目次


ID ボールトの構築とトラブルシューティング

Comments

はじめに

ID ボールトとは、Lotus Notes ユーザー ID の管理のための機能です。
IDボールトを使用すると、ユーザーIDのコピーを集約し、パスワードを忘れた時のリセットや、ID が破損/紛失した際の復旧を安全に行う事ができるようになり、Lotus Notes ユーザー ID の管理が容易になります。
ID ボールトの仕組みは、セキュリティに十分配慮された設計となっており、ID ファイルのコピーを保存する場所には、Lotus Domino データベースが使用され、強固に保護されています。
ID ボールトを使用すると、以下のような利点があります。

  • ボールトに保管されている ID のパスワードをユーザーが忘れた場合、パスワード管理者は ID ファイルやボールトにアクセスすることなくパスワードを変更 (リセット) することができます。
  • ユーザー ID の紛失や破損が発生した場合でも、容易に復旧することができます。
  • 複数の ID ファイルのコピーがある場合、自動的に同期されます。
  • キーロールオーバーを行う必要がないため、ユーザー名変更処理がよりスムースに実行されます。

以前のリリースでも、ID 復旧機能 がありましたが、違いは、IDファイルの復旧作業がより自動化され容易になっている点にあります。

また、ID 復旧機能 では、IDファイルのバックアップコピーがなければ復旧する事ができませんでしたが、ID ボールトではデータベースにユーザーIDファイルが自動的に集約されるため、バックアップコピーを保持しておく必要はありません。

ID ボールトを構築時の留意点

ID Vault は以下の機能と一緒に利用することが可能です。

- Notes Shared Login (共有ログイン)
- Citrix XenApp 上の Notes クライアント(8.5.3よりサポートされています)
- ローミング
- Notes Browser Plug-in
- iNotes

ID Vault は以下の環境では利用することができません。

- IBM Notes/Domino 8.5 以前の環境

Notes クライアントは、8.5以上である必要があります。
Domino サーバーについては、ボールトサーバー(ID Vault データベースが配置されているサーバー)、ディレクトリの管理サーバー、ユーザーのホームサーバー(クラスタ構成の場合はどちらか一方でもかまわない)は、8.5以上である必要があります。
メールテンプレートやドミノディレクトリのテンプレートについても、8.5以上のものをご利用ください。

- Notes Single Logon

ID Vault との利用はサポートされていません。

- 複数ドメインでの利用

一つのボールトサーバーを、複数のドメインで運用することはできません。
また、他のドメインのユーザーをボールトサーバーで管理することはできません。
管理するユーザーのホームサーバーは、同じドメインである必要があります。

- 複数パスワードで保護されたID

複数パスワードで保護されたIDは、ID Vault の環境でも使用することは可能ですが、ボールトサーバーに格納することはできません。

ID Vault 構築の手順

ID ボールトを作成するには、最初に Lotus Domino Administrator の [設定] タブで、[ツール] - [ID ボールト] - [作成] をクリックします。ボールト作成ツールが起動しますので、指示にしたがって、項目を入力します。

図:ID ボールト作成ツール

ボールトを作成するには、管理者としての権限と、対象サーバーに対する [データベースとテンプレートの作成] アクセス権、Domino ディレクトリに対する [編集者] アクセス権が必要です。
ボールトデータベースは、サーバーのデータディレクトリの \IBM_ID_VAULT ディレクトリに作成されます。

ボールトを作成する際の指定項目
指定事項備考
指定事項 備考
ボールト名 この名前により、ボールトの階層 ID が決まります。また、ボールトデータベースファイル名やボールト ID ファイル名も、この名前を元にして決まります。
Lotus Domino ドメインに使用されている、組織や組織単位と同じ名前にすることはできません。
作成後に名前を変更することはできません。
ボールト ID ファイルの配置場所とパスワード ID ボールト機能を使用するためのIDファイルです。
とても大切なファイルですので、必ずバックアップを作成してください。
ボールト 1 次サーバー ボールトの作成時に指定できるサーバーは 1 台だけで、これがボールト 1 次サーバーになります。 ボールトを他のサーバーに複製したり、別のボールト 1 次サーバーを指定するには、[ID ボールト] - [管理] ツールを使用します。
ボールトの管理者 1 人以上のボールトの管理者を指定する必要があります。
ID を格納するボールトを信頼する組織 Domino ディレクトリに、信頼されたボールト証明書を作成する際に必要です。
指定した組織または組織単位の認証者 ID ファイルに対するアクセス権が必要です。 ボールト作成後に、[ID ボールト] - [管理] ツールを使用して指定することができます。
ID ボールトに格納されている ID のパスワードリセット権限を付与するユーザー名 Domino ディレクトリにパスワードリセット証明書を作成する際に必要です。
信頼されたボールト証明書を有する組織または組織単位の、認証者 ID ファイルに対するアクセス権が必要です。
ボールト作成後に、[ID ボールト] - [管理] ツールまたは [ID ボールト] - [パスワードのリセット権限] ツールを使用して指定することができます。
ボールトに対応づけられたユーザー IDユーザーポリシー設定により制御されます。
ボールト作成後に、[ID ボールト] - [管理] ツールを使用するか、ポリシーを手動で設定します。

