IBM Lotus Mobile Connectを使用してIBM Lotus iNotesへのセキュアなリモート・アクセスを有効にする

IBM® Lotus® Mobile Connect のクライアントレス・オプションを IBM Lotus iNotes™ とともに使用して、企業イントラネットの境界外でのアクセスが必要なデバイス (ハンドヘルド、ラップトップ、ワークステーション) から、エンタープライズ iNotes サーバーにセキュアなリモート・アクセスを行う方法について説明します。(原文公開日 : 2008年10月14日、更新 : 2009年11月5日)

John Kari, Senior Software Engineer, IBM

John Kari is a Senior Software Engineer for IBM in Research Triangle Park, North Carolina. He has more than 17 years' experience and is currently the chief Lotus Mobile Connect gateway development programmer. John has extensive customer interface experience, from both a pre- and post-sales perspective, has a deep understanding of enterprise security in general, and is the expert on Lotus Mobile Connect's clientless capabilities.



2010年 4月 02日

はじめに

この記事は、企業イントラネットの境界外でのアクセスが必要なデバイス (携帯情報端末 (PDA)、ラップトップ、ワークステーション) から、エンタープライズ Lotus iNotes サーバーへのセキュアなリモート・アクセスを行いたい IBM Lotus iNotes のお客様を対象としています。Lotus Mobile Connect では、このようなアクセスを 2 つの方法で実現することができます。

Lotus Mobile Connect は、サポートされているさまざまなユーザー・プラットフォームにインストールされた Lotus Mobile Connect クライアントに対し、クライアント/サーバー・ベースのフル機能の仮想プライベート・ネットワーク (VPN) ソリューションを提供します。また、HTTP ベースのアプリケーション (たとえば、Lotus iNotes) に対しては、ユーザー・デバイスへの追加ソフトウェアのインストールを必要としないクライアントレス・オプションを用意していて、ブラウザー・ベースのログオンを通じてセキュアな認証を可能にします (図 1 参照)。

この記事では、Lotus Mobile Connect のクライアントレス・オプションが、Lotus iNotes とともにどのように使用されるのかを説明します。

図 1. Lotus Mobile Connect のクライアントレス・オプションと Lotus iNotes
Lotus Mobile Connect のクライアントレス・オプションと Lotus iNotes

なぜ Lotus Mobile Connect なのか

Lotus Mobile Connect は、最新の SSL (secure sockets layer) / TLS (transport-level security) 暗号および業界標準の認証メカニズムを含む、連邦情報処理標準 (FIPS) 140-2 認定プラットフォームを提供します。Lotus Mobile Connect クライアントレス・オプション、つまり Lotus Mobile Connect HTTP アクセス・サービスは、フル VPN クライアントと同等の強力な認証および暗号化アルゴリズムを使用します。HTTP アクセス・サービスはフル VPN セッションと同時に実行するよう構成することが可能で、小さいフットプリントで多機能のリモート・アクセス・ソリューションが得られ、IT 管理者はユーザーごとにアクセスの帯域幅を制御できます。

Lotus Mobile Connect の管理コンソールである Gatekeeper により、すべての構成オプションにアクセスできるだけでなく、暗号、認証方式、セキュリティー制限、および 企業内の目的のサーバーへの完全な制御が得られます。

どのように機能するのか

Lotus Mobile Connect HTTP アクセス・サービスは、業界標準の SSL/TLS テクノロジーを使用した接続をHTTP ベースのリモート・アプリケーションに強制することにより、通信をセキュアにします。SSL/TLS 暗号は構成可能で、FIPS 140-2 認定アルゴリズムに限定できます。双方向の証明書検証も利用することができ、信頼用のレイヤーがセッションに追加されます。

セキュアな通信が確立された後、Connection Manager はフォーム・ベースのチャレンジをリモート・アプリケーションに送り、ユーザー認証情報を要求します。認証情報は x-www-url-encoded であり、セキュアな接続上で HTTP POST オペレーションを使用して送信されます。HTTP アクセス・サービスはこの情報をデコードし、構成可能な認証方式を使用して検証します。

検証に成功すると、HTTP アクセス・サービスはトークンを構築し、HTTP Set-Cookie オペレーション・モデルを使用してリモート・アプリケーションに送信します。Cookie には Lotus Mobile Connect 固有の暗号化されたトークンが含まれていて、セキュア・ビットとセッション・ビットがオンになっています。これにより、リモート・クライアントは、以降のすべての接続要求に、このトークンを持った Cookie を含めることが求められます。

HTTP フローにトークンが含まれていると、HTTP アクセス・サービスはエンタープライズ・ホストへの接続を開き、SSL/TLS ゲートウェイのようにトラフィックを双方向にリレーします。

