Secure Global Desktop 4.31 管理者ガイド > ユーザーと認証 > Active Directory ログイン認証機能の有効化

Active Directory ログイン認証機能の有効化

Active Directory ログイン認証機能は、ドメインの鍵配布センター (KDC) にアクセスしてユーザーを認証してから、Active Directory サーバーの LDAP 検索を使ってユーザーの Webtop を生成します。Active Directory ログイン認証機能を有効にするには、次の設定を行う必要があります。

Kerberos 認証を設定します。
LDAP 検索とデフォルトドメインの詳細を設定します。

Active Directory ログイン認証機能が有効になると、ユーザーは主体名を使用して Secure Global Desktop にログインすることができます。次の機能を使用して設定されたそのユーザーの Webtop が表示されます。

Kerberos 認証を設定する

Kerberos 認証を設定するには、アレイの Secure Global Desktop サーバーごとに次の手順を行ないます。

Secure Global Desktop サーバーの時刻がドメインの KDC サーバーと同期されていることを確認します。
Secure Global Desktop サーバーを停止します。tarantella stop
Kerberos 構成ファイルを作成または編集します。
Secure Global Desktop サーバーを起動します。tarantella start

時刻を同期する

KDC サーバーと Secure Global Desktop サーバーの間で時刻を同期するときは、Windows 2000/2003 Server の Kerberos セキュリティーポリシーおよびデフォルトドメインセキュリティーポリシーに定義されている「コンピュータの時計の同期の最長トレランス」に準拠する必要があります。

Kerberos 構成ファイル

Kerberos 構成ファイル (krb5.conf) には、Secure Global Desktop が特定のドメインの認証をどの KDC サーバーを使用して行うかを指定します。

次のいずれかの操作を行うことができます。

システムのデフォルト構成ファイルを編集します。通常は、/etc ディレクトリ (Linux) または /etc/krb5 ディレクトリ (Solaris) にあります。
Secure Global Desktop だけで使用する構成ファイルを作成します。ファイルは、/opt/tarantella/bin/jre/lib/security ディレクトリに格納します。

構成ファイルは、Kerberos 認証を制御するいくつかのセクションで構成されます。次のセクションは必須です。

[libdefaults] - Kerberos 認証のデフォルトを設定します。default_realm と default_checksum を設定する必要があります。
[realms] - 各 Kerberos レルムの KDC を設定します。1 つのレルムに複数の KDC を設定してもかまいません。各 KDC の指定は、hostname:port の書式で行ないます。ポート 88 (デフォルト) を使用する場合は、port を省略できます。
[domain_realm] - Active Directory のドメインを Kerberos のレルムにマッピングします。

次に例を示します。

[libdefaults]
default_realm = INDIGO-INSURANCE.COM
default_checksum = rsa-md5

[realms]
INDIGO-INSURANCE.COM = {
  kdc = melbourne.indigo-insurance.com
  }
EAST.INDIGO-INSURANCE.COM = {
  kdc = ad01.east.indigo-insurance.com
  kdc = ad02.east.indigo-insurance.com
  }
WEST.INDIGO-INSURANCE.COM = {
  kdc = ad01.west.indigo-insurance.com
  }
  
[domain_realm]
  indigo-insurance.com = INDIGO-INSURANCE.COM
  .east.indigo-insurance.com = EAST.INDIGO-INSURANCE.COM
  east.indigo-insurance.com = EAST.INDIGO-INSURANCE.COM
  .west.indigo-insurance.com = WEST.INDIGO-INSURANCE.COM
  west.indigo-insurance.com = WEST.INDIGO-INSURANCE.COM

パスワードの有効期限

パスワードの有効期限が切れているときに、ユーザーに新しいパスワードの入力を要求することを設定できます。これを実行可能にするには、パスワードの変更を行うサーバーの詳細が Kerberos 構成ファイルに設定されている必要があります。

アレイのメンバーごとに、Kerberos 構成ファイルを編集します。各レルムに次の行を追加してください。

kpasswd_server = hostname:port 行または admin_server = hostname:port 行、あるいはその両方の行。
パスワードの変更を行う Kerberos 管理サーバーを指定します。kpasswd_server を省略した場合は、代わりに admin_server が使用されます。ポート 464 (デフォルト) を使用する場合は、port を省略できます。
kpasswd_protocol = protocol 行。
admin_server または kpasswd_server との通信時に使用するプロトコルを設定します。Active Directory の場合は、SET_CHANGE にする必要があります。

次に例を示します。

EAST.INDIGO-INSURANCE.COM = {
  kdc = ad01.east.indigo-insurance.com
  kdc = ad02.east.indigo-insurance.com
  admin_server = ad01.east.indigo-insurance.com
  kpasswd_protocol = SET_CHANGE
  }

