2.9. Secure Global Desktop 認証のトラブルシューティング

ユーザーが SGD にログインするときの問題をトラブルシューティングするには、このセクションの情報を使用してください。このセクションの内容は、次のとおりです。

2.9.1. 認証の問題に使用するログフィルタの設定

Secure Global Desktop 認証に関する問題の診断に役立てるために、次の表に示されているログフィルタの 1 つまたは複数を使用して詳細情報を取得してください。

ログフィルタ

目的

server/directoryservices/*

ディレクトリサービスを使用する認証メカニズムに関する情報です。

Active Directory、LDAP、およびサードパーティー認証に適用されます。

server/login/*

ユーザーがログインを試みたときの処理に関する情報です。

すべての認証メカニズムに適用されます。

server/securid/*

RSA Authentication Manager への接続に関する情報です。

SecurID 認証に適用されます。

ログフィルタの設定については、「ログフィルタを使用した SGD サーバーのトラブルシューティング」を参照してください。

2.9.2. ログイン試行に失敗したあとの SGD へのユーザーアクセスの拒否

SGD 管理者は、ユーザーがログイン試行に 3 回失敗したあと SGD へのアクセスを拒否されるように、ログイン失敗ハンドラを有効にすることができます。「ログイン失敗ハンドラを有効にする方法」を参照してください。この追加のセキュリティー対策は、ユーザー独自のユーザープロファイルオブジェクトがローカルリポジトリに格納されている場合にだけ有効です。System Objects 組織のデフォルトのプロファイルオブジェクトには効果がありません。詳細は、を参照してください。

ログイン試行回数は設定可能です。「ログインの試行回数を変更する方法」を参照してください。デフォルトでは、ユーザーは 3 回試行できます。ログイン試行の回数は、各 SGD サーバーにローカルであり、アレイ全体にはコピーされません。特定のサーバーでログイン制限に到達したときにだけ、アレイ全体でアクセスを拒否されます。たとえば、ユーザーは各 SGD サーバーへのログインを 2 回試行できますが、あるサーバー上で 3 回目に失敗した場合のみ、アレイのほかのメンバーへのアクセスを拒否されます。

ユーザーかアクセスを拒否された場合、そのユーザーは SGD へのアクセスのみを拒否されます。SGD がインストールされているホストへのアクセスは拒否されません。

ユーザーがアクセスを拒否されると、SGD は、Administration Console のそのユーザープロファイルオブジェクトの「一般」タブにある「ログイン」チェックボックスの選択を解除します (--enabled false)。このユーザーに再度アクセスを許可するには、このチェックボックスを選択する必要があります (--enabled true)。

セキュリティー上の理由から、ユーザーのアカウントが無効になっていることを示すメッセージは表示されません。代わりに、不正なパスワードを入力した場合と同じメッセージが表示されます。

2.9.2.1. ログイン失敗ハンドラを有効にする方法

ログイン失敗ハンドラの有効化は、コマンド行からのみ行うことができます。

  1. 次のコマンドを使用します。

    $ tarantella config edit \
    --tarantella-config-components-loginfailurehandler 1 \
    --tarantella-config-components-loginfailurefilter 1

2.9.2.2. ログインの試行回数を変更する方法

アレイ内の SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。

  1. プライマリ SGD サーバーにスーパーユーザー (root) としてログインします。

  2. プライマリ SGD サーバーを停止します。

  3. ログインの試行回数を設定します。

    次のコマンドを使用します。

    # tarantella config edit \
    --com.sco.tta.server.login.LoginFailureHandler.properties-attemptsallowed num
    
  4. プライマリ SGD サーバーを起動します。

  5. すべてのセカンダリ SGD サーバーのウォームリスタートを実行します。

    次のコマンドを使用します。

    # tarantella restart sgd --warm

2.9.3. Web 認証のトラブルシューティング

ユーザーが Web 認証を使用して SGD にログインするときに発生する一般的な問題には、次のものが含まれます。

2.9.3.1. Web 認証が失敗する

Web サーバーへの認証に失敗すると、「401 認証が必要です」などのメッセージが表示される場合があります。このメッセージは、ユーザー名とパスワードに問題があるか、Web サーバーの設定に問題があることを示しています。

