Comments
Transcript
Lotus Notes/Domino 6.5 Windows 2005 Lotus
® IBM Software Group Lotus Notes/Domino 6.5 Windows環境統合機能利用時の注意点 2005年4月 日本アイ・ビー・エム株式会社 ソフトウェア事業 Lotusテクニカル・セールス © 2004 IBM Corporation IBM Software Group | Lotus software 特記事項 本資料の記載内容は、正式な IBM のテストやレビューを受けておりません。 内容について、できる限り正確を期すよう努めてはおりますが、いかなる明 示または暗黙の保証も責任も負いかねます。本資料の情報は、使用先の 責任において使用されるべきものであることを、あらかじめご了承ください。 掲載情報は不定期に変更されることもあります。他のメディア等に無断で転 載する事はご遠慮ください。 本資料の著作権は日本アイ・ビー・エムにあります。非営利目的の個人利 用の場合において、自由に使用してもかまいませんが、営利目的の使用は 禁止させていただきます。 IBM、WebSphere、は IBM Corporation の商標です。 Lotus、Lotus Notes、Lotus Dominoは IBM-Lotus の商標です。 その他、記載された社名および製品名は、それぞれ各社の商標または登 録商標です。 2 IBM Software Group | Lotus software Agenda 1. はじめに ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 4 2. ADSync/ADDUS ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5 3. Windowsシングル・パスワード・ログオン ・・・・・・・・・・・・・・・・・・・・・・・・・12 4. マルチ・ユーザー ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・18 5. 参考情報 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 20 3 IBM Software Group | Lotus software 1.はじめに この資料は、Windowsサーバー/クライアント環境で Lotus Notes/Dominoを 利用する際に便利な、以下の機能についての注意点等をまとめたものです。 Windows (Active Directory:AD)と、Lotus Domino (Domino Directory:DD)のユー ザー情報を同期させ、管理の手間を削減したい ⇒ADSync/ADDUS NotesユーザーIDのパスワード入力画面をスキップしたい(Windowsログオンをもっ てNotesについても認証されたものとみなし、 NotesユーザーIDのパスワード入力 の手間を省きたい) ⇒Windowsシングル・パスワード・ログオン 1台のWindowsマシンを複数のユーザーで利用しているが、Notesのブックマーク や個人アドレス帳は Windowsにログオンするユーザー毎に別のものを使いたい (NotesクライアントのユーザーID切り替え機能ではブックマークやアドレス帳の情 報が共有されるので不便だ) ⇒マルチ・ユーザー・インストール 4 IBM Software Group | Lotus software 2.ADSync/ADDUS ADSyncは、Active Directory (AD)と Domino Directory (DD)のユーザー登 録、変更、削除のタスクを、Microsoft管理コンソール(MMC)より一括して行 う為の MMCスナップ・インです。 ADDUS (Active Directory Domino Upgrade Service)は、Domino Administratorより Domino Directoryと Active Directoryの双方にユーザー を登録、削除する機能です。 5 IBM Software Group | Lotus software 2.ADSync動作フロー Windows Server Active Directoryドメインコントローラー (Windows 2000/2003) Lotus Domino 6/6.5サーバー 2.MMCに入力した情報を利用して AD、DDの 双方にユーザーを登録/変更/削除 (Domino固有の設定はポリシーを用いて指定) 1.ドメイン管理PC上で、マイクロソフト管理コンソール(MMC) によりユーザー登録/変更/削除 Windowsドメイン管理PC Domino Administrator (同一マシンにセットアップ) 6 IBM Software Group | Lotus software 2.ADDUS動作フロー (ADのユーザー情報を利用してDominoにユーザー登録) Windows Server Active Directoryドメインコントローラー (Windows 2000/2003) Lotus Domino 6/6.5サーバー 2.Domino Administratorで入力した情報を利用して、 Dominoにユーザーを登録 (Domino固有の設定は通常登録と同様に指定可能) 1.ドメイン管理PC上で、Domino Administraor よりユーザー登録(「ユーザーの移行」ボタンを利用して Active Directoryのユーザー情報を参照して登録可能) Windowsドメイン管理PC Domino Administrator (同一マシンにセットアップ) 7 IBM Software Group | Lotus software 2.ADDUS動作フロー (ADとDominoに同時にユーザー登録) Windows Server Active Directoryドメインコントローラー (Windows 2000/2003) Lotus Domino 6/6.5サーバー 2.Domino Administratorで入力した情報を利用して、 AD、DDにユーザーを登録 (Domino固有の設定は通常登録と同様に指定可能) 1.