Domino Web サーバの設定
目次
casso126jjp
目次
Domino サーバは特別な エージェント パラメータを必要とする場合があります。他に指示がない限り、これらのパラメータは Domino サーバにのみ使用されます。Domino のリソースを保護するために、以下のカテゴリのトピックを使用します。
- 詳細については、次のトピックを参照してください。
- 基本的な設定情報については、次のトピックを参照してください。
- Single Sign-On認証の詳細については、次のトピックを参照してください。
- フォーム認証情報コレクタ(FCC)の使用の詳細については、以下のトピックを参照してください。
- Lotus Notes ドキュメントへのアクセスの管理の詳細については、次のトピックを参照してください。
- 前のリストで取り上げられていない件名の詳細については、次のトピックを参照してください。
Domino エージェントの概要
Domino アプリケーション サーバはメッセージング/Web アプリケーション プラットフォームであり、セキュリティ保護されたアクセスを LotusNotes クライアントに対して提供します。Domino Web エージェントは、HTTP インタフェースである Domino アプリケーション サーバのみを保護し、HTML、JAVA、CGI などの Web リソースへのアクセス制御を行います。Domino Web エージェントは Notes サーバを保護しません。
Domino では、データは複数の Notes データベース内に保存されます。データベースに保存されるリソースとしては、ドキュメント、ビュー、フォーム、ナビゲータなど、さまざまな種類のオブジェクトが考えられます。これらのオブジェクトには、テキスト、ビデオ、グラフィック、オーディオなどのコンテンツを含めることができます。
Notes オブジェクトを開くには URL を使用します。データベース内の Notes オブジェクトを Web 経由で利用できるように、Domino はオブジェクトから Web ページを動的に作成します。データベース ビューの場合、Domino はビュー内の各ドキュメントへの URL リンクも作成します。Notes データベースからページを動的に作成することにより、最新の情報をユーザに提供できます。
Domino URL 構文
Domino サーバ上のリソースへのアクセスは URL に基づきます。Domino サーバでは独自の URL 構文が使用されます。
Domino サーバは、次に例示するような標準的な URL を解釈できます。
http://www.example.com/index.html
Domino の URL コマンドは、以下の構文を使用できます。
http://host/database.nsf/Domino_object?Action_Argument
- Hostサーバの DNS エントリまたは IP アドレスを示します。
- Databasenotes \data ディレクトリを基準とするパスまたはデータベース レプリカ ID で、データベース ファイル名を指定します。
- Domino_objectビュー、ドキュメント、フォーム、ナビゲータなど、データベース内のオブジェクトを指定します。
- ActionNotes オブジェクトに対して実行する操作を特定します。たとえば、?OpenDatabase、?OpenView、?OpenDocument、?OpenForm、?ReadForm、?EditDocument などがあります。URL にどのアクションも指定されていない場合は、デフォルトが使用されます。デフォルト: ?Open
- ArgumentDomino サーバがどのようにオブジェクトを送るかを定義します。たとえば、アクションと引数が ?OpenView&Expand=5 である場合、この引数は展開形式で表示する際の行数を指定しています。financials.nsf という名前の Notes データベース内のビューにアクセスする URL の例を次に示します。http://www.example.com/financials.nsf/reports?OpenView
Domino のエイリアス
Notes データベース規約の 1 つにオブジェクトのエイリアスの作成があります。たとえばエイリアスでは、オブジェクト名の代わりに Notes ID またはレプリカ ID を使ってリソースを識別できます。エイリアスを使用すると、開発者のプログラミング作業が簡単になります。というのも、Notes リソースの名前を変更しても、コードを変更する必要がなくなるからです。
次の Domino URL はそれぞれ異なるエイリアスによって識別されていますが、すべて同一のリソースにアクセスします。
- http://www.domino.com/85255e01001356a8852554c20756?OpenView
- http://www.domino.com/85267E00075A80C/people?OpenView
- http://www.domino.com/__852567E00075A80C.nsf/people?OpenView
