...

Lotus Notes/Domino 8.5.1 システム管理機能拡張

by user

on
Category: Documents
92

views

Report

Comments

Transcript

Lotus Notes/Domino 8.5.1 システム管理機能拡張
®
Lotus Notes/Domino 8.5.1 システム管理機能拡張
日本 アイ・ビー・エムシステムズ エンジニアリン グ株式会 社
ワー クプレー ス
村上 雄介
© 2008 IBM Corporation
IBM Software Group | Lotus software
特記事項
 本資料の記載内容は、正式なIBMのテストやレビューを受けておりませ
ん。内容について、できる限り正確を期すよう努めてはおりますが、いか
なる明示または暗黙の保証も責任も負いかねます。本資料の情報は
、使用先の責任において使用されるべきものであることを、あらかじめご
了承ください。
 掲載情報は不定期に変更されることもあります。他のメディア等に無断
で転載する事はご遠慮ください。
 本資料の著作権は日本アイ・ビー・エムにあります。非営利目的の個
人利用の場合において、自由に使用してもかまいませんが、営利目的
の使用は禁止させていただきます。
 IBM, AIX, Lotus, Lotus Notes, Lotus DominoはInternal Business
Machines Corporationの米国およびその他の国における商標。その他
、記載された社名および製品名は、それぞれ各社の商標または登録
商標です。
IBM Software Group | Lotus software
目次
 Lotus Domino 8.5.1 Web クライアントの Windows シングルサインオン
 Lotus Domino 8.5.1 ID ボールト 新機能
 Lotus Domino 8.5.1 DAOS 新機能
 Lotus Domino 8.5.1 ローミング 新機能
 Lotus Domino 8.5.1 ポリシー 新機能
®
Lotus Domino 8.5.1
Web クライアントの Windows シングルサインオン
© 2008 IBM Corporation
IBM Software Group | Lotus software
WebクライアントのWindowsシングルサインオン
 これまでは、Windowsにログインした後に必ずLotus Domino Webサーバーに
対してログインする必要があった
– エンドユーザーは、ユーザーID/パスワードを2回入力、またそれぞれのユー
ザー名/パスワードの組み合わせを覚えておく必要があった
– WindowsとLotus Domino Webサーバーのログインを連携し、1回とする為
には、他製品を使用して実現するしかなかった
 Lotus Domino 8.5.1からはWindowsにログインするのみでWebクライアントの
ログインが不要となる、WebクライアントのWindowsシングルサインオンの機能
を提供
<Lotus Domino 8.5 以前>
①Windows
UserID,password
②Domino
UserID,password
<Lotus Domino 8.5.1 >
①Windows
UserID,password
IBM Software Group | Lotus software
Web クライアントの Windows シングルサインオンとは
 WebクライアントのWindowsシングルサインオンの実現方法
– SPNEGOとKerberos認証を使用することにより、Active Directoryドメイ
ンにログオンしているユーザーであれば、パスワードの入力を求められること
なく、WebクライアントからLotus Domino Webサーバーにログインが可能
• ユーザーはWindowsパスワード入力1回のみでDominoにログイン可能
 SPNEGO…Simple and Protected GSS-API Negotiation Mechanism の
略。IETF RFC 2478で定義された認証メカニズムの一種
 Kerberos認証…Active Directoryで採用されている認証方式。キー配布
センター(KDC)と呼ぶ信頼できるサーバーが、サーバーとクライアントの仲介
をすることでお互いを正しく確認できる。ドメイン・コントローラがActive
Directoryを利用しながらKDCとしてサービスを提供する。
6
IBM Software Group | Lotus software
SPNEGOを使用したシングルサインオンの流れ
UserName
Windowsにログイン
Active Directory
④
UserName
password
⑤
Kerberos Credential
①
Active Directory
ドメインコントローラ
(KDC)
HTTPサーバーへアクセス
