SGD は、既存の認証インフラストラクチャーと統合するように設計されており、ユーザーを認証するための次の 2 つの方法を備えています。
システム認証。 SGD は、LDAP (Lightweight Directory Access Protocol) ディレクトリなどの 1 つ以上の外部認証サービスに対してユーザーの資格情報を確認します。使用可能なシステム認証メカニズムの詳細は、「システム認証メカニズム」を参照してください。
サードパーティー認証。外部メカニズムがユーザーを認証し、SGD はその認証が正しいものと信頼します。サードパーティー認証のもっとも一般的な使用方法は Web 認証です。詳細については、「サードパーティー認証と Web 認証」を参照してください。
認証が成功した場合に得られる主な結果は、次のとおりです。
ユーザー識別情報。ユーザーを識別する名前。詳細については、「ユーザー識別情報」を参照してください。
ユーザープロファイル。ユーザーの SGD 関連の設定。詳細については、「ユーザープロファイル」を参照してください。
ユーザー識別情報とユーザープロファイルは同じ場合があります。
SGD Administration Console では、ユーザー識別情報またはユーザープロファイルのどちらかを使用すると、ユーザーセッションとアプリケーションセッションを監視できます。
SGD は、ユーザーの認証方法に応じて、ユーザーが期限切れのパスワードを使用してログインしようとしたときにユーザーにパスワードを変更するよう求めることができます。詳細は、「パスワードの有効期限」を参照してください。
SGD 認証はグローバルです。ユーザーは、同じユーザー名とパスワードを使用して、アレイ内の任意の SGD サーバーにログインできます。
SGD 管理者は、次のように、各認証メカニズムを個別に有効および無効にすることができます。
Administration Console で、「グローバル設定」→「Secure Global Desktop 認証」タブを使用します。
コマンド行で、tarantella config コマンドを使用します。
ユーザー識別情報とは、ユーザーを識別する名前です。ユーザー識別情報を判定する規則は、認証メカニズムごとに異なります。
ユーザー識別情報は、SGD によって割り当てられた名前であり、完全修飾名と呼ばれることもあります。ユーザー識別情報は、ローカルリポジトリ内のユーザープロファイルの名前とは限りません。たとえば LDAP 認証の場合、識別情報は、LDAP リポジトリ内のユーザーの識別名 (DN) です。
ユーザー識別情報は、ユーザーの SGD セッション、アプリケーションセッション、およびアプリケーションサーバーのパスワードキャッシュ内のエントリに関連付けられています。
ユーザープロファイルは、ユーザーの SGD 固有の設定を制御します。ユーザープロファイルはまた、アプリケーションのユーザーへの割り当てに LDAP ディレクトリを使用するかどうかに応じて、ユーザーが SGD を通してアクセスできるアプリケーション (Webtop コンテンツと呼ばれることもある) も制御できます。ユーザープロファイルを判定する規則は、認証メカニズムごとに異なります。
ユーザープロファイルは常にローカルリポジトリ内のオブジェクトであり、同等の名前で呼ばれることもあります。ユーザープロファイルは、System Objects 組織に格納されているプロファイルオブジェクトと呼ばれる特殊なオブジェクトである場合があります。たとえば、LDAP 認証の場合、デフォルトのユーザープロファイルは o=System Objects/cn=LDAP Profile
です。
次の表に、使用可能なシステム認証メカニズム、および認証のベースを示します。
表2.1 システム認証メカニズム
メカニズム | 説明 |
---|---|
匿名ユーザー | ユーザーがユーザー名とパスワードを使用せずに SGD にログインできるようにします。 すべての匿名ユーザーに、同じ Webtop コンテンツが表示されます。 「匿名ユーザーの認証」を参照してください。 |
UNIX システム - ローカルリポジトリ内で Unix ユーザー ID を検索する | ユーザーがローカルリポジトリ内にユーザープロファイルを保持し、SGD ホスト上に UNIX または Linux システムアカウントを保持していれば SGD にログインできるようにします。 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。 「UNIX システム認証」を参照してください。 |
