目次

組織内で信頼できる署名者を限定し、クライアントの ECL でこれらの署名者しか信頼しないように設定していない限り、最初のステップとして、現在の ECL を綿密に調べることが大切です。アクセスできるユーザーを厳密に制御している場合は、以下の手順は必要ありません。しかし、ECL がオープンな設定になっている場合は、以下の手順を実行し、これを ECL の管理と維持のスターティングポイントとしてください。ここでは、合理的なシステム管理 ECL を作成する方法と、ECL を配布する方法を説明します。また、ECL を維持していく上でのヒントも紹介します。この方法にしたがうと、環境に応じた最強のセキュリティを短時間で構築できます。

厳密な ECL を導入するための推奨事項は、次の 5 つのステップに分かれています。

• システム管理 ECL 用の情報を収集します。
• システム管理 ECL を作成します。
• 新規のシステム管理 ECL を配布します。
• ECL を維持します。
• その他の事項について考察します。

1. ワークステーションの ECL から、以下を除くすべてのエントリを削除します。

• */org 形式のすべてエントリ (org はローカルのドメイン/組織です)
• -Default-
• -署名なし-
• Lotus Notes Template Development/Lotus Notes

メモ Sametime や Lotus Fax など、使用すると分かっているアプリケーションの署名に使用される識別子を同一に保ちたいという場合もあります。

メモ 上記のエントリがリストに含まれないときは、そのエントリは不要である考えられます。したがって、そのエントリを ECL に追加する必要はありません。

3. 残りのエントリを次のように変更します。

署名者	実行できる操作
*/org 形式のエントリ (org はローカルのドメイン/組織)	選択されている項目をすべて解除します。デフォルトでは、操作を実行する権限はありません。
-Default-	選択されている項目をすべて解除します。デフォルトでは、操作を実行する権限はありません。
-署名なし-	選択されている項目をすべて解除します。デフォルトでは、操作を実行する権限はありません。
Lotus Notes Template Development/Lotus Notes	すべての項目を選択します。このエントリは、すべての操作を実行する権限を持ちます。

4. 一定の期間内 (1 週間もあれば十分) は、[セキュリティ違反] ダイアログボックスが表示されたときに、次の点に注意して [署名者の有効化] をクリックします。

• [-署名なし-] による操作は、どのような操作も許可しません。
• 奇妙な署名者や見慣れない署名者に対しては、[実行] をクリックする前に、セキュリティ管理者に連絡します。

メモ 前のバージョン (R5.0.2 以前) のノーツクライアントを使っているユーザーは、組織内のすべてのユーザーを信頼するかどうかを問うダイアログボックスで、[いいえ] を選択しなければなりません。

信頼できる署名者を限定していない限り、結果として得られる ECL は、スタート時よりもかなり大きなサイズになるはずです。

システム管理 ECL の作成
一定の期間が過ぎた後は、セキュリティ管理者は ECL の結果に基づいて、新しいシステム管理 ECL を作成します。新しい ECL はユーザーの ECL をまとめたものでなければなりません。

1. ドミノディレクトリで、[アクション] - [操作制御リストの編集] を選択します。

2. ユーザーの ECL の情報に基づいて、システム管理 ECL を変更します。

ユーザー、グループ、ドメインから権限を取り除きたい場合でも、ECL にそのエントリを追加します。リストに追加することにより、ユーザーの既存のエントリを書き換え、ユーザーによる許可を取り消すことができます。テストユーザーの ECL で削除したエントリの記録を使い (前の「システム管理 ECL の情報を収集する」の手順 2 参照)、ECL に再び現れていないエントリを確認します。そして、実行権限を与えずにこのエントリを追加します。

新規のシステム管理 ECL の配布
システム管理 ECL を更新した後は、変更内容をすべてのユーザーに配布します。

R5.0.4 以前の場合
1. ECL を変更したドミノディレクトリがドメイン全体に複製されたことを確認します。

2. ECL を更新したいユーザー宛のメールを作成します。

3. 次の式を実行するボタンを作成します。


@RefreshECL (server : database ; name)

server : database は文字列リストで、サーバーのロケーションと、システム管理 ECL から更新するドミノディレクトリ（NAMES.NSF）のファイル名を指定します。

name は文字列で、ECL 名を指定します｡ "" (null) を指定すると名前なしの ECL が対象となります。たとえば サーバー SERVER1上の NAMES.NSF にある名前なしの ECL をしていするには、 @RefreshECL の式は次のように記述します。

@RefreshECL("server1":"names.nsf";"")

この @関数の詳細については、『R5 デザイナーヘルプ』を参照してください。

メモ メールメッセージ内のアクティブコンテントが失われる、MIME を使用可能にしているユーザーには、特定のノーツデータベース内の文書にボタンを追加して、その出たーベース内で ECL 更新を行うように指示してください。


4. メールの目的とボタンをクリックする指示を記述します。

5. メールを送信します。


R5.0.5 以降の場合
1. ECL を変更したドミノディレクトリがドメイン全体に複製されたことを確認します。

2. ECL を更新したいユーザー宛のメールを作成します。

3. メールの目的と、ユーザーが次の操作を行う旨の説明を記述します。

• メニューから、[メニュー] - [プリファレンス] - [ユーザー] を選択します。
• [セキュリティオプション] をクリックします。
• [更新] をクリックします。
• [OK] をクリックします。
4. メールを送信します。

• [-署名なし-] による操作は、どのような操作も許可しません。
• 奇妙な署名者や見慣れない署名者に対しては、[実行] をクリックする前に、セキュリティ管理者に連絡します。セキュリティ管理者はこれらの署名者について調査し、必要であればシステム管理 ECL を更新し、再配布します。

-------------------------------------------------------------------------------------------------------------------------------------------
Web に接続している場合は 、 ここをクリックするとこの文書についてのコメントをロータスに送信できます。