ID ボールト (1)
2023/5月/10 - 読み終える時間: ~1 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
ID ボールト自体は古く、バージョン 8.5 の時に加わった機能です。ID ファイルを自動的に金庫 (Vault) に格納して、ID ファイルの破損時に取り出したり、クライアントのセットアップ時に自動的にダウンロードしたりと、管理者やユーザーの負担を減らしました。その後も進化が続き、iNotes での暗号化/署名でも活用され、ユーザーが手動でIDファイルをアップロードする手間も省け、12 では多要素認証 (TOTP) でも基盤として下支えをしています。認定試験でも ID ボールトの出題がそれなりにあります。
-
ID ボールトの実体は Vault DB という通常の Domino データベースです。この DB にはユーザー毎に文書があり ID ファイルが暗号化され格納されています。
参考URL: ボールトのユーザー ID を表示する
-
Notes クライアントから最新の ID ファイルが自動的に ID ボールトにアップロードされていますが、その間隔は 8 時間です。
参考URL: ID ボールト関連の notes.ini 設定
-
手動でも ID ファイルをアップロードする方法があります。Domino ディレクトリーのユーザービューを開き、自分のユーザー文書を選択して、メニューの [アクション] > [ID ファイルを ID ボールトにアップロード] を実行します。
参考URL: ID ボールトに単一のユーザーをアップロードする
HCL Domino 認定管理者アップデートの認定試験を日本語で受検できるようになりました
2023/4/29 - 読み終える時間: ~1 分
HCLSoftware による認定資格である「HCL Domino 認定管理者アップデート (英語名: Certified Administrator - Domino 12 Update Certification) 」を日本語で受検できるようになりました。詳細は以下のページをご覧ください。受験対策のブログ記事の活用もお勧めします。
証明書マネージャー (4)
2023/4/19 - 読み終える時間: ~1 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
最後に (かなり) 細々とした内容をカバーしていきます。
-
CertMgr が HTTP-01 チャレンジを使用して Let's Encrypt の TLS 証明書を更新する場合に使うポートは 443 ではなく 80 です。間違えやすいです。
-
証明書ストア DB (certstore.nsf) の設定手順の確認です。ACL を確認する必要があります。ドメイン内の管理者と Domino サーバーに 管理者権限と [Administrator] ロール を設定する必要があります。LocalDomainAdmins と LocalDomainServers は、デフォルトでこのアクセス権を持っています。
参考 URL: HTTP-01 チャレンジを使用して証明書要求の準備をする
-
証明書マネージャーでユーザー用 SSL 証明書を作成する際は最も強度が強いものにしたいと考えるのが普通です。V12 の証明書マネージャの ACME 構成で利用可能なキーアルゴリズムでは 4096 が最大キー長 です。
-
CertMgr タスクはキーや証明書の健全性を常に確認して、セキュリティが保たれるようにしています。そのチェック間隔は 30 分です。
参考 URL: 証明書の正常性チェック
Domino管理者アップデート認定試験対策は、残すは ID ボールト関係と管理機能関係です。もう少しお付き合いをお願いします。
証明書マネージャー (3)
2023/4/19 - 読み終える時間: ~1 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
-
おさらいですが、証明書管理のタスクである Certmgr は「Domino の TLS 証明書の管理」を行っています。ID ファイルや ID ボールトとは無関係です。「TLS 証明書」です。
-
証明書ストア DB に格納されている TLS 証明書はエクスポートが可能です。ただし、証明書作成時に 「エクスポート可能なキーを作成する」 オプションを選択する必要があることに注意が必要です。
-
CertMgr は、ACME アカウントおよび Let's EncryptR CA またはサードパーティ CA から生成された TLS 1.2 ホスト鍵 (キーリング・ファイル) の NIST P-256 および NIST P-384 曲線を使用した楕円曲線デジタル署名アルゴリズム (ECDSA) をサポートしています。
なにやら難しい言葉が出ていますが、要は「ECDSA 鍵は、同等の強度の RSA 鍵よりはるかに短く、一般的に RSA と同等の機能よりもパフォーマンスが向上している」ということを覚えておきましょう。セキュリティの一般常識としても覚えていて損はないでしょう。
証明書マネージャー (2)
2023/4/19 - 読み終える時間: 2 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
-
明書ストアから TLS 証明書をエクスポートする場合、一般的に暗号化して出力します。その際に使える形式は以下の二つです。
- PKCS12 - Binary encoded X.509 (P12/PFX)
- Base64 encoded X.509 (PEM, AES256 encrypted)
参考 URL: 資格情報をファイルにエクスポートする
-
HCL Domino 12 以降、サードパーティーの認証局 (CA) からのインターネット証明書を使って Domino の環境を構成するプロセスがより簡単になりました。V11 まではコマンドラインで keytool を実行する必要がありました。V12 では証明書ストアに文書を作成して証明書を貼り付けて処理します。その際、「チェーン内の証明書は、任意の順序で指定できる = 順序はどうでもいい」ということを覚えておくとよいでしょう。
参考 URL: サードパーティ CA からの鍵と証明書を要求してインポートする
-
Domino V12 では Let's Encrypt の証明書を容易に利用できるようになりました。Let's Encrypt には無償で証明書を提供するサービスがあり気軽に利用できるようになりました。V12 の CertMgr では、ACME プロトコルを使用して、Let's Encrypt 認証局 (CA) から TLS 証明書を自動的に要求、構成、更新できるようになりました。
