デスクトップセッションは、認証トークンに関連付けられ、セッションマネージャーによって制御されるサービスまたはアプリケーションのグループです。デスクトップセッションは Sun Ray サーバーに存在し、任意の Sun Ray クライアントまたは Oracle Virtual Desktop Client に送信できます。ユーザーから見れば、デスクトップセッションは通常は OS デスクトップのインスタンスです。
セッションの状態は、「接続」または「切断」の 2 つのいずれかです:
接続: 「接続」ステータスのすべてのセッションがクライアントに表示されます。ユーザーがスマートカードを取り外したり、utswitch コマンドや utselect コマンドなどを使用してクライアントを明示的に別のセッションに切り替えたりすると、セッションは自動的に切断されます。
切断: これらのセッションは引き続きサーバー上で実行されますが、クライアントに接続されていないため、結果的に表示されません。ただしユーザーは、たとえば適切なトークンが含まれているスマートカードをクライアントのカードリーダーに挿入することで、切断されたセッションに再接続できます。こうするとセッションの状態が「接続」に変わり、そのクライアントに表示されます。
セッションはさらに次の 2 つのカテゴリに分類できます。
アイドルセッション: これらのセッションは通常、ログイン画面 (または dtlogin などのログイングリータ) のみを表示し、どのユーザーもまだログインしていません。これらのセッションの有効期間は Sun Ray システムによって制御されます。たとえば、切断された休止セッションは、特定の時間間隔後にシステムによって自動的に終了 (リープオフ) されます。
ユーザーセッション (または休止でないセッション): これらは UNIX ユーザーがログインしているセッションです。ユーザーはセッション内から追加のアプリケーションを起動することがあるので、大量のシステムリソースを消費する可能性があります。そのため、管理者は休止セッションよりもユーザーセッションを重要視します。システムリソースを解放するために、長期間実行されている切断されたユーザーセッションの数を監視し、(該当する場合) 使用されなくなったセッションを終了してください。
認証マネージャーは、ユーザー ID を確認するためのモジュールと呼ばれるプラグイン可能コンポーネントを使用してデスクトップクライアント上のユーザーを識別して認証するために選択したポリシーを実装し、管理者が定義したサイトアクセスポリシーを実装します。Sun Ray サービスの管理特権を付与されたユーザーの操作の監査証跡も提供します。ユーザーからは認証マネージャーは見えません。
認証マネージャーとクライアントとの対話は、図7.1「認証マネージャーとセッションマネージャーの対話」に示されており、次のように動作します。
ユーザーがクライアントにアクセスします。
クライアントはユーザーのトークン情報を認証マネージャーに送信し、アクセスを要求します。ユーザーがスマートカードをクライアントに挿入すると、カードのタイプと ID がトークンとして使用されます。そうしない場合は、クライアントの Ethernet アドレスが擬似トークンとして使用されます。
システム管理者が定義したポリシーに基づいて、認証マネージャーはアクセス要求を受け入れたり拒否したりします。
ユーザーのアクセス要求が受け入れられると、認証マネージャーはセッションマネージャーに X ウィンドウセッションを開始するように通知し、それによってログイン画面が表示されます。Oracle Solaris 10 実装は dtlogin ディスプレイマネージャーを使用します。Oracle Linux および Oracle Solaris 11 実装は gdm ディスプレイマネージャー、つまり GNOME Display Manager (GDM) を使用します。
セッションを提供する Sun Ray サーバーが見つからない場合 (2章Sun Ray ネットワーク環境の計画を参照)、クライアントはサブネット上の認証マネージャーにブロードキャスト要求を送信します。
セッションマネージャーは、認証マネージャーと対話し、サービスをユーザーに送信します。サービスとは、Sun Ray クライアントに直接接続できるアプリケーションのことです。このようなアプリケーションには、オーディオ、ビデオ、X サーバー、およびクライアントのデバイス制御などを含めることができます。たとえば、一般的なメールアプリケーションは、直接ではなく X サーバーを介してアクセスされるため、サービスではありません。
セッションマネージャーはサービスの起動時に、画面を管理するため、および認証マネージャーのランデブーとして使用されます。
セッションマネージャーは、サービスをセッションにマッピングし、関連するサービスを特定のクライアントに対して結合および結合解除することで、セッションとサービスを追跡します。セッションマネージャーは、/etc/opt/SUNWut/auth.permit ファイルに一覧表示されている承認済み認証マネージャーからのみ、認証を取得します。
次の手順では、プロセスがどのように開始、終了、および再起動するかを説明します。
ユーザーのトークンが認証されたあとに、認証マネージャーはそのトークンのセッションが存在するかどうかを判定します。セッションが存在しない場合、認証マネージャーはセッションマネージャーにセッションの作成を要求し、管理者が決定した認証ポリシーに基づいてセッションに適したサービスを開始します。セッションを作成するには通常、セッション用の X サーバープロセスを開始する必要があります。
サービスが開始すると、それらはセッションマネージャーに接続することによって明示的にセッションに参加します。
認証マネージャーは、トークンに関連付けられたセッションを特定のデスクトップクライアントに接続するようにセッションマネージャーに通知します。するとセッションマネージャーは、セッション内の各サービスに、クライアントに直接接続する必要があることを通知します。
するとユーザーはセッションと対話できるようになります。セッションマネージャーは、セッション内の競合するサービスとの間で画面領域の制御を仲介し、画面領域割り当ての変更をサービスに通知します。
ユーザーがスマートカードを取り出したり、NSCM セッションで Shift-Pause を押したり、クライアントの電源を再投入したり、画面ロックアイドルタイムアウト間隔より長く休止状態であったりすると、認証マネージャーはトークンに関連付けられているセッションをそのクライアントから切断する必要があると判定します。認証マネージャーがセッションマネージャーに通知し、セッションマネージャーはセッション内のすべてのサービスと USB デバイスに切断することを通知します。
ユーザーがスマートカードを再度挿入したり、NSCM セッションにアクセスするために再度ログインしたりすると、認証マネージャーはセッションマネージャーに新しい一時セッションを作成することを要求し、これを使ってユーザーを認証します。これはリモートホットデスク認証 (RHA) と呼ばれます。ユーザーが認証されたあとは、デスクトップクライアントがユーザーのセッションに直接接続されます。
RHA は、匿名キオスクモードまたはトークンリーダーに適用されません。このセキュリティーポリシー機能をオフにするように Sun Ray Software を構成できます。
セッションマネージャーは、セッションの状態が変更されたり、ほかのサービスが追加された場合にのみ、照会されます。たとえばカードが取り外されたときなど、ユーザーのトークンがクライアントにマップされなくなると、セッションマネージャーはクライアントからサービスを切断しますが、サービスはサーバー上でアクティブなままです。たとえば、X サーバーに接続されているプログラムは、それらの出力は表示されませんが引き続き実行されています。セッションマネージャーデーモンは実行を継続している必要があります。セッションマネージャーデーモンが実行中であるかどうかを確認するには、ps コマンドを使用して utsessiond を検索します。
認証マネージャーが終了すると、セッションマネージャーはすべての承認済みセッションを切断し、それらに再認証を要求します。これらのサービスは切断されますが、アクティブなままです。セッションマネージャーは、中断された場合でも自動的に再起動します。各サービスはセッションマネージャーを照会し、特定のセッションへの再接続を要求します。