対応していないこと

Lotus Mobile Connect Connection Manager のクライアントレス・サポートは HTTP プロキシーではありません。どのコンテンツもキャッシュせず、HTTP データ・フローのボディに含まれる他の情報も保存しません。また、最適化、圧縮、トークンの削除を行うプログラムでもなく、ブラウザーのキャッシュを消去することもできません。セキュアなセッション Cookie が使用されているため、ユーザーは、アプリケーション・セッションの終了時に必ずブラウザー・セッションを終了する必要があります。


なぜ Lotus iNotes なのか

Lotus iNotes は、標準 Web ブラウザーから Lotus Notes メールおよび PIM (personal information management) 情報へのアクセスを可能にする Web ベースのアプリケーションです。ブラウザーは主なトランスポートとして HTTP を使用するため、このアプリケーションは Lotus Mobile Connect のクライアントレス・オプションを活用し、サポートされているブラウザーからインターネット・アクセスを介して、企業イントラネット内に位置するメール・データベースへのアクセスを得ることができます。

Lotus iNotes は以前 IBM Lotus Domino® Web Access と呼ばれていて、3 つの異なる使用モデルをサポートしています。フル・モードは最も豊富な機能セットを持ち、帯域幅 を気にしない状況で使用することが想定されています。メール・サーバーへの高速なネットワーク接続を持つ専用ワークステーションでは、このモードが推奨されます。バージョン 8.0.1 よりも前のリリースの Lotus Domino では、モードはフル・モードだけでした。フル・モードには、次に示す主な機能エリアがあります。

  • Welcome ページ (カスタマイズ可能なホーム・ページ)
  • メール
  • カレンダー
  • 連絡先
  • タスク
  • ノートブック

Lotus iNotes は Lotus Notes 形式の暗号化と S/MIME 暗号化のどちらもサポートし、特定のブラウザーでキャッシュの消去機能をサポートします。Lotus iNotesを Lotus Sametime® サーバーとともに使用すると、統合されたインスタント・メッセージングと在席確認を 利用できます。また、Lotus iNotes は、Lotus Domino Off-Line Services (DOLS) を使用して、ほぼフル機能のオフライン機能とローカル・アーカイブも提供します。さらに、Lotus Domino ユニファイド・コミュニケーション製品とともに Lotus iNotes をデプロイすると、さまざまなユニファイド・コミュニケーション機能 を活用できます。

Lotus Domino 8.0.1 で登場したライト・モードは機能を削減したバージョンで、帯域幅に制限のある環境用に最適化されています。初期リリースでは、メール機能と、サイドバーを用いたカレンダー・データへの制限付きアクセスだけがサポートされています。フル・モードと同様に、ライト・モードも最新の AJAX (Asynchronous JavaScript™ and XML) 技術を活用したリッチ・ユーザー・エクスペリエンスをもたらします。ユーザー・インターフェース (UI) は、Lotus Notes リッチ・クライアント製品とのさらなる整合性を維持しています。

ウルトラ・ライト・モードは Lotus Domino 8.0.2 で導入され、帯域幅の狭い最新のモバイル・デバイスでのブラウザー用に設計されています。初期リリースでは、Apple iPhone デバイスと iPod Touch デバイスがサポートされています。UI は、Apple の iPhone アプリケーション用の推奨ガイドラインに完全に適合しています。ウルトラ・ライト・モードは最小量のスクリプトを活用し、スクリプトが無効のブラウザーで機能するよう設計されています。


アーキテクチャー

関連する 2 つの製品コンポーネントである Lotus Mobile Connect と Lotus iNotesのアーキテクチャーについて調べてみましょう。

Lotus Mobile Connect HTTP アクセス・サービス

Connection Manager HTTP アクセス・サービスは、任意の HTTP バージョン 1.1 クライアントのデータ・ストリーム (Web ブラウザーなど) からの HTTP 通信のために、SSL/TLS ゲートウェイ機能を提供します。この接続により、VPN クライアントの存在を必要とせずに、 企業内の Web ベースのサービスおよびコンテンツへのアクセスを 提供します。SSL/TLS の使用によってセッションがセキュアになり、指定されたホストまたはアドレス範囲からの接続だけを許可するよう制限できます。

HTTP アクセス・サービスは Lotus Mobile Connect 内のサブシステムで、すべての接続要求とデータ・トラフィックに一連の構成オプションを適用する役割を担っています。このサブシステムの役割としては、セキュリティーの実施、アクセスの検証、監査情報の生成、および企業内に置かれた目的のサーバーへのトラフィックのリレーが挙げられます。

SSL/TLS

Connection Manager の HTTP アクセス・サービスは、ブラウザーやクライアント・アプリケーションとの通信時に SSL または TLS を使用します。SSL プロトコルのバージョン 2 とバージョン 3、および次のアルゴリズムがサポートされています。

  • 公開鍵アルゴリズム
    • RSA (1024、768、または 512 ビット鍵)
  • 対称鍵アルゴリズム
    • DES (56 ビット鍵)
    • Triple DES (168 ビット鍵)
    • RC4 (40、56、または 128 ビット鍵)
  • メッセージ認証コード
    • SHA-1
    • MD5