ドメイン管理PC上で、Domino Administrator よりユーザー登録(ユーザー登録時に「その他」タブの 「Windowsユーザーオプション」より指定) Windowsドメイン管理PC Domino Administrator (同一マシンにセットアップ) 8 IBM Software Group | Lotus software 2.ADSync/ADDUS利用時の注意点-日本語名利用不可 Lotus Notes/Dominoは旧リリースとの互換性を考慮し、基本名(姓/名)としてダブルバ イト文字を利用できません(「Alternate Name(別名)」としてダブルバイト文字を扱う事は 可能)。 Active Directoryは基本の姓/名でダブルバイト文字を扱うことができます(Domino Directoryの「別名」に相当する機能がありません)。 Active Directoryで日本語ユーザー名を利用している場合、Domino Directoryの基本名 に相当する情報(シングル・バイト文字のユーザー名)が Active Directory上に存在しな い為、Domino Directoryにそのまま情報を登録することができません。 ADの登録ウィザードで入力した「姓」「名」がDDへの登録時にも利用されるが、 DDでは基本名としてダブルバイトを利用不可能 9 IBM Software Group | Lotus software 2.ADSync/ADDUS利用時の注意点-日本語名利用不可 また、日本語版の Lotus Notes/Domino R5.x以降では「別名」機能を応用し た「DJX (Domino directory Japanese eXtension、 ドミノディレクトリ日本語 拡張機能)」)という機能を提供しています。DJXは単なる日本語名の扱いだ けでなく、あらかじめ登録した部署別、役職別の宛先検索機能や独自の ユーザー登録インターフェース等の機能を持っています。これらの機能は 日本語版独自のため、ADSync/ADDUSと併用することは出来ません。 10 IBM Software Group | Lotus software 2.ADSync/ADDUS利用時の注意点-その他 ADSync/ADDUSには、Notesのパスワード・クォリティスケールとWindowsの セキュリティ・ポリシーとを同期させる機能はありません。ADSync/ADDUS では、AD、DD双方に対し同じユーザー情報を同時に登録、変更、削除しま すので、パスワードは両方のサーバーのパスワード・ポリシー要件を満たす ものを設定してください。 ADSyncは、Notes/Domino 6.5.3より、Windows Server 2003の Active Directoryに対応しています。 Domino Directoryに登録されている情報を Active Directoryにコピーする機 能はありません(Active Directory → Domino Directoryの一方通行)。 IBM Tivoli Directory Integratorを利用する事で、Active Directory、Domino Directoryを含む各種ディレクトリーとのデータ同期を行うことが出来ます(例 えば、Domino Directoryに対して行ったユーザー情報のメンテナンスを、AD を含む他のディレクトリーに反映することが可能です)。 http://www-6.ibm.com/jp/software/tivoli/products/directory.html 11 IBM Software Group | Lotus software 3.Windowsシングル・パスワード・ログオン動作フロー (ログオン時) Windowsログオン時に入力したパ スワード情報を利用して、Lotus Notes起動時のユーザーIDのパス ワード入力をスキップする機能で す(Domino/Webでのログオン入力 はスキップできません)。 Windows Server Active Directoryドメインコントローラー (Windows 2000/2003) 1.Windows起動時にパスワードを入力する 2.ドメインコントローラーにて認証を受ける 3.正常にログオン時できた場合、パスワード情報が クライアントPCでキャッシュされる Windows 2000/XP (ドメインのメンバーPC) 4.Lotus Notesを起動すると、IDファイルのパスワード入力画面がスキップされる (キャッシュされたパスワード情報を元に自動的に認証が行われる) 12 IBM Software Group | Lotus software 3.Windowsシングル・パスワード・ログオン動作フロー (パスワード変更時) Lotus Domino 6/6.5サーバー Windows Server Active Directoryドメインコントローラー (Windows 2000/2003) 3.Dominoサーバーのシステム管理要求として、 インターネットパスワードの変更要求が 登録される(システム管理プロセスの実行時に 実際に処理される)。 2.ドメインコントローラー上でWindowsアカウントの パスワード変更が反映される 1.Windowsユーザーアカウントもしくは NotesユーザーIDのパスワードを変更する 2.NotesユーザーIDのパスワードが変更される Windows 2000/XP (ドメインのメンバーPC) 13 IBM Software Group | Lotus software 3.Windowsシングル・パスワード・ログオン クライアントのインストール時に明示的に「シングル・パスワード・ログオン」機能を 選択してセットアップする必要があります。 セットアップ後、「Lotus Notes Single Logon」という名前のWindowsサービスが追加 されます。インストール直後に自動的にサービスは開始されないため、1度 Windowsを再起動してください(次回Windows起動時より、サービスが自動起動しま す)。 14 IBM Software Group | Lotus software 3.Windowsシングル・パスワード・ログオン Windowsと Lotus Notesのパスワードを同じものに変更します(「Lotus Notes Single Logon」サービスが起動していて、なおかつパスワードが同一のものに設定 されていない場合は、Lotus Notes起動時に変更を促すポップアップ・メッセージが 表示されます)。 