Secure Global Desktop 管理者ガイド > ユーザーと認証 > ブラウザベース Webtop での Web サーバー認証

ブラウザベース Webtop での Web サーバー認証

ブラウザベース Webtop の Web サーバー認証を有効にするには、次の手順を実行します。

1. 各アレイメンバー上で、/sgd URL へのアクセスを保護するように Web サーバーを設定します。
2. Array Manager で、「Secure Global Desktop Login」、「Properties」の順にクリックします。
3. 「Use third party authentication」の横のチェックボックスにチェックマークを付けます。
4. 「User identity mapping」で、1 つ以上のボックスにチェックマークを付けます。
5. Web サーバー認証を信頼するように、Secure Global Desktop Web Serverの Tomcat コンポーネントを設定します。各アレイメンバー上で、 /opt/tarantella/webserver/tomcat/version/conf/server.xml ファイルを編集します。以下の属性を、Coyote/JK2 AJP 1.3 Connector のコネクタ要素 (<Connector>) に追加します。
   tomcatAuthentication="false"

注

• /sgd URL を保護する方法は、Web サーバーによって異なります。詳細については、Web サーバーのマニュアルを参照してください。Secure Global Desktop Web Serverの場合は、Apache のマニュアルを参照してください。
• 「User identity mapping」では、Secure Global Desktop が Web サーバーの識別情報とログインプロファイルを特定するために使用する検索方式を選択します。検索方式の詳細については、「サードパーティーの認証」を参照してください。
• 複数の検索方式を選択した場合は、表示されている順番に処理されます。Web サーバー認証ではあいまいなユーザーがサポートされません。最初に見つかった Webtop が表示されます。
• 「User identity mapping」の LDAP 検索方式のいずれかを使用する場合は、LDAP ディレクトリサーバーへのセキュア接続も設定できます。
• Secure Global Desktop Web Serverを使用する場合は、Apache または Tomcat コンポーネントで /sgd URL を保護することができます。Apache を使用することをお勧めします。
• デフォルトでは、Secure Global Desktop 管理者 が Web サーバー認証を使用してブラウザベース Webtop にログインすることは、セキュリティー上の理由から許可されていません。これらのユーザーには、Web サーバーから認証されている場合でも、標準のログインページが常に表示されます。この動作を変更するには、次のコマンドを実行します。
  tarantella config edit --tarantella-config-login-thirdparty-allowadmins 1

Secure Global Desktop Web Serverの設定例

ここでは、Web サーバー認証を使用できるように Secure Global Desktop Web Serverを設定する手順の例を紹介します。

1. /opt/tarantella/webserver/apache/version/bin/htpasswd バイナリを使用して、Web サーバーのパスワードファイルを作成します。
2. /opt/tarantella/webserver/apache/version/conf/httpd.conf ファイルを編集して、以下のディレクトリディレクティブを挿入します。

   SetEnvIf Request_URI "\.(cab|jar|gif|der)$" sgd_noauth_ok
       
   <LocationMatch /sgd>
      Order Allow,Deny
      Allow from env=sgd_noauth_ok
      AuthUserFile file-path
      AuthName auth-domain
      Authtype Basic
      Require  valid-user
      Satisfy  any
   </LocationMatch>

   file-path は Web サーバーのパスワードファイルへのフルパス、
   auth-domain は Web ブラウザの認証ダイアログに表示される認証レルムの名前です。
3. Secure Global Desktop Web Server を再起動 (tarantella webserver restart ) して、設定の変更を有効にします。

注

• Sun Java™ Plug-in の一部のバージョンでは、ユーザーの証明書の「記憶」に失敗するという問題が発生します。この問題を回避するために、この例では SetEnvIf ディレクティブを使用しています (http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=4943729 を参照)。
• この例では、Directory ディレクティブではなく LocationMatch ディレクティブを使用しています。これは、Secure Global Desktop Web Server標準の httpd.conf ファイル内で、/sgd URL の管理が Tomcat に委譲されるためです。このため、.htaccess ファイルを使用して /sgd URL を保護することはできません。

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.