ID ボールトのセットアップ中に発生する問題

ID ボールトのセットアップの途中でエラーが発生し、セットアップが失敗してしまう場合があります。
主なエラーの原因と対処方法を説明します。

[エラーメッセージ]
LOTUS NOTES ID ボールト /TEST が作成できませんでした (エントリが索引に見つかりません)

[原因と回避策]
ドミノディレクトリの設計のバージョンが古い場合にこのエラーが発生します。 最新の設計へ置換すると回避できます。

[エラーメッセージ]
LOTUS NOTES ID ボールト /TEST が作成できませんでした (この名前はすでにリストに存在します)

[原因と回避策]
ID ボールトデータベース内に、管理者の名前のエントリが複数存在していることが考えられます。たとえば、同じユーザーが含まれた複数のグループを管理者として指定すると、このエラーの原因となります。
管理者名の重複が起こらないようにしてセットアップを完了してください。

トラブル時の原因調査方法

ID ボールトからクライアントへ ID がダウンロードされない場合、またはクライアントからアップロードできない場合、以下のような点を確認し、原因調査を行ないます。

  1. Notes クライアントのバージョン、個人アドレス帳(names.nsf)の設計バージョンの確認

    Notes クライアントは、8.5 以上を使用している必要があります。
    Notes クライアントの個人アドレス帳の設計は、8.5 以上である必要があります。
    設計のバージョンは、データベースのプロパティの、設計タブで確認できます。

    図:データベース設計のバージョンの確認箇所
  2. セキュリティポリシーの確認

    セキュリティポリシーがユーザーへ割り当てられているかどうかを確認します。
    クライアントで names.nsf を開き、[SHIFT] + [CTRL] キーを押しながら [表示] - [移動] メニューオプションを選択します。($Policies) ビューを開きます。
    下図のように、ユーザーのポリシーのリストが表示されます。表示されない場合は、ポリシーに関連する問題を調べる必要があります。ポリシーのトラブルシューティングに役立つ情報として、以下の文書を参照してください。

    図: ($Policies) ビューの状態

    (英文)「Self-Training: Troubleshooting Domino policies and settings documents」(Technote 7010353)

  3. ドミノサーバー及びクライアントの Log.nsf の、セキュリティログ(Security Events)を確認します。
    エラーメッセージが何か出力されていれば、エラーメッセージを調査することで、原因を特定できる場合があります。
    図:セキュリティログの確認
  4. デバッグパラメータによる詳細ログの取得

    通常のログレベルでは、原因を特定できない場合があります。
    このような場合は、デバッグパラメータを設定して、詳細ログを収集し、テクニカルサポートへ問い合わせを行ないます。

[詳細ログの設定手順]

  1. Noes クライアントおよび、Domino サーバーのプログラムディレクトリ内のNOTES.INIファイルをメモ帳などで編集します。
  2. 以下のパラメータを設定します。

    DEBUG_IDV_CONNECT=1
    DEBUG_IDV_TRACE=1
    DEBUG_IDV_UPDATE=1
    DEBUG_IDV_TRUSTCERT=1
    DEBUG_IDVAULT_SERVER_SELECTION=1
    DEBUG_THREADID=1
    CONSOLE_LOG_ENABLED=1
    LogStatusBar=1(Notesクライアントのみ)

    ※最下行へ追加する場合は、最後に改行を入れてから保存してください。

  3. Notes クライアント、またはDominoサーバーを再起動します。

データディレクトリ下の、IBM_TECHNICAL_SUPPORT フォルダ下に Console.log という名称で詳細ログが出力されます。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Lotus
ArticleID=965559
ArticleTitle=ID ボールトの構築とトラブルシューティング
publish-date=03142014