IBM Support

(参考)認証者 ID の盗難、紛失、または漏えいが発生した場合の対処方法

技術情報(FAQs)


質問

Lotus Notes/Domino の認証者 ID の盗難、紛失、または漏えいが発生した場合、管理者はどうすればよいですか。

回答

新しい cert.id を再認証し、 Domino ディレクトリをロックする方法について、以下に説明します。
この方法の長所は、ユーザーの認証者 ID に対する何者かからの脅威を抑制および阻止できることです。この方法の短所は、再認証プロセスは手動に大きく依存するため、組織の再認証がやや困難であることです。

A. 脅威の定義
最初のステップは、アクティビティが何を阻止できるかを熟知するために、組織の認証者 ID を持つ人物がどんなことをすることができるか明らかにすることです。組織の認証者 ID を持つ人物が実行可能なアクティビティのリストを以下に示します。

1. 新しいユーザー ID を作成する、または既存のユーザーと同じユーザー名を持つように見えるが、実際は元のユーザーの ID とは異なるパブリックキー/プライベートキーのペアを持つ複製ユーザー ID を偽造する。

2. 新しいサーバー ID を作成する、または上記と同様に、異なるパブリックキー/プライベートキーのペアを持つ複製サーバーを偽造する。

3. 相互認証を作成する。

4. 組織単位レベルの認証者 ID を作成する。

5. 有効期限が切れた既存のユーザーおよびサーバー ID を再認証する


B. 抑制ステップ
次に、認証者 ID を保持する何者かを阻止するために取ることができるステップを明確にします。このステップの以下のリストにより、認証者 ID を持っているが許可されていない人物のアクティビティを阻止をすることができます。

1. Domino ディレクトリへのアクセスを厳密に制限します。アクセス制御リスト (ACL) のデフォルトアクセスを [読者] に設定します。作成者以上の権限を付与する対象を ACL で制限します。

2. 各サーバー文書で以下の設定を有効にします。

  • パブリックキーの比較
  • 信頼されたディレクトリにリストされたユーザーのみにサーバーへのアクセスを許可する。

3. Domino ディレクトリの ACL で以下の設定を有効にします。
  • [このデータベースのレプリカはすべて共通のアクセス制御リストを用いる]

4. 各サーバー ID に古い認証または無効な階層なし認証がないか確認します。

5. サーバー文書の変更後、各 Lotus Domino サーバーを再起動します。

6. Domino ディレクトリから古いユーザー文書または無効なユーザー文書を削除します。

7. Domino ディレクトリから古いサーバー文書または無効なサーバー文書を削除します。

8. Domino ディレクトリから古いまたは無効な相互認証文書と認証文書を削除します。

注:これらのステップは、危険にさらされた認証者 ID の問題に特に適用されます。これは、データベース管理者が ACL 権限の付与対象者を制御する自分の役割などを確実に理解できるようにしたもので、ご使用の環境のセキュリティ (物理的なセキュリティ、ネットワークオペレーティングシステムのセキュリティなど) を保証するために用意した通常の手順やポリシーを包括するリストではありません。


C. 再認証の選択肢
以下の対策が用意されています。

1. 何もしない。
いったん環境が保護され、ユーザーの認証者 ID を持つ何者かによる脅威が抑制されているのであれば、何もしないことを選択することができます。脅威を抑制するために新しい認証者を発行する必要はありません。将来の製品の機能強化で再認証プロセスが自動化され、利便性が高まるまで待ちます。

2. ユーザーとサーバーを新しい組織名と認証者に移行する。
この対策の長所は、システム管理プロセス (AdminP) によってユーザーの名前変更の作業が容易になることです。この対策の短所は、サーバーの名前変更プロセスは手動作業であり、非常に細部にわたることです。すべてのサーバーの識別名を変更するプロセスは、多くの労力を要します。サーバーの名前変更は AdminP ではサポートされません。

3. エージェント、スクリプト、ボタンのついた電子メールなどを使用し、各ユーザーに影響を及ぼす再認証プロセスの手動箇所を自動化する。

4. 手動で再認証する。
この対策の短所は、手動プロセスであるため時間がかかることです。以下の補足情報セクションのステップを参照してください (R5.0 以前の Lotus Domino サーバーのみに適用されます)。



