WebSphere Application Server で Lotus Domino を構成して、Lotus Domino を使用するための
セットアップを行います。Lightweight Third
Party Authentication (LTPA)。LTPA は、
WebSphere Application Server のデフォルトの認証メカニズムであり、
Lotus Domino でシングル・サインオン機能を構成する前に構成する必要があります。
LTPA の構成から得られる情報を使用して、Lotus Domino を構成します。
始める前に
Lightweight Third Party Authentication (LTPA) は
WebSphere Application Server のデフォルトの認証メカニズムです。
ただし、LTPA で認証メカニズムが現在構成されていない場合は、
Lotus Domino を使用したシングル・サインオン機能を構成する前に LTPA を構成する必要があります。
LTPA を構成するには、
「
セキュリティー」>「
管理、アプリケーション、およびインフラストラクチャーの保護」>
「
認証メカニズムおよび有効期限」とクリックします。加えて、Web セキュリティーのシングル・サインオン (SSO) も必須です。
詳しくは、
Web ユーザー認証を最小化するためのシングル・サインオンのインプリメントを参照してください。
Lotus Domino を使用したシングル・サインオンを構成するには、
LTPA 構成の情報 (Lightweight Third Party Authentication (LTPA) 鍵を含むファイルのパスおよび名前) が必要です。
WebSphere Application Server で LTPA 鍵を生成するために使用するパスワードと同じパスワードを使用します。
また、Web セキュリティーシングル・サインオン (SSO) 構成の、
Lotus Domino を使用したシングル・サインオンが有効になる、ドメイン・ネーム・サービス (DNS) 名が必要です。
このタスクについて
セッション・ベースの認証用のサーバー文書で新規のマルチ・サーバー・オプションを選択し、
Lotus Domino Directory 内にドメイン全体の構成文書を新規に作成する必要があります。
この構成文書は、Web シングル・サインオン (SSO) 構成文書と
呼ばれます。この Web SSO 構成文書は暗号化され、
ユーザー・クレデンシャルを認証するために使用される共有秘密鍵を含んでいます。
この構成文書は、シングル・サインオン・ドメインに参加しているすべての Lotus Domino Server に
複製する必要があります。
Lotus Domino Server に対してシングル・サインオンを構成するには、
以下のステップを実行します。
プロシージャー
- Lotus Notes Client 5.0.5 以降を使用して、Web SSO 構成文書を作成します。
- Lotus Domino Directory で「サーバー」ビューを選択します。
- 「Web」メニュー項目をクリックします。
- 「Create Web SSO Configuration」を選択して、構成文書を作成します。
- Web SSO 構成文書で、「鍵」メニューをクリックします。
- 「Import WebSphere LTPA Keys」を選択し、以前に
WebSphere Application Server が作成し、ファイルに保管した LTPA 鍵をインポートします。
- WebSphere Application Server 用の鍵を含むファイルの完
全修飾パス名を入力し、「OK」をクリックします。
- LTPA 鍵の生成に使用されたパスワードを入力します。
Web SSO 構成文書が自動的に更新され、インポートされたファイル内の情報が反映されます。
- この文書内の「トークンの有効時間」、「DNS ドメイン」、「Lotus Domino Server の名前」、および「LDAP レルム」の各フィールドに入力します。 これらのフィールドでは、グループおよびワイルドカードは使用できません。以下のリストに、これらのフィールドと期待されている値を示します。
- トークンの有効時間
- トークンが期限切れになるまでに存在できる分数を指定します。トークンは、非活動に基づいて期限切れになるわけではありません。トークンは、発行された時刻から、指定された分数の間のみ有効になります。
- DNS ドメイン
- 使用しているシステムの完全修飾インターネット名の DNS ドメイン部を指定します。これは必要フィールドです。
シングル・サインオンに参加しているすべてのサーバーは、
同じ DNS ドメインに存在している必要があります。この値は、使用している WebSphere Application Server 構成で指定されているドメイン値と同じである必要があります。
WebSphere Application Server は DNS ドメインを大文字小文字を区別して扱います。そのため、DNS ドメイン値が正確に同じように指定されていることを確認する必要があります。
- Lotus Domino Server の名前
- シングル・サインオンに参加させる Lotus Domino Server を指定します。
この Web SSO 構成文書は、その文書の作成者、「所有者」および「管理者」フィールドのメンバー、およびこのフィールドで指定されているサーバーに対して暗号化されます。これらのサーバーは、異なる Lotus Domino ドメインに存在していてもかまいません。ただし、これらのサーバーは同じ DNS ドメイン内に存在している必要があります。
完全修飾された Lotus Domino Server 名を指定する必要があります。例えば、MyDominoServer/MyOu を指定します。
このフィールドで指定する Lotus Domino Server の名前は、クライアントの Lotus Domino Directory 内の対応するサーバー接続文書の名前にも一致している必要があります。
- LDAP レルム
- Lightweight Directory Access Protocol (LDAP) サーバーの完全修飾 DNS ホスト名を指定します。このフィールドは、インポートされた LTPA 鍵ファイルで提供される情報から初期化されます。この値は、LDAP サーバーのポート値が WebSphere Application Server 管理ドメインに対して指定されている場合にのみ変更してください。
ポートが指定されている場合は、値に含まれているコロン文字 (:) の前にエスケープ文字 (¥) を挿入する必要があります。
例えば、myhost.mycompany.com:389
を myhost.mycompany.com¥:389 で置き換えます。
- Web SSO 構成文書を保管します。 この構成文書は、「Web Configurations」ビューに表示されます。
- サーバー文書を構成します。 シングル・サインオン用のサーバー文書を
更新するには、以下のステップを実行します。
