データを保護する
このタスクについて
Smartcard を Lotus Notes で使用する利点は、ユーザー ID をロックできることです。 Smartcard を使用しない場合は、ユーザー ID と Lotus Notes パスワードを知っていれば Lotus Notes にアクセスできます。 Smartcard を使用している場合に Lotus Notes にアクセスするには、ユーザー ID、Smartcard、Smartcard PIN が必要です。 また、Smartcard はクレジットカードのように持ち歩くことができるため、ユーザー ID が盗まれにくくなります。
注: Smartcard という用語には、暗号化トークンの意味も含まれます。 暗号化トークンとは、通常 USB ポートに差し込むハードウェア装置であり、その機能は Smartcard と同じです。
サポートされる Smartcard パッケージのリストについては、Lotus Domino サポートサイトを参照してください。
Smartcard ログインを有効にする 2 つの方法
Smartcard ログインを有効にするには、2 つの方法があります。 優先される方法は、Smartcard に保管された個人のインターネット証明書からプライベートキーを使用して ID ファイルを保護することです。 この方法では、インターネット証明書およびキーが事前に読み込まれている Smartcard の使用をサポートするため、Smartcard を変更する必要がなく、読み取り専用 Smartcards を使用できます。 また、ユーザーは Smartcard を使用して ID ファイルの複数のコピーを簡単に保護することもできます。 2 番目の方法は、Smartcard に追加されたシークレットを使用して ID ファイルを保護することです。 この方法には優先される方法の利点はありませんが、Lotus Domino リリース 6 との互換性用にサポートされています。
注意: Smartcard ログインを有効にする場合は、あらかじめ管理者に連絡しておいてください。 Smartcard を使用可能なユーザー ID を使用する前に、ユーザー文書のパスワードの有効期限が無効になっていることを管理者が確認する必要があります。
MicrosoftRWindowsR のパスワードと Lotus Notes のパスワードを同期する場合、または Lotus Notes のパスワードと IBMLotus Domino Web/インターネットパスワードのパスワードを同期する場合、Lotus Notes での Smartcard を使用したログインを有効にする前に、パスワードの同期を無効にする必要があります。
注意: Smartcard を使用する前に、ユーザー ID が復旧可能であることを管理者に確認しておく必要があります。 ユーザー ID の復旧について詳しくは、「ユーザー ID を復旧する」を参照してください。 Lotus Notes を複数のコンピュータから実行する場合、Smartcard の使用を有効にする前に、パスワードチェックを無効にする必要があります。
インターネット証明書キーで ID ファイルを保護することにより Smartcard ログインを有効にする (優先)
注: この手順では、ID ファイルを保護するために使用するインターネット証明書が Smartcard に保管されていることを想定しています。 これが ID ファイルに保管されている場合、この手順を実行する前に、a) ID ファイルをシークレットで保護して Smartcard ログインを有効にし、b) インターネットキーを Smartcard に移動する必要があります。
手順
1. Smartcard リーダーがコンピュータにインストールされていること、および管理者がユーザー ID の復旧情報を設定してあることを確認します。
2. Smartcard を Smartcard リーダーに挿入します。
3. Smartcard を保護するために使用されるインターネット証明書およびキーが Smartcard に保管されていなかった場合、Smartcard のベンダーの指示に従って、インターネット証明書を Smartcard にインポートします。
4. メニューで [ファイル] > [セキュリティ] > [ユーザーセキュリティ] を選択します。
5. [ユーザー情報] -> [Smartcard] をクリックします。
6. [Smartcard の設定] ダイアログボックスで、[Smartcard ドライバファイル] フィールドに PKCS #11 Smartcard ドライバファイルがあるディレクトリの完全パスを入力するか、フォルダボタンをクリックして参照します。 このファイルは、Smartcard リーダーをインストールしたときに追加されています。 パスは、C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL のようになります。
8. [ユーザー情報] -> [認証] をクリックします。
9. [インターネット証明書] を選択して、ID ファイルを保護するために使用する証明書を選択します。
10. [その他のアクション] -> [Smartcard のキーで ID ファイルをロック] をクリックします。
