ACL で使用できるエントリには次のものがあります。
エントリの長さはそれぞれ最大 255 文字です。
Domino® サーバー管理者によって割り当てられた階層形式を使用して ACL に名前を追加します。 以下に例を示します。
Sandra E Smith/West/Acme/US 階層名の体系の作成の詳細については、『Domino Administrator ヘルプ』を参照してください。
データベースへの全般的なアクセスを許可するには、ACL にワイルドカード文字 (*) を使用して階層名を入力します。ワイルドカードは共通名や組織単位の構成要素に使用できます。
ACL で特定のユーザー名またはグループ名のエントリを持たず、その階層名の中にワイルドカードが含まれる設計要素があるユーザーまたはサーバーに、一致するすべてのワイルドカードエントリで指定された最も高いアクセスレベルが与えられます。
次のように、ACL エントリの一部にワイルドカードを使用するとします。
*/Illustration/Production/Acme/US
このエントリでは、次のユーザーに、指定したアクセスレベルが与えられます。
Mary Tsen/Illustration/Production/Acme/US
Michael Bowling/Illustration/Production/Acme/US
このエントリでは、次のユーザーには、指定したアクセスレベルは与えられません。
Sandy Braun/Documentation/Production/Acme/US
Alan Nelson/Acme/US
ACL エントリでは、左端の部分のみでワイルドカードを使用できます。ACL エントリでワイルドカードを使用する場合は、ACL でユーザーの種類を [指定なし]、[混在グループ]、[ユーザーグループ] のどれかにしてください。
ACL には、認証された Notes ユーザー ID を持つ個人の名前や、名前とパスワードまたは SSL クライアント認証を使用して認証するインターネットユーザー名を追加できます。
匿名のインターネットユーザーのデータベースアクセスの詳細については、「匿名アクセス」を参照してください。
インターネットユーザーのアクセスレベルの上限の詳細については、「Web ユーザーによるアクセスの上限」を参照してください。
ACL にサーバー名を追加すると、データベースのレプリカが行うデータベースの変更を制御できます。セキュリティをさらに堅固にするために、追加されるサーバーの名前がデータベースを格納するサーバーの階層組織とは別の階層組織にあるかどうかに関係なく、Server1/Sales/Acme のように、サーバーの完全な階層名を使用します。
ACL に、同じアクセス権が必要な複数のユーザーやサーバーの代わりにグループを追加できます。ユーザーは主になる階層名かユーザー名の別名のどちらかでグループに登録します。グループもメンバーとしてワイルドカードエントリを持つことができます。ACL でグループ名を使用するには、Domino ディレクトリか [ディレクトリアシスタント] データベースでグループ拡張用に設定されている LDAP ディレクトリに、あらかじめグループを作成しておく必要があります。
グループを使用すると、データベース ACL を管理しやすくなります。ACL でグループを使用することには次の利点があります。
社員が退職するとき、Domino システム管理者は、Domino ディレクトリにあるすべてのグループからその社員の名前を削除し、サーバーにアクセスできない退職者のグループに追加します。サーバー管理者と協力して、組織内のすべてのデータベースの ACL から退職者の名前が削除されているか確認してください。退職者のグループが ACL に追加され、そのグループに [なし] のアクセス権が割り当てられているか確認してください。
また、この目的のために、アクセス不可グループを使用することもできます。アクセス不可グループには、Domino サーバーへのアクセス権がなくなった Notes ユーザーの名前が含まれています。Domino ディレクトリからユーザーを削除する場合に、アクセス不可グループが作成されていれば、「削除されたユーザーをアクセス不可グループに追加」することもできます。このグループがない場合は、ダイアログボックスに「アクセス禁止グループが未選択または有効ではありません」と表示されます。
アクセス不可グループの詳細については、『Domino Administrator ヘルプ』を参照してください。
ユーザー名の別名は、登録されている Notes ユーザーに、システム管理者がオプションで割り当てる別名のことです。多くの場合、名前を、英語と漢字のように、2 つの異なるキャラクタセットで発行するために使用されます。ユーザー名の別名は、ACL に追加できます。ユーザー名の別名には、ユーザーの主な階層名と同じレベルのセキュリティが与えられます。以下は、ユーザー名を別名の形式で示した例です。ここで、AN はユーザー名の別名です。例: Sandy Smith/ANWest/ANSales/ANAcme。
2 次 LDAP ディレクトリを使用して Web ユーザーを認証できます。次にこれらのインターネットユーザー名をデータベースの ACL に追加し、ユーザーのデータベースへのアクセスを制御できます。
インターネットユーザー名を含む 2 次 LDAP ディレクトリを使用してグループを作成し、Notes データベースの ACL エントリとして追加することもできます。例えばインターネットユーザーが Domino Web サーバーで、Notes のデータベースにアクセスを試みたとします。Web サーバーがユーザーを認証し、ACL に「Web」という名前のグループがあると、1 次 Domino ディレクトリ内の検索に加えて外部の LDAP ディレクトリにある「Web」グループ内のユーザー名がサーバーによって検索できます。このケースが正しく処理されるためには、Web サーバー上の [ディレクトリアシスタント] データベースに、LDAP ディレクトリ用の LDAP ディレクトリアシスタント文書が格納されていて、文書の [グループの追加] オプションで [はい] が選択されている必要があります。この機能は、データベース ACL の確認のために、外部 LDAP ディレクトリグループに格納されている Notes ユーザー名を検索する場合にも利用できます。
