過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > SecurID 認証

SecurID 認証

SecurID 認証を使用すると、RSA SecurID トークンを保持するユーザーが SGD にログインできるようになります。SGD は、RSA Authentication Manager (従来の RSA ACE/Server) に対してユーザーを認証します。

RSA SecurID は RSA Security, Inc. の製品で、ユーザーが知っていること (PIN) およびユーザーが所持しているもの (PIN パッド、標準カード、ソフトウェアトークンなどの別のトークンから提供されるトークンコード) という 2 つのファクタから成る認証を実行します。PIN およびトークンコードを組み合わせると、パスコードになります。このパスコードが、SGD にログインするときのパスワードとして使用されます。

デフォルトでは、この認証機構は無効になっています。

このページで説明する内容は、次のとおりです。

SecurID 認証の動作

SGD のログイン画面で、ユーザーは SecurID ユーザー名 (たとえば、indigo) およびパスコードを入力します。

この認証機構は、ローカルリポジトリ内で、ユーザーの入力したユーザー名に合致する「名前」属性を持つユーザープロファイルを検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。

ユーザープロファイルが見つかった場合は、そのオブジェクトの「ログイン名」属性が SecurID ユーザー名として使用されます。ユーザープロファイルが見つからない場合は、ユーザーが入力した名前が SecurID ユーザー名として使用されます。

次に、SGD は、ユーザーの入力した SecurID ユーザー名およびパスコードを Authentication Manager に対して確認します。認証が失敗した場合は、使用できる認証機構がほかに存在しないため、ユーザーはログインできません。

認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合は、ユーザーはログインできません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。

ユーザーの識別情報とユーザープロファイル

ユーザープロファイルがローカルリポジトリ内に見つかった場合、そのプロファイルがユーザーの識別情報とユーザープロファイルに使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local) として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile として表示されます。

ローカルリポジトリ内にユーザープロファイルが見つからない場合は、ユーザーの識別情報が SecurID ユーザー名になります。SGD Administration Console では、ユーザーの識別情報は SecurID-username (SecurID) として表示されます。コマンド行では、この識別情報は .../_service/sco/tta/securid/SecurID-username として表示されます。プロファイルオブジェクト System Objects/SecurID User Profile は、ユーザープロファイルで使用されます。

アプリケーションセッションとパスワードキャッシュエントリ

アプリケーションセッションおよびパスワードキャッシュエントリは、どれが使用されるかにより、ユーザープロファイルあるいは SecurID User Profile オブジェクトのいずれかに所属します。

SecurID 認証の有効化

  1. 使用している RSA SecurID が、サポート対象のバージョンであることを確認します。

    「Secure Global Desktop リリースノート」には、サポートされる RSA Authentication Manager のバージョンの詳細が説明されています。

  2. RSA Authentication Manager が最新であることを確認します。

    RSA からリリースされた最新のパッチを使って、Authentication Manager を更新します。

  3. アレイ内の各 SGD サーバーを Agent Host として設定します。

    アレイ内の各 SGD サーバーを Agent Host として設定して、ユーザーを Authentication Manager に対して認証できるようにします。

  4. SGD を SecurID 認証用に設定します。

    SecurID 認証を設定して、SecurID ユーザーが SGD にログインできるようにします。

SGD サーバーを Agent Host として設定する

SecurID 認証を使用するには、アレイ内の各 SGD サーバーを Agent Host として設定する必要があります。SecurID 実装にはさまざまな種類があるため、次に示す手順は参考例にすぎません。

作業を開始する前に、RSA Authentication Manager 構成ファイル (sdconf.rec) にアクセスできることを確認してください。

  1. SGD サーバーで、スーパーユーザー (root) になります。
  2. SGD サーバーがネットワーク上の Authentication Manager と通信できることを確認します。

    SGD サーバーが Authentication Manager と通信できるようにするために、ファイアウォールでポートのオープンが必要になる場合があります。

    オープンする必要のあるデフォルトポートは、次のとおりです。

  3. Authentication Manager 構成ファイルの場所を指定します。
    1. 次の内容を含む /etc/sdace.txt ファイルを作成します。
      過去のコマンド構文またはプログラムコードのスキップVAR_ACE=/opt/ace/data
    2. ファイルを保存します。
  4. Authentication Manager 構成ファイルを SGD サーバーにコピーします。
    1. /opt/ace/data ディレクトリを作成します。
    2. Authentication Manager 構成ファイル (sdconf.rec) を /opt/ace/data ディレクトリにコピーします。
  5. SGD が構成ファイルを読み書きできるようにアクセス権限を設定します。
    過去のコマンド構文またはプログラムコードのスキップ# chmod 444 /etc/sdace.txt
    # chown -R ttasys:ttaserv /opt/ace
    # chmod -R 775 /opt/ace
  6. アレイ内の SGD サーバーごとに手順 1 ~ 5 を繰り返します。
  7. SGD サーバーを Agent Host として、Authentication Manager データベースに登録します。

    Authentication Manager データベース管理アプリケーション、または sdadmin アプリケーションを使用します。

    SGD サーバーを、完全修飾名 server.domain.com を使用して、UNIX Agent Host としてデータベースに追加します。

    Agent Host ごとに、Group Activation または User Activation を設定します。また、「Open to All Locally Known User」オプションを設定してもかまいません。

    SGD は、システムの生成した PIN またはユーザーの作成した PIN のどちらかをサポートします。

SGD を SecurID 認証用に設定する

  1. SGD Administration Console で、Secure Global Desktop Authentication Configuration Wizard を表示します。

    「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。

  2. 「サードパーティー/システム認証」 の手順で、「システム認証」チェックボックスが選択されていることを確認します。
  3. 「システム認証 - リポジトリ」の手順で、「SecurID」チェックボックスを選択します。
  4. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。
関連トピック