サードパーティー認証では、ユーザーが外部メカニズムによって認証されていれば SGD にログインできるようにします。
SGD Webtop を使用している場合、使用できるサードパーティー認証の形式は Web 認証だけです。SGD Web サービスを使用して独自の Webtop アプリケーションを開発した場合は、任意のサードパーティー認証メカニズムを使用できます。
サードパーティー認証は、デフォルトでは無効になっています。
このセクションの内容は、次のとおりです。
ユーザーは、通常は Web ブラウザの認証ダイアログを使用して、ユーザー名とパスワードを外部メカニズムに直接入力します。
サードパーティー認証は、信頼に基づいています。SGD は、サードパーティーのメカニズムがユーザーを正しく認証しているものと信頼するため、このユーザーは SGD に対して認証されます。
次に、SGD は検索を実行して、ユーザー識別情報とユーザープロファイルを確立します。次の検索方法を使用できます。
ローカルリポジトリを検索
LDAP リポジトリを検索
デフォルトのサードパーティー識別情報を使用
複数の検索方法が有効になっている場合は、各検索方法が上記の順序で試行されます。最初に一致したユーザー識別情報が使用されます。検索方法については、後続のセクションを参照してください。
検索によって一致が見つからない場合、SGD がユーザーの識別情報を確立できないため、そのユーザーはログインできません。SGD Webtop を使用している場合は、ユーザーがシステム認証を使用してログインできるように、標準ログインページが表示されます。
「ローカルリポジトリを検索」の方法では、ローカルリポジトリ内で、ユーザーのサードパーティーユーザー名に一致する「名前」属性を持つユーザープロファイルを検索します。一致する人物オブジェクトがない場合、「ログイン名」属性を対象に、最後に「電子メールアドレス」属性を対象に検索を繰り返します。一致するユーザープロファイルがない場合は、次の検索方法が試されます。
「LDAP リポジトリを検索」方法では、LDAP ディレクトリを検索して、属性がユーザーによって入力されたユーザー名と一致する LDAP オブジェクトを探します。デフォルトでは、SGD は次の属性を検索します。
cn
uid
mail
LDAP オブジェクトが見つかった場合、ユーザーが入力したパスワードを LDAP オブジェクトと照合します。認証が失敗した場合は、次の認証メカニズムが試されます。
一致する LDAP オブジェクトがない場合は、次の検索方法が試されます。
ユーザー識別情報は、ユーザーの LDAP オブジェクトの DN です。SGD データストアでは、ユーザー識別情報は LDAP 名前空間内にあります。Administration Console では、テキスト「(LDAP)」はユーザー識別情報の横に表示されます。コマンド行では、ユーザー識別情報は .../_service/sco/tta/ldapcache 内にあります。
次に、SGD はユーザープロファイルを検索します。ユーザープロファイルを検索するときは、「デフォルトの LDAP プロファイルを使用」または「もっとも近い LDAP プロファイルを使用」を指定できます。「デフォルトの LDAP プロファイルを使用」がデフォルトです。
「デフォルトの LDAP プロファイルを使用」が選択されている場合は、プロファイルオブジェクト o=System Objects/cn=LDAP Profile
がユーザープロファイルとして使用されます。
「もっとも近い LDAP プロファイルを使用」が選択されている場合、SGD は、ローカルリポジトリを検索することによってユーザープロファイルを確立するため、LDAP と SGD の命名体系の違いに対応できます。SGD は、一致が見つかるまで次のものを検索します。
ユーザーの LDAP オブジェクトと同じ名前を持つユーザープロファイル。
たとえば、LDAP オブジェクトが cn=Emma Rald,cn=Sales,dc=example,dc=com
である場合、SGD はローカルリポジトリ内で dc=com/dc=example/cn=Sales/cn=Emma Rald
を検索します。
ユーザーの LDAP オブジェクトと同じ組織単位内に存在するが、cn=LDAP Profile
という名前を持つユーザープロファイル。
たとえば、dc=com/dc=example/cn=Sales/cn=LDAP Profile
です。
cn=LDAP Profile
という名前を持つ、いずれかの親の組織単位内のユーザープロファイル。
たとえば、dc=com/dc=example/cn=LDAP Profile
です。
一致が見つからない場合は、プロファイルオブジェクト o=System Objects/cn=LDAP Profile
がユーザープロファイルとして使用されます。