X.509 証明書は、SSL/TLS 通信用の認証に用いることができます。これらの証明書は、第三者の証明書を検証するルート証明書とともに、Connection Manager と一緒にインストールされた鍵データベースに格納されています。Connection Manager の管理者は Gatekeeper 管理コンソールを使用して、このデータベースのソースを構成できます。また、管理者は SSL ツールキットである IBM Key Management の管理インターフェースを使用して、 好きなルート証明書およびクライアント・サイドの証明書も構成できます。

Lotus Mobile Connect は、SSL/TLS 暗号を FIPS 140-2 認定済みに限定することをサポートし、SSL/TLS バージョン 2 暗号だけをサポートする接続要求の拒否にも対応しています。

認証

HTTP アクセス・サービスは、データ・ストリーム 中の有効なユーザー認証情報をチェックすることにより、それぞれのセキュア HTTP 接続を認証します。有効な認証情報が存在しない場合は、構成可能なフォーム・ベースのチャレンジを発行し、有効なユーザー ID とパスワードを要求します。この機能は、Lotus Mobile Connect のすべてのコンポーネントで利用可能な認証の方式およびアルゴリズムを使用します。

認証方式は、Lotus Mobile Connect がどのような方法でチャレンジを行い、リモート・ユーザー認証情報を検証するのかを定義するリソース・コンテナーです。Lotus Mobile Connect は、認証情報の検証として次の方式をサポートしています。

  • LDAP V3 準拠のディレクトリー・サーバー
  • RADIUS プロトコル・サーバー
  • RSA Secure ID (next-token のサポートを含む)
  • X.509 証明書交換
  • Lotus Mobile Connect システム・ユーザー・アカウント

認証方式の詳細については、Lotus Mobile Connect Information Center の「管理者ガイド」を参照してください。

シングル・サインオン (SSO)

HTTP アクセス・サービスは、LTPA (Lightweight Third Party Authentication) を通じて SSO を有効にすることができます。LTPA は、ユーザーが Connection Manager との認証に成功したときに生成されるトークンにユーザーの認証情報を格納するメカニズム を提供します。トークンは、パスワードと公開鍵/秘密鍵のペアを使用して暗号化および署名され、HTTP Cookie に格納された状態で、構成済みの SSO ドメインへのすべての要求に含められます。

LTPA 鍵は同一ドメイン内の他の LTPA 対応サーバーと共有されるため、サーバーはユーザーに対してチャレンジを実行する代わりに、トークンを検証し、ユーザー要求を認証できます。LTPA トークンには構成可能な有効期限のタイム・スタンプが含まれていて、期限が切れると、新しい認証チャレンジが発行されます。

LTPA トークンは Lotus Mobile Connect 固有のトークンの代わりに使用され、Set-Cookie ディレクティブを使用して、HTTP Cookie の形式で HTTP クライアント・アプリケーションに送信されます。HTTP クライアントは、以降のすべての HTTP 要求にこのトークンを含めます。

HTTP アクセス・サービス・リソース

HTTP アクセス・サービス・リソースには、ユーザーの認証方法とバックエンド・サーバーへのトラフィックのリレー先をLotus Mobile Connect に指示する情報が含まれています。各 HTTP アクセス・サービス・リソースは、単一のアプリケーション・サーバーまたはプロキシーにトラフィックを送信できます。複数のバックエンド・アプリケーション・サーバーへのアクセスを構成するには、次の 3 つの方法があります。

  • Lotus iNotes Redirector。Lotus Mobile Connect は Lotus iNotes Redirector と緊密に統合されていて、単一の HTTP アクセス・サービス定義を、バックエンドの複数の Lotus iNotes メール・サーバーとともに機能させることができます。
  • トランスコーディング・リバース・プロキシーの使用。この方法を用いると、ターゲット URL に含まれる情報に基づいて、リバース・プロキシーがトラフィックを適切な宛先にルーティングすることができます。
  • 各 HTTP アクセス・サービス・リソース定義で異なる listen ポートの割り当て。各 HTTP アクセス・サービス・リソースは、異なるバックエンド・サーバーまたはプロキシーにトラフィックを送信するよう構成できるため、各サービスが異なるポートを listen するように構成します。ユーザーはこのポートを認識して URL 要求に追加する必要があります。たとえば、「https://inotes.xyz.com:12345」のようにします。
  • 複数のインターネット・プロトコル・アドレスの使用。HTTP アクセス・サービスの構成には、サービスを特定の IP アドレスにバインドする機能があります。この方法を用いると、複数の HTTP アクセス・サービス・リソースが同じポートのセットを listen することが可能です。この方法は、標準 HTTP ポートの 80 および 443 を使用することになっているアプリケーションに必要です。ユーザーへの URL は、たとえば https://inotes1.example.com、https://inotes2.example.com のように、単純に異なるホスト名に見えます。

