Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> 認証トークンの認証
SGD Client から有効な認証トークンが送信されたら、ユーザーは認証トークンの認証を使用して SGD にログインできます。
認証トークンの認証を使用できるのは、SGD Client が統合モードで動作しており、ユーザーが以前に認証トークンを生成している場合だけです。
認証トークンの認証は、デフォルトでは無効になっています。
このページで説明する内容は次のとおりです。
SGD Client が起動すると、認証トークンが SGD に送信されます。ユーザーはユーザー名やパスワードを入力しません。
認証トークンが無効な場合、または SGD Client からトークンが送信されない場合、ユーザーはログインできません。SGD のログイン画面が Web ブラウザに表示されるため、ユーザーは別のシステム認証機構を使用してログインできます。
SGD Client から有効な認証トークンが送信された場合、ユーザーはログインできます。
認証トークンが生成されたら、SGD サーバーにはユーザーの識別情報の代わりに認証トークンが格納されます。つまり、最初にユーザーを認証した認証機構のユーザー識別情報とユーザープロファイルが使用されることになります。
アプリケーションセッションとパスワードキャッシュエントリは、元の認証のユーザーの識別情報に属します。
ユーザーが認証トークンを生成し、自分のクライアントプロファイルを保存すると、認証トークンが SGD サーバーから SGD Client に送信されます。SGD Client は、クライアントデバイス上のプロファイルキャッシュにトークンを保存します。認証トークンが第三者に盗聴、使用されないよう、セキュア (HTTPS) Web サーバーを使い、SGD セキュリティーサービスを有効にしてください。
ユーザーが生成した認証トークンのレコードは、SGD のトークンキャッシュで管理されます。SGD は、トークンが生成された時点のユーザー識別情報を使って、認証トークンを格納します。ユーザーが認証トークンを使用してログインすると、SGD は認証トークンを使って、そのユーザーの元の識別情報およびユーザープロファイルを「思い出す」ことができます。すべてのユーザーセッションおよびアプリケーションセッションは、元のユーザーの識別情報およびユーザープロファイルを使って管理されます。元のログインが無効になった場合 (UNIX システムのアカウントが無効になっている、パスワードの有効期限が切れている、など) でも、有効なトークンが管理されていれば、そのユーザーは引き続き自動的にログインできます。ただし、無効な資格情報を使用してアプリケーションを実行することはできません。
認証トークンを使用して自動ログインを有効にするには、次の手順を実行します。
ユーザーが認証トークンを生成したときに、SGD がそのユーザーの識別情報とユーザープロファイルを格納できるように、ユーザーはログインして別の認証機構から認証される必要があります。
匿名ユーザーの認証以外に、サードパーティー認証、またはほかの任意のシステム認証機構を使用できます。
認証トークンの傍受を防ぐために、SGD Client と SGD サーバーの間のセキュア接続を使用します。
認証トークンの傍受を防ぐために、クライアントデバイスと SGD Web Server の間のセキュア接続を使用します。
ユーザーが認証トークンを生成できるようにするには、クライアントのプロファイル編集が有効になっている必要があります。すべてのユーザーか、または認証トークンが必要なユーザーだけのプロファイル編集を有効にすることができます。
詳細は、「認証トークンの認証の設定」を参照してください。
クライアントプロファイルで統合モードを有効にして、認証トークンを生成します。ユーザーが別の SGD サーバーにログインする場合は、各 SGD サーバーに認証トークンが必要になります。
詳細は、「クライアントデバイスの自動ログインの設定」を参照してください。
「グローバル設定」の「Secure Global Desktop 認証」タブで、「Secure Global Desktop 認証を変更」ボタンをクリックします。
次の手順はユーザーによって実行され、クライアントデバイスでの自動ログインを有効にします。ユーザーが別の SGD サーバーにログインする場合は、各サーバーでこの手順を繰り返す必要があります。
ユーザーのプロファイル編集が有効になっている必要があります。
Webtop の「編集」ボタンをクリックします。「クライアント設定の編集」ページが表示されます。
このチェックボックスが選択されている場合、ユーザーはデスクトップにログインすると SGD に自動的にログインします。
Secure Global Desktop 管理者 が Profile Editor ツールを使用してクライアントプロファイルを設定している場合は、このボックスがすでに選択されている可能性があります。
クライアントプロファイルに加えた変更を有効にするには、SGD からログアウトしてから再度ログインする必要があります。
ユーザーが自動ログインを使用するには、デスクトップの「スタート」メニューにある SGD の「ログイン」リンクをクリックする必要があります。クライアントプロファイルで「システムログイン時に接続」チェックボックスが選択されている場合は、ユーザーがデスクトップにログインするとこの操作が自動的に行われます。
管理者 は、SGD Administration Consoleまたはコマンド行を使用して認証トークンを管理できます。トークンキャッシュ内のトークンを表示したり削除したりすることができます。また、ユーザーが新しいトークンを生成できないようにすることもできます。
認証トークンを所有するユーザーを、ユーザーの識別情報別またはユーザープロファイル別に表示するには、次の操作を行います。
tarantella tokencache list
トークンをトークンキャッシュから削除すると、クライアントデバイスに格納されているトークンが無効になります。SGD Client の提供するトークンが無効である場合、ユーザーはユーザー名とパスワードを使用してログインするように求められます。それらのユーザーが自動的にログインするには、別の認証トークンを生成する必要があります。
認証トークンを削除するには、次の操作を行います。
tarantella tokencache delete --username username | --all
username
が、tarantella tokencache list
コマンドで表示されるユーザー名に一致している必要があります。キャッシュからすべてのトークンを削除するには、--all
を使用します。
注 このコマンドは、アレイ内の任意の SGD サーバー上で実行できます。この変更は、アレイ内のほかのサーバーに複製されます。
SGD から新しい認証トークンが発行されないようにするには、この手順を使用します。認証トークンの認証が引き続き有効であれば、既存の認証トークンを持っているユーザーはそのままログインできます。
tarantella config edit --login-autotoken 0
自動ログインに関する問題のトラブルシューティングを行うには、次のログフィルタを使用します。
server/login/*:destination server/tokencache/*:destination
server/login/*
フィルタを使用すると、認証トークンがいつ認証で使用され、認証トークンがいつ失敗したかを確認できます。server/tokencache/*
フィルタを使用すると、トークンがキャッシュに追加されない理由など、トークンキャッシュの操作で発生したエラーを確認できます。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.