「デフォルトのサードパーティー識別情報を使用」方法では、検索を行いません。
サードパーティー認証を設定するには、次の設定手順を実行する必要があります。
(オプション) LDAP ディレクトリを使用する準備を行います。
LDAP ディレクトリを検索してユーザーの識別情報を確立するようにサードパーティー認証を構成できます。
サポート対象バージョンの LDAP ディレクトリを使用していることを確認します。「サポートされる LDAP ディレクトリ」を参照してください。
LDAP ディレクトリで SGD を使用するには、追加の構成が必要になることがあります。「LDAP 認証の準備」を参照してください。
LDAP の配備が複雑な組織では、サービスオブジェクトを使用して LDAP の設定を管理および調整します。「サービスオブジェクトの使用」を参照してください。
サードパーティー認証を有効にします。
「サードパーティー認証を有効にする方法」を参照してください。
デフォルトでは、SGD 管理者は、サードパーティー認証が有効になっていると SGD にログインできません。「SGD 管理者とサードパーティー認証」を参照してください。
サードパーティー認証メカニズムを有効にします。
サードパーティー認証で使用されるもっとも一般的な認証メカニズムは Web 認証です。「Web 認証の有効化」を参照してください。
SGD Administration Console で、Secure Global Desktop 認証構成ウィザードを表示します。
「グローバル設定」→「Secure Global Desktop 認証」タブに移動し、「Secure Global Desktop 認証を変更」ボタンをクリックします。
「サードパーティー/システム認証」 の手順で、「サードパーティーの認証」チェックボックスを選択します。
「サードパーティーの認証 - ユーザー識別情報とユーザープロファイル」の手順で、ユーザー識別情報の検索方法として、1 つ以上のチェックボックスを選択します。
検索方法の詳細については、「サードパーティー認証の仕組み」を参照してください。
「LDAP リポジトリを検索」チェックボックスが選択されている場合は、LDAP ユーザープロファイルを検索するオプションを選択します。
(オプション) 「LDAP リポジトリの詳細」の手順で、LDAP ディレクトリの詳細を構成します。
「LDAP リポジトリの詳細」手順が表示されるのは、手順 3 で LDAP 検索方法を選択した場合だけです。
「リポジトリタイプ」で、「LDAP」オプションを選択します。
LDAP 認証で Microsoft Active Directory サーバーを使用している場合でも、このオプションを選択してください。「Active Directory」オプションにより、Active Directory 認証が有効になります。「Active Directory 認証」を参照してください。
「URL」フィールドに、1 つ以上の LDAP ディレクトリサーバーの URL を入力します。
たとえば、「ldap://melbourne.example.com
」と入力します。
複数の URL を入力する場合は、各 URL をセミコロン (;) で区切ります。
SGD は、一覧表示されている順序で URL を使用します。リスト内の最初の LDAP ディレクトリサーバーを使用できない場合に、次の LDAP ディレクトリサーバーの使用が試みられます。
LDAP ディレクトリサーバーへのセキュア接続を使用するには、ldaps://
の URL を使用します。
これらの URL はすべて、ldap://
または ldaps://
のどちらかの同じタイプである必要があります。ldap://
と ldaps://
の URL を混在させて使用することはできません。
LDAP ディレクトリが標準以外のポートを使用する場合は、そのポート番号を URL の一部として指定します (たとえば、ldap://melbourne.example.com:5678
)。非標準ポートを使用しない場合、ポート番号は省略できます。
検索ベースとして使用する DN (ldap://melbourne.example.com/dc=example,dc=com
など) を指定できます。これにより、ユーザー識別情報の検索に使用する LDAP ディレクトリの一部が指定されます。
「User Name」および「Password」フィールドに LDAP ユーザーの詳細情報を入力します。
このユーザー名は、ユーザーの DN である必要があります (たとえば、cn=sgd-user,cn=Users,dc=example,dc=com
)。これは管理者バインド DN です。詳細は「LDAP のバインド DN とパスワードの変更」を参照してください。