構成可能なフォーム・ベースのチャレンジ

Lotus Mobile Connect は、ブラウザーのタイプと優先するロケールを決定するために、HTTP ヘッダー内のトークンを分析した後、チャレンジ・フォームを生成します (図 2 参照)。このフォームに使用されるテンプレート・ファイルは、製品とともにロケール固有のサブディレクトリーにインストールされています。これらのテンプレートは、基本的な属性構造と機能は変更不可という条件で、カスタマイズできるように設計されています。

図 2. フォーム・ベースのチャレンジの画面
フォーム・ベースのチャレンジの画面

管理者は、背景、イメージ、テキストなどを自由に変えられます。リソース・ファイルは、インストール・パス外にあるロケール固有のサブディレクトリー (以下を参照) に保存されています。

  • AIX: /opt/IBM/ConnectionManager/http/msg/<locale>/
  • Linux / Solaris: /opt/ibm/ConnectionManager/http/msg/<locale>/
  • Windows Server: C:\Program Files\IBM\Connection Manager\http\msg\<locale>ブラウザーに送られるリソース・ファイルには「standard_」という接頭辞が付けられ、モバイル・デバイス向けのリソース・ファイルには「mobile_」という接頭辞が付けられます。これらのファイルはオンデマンドでロードされ、サーバーを再起動しなくても、次回のアクセス時にすべての変更が表示されます。チャレンジ・フォームのモバイル・バージョンは、iPhone/iPod での表示用に設計されています (図 3 参照)。
図 3. モバイル・バージョンのチャレンジ画面
モバイル・バージョンのチャレンジ画面

ユーザーがユーザー ID とパスワードを入力し、「ログイン」ボタンをクリックすると、ブラウザーは URL エンコードされた POST オペレーションを生成します。これには、入力されたフィールドおよびセッションに関する情報を持つ隠しフィールドが含まれています。

HTTP ベースのアプリケーションは、ページをユーザーに表示せずに、チャレンジに応答することが可能です。HTTP ヘッダーでサーバー・トークンを問い合わせることにより、Lotus Mobile Connect のチャレンジを固有に識別できます。

Lotus iNotes

カスタム・インストールの実行時に Lotus iNotes オプションを選択解除しない限り、Lotus iNotes は Lotus Domino サーバー・インストールの一部としてインストールされます。Lotus iNotes のインストールおよび構成の詳細については、「Lotus Domino Administrator ヘルプ」を参照してください。


構成

HTTP アクセス・サービスを使用して Lotus iNotes へのアクセスを有効にするには、両方のコンポーネントについてアーキテクチャー上の決定および構成手順が必要です。このセクションでは、各コンポーネントのオプションと要件について説明します。

Lotus iNotes

Lotus Mobile Connect によってアクセスされる Lotus iNotes サーバーごとに、Lotus Mobile Connect HTTP アクセス・サービスを正しく設定するために、内部ネットワーク・アドレスまたはホスト名、および TCP ポートが必要です。Lotus iNotes と Lotus Mobile Connect サーバー間に暗号化されたパイプが必要な場合は、各Lotus iNotes サーバー に、PKCS12 形式の証明書を Lotus Mobile Connect 用の鍵データベースにインポートしなければなりません。

Lotus Mobile Connect

Lotus Mobile Connect の構成には、認証方式のセットアップと、HTTP アクセス・サービス・リソースの 1 つ以上のインスタンスの定義が含まれます。このセクションでは、Lotus Mobile Connect 管理コンソールのGatekeeper から取得した画面を紹介します。

サンプル・アーキテクチャーについて考えましょう。このアーキテクチャーには、Lotus Domino LDAP ディレクトリー・サーバーに対してユーザーを認証し、認証済みトラフィックを Lotus iNotes Redirector ノードにリレーするよう構成された単一の HTTP アクセス・サービスが含まれています。

以下の手順は、Lotus Mobile Connect Gatekeeper 管理インターフェースを使用することを前提としています。

ディレクトリー・サーバー・リソース

まず、以下の手順に従って、ディレクトリー・サーバー・リソースを作成します。

  1. 最上位のフォルダーを右クリックするか、構成情報を含める新規フォルダーを作成し、「リソースの追加」->「ディレクトリー・サーバー」を選択します。
  2. 「ディレクトリー・サーバーの追加」ウィンドウで (図 4 参照)、共通名 (リソースを説明するフリー・フォームのテキスト) を入力します。
  3. ディレクトリー・サーバーのホスト名または IP アドレスを入力します。
  4. 基本識別名を入力します。基本識別名は、すべてのユーザーに共通する最も具体的な接尾辞です。これは、ユーザー・アカウントを解決するときの、ディレクトリー・ツリーにおける開始点となります。「次へ」をクリックします。