②
Kerberos Credential
③
200 OK
⑥
⑦
401 Unauthorized
Domino Directory
LTPA Token
Lotus Domino サーバー
(Windows上)
7
IBM Software Group | Lotus software
シングルサインオンを設定するための動作前提
 Microsoft Windows Server Active Directory ドメインコントローラ
– 機能レベルは、Windows Server 2003 以上であること
– Windows 2003 の下位互換モードは使用不可
 Lotus Domino 8.5.1 サーバー
– Windows コンピュータ上で実行されており、 Active Directory ドメインのメンバーであること
– 複数サーバーのセッションベースの認証用に設定されていること (シングルサインオンの設定)
 クライアント(Windowsのみ)
– Active Directory ドメインにログオンし、Active Directory サーバーへのネットワークアクセス
権を持つ Windows クライアント
• Active Directoryに登録されていないクライアントからはアクセス不可
– Active Directory のアカウントを持つ Web ユーザー
– サポートされているWebブラウザ
• Microsoft Internet Explorer Version 6.0、7.0、8.0
• Mozilla Firefox Version 3.0、3.5
8
IBM Software Group | Lotus software
シングルサインオン設定手順
Lotus Dominoサーバーの設定
Kerberos認証情報を使用してログインできるよう Lotus Dominoサー
バーを設定
Windowsサービスの設定
Lotus DominoのHTTPサービスに対し、Active Directoryのアカウントを
割り当て
ユーザー名のマッピング
Windowsログイン時に使用したActive Directoryでのユーザー名と
Lotus Dominoでのユーザー名のマッピング情報を設定
ブラウザの設定
ブラウザでシングルサインオンが行えるように設定
9
IBM Software Group | Lotus software
シングルサインオン設定手順(1)~Dominoサーバーの設定
 HTTPタスクの稼働
 SSOの有効化(SSOが有効になっていな
い場合)
– サーバー文書[インターネットプロトコル][Domino Web Engine]-[セッション認証]で
SSOを設定
– SSO設定文書[参加するサーバー][Windows シングルサインオンの統合(可能
な場合)]を有効に設定
10
IBM Software Group | Lotus software
シングルサインオン設定手順(2)~Windowsサービスの設定
 Lotus Domino Serverで使用するActive Directoryアカウントを作成
– ローカルシステムアカウントを使用することも可能(この場合はコンピュータ名がアカウ
ント名として使用される)
 作成したActive DirectoryアカウントでLotus Dominoサービスを実行
 作成したActive DirectoryアカウントにSPNを割り当て
SPN…Service Principal Name。Kerberos認証で使用するユーザーやサービス
の固有名。割り当てを行うことで、Kerberos認証を使用することが可能になる
– setspn.exe(別途インストールが必要)を使用する
• setspn -a HTTP/<dns_name> <account name>
server1.lotus.comとして提供されるHTTPサービスに対して、account1という
Active Directoryアカウントを割り当てる場合
setspn -a HTTP/server1.lotus.com account1
– domspnego.cmdを使用し、SPN割り当て用のコマンドファイルを自動作成することも
可能
11
IBM Software Group | Lotus software
シングルサインオン設定手順(3)~ユーザー名のマッピング
 Dominoユーザー名とActive Directoryユーザー名のマッピングを行う
– Dominoディレクトリを主とする場合
• ユーザー文書にActive Directoryでのユーザー情報を記述
– Active Directoryを主とする場合
• ディレクトリアシスタントで設定を行う
☆Active Directoryユーザー名とDominoユーザー名とのマッピングが行われていない
ユーザーはログオン不可となる
12
IBM Software Group | Lotus software
シングルサインオン設定手順(3)~ユーザー名のマッピング