Let’s Encrypt CA から証明書を受け取ると、Let’s Encrypt CA サーバーはチャレンジを使用して、ユーザーが証明書のドメイン名を管理していることを検証します。サポートされているチャレンジには HTTP-01 チャレンジと DNS-01 チャレンジの2種類があります。
おすすめは DNS-01 チャレンジで、以下のメリットがあります。
- .hcl.com のようなワイルドカード証明書をサポートしているためドメイン全体をカバーできること。HTTP-01 ではホスト単位での検証しかできません。
- パブリックインターネットから Domino Web サーバーのポート 80 にアクセスする必要ないこと。
参考 URL: Let's Encrypt CA チャレンジ・オプション
証明書マネージャー (1)
2023/4/19 - 読み終える時間: 2 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
インターネットプロトコルでのサービスを行うには証明書が必須です。Domino は R5 の時代から自己認証局の機能を備えていましたが、時代の流れに合わせて更新されています。HCL Domino V12 は、Domino 環境で TLS 証明書を管理するために、新しいデータベースの証明書ストア (certstore.nsf) と連携する新しいサーバー・タスクである 証明書マネージャー (CertMgr) が追加されています。
各自の Domino の利用目的によっては証明書まわりは接しない場合もあるでしょう。その場合は入念な試験対策が必要です。
-
V12.0.1 に備わっているマイクロ CAを使うとWeb サーバー TLS 証明書を比較的容易に作成できます。ただ、Micro CA で作成した証明書は、実稼働環境での使用を意図した証明書ではないことに注意してください。ファイルへのエクスポートはできません。
-
V12 では Let's Encrypt CA 使用して証明書を取り込み、使用できるようになりました。もちろん Let's Encrypt 以外の CA を使うこともできます。その場合は、証明書プロバイダとして Manual (手動) を選択します。
参考 URL: グローバル設定を構成する
-
Domino の証明書マネージャーでサポートされているキーアルゴリズムは RSA と ECDSA です。
参考 URL: グローバル設定を構成する
-
TLS の資格情報をインポートする際に使用可能な暗号化形式は PKCS12 と以下の 3 つです。
- PKCS12 - Binary encoded X.509 (P12/PFX)
- Base64 - encoded X.509 (PEM, AES256 encrypted)
- KYR - Legacy keyring format
参考 URL: TLS 資格情報をアップグレードする
DAOS (3)
2023/4/15 - 読み終える時間: 2 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
DAOS の最後はその他細かな話をしていきます。
-
V12 にバージョンアップしても、あるいはバージョンアップ中に以前のバージョンと混在する場合があります。そうした場合はDAOSの暗号強度を11.0.1までのものにとどめておく必要があります。以下を設定しておくとそのような動作になります。
notes.ini に DAOS_NLO_ENCRYPTION_METHOD=0
参考 URL: DAOS 暗号化のセキュリティーの向上
-
V12 ではユーザーや管理者がIDファイルをID ボールトにアップロードできるようになりました。ディレクトリーを開き、アクションメニューからこれを実施できます。 この操作でエラーが発生する場合があります。そのトラブルシューティングについての記事を示します。エラーの種類は2つ。特に「アクセスが拒否されました」の方を注意してみておきましょう。
アクセスが拒否なので、管理者として権限が設定されていないわけです。
-
マニアックな話ですが、Show Stat DAOS.object.Attach_DAOSCreate を実行すると DAOS で作成された添付ファイルの数が表示されます。
参考 URL: Show Stat DAOS
-
DAOSを運用していると、DBをバックアップした時など戸惑うことがあるかもしれません。DBをリストアした場合は外だししているファイルとの整合性がとれているかを確認する必要があります。以下のコマンドを実行すると、不足しているファイルを一覧表示してくれます。
tell daosmgr listnlo missing filename.nsf
参考 URL: リストアのオプション
DAOS (2)
2023/4/15 - 読み終える時間: 2 分
この記事は、「Domino管理者アップデート認定試験対策」シリーズです。
V12 での改善点、新機能について見ていきましょう。
-
HCL Domino 12 DAOS では、サブディレクトリーに格納する方法が変更されました。既存のサブディレクトリー (例: 0001、0002) を連続的になるように埋め戻しが行われるようになりました。この変更により、以前のバージョンの Domino で発生していた、部分的に使用されていたサブディレクトリーや空のサブディレクトリーが削除されるようになります。そのサブディレクトリーのファイルの管理台帳ともいえるものが daos.cf2 という CSV 形式のファイルでです。
参考 URL: DAOS コンテナ管理の改善
-
V12では「DAOS tier 2 ストレージ」機能が追加され、Amazon S3 あるいは、互換のストレージ・サービスを使用して、指定した日数アクセスがない古い添付ファイル・オブジェクトを保存できるようになりました。
S3 ストレージを使用するためにの資格情報がどこに格納されているかというと、Domino 資格情報ストア DB です。この DB に資格情報を格納するには以下のコマンドを実行します。
tell daosmgr S3 storecred <テキストファイル名>
-
Domino ではクラスタリング機能があり DB が同期できます。今では機能改善され、DBの破損の修復まで行う「シンメトリッククラスタ」にまで発展しています。 DAOS が有効な DB でもこのシンメトリッククラスタを利用するためにはいくつかの前提条件があります。
- DAOS は、同じ最小オブジェクトサイズ構成のすべてのクラスターサーバーで有効であること。
- DAOS カタログはすべてのクラスターサーバー間で同期されていること。
参考 URL: シンメトリッククラスタを準備する
-
さらに、S3 に格納された DAOS Tier 2 オブジェクトをクラスタリング環境で共有した場合はどうすればよいでしょうか。暗号化のキーが共有されていればオブジェクトの読み書きはできるわけなので、その点だけに注意します。実際には細かな作業手順がありますが、それについては以下の製品ドキュメントを参照してください。