入力できるユーザー名とパスワードは 1 組だけであるため、このユーザーが「URL」フィールドに記載されたすべての LDAP ディレクトリサーバーを検索できる必要があります。
ディレクトリサーバーで匿名バインドがサポートされる場合、ユーザー名とパスワードは省略できます。匿名バインドを使用するには、ユーザーデータに対して LDAP クエリーを実行できる必要があります。
「選択項目の確認」の手順で、認証の設定を確認して、「終了」をクリックします。
LDAP の検索方法を有効にした場合、SGD は generated
という名前のサービスオブジェクトを作成します。サービスオブジェクトは、ディレクトリサービスの設定を管理するために使用されます。詳細は、「サービスオブジェクトの使用」を参照してください。
Web 認証 (HTTP 認証) は、サードパーティー認証のもっとも一般的な使用方法です。Web 認証では、Web サーバーが認証を実行し、SGD がユーザー識別情報とユーザープロファイルを判定します。
Web 認証の利点は、REMOTE_USER
環境変数を設定しているかぎり、任意の Web サーバー認証プラグインを使用できることにあります。使用している認証プラグインが別の変数を設定している場合は、それをサポートするように SGD を構成できます。「Web 認証での認証プラグインの使用」を参照してください。
Web 認証とシステム認証は一緒に使用できます。少なくとも 1 つのシステム認証メカニズムを、フォールバック用に使用可能にしておくのが最善です。SGD がユーザーのユーザープロファイルを見つけることができない場合は、そのユーザーがシステム認証メカニズムを使用して認証できるように、SGD の標準ログインページが表示されます。
Web 認証は、次のように動作します。
Web サイトのセクションは、Web サーバー管理者が保護しています。SGD の場合、これは通常 https://
の URL です。ここで、server.example.com
/sgdserver.example.com
は SGD サーバーの名前です。
その保護されたセクションの URL に Web ブラウザから最初にアクセスしようとすると、Web サーバーが認証の要求で応答します。
Web ブラウザに、ユーザーに対する認証ダイアログが表示されます。SGD ユーザーに SGD ログイン画面は表示されません。
ユーザーがユーザー名とパスワードを入力すると、それらはブラウザから Web サーバーに送信されます。
Web サーバーはユーザーの資格情報を認証し、リクエストされた URL へのアクセスを許可します。SGD ユーザーは、自分の Webtop に直接移動します。
保護された URL へのリクエストがあるたびに資格情報を送信する必要があるため、Web ブラウザはユーザーの資格情報をキャッシュします。資格情報は、ブラウザから自動的に送信されます。資格情報のキャッシュ方法には、次の種類があります。
一時的に。資格情報は、ユーザーがブラウザを閉じるまでキャッシュされます。
永続的に。ユーザーは、ブラウザの認証ダイアログでチェックボックスを選択します。
Web サーバーは、ユーザーの認証を実行したあとで、REMOTE_USER
環境変数を設定します。この変数には、認証されたユーザーのユーザー名が含まれています。SGD は REMOTE_USER
変数の値を取得し、それを使用してユーザー識別情報とユーザープロファイルを検索します。SGD は、ユーザー識別情報とユーザープロファイルを確立するための 4 つの検索方法をサポートしています。「サードパーティー認証の仕組み」を参照してください。
SGD で Web 認証を使用するときのセキュリティー上の主な考慮事項を次に示します。
Web ブラウザのキャッシュ。Web 認証では、Web ブラウザはユーザーの資格情報をキャッシュするため、事実上、SGD に対するユーザーの認証がキャッシュされます。キャッシュされた資格情報を他人に使用される危険性を最小限に抑えるため、ユーザーは次の操作を実行する必要があります。
Web ブラウザの認証ダイアログで、パスワード保存のチェックボックスを選択解除します。これにより、ユーザーの資格情報が Web ブラウザで永続的に保存されることがなくなります。
ログアウトしたあとで、Web ブラウザを閉じます。これにより、ユーザーの資格情報が一時キャッシュから消去されます。SGD からログアウトしても、資格情報は消去されません。
セキュア Web サーバー。セキュリティーが確保されている (HTTPS) Web サーバーを使って、ユーザーの資格情報がプレーンテキストで送信されるのを防ぎます。
信頼できるユーザー。SGD Webtop と SGD サーバーは、信頼できるユーザーのユーザー名とパスワードである共有シークレットを保持しているため、SGD は Web サーバーの認証を信頼できます。この信頼できるユーザーの資格情報は、SGD をインストールするとデフォルトで作成されます。これらの資格情報を変更することをお勧めします。変更方法の詳細は、「信頼されているユーザーとサードパーティー認証」を参照してください。