- Lotus Domino Directory で「サーバー」ビューを選択します。
- Server 資料を編集します。
- 「ポート」>「Internet Ports」>「Web」タブを選択します。
- 「HTTP Authentication options」セクションで Web ユー
ザーに対する基本認証を使用可能にするには、「Name and password」を「
Yes」に設定します。
- 「インターネット プロトコル」>「Domino Web Engine」を選択します。
- 「セッション認証 (Session Authentication)」フィールドで「複数サーバー (SSO) (Multiple Servers (SSO))」を
選択し、Lotus Domino に対するシングル・サインオンを使用可能にします。
- 「セキュリティー」タブをクリックします。
- 認証にショート・ネームを使用できるよう、「Internet
Access」セクションの「Internet authentication」フィールドで「More
name variations with lower security」を選択します。
- サーバー文書を保管します。
- Lotus Domino 構成を終了します。 続行する前に、Web ユーザーが使用できるようにするための Lotus Domino Server の構成を終了します。残りの構成ステップは
シングル・サインオンに固有のものではないので、ここでは詳しくは
取り上げません。以下の残りの Lotus Domino の構成ステップについて詳しくは、Domino 5 Administration Help の「Security」トピックを参照してください。
- Lotus Domino Directory が使用されていない場合の LDAP ディレクトリーへのアクセスの構成
- Lotus Domino リソースに対する Web ユーザーの許可
- Lotus Domino のシングル・サインオン構成を検査します。
Lotus Domino のシングル・サインオン構成を検査するには、
Lotus Domino Server が正しく構成されていること、および以下のステップを実行して、
Lotus Domino リソースへのアクセスが Web ユーザーに許可されていることを確認します。
- Lotus Domino Server が正しく構成されていることを確認するには、Lotus Domino HTTP Web サーバーを停止してから再始動します。
シングル・サインオンが
正しく構成されている場合は、Lotus Domino Server コンソールに
以下のメッセージが表示されます。
HTTP: Successfully loaded Web SSO Configuration
シングル・サインオンが使用可能になっている Lotus Domino Server が Web SSO 構成文書を検出できない場合、
または「Domino Server 名 (Domino Server Names)」フィールドに Lotus Domino Server が含まれていないために
構成文書を暗号化解除できない場合は、Lotus Domino Server コンソールに
以下のメッセージが表示されます。
HTTP: Error Loading Web SSO configuration.
Reverting to single-server session authentication
- ユーザーが許可されていることを確認するには、Lotus Domino Directory などの Lotus Domino リソースにアクセスしてみます。
- ローカル許可を検証するには、Lotus Domino Directory で定義されているユーザーとして Lotus Domino リソースにアクセスしてみます。
- WebSphere Application Server ユーザーに対する許可を検査するには、LDAP ディレクトリー・サービスで定義されているユーザーとして Lotus Domino リソースにアクセスしてみます。
- オプション: 単一ドメイン内の追加の Lotus Domino Server を構成します。 複数の Lotus Domino Server で
シングル・サインオンを使用している場合は、追加のサーバーごとに以下のステップを実行します。
- 追加の各 Lotus Domino Server に、初期の Web SSO 構成文書を複製します。
- 追加の Lotus Domino Server ごとにそのサーバー文書を更新します。
- Lotus Domino HTTP Web サーバーをそれぞれ再始動します。
- オプション: 複数の Lotus Domino ドメイン内に Lotus Domino Server を構成します。
複数の Lotus Domino ドメイン内の Lotus Domino Server でシングル・サインオンを使用している場合は、Lotus Domino Server 間での
クロスドメイン認証をセットアップする必要もあります。例えば、2 つの Lotus Domino ドメインに、
X および Y という Lotus Domino Server があるとします。Lotus Domino Server がこれらのドメイン間で
シングル・サインオンを実行できるようにするには、以下のステップを実行します。
- Lotus Domino 管理者として、ドメイン X の Lotus Domino Directory から Web SSO 構成文書をコピーし、ドメイン Y の Lotus Domino Directory にその文書を貼り付ける必要があります。 Lotus Domino 管理者には、ドメイン X 内の Web SSO 構成文書の暗号化解除、およびドメイン Y の Lotus Domino Directory 内への文書作成に関連付けられている権限が必要です。
- 使用している Lotus Notes クライアントのロケーション・ホーム・サーバーが、ドメイン Y 内の Lotus Domino Server に設定されていることを確認します。
- ドメイン Y の Web SSO 構成文書を編集します。
- 「参加する Domino Server (Participating domino servers)」フィールドに、
シングル・サインオンに参加させるドメイン Y 内の Lotus Domino Server だけを、
サーバー文書と共に指定します。
- Web SSO 構成文書を保管します。 以上で、この構成文書は、ドメイン Y 内の参加している Lotus Domino Server に対して暗号化されます。これらのサーバーは、ドメイン X 内の Lotus Domino Server と同じ鍵情報を持ちます。この共用情報を使用することにより、ドメイン Y 内の Lotus Domino Server は、ドメイン X 内の Lotus Domino Server と共にシングル・サインオンを実行することができます。
結果
以下のステップを実行することにより、単一または複数の Lotus Domino Server に対して
シングル・サインオンを構成することができます。