Secure Global Desktop 4.31 管理者ガイド > ユーザーと認証 > LDAP ログイン認証機能の有効化

LDAP ログイン認証機能の有効化

LDAP ディレクトリサーバーを使用してSecure Global Desktop でユーザー認証を行うには、LDAP ログイン認証機能を有効にする必要があります。手順は次のとおりです。

アレイのすべての Secure Global Desktop サーバーが、認証に使用する各 LDAP ディレクトリサーバーと接続できることを確認します。
Array Manager で、「Secure Global Desktop Login」プロパティーを開きます。
「LDAP login authority」チェックボックスにチェックマークを付けます。
URL フィールドに、1 つ以上の LDAP ディレクトリサーバーの URL を入力します (例: ldap://melbourne.indigo-insurance.com)。
- SSL/TLS を使って LDAP ディレクトリサーバーへの接続をセキュリティー保護するには、ここに記述された指示に従います。
- 各 URL はセミコロンで区切ります。
- 複数の URL を入力する場合、URL は記載された順序で使用されます。リスト内の最初の LDAP ディレクトリサーバーが使用不可能な場合、リスト内の次の LDAP ディレクトリサーバーが Secure Global Desktop により試みられます。
- LDAP ディレクトリサーバーへの接続に使用される標準ポートは、389/tcp です。LDAP ディレクトリサーバーが別のポートを使用する場合は、ポート番号を URL に含める必要があります (例: ldap://melbourne.indigo-insurance.com:5678)。
- LDAP ログイン認証機能は通常、LDAP ディレクトリ全体を検索します。URL の最後にサーチルートを追加することにより、LDAP ディレクトリ上の検索対象を制限できます (例: ldap://melbourne.indigo-insurance.com/dc=indigo-insurance,dc=com)。
「Username」および「Password」フィールドに LDAP ユーザーの詳細情報を入力します。
- ユーザー名は、ユーザーの識別名でなければなりません (例: cn=tarantella-ldap,cn=Users,dc=indigo-insurance,dc=com)。
- 一部の LDAP ディレクトリサーバーでは匿名ログインがサポートされるため、ユーザー名やパスワードを入力する必要はありません。その他 (Microsoft Active Directory など) の場合は、LDAP ディレクトリの検索権限を有するユーザーのユーザー名とパスワードを入力する必要があります。
- Secure Global Desktop LDAP ログイン認証機能用の特別な LDAP ユーザーを作成することもできます。
- 入力できるユーザー名とパスワードは 1 組だけであるため、このユーザーが、URL ボックスに記載されたすべての LDAP ディレクトリサーバーを検索できる必要があります。
「適用」をクリックします。

LDAP ログイン認証機能が有効になると、ユーザーは次のいずれかを使用して Secure Global Desktop にログインできます。

フルネーム (共通名、cn)。
ユーザーの uid。
電子メールアドレス。
SAM アカウント名。

次のものによってユーザー用に設定された Webtop が表示されます。

パスワードの有効期限

LDAP ディレクトリサーバー上でユーザーのパスワードの有効期限が切れている場合、Secure Global Desktop はユーザーに新規パスワードの入力を求めることができます。ユーザーが有効期限の切れたパスワードを使ってログインを試みると、パスワードが古いことを示すダイアログが表示されます。このダイアログには、次の機能があります。

パスワードの有効期限が切れていることを確認する。
新規パスワードの入力および確認をユーザーに許可する。

新規パスワードが受け付けられると、ユーザーは Secure Global Desktop にログインします。

Sun One Directory Server

Sun One Directory Server を使用している場合は、次の点に留意してください。

グローバルパスワードポリシーと個別パスワードポリシーのどちらの場合でも、「User must change password after reset」オプションは使用しないでください。このオプションを使用すると、パスワードの変更が失敗します。
Array Manager の「Secure Global Desktop properties」パネルの「Username」および「Password」フィールドに入力する LDAP ユーザーは、管理者特権を保持している必要があります。

Microsoft Active Directory

Microsoft Active Directory の場合、パスワードの有効期限 (次回ログオン時にパスワードの変更をユーザーに強制することも含む) を処理できるのは、Secure Global Desktop サーバーと Active Directory サーバーとの間にセキュア (SSL) 接続が存在するときだけです。詳細は、「LDAP ディレクトリサーバーへの接続の保護」を参照してください。

LDAP タイムアウト

Secure Global Desktop では、LDAP 障害時の動作を制御するために、2 種類のタイムアウトが使用されます。

LDAP 検出タイムアウトは、初期接続要求に対する LDAP ディレクトリサーバーからの応答を Secure Global Desktop が待機する時間を制御します。デフォルトは 30 秒です。このタイムアウト値を変更するには、次のコマンドを実行します。

tarantella config edit --tarantella-config-ldap-discovery-timeout secs

LDAP タイムアウトは、データ要求などの LDAP 操作に対する LDAP ディレクトリサーバーからの応答を Secure Global Desktop が待機する時間を制御します。デフォルトは 30 秒です。このタイムアウト値を変更するには、次のコマンドを実行します。

tarantella config edit --tarantella-config-ldap-timeout secs

どちらのタイムアウトでも、Secure Global Desktop は LDAP ディレクトリサーバーとの接続を 2 回試みます。応答がない場合、Secure Global Desktop は、Array Manager の「Secure Global Desktop Login properties」パネルの URL フィールドに記載されている次の LDAP ディレクトリサーバーを試みます。すべての LDAP ディレクトリサーバーがタイムアウトした場合、ユーザーは LDAP ログイン認証機能により認証されず、Webtop コンテンツは生成できません。

関連トピック
LDAP ログイン認証機能 Active Directory および LDAP ディレクトリサーバーへの接続の保護 ENS 内の LDAP 組織のミラー化 Directory Services Integration の使用 LDAP ユーザーが Secure Global Desktop にログインできない場合 Secure Global Desktop への LDAP ユーザーアクセスを拒否できますか。 tarantella passcache new コマンド