過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > Windows ドメイン認証

Windows ドメイン認証

Windows ドメイン認証では、指定された Windows 2000 または Windows 2003 Server ドメインに属しているユーザーに SGD へのログインが許可されます。

Windows ドメイン認証は、デフォルトでは無効になっています。

このページで説明する内容は次のとおりです。

Windows ドメイン認証の動作

SGD のログイン画面で、ユーザーは共通名 (たとえば Indigo Jones)、ユーザー名 (たとえば indigo)、または電子メールアドレス (たとえば indigo@indigo-insurance.com) とパスワードのいずれかを入力します。

SGD は、ローカルリポジトリを検索して、「名前」属性が、ユーザーによって入力されたユーザー名に一致するユーザープロファイルを探します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。

ユーザープロファイルが見つかった場合は、そのユーザープロファイルの「ログイン名」属性が Windows ドメインのユーザー名として処理されます。一致するユーザープロファイルがない場合は、ユーザーが入力した名前が Windows ドメインのユーザー名として使用されます。SGD は次に、ユーザーが入力した Windows ドメインのユーザー名とパスワードをドメインコントローラと照合します。

認証が失敗した場合は、次の認証機構が試されます。

認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできず、以降の認証機構は試行されません。

認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっているか、または一致するユーザープロファイルが見つからない場合、ユーザーはログインします。

ユーザーの識別情報とユーザープロファイル

ローカルリポジトリ内にユーザープロファイルが見つかった場合は、そのオブジェクトがユーザーの識別情報およびユーザープロファイルとして使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local) として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile として表示されます。

ローカルリポジトリ内に一致するユーザープロファイルがなかった場合、ユーザーの識別情報は Windows ドメインのユーザー名になります。プロファイルオブジェクト System Objects/NT User Profile は、ユーザープロファイルで使用されます。SGD Administration Console では、ユーザーの識別情報は NT-username (NT) として表示されます。コマンド行では、ユーザーの識別情報は .../_service/sco/tta/ntauth/NT-username として表示されます。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションとパスワードキャッシュエントリは、Windows ドメインユーザーに属します。

Windows ドメイン認証の有効化

  1. SGD Administration Console で、Secure Global Desktop Authentication Configuration Wizard を表示します。

    「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。

    ウィザードの手順の間を移動するには、「次へ」および「前へ」ボタンを使用します。

  2. 「サードパーティー/システム認証」 の手順で、「システム認証」チェックボックスが選択されていることを確認します。
  3. 「システム認証 - リポジトリ」の手順で、「Windows ドメインコントローラ」チェックボックスを選択します。
  4. 「Windows ドメイン認証 - ドメインコントローラ」の手順で、「Windows ドメイン」フィールドにドメインコントローラの名前を入力します。
  5. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。

Windows ドメインのユーザー名とパスワード

Windows ドメイン認証では、大文字と小文字が区別される 8 ビットのパスワードをサポートしています。ユーザー名にはどんな文字も含めることができます。

複数ドメインのユーザーの認証

複数のドメインのユーザーを認証する必要がある場合は、他のすべてのドメインから信頼されているドメインが 1 つ必要です。Windows ドメイン認証を設定する場合は、この信頼されているドメインを Windows ドメインコントローラとして使用する必要があります。

別のドメインのユーザーが SGD にログインするときには、ユーザー名として domain\username という形式を使用する必要があります。この形式を使用しない場合は、SGD は認証ドメインを使ってユーザーを認証しようとし、認証に失敗します。

ユーザープロファイルの Windows NT ドメイン (--ntdomain) 属性は、SGD のログインでは使用されません。

Windows ドメイン認証とサブネット

Secure Global Desktop サーバーがドメインコントローラとは異なるサブネットにある場合は、次のように認証マシンをハードコーディングする必要があります。

  1. スーパーユーザー (root) としてログインします。
  2. SGD サーバーを停止します。
  3. 認証マシンを設定します。

    次のコマンドを実行します。

    過去のコマンド構文またはプログラムコードのスキップ$ tarantella config edit \
      --com.sco.tta.server.login.ntauth.NTAuthService.properties-authConfig authnbt=NTNAME
      
    $ tarantella config edit \
      --com.sco.tta.server.login.ntauth.NTAuthService.properties-authConfig-append authserver=my.domain.name

    NTNAME はドメインコントローラの NetBIOS 名、my.domain.name はドメインコントローラの DNS 名または IP アドレスです。

  4. SGD サーバーを起動します。
関連トピック