 ユーザー文書へActive Directoryのユーザー名を記述する方法(1)
– ユーザー名フィールドの3番目以降にActive Directoryのユーザー名を追加
(@より前は大文字小文字を区別、@以降はすべて大文字で指定)
13
IBM Software Group | Lotus software
シングルサインオン設定手順(3)~ユーザー名のマッピング
 ユーザー文書へActive Directoryのユーザー名を記述する方法(2)
– [管理情報]-[クライアント情報]-[Active Directory(Kerberos)ログオン名]にActive
Directoryのユーザー名を追加
– 以下のNotes.iniをサーバーに設定し、このフィールドでのユーザー名検索を有効化
• WIDE_SEARCH_FOR_KERBEROS_NAMES=1
– ドミノディレクトリの全文索引を有効にする
14
IBM Software Group | Lotus software
シングルサインオン設定手順(3)~ユーザー名のマッピング
 ディレクトリアシスタントを設定する方法
– ディレクトリアシスタント設定の作成
☆ディレクトリアシスタントのテンプレートは、da50.ntfを使用する必要がある為
要注意(da851.ntfは使用しない)
– ユーザー文書の設定(Lotus iNotesを使用する場合)
– セキュリティポリシーの設定(ユーザー文書が存在し、インターネットパスワー
ドを設定していない場合)
– サーバー文書の設定
– SSO文書の設定
15
IBM Software Group | Lotus software
シングルサインオン設定手順(4)~IEでの設定
 Web クライアントの Windows シングルサインオンの対象となるサイトをイントラネッ
トのサイトとして追加
 ユーザー認証の設定(自動ログオンの設定)
 統合Windows認証を使用するよう設定(デフォルト)
<イントラネットのサイト追加画面>
<ユーザー認証の設定画面>
16
®
Lotus Domino 8.5.1 IDボールト 新機能
© 2008 IBM Corporation
IBM Software Group | Lotus software
IDボールト機能のおさらい
 IDボールトによるIDファイルの集中管理
–
–
–
–
IDファイルは、各Lotus Notesクライアント端末に加え、ボールトサーバー上にも格納される
各端末では、最新の情報に基づく、IDファイルを利用することが可能
複数台の端末利用時も情報は自動的に同期される(パスワードの変更にも対応)
IDファイルがボールトDBに存在しない場合は、Lotus Notesクライアント端末から自動的に
IDファイルがアップロードされる
– IDファイルが存在しない端末では、IDファイルをボールトDBからダウンロードして利用する
– 管理者/ユーザーはボールトDB上のIDファイルに対し、パスワードのリセットを行うことが可能
端末A
同一ユーザー
端末B
パスワード変更
ID
ID
パスワード反映
ID
端末C
Vault
ボールトサーバー
(Lotus Domino)
ID
IDダウンロード
18
IBM Software Group | Lotus software
Lotus Domino 8.5.1 IDボールト新機能
 Lotus Notes/Domino 8.5 ではLotus NotesクライアントのみでIDボールトが
使用可能だったが、8.5.1からはLotus iNotes、Lotus Notes Travelerでも
使用可能
– IDファイルを手動でメールデータベースにインポートすることなく、受信メールのメッセ
ージの暗号化を解除することが可能
– Lotus iNotes上のIDファイルのパスワードを変更することが可能
– Idボールトのパスワードをリセットすることで、Lotus iNotes上のIDファイルについても
パスワードをリセットすることが可能
19
IBM Software Group | Lotus software
Lotus iNotesとIDボールトの連携
 IDファイルのアップロード/ダウンロード
– アップロード (メールDBからボールトDBへ)
• 現在IDファイルが格納されている環境(iNotesを使用している環境)
– ポリシーの有効化後、IDを使用するタイミングで自動的にアップロード
– ダウンロード (ボールトDBからメールDBへ)
• 現在IDファイルが格納されていない環境(クライアントを使用している環境)
– ポリシーの有効化後、IDを使用するタイミングで自動的にダウンロード
 IDファイルの同期
– パスワードの変更のタイミングで、即時にボールトDBに同期される
– 手動で同期を行うことも可能
– ノーツクライアント側でパスワード変更した場合も、同期される
 パスワードのリセット
– 通常のパスワードリセットと同様に使用可能
20
