認証期限切れのIDを再認証しよう
みなさん、こんにちは。
海の日が過ぎたのに、まだ関東は梅雨明けしてないそうです。
毎年、この梅雨入り/梅雨明けはいつだったのか?なんて議論があるので、いっそのことやめてしまえばいいのに・・・なんて思ってる今日この頃です(笑)
さて、今日はNotes IDの認証期限についてのお話です。
本番環境では認証期限が切れることはまずないと思います(事前に通知されますよね)。
ですが、私のように開発環境を複数所持している場合、誤って認証期限を切らせてしまうこともあります(いえ、ほんとはあってはならないことなんですけどね・・・)
さて、そんなときはどうすれば良いのでしょうか?
新しいユーザを作成する?いえいえ、まだ諦めるのは早いですよ。
認証者ID(cert.id)の認証期限さえ切れていなければ、まだ復旧できるのです。
ということで、手順を確認していきましょう。
※環境の都合上、 Lotus Domino 8.0.2を使用しますが、8.5.x以降も同様の操作での復旧が可能です。
まずは、シナリオの確認です。
DominoサーバのNotes DB(今回は、ドミノディレクトリ)にアクセスしてみます。
・・・思いっきりエラーで弾かれてしまいました。
画面では1回しかエラーダイアログが表示されていませんが、なぜか3回ほどこのエラーが表示されました(フレームセットの影響かな?)
次に下のようなダイアログが表示されました。
まだNotes/Dominoの攻撃はやみません。
止め!と言わんばかりにステータスバーにもエラーが表示されています。
次の手順で認証期限が有効なのか、無効なのかを確認します。
Notesクライアントの
[ファイル][セキュリティ][ユーザーセキュリティ]メニューを実行します。
ユーザーIDのパスワードを入力すると、下図のようなダイアログが表示されます。
画面をよく見ると、「警告」 ということで有効期限が切れていることが通知されています(画面赤枠内)。
ここは[キャンセル]をクリックして元の画面に戻ります。
Domino Administrator(管理者クライアント)を起動します。
一番右にある[設定]タブを開きます。
画面右側にある「ツール」をクリックしてメニューを展開します(すでに展開していたら何もしない)。
さらに[認証]メニューをクリックして展開します。そこに[認証]というめにゅーがあるので、そこをクリックします(下図参照)。
すると、認証者の選択というダイアログが表示されるので、サーバーをLocalに変更します。
※[サーバー]というボタンをクリックすることで変更可能です(バージョンによっては、ローカルと表示されることがあります)。
認証者IDの欄には、認証者IDのファイル名が指定されていることを確認します。
※これが誤っていたら復旧できません!
変更したら、[OK]をクリックします。
次に認証者IDのパスワードを入力して[ログイン]をクリックします。
今度は、認証したいユーザーIDの選択画面になるので、3.で確認したユーザーIDのファイルを選択します。
ユーザーのパスワード入力画面になるので、パスワードを入力して[ログイン]をクリックします。
すると、認証場所をLocalにしているせいなのか、「エントリが索引に見つかりません」というエラーを表示してきます。
しかし、そんなのはわかってやっているので、[はい]をクリックします。
次にようやく「IDの認証」ダイアログが表示されます。
ここで初めて、有効期限がいつまでだったのかが表示されます(笑)下図ではなんとまぁ、1年前に切れていましたね(※実際には有効期限は切れていなかったのですが、今回の記事のためにわざわざ有効期限を期限切れにしてみました)
「有効期限(新)」というフィールドには2年後の日付がセットされています。これはデフォルトの設定です。ただ、開発環境で2年ごとに有効期限の延長なんてやってられません。ここは大きく、延長してみましょう(実際の環境では2-3年にしておくことをお勧めします)。
思い切って、「9999/12/31 23:59:59」にしてみました(笑)絶対に生きてないって・・・
ということで、「有効期限(新)」に新しい認証期限を入力したら[認証]をクリックします。
何事もなく、下図のダイアログが表示されたら成功です。
無事に認証期限は延長されました。[いいえ]をクリックして処理を終了します。
そこで、ユーザーIDの情報を確認して認証期限がどうなったのかを見てみます。
3.で実施した方法とは別のやり方で確認してみます。
Domino Administrator(管理者クライアント)の画面で、さきほど使用した「設定」タブ内の[ツール][認証][IDのプロパティ]メニューをクリックします(下図参照)。
「調査するIDの選択」というダイアログが表示されるので、ユーザーIDを選択して[開く]をクリックします。
ユーザーIDのパスワードを入力して[ログイン]をクリックします。
「ID プロパティ」というダイアログが表示されます。そこには認証期限が表示されています。が・・・
なんと、「2114/09/10」になっています。確かに「9999/12/31 23:59:59」と入力したのですが・・・
どうやら、Notesの認証期限の限界は2114年9月10日のようです(あくまでLotus Notes/Domino 8.0.2の場合)。