Web 認証を有効にするには、Web サーバーと SGD の両方を構成する必要があります。
Web 認証のための Web サーバーを構成するには、各 SGD ホスト上で /sgd
URL を保護します。/sgd
URL を保護する方法は、Web サーバーによって異なります。詳細は、Web サーバーのドキュメントを参照してください。SGD Web サーバーの場合は、Apache または Tomcat コンポーネントのどちらかで /sgd
URL を保護できます。この方法の例については、「SGD Web サーバーで Web 認証を有効にする方法」を参照してください。
Web 認証をサポートするように SGD を構成するには、サードパーティー認証を有効にする必要があります。「サードパーティー認証を有効にする方法」を参照してください。
SGD Web サーバーの場合は、Apache または Tomcat コンポーネントのどちらかで /sgd
URL を保護できます。この手順では、Apache で URL を保護することができます。
アレイ内の各 SGD サーバー上で次の手順を繰り返します。
SGD ホスト上でスーパーユーザー (root) としてログインします。
Web サーバーのパスワードファイルを作成します。
/opt/tarantella/webserver/apache/
プログラムを使用して、Web サーバーのパスワードファイルを作成し、エントリを追加します。
apache-version
/bin/htpasswd
たとえば、/etc/httpd/passwords
パスワードファイルを作成し、ユーザー jdoe
のエントリを追加するには、次のコマンドを使用します。
# /opt/tarantella/webserver/apache/apache-version
/bin/htpasswd -c \ /etc/httpd/passwords jdoe New password:Re-type new password:
password
Adding password for user jdoe
password
たとえば、ユーザー privers
のエントリを /etc/httpd/passwords
ファイルに追加するには、次のコマンドを使用します。
# /opt/tarantella/webserver/apache/apache-version
/bin/htpasswd \ /etc/httpd/passwords privers New password:Re-type new password:
password
Adding password for user privers
password
Web サーバーのパスワードファイルに対するアクセス権を変更します。
このパスワードファイルは、ttaserv
ユーザーからアクセスできる必要があります。
たとえば、Web サーバーのパスワードファイルが /etc/httpd/passwords
である場合は、次のコマンドを実行します。
# chmod 440 /etc/httpd/passwords # chown ttaserv:ttaserv /etc/httpd/password
Apache 構成ファイルを編集し、/sgd
URL を保護します。
Apache 構成ファイルは /opt/tarantella/webserver/apache/
です。
apache-version
/conf/httpd.conf
次の指令を構成ファイルの終わりに追加します。
SetEnvIf Request_URI "\.(class|cab|jar|gif|der)$" sgd_noauth_ok <Location /sgd> Order Allow,Deny Allow from env=sgd_noauth_ok AuthUserFilefile-path
AuthNameauth-domain
Authtype Basic Require valid-user Satisfy any </Location>
ここで、file-path
は Web サーバーのパスワードファイルへのフルパスであり、auth-domain
は Web ブラウザの認証ダイアログに表示される認証レルムの名前です。
SetEnvIf
指令は、SGD Web サーバーの開始画面の操作に影響を与えることなく /sgd
URL を保護します。
Location
指令を構成する方法についての詳細は、Apache のドキュメントを確認してください。
SGD Web サーバーは /sgd
URL の管理を Tomcat に委任するため、Directory
指令ではなく Location