Domino Web エージェントはデータベースリソースの識別方法に関係なく、Domino 命名規約に従ったすべての ID を、リソースの名前に基づく標準の URL に変換します。これにより、ポリシー ストアへのデータ入力が簡略化されます。
たとえば以下の Domino URL は、names.nsf データベース内の people ビューを指しています。データベースとビューはそれぞれ、レプリカ ID と Notes ID で参照されています。
- http://www.domino.com/85255e01001356a8852554c20756?OpenView
- http://www.domino.com/85267E00075A80C/people?OpenView
Domino Web エージェントはこれらの URL を次の標準 URL に変換します。
- http://www.domino.com/names.nsf/people?OpenView
以下の図に、エイリアスから名前付きオブジェクトへの変換を示します。

Domino Web エージェントの設定
Domino Web エージェントは、すべての Web エージェント標準設定を使って次のことを実行できます。
- ポリシー サーバと通信する Web エージェントの設定
- 仮想サーバのエージェント ID の追加と削除
- Web エージェントの設定の変更
- シングル サインオンの設定
- エラー メッセージ ロギングの設定
これらの設定は、ポリシー サーバ上で集中的に、またはエージェント設定ファイル内でローカルに実行することができます。
標準的な機能に加えて、設定可能な Domino 特有のパラメータもあります。
Domino 固有のエージェント機能の設定
Web エージェント標準設定のほかに、Domino Web エージェントの場合に限って設定可能な Domino 固有の設定パラメータが存在します。これらの設定により、Domino が
Single Sign-On
と連携してユーザを認証して許可する方法が決まります。この設定は、ポリシー サーバ上のエージェント設定オブジェクトに一元的に設定するか、または Web サーバ上のエージェント設定ファイルにローカルに設定できます。注
: Domino Web エージェントでは、ユーザ アクティビティの追跡に使用される監査機能はサポートされません。omino に関するユーザ ディレクトリの指定
Domino ディレクトリはすべての Domino サーバと統合化されます。Domino サーバの LDAP サービスを有効化すると、ポリシー サーバによるユーザ認証/許可時に Domino ディレクトリを使用できます。Domino の LDAP サービスを有効化した場合、認証用に別のユーザ ディレクトリを設定する必要はありません。
LDAP サービスを有効化する方法については、Domino サーバのマニュアルを参照してください。
Domino サーバに関するポリシーを作成する場合のガイドライン
Domino サーバ用のポリシーを作成する場合は、以下のガイドラインに従ってください。
- ユーザは、親ドキュメントを持つフォームを開いてそのフォームのデフォルト値を参照することができます。親ドキュメントとは、そのドキュメントの作成時に使用された元のフォームのことです。無許可のユーザが、アクセス権のないフォームのデフォルト値を表示するのを防ぐには、SkipDominoAuth パラメータを no に設定します。
- データベースを同じコンピュータ上で複製した場合、各データベースを別々に保護するには、対応するルールも複製する必要があります。
- Domino エージェントが Notes ドキュメントのエイリアスをフォームに関連付けることができない場合、ドキュメントごとに異なるルールを指定してドキュメントを保護する必要があります。
- 特定の種類のデータベース ドキュメントの場合、Domino サーバは URL コマンド内で、$DefaultView、$DefaultForm、$DefaultNav、$SearchForm などの特殊な識別子を使用します。Domino エージェントはこれらの識別子を標準の URL に変換してからドキュメントにアクセスします。$defaultNav の場合、Domino エージェントは ?OpenDatabase アクションを実行します。これらの種類の識別子用に、追加のルールを作成する必要はありません。
- Notes データベース内のエイリアスは関連するリソースを保護します。エイリアスが存在しない場合、リソース名またはコメントが関連するリソースを保護します。
- Lotus Notes ソフトウェアでは、種類の異なる複数のオブジェクトが、同一の名前またはエイリアスを持つことができます。?Open* などのように、?Open アクションでワイルド カードを使用するルールを作成した場合、このルールによって、エイリアスまたは名前を共有するさまざまな種類のリソースがすべて保護されることに注意してください。
- フォームは、それらのフォームにより作成されたドキュメントを保護します。フォームで使用されるアクションは ?ReadForm です。