11. メッセージに従い、Lotus Notes のパスワードと Smartcard の PIN を入力します。 Smartcard ログインが有効であるというメッセージが表示されたら、次回以降 Lotus Notes にログインするときには Smartcard の PIN を使用する必要があります。
12. メッセージに従い、[Smartcard の設定] の [Smartcard ログインラベル] フィールドに、Smartcard のわかりやすい名前を入力します (Smartcard でサポートされている場合)。 例えば、「Jason's Smartcard」と入力します。
タスクの結果
注: コンピュータから離れるときは、Smartcard を忘れずに持参してください。 PKCS#11 バージョン 2.01 またはそれ以降の Smartcard ドライバセットを使用している場合、Smartcard リーダーから Smartcard を取り外すと、Smartcard を Smartcard リーダーに再装着して正しい PIN を入力するまで Lotus Notes の画面がロックされます。
注: ユーザー ID の追加コピーがある場合、これらの手順を繰り返して各コピーを Smartcard 対応にしてください。 または、Lotus Notes を一度に 1 台限りのコンピュータから実行する場合、この手順で Smartcard 対応にした ID を使用時に各コンピュータにコピーしてください。
Smartcard に保管されたシークレットで ID ファイルを保護することにより、Smartcard ログインを有効にする
トピックの前の部分で説明された優先方法を使用できない場合に限り、この方法を使用して Smartcard ログインを有効にしてください。
3. メニューで [ファイル] > [セキュリティ] > [ユーザーセキュリティ] を選択します。 .
4. [ユーザー情報] -> [Smartcard] をクリックします。
5. [Smartcard の設定] ダイアログボックスで、[Smartcard ドライバファイル] フィールドに PKCS #11 Smartcard ドライバファイルがあるディレクトリの完全パスを入力するか、フォルダボタンをクリックして参照します。 このファイルは、Smartcard リーダーをインストールしたときに追加されています。 パスは、C:\Schlumberger\Smart Cards and Terminals\Common Files\SLBCK.DLL のようになります。
7. [Lotus Notes を Smartcard で使用する] の [Smartcard ログインを有効にする] をクリックします。
8. メッセージに従い、Lotus Notes のパスワードと Smartcard の PIN を入力します。 Smartcard ログインが有効であるというメッセージが表示されたら、次回以降 Lotus Notes にログインするときには Smartcard の PIN を使用する必要があります。
9. メッセージに従い、[Smartcard の設定] の [Smartcard ログインラベル] フィールドに、Smartcard のわかりやすい名前を入力します (Smartcard でサポートされている場合)。 例えば、「Jason's Smartcard」と入力します。
注: ユーザー ID ファイルのコピーがある場合、それをこの手順で Smartcard ログイン用に有効にしたユーザー ID ファイルのコピーに置き換えます。
インターネットキーを Smartcard に保存するには
インターネット認証機関による証明書ではなく、個人のインターネット証明書で発行されるインターネットのパブリックキーとプライベートキーを Smartcard に保存できます。 インターネットキーを Smartcard に保存すると、ユーザー ID に保存するよりも安全性が高くなります。 インターネットキーセットを Smartcard に移動した後は、プライベートキーを除く証明書自体のみを別のファイルにエクスポートできます。
630 ビットのプライベートキーなどの一部のキーは Smartcard に保存できません。
インターネットキーに関連づけられた X.509 認証も Smartcard に保存されます。 この証明書と証明書に関連付けられたキーは、[ユーザーセキュリティ] ダイアログボックスで [認証] をクリックし、ドロップダウンリストから [インターネット証明書] を選択すると表示されます。
注意: インターネットキーは、Smartcard に保存した後には削除できません。 Smartcard に保存されているキーは、ユーザー ID の復旧が有効にされた後でのみ復旧できます。キーを Smartcard に保存した後でユーザー ID の復旧情報が変更された場合、それらのキーを直接復元することはできません。 インターネットキーを復旧しないと、そのキーで暗号化されたデータは二度と読み出すことはできなくなります。 インターネットキーが復旧可能であるかどうかを管理者に確認してから、以降の手順を実行してください。
1. [ファイル] -> [セキュリティ] -> [ユーザーセキュリティ] をクリックします。 .
