7.3. キオスクユーザーアカウント

7.3.1. 特性
7.3.2. 制限事項および予防対策
7.3.3. キオスクユーザープールの管理

すべてのコンピュータアプリケーションは、一部のタイプのユーザーアカウントの下で実行される必要がありますが、キオスクセッションには違いがありません。実際のユーザーが、Sun Ray Software の基盤となるオペレーティングシステムで認証されなくてもアプリケーションにアクセスできるようにするには、キオスクモードでローカルユーザーアカウントのプールを管理します。キオスクセッションを実行するように、管理者がシステムポリシーまたは現在のトークン ID を構成したことをキオスクサービスが判断した場合、システムへの非認証のアクセスが許可されます。

キオスクユーザーは実ユーザーとは対応しませんが、非認証方式では、キオスクモードの役割によって、ユーザーは管理者が定義したアプリケーションを使用できます。キオスクユーザーアカウントがない場合、キオスクセッションを実行できません。

7.3.1. 特性

キオスクユーザーアカウントには次の特性があります。

  • utkux というデフォルトの名付けスキーム。x は 0 から N-1 までの範囲を表し、N は作成するキオスクユーザーアカウントに指定された番号を表します。

  • デフォルトの utku に名前の衝突のリスクがある場合は、異なるネーミングプレフィックスを選択できます。

  • デフォルトでは UID は 150000 から始まります (開始 UID を指定できます)。

  • UID の範囲は連続している必要があります。

  • ホームディレクトリは /var/opt/SUNWkio/home/$USER にあります。

  • ローカルアカウントのみを使用できます (/etc/passwd)。一元管理された NIS または LDAP のキオスクユーザーアカウントはサポートされていません。

注意

utku* という名前のアカウントが NIS または LDAP などの一元管理されたネームサービスに存在する場合は、utuseradm コマンドが失敗します。nsswitch.conf ファイルを使用してユーザーおよびグループのファイルのみを使用するように、ネームサービスからホストを削除するか、サーバーを一時的に再構成する必要があります。

7.3.2. 制限事項および予防対策

キオスクユーザーがシステムから受ける影響を制限し、非認証のアクセスが制御不能のアクセスにならないようにするために、キオスクユーザーアカウントに対して次の制限事項と予防対策が適用されています。

  • 通常のログイン (GDM、SSH、Telnet など) では、キオスクユーザーアカウントはロックされています。

  • キオスクユーザーアカウントは、システムの最小限の権限を持つローカルの UNIX グループ (utkiosk) に属しています。

  • 同じキオスクユーザーアカウントが同じサーバーで同時に 2 つのセッションを使用することはできません。

  • キオスクユーザーアカウントに関連付けられたホームディレクトリは、セッションが終了すると完全に消去されます。

  • キオスクユーザーアカウントに関連付けられたホームディレクトリは、セッションが開始された時に作成され、prototypes ディレクトリから入力されます。

  • キオスクユーザーアカウントが所有する残りのプロセスは、キオスクセッションが終了したとき、および新しいセッションが開始される前に削除されます。

  • キオスクユーザーアカウントが所有する /tmp および /var/tmp ディレクトリ内のすべてのファイルは、キオスクセッションが終了したとき、および新しいセッションが開始される前に削除されます。

7.3.3. キオスクユーザープールの管理

Sun Ray Software の最初のインストールと構成を行った後に、キオスクユーザーアカウントの数を変更する必要がある場合、初期構成の後に /opt/SUNWkio/bin ディレクトリにある kioskuseradm コマンドを使用してユーザープールを管理できます。このコマンドを使用すると、プールの設定を表示したり、使用されているキオスクユーザー数を表示したり、キオスクユーザーアカウントの数を追加または削減するなど、プールの設定を変更したりすることができます。キオスクセッションがアクティブである間にユーザープールを増やしたり減らしたりすることができますが、グループメンバーシップや UID の範囲などのプールのその他の設定を変更する場合は、アクティブなキオスクセッションがない状態である必要があります。

注意

キオスクユーザープールのキオスクユーザーアカウントは、連続したユーザー ID を持つ必要があります。キオスクユーザーアカウントの最初のプールを構成した後にユーザーアカウントを追加した場合は、kioskuseradm extend コマンドを使用できません。extend オプションは、連続したユーザー ID を持つキオスクユーザーアカウントに依存しています。

この問題を回避するには、kioskuseradm delete コマンドを使用してキオスクユーザーアカウントをすべて削除し、kioskuseradm create コマンドを使用して再作成します。この処理を実行する場合は、Sun Ray サーバーの Sun Ray サービスを停止する必要があります。フェイルオーバーグループがある場合は、各 Sun Ray サーバー上でこれらの手順を個別に実行すると、ユーザーのダウンタイムが回避されます。