指令を使用する必要があります。これは Apache 構成ファイルで構成されるため、.htaccess
ファイルを使用して /sgd
URL を保護することはできません。
変更を保存します。
Tomcat 構成ファイルを編集します。
SGD Web サーバーの Tomcat コンポーネントを、Web サーバーの認証を信頼するように構成する必要があります。
Tomcat 構成ファイルは /opt/tarantella/webserver/tomcat/
です。
tomcat-version
/conf/server.xml
AJP 1.3 Connector の設定を修正します。
次のように、tomcatAuthentication="false"
属性を <Connector>
要素に追加します。
<!-- Define an AJP 1.3 Connector on port 8009 --> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" tomcatAuthentication="false" />
変更を保存します。
SGD Web サーバーを再起動します。
構成の変更を有効にするには、SGD Web サーバーを再起動する必要があります。
# tarantella restart webserver
SGD Web 認証では、Web サーバーの設定 REMOTE_USER
環境変数を使用してユーザーを識別します。Web 認証に認証プラグインを使用する場合は、そのプラグインが別の環境変数を使用してユーザーを識別する可能性があります。
SGD を構成する前に、認証プラグインをインストールし、そのプラグインが機能することを確認するのが最良の方法です。
REMOTE_USER
環境変数に加えて、SGD には SSL_CLIENT_S_DN_CN
変数のサポートも含まれています。この環境変数は、Web 認証でクライアント証明書を使用するときに設定されます。この変数のサポートを有効にする方法の詳細は、「Web 認証でのクライアント証明書の使用」を参照してください。
使用しているプラグインが別の環境変数を使用する場合は、その環境変数をサポートするように Webtop Web アプリケーションを設定する必要があります。「Web 認証でほかの環境変数のサポートを有効にする方法」を参照してください。
操作を開始する前に、Web サーバー認証プラグインのマニュアルを参照して、認証プラグインがユーザーを識別するために設定する環境変数を書き留めておいてください。
SGD Web サーバー上で HTTPS 接続が有効になっている必要があります。HTTPS 接続は、SGD サーバーまたは SGD Web サーバーを起動するときに --https
引数を使用して有効にします。
アレイ内の各 SGD サーバー上で次の手順を繰り返します。
SGD ホスト上でスーパーユーザー (root) としてログインします。
SGD Web サーバーの Apache コンポーネントを、変数を Tomcat コンポーネントに転送するように構成します。
Apache 構成ファイルを編集します。
このファイルは /opt/tarantella/webserver/apache/
です。
apache-version
/conf/httpd.conf
JkEnvVar
指令を追加して、環境変数を転送します。
次のように、既存の JKEnvVar
指令を検索して、ユーザー独自の変数用の指令を追加します。
#JkEnvVar SSL_CLIENT_S_DN_CN " "
#JkEnvVar HTTP_SAFEWORD_USER " "
JKEnvVar Your-Variable
" "
変数を /sgd
の場所で使用可能にします。
ファイルの最後に、次の Location
指令を追加します。
<Location "/sgd"> SSLOptions +StdEnvVars +ExportCertData </Location>
変更を保存します。
該当する環境変数を使用するよう、Webtop Web アプリケーションを設定します。
SGD Web アプリケーションのリソースディレクトリに変更します。
cd /opt/tarantella/webserver/tomcat/tomcat-version
cd webapps/sgd/resources/jsp
webtopsession.jsp
ファイルを編集して、使用する変数のサポートを追加します。
HTTP_SAFEWORD_USER
または SSL_CLIENT_S_DN_CN
変数のどちらかを検索し、これらの変数のコードを独自の変数を実装する方法の例として使用します。
変更を保存します。
SGD Web サーバーを再起動します。
クライアントデバイス上に有効な公開鍵インフラストラクチャー (PKI) 証明書がインストールされている場合は、ユーザーを認証することによって Web 認証のセキュリティーを強化できます。