- Domino エージェントは拡張子 .nsf のファイルを保護します。この拡張子を IgnoreExt パラメータに追加しないでください。
Domino のポリシーの設定
Domino サーバでは、同一の Notes オブジェクトをさまざまな方法を使って表現できます。オブジェクトの識別には、名前、レプリカ ID、ユニバーサル ID、およびエイリアスが使用できます。
Domino Web エージェントは、Domino サーバとの通信を効率的に行うために、Notes リソースへのアクセス リクエストを処理する際にオブジェクト名のみを使用します。これにより、
Single Sign-On
ポリシー ストアはエントリを認識できるようになります。任意のリソースへのアクセス方法を URL で表現すると、次のようになります。
http://host/database.nsf/resource_name?Open
Domino サーバ リソースのルールの作成
ルールを作成するには、Notes データベースリソースのアクションについて考慮する必要があります。アクションが指定されていないリソースのデフォルトのアクションは ?Open になります。ポリシーに含まれるルールは、デフォルトのアクション ?Open、および ?Open と同等のアクション(?OpenDatabase、?OpenView、?OpenDocument、?OpenFrameset など)を考慮する必要があります。
Domino Web エージェントを使用すると、ポリシー管理者は、同一リソースを参照する多くのエイリアスに対して 1 つのルールを作成することができます。ルールを 1 つしか作成する必要がないのは、Domino エージェントは複数の Domino リソース表現を 1 つの URL に変換するためです。ポリシー用のルールを作成する際は、Domino エージェントのこの機能を考慮することが重要です。
レルムとルールは、管理 UI を使用して作成します。
注:
詳細については、ポリシー サーバ ドキュメントを参照してください。
db1.nsf という Notes データベースが存在する Domino サーバへのリンクであるサンプル URL があるとします。データベースには、2 つのファイルが含まれています。
- ページ 1 - aliases p1 および 85255e01
- ページ 2 - aliases p2 および 76444d03
例 1: 1 つのドキュメントとそのすべてのエイリアスの保護
ページ 1 およびそのすべてのエイリアスへのアクセスに対して、レルム db1.nsf にルールを 1 つのみ作成します。Domino エージェントは、異なるすべての命名規則を解釈して 1 つの標準 URL 形式に変換することができます。
レルムおよびルールについて、次の手順に従います。
- レルムの作成時に、ページ 1 が含まれているデータベースに以下のようにリソース フィルタを指定します。たとえば、データベース内のすべてのファイルを保護するには、以下のように設定します。Resource filter: /db1.nsf/ページ 1 に加えて、そのすべてのエイリアスを保護するには、以下のように設定します。Resource filter: /db1.nsf/page1
- ページ 1 の任意のアクションを保護するルールを作成するには、アスタリスク(*)を[ルールのプロパティ]ダイアログ ボックスの[リソース]フィールドに入力します。例:Resource: *このワイルド カード * は、ポリシーに結び付けられているユーザが、ページ 1 に対して ?Open、?EditDocument など任意のアクションを実行できることを表します。
例 2: 同一データベース内の異なるドキュメントの保護
ページ 1 のほかに db1.nsf データベース内の ページ 2 を保護するには、以下のような 2 番目のルールを作成する必要があります。
Resource Filter: /db1.nsf/page2
Resource: *
例 3: 同一リソースに対する異なるアクションの保護
あるリソースのアクションを別々に保護するには、たとえば、特定のユーザだけにアクション ?EditDocument を実行させ、その他のユーザにアクション ?ReadForm を実行させる場合は、各リソースのアクションごとに異なるルールを次のように定義する必要があります。
- ルール 1Resource Filter: /db1.nsf/page1Resource: ?OpenView
- ルール 2Resource Filter: /db1.nsf/page1Resource: ?EditDocument
また、次のように 1 つのルールを使用することもできます。
Resource Filter: /db1.nsf/page
Resource: ?Open*
注
: [リソース]フィールドでは、?Open の前にスラッシュ(/)を付けません。このリソースのエイリアスが存在する場合でも、このルール 1 つでオリジナルのページとそのすべてのエイリアスが保護されます。 アクションごとにルールを作成する代わりに、次のように 1 つのルールを指定して、すべてのアクションをカバーするワイルドカードを使用することもできます。