次の点を確認してください。

  • Web サーバーパスワードファイルにユーザー用のエントリが存在しますか。

  • Web サーバーが正しいパスワードファイルを使用するように設定されていますか。

  • SGD Web サーバーを使用している場合、パスワードファイルは ttaserv ユーザーからアクセスできますか。このユーザーがパスワードファイルを読み取ることができない場合は、Web 認証が失敗します。

2.9.3.2. ユーザーに SGD の標準ログインページが表示される

Web 認証が正しく設定されていないか、または何らかの理由で失敗した場合、SGD は標準ログインページを表示します。次のチェックリストを使って問題を解決してください。

Questions

  • 2.9.3.2.1: 適切な SGD URL が保護されていますか。

  • 2.9.3.2.2: Tomcat は Web 認証を信頼するように構成されていますか。

  • 2.9.3.2.3: ローカルリポジトリ内でユーザーにユーザープロファイルが関連付けられていますか。

  • 2.9.3.2.4: このユーザーは SGD 管理者ですか。

  • 2.9.3.2.5: 信頼できるユーザーに変更を加えましたか。

Questions and Answers

2.9.3.2.1: 適切な SGD URL が保護されていますか。

Webtop の場合は、/sgd URL を保護するように Web サーバーを設定する必要があります。

2.9.3.2.2: Tomcat は Web 認証を信頼するように構成されていますか。

SGD Web サーバーの Tomcat コンポーネントは、Apache Web サーバー認証を信頼するように構成されている必要があります。

各アレイメンバー上で、/opt/tarantella/webserver/tomcat/tomcat-version/conf/server.xml ファイルを編集します。AJP 1.3 Connector の <Connector> 要素に、tomcatAuthentication="false" 属性を追加します。

2.9.3.2.3: ローカルリポジトリ内でユーザーにユーザープロファイルが関連付けられていますか。

SGD の構成が、ローカルリポジトリ内にユーザープロファイルオブジェクトを保持するユーザーに依存しているときに、いずれかのフォールバックプロファイルオブジェクトを有効にしていない場合は、ユーザーがログインできない可能性があります。この問題が発生し、ロギングを有効にしている場合は、SGD が認証されたユーザーの一致を見つけることができなかったことを示すメッセージをログファイル内で検索します。

そのユーザー用のユーザープロファイルを作成するか、フォールバックプロファイルオブジェクトのいずれかを有効にします。詳細については、「サードパーティー認証の仕組み」を参照してください。

2.9.3.2.4: このユーザーは SGD 管理者ですか。

デフォルトでは、SGD 管理者は、Web サーバーによって認証されている場合は SGD にアクセスできません。この動作を変更する方法の詳細は、「SGD 管理者とサードパーティー認証」を参照してください。

2.9.3.2.5: 信頼できるユーザーに変更を加えましたか。

信頼できるユーザーのユーザー名とパスワードを変更したときに、その新しいユーザーが機能するかどうかを確認しましたか。詳細は、「信頼されているユーザーとサードパーティー認証」を参照してください。

2.9.3.3. 間違った Webtop が表示される

Web 認証では、SGD は検索を実行して、ユーザー識別情報とログインプロファイルを確立します。最初に見つかった一致するユーザープロファイルが使用されます。

SGD のログファイル内で、あいまいなユーザーを示すメッセージを検索します。これは、複数のユーザー識別情報がそのユーザーに一致したことを示します。

この状況を解決するには、次のいずれかを実行できます。

  • 最初の一致結果を受け入れます

  • あいまいなユーザーを手動で解決します (ユーザープロファイルを作成または修正する、など)

2.9.4. ユーザーがどの SGD サーバーにもログインできない

すべてのユーザー (UNIX システムの root ユーザーを含む) がどの SGD サーバーにもログインできない場合は、次のいずれかが原因で発生している可能性があります。