といっても、ここまで誰も生き残ってないでしょうから(笑)、確認のしようがありません。でも十分すぎるほどの日付でしょう。
さて、認証期限の確認ができたので、実際にDominoサーバにアクセスできるかどうかを確認してみます。
この画面では[OK]をクリックしてダイアログを閉じます。
さらに、Domino Administrator(管理者クライアント)も終了しておきます。
エラーにならずにドミノディレクトリが開けたはずです。
はい。これで無事にユーザーIDの復旧ができました。
確認作業を入れているため、多くの手順があったように見えますが、実際の復旧手順としては「4.IDの復旧」の箇所だけです。
そう考えると、そんなに大変ではないな。と感じてくれれば幸いです。
なお、同じ内容のドキュメントがIBM様のサイトに出ていますので、こちらもよく読んでおきましょう。
画面ショットがないのでわかりにくいですが、書かれたとおりにやれば復旧できますよ。
(参考)期限切れ ID を手動で再認証する方法
管理者の ID ファイルの有効期限が切れた場合の回復手順について
では今日はこの辺で・・・
海の日が過ぎたのに、まだ関東は梅雨明けしてないそうです。
毎年、この梅雨入り/梅雨明けはいつだったのか?なんて議論があるので、いっそのことやめてしまえばいいのに・・・なんて思ってる今日この頃です(笑)
さて、今日はNotes IDの認証期限についてのお話です。
本番環境では認証期限が切れることはまずないと思います(事前に通知されますよね)。
ですが、私のように開発環境を複数所持している場合、誤って認証期限を切らせてしまうこともあります(いえ、ほんとはあってはならないことなんですけどね・・・)
さて、そんなときはどうすれば良いのでしょうか?
新しいユーザを作成する?いえいえ、まだ諦めるのは早いですよ。
認証者ID(cert.id)の認証期限さえ切れていなければ、まだ復旧できるのです。
ということで、手順を確認していきましょう。
※環境の都合上、 Lotus Domino 8.0.2を使用しますが、8.5.x以降も同様の操作での復旧が可能です。
まずは、シナリオの確認です。
1.シナリオ
- 管理者ユーザ(Domino Administrator/Win2008R2)の認証期限が切れている
- 管理者ユーザのパスワードは覚えており、ログインは可能
- Dominoサーバは稼働可能(サーバーIDの認証期限は切れていない)
- 認証者ID(cert.id)の認証期限は切れていない
- 管理者ユーザはDominoサーバにアクセスできない
- 上記の状態で、管理者のユーザIDの認証期限を更新して、Dominoサーバにアクセスできるようにする
2.現象の確認
まずは本当にIDの認証期限が切れているのか、Dominoサーバにアクセスできないのかを確認してみます。DominoサーバのNotes DB(今回は、ドミノディレクトリ)にアクセスしてみます。
・・・思いっきりエラーで弾かれてしまいました。
 |
| 認証期限切れにより、Notes DBへのアクセス不可 |
画面では1回しかエラーダイアログが表示されていませんが、なぜか3回ほどこのエラーが表示されました(フレームセットの影響かな?)
次に下のようなダイアログが表示されました。
 |
| くどい!と思われるエラーダイアログ |
まだNotes/Dominoの攻撃はやみません。
止め!と言わんばかりにステータスバーにもエラーが表示されています。
 |
| もう、わかりましたよ・・・ってと心が折れそうなメッセージの表示 |
3.IDの認証期限の確認
エラーメッセージが表示されましたが、それでも本当に認証期限が切れたのか?と疑ってしまうあなた。次の手順で認証期限が有効なのか、無効なのかを確認します。
Notesクライアントの
[ファイル][セキュリティ][ユーザーセキュリティ]メニューを実行します。
 |
| ユーザーIDの情報を確認するためのメニューを実行 |
ユーザーIDのパスワードを入力すると、下図のようなダイアログが表示されます。
画面をよく見ると、「警告」 ということで有効期限が切れていることが通知されています(画面赤枠内)。
 |
| 確かに有効期限が切れている・・・ |
ここは[キャンセル]をクリックして元の画面に戻ります。
4.IDの復旧
では、実際にユーザーIDの認証期限を延長してみます。Domino Administrator(管理者クライアント)を起動します。
一番右にある[設定]タブを開きます。
画面右側にある「ツール」をクリックしてメニューを展開します(すでに展開していたら何もしない)。
さらに[認証]メニューをクリックして展開します。そこに[認証]というめにゅーがあるので、そこをクリックします(下図参照)。
 |
| 認証メニューを実行します |
すると、認証者の選択というダイアログが表示されるので、サーバーをLocalに変更します。
※[サーバー]というボタンをクリックすることで変更可能です(バージョンによっては、ローカルと表示されることがあります)。
 |
| 認証場所をサーバーからLocalに変更します |
認証者IDの欄には、認証者IDのファイル名が指定されていることを確認します。
※これが誤っていたら復旧できません!