IBM Software Group | Lotus software
ID ボールトの有効化
 セキュリティポリシーで設定
– [ID ボールト]-[ID ボールトオプション]-[Lotus Notesベースのプログラムに Lotus
Notes ID ボールトの使用を許可]を[はい]に設定
21
IBM Software Group | Lotus software
IDボールトの有効化
 セキュリティポリシーが適用されると、自動的にIDボールトが有効になり、
Lotus iNotesのプリファレンスから確認可能
22
®
Lotus Domino 8.5.1 DAOS 新機能
© 2008 IBM Corporation
IBM Software Group | Lotus software
Lotus Domino 8.5 DAOSの動作についてのおさらい
 DAOSが動作しているLotus Dominoサーバーに本文、添付ファイル共に送信した
上で、Lotus Dominoサーバー上で同一添付ファイルかどうかを判断し、DAOSリポ
ジトリへ添付ファイルを格納
Lotus Notesクライアント
1.本文と添付
ファイルを保存
Lotus Dominoサーバー
4.同
同一添付フ ァイル
かど うかを判 断。
2.添付ファイルを
DAOSリポジトリに格納
3.本文と同一添付
ファイルを保存
(添
添付ファイル の実体
もサ ーバーへ 送信)
ノーツDB
DAOSリポジトリ
NLOファイル
24
IBM Software Group | Lotus software
Lotus Domino 8.5.1 DAOSのオブジェクトコピー最適化の動作
 同一添付ファイルがLotus Dominoサーバーに存在しないことを、Lotus Notesクラ
イアントで判断し、存在しない時のみ、添付ファイルの実体を送信
– サーバー間の複製においても同様に動作
Lotus Notesクライアント
Lotus Dominoサーバー
1.本文と添付
ファイルを保存
2.添付ファイルを
DAOSリポジトリに格納
3.本文と同一添付
ファイルを保存
(同
同一添付ファ イルか
どう かをサー バーへ
問い 合わせ、 同一の
場合 は添付フ ァイル
の実 体を送信 しない)
ノーツDB
DAOSリポジトリ
NLOファイル
25
IBM Software Group | Lotus software
DAOSのオブジェクトコピー最適化
 DAOSオブジェクトコピー最適化とは
– DAOSリポジトリ(※)に既に格納されている同一添付ファイルがある時には、添付
ファイルの実体を送信しない
• Lotus Notesクライアント、Lotus Dominoサーバー共に、8.5.1である必要がある
– サーバー間複製のみであれば、Lotus DominoサーバーのみでOK
– 動作しないバージョンの組み合わせの時は、これまでと同様の動作
• ユーザー、管理者側の変化は無し
– 内部的に添付ファイルを扱う動作の変更より、見た目、操作等はこれまでと同様の動作
※DAOSリポジトリ=DAOS化された添付ファイル(NLOファイル)を格納する領域
26
IBM Software Group | Lotus software
DAOSのオブジェクトコピー最適化のメリット
 DAOSオブジェクトコピー最適化のメリット
– クライアントとサーバー間のネットワーク転送量が少なくなる
• 同一添付ファイルのサーバー保存時、実添付ファイルのネットワーク転送が行われなく
なる。
– サーバー間のネットワーク転送量が少なくなる
• 複製での更新時において、実添付ファイルのネットワーク転送が行われなくなる。
– 同一添付ファイル格納時のレスポンスタイムが早くなる
• 実添付ファイルのサーバーへの送信待ち時間がなくなる為、クライアント側の体感スピ
ードが速くなる。
☆Lotus Domino 8.5.1 DAOSでは、Lotus Domino 8.5の効果に
加えて、ネットワーク転送量の削減が可能
27
IBM Software Group | Lotus software
DAOSのオブジェクトコピー最適化 動作前提
 動作前提
– クライアント
• Lotus Notes 8.5.1
– クライアントとサーバー間で有効にする場合に必要
– サーバー
• Lotus Notes/Domino 8.5.1
• トランザクションログの有効化
• DAOSの有効化
– アプリケーション
• ODS 51
– メールで使用する時にクライアント側で、
> クライアントローカルのMail.boxのODS51化
> Autosave機能を使用する時は、autosave.nsfもODS51化
> ローカルのメールレプリカを使用している時は、メールDBもODS51化
– メールで使用する時サーバー側で、
> サーバーのMail.boxのODS51化とDAOS化
• プロパティの DAOS 有効化設定
28
IBM Software Group | Lotus software