Resource filter: /db1.nsf/page
Resource: ?Open*
このルールを使用すると、次のようなリソースを保護することになります。
http://www.acme.com/db1.nsf/page*?Open*
注
: ルールをリテラルにするには、正規表現を記述してください。HTTP HOST リクエストを使用した正しいポートへのユーザのリダイレクト
一部のアプリケーションでは、実際の HTTP ヘッダを変更
せずに
トラフィックを特定の Web サーバにリダイレクトすることによって、負荷分散を実行します。ロード バランサによって使用されるポートではなく、適切な外部ポートにユーザをリダイレクトするには、GetPortFromHeaders
パラメータを有効にします。 このパラメータは Domino Web サーバの非フレームワーク エージェントに必須です。GetPortFromHeaders
は、Web サーバ サービス構造からポート番号を取得する代わりに、HTTP HOST リクエスト ヘッダからポート番号を取得するように Web エージェントに指示します。デフォルト
: NoDomino サーバによるユーザ認証
Single Sign-On
がすでにユーザの認証および許可を完了している場合でも、Domino サーバはユーザの認証および許可を行う必要があります。Single Sign-On
は Domino の認証プロセスと連携して Domino サーバにユーザ ID を提供します。この ID は、ユーザとその権限の一覧が保存された Domino ディレクトリ内にも設定されます。Domino サーバはこの ID を使って、ユーザの認証およびデータベース リソースへのアクセス許可を行います。注
: ユーザ名は明確に解決される必要があります。そうしないと、Domino エージェントで認証リクエストが拒否されます。その場合は、使用中のユーザ ディレクトリに調整を加える必要が生じることがあります。Domino エージェントは、ユーザ ID を次のいずれかとして、Domino サーバに提供します。
- スーパーユーザ
- 実ユーザ
- デフォルト ユーザ
Domino サーバとの通信時に Domino Web エージェントが使用する ID を決定するには、次のパラメータを設定します。
SkipDominoAuth
サーバ認証のために Domino サーバに渡す名前を指定します。
- DominoSuperUserDomino サーバ上のすべてのリソースにアクセスできるユーザを指定します。
- DominoDefaultUserNotes データベースに対するデフォルトのアクセス権を持つユーザを指定します。これは、そのユーザが一般的なアクセス権限を持っていることを意味します。
注
: DominoSuperUser と DominoDefaultUser は、ローカルのエージェント設定ファイルで設定することも、エージェント設定オブジェクトで一括設定することもできます。エージェント設定ファイル内では、これらの設定項目の値は暗号化されています。エージェント設定オブジェクト内では、それらの値を暗号化するか、プレーンテキストのままにするかを選択できます。Domino スーパー ユーザとしての認証
Domino スーパー ユーザは、Domino サーバ上のすべてのリソースにアクセスできるユーザです。Web サイトやポータルの設計で
Single Sign-On
の使用が考慮されている場合は、ポリシーを実装することによって、リソースおよびアプリケーションを保護します。その結果、Domino サーバが独自のセキュリティ機構を使ってユーザのアクセスを制限する必要性はなくなります。この場合、ユーザを Domino の認証目的ではスーパー ユーザとして識別することができます。ユーザをスーパー ユーザとして識別するには、SkipDominoAuth パラメータを有効化し、DominoSuperUser パラメータに値を指定します。このアクションにより、Domino ではなく
Single Sign-On
がユーザを認証するようになります。指定したユーザは、Domino ディレクトリ内にも存在している必要があります。実ユーザまたはデフォルト ユーザとしての認証
対象ユーザが Domino ディレクトリに定義されている場合は、Domino はそのユーザ名を使ってユーザ認証を行います。ただし、そのユーザが Domino ディレクトリに存在せず、
Single Sign-On
によって別のユーザ ディレクトリに対して認証済みである場合は、Domino Web エージェントは Domino サーバに対してそのユーザを DominoDefaultUser として識別します。デフォルト ユーザは Notes データベースに対するデフォルトのアクセス権を持ちます。つまりこのユーザは、ACL で設定されている Domino のディポジッタ、リーダ、作成者レベルのアクセス権などの一般アクセス権限を持つことになります。
Domino エージェントがこの値を使用するには、SkipDominoAuth パラメータに no を設定する必要があります。
Single Sign-On
によって保護する必要のない Notes データベースが存在することがあります。Single Sign-On
