ユーザー名が明示的にリストされている場合)、[-Default-] エントリのアクセスレベルでデータベースにアクセスします。
データベース ACL にリストされていない匿名	匿名ユーザーは、[-Default-] エントリのアクセスレベルでデータベースにアクセスします。たとえば、[-Default-] アクセスが [読者] に設定され、ACL に [Anonymous] エントリがない場合、データベースにアクセスする匿名ユーザーは [読者] のアクセス権を持ちます。
データベース ACL で [なし] に設定されている匿名 メモ パブリック文書 [読書] および [作成者] 権限は無効になっている必要があります。	ユーザーは、このデータベースにアクセスしようとすると、認証を受けるように要求されます。認証されると、ACL に割り当てられている適切なアクセスレベルが与えられます。

匿名ユーザー ([Anonymous] エントリによってアクセスが許可された匿名ユーザーと [-Default-] エントリでアクセスした匿名ユーザー) がアクセスレベルで許可されていない操作を実行しようとすると、認証を受けるように要求されます。たとえば、[Anonymous] に [読者] が設定されており、匿名ユーザーが新しい文書を作成しようとすると、そのユーザーは名前とパスワードを入力して認証を受けるように要求されます。

ヒント すべてのユーザーにデータベースへのアクセスで認証を受けさせるようにしたい場合は、データベース ACL で [Anonymous] にアクセスレベル [なし] が設定されていることを確認し、そのユーザーに設定したいアクセスレベルでインターネットユーザーの名前を ACL に追加します。また、パブリック文書 [読者] とパブリック文書 [作成者] の権限がデータベース ACL で有効になっていないことを確認してください。

Lotus Domino サーバーでグループ名 [Anonymous] が使用されるのは、アクセス制御を検査するときだけです。たとえば、データベース ACL で [Anonymous] に [作成者] のアクセス権が設定されている場合、データベースでユーザーが作成する文書の [作成者] フィールドには本当のユーザー名が表示されます。ただし、Lotus Domino サーバーで文書の [作成者] フィールドに本当の名前が表示できるのは、匿名 Lotus Notes ユーザーの場合だけです。匿名 Web ユーザーの本当の名前は表示できません。匿名アクセスを使用していても、[作成者] フィールドはセキュリティの対象とはなりません。有効な作成者名がセキュリティ上必要な場合は、文書に署名をします。

レプリカ ID

1 つのデータベースのエージェントが @DbColumn または @DbLookup を使用して別のデータベースからのデータを取得できるようするには、取得されるデータを含むデータベースの ACL にそのエージェントを含むデータベースのレプリカ ID を入力します。エージェントを含むデータベースには、取得されるデータを含むデータベースに対して [読者] 以上のアクセス権が設定されている必要があります。両方のデータベースは、同じサーバー上になければなりません。レプリカ ID は 85255B42:005A8FA4 のように表示されます。

取得先データベースの [-Default-] のアクセスレベルが [読者] 以上に設定されている場合、このデータベースは、アクセス制御リストにレプリカ ID が含まれていなくてもデータを取得できます。

データベースのレプリカ ID を調べるには、[ファイル] - [データベース] - [プロパティ] を選択し、[情報] タブをクリックします。または、[ファイル] - [データベース] - [設計一覧] を選択し、[複製] を選択します。

ACL にレプリカ ID を追加する

レプリカ ID を入力するか、[設計一覧] ダイアログボックスからレプリカ ID をコピーして ACL に貼り付けるか、[データベースのプロパティ] インフォボックスの [情報] タブから取得するレプリカ ID を入力します。レプリカ ID には大文字と小文字の両方を使用できますが、引用符で囲まないでください。

ACL エントリの評価の順序

ACL エントリは、特定の順序で評価され、データベースにアクセスしようとする認証された Lotus Notes ユーザーに許可するアクセスレベルが決定されます。

• ACL は最初にユーザー名をチェックして、一致する ACL エントリがあるか調べます。ACL は一致するユーザー名すべてをチェックします。たとえば、Sandra E Smith/West/Acme は、Sandra E Smith/West/Acme/US および Sandra E Smith というエントリと一致します。1 人のユーザーがアクセスレベルの異なる 2 つのエントリを持つ場合 (たとえば、別々のシステム管理者によって異なる時間に適用された場合)、ACL でそのユーザーの 2 つのエントリのアクセス権限を組み合わせた場合と同様に、そのデータベースにアクセスしようとするユーザーには最も高いアクセスレベルが許可されます。ユーザーに複数の別名がある場合にもこのチェックが行われます。

  メモ ACL に共通名 (例、Sandra E Smith) だけを入力し、ユーザー名およびデータベースサーバーが同じドメイン階層にある場合だけ、そのエントリは一致します。たとえば、ユーザー名が Sandra E Smith で、その階層名が Sandra E Smith/West/Acme で、データベースサーバーが Manufacturing/FactoryCo である場合、エントリ Sandra E Smith には、サーバー Manufacturing/FactoryCo の ACL の正しいアクセスレベルが与えられません。ユーザーは、他のドメイン内のサーバー上の ACL の正しいアクセスレベルを取得するために、名前を完全な階層形式で入力する必要があります。

• 一致するユーザー名が見つからない場合、ACL は次に、グループ名が一致するエントリがないか調べます。データベースにアクセスしようとするユーザーが複数のグループエントリと一致した場合、たとえば、そのユーザーが営業部門のメンバーで、営業部門の 2 つのグループエントリが Sales/West/Acme と Sales/Acme である場合、ACL でそのグループの 2 つのエントリのアクセス権限を組み合わせた場合と同様に、そのユーザーには最も高いアクセスレベルが許可されます。

  メモ ユーザーが ACL の明示的エントリと一致し、ACL にリストされているグループのメンバーでもある場合には、グループアクセスレベルのほうが高い場合でも、ユーザーには常に、明示的エントリに割り当てられたアクセスレベルが割り当てられます。

• 一致するグループ名が見つからない場合、ACL は次に、一致するワイルドカードエントリがないか調べます。データベースにアクセスしようとするユーザーが複数のワイルドカードエントリと一致した場合、すべてのワイルドカードエントリのアクセス権限を組み合わせた場合と同様に、そのユーザーには最も高いアクセスレベルが許可されます。
• データベースへのアクセスを試みるユーザーに対して、グループエントリおよびワイルドカードエントリの両方を適用する場合、このユーザーにはグループエントリに割り当てられたアクセス権が設定されます。たとえば、グループ Sales に [読者] アクセス権があり、ワイルドカードエントリ */west/Acme に [管理者] アクセス権があり、両方のエントリがユーザーに適用される場合、そのユーザーにはデータベースへの [読者] アクセス権が割り当てられます。
• データベース ACL のエントリの中で一致するエントリが見つからない場合、そのユーザーに対しては [-Default-] エントリで定義されているアクセスレベルが許可されます。

データベース ACL を設定する
デフォルトの ACL エントリ

用語集