可使用 "Secure Global Desktop Authentication"(Secure Global Desktop 验证)选项卡上的设置控制用户如何登录 SGD。这些设置应用于阵列中的所有 SGD 服务器。对这些设置所做的更改会立即生效。
从命令行,使用第 D.16 节 “tarantella config list”命令列出这些设置,使用第 D.15 节 “tarantella config edit”命令编辑这些设置。
可以通过外部验证机制来执行用户验证(第三方验证),SGD 也可以使用指定的系统信息库来执行验证(系统验证)。
"Secure Global Desktop Authentication"(Secure Global Desktop 验证)选项卡包含以下部分:
Tokens and Cache(令牌和缓存)。此部分包含以下属性:
Secure Global Desktop Authentication Effective Sequence(Secure Global Desktop 验证执行顺序)。此部分显示当前 SGD 验证设置的摘要。如果单击 "Change User Authentication"(更改用户验证)按钮,将启动 "Authentication Wizard"(验证向导)。使用该向导可以配置 SGD 验证。请参见第 A.1.1 节 “Authentication Wizard(验证向导)”。
"Authentication Wizard"(验证向导)可引导您完成为 SGD 用户设置验证的过程。"Authentication Wizard"(验证向导)中显示的步骤数取决于您在向导中工作时所做的选择。
"Authentication Wizard"(验证向导)中的可用步骤如下所示:
Overview(概述)。包括有关用户如何向 SGD 验证的背景信息。
Third-Party/System Authentication(第三方/系统验证)。选择要使用第三方验证、系统验证还是两者都用。
此步骤包含以下属性:
Third-Party Authentication – User Identity and Profile(第三方验证 – 用户身份和用户配置文件)。仅用于第三方验证。选择搜索方法,用于查找已验证用户的用户身份和用户配置文件。
此步骤包含以下属性:
System Authentication – Repositories(系统验证 – 系统信息库)。仅用于系统验证。选中一个或多个复选框,启用 SGD 用于查找用户信息的系统信息库。系统信息库将按尝试顺序列出。如果一个系统信息库验证用户,则不再尝试其他系统信息库。
此步骤包含以下属性:
Unix Authentication – User Profile(Unix 验证 – 用户配置文件)。仅用于系统验证。如果选择了 UNIX 验证,则显示此屏幕。选中一个或多个复选框,以指定如何为已验证的 UNIX 系统用户查找用户配置文件。验证方法按尝试顺序列出。如果一种方法找到匹配的用户配置文件,则不再尝试其他搜索方法。
此步骤包含以下属性:
LDAP Repository Details(LDAP 系统信息库详细信息)。用于第三方验证或系统验证。如果选择了 LDAP 或 Active Directory 系统验证系统信息库,或者如果为第三方验证选择了 "Search LDAP Repository"(搜索 LDAP 系统信息库)选项,则显示此屏幕。您可以在此处指定要使用的 LDAP 系统信息库的详细信息。
此步骤包含以下属性:
通过 "LDAP Repository Details"(LDAP 系统信息库详细信息)步骤,可以创建和管理名为 generated
的服务对象。如果配置了多个服务对象,可以使用 "Service Object"(服务对象)选项卡配置这些详细信息,请参见第 A.2 节 “"Service Objects"(服务对象)选项卡”。
Review Selections(查看所做的选择)。显示使用向导所做选择的摘要。可以在确认更改之前查看您的验证设置。
用法:选中或者取消选中复选框。
是否在密码缓存中保存用户登录 SGD 所键入的用户名和密码。
如果使用的是 SecurID 验证,则不要保存用户名和密码,因为无法重复使用 SecurID 密码。
SGD 无法存储通过第三方验证所验证的用户的用户名和密码。
命令选项:--launch-savettapassword 1 | 0
用法:指定 1
(true) 或 0
(false)。
以下示例在密码缓存中保存用户登录详细信息。
--launch-savettapassword 1
用法:选中或者取消选中复选框。
选中复选框来启用第三方验证。
使用该属性,可以允许已通过第三方机制(例如 Web 验证)进行了验证的用户访问 SGD。
命令选项:--login-thirdparty 1 | 0
用法:指定 1
(true) 或 0
(false)。
以下示例禁用第三方验证。
--login-thirdparty 0
用法:选中或者取消选中复选框。
此属性指定搜索方法,SGD 使用该方法确定已通过第三方验证机制进行验证的用户的身份和用户配置文件。
此搜索方法在本地系统信息库中搜索用户身份,然后使用匹配的用户配置文件。
如果选择了其他搜索方法,则按显示的顺序使用搜索方法。但是,第三方验证不支持不明确的用户,因此将使用找到的第一个匹配项。
如果搜索没有生成匹配项,将显示标准登录页面,用户必须以正常方式登录 SGD。
命令选项:--login-thirdparty-ens 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,禁止在本地系统信息库中搜索匹配的用户配置文件。
--login-thirdparty-ens 0
用法:选中或者取消选中复选框。
指定将搜索 LDAP 系统信息库来查找已通过第三方验证机制进行验证的用户的用户身份。
使用的搜索方法由第 A.1.8 节 “Use Default LDAP Profile(使用默认的 LDAP 配置文件)”或第 A.1.9 节 “Use Closest Matching LDAP Profile(使用最匹配的 LDAP 配置文件)”属性定义。
此属性没有等效命令行。