    図 4. 「ディレクトリー・サーバーの追加」ウィンドウ
    「ディレクトリー・サーバーの追加」ウィンドウ
  5. 次の画面で (図 5 参照)、サービスのポート番号を入力します。
  6. 匿名の検索を許可しない場合は、管理者の識別名とパスワードを入力します。
  7. ディレクトリー・サーバーにセキュアな接続が必要な場合は、「セキュア接続の使用」オプションを有効にして、鍵データベースと stash ファイルを入力します。ディレクトリー・サーバーが自己署名証明書を使用している場合は、その証明書を鍵データベースにインポートする必要があります。
  8. 「次へ」をクリックします。「1 次組織単位 (OU)」を選択し、「終了」をクリックします。

    図 5. 2 番目の「ディレクトリー・サーバーの追加」ウィンドウ
    2 番目の「ディレクトリー・サーバーの追加」ウィンドウ

認証プロファイル・リソース

次のステップは認証プロファイルの定義です。これには、前のステップからのディレクトリー・サーバー・リソースを使用します。認証プロファイルは、HTTP アクセス・サービスがユーザー認証情報のチャレンジおよび検証を行う方法を定義するコンテナーです。

Lotus Mobile Connect は、LDAP、RADIUS/RSA Secure ID、双方向の証明書検証、およびシステム固有の認証方式をサポートしています。この例では、Lotus Domino ディレクトリー・サーバーに対する LDAP 認証を使用します。

  1. 再び「システム」コンテナーを右クリックします。今度は「リソースの追加」->「認証プロファイル」->「LDAP バインド認証」を選択します。
  2. 「新規認証プロファイルの追加」ウィンドウで (図 6 参照)、共通名とオプションの説明 (プロファイルを説明するフリー・フォームのテキスト) を入力します。
  3. 「パスワード・ポリシー」を選択します。このポリシーを使用して、アカウントがロックされるまでに許されるログイン試行の失敗の回数が決められます。パスワード・ポリシーを表示または編集するには、「デフォルト・リソース」->「無線パスワード・ポリシー」コンテナーを参照してください。
  4. (省略可能) このプロファイルが外部サーバーへの接続に失敗したときに使用される「認証プロファイルのバックアップ」を選択します。「次へ」をクリックします。

    図 6. 「新規認証プロファイルの追加」ウィンドウ
    「新規認証プロファイルの追加」ウィンドウ
  5. 表示される次のウィンドウで (図 7 参照)、前の手順で定義したディレクトリー・サーバーを選択します。
  6. 「ユーザー鍵フィールド」には属性を指定します。Lotus Mobile Connect はこの属性を使用して、ディレクトリー・サーバーで、認証情報のチャレンジによって得られたユーザー ID を検索します。デフォルトは「mail」ですが、LDAP のユーザー・レコードの一部である任意の属性に設定できます。

    図 7. 2 番目の「新規認証プロファイルの追加」ウィンドウ
    2 番目の「新規認証プロファイルの追加」ウィンドウ
  7. (省略可能) 「追加の検索基準」を入力します。たとえば、アクセスを特定のグループまたは従業員の種類に制限したい場合は、グループ情報や従業員の種類を入力します。このフィールドは、X.500 表記で入力する必要があります。たとえば、「(&(employeeType=active)(group=remoteAccess))」と入力します。
  8. 「処理スレッドの最大数」を設定します。アクティブな各セッションは、処理のために1つのスレッドに割り当てられます。割り当てられたスレッドは、クライアント・ブラウザーとバックエンドのアプリケーション・サーバー間のすべてのデータ交換を行う役割を持ちます。最適のスレッド数を得るには多少の試行錯誤が必要ですが、経験法則として 100 個の同時セッションごとに 1 つのスレッドにするとよいでしょう。「次へ」をクリックします。
  9. 次のウィンドウで (図 8 参照)、シングル・サインオン (SSO) が必要な場合は、「LTPA を使用可能にする」オプションを選択します。SSO の構成を完了させるために必要な手順については後述します。現在、この設定はチェック・マークを外した状態で残しておくことができます。「次へ」をクリックします。

    図 8. 3 番目の「新規認証プロファイルの追加」ウィンドウ
    3 番目の「新規認証プロファイルの追加」ウィンドウ
  10. 次のウィンドウで、「1 次組織単位 (OU)」を選択し、「終了」をクリックします。

リソースの作成後、追加の構成オプション を「プロパティー」パネルに表示さ せることが できます。これらのオプションの詳細については、システム管理者ガイドを参照するか、プロパティー・パネルで「特定のオプションに関するヒント」を選択して表示される情報を参照してください。

HTTP アクセス・サービス・リソース

次に、HTTP アクセス・サービス・リソースを作成する必要があります。HTTP アクセス・サービスは、認証済みのトラフィックを単一のバックエンドのアプリケーション・サーバーまたはプロキシーにリレーするよう設計されています。バックエンドのアプリケーション・サーバーが複数ある場合は、複数の HTTP アクセス・サービス定義が必要です。