によって保護されないリソースは、デフォルトの Domino ユーザとして認証されません。代わりに、Domino サーバは(匿名アクセスが無効である場合)、ユーザに認証情報を求めるプロンプトを表示します。Domino デフォルト ユーザおよび Domino スーパー ユーザの変更
DominoDefaultUser および DominoSuperUser の各パラメータを変更するには、以下のいずれかを実行します。
- ローカルで設定する場合は、エージェント設定オブジェクト内でこれらのパラメータを変更します。DominoDefaultUser および DominoSuperUser の各設定は、エージェント設定オブジェクト内で変更できます。値を暗号化するか、プレーンテキストのままにするかを選択できます。注:詳細については、ポリシー サーバ ドキュメントを参照してください。
- encryptkey ツールを使用して、エージェント設定ファイル内のパラメータを変更します。エージェント設定ファイル内では、DominoDefaultUser および DominoSuperUser の各値を暗号化する必要があります。したがって、encryptkey ツールを使用して、これらの値を変更する必要があります。重要: エージェント設定ファイルの中で、これらの設定項目を直接編集することは避けてください。
Encryptkey の使用による Domino デフォルト ユーザまたは Domino スーパー ユーザの設定
エージェント設定ファイル内で DominoSuperUser または DominoDefaultUser の値を設定または変更するには、以下の手順に従います。
- 以下のいずれかを実行します。
- UNIX: Domino エージェントの bin ディレクトリに移動します。例:/$HOME/ca/siteminder/Web Agent/bin
- Windows: コマンド プロンプト ウィンドウを開き、Domino エージェントの Bin ディレクトリに移動します。例:C:\Program Files\ca\siteminder\Web Agent\Bin
- 以下の引数を指定して、encryptkey ツールを実行します。
- DominoSuperUser の場合:encryptkey -pathpath_to_Agent_config_file-dominoSuperUsernew_value
- DominoDefaultUser の場合:encryptkey -pathpath_to_Agent_config_file-dominoDefaultUsernew_value
例:encryptkey -path "c:\program files\ca\siteminder\Web Agent\Bin\Lotus Domino5\webagent.conf"-dominoSuperUser admin注: エージェント設定ファイルのパスには、webagent.conf などのファイル名を含める必要があります。また、パス内の任意の値にスペースが含まれている場合、パス全体を引用符で囲む必要があります。encryptkey ツールは、Web エージェント キットには含まれていません。Domino ユーザに役立つツールです。Domino ユーザはこのツールを扱って、ローカル設定用の暗号化された DominoSuperUser 値を生成することができます。このツールのダウンロードについては、サポートにお問い合わせください。
Single Sign-On
によるユーザ認証の強制Domino ではなく
Single Sign-On
でユーザの認証を行うようにするには、SkipDominoAuth パラメータを yes に設定します。SkipDominoAuth に yes が設定され、スーパーユーザが定義されていると、最初に
Single Sign-On
がユーザを識別して許可します。次に、Domino Web エージェントがそのユーザをスーパーユーザとして Domino サーバに通知します。そのユーザはスーパーユーザなので、適切な ACL が割り当てられていることを前提として、Domino サーバ上のすべてのリソースにアクセスできます。ユーザが Domino ディレクトリに保存されていない場合にも、SkipDominoAuth パラメータに yes を設定する必要があります。これは、許可権限に使用すべき ID が Domino 内に存在しないためです。
SkipDominoAuth を no に設定した場合、Domino は実ユーザ名またはデフォルト ユーザ名を使って独自にユーザを認証します。
以下の表は、SkipDominoAuth パラメータの設定がユーザの識別方法にどう影響するかを示しています。
SkipDominoAuth の値
| Domino サーバでの識別の種類
| 注記
|
yes | スーパーユーザ | スーパーユーザは Domino ディレクトリに定義されている必要があります。 |
no | 実ユーザ | ユーザは Domino ディレクトリに存在している必要があります。 |
no | デフォルト ユーザ | ユーザは Domino ディレクトリに存在している必要があります。 |
