過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > UNIX システム認証

UNIX システム認証

UNIX システム認証は、SGD ホストに UNIX または Linux システムアカウントを持つユーザーに、SGD へのログインを許可します。

UNIX システム認証は、デフォルトで有効に設定されています。

このページで説明する内容は、次のとおりです。

UNIX システム認証の動作

UNIX または Linux システムのユーザーデータベースに対してユーザーを認証し、ユーザープロファイルを決定するために、UNIX システム認証がサポートする方法は次のとおりです。

検索方法については、後続のセクションを参照してください。

ローカルリポジトリ内で Unix ユーザー ID を検索する

SGD のログイン画面で、ユーザーは、共通名 (たとえば Indigo Jones)、ユーザー名 (たとえば indigo)、電子メールアドレス (たとえば indigo@indigo-insurance.com) のいずれか、およびパスワードを入力します。

SGD は、ユーザーの入力した内容と一致する「名前」属性を持つユーザープロファイルを、ローカルリポジトリ内で検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。ユーザープロファイルが見つからない場合、次のログイン認証機構が試されます。

ユーザープロファイルが見つかると、そのオブジェクトの「ログイン名」属性が UNIX または Linux システムユーザー名として使用されます。このユーザー名およびユーザーの入力したパスワードが、UNIX または Linux システムユーザーデータベースと照合されます。認証が失敗した場合は、次の認証機構が試されます。

認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできず、ほかの認証機構が試されることはありません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。

デフォルトでは、この検索方法は使用可能になっています。

ユーザーの識別情報とユーザープロファイル

ローカルリポジトリ内の一致するユーザープロファイルが、ユーザーの識別情報とユーザープロファイルに使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local) として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile として表示されます。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションとパスワードキャッシュエントリは、ユーザープロファイルに属します。

ローカルリポジトリ内で Unix グループ ID を検索する

SGD は、ユーザーがログイン画面で入力したユーザー名およびパスワードを、UNIX または Linux システムユーザーデータベースと照合します。

認証が失敗した場合は、次の認証機構が試されます。

認証に成功すると、SGD はユーザープロファイルを検索します (次のセクションを参照)。ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインすることができず、ほかの認証機構が試されることはありません。ユーザープロファイルの「ログイン」属性が有効な場合、ユーザーはログインできます。

デフォルトでは、この検索方法は使用可能になっています。

ユーザーの識別情報とユーザープロファイル

ユーザーの識別情報は、UNIX または Linux システムのユーザー名です。SGD Administration Console では、ユーザーの識別情報は UNIX-username (UNIX) として表示されます。コマンド行では、ユーザーの識別情報は .../_user/UNIX-username として表示されます。

SGD は、ローカルリポジトリ内でユーザープロファイル cn=gid, を検索します。ここで、gid は、認証されたユーザーの UNIX グループ ID です。見つかった場合、そのオブジェクトをユーザープロファイルとして使用します。ユーザーが複数のグループに所属している場合は、そのユーザーのプライマリグループまたは実効グループが使用されます。ユーザープロファイルがローカルリポジトリ内に見つからない場合、プロファイルオブジェクト System Objects/UNIX User Profile がユーザープロファイルとして使用されます。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションとパスワードキャッシュエントリは、UNIX ユーザーに属します。

デフォルトのユーザープロファイルを使用する

SGD は、ユーザーがログイン画面で入力したユーザー名およびパスワードを、UNIX または Linux システムユーザーデータベースと照合します。

認証が失敗した場合は、次の認証機構が試されます。

認証に成功した場合、そのユーザーはログインできます。

デフォルトでは、この検索方法は無効になっています。

ユーザーの識別情報とユーザープロファイル

ユーザーの識別情報は、UNIX または Linux システムのユーザー名です。SGD Administration Console では、ユーザーの識別情報は UNIX-username (UNIX) として表示されます。コマンド行では、ユーザーの識別情報は .../_user/UNIX-username として表示されます。

プロファイルオブジェクト System Objects/UNIX User Profile は、ユーザープロファイルで使用されます。すべての UNIX ユーザーに、同じ Webtop コンテンツが表示されます。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションとパスワードキャッシュエントリは、UNIX ユーザーに属します。

UNIX システム認証の有効化

  1. SGD Administration Console で、Secure Global Desktop Authentication Configuration Wizard を表示します。

    「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。

  2. 「サードパーティー/システム認証」 の手順で、「システム認証」チェックボックスが選択されていることを確認します。
  3. 「システム認証 - リポジトリ」の手順で、「Unix」チェックボックスを選択します。
  4. 「Unix 認証 - ユーザープロファイル」の手順で、ユーザープロファイルの検索方法として、1 つ以上のチェックボックスを選択します。
  5. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。

UNIX システム認証と PAM

SGD は、PAM (Pluggable Authentication Modules) をサポートします。UNIX システム認証では、ユーザー認証、アカウント操作、およびパスワード操作に PAM が使用されます。

UNIX ユーザーが有効期限の切れたパスワードを使ってログインしようとした場合に、新規パスワードの入力を要求するよう SGD を設定するには、SGD サーバーに PAM インタフェースがインストールされている必要があります。PAM インタフェースがインストールされていない場合、SGD は有効期限の切れたパスワードをサポートできません。この場合、サーバーの起動時にエラーメッセージが /opt/tarantella/var/log/pemanagerpid_error.log にログ出力されます。

SGD を Linux プラットフォームにインストールすると、Secure Global Desktop セットアップ により、passwd プログラムの現在の設定がコピーされ、/etc/pam.d/tarantella ファイルが作成されて、SGD 用の PAM 設定エントリが自動的に作成されます。Solaris Operating System プラットフォームでは、SGD (tarantella) 用の新規エントリを /etc/pam.conf ファイルに追加する必要があります。

関連トピック