Lotus iNotes の場合は、iNotes Redirector 機能とともに動作する統合コードが Lotus Mobile Connect に含まれていて、単一の HTTP アクセス・サービスが複数の Lotus iNotes メール・サーバーにトラフィックをリレーできます。

HTTP アクセス・サービスには、通信をセキュアにするために公開証明書が必要です。Lotus Mobile Connect には、鍵データベースとともに機能するユーティリティーが含まれています。このユーティリティーにより、指定されたマシン名の証明書の要求に使用される CRM (Certificate Request Message) が生成され、自己署名証明書が生成されます。このユーティリティーは wg_keyman で、インストール・ディレクトリー下の bin サブディレクトリーにあります。

以下の手順に従って、HTTP アクセス・サービス要求を追加します。

  1. HTTP アクセス・サービス・リソースを追加するために、Connection Manager リソースを右クリックし、「追加」->「HTTP アクセス・サービス」を選択します。図 9 に示すウィンドウが表示されます。

    図 9. HTTP アクセス・サービスの追加
    HTTP アクセス・サービスの追加
    • 「サービス URL」フィールドで、接続をセキュアにするために使用される証明書を含む URL に一致するテキスト・ストリングを入力します。
    • 「listen する TCP ポート」フィールドに、サービスがアクセス要求を listen する TCP ポートを入力します。初期値は、SSL デフォルトの 443 です。
    • 「説明」フィールドに、サービスを説明するフリー・フォームのテキストを入力します。
    • 「現在の状態」フィールドで、サービスの状態を選択します。「アクティブ」は Connection Manager がサービスを有効にすることを意味し、「定義済み」はダウンしている状態と同等です。この場合、Connection Manager はサービスを開始せず、サービスはアクセス不能になります。
  2. 「次へ」をクリックします。図 10 に示すウィンドウが表示されます。

    図 10. HTTP アクセス・サービスのオペレーション・モードの指定
    HTTP アクセス・サービスのオペレーション・モードの指定
    • 「HTTP プロキシー・アドレス」フィールドで、認証済みトラフィックを転送するリバース・プロキシーまたはアプリケーション・サーバーのホスト名または IP アドレスを入力します。
    • 「HTTP プロキシー・ポート」フィールドで、認証済みトラフィックを転送する TCP ポート・プロキシーまたはアプリケーション・サーバーを入力します。
    • Lotus Mobile Connect サーバーとプロキシーまたはアプリケーション・サーバー間の SSL/TLS を要求する場合、「プロキシー用の SSL の要求」オプションを選択します。
    • 「認証プロファイル」フィールドで、リモート・ユーザー認証情報の検証に使用する認証方式を入力します。
    • 「SSO ドメイン」オプションを設定すると、認証方式で設定されている値がこの値によってオーバーライドされます。このオプションを設定しない場合は、認証方式のプロパティーが使用されます。
  3. 「次へ」をクリックします。図 11 に示すウィンドウが表示されます。

    図 11. スレッドの最大数およびアイドル・タイムの指定
    スレッドの最大数およびアイドル・タイムの指定
  4. 「処理スレッドの最大数」フィールドで、同時に処理するスレッドの数を入力します。この値を設定するときは、同時セッション数とプロセッサー数を考慮します。2 プロセッサー・システムで、同時セッション数が 1000 の場合の推奨値は 5 です。
  5. 「最長アイドル時間」フィールドで、Connection Manager がセッションの認証トークンを消去してクライアントに再認証を強制するまでに、セッションがアイドル状態でいられる最長時間を入力します。
  6. サービスを特定のインターネット・アドレスにバインドするよう構成するために、「特定アドレスへのポートのバインド」オプションを選択します。このバインドにより、複数の HTTP アクセス・サービス・リソースが同じポートで listen するよう構成することができ、最初に要求したインターネット・アドレスに基づいて異なるバックエンド・サーバーに振り分けることができます。IP エイリアスを使用すると、複数のアドレスを単一のネットワーク・インターフェースに割り当てられます。
  7. 「バインド先アドレス」フィールドに、サービスのバインド先のインターネット・アドレスまたはホスト名を入力します。

証明書を使用して HTTP アクセス・サービスをセキュアにする

HTTP アクセス・サービス上の通信をセキュアにするには、SSL (Secure Sockets Layer) / TLS (Transport Layer Security) を使用します。これには、外部から参照されるホスト名の証明書を CMS (Cryptographic Message Syntax) 鍵データベース・ファイルに格納する必要があります。

Lotus Mobile Connect には、鍵データベース・ファイルを管理するユーティリティー wg_ikeyman が含まれています。このユーティリティーによって、認証局から公開証明書を取得するために、自己署名証明書および CRM が生成されます。

