ユーザーが SGD にログインする方法を制御するには、「Secure Global Desktop 認証」タブの設定を使用します。設定は、アレイ内のすべての SGD サーバーに適用されます。設定に対する変更は、すぐに反映されます。
これらの設定の一覧を表示するには、コマンド行で 「tarantella config list」 コマンドを使用します。これらの設定を編集するには、「tarantella config edit」 コマンドを使用します。
ユーザー認証は、外部の認証メカニズム (サードパーティーの認証) を使って実行できます。また、SGD は指定したリポジトリを使って認証を実行することもできます (システム認証)。
「Secure Global Desktop 認証」タブには、次のセクションが含まれます。
「トークンとキャッシュ」。このセクションには、次の属性が含まれます。
Secure Global Desktop 認証有効化シーケンス。このセクションには、現在の SGD 認証設定のサマリーが表示されます。「ユーザー認証の変更」ボタンをクリックすると、認証ウィザードが起動します。このウィザードを使って、SGD の認証を構成できます。「認証ウィザード」を参照してください。
認証ウィザードを使用すると、SGD ユーザー用の認証設定処理を簡単に実行できます。認証ウィザードに表示される手順の数は、ウィザード実行時の選択内容に応じて異なります。
認証ウィザードで実行可能な手順は、次のとおりです。
「概要」。ユーザーが SGD への認証を実行する方法に関する背景情報を含みます。
「サードパーティー/システム認証」。サードパーティーの認証とシステム認証のどちらを使用するか、または両方を使用するかどうかを選択します。
この手順には、次の属性が含まれます。
「サードパーティーの認証 – ユーザー識別情報とユーザープロファイル」。サードパーティーの認証専用。認証されたユーザーのユーザー識別情報とユーザープロファイルの検索で使用する検索方式を選択します。
この手順には、次の属性が含まれます。
「システム認証 – リポジトリ」。システム認証専用。1 つ以上のチェックボックスを選択して、SGD がユーザー情報の検出に使用するリポジトリを有効にします。リポジトリは、試行される順序に従ってリスト表示されます。1 つのリポジトリがユーザーを認証すると、それ以降のリポジトリは試されません。
この手順には、次の属性が含まれます。
「Unix 認証 – ユーザープロファイル」。システム認証専用。UNIX 認証を選択すると、この画面が表示されます。1 つ以上のチェックボックスを選択して、UNIX システムユーザーの認証に使用するユーザープロファイルの検索方法を指定します。認証方式は、試行される順序に従ってリスト表示されます。ある検索方式で一致するユーザープロファイルが検索されると、それ以降の方式は試されません。
この手順には、次の属性が含まれます。
「LDAP リポジトリの詳細」。サードパーティーの認証またはシステム認証用。LDAP または Active Directory システム認証リポジトリを選択した場合、またはサードパーティーの認証に「LDAP リポジトリを検索」オプションを選択した場合に、この画面が表示されます。ここでは、使用する LDAP リポジトリの詳細を指定します。
この手順には、次の属性が含まれます。
「LDAP リポジトリの詳細」の手順では、generated
というサービスオブジェクトを作成および管理できます。複数のサービスオブジェクトが設定されている場合は、「Service Object」タブを使用してそれらの詳細を設定します。「「サービスオブジェクト」タブ」を参照してください。
「選択項目の確認」。ウィザードで選択した項目の概要が表示されます。変更を確定する前に、認証設定の内容を確認できます。
使用法: チェックボックスを選択または選択解除します。
ユーザーが SGD にログインするために入力したユーザー名とパスワードを、パスワードキャッシュに保存するかどうか。
SecurID 認証を使用する場合は、SecurID パスワードが再利用されないように、ユーザー名とパスワードを保存しないでください。
SGD では、サードパーティー認証で認証されたユーザーのユーザー名とパスワードを格納することはできません。
コマンドオプション: --launch-savettapassword 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、ユーザーログインの詳細をパスワードキャッシュに保存します。
--launch-savettapassword 1
使用法: チェックボックスを選択または選択解除します。
サードパーティーの認証を有効にする場合は、チェックボックスを選択します。
この属性を使用すると、Web 認証などのサードパーティーのメカニズムから認証されているユーザーに SGD へのアクセスを許可できます。
コマンドオプション: --login-thirdparty 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、サードパーティーの認証を無効にします。
