2.5. SecurID 認証

SecurID 認証では、RSA SecurID トークンを持っているユーザーが SGD にログインできるようにします。SGD は、RSA Authentication Manager (以前の ACE/Server) に対してユーザーを認証します。

RSA SecurID は RSA Security, Inc. の製品であり、ユーザーが知っている何か (PIN) と、ユーザーが持っている何か (PIN パッド、標準カード、ソフトウェアトークンなどの個別のトークンによって提供されるトークンコード) に基づいた 2 ファクタ認証を使用します。この PIN とトークンコードが組み合わされて、SGD にログインするときにパスワードとして使用されるパスコードが形成されます。

デフォルトでは、この認証メカニズムは無効になっています。

このセクションの内容は、次のとおりです。

2.5.1. SecurID 認証の動作

SGD のログイン画面で、ユーザーは、自分の SecurID ユーザー名 (indigo など) と自分のパスコードを入力します。

この認証メカニズムは、ローカルリポジトリ内で、ユーザーの入力したユーザー名に合致する「名前」属性を持つユーザープロファイルを検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。

ユーザープロファイルが見つかった場合は、そのオブジェクトの「ログイン名」属性が SecurID ユーザー名として使用されます。ユーザープロファイルが見つからない場合は、ユーザーが入力した名前が SecurID ユーザー名として使用されます。

次に、SGD によって、その SecurID ユーザー名と、ユーザーが入力したパスコードが RSA Authentication Manager に対して確認されます。認証が失敗した場合は、使用できる認証メカニズムがほかに存在しないため、ユーザーはログインできません。

認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。

2.5.1.1. ユーザー識別情報とユーザープロファイル

ユーザープロファイルがローカルリポジトリ内に見つかった場合、そのプロファイルがユーザー識別情報とユーザープロファイルに使用されます。SGD データストアでは、ユーザー識別情報はローカル名前空間内にあります。Administration Console では、テキスト「(ローカル)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_ens 内にあります。

ローカルリポジトリ内にユーザープロファイルが見つからない場合は、ユーザー識別情報が SecurID ユーザー名になります。SGD データストアでは、ユーザー識別情報は SecurID 名前空間内にあります。Administration Console では、テキスト「(SecurID)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_service/sco/tta/securid 内にあります。

プロファイルオブジェクト System Objects/SecurID User Profile がユーザープロファイルとして使用されます。

2.5.2. SecurID 認証の設定

SecurID 認証を設定するには、次の設定手順を実行する必要があります。

  1. RSA SecurID をインストールして設定します。

    使用している RSA SecurID が、サポート対象のバージョンであることを確認します。サポートされる SecurID のバージョンは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

    RSA Authentication Manager が最新版であり、RSA によってリリースされた最新のパッチが適用されていることを確認します。

  2. アレイ内の各 SGD サーバーを Agent Host として構成します。

    アレイ内の各 SGD サーバーは、ユーザーを RSA Authentication Manager に対して認証できるように Agent Host として機能します。

    「Agent Host としての SGD サーバーの構成」を参照してください。

  3. SGD での SecurID 認証を有効にします。

    SecurID ユーザーが SGD にログインできるように SecurID 認証を構成します。

    「SecurID 認証を有効にする方法」を参照してください。

2.5.3. Agent Host としての SGD サーバーの構成

SecurID 認証を使用するには、アレイ内の各 SGD サーバーが Agent Host として構成されている必要があります。SecurID 実装にはさまざまな種類があるため、次に示す手順は参考例にすぎません。Agent Host の設定方法の詳細は、使用している SecurID のマニュアルを参照してください。

2.5.3.1. SGD サーバーを Agent Host として構成する方法

作業を開始する前に、RSA Authentication Manager 構成ファイル sdconf.rec にアクセスできることを確認してください。

  1. SGD ホスト上でスーパーユーザー (root) としてログインします。

  2. SGD サーバーがネットワーク上の RSA Authentication Manager に接続できることを確認します。

    SGD サーバーが RSA Authentication Manager に接続できるようにするために、ファイアウォールでポートを開くことが必要になる可能性があります。

    開く必要のあるデフォルトポートは、次のとおりです。

    • SGD サーバーから Authentication Manager への UDP ポート 5500。

    • Authentication Manager から SGD サーバーへの UDP ポート 1024 - 65535。

  3. RSA Authentication Manager 構成ファイルの場所を指定します。

    1. 次の内容を含む /etc/sdace.txt ファイルを作成します。

      VAR_ACE=/opt/ace/data
    2. このファイルを保存します。

  4. RSA Authentication Manager 構成ファイルを SGD サーバーにコピーします。

    1. /opt/ace/data ディレクトリを作成します。

    2. sdconf.rec ファイルを /opt/ace/data ディレクトリにコピーします。

  5. SGD が構成ファイルを読み書きできるようにファイルアクセス権を設定します。

    # chmod 444 /etc/sdace.txt
    # chown -R ttasys:ttaserv /opt/ace
    # chmod -R 775 /opt/ace
  6. SGD サーバーを RSA Authentication Manager データベースに Agent Host として登録します。

    RSA Authentication Manager データベース管理アプリケーションまたは sdadmin アプリケーションのどちらかを使用します。

    SGD サーバーを、完全修飾名 server.domain.com を使用して、UNIX Agent Host としてデータベースに追加します。

    Agent Host ごとに、Group Activation または User Activation を設定します。また、「Open to All Locally Known User」オプションを設定してもかまいません。

2.5.4. SecurID 認証を有効にする方法

  1. SGD Administration Console で、Secure Global Desktop 認証構成ウィザードを表示します。

    「グローバル設定」→「Secure Global Desktop 認証」タブに移動し、「Secure Global Desktop 認証を変更」ボタンをクリックします。

  2. 「サードパーティー/システム認証」の手順で、「システム認証」チェックボックスが選択されていることを確認します。

  3. 「システム認証 - リポジトリ」の手順で、「SecurID」チェックボックスを選択します。

  4. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。