Lotus Domino 8.5.1 DAOSのオブジェクトコピー最適化の制約
 DAOSリポジトリに格納されている添付ファイルのみ対象
– NLO化されていない添付ファイル(”Lotus DominoがオブジェクトをDAOS
に格納する最小サイズ”以下のファイル)は対象外
 DAOSリポジトリに格納されていることがクライアント側で判断できない場合
– Lotus Notes/Domino 8.5以下のクライアントの時は、従来と同様に実添
付ファイルを送信してサーバー側で判断
– ネットワーク等により確認できない時も、従来と同様
29
IBM Software Group | Lotus software
DAOS統計情報
 “sh stat daos”サーバーコマンドにより統計値を確認
30
®
Lotus Domino 8.5.1 ローミング 新機能
© 2008 IBM Corporation
IBM Software Group | Lotus software
Lotus Notes/Domino 8.5.1 ローミング機能
 Lotus Notes/Domino のローミング機能
– 任意のLotus Notesクライアントから、各個人の設定や情報を維持しつつ利
用を可能にする機能
– クライアントの開始・終了時に、サーバーと複製を行い、情報の同期を行う
– 連絡先DB(names.nsf)、ブックマーク(bookmark.nsf)などを中心に対応
• これまでは、ワークスペースのローミングに非対応
 Lotus Notes/Domino 8.5.1 からの新機能
1 Lotus Notes 8.5.1 を利用することで、ワークスペースのローミングにも対応
2 ローミングユーザーを非ローミングに戻す際に、Lotus Dominoサーバ上のファイ
ルが自動的に削除(これまでは管理者承認が必要)
32
IBM Software Group | Lotus software
ワークスペースのローミング対応
 ワークスペースのアイコン情報の内容を、ブックマークに格納して対応
– ワークスペースは旧来まで desktop8.ndkに格納されており、複製が出来な
かったためローミング非対応だった。
– Lotus Notes 8.5.1より、ワークスペースの内容を、ブックマーク
(bookmark.nsf) に格納し、ローミング対応が可能になった。
ローミングサーバー
Bookmark.nsf
Bookmark.nsf
desktop8.ndk
33
IBM Software Group | Lotus software
ブックマークとワークスペース
 ブックマーク(bookmark.nsf) にワークスペース情報が格納される
– ワークスペースタブが、1つのフォルダ($Workspace)\... に対応
– ワークスペースアイコンは、ブックマークの1文書として格納される
<ワークスペース例>
<設計から見たワークスペースの格納>
<ワークスペースアイコンの格納イメージ>
34
IBM Software Group | Lotus software
ワークスペースローミングへの移行
 初めてローミングを利用する場合
– これまでの、ローミングへの移行と同様
– ワークスペースローミングは自動的に適用される
 これまでローミングを利用している場合
– Notes 8.5.1にアップグレード後、ワークスペースローミングを利用するかどう
かのダイアログが表示され、ユーザーが選択することが可能
 移行後は、Lotus Notesクライアントに以下の notes.iniが設定される
– WORKSPACE_ROAMING_STATUS=4
– WORKSPACE_IN_BOOKMARKS=1
※ダイアログは必ず表示される
35
IBM Software Group | Lotus software
ワークスペースローミング利用の考慮点
 ブックマークのサイズが大きくなる
ワークスペース情報が格納されるため
ローミングサーバーのディスク容量に注意
デスクトップの変換例(増量は、デスクトップのサイズに依存)
- 移行前:Bookmark.nsf 41,216KB、desktop8.ndk 118,016KB
- 移行後:Bookmark.nsf 119,410KB
 ワークスペース情報をブックマークに格納した場合は、その後のワークスペース
反映情報は desktop8.ndk には反映されない
 個人ビューはサポート外
36
IBM Software Group | Lotus software
ローミングファイル削除の承認省略
 Lotus Domino 8.5.1より、非ローミングへのダウングレードした時のローミングファイル
の削除が承認不要
– 旧来は、管理者による、システム管理要求の承認が必要
– Lotus Domino 8.5.1より、承認を省略するかどうかを管理クライアントで選択可
能。承認不要の場合は、システム管理プロセスが自動的にファイルを削除する。
<承認必要の削除>