no | スーパーユーザ | 要求されたリソースは自動的に許可されます。つまり、このユーザには認証チャレンジは表示されません。 |
認証用の
Single Sign-On
ヘッダの使用DominoUseHeaderForLogin および DominoLookUpHeaderForLogin の各パラメータを使用して、Domino ユーザを認証することもできます。
- DominoUseHeaderForLoginヘッダの値を Domino Web サーバに渡すよう Domino Web エージェントに指示します。Domino サーバはそのヘッダのデータを使用して、自らのユーザ ディレクトリの中に存在しているユーザを識別します。このパラメータは、ヘッダ名と同じ値に設定します。たとえば、DominoUseHeaderForLogin="HTTP_SM_USER" と指定した場合、Web エージェントはユーザのログイン名を Domino サーバに渡します。
- DominoLookUpHeaderForLoginユーザがリソースへのアクセスを要求したときに、そのユーザが Domino ユーザ ディレクトリ内で一意か、またはあいまいかを、Domino Web サーバに問い合わせることを Domino Web エージェントに指示します。Jones という 1 人のユーザがリソースへのアクセスを試み、ユーザ ディレクトリ内に Jones というユーザが複数存在しているときに、このチェックは役立ちます。このパラメータが no に設定されている場合、Domino Web エージェントは Domino Web サーバに確認しません。デフォルト:Yes
Domino セッション認証の無効化
Single Sign-On
には、認証機能と許可機能が用意されているため、Domino のセッション認証機能は必要ありません。Web エージェントがインストールされている場合は、このセッション機能を無効にする必要があります。場合によって、Domino のセッション認証を有効にしておくと、ユーザ セッションが不正な動作を引き起こすことがあります。この動作の変化は、
Single Sign-On
対応サイトのセキュリティには影響しません。これは、Single Sign-On
と Domino のセッション管理ルールの共通点を反映しています。Domino での匿名 認証方式の使用
匿名 認証方式を Domino エージェントで使用するには、以下のパラメータを設定します。
DominoUserForAnonAuth
匿名ユーザに対する値を指定します。匿名
Single Sign-On
認証方式で保護されている Domino リソースにユーザがアクセスする際に、この値が Domino サーバに送信されます。デフォルト:
No (匿名認証方式を使用しない
)例
: anonymous(匿名認証方式の場合に使用)前のパラメータは、Domino で匿名の 認証方式を使用する場合のみ適用されます。他の認証方式またはサーバ タイプ用の値は変更
しないでください
。認証を目的とした Domino エージェントによる認証情報の収集
認証情報コレクタは、Web エージェント内にあるアプリケーションの 1 つで、フォーム、SSL、Windows の各認証方式、および複数の cookie ドメインへのシングル サインオンに関して、ユーザ認証情報を収集します。認証情報コレクタが収集する認証情報は、保護されたリソースからなる特定のグループに関して設定された認証方式のタイプを基礎としています。
Domino Web エージェントを認証情報コレクタとして機能させるには、エージェント設定ファイルの中でファイル拡張子として表現されているさまざまな MIME タイプを設定する必要があります。
認証情報コレクタは、一般的に自動認証されます。つまり、1 つのファイル拡張子をこれらのパラメータに追加した時点で、その拡張子はデフォルトで IgnoreExt パラメータの中に含まれます。Domino サーバは、これらの拡張子がついたファイルを含む URL を正しく処理することができません。そのため、Domino エージェントはそのようなファイルを無視する必要があります。
注:
詳細については、ポリシー サーバ ドキュメントを参照してください。URL 正規化の無効化
URL 正規化の目的は、URL を Domino の表現から一般的なブラウザで使用される URL 形式に変更することです。Domino Web エージェントは Domino Web サーバの API を利用して Domino の URL を正規化します。
正規化プロセスの際、Domino サーバの API は、正規化された URL に復帰文字(16 進数の 0x0D)または改行文字(16 進数の 0x0A)あるいはその両方を追加して URL を定期的に返します。これらの文字の追加は、特定の Notes データベース(.nsf)ファイルおよびこれらのファイル内のアクセス パターンに関連していると考えられます。
以下の例に、復帰文字が追加された正規化後の URL を示します。
- URL: http://server.ca.com:80/agentrunner.nsf/be68f4545348400461332?OpenView
