Secure Global Desktop 4.40 管理者ガイド
> ユーザーと認証
> Secure Global Desktop とユーザー認証
このトピックの内容 |
---|
|
SGD のユーザー認証は、2 つの段階に分けられます。最初に、ユーザーは SGD サーバーに対して認証を実行して、SGD にログインします。次に、ユーザーはアプリケーションサーバーに対して認証を実行して、アプリケーションを実行します。ここでは、SGD への認証で使用可能な機構について説明します。アプリケーションサーバーへの認証については、「アプリケーション起動の概要」で説明します。
SGD は、既存の認証インフラストラクチャーとの統合、および次の 2 つの認証機構をユーザーの認証用にサポートすることを目的として設計されています。
認証が成功した場合に得られる主な結果は、次のとおりです。
ユーザーの識別情報とユーザープロファイルは同じ場合があります。
SGD Administration Console では、ユーザーの識別情報またはユーザープロファイルを使って、ユーザーセッションとアプリケーションセッションを監視できます。
ユーザーの認証方法に応じて、SGD は、ユーザーが期限切れのパスワードを使ってログインを試みたときに、パスワードを変更するようユーザーに促すことができます。詳細については、「パスワードの有効期限」を参照してください。
SGD の認証は、グローバルです。ユーザーは、同じユーザー名とパスワードを使用して、アレイ内の各 SGD サーバーにログインできます。
Secure Global Desktop 管理者
は、SGD Administration Console の「グローバル設定」にある「Secure Global Desktop 認証」タブ、または tarantella config
コマンドを使って、各認証機構を個別に有効および無効にできます。
ユーザーの識別情報は、SGD がユーザーを誰だと認識したかということを示します。ユーザーの識別情報を判定する規則は、認証機構ごとに異なります。
ユーザーの識別情報は、SGD が割り当てた名前のことで、完全修飾名と呼ばれることもあります。ユーザーの識別情報は、ローカルリポジトリ内のユーザープロファイルの名前とは限りません。たとえば LDAP 認証の場合、識別情報は、LDAP リポジトリ内のユーザーの識別名 (DN) です。
ユーザーの識別情報は、ユーザーの SGD セッション、アプリケーションセッション、およびアプリケーションサーバーのパスワードキャッシュのエントリに関連付けられます。
ユーザープロファイルは、ユーザーの SGD 関連の設定を制御します。Directory Services Integration 機能を使用しているかどうかに応じて、ユーザープロファイルは、ユーザーが実行可能なアプリケーション (Webtop コンテンツと呼ばれることもある) もコントロールできます。ユーザープロファイルを判定する規則は、認証機構ごとに異なります。
ユーザープロファイルは、常にローカルリポジトリ内のオブジェクトであり、同じ名前で呼ばれることもあります。ユーザープロファイルを、システムオブジェクト組織内にあるプロファイルオブジェクトにすることも可能です。たとえば LDAP 認証の場合、デフォルトのユーザープロファイルは System Objects/LDAP Profile
です。
次の表に、使用可能なシステム認証機構、および認証のベースを示します。
機構 | 説明 |
---|---|
匿名ユーザー |
|
認証トークン |
|
UNIX システム (ローカルリポジトリ内で Unix ユーザー ID を検索する) |
|
Windows ドメイン |
|
LDAP |
|
Active Directory |
|
UNIX システム (ローカルリポジトリ内で Unix グループ ID を検索する) |
|
UNIX システム (デフォルトのユーザープロファイルを使用する) |
|
SecurID |
|
ユーザーがログインするときに、有効になっている認証機構が、上記の表に記載されている順序で試みられます。SGD 認証を設定する場合、機構を試みる順序が SGD Administration Console に表示されます。最初の認証機構でユーザーの認証に「成功」した場合、それ以降の認証機構は使用されません。
ほとんどの状況では、SGD は、事前に設定されていれば、ユーザーのパスワードの期限切れに対応することが可能です。ユーザーが有効期限の切れたパスワードを使ってログインを試みると、「期限経過パスワード」ダイアログが表示されます。このダイアログでは、次のことができます。
新規パスワードが受け付けられてから、ユーザーは SGD にログインします。
次の表は、どの認証機構が期限経過パスワードをサポートしているかを示しています。
認証機構 | 期限経過パスワードのサポート |
---|---|
Active Directory | 使用可能。詳細は、「Active Directory 認証用の Kerberos 認証」を参照してください。 |
匿名ユーザー | 使用不能。ユーザー名とパスワードを使用しないでログインします。 |
認証トークン | 使用不能。ユーザー名とパスワードを使用しないでログインします。 |
LDAP | 使用可能。詳細は、「LDAP 認証とパスワードの有効期限」を参照してください。 |
SecurID | 使用可能。ユーザーの PIN が期限切れになっているときは、「期限経過パスワード」ダイアログの代わりに新規 PIN のダイアログが表示されます。 |
サードパーティー (Web サーバー認証を含む) |
使用不能。ユーザーのパスワードの有効期限切れは、SGD とは無関係に、サードパーティーの認証機構により処理されます。 |
UNIX システム | 使用可能。詳細は、「UNIX システム認証と PAM」を参照してください。 |
Windows ドメイン | 使用不能。 |
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.