--login-thirdparty 0
使用法: チェックボックスを選択または選択解除します。
ユーザー認証が SGD サーバーにより実行されることを指定します。このオプションを選択すると、ウィザードの画面でシステム認証の設定が可能になります。
この属性に相当するコマンド行はありません。
使用法: チェックボックスを選択または選択解除します。
この属性は、サードパーティーの認証メカニズムで認証されたユーザー識別情報とユーザープロファイルを判定するために SGD が使用する検索方式を指定します。
この検索方式は、ユーザー識別情報をローカルリポジトリ内で検索して、一致するプロファイルを使用します。
追加の検索方式を選択した場合、表示された順番に検索方式が使用されます。ただし、サードパーティーの認証は曖昧なユーザーをサポートしていないため、最初に一致したものが使用されます。
検索して一致するものが見つからなかった場合は、標準のログインページが表示されます。このときユーザーは、通常の方法で SGD にログインする必要があります。
コマンドオプション: --login-thirdparty-ens 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、ローカルリポジトリ内での一致するユーザープロファイルの検索が無効になります。
--login-thirdparty-ens 0
使用法: チェックボックスを選択または選択解除します。
LDAP リポジトリに対して、サードパーティーの認証メカニズムで認証されたユーザーのユーザー識別情報を検索することを指定します。
使用する検索方式は、「「デフォルトの LDAP プロファイルを使用」」または「「もっとも近い LDAP プロファイルを使用」」属性で定義されます。
この属性に相当するコマンド行はありません。
使用法: チェックボックスを選択または選択解除します。
この属性は、サードパーティーの認証メカニズムで認証されたユーザー識別情報とユーザープロファイルを判定するために SGD が使用する検索方式を指定します。
この検索方式では、 検索は実行されません。ユーザー識別情報は、サードパーティーのユーザー名です。サードパーティーのユーザープロファイル (System Objects/Third Party Profile
) が使用されます。
追加の検索方式を選択した場合、表示された順番に検索方式が使用されます。ただし、サードパーティーの認証は曖昧なユーザーをサポートしていないため、最初に一致したものが使用されます。
検索して一致するものが見つからなかった場合は、標準のログインページが表示されます。このときユーザーは、通常の方法で SGD にログインする必要があります。
コマンドオプション: --login-thirdparty-nonens 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、デフォルトのユーザープロファイルの使用が無効になります。
--login-thirdparty-nonens 0
使用法: オプションを選択します。
この属性は、サードパーティーの認証メカニズムで認証されたユーザー識別情報とユーザープロファイルを判定するために SGD が使用する検索方式を指定します。
この検索方式は、ユーザー識別情報を LDAP リポジトリ内で検索してから、デフォルト LDAP ユーザープロファイル (System Objects/LDAP Profile
) を使用します。
追加の検索方式を選択した場合、表示された順番に検索方式が使用されます。ただし、サードパーティーの認証は曖昧なユーザーをサポートしていないため、最初に一致したものが使用されます。
検索して一致するものが見つからなかった場合は、標準のログインページが表示されます。このときユーザーは、通常の方法で SGD にログインする必要があります。
コマンドオプション: --login-ldap-thirdparty-profile 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、LDAP の検索とデフォルトの LDAP プロファイルの使用が無効になります。
--login-ldap-thirdparty-profile 0
使用法: オプションを選択します。
この属性は、サードパーティーの認証メカニズムで認証されたユーザー識別情報とユーザープロファイルを判定するために SGD が使用する検索方式を指定します。
この検索方式は、LDAP と SGD の命名体系の違いを考慮して、ユーザー識別情報を LDAP リポジトリ内で検索してから、ローカルリポジトリ内のもっとも近いユーザープロファイルを使用します。
SGD は、一致するものが見つかるまで次の検索を行います。
LDAP 人物オブジェクトと同じ名前を持つユーザープロファイル。
たとえば、LDAP 人物オブジェクトが cn=Emma Rald,cn=Sales,dc=example,dc=com