- URL のマップ先: http://server.ca.com:80/agentrunner.nsf/AgentContext?OpenView
- URL の正規化: http://xxxxx.ca.com:port/agentrunner.nsf/0x0d/AgentContext?OpenView
必要に応じて、以下のパラメータを使用して、Domino リソース ID を含む URL が正規化されないようにすることができます。
DominoNormalizeUrls
Single Sign-On
Web エージェントが、Domino URL をフォーム認証情報コレクタにリダイレクトする前に、Domino URL を URL フレンドリ名に変換するかどうかを指定します。Domino の URL を変換するためには、MapUrlsForRedirect パラメータも yes に設定する必要があります。
DominoNormalizeUrls パラメータが no に設定されている場合、MapUrlsForRedirect パラメータが yes に設定されていても、URL は正規化
されません
。重要:
DominoNormalizeUrls パラメータを no に設定した場合、Notes データベース内の個々のドキュメントを保護することはできません。Domino Web サーバのデータベース全体またはサブディレクトリのみを保護することができます。デフォルト:
Yes正規化をオフにして URL が変更されないようにするには、DominoNormalizeUrls パラメータを no に設定します。
Lotus Notes ドキュメントへのアクセスの制御
Web エージェントでは、Domino 上の Lotus Notes ドキュメントの保護を詳細に制御することができます。この保護は、以下のパラメータで制御します。
DominoLegacyDocumentSupport
Web エージェントが Domino 環境内の保護されている Lotus Notes ドキュメントに対するユーザ要求を処理する方法を指定します。このパラメータを yes に設定すると、要求されたドキュメントに対してのみ、ユーザに ReadForm 許可が与えられます。
デフォルト:
NoNotes ドキュメントにアクセスしているときにユーザが要求したアクションを処理するように Web エージェントを設定するには、DominoLegacyDocumentSupport パラメータを使用します。この方法で、Domino の保護をより詳細に制御できます。
Notes ドキュメントには、個別の名前がありません。それらのドキュメントは、作成の際に使用されたフォームへの参照と共に、データベース内に保存されています。ユーザが何らかの Notes ドキュメントをリクエストした場合、Domino Web エージェントはそのリクエストを URL へ変換することにより、該当するフォームを見つけます。この URL の中に、Domino に対する元のアクションが含まれています。フォームが見つからない場合は、何も使用されません。
例:
"http://server.domain.com/db.nsf?OpenDocument"
?OpenDocument や ?EditDocument など、ユーザがこの URL で指定されているドキュメントに対して要求した Domino アクションを Web エージェントが実行するようにするには、DominoLegacyDocumentSupport パラメータを no に設定します。
たとえば、次のような URL へのリクエストが発生したとします。
http://www.dominoserver.com/names.nsf/934873094893898778578439588098203985798349?EditDocument
Domino エージェントは、上記の URL を、次のように変換します。
http://www.dominoserver.com/names.nsf/Person?EditDocument
Person は、どのドキュメントを作成する際に使用されたフォームの名前であり、元の URL の中では、NotesID によって指定されています。
Notes ドキュメントにアクセスする際に、4.6 より前の動作を実行するよう Domino Web エージェントに指示するには、このパラメータを yes に設定します。これは、?ReadForm アクションのみを許可することを意味します。レガシー ドキュメントサポートが有効になっている場合、Domino エージェントは上記の例の URL を、次のように変換します。
http://www.dominoserver.com/names.nsf/Person?ReadForm
Notes ドキュメント名の変換