<承認不要の削除>
37
®
Lotus Domino 8.5.1 ポリシー 新機能
© 2008 IBM Corporation
IBM Software Group | Lotus software
Lotus Domino 8.5.1 ポリシー新機能一覧
 Lotus Domino 8.5.1 ポリシー拡張項目
– notes.ini、ロケーションの配布
– 信頼された証明書の配布
– Eclipse管理設定の配布
– タイムスタンプ付きのプラグインJar署名の配布
– Lotus Notes以外のカレンダーユーザーとの相互運用性改善
– Lotus iNotes関連拡張
•
•
•
•
•
•
•
•
•
•
受信ボックスを自動的に更新
未読文書数を有効化、未読文書数を自動更新
スクロールヒントを有効にする
添付ファイルを開くときの警告を無効化
Eメールからイメージをフィルタで除外
開始時にサイドバーを表示
プリファレンスを表示
サーバー上でのアーカイブを許可、ローカルアーカイブを許可
メールの特記事項
Lotus Quickr連携(プロキシーサーブレットの設定)
39
IBM Software Group | Lotus software
notes.ini設定の配布
 notes.iniへのエントリ追加・変更をデスクトップポリシーにて実現
例えば、以下のような時に使用
- 文書内の画像サイズを小さくする為に、OptimizeImagePasteSizeを配布
- 8.5.1のDAOSのオブジェクトコピー最適化を使用する為に、Create_R85_Databasesを
配布
追加、もしくは、更新のみ配布可能。削除は不可
- 個人アドレス帳のポリシー文書の”$PrefValueName”フィールドで配布される
Lotus Notes 6.x、7.xでも動作
- TechNote 731355と同様の動きにインターフェースを追加
40
IBM Software Group | Lotus software
ロケーション設定の配布
 ロケーション文書へのフィールド追加・変更をデスクトップポリシーにて実現
追加、もしくは、更新のみ配布可能。削除は不可
- 個人アドレス帳のポリシー文書の”LocAllValueName”フィールドで配布される
Lotus Notes 6.x、7.xでも動作
- TechNote 731355と同様の動きにインターフェースを追加
41
IBM Software Group | Lotus software
信頼された証明書の配布
 インターネット認証者とLotus Notes証明書の相互認証文書の配布をセキ
ュリティポリシーにて実現
– 配布することで、相互認証を受け入れる必要がなくなる
– ドミノディレクトリにインターネット認証者文書、相互認証文書を作成し、
セキュリティポリシーにて配布
– 配布方法は、”すべてをサポート”、”選択されたものをサポート”の2種類
42
IBM Software Group | Lotus software
参考文献
 Lotus Notes/Domino 8.5.1 新機能概要
– http://www.ibm.com/developerworks/jp/lotus/ldd_tech/20091120_nd851.html
 (参考)Web クライアント用の Windows シングルサインオンに関するトラブルシューティング
(SPNEGO)
– http://www.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/733707
 Directory Assistance template(s) in Notes and Domino 8.5.1
– http://www.ibm.com/support/docview.wss?uid=swg27017280
 New DAOS features in Notes/Domino 8.5.1
– http://www.ibm.com/support/docview.wss?uid=swg21411307
 (参考)Lotus Notes 8.5.1 ユーザーに対してワークスペースのローミング機能が有効になっているか
どうかを確認する方法
– http://www.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/733677
 (参考)ポリシー設定によるクライアントの notes.ini および Eclipse プリファレンス設定の更新
– http://www.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/733105
 (参考)デスクトップポリシーを使用して notes.ini およびロケーションパラメーターを設定する
– http://www-06.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/731355
43
Fly UP