  • すべての認証メカニズムが無効になっている

  • すべての SGD サーバーへのユーザーログインが無効になっている

すべての認証メカニズムが無効になっているかどうかを確認するには、次のコマンドを使用します。

$ tarantella config list | grep login

すべての認証メカニズムが無効になっている場合は、次のように、コマンド行から UNIX システム認証メカニズムを有効にします。

$ tarantella config edit --login-ens 1

UNIX システム認証メカニズムが有効になると、ユーザー名「Administrator」と UNIX システムの root ユーザーのパスワードを使用して Administration Console にログインできます。その後、認証を再設定できます。

SGD サーバーへのユーザーログインが無効になっているかどうかを確認するには、次のコマンドを使用します。

$ tarantella config list --server serv... --server-login

すべての SGD サーバーへのユーザーログインが無効になっている場合は、次のコマンドを使用してユーザーログインを有効にします。

$ tarantella config edit --array --server-login 1

2.9.5. ゲストユーザー用の共有アカウントの使用

SGD では、複数のユーザーが (たとえば、ゲストユーザーのアカウントを共有するために) 同じユーザー名とパスワードを使用してログインできます。

注記

匿名ユーザーは常に共有アカウントを使用しているものとして処理されます。「匿名ユーザーの認証」を参照してください。

ユーザープロファイルオブジェクトを共有するユーザーは、同じアプリケーションサーバーパスワードを共有します。ゲストユーザーは、パスワードキャッシュでエントリを追加したり変更したりすることはできません。つまり、SGD 管理者が自分のためにアプリケーションサーバーパスワードをキャッシュしていないかぎり、ゲストユーザーは、アプリケーションを起動するたびにパスワードの入力を求められます。ゲストユーザーのアプリケーションサーバーパスワードを管理するには、Administration Console または tarantella passcache コマンドを使用します。

2.9.5.1. ユーザー間でユーザープロファイルを共有する方法

  1. Administration Console で、「ユーザープロファイル」タブに移動します。

  2. 共有するユーザープロファイルを選択します。

    「一般」タブが表示されます。

  3. 「ログイン」の「複数」チェックボックスを選択します。

  4. 「保存」をクリックします。

2.9.6. セキュリティーが有効になっていると Oracle Solaris ユーザーがログインできない

SGD セキュリティーサービスが有効になっているときに、Oracle Solaris クライアントデバイスのユーザーが SGD サーバーにログインできないことに気付いた場合は、そのクライアントデバイス上に /dev/random デバイスが存在することを確認してください。

SGD セキュリティーサービスには /dev/random デバイスが必要です。存在しない場合は、このデバイスを含む Oracle Solaris パッチをインストールしてください。

2.9.7. ユーザーがログインしようとするとユーザー名にあいまい性があることを示すダイアログが表示される場合

ユーザー名にあいまい性があることを示すダイアログが表示されるのは、人物オブジェクトの属性を共有していて、同じパスワードを使用しているユーザーに限られます。

たとえば、John Smith という名前を持つユーザー (cn=John Smith) が 2 人いて、同じパスワードを選択しているとします。これらのユーザーの電子メールアドレスとユーザー名は異なっています。これらのユーザーが John Smith の名前を使用してログインした場合、SGD は、電子メールアドレスまたはユーザー名のどちらかを指定するよう求める「あいまいなユーザー名」ダイアログを表示します。このダイアログが表示されるのは、提供された資格情報が複数のユーザーに一致するためです。電子メールアドレスまたはユーザー名を使用してログインした場合は、ログインが許可されます。

ユーザー名にあいまい性があることを示すダイアログが表示されるのは、ローカルリポジトリ内のユーザー ID を検索する LDAP 認証または UNIX システム認証を使用している場合だけです。

この問題を解決するには、ユーザーのパスワードが一意になるようにしてください。あるいは、ユーザープロファイルを一意の属性を持つように構成します。SGD は、「名前」(--name)、「ログイン名」(--user)、および「電子メールアドレス」(--email) を使用してユーザーを識別し、そのあいまいさを解決します。