自己署名証明書を使うこともできますが、最初に HTTP アクセス・サービスに接続するときに、ユーザーが証明書を受け入れてインポートする必要があります。このため、有効な公開証明書を使用することが推奨されています。自己署名証明書を生成するには、次の手順に従います。

  1. コマンド・ラインで「enter wg_ikeyman」と入力します。
  2. 新しい鍵データベース・ファイルを使用するか、Lotus Mobile Connect によってインストールされた鍵データベース・ファイルの 1 つを使用します。

    • 既存のファイルを使用するには、「鍵データベース・ファイル」->「開く」を選択します。鍵データベースの種類を「CMS」に設定し、「参照」ボタンをクリックします。Lotus Mobile Connect のインストール・ディレクトリーを参照し、http.trusted.kdb ファイルを選択します。
    • 新しい鍵データベース・ファイルを作成する場合は、「パスワードをstashファイルに格納」オプションを必ず選択してください。
  3. パスワードを入力します。デフォルトは「trusted」です。
  4. 自己署名証明書を作成するには、「作成」->「新規自己署名証明書」を選択します。少なくとも、鍵ラベルと共通名を入力します。共通名は、Lotus Mobile Connect サーバーの完全修飾外部ホスト名に一致する必要があります。
  5. 「OK」をクリックし、IBM Key Management アプリケーションを終了します。
  6. Gatekeeper を使用して HTTP アクセス・サービスのプロパティー・パネルを起動します。「SSL」タブを選択し、「鍵データベースのファイル名」フィールドと「stash パスワードのファイル名」フィールドが正しく設定されていることを確認します。可能であればフルパスを使用します。
  7. (省略可能) 「SSL 暗号」タブを選択し、適切な暗号を選択します。デフォルトの設定では、すべての V2 および V3 暗号が許可されています。「OK」をクリックします。

シングル・サインオン (SSO)

Lotus Mobile Connect および Lotus iNotes に SSO を有効にするには、Lotus Mobile Connect によって共通の鍵ファイルを生成し、Lotus iNotes リダイレクターおよびメール・サーバー・ノードによってそのファイルをインポートする必要があります。

Lotus Mobile Connect での SSO の構成/有効化

Lotus Mobile Connect の SSO を有効にするには、Gatekeeper を使用し、HTTP アクセス・サービスによって使用される認証方式にナビゲートし、「プロパティー」パネルで「LTPA/SSO」タブを以下のように変更します (図 12 参照)。

  1. 「LTPA を使用可能にする」チェック・ボックスを選択します。
  2. LTPA トークンのレルム/ドメインを入力します。一般に、この値には、認証に使用する LDAP または RADIUS サーバーの完全修飾ホスト名を設定します。
  3. 「LTPA トークン・ユーザー ID フィールド」を選択します。LDAP に対して認証する場合は識別名(DN)を使用し、RADIUS または Secure ID には uid を使用します。
  4. 「SSO を使用可能にする」チェック・ボックスを選択し、SSO ドメインを設定します。SSO ドメインは、いつ LTPA トークンを Cookie としてHTTP ヘッダー・フローに含めるのかをブラウザーに通知するために使用されます。

    HTTP アクセス・サービスの場合、この値には、ブラウザーから HTTP アクセス・サービスにアクセスするときに使用される完全修飾外部ホスト名を設定する必要があります。複数のホスト名が使用されている場合は、この値に外部ドメインを設定できます。この値は HTTP アクセス・サービス定義で設定することも可能です。ただし、その値によって、認証プロファイルで設定した値がオーバーライドされます。

  5. 「SSL 接続を介した SSO のみを使用可能にする」を選択します。LTPA トークンは機密情報であり、ブラウザーがこの情報を含めるのは、セキュアな接続を介して Lotus Mobile Connect と通信するときだけにする必要があります。

    図 12. 「LTPA/SSO」タブ
    「LTPA/SSO」タブ
  6. LTPA キー・アクション」セクションで、「新規キーを生成」ラジオ・ボタンを選択し、6 から 32 文字のパスワードを入力します。このパスワードを覚えておいてください。鍵ファイルを iNotes サーバーにインポートするときに必要です。
  7. 「適用」ボタンをクリックし、LTPA トークンの生成に使用される暗号鍵を生成します。これらの鍵は Lotus Mobile Connect によって内部に格納されますが、現時点ではエクスポートする必要があります。

ファイルへの LTPA 鍵のエクスポート

前のステップでは、LTPA トークンの生成に使用される暗号鍵とパスワードを生成しました。SSO を正しく機能させるには、このトークンに基づいてアクセスを許可する他のアプリケーション・サーバーが利用できる形式でこのデータをエクスポートする必要があります。Lotus Mobile Connect から鍵と構成データをエクスポートするには、以下の手順に従います。