2. メッセージに従って PIN を入力します。
3. [ユーザー情報] -> [認証] をクリックします。
4. [インターネット証明書] を選択します。
5. Smartcard に移動するインターネットキーに対応するインターネット証明書を選択します。
6. [その他のアクション] -> [Smartcard にプライベートキーを移動] をクリックします。
7. この操作を取り消すことはできないという警告が表示されたら、[はい] をクリックします。
8. 確認のため、PIN を入力します。
9. キーが正しく保存されたことを確認するメッセージが表示されます。
Smartcard に既に保存されているインターネット証明書を使用する
インターネット証明書が既に保存された状態で Smartcard が提供された場合、Lotus Notes は、それらの証明書を Lotus Notes Client にインポートすることなく、検索して使用することができます。 このような証明書は、RSA 非対称クライアント署名用の「PKCS#11: 準拠プロファイル仕様」に従わなければなりません。 従っていない場合は、手動で ID ファイルにインポートする必要があります。
[ユーザーセキュリティ] ダイアログボックスに表示されるインターネット証明書、またはインターネットメールの暗号解除や SSL クライアント認証に使用されるインターネット証明書が Lotus Notes で検索された場合、Smartcard に保存されているインターネット証明書は、ユーザー ID ファイルのインターネット証明書と共に使用することができます。
まだ ID ファイルに含まれていないインターネット証明書が保存された Smartcard を持っている場合に、インターネットメールに署名する場合、Smartcard の証明書から新しい署名用証明書を選択するオプションをダイアログボックスのプロンプトで指定できます。 Smartcard で新しい証明書が検索されなかった場合は、デフォルトの署名用証明書が使用され、プロンプトは表示されません。
インターネット証明書のコピーが ID ファイルと Smartcard に保存されている場合、Lotus Notes では ID ファイルに保存されている証明書が使用されます。
インターネット証明書を Smartcard から呼び出すには
インターネット証明書を呼び出して Lotus Notes ID ファイルに保存すると、Lotus Notes で検索して使用することができます。
注: このオプションは、シークレットで ID ファイルを保護することにより Smartcard ログインを有効にしたユーザーにのみ該当します。
1. [ファイル] > [セキュリティ] > [ユーザーセキュリティ] を選択します。
4. [認証の取得] をクリックします。 ドロップダウンリストが表示され、証明書を ID ファイルにインポートするさまざまな方法がリストされます。
5. [Smartcard からインターネット証明書のインポート] を選択します。 こうすると、現在の Smartcard からすべての使用可能な証明書がインポートされます。
Smartcard の詳細設定を表示するには
Lotus Notes 用に設定されている Smartcard または暗号化トークンに関するすべての設定情報を表示することができます。
1. [ファイル] -> [セキュリティ] -> [ユーザーセキュリティ] をクリックします。
3. [ユーザー情報] -> [Smartcard] をクリックします。
4. [設定の詳細] をクリックします。 [Smartcard の設定] ダイアログボックスが表示されます。
5. オプション: [スロットの選択] をクリックします。 [スロットの選択] ダイアログボックスが表示されます。 暗号化トークンに関する情報に加え、Smartcard リーダーまたは暗号化トークンリーダーによって使用されている PC のすべてのスロットのリストボックスも表示されます。 リストから番号を選択して、そのスロットで使用されている Smartcard またはトークンに関する詳細を表示します。
関連概念 パスワードを変更する メールの暗号化と署名にパブリックキーとプライベートキーを使用する方法 認証を使用してサーバーにアクセスする
関連タスク ほかの Lotus Notes ベースのプログラムでパスワードを使用する Lotus Notes のパスワードと Lotus Domino の Web/インターネットパスワードを同期する ユーザー ID を切り替える パスワードチェック ユーザー ID を復旧する