2.7. UNIX システム認証

UNIX システム認証では、ユーザーが SGD ホスト上に UNIX または Linux システムアカウントを保持していれば SGD にログインできるようにします。

UNIX システム認証は、デフォルトで有効に設定されています。

このセクションの内容は、次のとおりです。

2.7.1. UNIX システム認証の動作

ユーザーを UNIX または Linux システムのユーザーデータベースと照合して認証し、ユーザー識別情報およびプロファイルを決定するために、UNIX システム認証がサポートする検索方法は次のとおりです。

  • ローカルリポジトリで Unix ユーザー ID を検索

  • ローカルリポジトリで Unix グループ ID を検索

  • デフォルトのユーザープロファイルを使用する

これらの検索方法については、以降のセクションで説明します。

2.7.1.1. ローカルリポジトリで Unix ユーザー ID を検索

SGD のログイン画面で、ユーザーはユーザー名とパスワードを入力します。ユーザー名には、次のいずれかを指定できます。

  • 共通名 (Indigo Jones など)

  • ユーザー名 (indigo など)

  • 電子メールアドレス (indigo@example.com など)

SGD は、ローカルリポジトリ内で、ユーザーが入力した内容に一致する「名前」属性を持つユーザープロファイルを検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。ユーザープロファイルが見つからない場合、次のログイン認証メカニズムが試されます。

ユーザープロファイルが見つかると、そのオブジェクトの「ログイン名」属性が UNIX または Linux システムユーザー名として使用されます。このユーザー名およびユーザーの入力したパスワードが、UNIX または Linux システムユーザーデータベースと照合されます。認証が失敗した場合は、次の認証メカニズムが試されます。

認証が成功しても、ユーザープロファイルの「ログイン」属性が有効になっていない場合、ユーザーはログインできず、ほかの認証メカニズムが試されることはありません。認証が成功して、ユーザープロファイルの「ログイン」属性が有効になっている場合に、ユーザーはログインできます。

デフォルトでは、この検索方法は使用可能になっています。

2.7.1.1.1. ユーザー識別情報とユーザープロファイル

ローカルリポジトリ内の一致するユーザープロファイルが、ユーザー識別情報とユーザープロファイルに使用されます。SGD データストアでは、ユーザー識別情報はローカル名前空間内にあります。Administration Console では、テキスト「(ローカル)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_ens 内にあります。

2.7.1.2. ローカルリポジトリで Unix グループ ID を検索

SGD は、ログイン画面でユーザーが入力したユーザー名とパスワードを UNIX または Linux システムのユーザーデータベースに対して確認します。

認証が失敗した場合は、次の認証メカニズムが試されます。

認証が成功した場合、SGD はユーザープロファイルを検索します。詳細は、「ユーザー識別情報とユーザープロファイル」を参照してください。ユーザープロファイルオブジェクトの「ログイン」属性が有効になっていない場合、ユーザーはログインすることができず、ほかの認証メカニズムが試されることはありません。ユーザープロファイルの「ログイン」属性が有効な場合、ユーザーはログインできます。

デフォルトでは、この検索方法は使用可能になっています。

2.7.1.2.1. ユーザー識別情報とユーザープロファイル

ユーザー識別情報は、UNIX または Linux システムのユーザー名です。SGD データストアでは、ユーザー識別情報はユーザー名前空間内にあります。Administration Console では、テキスト「(UNIX)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_user にあります。

SGD は、ローカルリポジトリ内でユーザープロファイル cn=gid, を検索します。ここで、gid は認証されたユーザーの UNIX システムグループ ID です。見つかった場合、そのオブジェクトをユーザープロファイルとして使用します。ユーザーが複数のグループに属している場合は、そのユーザーのプライマリグループまたは実効グループが使用されます。ユーザープロファイルがローカルリポジトリ内で見つからない場合は、プロファイルオブジェクト System Objects/UNIX User Profile がユーザープロファイルとして使用されます。

2.7.1.3. デフォルトのユーザープロファイルを使用する

SGD は、ログイン画面でユーザーが入力したユーザー名とパスワードを UNIX または Linux システムのユーザーデータベースに対して確認します。

認証が失敗した場合は、次の認証メカニズムが試されます。

認証に成功した場合、そのユーザーはログインできます。

デフォルトでは、この検索方法は無効になっています。

2.7.1.3.1. ユーザー識別情報とユーザープロファイル

ユーザー識別情報は、UNIX または Linux システムのユーザー名です。SGD データストアでは、ユーザー識別情報はユーザー名前空間内にあります。Administration Console では、テキスト「(UNIX)」がユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_user にあります。

プロファイルオブジェクト System Objects/UNIX User Profile がユーザープロファイルとして使用されます。すべての UNIX システムユーザーに、同じ Webtop コンテンツが表示されます。

2.7.2. UNIX システム認証と PAM

SGD は、プラグイン可能認証モジュール (PAM) をサポートしています。UNIX システム認証では、ユーザー認証、アカウント操作、およびパスワード操作に PAM が使用されます。

Linux プラットフォーム上に SGD をインストールした場合、SGD インストールプログラムは passwd プログラムの現在の構成をコピーし、/etc/pam.d/tarantella ファイルを作成することによって、SGD の PAM 構成エントリを自動的に作成します。

Oracle Solaris プラットフォーム上に SGD をインストールした場合は、PAM 構成エントリを手動で追加する必要があります。たとえば、/etc/pam.conf ファイルに tarantella の次のエントリを追加する場合があります。

tarantella auth required pam_unix_auth.so.1
tarantella password required pam_unix_auth.so.1

2.7.3. UNIX システム認証を有効にする方法

  1. SGD Administration Console で、Secure Global Desktop 認証構成ウィザードを表示します。

    「グローバル設定」→「Secure Global Desktop 認証」タブに移動し、「Secure Global Desktop 認証を変更」ボタンをクリックします。

  2. 「サードパーティー/システム認証」の手順で、「システム認証」チェックボックスが選択されていることを確認します。

  3. 「システム認証 - リポジトリ」の手順で、「Unix」チェックボックスを選択します。

  4. 「Unix 認証 - ユーザープロファイル」の手順で、ユーザープロファイルの検索方法として、1 つ以上のチェックボックスを選択します。

    検索方法の詳細は、「UNIX システム認証の動作」を参照してください。

  5. 「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。