Windowsログオン・パスワードを変更すると、NotesユーザーIDのパスワードも同じ ものに設定されます。 NotesクライアントからIDファイルのパスワードを変更すると、Windowsログオン・パ スワードも同時に変更されます(Notes 6以降)。この場合、変更を行った時に Windowsにログオンしているアカウントが、パスワード変更の対象となります。 Active Directoryドメインへログオンしていれば ドメインに登録されているユー ザー・アカウントのパスワードが変更されます(ローカル・ログオンしている場合は ローカルのアカウントが変更されます)。また、確認の為Windowsについても古いパ スワードの入力が求められます。 15 IBM Software Group | Lotus software 3.Windowsシングル・パスワード・ログオン Windowsと Notesのパスワード・ポリシーの設定は同期されません。Windows(ドメ インの「パスワードのポリシー」)、Notes(ユーザー登録時にパスワードのクォリ ティ・スケールを設定する、もしくは「セキュリティ」ポリシー設定を行う)に対してそ れぞれ行う必要があります。 Domino 6以降では NotesユーザーIDのパスワード変更時に、自動的にNotesイン ターネット・パスワードを変更する機能が提供されています(ユーザー登録時に、 個別にチェックボックスを有効にするか、セキュリティ・ポリシー設定を利用して設 定を有効にする必要があります)。この場合、パスワード変更はシステム管理プロ セスを用いて行われるため、変更が即座に反映されるとは限りません。 16 IBM Software Group | Lotus software 3.Windowsシングル・パスワード・ログオン Lotus Notes/Domino 6以降では「ユーザー・セキュリティ」のプリファレンス画面が 追加されました(Lotus Notes 6.xクライアントの「ファイル」メニューより「プリファレン ス」→「セキュリティ」を選択します)。 「管理者が Domino/Webインターネット・パスワードをNotesパスワードに一致させ ることを許可しない」を選択すると、上記の「NotesユーザーIDとインターネット・パ スワード同期機能」が無効になります。 「OSのログインを使ってNotesにログインする」を選択解除すると、シングル・パス ワード・ログオン機能が無効になります(「Lotus Notes Single Logon Service」が Windows起動時に自動的に起動しなくなります。この場合、パスワード変更も個別 に行う必要があります)。 17 IBM Software Group | Lotus software 4.マルチ・ユーザー・インストール 1台の Windowsマシンを複数のユーザーで使い分ける際に、Notesについて も使い分けを行う機能です。 Lotus Domino Administratorを含むセットアップCD-ROM(もしくはインストール・ファ イル)ではマルチ・ユーザー・インストールができません。Windows版の Lotus Notesクライアントのみが含まれるキットを利用してインストールしてください。 インストール・ウィザードでマルチ・ユーザー・インストールを行うかどうか指定しま す。既に Notes 6.xがシングル・ユーザーとしてセットアップされたマシンでは、再イ ンストールを行う必要があります(既存ユーザーのデータは必ずバックアップしてく ださい)。 18 IBM Software Group | Lotus software 4.マルチ・ユーザー・インストール Lotus Notesのデータ・ディレクトリーは通常と異なり、Windowsユーザー・プロファ イル(Windowsユーザー・アカウント毎の個別の設定情報やデータ)が保存される フォルダの配下に設定されます(デフォルトでは”X:¥Documents & settings¥<ユー ザー名>¥ApplicationData¥Lotus¥Notes¥Data”)。 Windowsユーザー・プロファイルを管理者側で設定している(固定ユーザープロファ イル、移動ユーザープロファイル等を利用している)場合は、Lotus Notesのマル チ・ユーザー機能の利用を避けることをお勧めします。 Windowsユーザーと、Lotus Notesユーザーは基本的に1対1で対応します(1つの Windowsユーザー・アカウントを複数人で共有して Windowsにログオンし、Lotus Notesだけ個別に設定を使い分けたり、その逆のようなことを行うことを想定した 機能ではありません)。 1台のクライアント・マシンに複数のユーザーのLotus Notesデータ・ディレクトリー が配置されるため(通常のデータ・ディレクトリー同様に個人アドレス帳、ブックマー ク等の各種nsfファイルやIDファイルが存在します)、セキュリティに関しては細心 の注意を払ってください(Windowsのファイル/フォルダに対するアクセス権を厳密 に設定する、ローカル・レプリカの暗号化を徹底するなど)。 19 IBM Software Group | Lotus software 5.参考情報 DominoディレクトリとActive Directoryとの連携 http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/ldd_tech_X_ddandad_renkei Lotus ADSync を利用した Active Directory との同期化(Redbook日本語版) http://www-6.ibm.com/jp/support/redbooks/Lotus/REDP0605_jpn.pdf Lotus Notes/Domino 6ローミング・ユーザー/マルチ・ユーザー機能利用ガイド http://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/ldd_tech_X_Domino6_Roaming_guide 20