LDAP ディレクトリユーザーやグループ名をデータベース ACL に追加するとき、名前の形式は LDAP 形式を使用し、区切り文字にはカンマ (,) ではなくスラッシュ (/) を使用してください。例えば LDAP ディレクトリのユーザー名が次のような場合は、
uid=Sandra Smith,o=Acme,c=US
データベース ACL には次のように入力します。
uid=Sandra Smith/o=Acme/c=US
階層なしの LDAP ディレクトリグループを ACL に追加するには、属性の内容のみを含めます。属性名は含めないでください。例えば LDAP グループの階層なしの名前が次のような場合は、
cn=managers
ACL エントリは次のようになります。
managers
階層グループ名の名前を入力するには、LDAP の属性名を ACL エントリに含めます。例えば、グループの階層名が次のような場合は、
cn=managers,o=acme
ACL には次のように入力します。
cn=managers/o=acme
指定する属性名が Notes で使用している属性名 (cn、ou、o、c) と完全に同じ場合は、ACL では属性名は表示されません。
例えば、次のような名前を ACL に入力すると、
cn=Sandra Smith/ou=West/o=Acme/c=US
属性名が Notes で使用している属性名と完全に同じであるため、ACL には次のように表示されます。
Sandra Smith/West/Acme/US
サーバーで認証されなかったインターネットユーザーや Notes ユーザーには、匿名のデータベースのアクセス権が与えられます。匿名ユーザーや匿名サーバーからデータベースへのアクセスのレベルを制御するには、アクセス制御リストに [Anonymous] という名前を入力し、適切なアクセスレベルを割り当てます。通常、[Anonymous] のユーザーには、データベースに対して [読者] のアクセス権を与えます。
以下の表では、匿名のユーザーがデータベースにアクセスするさまざまな方法を説明します。
| 指定するアクセス権 |
インターネットプロトコルで使用可能になっている匿名アクセス |
インターネットプロトコルで使用不可能になっている匿名アクセス |
|---|---|---|
| データベース ACL で使用可能になっている匿名アクセス |
ユーザーは、[Anonymous] エントリのアクセスレベルでデータベースにアクセスします。例えば、匿名アクセスが [読者] に設定されている場合、データベースにアクセスする匿名ユーザーは [読者] のアクセス権を持ちます。 |
ユーザーは、サーバー上のリソースにアクセスしようとするときに認証を受けるように要求されます。データベースにリストされていない場合 (グループエントリ、ワイルドカードエントリを使用するか、ユーザー名が明示的にリストされている場合)、[-Default-] エントリのアクセスレベルでデータベースにアクセスします。 |
| データベース ACL にリストされていない匿名 |
匿名ユーザーは、[-Default-] エントリのアクセスレベルでデータベースにアクセスします。例えば、[-Default-] アクセスが [読者] に設定され、ACL に [Anonymous] エントリがない場合、データベースにアクセスする匿名ユーザーは [読者] のアクセス権を持ちます。 |
|
| データベース ACL で [なし] に設定されている匿名 注: パブリック文書 [読書] と [作成者] 権限は無効になっている必要があります。
|
ユーザーは、このデータベースにアクセスしようとすると、認証を受けるように要求されます。認証されると、ACL に割り当てられている適切なアクセスレベルが与えられます。 |
匿名ユーザー ([Anonymous] エントリによってアクセスが許可された匿名ユーザーと [-Default-] エントリでアクセスした匿名ユーザー) がアクセスレベルで許可されていない操作を実行しようとすると、認証を受けるように要求されます。例えば、[Anonymous] に [読者] が設定されており、匿名ユーザーが新しい文書を作成しようとすると、そのユーザーは名前とパスワードを入力して認証を受けるように要求されます。
Domino サーバーでグループ名 [Anonymous] が使用されるのは、アクセス制御を検査するときだけです。例えば、データベース ACL で [Anonymous] に [作成者] のアクセス権が設定されている場合、データベースでユーザーが作成する文書の [作成者] フィールドには本当のユーザー名が表示されます。ただし、Domino サーバーで文書の [作成者] フィールドに本当の名前が表示できるのは、匿名 Notes ユーザーの場合だけです。匿名 Web ユーザーの本当の名前は表示できません。匿名アクセスを使用していても、[作成者] フィールドはセキュリティの対象とはなりません。有効な作成者名がセキュリティ上必要な場合は、文書に署名をします。
1 つのデータベースのエージェントが @DbColumn または @DbLookup を使用して別のデータベースからのデータを取得できるようするには、取得されるデータを含むデータベースの ACL にそのエージェントを含むデータベースのレプリカ ID を入力します。エージェントを含むデータベースには、取得されるデータを含むデータベースに対して [読者] 以上のアクセス権が設定されている必要があります。両方のデータベースは、同じサーバー上になければなりません。レプリカ ID は 85255B42:005A8FA4 のように表示されます。
取得先データベースの [-Default-] のアクセスレベルが [読者] 以上に設定されている場合、このデータベースは、アクセス制御リストにレプリカ ID が含まれていなくてもデータを取得できます。
データベースのレプリカ ID を調べるには、[ファイル] - [データベース] - [プロパティ] を選択し、[情報] タブをクリックします。または、[ファイル] - [データベース] - [設計一覧] を選択し、[複製] を選択します。
レプリカ ID を入力するか、[設計一覧] ダイアログボックスからレプリカ ID をコピーして ACL に貼り付けるか、[データベースのプロパティ] インフォボックスの [情報] タブから取得するレプリカ ID を入力します。レプリカ ID には大文字と小文字の両方を使用できますが、引用符で囲まないでください。
ACL エントリは、特定の順序で評価され、データベースにアクセスしようとする認証された Notes ユーザーに許可するアクセスレベルが決定されます。