変更したら、[OK]をクリックします。
次に認証者IDのパスワードを入力して[ログイン]をクリックします。
今度は、認証したいユーザーIDの選択画面になるので、3.で確認したユーザーIDのファイルを選択します。
 |
| 認証期限が切れているユーザーIDを選択します |
ユーザーのパスワード入力画面になるので、パスワードを入力して[ログイン]をクリックします。
 |
| パスワード入力画面、わかりますよね? |
すると、認証場所をLocalにしているせいなのか、「エントリが索引に見つかりません」というエラーを表示してきます。
しかし、そんなのはわかってやっているので、[はい]をクリックします。
 |
| ドミノディレクトリでも検索してるのかな? |
次にようやく「IDの認証」ダイアログが表示されます。
ここで初めて、有効期限がいつまでだったのかが表示されます(笑)下図ではなんとまぁ、1年前に切れていましたね(※実際には有効期限は切れていなかったのですが、今回の記事のためにわざわざ有効期限を期限切れにしてみました)
 |
| 有効期限はいつまで入力可能なのかな? |
「有効期限(新)」というフィールドには2年後の日付がセットされています。これはデフォルトの設定です。ただ、開発環境で2年ごとに有効期限の延長なんてやってられません。ここは大きく、延長してみましょう(実際の環境では2-3年にしておくことをお勧めします)。
思い切って、「9999/12/31 23:59:59」にしてみました(笑)絶対に生きてないって・・・
ということで、「有効期限(新)」に新しい認証期限を入力したら[認証]をクリックします。
何事もなく、下図のダイアログが表示されたら成功です。
無事に認証期限は延長されました。[いいえ]をクリックして処理を終了します。
 |
| え?成功しました。とか失敗しました。って表示はないの? |
5.認証期限の確認
さて、本当に認証期限は延長されたのでしょうか?成功しました!とかのメッセージが何も出ていないので不安で仕方ありませんね(笑)そこで、ユーザーIDの情報を確認して認証期限がどうなったのかを見てみます。
3.で実施した方法とは別のやり方で確認してみます。
Domino Administrator(管理者クライアント)の画面で、さきほど使用した「設定」タブ内の[ツール][認証][IDのプロパティ]メニューをクリックします(下図参照)。
 |
| IDのプロパティ情報を確認するためのメニュー |
「調査するIDの選択」というダイアログが表示されるので、ユーザーIDを選択して[開く]をクリックします。
 |
| 認証期限を延長したユーザーIDを選択します |
ユーザーIDのパスワードを入力して[ログイン]をクリックします。
「ID プロパティ」というダイアログが表示されます。そこには認証期限が表示されています。が・・・
 |
| 認証期限が! |
なんと、「2114/09/10」になっています。確かに「9999/12/31 23:59:59」と入力したのですが・・・
どうやら、Notesの認証期限の限界は2114年9月10日のようです(あくまでLotus Notes/Domino 8.0.2の場合)。
といっても、ここまで誰も生き残ってないでしょうから(笑)、確認のしようがありません。でも十分すぎるほどの日付でしょう。
さて、認証期限の確認ができたので、実際にDominoサーバにアクセスできるかどうかを確認してみます。
この画面では[OK]をクリックしてダイアログを閉じます。
さらに、Domino Administrator(管理者クライアント)も終了しておきます。
6.Dominoサーバーへのアクセス確認
Notesクライアントに戻って、DominoサーバのNotes DB(今回は、ドミノディレクトリ)にアクセスしてみます。エラーにならずにドミノディレクトリが開けたはずです。
 |
| 無事にDominoサーバにアクセスできましたよ |
はい。これで無事にユーザーIDの復旧ができました。
確認作業を入れているため、多くの手順があったように見えますが、実際の復旧手順としては「4.IDの復旧」の箇所だけです。
そう考えると、そんなに大変ではないな。と感じてくれれば幸いです。
なお、同じ内容のドキュメントがIBM様のサイトに出ていますので、こちらもよく読んでおきましょう。
画面ショットがないのでわかりにくいですが、書かれたとおりにやれば復旧できますよ。
(参考)期限切れ ID を手動で再認証する方法
管理者の ID ファイルの有効期限が切れた場合の回復手順について
では今日はこの辺で・・・
コメント