  1. 「LTPA/SSO」タブの「LTPA キー・アクション」セクションで (図 12 参照)、「キー・ファイルにエクスポート」ラジオ・ボタンを選択し、ファイル名を入力します。ファイルへのフルパスを含めてください。
  2. 「適用」をクリックしてファイルをエクスポートします。鍵ファイルはユーザーが読める ASCII ファイルで、iNotes アプリケーション・サーバーに転送できます。

Lotus iNotes サーバーへの LTPA 鍵ファイルのインポート

SSO が正しく機能するには、すべてのサーバーで暗号鍵、ユーザー情報、およびその他の構成データを取り決める必要があります。現在、Lotus Mobile Connect から鍵ファイルが生成されています。参加するすべての iNotes サーバーがこの鍵ファイルをインポートしなければなりません。以下の手順に従ってください。

  1. Lotus Domino システム管理クライアントを開始し、「ファイル」->「サーバーを開く」を選択します。
  2. 作業するサーバーの名前を入力します。「設定」タブで「サーバー」を展開し、左側のナビゲーション・ペインから「すべてのサーバー文書」を選択します。
  3. サーバー文書で、メニューから「作成」->「Web SSO 設定」を選択します。
  4. 「Web SSO 設定」ウィンドウで (図 13 参照)、固有の設定名 (例: LtpaTokenLOTUSMOBILECONNECT) およびアプリケーション・サーバーが置かれている DNS ドメイン (例: xyz.com) を入力します。次に、「参加するサーバー」セクションで、SSO 構成に参加する Lotus Domino サーバーの名前を追加します。

    図 13. 「Web SSO 設定」ウィンドウ
    「Web SSO 設定」ウィンドウ
  5. 「Web SSS 設定」ウィンドウの一番上のメニュー・バーにある「キー」をクリックし、「WebSphere LTPA キーのインポート」を選択します。
  6. 「インポートするファイル名を入力」プロンプトで (図 14 参照)、Lotus Mobile Connect の鍵ファイルのエクスポート手順で得られた鍵ファイルのロケーションを入力し、「OK」をクリックします。

    図 14. 「インポートするファイル名を入力」プロンプト
    「インポートするファイル名を入力」プロンプト
  7. 鍵ファイルのパスワードを入力し、「OK」をクリックします。
  8. LTPA トークンの設定情報が示されたウィンドウが表示されます。「保存して閉じる」をクリックします。
  9. サーバー文書の「設定」タブに戻り、「すべてのサーバー文書」を選択し、鍵ファイルをインポートするサーバーを再び選択します。
  10. サーバー文書で「インターネット・プロトコル」タブを選択し、さらに「Domino Web Engine」タブを選択します (図 15 参照)。
  11. 「セッション認証」フィールドを「複数サーバー (SSO)」に設定し、「Web SSO 設定」フィールドに、上記の手順 4 で指定した設定名を設定します。
  12. 保存して文書を閉じ、サーバーを再起動します。

    図 15. Domino サーバー文書
    Domino サーバー文書

まとめ

最近、モバイルで仕事をする社員が増えています。社用およびパブリックに利用できるモバイル・デバイス、ラップトップ、およびワークステーションを通じてブラウザーを用いてアクセスするユーザーに対し、企業は電子メールおよび PIM アプリケーション が利用できる範囲を拡張する必要があります。Web ベース・アプリケーションとしての Lotus iNotes と、リモート・アクセスをセキュアにする Lotus Mobile Connect を組み合わせることにより、この重要なビジネス・ニーズに応え、機能とセキュリティーに優れたソリューションが Lotus Notes のお客様に提供されます。

参考文献

コメント

developerWorks: サイン・イン

必須フィールドは(*)で示されます。


IBM ID が必要ですか?
IBM IDをお忘れですか?


パスワードをお忘れですか?
パスワードの変更

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


お客様が developerWorks に初めてサインインすると、お客様のプロフィールが作成されます。会社名を非表示とする選択を行わない限り、プロフィール内の情報(名前、国/地域や会社名)は公開され、投稿するコンテンツと一緒に表示されますが、いつでもこれらの情報を更新できます。

送信されたすべての情報は安全です。

ディスプレイ・ネームを選択してください



developerWorks に初めてサインインするとプロフィールが作成されますので、その際にディスプレイ・ネームを選択する必要があります。ディスプレイ・ネームは、お客様が developerWorks に投稿するコンテンツと一緒に表示されます。

ディスプレイ・ネームは、3文字から31文字の範囲で指定し、かつ developerWorks コミュニティーでユニークである必要があります。また、プライバシー上の理由でお客様の電子メール・アドレスは使用しないでください。

必須フィールドは(*)で示されます。

3文字から31文字の範囲で指定し

「送信する」をクリックすることにより、お客様は developerWorks のご使用条件に同意したことになります。 ご使用条件を読む

 


送信されたすべての情報は安全です。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Lotus
ArticleID=478073
ArticleTitle=IBM Lotus Mobile Connectを使用してIBM Lotus iNotesへのセキュアなリモート・アクセスを有効にする
publish-date=04022010