過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > ユーザーと認証 > Secure Global Desktop とユーザー認証

Secure Global Desktop とユーザー認証

このトピックの内容
  • SGD の使用にかかわる認証の各段階を理解します。
  • システム認証とサードパーティーの認証の違いを理解します。
  • ユーザーの識別情報とユーザープロファイルの違いを理解します。
  • 使用可能なシステム認証機構について理解します。
  • ユーザーのパスワードの有効期限が切れた場合の処理について理解します。

SGD のユーザー認証は、2 つの段階に分けられます。最初に、ユーザーは SGD サーバーに対して認証を実行して、SGD にログインします。次に、ユーザーはアプリケーションサーバーに対して認証を実行して、アプリケーションを実行します。ここでは、SGD への認証で使用可能な機構について説明します。アプリケーションサーバーへの認証については、「アプリケーション起動の概要」で説明します。

SGD の認証の概要

SGD は、既存の認証インフラストラクチャーとの統合、および次の 2 つの認証機構をユーザーの認証用にサポートすることを目的として設計されています。

認証が成功した場合に得られる主な結果は、次のとおりです。

ユーザーの識別情報とユーザープロファイルは同じ場合があります。

SGD Administration Console では、ユーザーの識別情報またはユーザープロファイルを使って、ユーザーセッションとアプリケーションセッションを監視できます。

ユーザーの認証方法に応じて、SGD は、ユーザーが期限切れのパスワードを使ってログインを試みたときに、パスワードを変更するようユーザーに促すことができます。詳細については、「パスワードの有効期限」を参照してください。

SGD の認証は、グローバルです。ユーザーは、同じユーザー名とパスワードを使用して、アレイ内の各 SGD サーバーにログインできます。

Secure Global Desktop 管理者 は、SGD Administration Console の「グローバル設定」にある「Secure Global Desktop 認証」タブ、または tarantella config コマンドを使って、各認証機構を個別に有効および無効にできます。

ユーザーの識別情報

ユーザーの識別情報は、SGD がユーザーを誰だと認識したかということを示します。ユーザーの識別情報を判定する規則は、認証機構ごとに異なります。

ユーザーの識別情報は、SGD が割り当てた名前のことで、完全修飾名と呼ばれることもあります。ユーザーの識別情報は、ローカルリポジトリ内のユーザープロファイルの名前とは限りません。たとえば LDAP 認証の場合、識別情報は、LDAP リポジトリ内のユーザーの識別名 (DN) です。

ユーザーの識別情報は、ユーザーの SGD セッション、アプリケーションセッション、およびアプリケーションサーバーのパスワードキャッシュのエントリに関連付けられます。

ユーザープロファイル

ユーザープロファイルは、ユーザーの SGD 関連の設定を制御します。Directory Services Integration 機能を使用しているかどうかに応じて、ユーザープロファイルは、ユーザーが実行可能なアプリケーション (Webtop コンテンツと呼ばれることもある) もコントロールできます。ユーザープロファイルを判定する規則は、認証機構ごとに異なります。

ユーザープロファイルは、常にローカルリポジトリ内のオブジェクトであり、同じ名前で呼ばれることもあります。ユーザープロファイルを、システムオブジェクト組織内にあるプロファイルオブジェクトにすることも可能です。たとえば LDAP 認証の場合、デフォルトのユーザープロファイルは System Objects/LDAP Profile です。

システム認証

次の表に、使用可能なシステム認証機構、および認証のベースを示します。

機構 説明
匿名ユーザー
  • ユーザー名とパスワードを使用せずに SGD にログインすることをユーザーに許可します。
  • すべての匿名ユーザーに、同じ Webtop コンテンツが表示されます。
認証トークン
  • SGD Client から有効な認証トークンを発行されたユーザーは、SGD にログインできます。
  • 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。
UNIX システム
(ローカルリポジトリ内で Unix ユーザー ID を検索する)
  • ローカルリポジトリ内にユーザープロファイルを持ち、UNIX または Linux システムアカウントを SGD ホストに持つユーザーに、SGD にログインすることを許可します。
  • 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。
Windows ドメイン
  • 指定された Windows ドメインに属しているユーザーに、SGD にログインすることを許可します。
  • 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。
LDAP
  • LDAP ディレクトリにエントリがあるユーザーに、SGD にログインすることを許可します。
  • 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。
Active Directory
  • Active Directory ドメインにアカウントを持つユーザーに、SGD にログインすることを許可します。
  • 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。
UNIX システム
(ローカルリポジトリ内で Unix グループ ID を検索する)
  • SGD ホストに UNIX または Linux システムアカウントを持つユーザーに、SGD にログインすることを許可します。
  • 同じ UNIX グループのすべてのユーザーに、同じ Webtop コンテンツが表示されます。
UNIX システム
(デフォルトのユーザープロファイルを使用する)
  • SGD ホストに UNIX または Linux システムアカウントを持つユーザーに、SGD にログインすることを許可します。
  • すべての UNIX ユーザーに、同じ Webtop コンテンツが表示されます。
SecurID
  • RSA SecurID トークンを持つユーザーに、SGD にログインすることを許可します。
  • 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。

ユーザーがログインするときに、有効になっている認証機構が、上記の表に記載されている順序で試みられます。SGD 認証を設定する場合、機構を試みる順序が SGD Administration Console に表示されます。最初の認証機構でユーザーの認証に「成功」した場合、それ以降の認証機構は使用されません。

パスワードの有効期限

ほとんどの状況では、SGD は、事前に設定されていれば、ユーザーのパスワードの期限切れに対応することが可能です。ユーザーが有効期限の切れたパスワードを使ってログインを試みると、「期限経過パスワード」ダイアログが表示されます。このダイアログでは、次のことができます。

新規パスワードが受け付けられてから、ユーザーは SGD にログインします。

次の表は、どの認証機構が期限経過パスワードをサポートしているかを示しています。

認証機構 期限経過パスワードのサポート
Active Directory 使用可能。詳細は、「Active Directory 認証用の Kerberos 認証」を参照してください。
匿名ユーザー 使用不能。ユーザー名とパスワードを使用しないでログインします。
認証トークン 使用不能。ユーザー名とパスワードを使用しないでログインします。
LDAP 使用可能。詳細は、「LDAP 認証とパスワードの有効期限」を参照してください。
SecurID 使用可能。ユーザーの PIN が期限切れになっているときは、「期限経過パスワード」ダイアログの代わりに新規 PIN のダイアログが表示されます。
サードパーティー
(Web サーバー認証を含む)
使用不能。ユーザーのパスワードの有効期限切れは、SGD とは無関係に、サードパーティーの認証機構により処理されます。
UNIX システム 使用可能。詳細は、「UNIX システム認証と PAM」を参照してください。
Windows ドメイン 使用不能。
関連トピック