ビューやフォームと異なり、Notes ドキュメントは名前を持ちません。Notes ドキュメントは、ドキュメント作成時に使用したフォームのリファレンスと共にデータベースに保存されます。ユーザがドキュメントにアクセスしようとしたときに、Domino Web エージェントがそのドキュメントを読み取り可能な名前に変換できなかった場合、エージェントはそのドキュメントを生成したフォームの名前を使って URL を作成します。ただし、この規則はドキュメントにのみ適用されます。元のフォームが存在しない場合、エージェントは埋め込まれたフォームを使用します。どちらも存在しない場合、Domino の識別子 $defaultForm によってドキュメントが保護されます。
たとえば、次のような URL を受信したとします。
http://www.domino.com/names.nsf/8567489d60034we50938450098?OpenDocument
この場合、エージェントは次の URL を使用します。
http://www.domino.com/names.nsf/Person?ReadForm
この例で、Person はドキュメントの名前です。
Domino エージェントの完全ログオフ サポートの設定
完全ログオフ機能では、以下のパラメータで作成するカスタム ログアウト ページが使用されます。
- LogOffUriカスタム Web ページの URI を指定して完全なログアウト機能を有効にします。ユーザが正常にログオフした後にこのカスタム Web ページが表示されます。ブラウザ キャッシュ内に格納できないようにこのページを設定します。設定しなかった場合、ブラウザは、ユーザをログ オフせずに、そのキャッシュからログアウト ページを表示する場合があります。この状況が発生すると、不正なユーザにセッションの支配権を握る機会を与える可能性があります。注:CookiePath パラメータが設定されているときは、LogOffUri パラメータの値が同じ cookie パスを指している必要があります。たとえば、CookiePath パラメータの値が example.com に設定されている場合、LogOffUri は example.com/logoff.html を指している必要があります。デフォルト:(Agent for SharePoint r12.0.3.0 を除くすべてのエージェント)デフォルトなし制限: 複数の URI が許可されています。完全修飾 URL は使用しないでください。相対URI を使用する必要があります。例:(Agent for SharePoint r12.0.3.0 を除くすべてのエージェント) /Web pages/logoff.html
以下の手順に従います。
- ユーザのログオフ用のカスタム HTTP アプリケーションを作成します。たとえば、ユーザを指定した URL にリダイレクトするための終了ボタンまたはサインオフ ボタンを追加します。
- ログアウト ページを Web ブラウザにキャッシュできないように設定します。この設定により、ページはブラウザのキャッシュではなく Web サーバから常に提供されるので、セキュリティが向上します。たとえば、HTML ページの場合は、ページに次のようなメタタグを追加します。< META HTTP-EQUIV="Pragma" CONTENT="no-cache"> < META HTTP-EQUIV="Expires" CONTENT="-1">重要:一部の Web ブラウザは、メタ タグをサポートしていません。代わりに、キャッシュ コントロール HTTP ヘッダを使用してください。
- 以下の手順で LogOffUri パラメータを設定します。
- 必要に応じて、ポンド記号(#)を削除します。
- ユーザをログオフするカスタム HTTP ファイルの URI を入力します。完全修飾 URL は使用しないでください。完全なログアウト機能が設定されます。
Domino Web エージェントと WebSphere Application Server の連動
Domino Web サーバは、リクエストが WebSphere サーバに転送される前に、それらのリクエストをインターセプトするフィルタ プラグインを提供することにより、WebSphere Application Server のフロント エンドとして動作します。
Domino サーバでの保護されていない リソースの認証の強制
Single Sign-On
によって保護しないリソースが Domino サーバ上にあるとします。それらのリソースも、代わりに Domino サーバで保護できます。これらのリソースを保護するには、以下のパラメータを設定します。UseDominoUserForUnprotected
Domino サーバ(
Single Sign-On
ではなく
)のみ
が保護するリソースに対して、Domino サーバが Domino ユーザによるリクエストを認証するかどうかを指定します。このパラメータの値が yes の場合、エージェントは Domino ユーザを Domino サーバへ渡します。Domino サーバはユーザを認証します。このパラメータの値が no の場合(またはパラメータが無効な場合)、エージェントは Domino ユーザを Domino サーバへ渡し
ません
。Domino サーバはユーザを認証しません。デフォルト:
無効以下の手順に従います。
- 前のパラメータを見つけます。
- パラメータの前の # (コメント)文字を削除します。
- パラメータの値を yes に変更します。