Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> LDAP 認証
LDAP 認証を使用すると、LDAP ディレクトリにエントリがあるユーザーは SGD にログインできます。
デフォルトでは、この認証機構は無効になっています。
このページで説明する内容は次のとおりです。
SGD のログイン画面で、ユーザーは共通名 (たとえば Indigo Jones
)、ユーザー名 (たとえば indigo
)、または電子メールアドレス (たとえば indigo@indigo-insurance.com
) とパスワードのいずれかを入力します。
SGD は、LDAP ディレクトリを検索して、cn
(共通名) 属性が、ユーザーによって入力されたユーザー名と一致する人物オブジェクトを探します。一致する人物オブジェクトがない場合、uid
(ユーザー名) 属性を対象に、最後に mail
(電子メールアドレス) 属性を対象に検索を繰り返します。一致する人物オブジェクトがない場合は、次の認証機能が試されます。
人物オブジェクトが見つかった場合、ユーザーが入力したパスワードを、LDAP 人物オブジェクトと照合します。認証が失敗した場合は、次の認証機構が試されます。
認証が成功した場合、SGD はローカルリポジトリを検索してユーザープロファイルを探します (次のセクションを参照)。ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできず、以降の認証機構は試行されません。ユーザープロファイルの「ログイン」属性が有効になっている場合、ユーザーはログインできます。
ユーザーの識別情報は、LDAP 識別情報です。SGD Administration Console では、ユーザーの識別情報は LDAP-ID (LDAP)
として表示されます。コマンド行では、ユーザーの識別情報は .../_service/sco/tta/ldapcache/LDAP-ID
として表示されます。
SGD は、ローカルリポジトリを検索することによってユーザープロファイルを確立します。LDAP と SGD の命名体系の差に対応することができます。SGD は、次のユーザープロファイルを、一致するものが見つかるまで検索します。
たとえば、LDAP 人物オブジェクトが cn=Emma Rald,cn=Sales,dc=Indigo Insurance,dc=com
の場合、SGD はローカルリポジトリで dc=com/dc=Indigo Insurance/cn=Sales/cn=Emma Rald
を検索します。
cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=Indigo Insurance/cn=Sales/cn=LDAP Profile
。
cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=Indigo Insurance/cn=LDAP Profile
。
一致するユーザープロファイルがない場合は、プロファイルオブジェクト System Objects/LDAP Profile
がユーザープロファイルとして使用されます。
Active Directory 認証は、Directory Services Integration とともに使用できます。Active Directory ユーザーに割り当てられるアプリケーションは、ユーザープロファイルと LDAP 検索の組み合わせに基づいて決められます。
アプリケーションセッションとパスワードキャッシュエントリは、LDAP 人物オブジェクトに属します。
LDAP 認証を有効にする前に、アレイ内のすべての SGD サーバーが、認証に使用される各 LDAP ディレクトリサーバーに接続できることを確認してください。
「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。
ウィザードの手順の間を移動するには、「次へ」および「前へ」ボタンを使用します。
ldap://melbourne.indigo-insurance.com
)。
ldaps://
URL を使って LDAP ディレクトリサーバーのルート証明書をインストールします。ldap://melbourne.indigo-insurance.com:5678
)。ldap://melbourne.indigo-insurance.com/dc=indigo-insurance,dc=com
)、ユーザー識別情報の検索に使用する LDAP ディレクトリの部分を制限します。cn=sgd-user,cn=Users,dc=indigo-insurance,dc=com
)。LDAP 認証を使用している場合は、LDAP ディレクトリサーバー上でユーザーのパスワードの有効期限が切れていたら、SGD はユーザーに新規パスワードの入力を求めることができます。次の手順に従って、追加の設定が必要になることがあります。
Sun Java System Directory Server (以前の Sun ONE、Netscape ソフトウェア、または iPlanet Directory Server) Sun One Directory Server の場合:
Microsoft Active Directory の場合、パスワードの有効期限 (次回ログオン時にパスワードの変更をユーザーに強制することも含む) を処理できるのは、SGD サーバーと Active Directory サーバーとの間にセキュア接続が存在するときだけです。詳細は、「LDAP ディレクトリサーバーへの接続の保護」を参照してください。
LDAP 認証が有効になっていると、LDAP ディレクトリ内にエントリを持つ任意のユーザーが SGD にログインできます。ただし、SGD にアクセスできる LDAP ユーザーを制限しなければならない場合もあります。
SGD にログインできる LDAP ユーザーを制限するには、検索フィルタを設定して、LDAP 人物オブジェクトに必要な属性値が設定されているユーザーだけが SGD にログインできるようにします。このようにするには、LDAP ディレクトリと SGD に追加の設定を行う必要があります。
SGD でフィルタを適用するには、LDAP ディレクトリサーバーで人物オブジェクトの属性値を検査できるようにする必要があります。このとき、LDAP ディレクトリにすでに存在する属性を使用する方法と、allowsgdlogin
のように新しい属性を作成する方法があります。この属性は、LDAP ディレクトリ内のすべてのユーザーに設定されている必要があります。
LDAP ユーザーオブジェクトの属性を設定したら、検索フィルタを設定します。この検索フィルタでは、LDAP 属性を検査して、条件を満たすユーザーだけがログインできるようにします。
検索フィルタを設定するには、次の手順を行います。
# tarantella config edit \ --searchldapla.properties-searchFilter (&({0}={1})(attribute_test))
次に例を示します。
# tarantella config edit \ --searchldapla.properties-searchFilter (&({0}={1})(allowsgdlogin=true))
フィルタが有効になると、検索フィルタに一致するユーザーだけが SGD にログインできるようになります。
SGD は、LDAP ディレクトリから収集した LDAP データをキャッシュします。SGD が変更を検出していない場合は、次のコマンドを使用して、キャッシュされたデータを手動で消去できます。
$ tarantella cache --flush ldapgroups | ldapconn | ldapconn-lookups | all
注 このコマンドを実行した SGD サーバーのキャッシュだけがフラッシュされます。
オプション | 説明 |
---|---|
ldapgroups |
Directory Services Integration に使用されるすべての LDAP グループデータのキャッシュをフラッシュします。 |
ldapconn |
すべての IP アドレス、ドメイン、および属性データのキャッシュをフラッシュします。 |
ldapconn-lookups |
Directory Services Integration に使用されるすべての LDAP 検索データのキャッシュをフラッシュします。 |
all |
すべての LDAP データをフラッシュします。 |
LDAP ディレクトリサーバーの LDAP 検索に失敗した場合のために、LDAP タイムアウトを設定できます。LDAP タイムアウトは、データ要求などの LDAP 操作に対する LDAP ディレクトリサーバーからの応答を SGD が待機する時間を制御します。デフォルト値は 30 秒です。このタイムアウト値を変更するには、次のコマンドを実行します。
$ tarantella config edit --tarantella-config-ldap-timeout secs
SGD は LDAP ディレクトリサーバーとの接続を 2 回試みます。応答がない場合、SGD は別の LDAP ディレクトリサーバーを試みます。LDAP ディレクトリサーバーのリストは、LDAP 認証のために設定された URL に基づいて決められます。すべての LDAP ディレクトリサーバーがタイムアウトすると、SGD はユーザーを認証したり、Directory Services Integration (DSI) を使用したりできなくなる可能性があります。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.