Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> SecurID 認証
SecurID 認証を使用すると、RSA SecurID トークンを保持するユーザーが SGD にログインできるようになります。SGD は、RSA Authentication Manager (従来の RSA ACE/Server) に対してユーザーを認証します。
RSA SecurID は RSA Security, Inc. の製品で、ユーザーが知っていること (PIN) およびユーザーが所持しているもの (PIN パッド、標準カード、ソフトウェアトークンなどの別のトークンから提供されるトークンコード) という 2 つのファクタから成る認証を実行します。PIN およびトークンコードを組み合わせると、パスコードになります。このパスコードが、SGD にログインするときのパスワードとして使用されます。
デフォルトでは、この認証機構は無効になっています。
このページで説明する内容は、次のとおりです。
SGD のログイン画面で、ユーザーは SecurID ユーザー名 (たとえば、indigo
) およびパスコードを入力します。
この認証機構は、ローカルリポジトリ内で、ユーザーの入力したユーザー名に合致する「名前」属性を持つユーザープロファイルを検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。
ユーザープロファイルが見つかった場合は、そのオブジェクトの「ログイン名」属性が SecurID ユーザー名として使用されます。ユーザープロファイルが見つからない場合は、ユーザーが入力した名前が SecurID ユーザー名として使用されます。
次に、SGD は、ユーザーの入力した SecurID ユーザー名およびパスコードを Authentication Manager に対して確認します。認証が失敗した場合は、使用できる認証機構がほかに存在しないため、ユーザーはログインできません。
認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合は、ユーザーはログインできません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。
ユーザープロファイルがローカルリポジトリ内に見つかった場合、そのプロファイルがユーザーの識別情報とユーザープロファイルに使用されます。SGD Administration Console では、ユーザーの識別情報は user-profile (Local)
として表示されます。コマンド行では、ユーザーの識別情報は .../_ens/user-profile
として表示されます。
ローカルリポジトリ内にユーザープロファイルが見つからない場合は、ユーザーの識別情報が SecurID ユーザー名になります。SGD Administration Console では、ユーザーの識別情報は SecurID-username (SecurID)
として表示されます。コマンド行では、この識別情報は .../_service/sco/tta/securid/SecurID-username
として表示されます。プロファイルオブジェクト System Objects/SecurID User Profile
は、ユーザープロファイルで使用されます。
アプリケーションセッションおよびパスワードキャッシュエントリは、どれが使用されるかにより、ユーザープロファイルあるいは SecurID User Profile オブジェクトのいずれかに所属します。
「Secure Global Desktop リリースノート」には、サポートされる RSA Authentication Manager のバージョンの詳細が説明されています。
RSA からリリースされた最新のパッチを使って、Authentication Manager を更新します。
アレイ内の各 SGD サーバーを Agent Host として設定して、ユーザーを Authentication Manager に対して認証できるようにします。
SecurID 認証を設定して、SecurID ユーザーが SGD にログインできるようにします。
SecurID 認証を使用するには、アレイ内の各 SGD サーバーを Agent Host として設定する必要があります。SecurID 実装にはさまざまな種類があるため、次に示す手順は参考例にすぎません。
作業を開始する前に、RSA Authentication Manager 構成ファイル (sdconf.rec
) にアクセスできることを確認してください。
SGD サーバーが Authentication Manager と通信できるようにするために、ファイアウォールでポートのオープンが必要になる場合があります。
オープンする必要のあるデフォルトポートは、次のとおりです。
/opt/ace/data
ディレクトリを作成します。sdconf.rec
) を /opt/ace/data
ディレクトリにコピーします。# chmod 444 /etc/sdace.txt # chown -R ttasys:ttaserv /opt/ace # chmod -R 775 /opt/ace
Authentication Manager データベース管理アプリケーション、または sdadmin
アプリケーションを使用します。
SGD サーバーを、完全修飾名 server.domain.com
を使用して、UNIX Agent Host としてデータベースに追加します。
Agent Host ごとに、Group Activation または User Activation を設定します。また、「Open to All Locally Known User」オプションを設定してもかまいません。
注 SGD は、システムの生成した PIN またはユーザーの作成した PIN のどちらかをサポートします。
「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.