PKI 証明書を使用するには、/sgd
URL にアクセスするにはクライアント証明書が必要になるように Web サーバーを構成する必要があります。SGD Web サーバーには、PKI クライアント証明書を設定するために使用できる Apache の mod_ssl
(http://www.modssl.org) モジュールが含まれています。
SGD Web 認証では、Web サーバーの設定 REMOTE_USER
変数を使用してユーザーを識別します。ただし、クライアント証明書を使ってユーザーが認証される場合は、通常、別の環境変数がユーザーの識別に使用されます。Apache Web サーバー (SGD Web サーバーを含む) の場合は、SSL_CLIENT_S_DN_CN
変数が使用されます。この変数のサポートを追加する方法の詳細は、「SSL_CLIENT_S_DN_CN 変数のサポートを有効にする方法」を参照してください。使用している Web サーバーが別の変数を設定する場合は、「Web 認証でほかの環境変数のサポートを有効にする方法」を参照してください。
SGD Web サーバー上で HTTPS 接続が有効になっている必要があります。HTTPS 接続は、SGD サーバーまたは SGD Web サーバーを起動するときに --https
引数を使用して有効にします。
アレイ内の各 SGD サーバー上で次の手順を繰り返します。
SGD ホスト上でスーパーユーザー (root) としてログインします。
SGD Web サーバーの Apache コンポーネントを、SSL_CLIENT_S_DN_CN
変数を Tomcat コンポーネントに転送するように構成します。
Apache 構成ファイルを編集します。
このファイルは /opt/tarantella/webserver/apache/
です。
apache-version
/conf/httpd.conf
SSL_CLIENT_S_DN_CN
変数を転送するように JkEnvVar
指令を有効にします。
既存の JKEnvVar
指令を検索し、次のように SSL_CLIENT_S_DN_CN
変数のための指令を追加します。
JkEnvVar SSL_CLIENT_S_DN_CN " " #JkEnvVar HTTP_SAFEWORD_USER " "
SSL_CLIENT_S_DN_CN
変数を /sgd
の場所で使用可能にします。
ファイルの最後に、次の Location
指令を追加します。
<Location "/sgd"> SSLOptions +StdEnvVars +ExportCertData </Location>
変更を保存します。
SGD Web サーバーを再起動します。
デフォルトでは、サードパーティー認証では SGD 管理者の SGD へのログインは許可されません。これはセキュリティー対策です。この動作を変更するには、次のコマンドを使用します。
$ tarantella config edit \ --tarantella-config-login-thirdparty-allowadmins 1
サードパーティー認証では、SGD サーバーに対して認証を実行しなくても、ユーザーに SGD へのアクセスが許可されます。クライアントアプリケーション (Webtop など) と SGD サーバーは、信頼できるユーザーのユーザー名とパスワードである共有シークレットを保持しているため、SGD はサードパーティー認証メカニズムを信頼できます。
標準インストールでは、信頼できるユーザーは 1 人しかいません。ただし、次の場合には、信頼できるユーザーを追加することをお勧めします。
Webtop を別のホスト上の別の JavaServer Pages (JSP) テクノロジコンテナに再配置する場合。
SGD と同じホストまたは別のホスト上で、SGD の com.tarantella.tta.webservices.client.views
パッケージを使用して独自のクライアントアプリケーションを開発する場合。
デフォルトの信頼できるユーザーの安全性を確信できない場合。
信頼できるユーザーの「データベース」は、アレイ内の各 SGD サーバー上で作成および保守します。このデータベースは、SGD サーバー間で共有されません。信頼できるユーザーを追加する方法の詳細は、「信頼できるユーザーを新規作成する方法」を参照してください。次の点に注意してください。
tarantella webserver add_trusted_user コマンドは、信頼できるユーザーを SGD サーバーに格納するためのサポートされる唯一の方法です。
既存の信頼できるユーザーのパスワードを変更するには、まず tarantella webserver delete_trusted_user コマンドを使用してそのユーザーを削除し、次に再度そのユーザーを作成する必要があります。
