test

Sun Ray Enterprise Server Software 1.0 管理マニュアル

認証マネージャ

Sun Ray システムが継続して正しく動作するには、2 つの独自のシステム機能が必要です。1 つは、認証マネージャ、もう 1 つはセッションマネージャです (詳細は、「セッションマネージャ」を参照)。

認証マネージャの主な役割は、Sun Ray 1 enterprise appliance でエンドユーザの識別および認証用に選択されているポリシーの実現です。また、ユーザー ID を確認し、サイトアクセスのポリシーを実現します。Sun Ray 1 enterprise appliance を使用してシステムにアクセスするときは、常に認証マネージャが利用できる状態になければなりません。エンドユーザーは認証マネージャを管理することはできません。

あるエンドユーザーが初めてシステムにアクセスした時、enterprise appliance はトークンを取得し、そのトークンを使用して認証マネージャに資格情報を渡し、アクセスを要求します。スマートカードを挿入した場合は、スマートカードのタイプと ID がトークンとして使用されます。スマートカードを使用しない場合は、enterprise appliance に組み込まれているタイプと ID (その appliance の Ethernet アドレス) がトークンとして提供されます。すべてのトークンには、タイプおよび ID が含まれており、Sun Ray システムに渡されたトークンを一意に識別します。スマートカードの場合は、タイプは通常、カードの製造時に製造元で決められた ID をそのまま使います。enterprise appliance の場合、タイプは pseudo になります。

認証マネージャでは、モジュールと呼ばれるプラグ可能なコンポーネントを使用して、サイト単位に選択可能なさまざまな認証ポリシーを実現します。サイト管理者は、さまざまなモジュールとそのオプションの組み合わせを作成し、サイトの要件に合ったポリシーを実現することができます。以下のモジュールがあります。

dtlogin 画面が表示されると、認証マネージャのタスクは完了します。

以下の 2 つの方法でユーザーを登録することができます。

認証マネージャと enterprise appliance 間の対話は次の手順で行われます。

  1. エンドユーザーが enterprise appliance にアクセスします。

  2. enterprise appliance (図 1-9 の 2) では、ユーザーのトークン情報を認証マネージャ (3) に渡し、アクセスを要求します。appliance でスマートカードを使用した場合は、スマートカードのタイプと ID がトークンになります。スマートカードを使用しない場合は、appliance に組み込まれているタイプ (pseudo) と ID (appliance の Ethernet アドレス) が送信されます。

  3. 認証マネージャでは、現在のポリシーリスト内の最初の認証モジュール (項目 4) に要求を渡します。各モジュールでは、責任を受け入れるか拒否します。拒否した場合は、その要求をリスト内の次のモジュールに渡します。責任を受け入れた場合は、ユーザーを許可するか拒否するかを決定し、他のモジュールへの問い合わせは行われません。

  4. 認証マネージャによってリスト内のすべてのモジュールに対して問い合わせが行われ、その要求に対する責任を受け入れたモジュールがない場合は、拒否されます。

  5. ユーザーが許可されると、認証マネージャではそのユーザーに対して X Windows セッション (項目 5) を開始し、dtlogin 画面を表示します (項目 6)。

図 1-9 認証およびセッションマネージャの対話

Graphic

可動性

選択した認証ポリシーに応じて、ユーザーはワークグループ内で移動することができます。つまり、エンドユーザーがある appliance でセッションを開始した後、このユーザーが別の appliance に移動した場合でも、セッションはエンドユーザーとともに移動先の appliance に移動するので、継続性を保ったまま作業を続けることができます。セッションについての詳細は、「セッションマネージャ」を参照してください。