2.1. Secure Global Desktop 验证

SGD 设计成与现有验证基础结构相集成,可使用以下两种方法验证用户:

下面是成功通过验证的主要结果:

有时,用户身份与用户配置文件相同。

在 SGD 管理控制台中,可使用用户身份或用户配置文件来监视用户会话和应用程序会话。

SGD 可在用户试图用过期密码登录时提示用户更改密码,具体取决于验证用户的方式。有关详细信息,请参见第 2.1.4 节 “密码过期”

SGD 验证是全局验证。用户能够以相同的用户名和密码登录到阵列中的任意 SGD 服务器。

SGD 管理员可独立启用和禁用每个验证机制,方法如下所示:

2.1.1. 用户身份

用户身份是用于识别用户的名称。每种验证机制都有自己的一组规则用于确定用户身份。

用户身份是 SGD 分配的名称,有时称为全限定名称。用户身份不一定是本地系统信息库中用户配置文件的名称。例如,对于 LDAP 验证,身份是 LDAP 目录中用户的标识名 (distinguished name, DN)。

用户身份与用户的 SGD 会话、其应用程序会话以及在应用服务器密码缓存中的条目相关联。

2.1.2. 用户配置文件

用户配置文件控制用户特定于的 SGD 设置。根据您是否使用 LDAP 目录为用户分配应用程序,用户配置文件还可以控制用户能够通过 SGD 访问的应用程序(有时称为 Webtop 内容)。每种验证机制都有自己的一组用于确定用户配置文件的规则。

用户配置文件始终是本地系统信息库中的一个对象,有时称为等效名称。用户配置文件可以是存储在 "System Objects"(系统对象)组织中的一个称为配置文件对象的特殊对象。例如,对于 LDAP 验证,默认用户配置文件为 o=System Objects/cn=LDAP Profile

2.1.3. 系统验证机制

下表列出了可用的系统验证机制,并介绍了验证的依据。

表 2.1. 系统验证机制

机制

描述

匿名用户

允许用户在不使用用户名和密码的情况下登录到 SGD。

所有匿名用户都拥有相同的 Webtop 内容。

请参见第 2.3 节 “匿名用户验证”

UNIX 系统-在本地系统信息库中搜索 Unix 用户 ID

如果用户在本地系统信息库中具有用户配置文件并且在 SGD 主机上具有 UNIX 或 Linux 系统帐户,则允许他们登录到 SGD。

用户可以拥有自己的 Webtop 内容,具体取决于配置。

请参见第 2.7 节 “UNIX 系统验证”

LDAP

如果用户在 LDAP 目录中具有一个条目,则允许他们登录到 SGD。

用户可以拥有自己的 Webtop 内容,具体取决于配置。

请参见第 2.4 节 “LDAP 验证”

Active Directory

如果用户在 Active Directory 林中具有帐户,则允许他们登录到 SGD。

用户可以拥有自己的 Webtop 内容,具体取决于配置。

请参见第 2.2 节 “Active Directory 验证”

UNIX 系统-在本地系统信息库中搜索 Unix 组 ID

如果用户在 SGD 主机上具有 UNIX 或 Linux 系统帐户,则允许他们登录到 SGD。

同一 UNIX 系统组中的所有用户都拥有相同的 Webtop 内容。

请参见第 2.7 节 “UNIX 系统验证”

UNIX 系统-使用默认用户配置文件

如果用户在 SGD 主机上具有 UNIX 或 Linux 系统帐户,则允许他们登录到 SGD。

所有 UNIX 系统用户都拥有相同的 Webtop 内容。

请参见第 2.7 节 “UNIX 系统验证”

SecurID

允许具有 RSA SecurID 令牌的用户登录到 SGD。

用户可以拥有自己的 Webtop 内容,具体取决于配置。

请参见第 2.5 节 “SecurID 验证”


当用户登录时,将按照启用的验证机制在表 2.1 “系统验证机制”中的列出顺序尝试这些机制。如果配置 SGD 验证,管理控制台将显示尝试机制时所使用的顺序。如果用于验证用户的第一个验证机制“验证成功”,则不会再尝试任何其他验证机制。

2.1.4. 密码过期

经配置后,SGD 能够处理用户密码过期。

当用户尝试用过期密码登录到 SGD 时,将显示一个 "Aged Password"(密码过期)对话框。此对话框完成以下任务:

  • 确认密码已过期

  • 允许用户输入及确认新密码

如果系统接受了新密码,用户将登录到 SGD。

下表显示哪些验证机制支持密码过期。

验证机制

支持密码过期

Active Directory

是。有关详细信息,请参见第 2.2.4 节 “配置 SGD 进行 Kerberos 验证”

匿名用户

不适用。用户无需用户名和密码便可登录。

LDAP

否。用户的密码过期后,用户将无法登录到 SGD。不过,可将 SGD 配置为强制用户在密码过期之前更改密码。有关详细信息,请参见第 2.4.3.3 节 “LDAP 绑定 DN 和密码更改”

SecurID

是。如果用户的个人识别号 (personal identification number, PIN) 已过期,将显示一个新的 PIN 对话框而非 "Aged Password"(密码过期)对话框。

第三方

(包括 Web 验证)

否。用户密码的过期由第三方验证机制来处理,与 SGD 无关。

UNIX 系统

是。有关详细信息,请参见第 2.7.2 节 “UNIX 系统验证和 PAM”

Windows 域

否。

2.1.5. 安全性和密码

登录到 SGD 时,仅当存在基于安全套接字层的 HTTP (HTTP over Secure Sockets Layer, HTTPS) 连接时,才会对密码和验证令牌加密。

SGD 使用外部机制验证用户。验证用户时,密码的安全性如下所示:

  • Active Directory 验证使用 Kerberos 协议进行验证,这是安全的

  • LDAP 验证可以配置为使用安全连接

  • 仅当用户具有 HTTPS 连接时,Web 验证才是安全的

  • 所有其他验证机制均使用本机协议验证用户