補足情報

:以下の情報は、R5.x 以前のリリースにのみに適用されます。Lotus Domino 6.0 以降では、元の認証者と同じ組織名で新しい認証者を作成することはできません。

元の組織認証者とまったく同じ名前を持つ組織を登録することによって新しい認証者 ID を作成するには、以下のステップを実行します。ここでは Acme という組織を使用することにします (O=Acme)。

1. まず、Domino ディレクトリ、notes.ini、サーバー ID、すべてのユーザー ID、および組織単位認証者 ID のバックアップを作成します。

2. 紛失した認証者 ID に対応する、Domino ディレクトリ内の認証を削除します。この例では、[サーバー] - [認証] - [Notes 認証者] (Lotus Notes/Domino R5 の場合) または [設定] - [認証] - [Notes 認証者] (Lotus Notes/Domino 6 の場合) の下にある、 /Acme の認証を削除します。

3. 新しい組織を登録します。

Lotus Domino Administrator を起動し、[設定] タブで [ツール] - [登録] - [組織] をクリックします。登録サーバーを選択し、元の組織とまったく同じ組織名にします (この例では Acme)。パスワードを入力し、[登録] をクリックします。これにより、Domino ディレクトリの Notes 認証者の下に /Acme の新しい認証が追加されます。

ID ファイルが作成されたことを示す通知ダイアログボックスが表示されたら [OK] をクリックします。

4. [設定] タブで [ツール] - [認証] - [認証] をクリックします。[認証] をクリックし、新たに作成した cert.id を使用して server.id と 管理者の ID (これらのステップの実行時にログインしている ID) を認証します。

ID が正常に認証されたことを示すメッセージがステータスバーに表示されます。

5. この時点で、Lotus Domino サーバーを再起動します。

6. サーバーが再起動したら、Lotus Domino Administrator の [ユーザーとグループ] タブをクリックし、組織認証者 (この例では Acme) の下にいるすべてのユーザーのチェックを外します。認証者 Acme の下に登録された階層ユーザーは、Joe Smith/Acme のように表示されます。

7. [アクション] - [選択ユーザーの再認証] に移動し、新たに作成した cert.id を使用してユーザーを再認証します。[選択エントリの証明書を更新] ダイアログボックスが表示されたら [認証] をクリックします。この時点で AdminP がユーザーを再認証するため、サーバーコンソールでエラーをチェックし、システム管理要求データベース(ADMIN4.NSF)で要求が完了したことを確認してください。

8. この時点でユーザーがサーバーで再認証されると、そのユーザーは新しい階層付き認証で更新された ID を持ちます。問題が発生した場合は、ユーザーに完全にログアウト (F5) してから再認証させてください。問題が解決しない場合は、ユーザーの ID を手動で再認証してください。

9. 組織単位 (OU) の下に元の認証者の子であるサーバーとユーザーが存在する場合 (この例では server1/sales/Acme と John Brown/Marketing/Acme)、これらの OU を再作成し、サーバーとユーザーを再認証する必要があります。まず OU の認証者(/sales/Acme と /Marketing/Acme)を Domino ディレクトリ から削除します。

10. 組織と相互認証されているサーバーがある場合は、もう一度相互認証する必要があります。Domino ディレクトリからすべての相互認証を削除して、もう一度相互認証してください。

注:再認証後にメールファイルを開くと、ACL を表示するときにパブリックキーが一致しないというエラーが示される場合があります。このエラーに関連する既知の問題はありません。これは通知にすぎず、機能には影響しませんが、ユーザーのメールデータベースの署名を更新することにより、この問題は回避できます。Lotus Domino Administrator で [ファイル] タブに移動し、ユーザーのメールファイルを選択し、[ツール] - [データベース] - [署名] - [既存の署名のみ更新する] をクリックします。


関連文書

原文:
(英文)「What to do when a Certifier ID is stolen, lost or compromised?」(Technote #1087149)

「(参考)Notes ID の盗難、紛失、または漏えいが発生した場合の対処方法」(Technote #1467464)
「(参考)バックアップのないサーバー ID が損失または破損したときに復元する方法」(Technote #1466917)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連文書のリンクよりご参照ください。

Historical Number

732274

Document information

More support for: IBM Domino
Security

Software version: 6.5, 7.0, 8.0

Operating system(s): AIX, IBM i, Linux, Solaris, Windows

Reference #: 1467767

Modified date: 13 October 2013


Translate this page: