SGD 设计成与现有验证基础结构相集成,可使用以下两种方法验证用户:
系统验证。SGD 依照一个或多个外部验证服务(例如,轻量目录访问协议 (Lightweight Directory Access Protocol, LDAP) 目录)检查用户的凭证。有关可用系统验证机制的详细信息,请参见第 2.1.3 节 “系统验证机制”。
第三方验证。由外部机制验证用户,SGD 信任该验证的正确性。最常用的第三方验证是 Web 验证。有关更多详细信息,请参见第 2.6 节 “第三方验证和 Web 验证”。
下面是成功通过验证的主要结果:
用户身份。用于识别用户的名称。有关更多详细信息,请参见第 2.1.1 节 “用户身份”。
用户配置文件。用户的 SGD 相关设置。有关更多详细信息,请参见第 2.1.2 节 “用户配置文件”。
有时,用户身份与用户配置文件相同。
在 SGD 管理控制台中,可使用用户身份或用户配置文件来监视用户会话和应用程序会话。
SGD 可在用户试图用过期密码登录时提示用户更改密码,具体取决于验证用户的方式。有关详细信息,请参见第 2.1.4 节 “密码过期”。
SGD 验证是全局验证。用户能够以相同的用户名和密码登录到阵列中的任意 SGD 服务器。
SGD 管理员可独立启用和禁用每个验证机制,方法如下所示:
在管理控制台中,使用 "Global Settings"(全局设置)→ "Secure Global Desktop Authentication"(Secure Global Desktop 验证)选项卡。
在命令行上,使用 tarantella config 命令。
用户身份是用于识别用户的名称。每种验证机制都有自己的一组规则用于确定用户身份。
用户身份是 SGD 分配的名称,有时称为全限定名称。用户身份不一定是本地系统信息库中用户配置文件的名称。例如,对于 LDAP 验证,身份是 LDAP 目录中用户的标识名 (distinguished name, DN)。
用户身份与用户的 SGD 会话、其应用程序会话以及在应用服务器密码缓存中的条目相关联。
用户配置文件控制用户特定于的 SGD 设置。根据您是否使用 LDAP 目录为用户分配应用程序,用户配置文件还可以控制用户能够通过 SGD 访问的应用程序(有时称为 Webtop 内容)。每种验证机制都有自己的一组用于确定用户配置文件的规则。
用户配置文件始终是本地系统信息库中的一个对象,有时称为等效名称。用户配置文件可以是存储在 "System Objects"(系统对象)组织中的一个称为配置文件对象的特殊对象。例如,对于 LDAP 验证,默认用户配置文件为 o=System Objects/cn=LDAP Profile
。
下表列出了可用的系统验证机制,并介绍了验证的依据。
表 2.1. 系统验证机制
机制 | 描述 |
---|---|
匿名用户 | 允许用户在不使用用户名和密码的情况下登录到 SGD。 所有匿名用户都拥有相同的 Webtop 内容。 请参见第 2.3 节 “匿名用户验证”。 |
UNIX 系统-在本地系统信息库中搜索 Unix 用户 ID | 如果用户在本地系统信息库中具有用户配置文件并且在 SGD 主机上具有 UNIX 或 Linux 系统帐户,则允许他们登录到 SGD。 用户可以拥有自己的 Webtop 内容,具体取决于配置。 |
LDAP | 如果用户在 LDAP 目录中具有一个条目,则允许他们登录到 SGD。 用户可以拥有自己的 Webtop 内容,具体取决于配置。 |
Active Directory | 如果用户在 Active Directory 林中具有帐户,则允许他们登录到 SGD。 用户可以拥有自己的 Webtop 内容,具体取决于配置。 |
UNIX 系统-在本地系统信息库中搜索 Unix 组 ID | 如果用户在 SGD 主机上具有 UNIX 或 Linux 系统帐户,则允许他们登录到 SGD。 同一 UNIX 系统组中的所有用户都拥有相同的 Webtop 内容。 |
UNIX 系统-使用默认用户配置文件 | 如果用户在 SGD 主机上具有 UNIX 或 Linux 系统帐户,则允许他们登录到 SGD。 所有 UNIX 系统用户都拥有相同的 Webtop 内容。 |
SecurID | 允许具有 RSA SecurID 令牌的用户登录到 SGD。 用户可以拥有自己的 Webtop 内容,具体取决于配置。 |
当用户登录时,将按照启用的验证机制在表 2.1 “系统验证机制”中的列出顺序尝试这些机制。如果配置 SGD 验证,管理控制台将显示尝试机制时所使用的顺序。如果用于验证用户的第一个验证机制“验证成功”,则不会再尝试任何其他验证机制。
经配置后,SGD 能够处理用户密码过期。
当用户尝试用过期密码登录到 SGD 时,将显示一个 "Aged Password"(密码过期)对话框。此对话框完成以下任务:
确认密码已过期
允许用户输入及确认新密码
如果系统接受了新密码,用户将登录到 SGD。
下表显示哪些验证机制支持密码过期。
验证机制 | 支持密码过期 |
---|---|
Active Directory | 是。有关详细信息,请参见第 2.2.4 节 “配置 SGD 进行 Kerberos 验证”。 |
匿名用户 | 不适用。用户无需用户名和密码便可登录。 |
LDAP | 否。用户的密码过期后,用户将无法登录到 SGD。不过,可将 SGD 配置为强制用户在密码过期之前更改密码。有关详细信息,请参见第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”。 |
SecurID | 是。如果用户的个人识别号 (personal identification number, PIN) 已过期,将显示一个新的 PIN 对话框而非 "Aged Password"(密码过期)对话框。 |
第三方 (包括 Web 验证) | 否。用户密码的过期由第三方验证机制来处理,与 SGD 无关。 |
UNIX 系统 | 是。有关详细信息,请参见第 2.7.2 节 “UNIX 系统验证和 PAM”。 |
Windows 域 | 否。 |