用法:选中或者取消选中复选框。
此属性指定搜索方法,SGD 使用该方法确定已通过第三方验证机制进行验证的用户的身份和用户配置文件。
此搜索方法不执行搜索。用户身份是第三方用户名。将使用第三方用户配置文件 System Objects/Third Party Profile
(系统对象/第三方配置文件)。
如果选择了其他搜索方法,则按显示的顺序使用搜索方法。但是,第三方验证不支持不明确的用户,因此将使用找到的第一个匹配项。
如果搜索没有生成匹配项,将显示标准登录页面,用户必须以正常方式登录 SGD。
命令选项:--login-thirdparty-nonens 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,禁止使用默认用户配置文件。
--login-thirdparty-nonens 0
用法:选择该选项。
此属性指定搜索方法,SGD 使用该方法确定已通过第三方验证机制进行验证的用户的身份和用户配置文件。
此搜索方法在 LDAP 系统信息库中搜索用户身份,然后使用默认 LDAP 用户配置文件 System Objects/LDAP Profile
(系统对象/LDAP 配置文件)。
如果选择了其他搜索方法,则按显示的顺序使用搜索方法。但是,第三方验证不支持不明确的用户,因此将使用找到的第一个匹配项。
如果搜索没有生成匹配项,将显示标准登录页面,用户必须以正常方式登录 SGD。
命令选项:--login-ldap-thirdparty-profile 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,禁止搜索 LDAP 和使用默认 LDAP 配置文件。
--login-ldap-thirdparty-profile 0
用法:选择该选项。
此属性指定搜索方法,SGD 使用该方法确定已通过第三方验证机制进行验证的用户的身份和用户配置文件。
此搜索方法在 LDAP 系统信息库中搜索用户身份,然后使用本地系统信息库中最匹配的用户配置文件,允许 LDAP 和 SGD 命名系统之间的差别。
SGD 搜索以下项,直到找到匹配项:
与 LDAP 人员对象同名的用户配置文件。
例如,如果 LDAP 人员对象是 cn=Emma Rald,cn=Sales,dc=example,dc=com
,SGD 在本地系统信息库中搜索 dc=com/dc=example/cn=Sales/cn=Emma Rald
。
与 LDAP 人员对象处于相同组织单元中,但是具有名称 cn=LDAP Profile
的用户配置文件。
例如:dc=com/dc=example/cn=Sales/cn=LDAP Profile
。
任意父组织单元内的名称为 cn=LDAP Profile
的用户配置文件。
例如:dc=com/dc=example/cn=LDAP Profile
。
如果没有匹配项,则对用户配置文件使用配置文件对象 System Objects/LDAP Profile
(系统对象/LDAP 配置文件)。
如果选择了其他搜索方法,则按显示的顺序使用搜索方法。但是,第三方验证不支持不明确的用户,因此将使用找到的第一个匹配项。
如果搜索没有生成匹配项,将显示标准登录页面,用户必须以正常方式登录 SGD。
命令选项:--login-ldap-thirdparty-ens 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,禁止搜索 LDAP 和使用最匹配的 LDAP 配置文件。
--login-ldap-thirdparty-ens 0
用法:选中或者取消选中复选框。
指定 LDAP 目录服务器或 Active Directory 服务器将用于验证。
通过选中此选项,可以启用可在其中键入 LDAP 目录服务器或 Active Directory 服务器详细信息的向导屏幕。
此属性没有等效命令行。
用法:选中或者取消选中复选框。
允许具有 RSA SecurID 令牌的用户登录到 SGD。
命令选项:--login-securid 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,禁用 SecurID 验证。
--login-securid 0
用法:选中或者取消选中复选框。
允许用户在不提供用户名和密码的情况下登录 SGD。
命令选项:--login-anon 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,禁用匿名用户验证。
--login-anon 0
用法:选中或者取消选中复选框。
指定用于为已验证的 UNIX 系统用户查找用户配置文件的搜索方法。选择此属性可以在本地系统信息库中搜索用户身份并使用匹配的用户配置文件。
命令选项:--login-ens 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,允许在本地系统信息库中搜索 UNIX 用户 ID。
--login-ens 1
用法:选中或者取消选中复选框。
指定用于为已验证的 UNIX 系统用户查找用户配置文件的搜索方法。选择此属性可以使用 UNIX 用户身份并在本地系统信息库中搜索与用户的 UNIX 组 ID 匹配的用户配置文件。
命令选项:--login-unix-group 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,允许在本地系统信息库中搜索 UNIX 组 ID。
--login-unix-group 1
用法:选中或者取消选中复选框。
指定用于为已验证的 UNIX 系统用户查找用户配置文件的搜索方法。选择此属性可以对已验证用户使用默认 UNIX 用户配置文件 System Objects/UNIX User Profile
(系统对象/UNIX 用户配置文件)。
命令选项:--login-unix-user 1 | 0
用法:指定 1
(true) 或 0
(false)。
在以下示例中,允许使用默认 UNIX 用户配置文件 (System Objects/UNIX User Profile)
(系统对象/UNIX 用户配置文件)。
--login-unix-user 1