認証プロトコル

OpenWindows は、MIT-MAGIC-COOKIE-1 と SUN-DES-1 の 2 種類の認証プロトコルをサポートしています。これらの 2 種類のプロトコルでは、使用される認証データの形式は異なりますが、アクセス制御機構は似ています。サーバに実装できるのは 1 種類のプロトコルに限られます。OpenWindows のデフォルトは、ユーザベースのアクセス制御機構を使用した MIT-MAGIC-COOKIE-1 プロトコルです。

MIT-MAGIC-COOKIE-1

MIT-MAGIC-COOKIE-1 認証プロトコルは、マサチューセッツ工科大学で開発されました。サーバの起動時に、サーバとシステムを起動したユーザについてマジッククッキー (magic cookie) が作成されます。接続を要求するたびに、ユーザのクライアントは、接続パケットの一部としてマジッククッキーをサーバに送信します。このマジッククッキーは、サーバのマジッククッキーと比較されます。マジッククッキーが一致すれば接続は許可され、一致しなければ拒否されます。

SUN-DES-1

米国 Sun Microsystems, Inc. が開発した SUN-DES-1 認証プロトコルは、機密保護 RPC (遠隔手続き呼び出し) に基づいており、DES (データ暗号化ソフトウェア) を必要とします。認証情報としては、マシンに依存しないユーザの netname (ネットワーク名) が使われます。この認証情報は暗号化され、接続パケットの一部としてサーバに送信されます。サーバは暗号化された認証情報を復号化して、netname が登録されているものであれば接続を許可します。

SUN-DES-1 プロトコルは、MIT-MAGIC-COOKIE-1 よりも高水準のセキュリティを提供します。あるユーザが他のユーザの netname を使ってそのユーザのサーバにアクセスする方法はありませんが、マジッククッキーを使うと可能な場合もあります。

このプロトコルは、OpenWindows バージョン 3 以降の環境に入っているライブラリでしか使用できません。OpenWindows バージョン 3 より前の環境の静的ライブラリ、特に Xlib で構築されたアプリケーションは、この認証プロトコルを使用できません。

「SUN-DES-1 を使用する場合のアクセス許可」では、他のユーザの netname を自分のサーバのアクセスリストに追加することによって、自分のサーバに対する他のユーザのアクセスを許可する方法について説明しています。

デフォルトの認証プロトコルの変更

デフォルトの認証プロトコル MIT-MAGIC-COOKIE-1 は、システムでサポートされるもう 1 つの認証プロトコル SUN-DES-1 に変更できます。また、ユーザベースのアクセス制御機構をまったく使わないようにすることもできます。デフォルト設定の変更は、openwin コマンドのオプションを指定することによって行います。たとえば、デフォルトを MIT-MAGIC-COOKIE-1 から SUN-DES-1 に変更するには、次のオプションを指定して OpenWindows を起動します。

example% openwin -auth sun-des

ユーザベースのアクセス制御機構を使わないで OpenWindows を実行する場合は、-noauth コマンド行オプションを指定します。

example% openwin -noauth

-noauth オプションを指定した場合、セキュリティの水準は低下します。この設定は、OpenWindows をホストベースのアクセス制御機構だけで実行した場合と同じです (サーバはユーザベースのアクセス制御機構を無効にします)。あるマシンでアプリケーションを実行できるユーザであれば、そのマシンのサーバに対するアクセスを許可されることになります。