信頼できるユーザーに変更を加えるたびに、SGD Web サーバーを再起動する必要があります。
通常、クライアントアプリケーションは 1 人の信頼できるユーザーの資格情報のみを使用して SGD サービスにアクセスします。
SGD Web サービスを使用して独自のアプリケーションを開発している場合は、ITarantellaExternalAuth
Web サービスがサードパーティー認証のために使用されます。この Web サービスは、信頼できるユーザーの資格情報を使用してのみアクセスできるように、「基本」認証で保護されます。設定方法は次のとおりです。
https://
の URL は、Axis Web アプリケーション SGD-server
/axis/services/document/externalauth/opt/tarantella/webserver/tomcat/
の構成ファイルで保護されます。
tomcat-version
/webapps/axis/Web-INF/web.xml
SGD Web サーバーの Tomcat コンポーネントは、Tomcat の MemoryRealm および SHA (Secure Hash Algorithm) ダイジェストパスワードを使用して「基本」認証をサポートするように構成されます。これは Tomcat 構成ファイル /opt/tarantella/webserver/tomcat/
内にあります。
tomcat-version
/conf/server.xml
信頼できるユーザーのリストは、Tomcat ユーザーの構成ファイル /opt/tarantella/webserver/tomcat/
に格納されます。
tomcat-version
/conf/tomcat-users.xml
com.tarantella.tta.webservices.client.views
パッケージを使用して独自のクライアントアプリケーションを開発した場合は、そのアプリケーションの信頼できるユーザーの資格情報を Webtop と同じ方法で格納できます。「信頼できるユーザーを新規作成する方法」を参照してください。それ以外の場合は、資格情報を保存する方法を新しく開発する必要があります。
アレイ内の各 SGD サーバー上で次の手順を繰り返します。
SGD ホスト上でスーパーユーザー (root) としてログインします。
SGD Web サーバーを停止します。
新しい信頼できるユーザーを SGD サーバー上の信頼できるユーザーのデータベースに追加します。
信頼できるユーザーのユーザー名とパスワードを決めます。
信頼できるユーザーを作成します。
次のコマンドを使用します。
# tarantella webserver add_trusted_user username
プロンプトが表示されたら、パスワードを入力します。
ユーザーが作成されたことを確認します。.
次のコマンドを使用します。
# tarantella webserver list_trusted_users
その信頼されているユーザーが有効になっていることを確認します。
https://
の URL に移動します。プロンプトが表示されたら、信頼されているユーザーとしてログインします。
SGD-server
/axis/services/document/externalauth
新規の信頼できるユーザーを、Webtop アプリケーションの Web サービスリソースファイルに追加します。
Webtop を別のホストに再配置してある場合は、この手順を遠隔ホストで実行する必要があります。
信頼できるユーザーのユーザー名とパスワードを符号化します。
次のコマンドを使用します。
# /opt/tarantella/bin/jre/bin/java -classpath \ /opt/tarantella/webserver/tomcat/tomcat-version
/webapps/sgd/ WEB-INF/lib/sgd-webservices.jar\ com.tarantella.tta.webservices.client.views.SgdPasswd \ --encodeusername
:password
符号化されたユーザー名とパスワードを出力からコピーします。
共有リソースディレクトリに移動します。
# cd /opt/tarantella/webserver/tomcat/tomcat-version
# cd shared/classes/com/tarantella/tta/webservices/client/views
Resources.properties
ファイルを編集します。
sgdaccess=
のあとのテキストをエンコードされたユーザー名とパスワードに置き換えます。
変更を保存します。
SGD Web サーバーを起動します。