IBM Support

SPNEGO 認証における Kerberos 名の設定の必要性について

技術情報(FAQs)


質問

SPNEGO によるシングルサインオンを使用する際に、Domino ディレクトリのユーザー文書に Kerberos 名 (user@DOMAIN.COM) の設定は必要ですか。

回答

SPNEGO によるシングルサインオンを使用する際のユーザー情報の存在パターンは、以下の 3 パターンがあります。
1. Domino ディレクトリの参照のみ(ディレクトリアシスタントは未使用)

2. ディレクトリアシスタントによる Active Directory (LDAP) の参照のみ(Dominoディレクトリに、ユーザー文書は存在しない)

3. Domino ディレクトリにもユーザー文書があり、ディレクトリアシスタントによる Active Directory の参照も行っている

それぞれ、認証に必要な作業は以下の通りです。

1 のケース
ユーザー文書の「ユーザー名」フィールドに Kerberos 名を追加する必要があります(例:user@DOMAIN.COM)。

(参考)「Domino ディレクトリを使用して Domino ユーザーを管理する場合のユーザー名マッピングの設定」

2 のケース
ディレクトリアシスタント文書の「Notes の識別名で使う属性」で指定した LDAP 属性に、Notesの階層名を格納します(例:CN=Taro Yamada,O=Lotus)。

(参考)「Active Directory を使用して Domino ユーザーを管理する場合にユーザー名マッピングを設定する」

3 のケース
このケースでは、1 と 2 のどちらの方法を使っても認証をすることができます。


IBM Domino Administrator ヘルプの「Web クライアント環境用の Windows シングルサインオンにマッピングするユーザー名を設定する」トピックには、以下の記述があります。

Domino サーバーが特定のユーザーの LDAP 識別名を Active Directoryで検出し、さらにこのユーザーの IBM IBM Notes 識別名 (DN) を Dominoディレクトリで検出した場合、この 2 つの名前が同一のユーザーの名前であることがわかります。これが第 1 の目的です。サーバーは、ユーザーの Active Directory のユーザーアカウントにある mail 属性値がユーザー文書のインターネットアドレスの値と一致することを確認して、これら2 つの名前をリンクします。

さらに、「Active Directory を使用して Lotus Domino ユーザーを管理する場合にユーザー名マッピングを設定する」トピックの表中に、インターネットアドレスをマッピングさせることが必要であるような記述があります。

これらの記述は、上記の 3 のケースを想定した記述となりますが、mail 属性の一致によるユーザー文書と LDAP ユーザーのマッチングは行われません。

前者の文書の修正についての改善要望が、問題報告番号 STAA9W43VE として IBM Quality Engineering に提出されています。
後者の文書の修正についての改善要望は、問題報告番号 PJON8XGNAG として IBM Quality Engineering に提出されており、IBM Domino Administrator 9.0.1 のヘルプにて修正されました。

Document information

More support for: IBM Domino
Single Sign-on (SSO)

Software version: 9.0

Operating system(s): Windows

Reference #: 1883523

Modified date: 30 April 2015


Translate this page: