Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> アプリケーション認証の概要
このトピックの内容 |
---|
|
ユーザーがリンクをクリックしてアプリケーションを起動すると、アプリケーション用に設定されているログインスクリプトがアプリケーションサーバーに接続し、認証処理後、アプリケーションを起動します。ログインスクリプトを実行する SGD コンポーネントとして、実行プロトコルエンジンがあります。ログインスクリプトは、SGD アプリケーションサーバーのパスワードキャッシュに格納されているユーザー名とパスワードを送信することで、アプリケーションサーバーでユーザーを認証します。ユーザーの資格情報に問題がある場合、SGD に次のような「アプリケーション認証」ダイアログが表示されます。
「アプリケーション認証」ダイアログでは、ユーザーが自身の資格情報を入力し、アプリケーションサーバーのパスワードキャッシュに格納できます。パスワードキャッシュに格納することで、次回同じアプリケーションサーバー上でアプリケーションを実行したときに資格情報の入力を要求されなくなります。
デフォルトでは、Shift キーを押しながら Webtop 上でアプリケーションのリンクをクリックして、SGD に「アプリケーション認証」ダイアログを強制的に表示させることができます。
このページでは、次のトピックに沿って、アプリケーションサーバー認証の設定オプションについて説明します。
ログインスクリプトの用途は、アプリケーションサーバーに対する接続の処理、アプリケーションの実行、および追加の作業の実行です。通常、ログインスクリプトでは次の作業を実行します。
また、ログインスクリプトは、アプリケーションサーバー間の相違点を識別でき、ログインプロセス中に発生する可能性のあるエラーを検査します。処理できないエラーを検出した場合、制御をユーザーに返します。
ログインスクリプトは、可能なかぎりの一般性と堅牢性を備えるように設計されています。しかし、一般的ではない状況に対処しなければならない場合もあります。たとえば、サポートされていないシステムプロンプトを使用している場合は、スクリプトが認識するプロンプトのリストに、そのプロンプトを追加できます。SGD に付属のログインスクリプトをそのまま修正せず、代わりにコピーを使用してください。
SGD に付属のログインスクリプトには、「アプリケーション認証」ダイアログの表示をカスタマイズするためのコマンドとプロシージャーが含まれています。たとえば、「ユーザー名」フィールドと「パスワード」フィールドにユーザー独自のラベルを追加できます。
アプリケーション用に使用されるログインスクリプトは、アプリケーションオブジェクトの「起動」タブの「ログインスクリプト」属性で制御されます。
Secure Global Desktop のログインスクリプトは、Tcl (version 8.4) と Expect (version 5.43) で作成されています。Don Libes により開発された Expect は、John Ousterhout により開発された Tcl を強化したもので、プログラムとやり取りを行うための追加コマンドを提供します。
デフォルトでは、SGD はアプリケーションを実行するために使用するユーザー名とパスワードをそのアプリケーションサーバーのパスワードキャッシュに格納します。パスワードキャッシュ内のエントリは、暗号キーによって暗号化されます。アプリケーションを実行する際、パスワードは必要に応じて復号化されます。パスワードキャッシュ用の新規暗号キーを SGD サーバーの再起動時に常に生成するように SGD を設定できます。パスワードキャッシュ内の既存のエントリは、新しいキーによって再び暗号化されます。
SGD Administration Console では、アプリケーションサーバーのパスワードキャッシュを次のように管理できます。
コマンド行では、tarantella passcache
コマンド群を使用してアプリケーションサーバーのパスワードキャッシュを管理します。
SGD Administration Console とコマンド行を使用して、パスワードキャッシュ内のエントリを一覧表示したり、削除したりすることができます。また、パスワードキャッシュ内にエントリを作成することもできます。tarantella passcache
コマンドを使用すると、バッチスクリプトでパスワードキャッシュを生成できます。
各パスワードキャッシュエントリには次の要素が含まれます。
--resuser
) - アプリケーションサーバーのユーザー名--respass
) - アプリケーションサーバーのパスワード--resource
) - パスワードをキャッシュするアプリケーションサーバー--person
) - パスワードキャッシュ内のエントリを所有するユーザーの識別情報注 パスワードキャッシュには、ユーザーの SGD パスワードも格納できます。
SGD Administration Console では、 「グローバル設定」»「アプリケーション認証」タブの属性に基づいてアプリケーション認証を制御します。これらの属性を使用すると、次の設定を行うことができます。
Microsoft Windows アプリケーションサーバーでのアプリケーションの起動時に、ユーザーは「アプリケーション認証」ダイアログの「NT ドメイン」フィールドを使用して、ドメインを変更できます。「ドメイン名」属性がアプリケーションサーバーまたはアプリケーションオブジェクトで設定されている場合、またはドメインがパスワードキャッシュにキャッシュされている場合、このフィールドは自動的に入力されます。「ドメイン名」属性がユーザープロファイルでのみ設定されている場合、「NT ドメイン」フィールドは自動的には入力されません。
ユーザーの SGD パスワードが Windows ドメインパスワードでもある場合、次の条件を満たせば、ドメイン名とパスワードをキャッシュできます。
注 ユーザーが Microsoft Active Directory サーバーを使用して認証される場合、ドメイン名は自動的に推定されるため、ユーザープロファイルオブジェクトで「ドメイン名」属性を設定する必要はありません。
ユーザーが Windows アプリケーションを起動すると、SGD は次のプロセスを実行して、使用するドメイン名とパスワードを確立します。
ドメイン名が設定されている場合、SGD はパスワードキャッシュ内でユーザーの識別情報としてパスワードを検索します。
ドメイン名が設定されていない場合、またはパスワードが見つからない場合、手順 2 に進みます。
ドメイン名が設定されている場合、SGD はパスワードキャッシュ内でユーザーの識別情報としてパスワードを検索します。
ドメイン名が設定されていない場合、またはパスワードが見つからない場合、手順 3 に進みます。
注 ユーザーが Active Directory サーバーを使用してログインした場合、ドメイン名は Active Directory サーバーから推定されます。
ドメイン名が設定されている場合、SGD はパスワードキャッシュ内でユーザーの識別情報としてパスワードを検索します。
ドメイン名が設定されていない場合、またはパスワードが見つからない場合、SGD はユーザーにユーザー名とパスワードの入力を要求します。
ユーザーにユーザー独自のドメインの指定を許可する場合、ユーザープロファイルオブジェクト、アプリケーションサーバーオブジェクト、およびアプリケーションオブジェクトの「ドメイン名」属性が空になっている必要があります。
注 また、ユーザーは、indigo\rusty
のように domain\name
形式でユーザー名を入力することにより、「Windows ドメイン」属性を上書きできます。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.