TCP/UDP の優先順位の設定

KDC または Kerberos 管理サーバーにメッセージを送信するときには、UDP または TCP プロトコルが使用されます。使用されるプロトコルは、Kerberos 構成ファイルの [libdefaults] セクションにある udp_preference_limit 行によって決まります。この行には、UDP を使用して送信できる最大パケットサイズ (バイト単位) を設定します。メッセージがこのサイズより大きい場合は、TCP が使用されます。つまり、KDC または管理サーバーがパッケージが大きすぎることを検出すると、代わりに TCP が使用されます。常に TCP を使用するには、udp_preference_limit = 1 を使用します。

KDC タイムアウト

認証処理に失敗したときのために KDC タイムアウトを設定できます。KDC タイムアウトを使用して、Secure Global Desktop が KDC からの応答をどの程度待機するか、および各 KDC に何回接続を試みるかを制御します。

KDC タイムアウトを設定するときは、Kerberos 構成ファイルの [libdefaults] セクションに次の行を追加します。

kdc_timeout = time
max_retries = number

kdc_timeout には、KDC からの応答の最大待機時間 (ミリ秒) を設定します。max_retries は、各 KDC への最大接続試行回数です。各レルムの KDC への接続は、Kerberos 構成ファイルの [realms] セクションに設定されている順序に従って行なわれます。

Secure Global Desktop からユーザーのレルムの KDC に接続できない場合は、認証に失敗します。

LDAP 検索とデフォルトドメインの詳細を設定する

Array Manager で、「Secure Global Desktop Login properties」を開きます。
「Active Directory login authority」チェックボックスにチェックマークを付けます。
「URL」フィールドに、ad://east.indigo-insurance.com のように Active Directory ドメインの名前を入力します。
- URL は、 ad:// で始まっている必要があります。
- 入力できる URL は 1 つだけです。
- Secure Global Desktop は、このドメイン名を使用して DNS 検索を実行し、Global Catalog サーバーのリストを取得します。Global Catalog は、Secure Global Desktop がユーザーのログインプロファイルを判別するために、どの Active Directory サーバーを検索するかを決定するために使用されるサーバーです。
Secure Global Desktop が Active Directory への接続にセキュア接続と標準接続のどちらを使用するかを設定します。
- セキュア接続 - 「Use Certificates」ボックスにチェックマークを付けて、ここに記述された指示に従って操作を行います。
- 標準接続 - 「Username」フィールドと「パスワード」フィールドに、Active Directory を検索する権限を持つユーザーの詳細を入力します。ユーザー名には、tarantella-ldap@indigo-insurance.com など、ユーザー主体名を入力する必要があります。Active Directory ログイン認証機能に予約された特別なユーザーを作成することもできます。
「Base Domain」フィールドと「Default Domain」フィールドに、ユーザーがログイン時に入力したドメイン情報が不完全な場合に使用されるドメインを入力します。
- 「Base Domain」は、ログイン時にドメインの一部だけが入力された場合に使用されます。たとえば、root ドメインが「indigo-insurance.com」に設定されているときに、ユーザーが「rouge@west」というユーザー名でログインした場合は、Active Directory ログイン認証機能は「rouge@west.indigo-insurance.com」を認証しようとします。
- 「Default Domain」は、ユーザーがログイン時にドメインを入力しなかった場合に使用されます。たとえば、デフォルトドメインが「east.indigo-insurance.com」に設定されているときに、ユーザーが「rouge」というユーザー名でログインした場合は、Active Directory ログイン認証機能は「rouge@east.indigo-insurance.com」を認証しようとします。
「Apply」をクリックします。

LDAP タイムアウト

Active Directory サーバーの LDAP 検索に失敗した場合のために、2 つの LDAP タイムアウトを設定できます。

LDAP 検出タイムアウトは、初期接続要求に対する Active Directory サーバーからの応答を Secure Global Desktop が待機する時間を制御します。デフォルトは 30 秒です。このタイムアウト値を変更するには、次のコマンドを実行します。

tarantella config edit --tarantella-config-ldap-discovery-timeout secs

LDAP タイムアウトは、データ要求などの LDAP 操作に対する Active Directory サーバーからの応答を、Secure Global Desktop が待機する時間を制御します。デフォルトは 30 秒です。このタイムアウト値を変更するには、次のコマンドを実行します。

tarantella config edit --tarantella-config-ldap-timeout secs

どちらのタイムアウトでも、Secure Global Desktop は Active Directory サーバーとの接続を 2 回試みます。応答がない場合、Secure Global Desktop は別の Active Directory サーバーを試みます。ドメインの Active Directory サーバーのリストは、Global Catalog から取得します。すべての Active Directory サーバーがタイムアウトになった場合は、Webtop コンテンツは生成できません。

LDAP キャッシュ

Secure Global Desktop は、Active Directory から収集した LDAP データをキャッシュします。Secure Global Desktop が変更を検出していない場合は、tarantella cache コマンドを使用して、キャッシュされたデータを手動で消去できます。

関連トピック
Active Directory ログイン認証機能 ENS 内の LDAP 組織のミラー化 Directory Services Integration の使用