である場合、SGD はローカルリポジトリで dc=com/dc=example/cn=Sales/cn=Emma Rald
を検索します。
LDAP 人物オブジェクトと同じ組織単位に含まれるが、cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=example/cn=Sales/cn=LDAP Profile
です。
cn=LDAP Profile
という名前を持つ、いずれかの親の組織単位内のユーザープロファイル。
たとえば、dc=com/dc=example/cn=LDAP Profile
です。
一致するものが見つからない場合は、プロファイルオブジェクト System Objects/LDAP Profile
がユーザープロファイルとして使用されます。
追加の検索方式を選択した場合、表示された順番に検索方式が使用されます。ただし、サードパーティーの認証は曖昧なユーザーをサポートしていないため、最初に一致したものが使用されます。
検索して一致するものが見つからなかった場合は、標準のログインページが表示されます。このときユーザーは、通常の方法で SGD にログインする必要があります。
コマンドオプション: --login-ldap-thirdparty-ens 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、LDAP の検索ともっとも近い LDAP プロファイルの使用が無効になります。
--login-ldap-thirdparty-ens 0
使用法: チェックボックスを選択または選択解除します。
LDAP ディレクトリサーバーまたは Active Directory サーバーを認証に使用することを指定します。
このオプションを選択すると、ウィザードの画面で、LDAP ディレクトリサーバーまたは Active Directory サーバーの詳細を入力できます。
この属性に相当するコマンド行はありません。
使用法: チェックボックスを選択または選択解除します。
UNIX の認証を有効にします。
このオプションを選択すると、ウィザードの画面で UNIX の認証を設定できます。
この属性に相当するコマンド行はありません。
使用法: チェックボックスを選択または選択解除します。
RSA SecurID トークンを持っているユーザーが SGD にログインできるようにします。
コマンドオプション: --login-securid 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、SecurID 認証が無効になります。
--login-securid 0
使用法: チェックボックスを選択または選択解除します。
ユーザーがユーザー名とパスワードを入力せずに SGD にログインできるようにします。
コマンドオプション: --login-anon 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、匿名のユーザー認証が無効になります。
--login-anon 0
使用法: チェックボックスを選択または選択解除します。
認証された UNIX システムユーザーのユーザープロファイルを検索する方式を指定します。ローカルリポジトリ内でユーザー識別情報を検索して、一致するユーザープロファイルを使用する場合に、この属性を選択します。
コマンドオプション: --login-ens 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、ローカルリポジトリ内での UNIX ユーザー ID の検索が有効になります。
--login-ens 1
使用法: チェックボックスを選択または選択解除します。
認証された UNIX システムユーザーのユーザープロファイルを検索する方式を指定します。UNIX ユーザー識別情報を使用し、ローカルリポジトリで、ユーザーの UNIX グループ ID に適合するユーザープロファイルを検索する場合に、この属性を選択します。
コマンドオプション: --login-unix-group 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、ローカルリポジトリ内での UNIX グループ ID の検索が有効になります。
--login-unix-group 1
使用法: チェックボックスを選択または選択解除します。
認証された UNIX システムユーザーのユーザープロファイルを検索する方式を指定します。認証されたユーザーのデフォルトの UNIX ユーザープロファイル (System Objects/UNIX User Profile
) を使用する場合に、この属性を選択します。
コマンドオプション: --login-unix-user 1 | 0
使用法: 1
(true) または 0
(false) を指定します。
次の例では、デフォルトの UNIX ユーザープロファイル (System Objects/UNIX User Profile)
の使用が有効になります。
--login-unix-user 1