Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> UNIX システム認証
UNIX システム認証は、SGD ホストに UNIX または Linux システムアカウントを持つユーザーに、SGD へのログインを許可します。
UNIX システム認証は、デフォルトで有効に設定されています。
このページで説明する内容は、次のとおりです。
UNIX または Linux システムのユーザーデータベースに対してユーザーを認証し、ユーザープロファイルを決定するために、UNIX システム認証がサポートする方法は次のとおりです。
検索方法については、後続のセクションを参照してください。
SGD のログイン画面で、ユーザーは、共通名 (たとえば Indigo Jones
)、ユーザー名 (たとえば indigo
)、電子メールアドレス (たとえば indigo@indigo-insurance.com
) のいずれか、およびパスワードを入力します。
SGD は、ユーザーの入力した内容と一致する「名前」属性を持つユーザープロファイルを、ローカルリポジトリ内で検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。ユーザープロファイルが見つからない場合、次のログイン認証機構が試されます。
ユーザープロファイルが見つかると、そのオブジェクトの「ログイン名」属性が UNIX または Linux システムユーザー名として使用されます。このユーザー名およびユーザーの入力したパスワードが、UNIX または Linux システムユーザーデータベースと照合されます。認証が失敗した場合は、次の認証機構が試されます。
認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできず、ほかの認証機構が試されることはありません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。
デフォルトでは、この検索方法は使用可能になっています。
ローカルリポジトリ内の一致するユーザープロファイルが、ユーザーの識別情報とユーザープロファイルに使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local)
として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile
として表示されます。
アプリケーションセッションとパスワードキャッシュエントリは、ユーザープロファイルに属します。
SGD は、ユーザーがログイン画面で入力したユーザー名およびパスワードを、UNIX または Linux システムユーザーデータベースと照合します。
認証が失敗した場合は、次の認証機構が試されます。
認証に成功すると、SGD はユーザープロファイルを検索します (次のセクションを参照)。ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインすることができず、ほかの認証機構が試されることはありません。ユーザープロファイルの「ログイン」属性が有効な場合、ユーザーはログインできます。
デフォルトでは、この検索方法は使用可能になっています。
ユーザーの識別情報は、UNIX または Linux システムのユーザー名です。SGD Administration Console では、ユーザーの識別情報は UNIX-username (UNIX)
として表示されます。コマンド行では、ユーザーの識別情報は .../_user/UNIX-username
として表示されます。
SGD は、ローカルリポジトリ内でユーザープロファイル cn=gid,
を検索します。ここで、gid は、認証されたユーザーの UNIX グループ ID です。見つかった場合、そのオブジェクトをユーザープロファイルとして使用します。ユーザーが複数のグループに所属している場合は、そのユーザーのプライマリグループまたは実効グループが使用されます。ユーザープロファイルがローカルリポジトリ内に見つからない場合、プロファイルオブジェクト System Objects/UNIX User Profile
がユーザープロファイルとして使用されます。
アプリケーションセッションとパスワードキャッシュエントリは、UNIX ユーザーに属します。
SGD は、ユーザーがログイン画面で入力したユーザー名およびパスワードを、UNIX または Linux システムユーザーデータベースと照合します。
認証が失敗した場合は、次の認証機構が試されます。
認証に成功した場合、そのユーザーはログインできます。
デフォルトでは、この検索方法は無効になっています。
ユーザーの識別情報は、UNIX または Linux システムのユーザー名です。SGD Administration Console では、ユーザーの識別情報は UNIX-username (UNIX)
として表示されます。コマンド行では、ユーザーの識別情報は .../_user/UNIX-username
として表示されます。
プロファイルオブジェクト System Objects/UNIX User Profile
は、ユーザープロファイルで使用されます。すべての UNIX ユーザーに、同じ Webtop コンテンツが表示されます。
アプリケーションセッションとパスワードキャッシュエントリは、UNIX ユーザーに属します。
「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。
SGD は、PAM (Pluggable Authentication Modules) をサポートします。UNIX システム認証では、ユーザー認証、アカウント操作、およびパスワード操作に PAM が使用されます。
UNIX ユーザーが有効期限の切れたパスワードを使ってログインしようとした場合に、新規パスワードの入力を要求するよう SGD を設定するには、SGD サーバーに PAM インタフェースがインストールされている必要があります。PAM インタフェースがインストールされていない場合、SGD は有効期限の切れたパスワードをサポートできません。この場合、サーバーの起動時にエラーメッセージが /opt/tarantella/var/log/pemanagerpid_error.log
にログ出力されます。
SGD を Linux プラットフォームにインストールすると、Secure Global Desktop セットアップ
により、passwd
プログラムの現在の設定がコピーされ、/etc/pam.d/tarantella
ファイルが作成されて、SGD 用の PAM 設定エントリが自動的に作成されます。Solaris Operating System プラットフォームでは、SGD (tarantella
) 用の新規エントリを /etc/pam.conf
ファイルに追加する必要があります。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.