test

Sun Ray Enterprise Server Software 1.0 管理マニュアル

認証ポリシーの選択

認証ポリシーの選択 (概要については 「認証マネージャ」を参照) では、スマートカード (card) ユーザーと非スマートカード (pseudo) ユーザーに関するいくつかの質問に回答する必要があります。適切なボックスをチェックして、各質問に回答してください。どの質問に対する回答も、複数のボックスのチェックが可能です。

表 5-2 質問

質問 

スマートカード 

ユーザー 

(card)

非スマートカードユーザー 

(pseudo)

1. 必ず登録されている必要があるのはどの種類のユーザーですか。(登録されていないユーザーは認証マネージャによって拒否されます。)

[ ]

[ ]

2. 質問 1 で選択したユーザーのうち、自己登録を許可するのはどの種類のユーザーですか。(ここでの選択に関係なく、すべての種類のユーザーを集中的に登録できます。) 

[ ]

[ ]

3. 質問 1 で選択しなかったユーザーのうち、ZeroAdmin モジュールの使用を許可するユーザーの種類はどれですか。(ZeroAdmin モジュールは、すべてのユーザーにアクセスを許可します。)

[ ]

[ ]

以下の表に、認証ポリシーの設定例をいくつか示し、それらのポリシーを実現するためには前の質問にどのように回答すれば良いかを示します。質問に対する回答 (none、card、pseudo、both のいずれか) は、次の節で説明する認証マネージャ設定コマンドのオプションとも直接に関係します。

表 5-3 認証ポリシーの例

認証ポリシーの例 

質問 1 

(-r オプション)

質問 2 

(-s オプション)

質問 3 

(-z オプション)

1. すべての種類のユーザーが、登録なしでシステムを使用できるようにします。これは、Sun Ray システムのデフォルトのポリシーです。 

none

none

both

2. サイト管理者が登録を作成したスマートカードだけを許可します。自己登録は許可せず、ユーザーが appliance を使用する場合はスマートカードを挿入する必要があります。 

card

none

none

3. スマートカードはすべて無視しますが、非カードユーザーは許可します。appliance は従来のワークステーションのように動作します。 

none

none

pseudo

4. スマートカードはすべて登録されている必要がありますが、非カードユーザーでも appliance を使用できるようにします。カードユーザーは自己登録できます。 

card

card

pseudo

5. スマートカードユーザーも非カードユーザーもすべて登録されている必要がありますが、カードユーザーだけに自己登録を許可します。 

both

card

none

認証ポリシーの有効化

utpolicy コマンドでは、Sun Ray サーバーの認証ポリシーを指定します。このコマンドで指定する引数は、表 5-1 で回答した質問の内容に非常に似ています。このコマンドでは、入力された引数に従って、認証モジュールを適切に組み合わせて認証ポリシーを実装します。

認証ポリシーを有効にする

  1. 表 5-2 の質問に回答し、その答えを手元に控えておきます。

  2. ステップ 1 で控えた回答を元に、以下のコマンドを入力します。

    # /opt/SUNWut/sbin/utpolicy -a -r < 質問 1 の回答 > -s < 質問 2 の回答 > -z < 質問 3 の回答 >

    回答の値として入力できるのは、cardpseudoboth のいずれかです。回答が「none」だった質問については、その回答に対応する引数とフラグを省略して入力します。

    自己登録方式を使用する場合は、確認のために Solaris ユーザー名とパスワードを入力させるのを避けるため、utpolicy のコマンド行に -p フラグを追加します。-p フラグは、コマンド行の任意の位置に入力できます。

    注意 - 注意 -

    -p フラグを使うと、登録されていないスマートカード (-r card または -r both を指定する場合) または登録されていない appliance (-r pseudo または -r both を指定する場合) からも、登録が許可されます。

    注 -

    ポリシー例 2、4、5 のいずれかを指定する場合は、集中的なユーザー登録を支援するため、トークンリーダー設定情報を入力する必要があります。「トークンリーダーを設定する」を参照してください。

    次の表では、表 5-1 で示した 5 つの例について、それぞれ入力するコマンド行を示します。

    表 5-4 認証ポリシー例を設定するために使用するコマンド

    例 

    入力するコマンド 

    # utpolicy -a -z both

    # utpolicy -a -r card

    # utpolicy -a -z pseudo

    # utpolicy -a -r card -s card -z pseudo

    # utpolicy -a -r both -s card

  3. Sun Ray サーバーを再起動します。

    注 -

    サーバーを再起動するまで、認証マネージャは新しいポリシーの使用を開始しません。システムを再起動しなければ、以前のポリシーで使用していたサービスがシステムに残ってしまう可能性があります。

トークンリーダーを設定する

コマンドで、スマートカードを登録する appliance を指定する方法を解説します。

  1. 設定するポリシーを決め、コマンドに -t clear -t add:nnnnnnnnnnnn を追加します。たとえば、以下のように入力します。

    # /opt/SUNWut/sbin/utpolicy -a -r card -z pseudo -t clear -t add:nnnnnnnnnnnn

    nnnnnnnnnnnn には、スマートカードリーダーとして使用する appliance の Ethernet アドレスを、完全な形式で (たとえば、0800204c121c のように) 指定します。現時点では、Ethernet アドレスは小文字で指定する必要があります (Ethernet アドレスとは、デスクトップ管理で表示されるデスクトップ ID のことです)。