SecurID 認証では、RSA SecurID トークンを持っているユーザーが SGD にログインできるようにします。SGD は、RSA Authentication Manager (以前の ACE/Server) に対してユーザーを認証します。
RSA SecurID は RSA Security, Inc. の製品であり、ユーザーが知っている何か (PIN) と、ユーザーが持っている何か (PIN パッド、標準カード、ソフトウェアトークンなどの個別のトークンによって提供されるトークンコード) に基づいた 2 ファクタ認証を使用します。この PIN とトークンコードが組み合わされて、SGD にログインするときにパスワードとして使用されるパスコードが形成されます。
デフォルトでは、この認証メカニズムは無効になっています。
このセクションの内容は、次のとおりです。
SGD のログイン画面で、ユーザーは、自分の SecurID ユーザー名 (indigo
など) と自分のパスコードを入力します。
この認証メカニズムは、ローカルリポジトリ内で、ユーザーの入力したユーザー名に合致する「名前」属性を持つユーザープロファイルを検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。
ユーザープロファイルが見つかった場合は、そのオブジェクトの「ログイン名」属性が SecurID ユーザー名として使用されます。ユーザープロファイルが見つからない場合は、ユーザーが入力した名前が SecurID ユーザー名として使用されます。
次に、SGD によって、その SecurID ユーザー名と、ユーザーが入力したパスコードが RSA Authentication Manager に対して確認されます。認証が失敗した場合は、使用できる認証メカニズムがほかに存在しないため、ユーザーはログインできません。
認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。
ユーザープロファイルがローカルリポジトリ内に見つかった場合、そのプロファイルがユーザー識別情報とユーザープロファイルに使用されます。SGD データストアでは、ユーザー識別情報はローカル名前空間内にあります。Administration Console では、テキスト「(ローカル)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_ens 内にあります。
ローカルリポジトリ内にユーザープロファイルが見つからない場合は、ユーザー識別情報が SecurID ユーザー名になります。SGD データストアでは、ユーザー識別情報は SecurID 名前空間内にあります。Administration Console では、テキスト「(SecurID)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_service/sco/tta/securid 内にあります。
プロファイルオブジェクト System Objects/SecurID User Profile
がユーザープロファイルとして使用されます。
SecurID 認証を設定するには、次の設定手順を実行する必要があります。
RSA SecurID をインストールして設定します。
使用している RSA SecurID が、サポート対象のバージョンであることを確認します。サポートされる SecurID のバージョンは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。
RSA Authentication Manager が最新版であり、RSA によってリリースされた最新のパッチが適用されていることを確認します。
アレイ内の各 SGD サーバーを Agent Host として構成します。
アレイ内の各 SGD サーバーは、ユーザーを RSA Authentication Manager に対して認証できるように Agent Host として機能します。
「Agent Host としての SGD サーバーの構成」を参照してください。
SGD での SecurID 認証を有効にします。
SecurID ユーザーが SGD にログインできるように SecurID 認証を構成します。
「SecurID 認証を有効にする方法」を参照してください。
SecurID 認証を使用するには、アレイ内の各 SGD サーバーが Agent Host として構成されている必要があります。SecurID 実装にはさまざまな種類があるため、次に示す手順は参考例にすぎません。Agent Host の設定方法の詳細は、使用している SecurID のマニュアルを参照してください。
作業を開始する前に、RSA Authentication Manager 構成ファイル sdconf.rec
にアクセスできることを確認してください。
SGD ホスト上でスーパーユーザー (root) としてログインします。
SGD サーバーがネットワーク上の RSA Authentication Manager に接続できることを確認します。
SGD サーバーが RSA Authentication Manager に接続できるようにするために、ファイアウォールでポートを開くことが必要になる可能性があります。
開く必要のあるデフォルトポートは、次のとおりです。
SGD サーバーから Authentication Manager への UDP ポート 5500。
Authentication Manager から SGD サーバーへの UDP ポート 1024 - 65535。
RSA Authentication Manager 構成ファイルの場所を指定します。
次の内容を含む /etc/sdace.txt
ファイルを作成します。
VAR_ACE=/opt/ace/data
このファイルを保存します。
RSA Authentication Manager 構成ファイルを SGD サーバーにコピーします。
/opt/ace/data
ディレクトリを作成します。
sdconf.rec
ファイルを /opt/ace/data
ディレクトリにコピーします。
SGD が構成ファイルを読み書きできるようにファイルアクセス権を設定します。
# chmod 444 /etc/sdace.txt # chown -R ttasys:ttaserv /opt/ace # chmod -R 775 /opt/ace
SGD サーバーを RSA Authentication Manager データベースに Agent Host として登録します。
RSA Authentication Manager データベース管理アプリケーションまたは sdadmin アプリケーションのどちらかを使用します。
SGD サーバーを、完全修飾名 server.domain.com
を使用して、UNIX Agent Host としてデータベースに追加します。
Agent Host ごとに、Group Activation または User Activation を設定します。また、「Open to All Locally Known User」オプションを設定してもかまいません。