LDAP | ユーザーが LDAP ディレクトリ内にエントリを保持していれば SGD にログインできるようにします。 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。 「LDAP 認証」を参照してください。 |
Active Directory | ユーザーが Active Directory フォレスト内にアカウントを保持していれば SGD にログインできるようにします。 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。 「Active Directory 認証」を参照してください。 |
UNIX システム - ローカルリポジトリ内で Unix グループ ID を検索する | ユーザーが SGD ホスト上に UNIX または Linux システムアカウントを保持していれば SGD にログインできるようにします。 同じ UNIX システムグループのすべてのユーザーに、同じ Webtop コンテンツが表示されます。 「UNIX システム認証」を参照してください。 |
UNIX システム - デフォルトのユーザープロファイルを使用する | ユーザーが SGD ホスト上に UNIX または Linux システムアカウントを保持していれば SGD にログインできるようにします。 すべての UNIX システムユーザーに、同じ Webtop コンテンツが表示されます。 「UNIX システム認証」を参照してください。 |
SecurID | RSA SecurID トークンを持っているユーザーが SGD にログインできるようにします。 設定に応じて、ユーザーごとに異なる Webtop コンテンツが表示される場合があります。 「SecurID 認証」を参照してください。 |
ユーザーがログインするときに、有効になっている認証メカニズムが、表2.1「システム認証メカニズム」 に記載されている順序で試みられます。SGD 認証を構成すると、Administration Console には、各メカニズムが試行される順序が表示されます。ユーザーを認証するための最初の認証メカニズムが選択され、それ以降の認証メカニズムは試行されません。
SGD は、ユーザーのパスワードの期限切れを処理できます (そのように構成されている場合)。
ユーザーが期限切れのパスワードを使用して SGD にログインしようとすると、「期限経過パスワード」ダイアログが表示されます。このダイアログでは、次のことができます。
パスワードの有効期限が切れていることを確認できます。
新しいパスワードの入力および確認入力を行うことができます。
新しいパスワードが受け入れられた場合、そのユーザーは SGD にログインします。
次の表は、どの認証メカニズムが期限経過パスワードをサポートしているかを示しています。
認証メカニズム | 期限経過パスワードのサポート |
---|---|
Active Directory | あり。詳細は、「Kerberos 認証用の SGD の構成」を参照してください。 |
匿名ユーザー | 該当なし。ユーザー名とパスワードを使用しないでログインします。 |
LDAP | なし。ユーザーのパスワードが期限切れになると、そのユーザーは SGD にログインできません。ただし、ユーザーのパスワードが期限切れになる前に、ユーザーにパスワードの変更を強制するように SGD を構成できます。詳細は、「LDAP のバインド DN とパスワードの変更」を参照してください。 |
SecurID | あり。ユーザーの PIN (個人識別番号) が期限切れになると、「期限経過パスワード」ダイアログの代わりに新しい PIN のダイアログが表示されます。 |
サードパーティー (Web 認証を含む) | なし。ユーザーのパスワードの期限切れはサードパーティー認証メカニズムによって処理され、SGD とは無関係です。 |
UNIX システム | あり。詳細は、「UNIX システム認証と PAM」を参照してください。 |
Windows ドメイン | なし。 |
SGD にログインするとき、パスワードと認証トークンは、HTTPS (HTTP over Secure Sockets Layer) 接続が存在する場合にのみ暗号化されます。
SGD では、ユーザーを認証するために外部メカニズムを使用します。ユーザー認証時のパスワードのセキュリティーは、次のとおりです。
Active Directory の認証では、セキュリティー保護された Kerberos プロトコルが使用されます。
LDAP の認証は、セキュリティー保護された接続を使用するように設定できます。
Web 認証は、ユーザーが HTTPS 接続を使用している場合にのみセキュアです。
その他のすべての認証メカニズムでは、ネイティブプロトコルを使ってユーザーの認証が行われます。