Secure Global Desktop 4.31 管理者ガイド
> ユーザーと認証
> Web サーバー認証で問題が発生するSecure Global Desktop 4.31 管理者ガイド
> ユーザーと認証
> Web サーバー認証で問題が発生する
Web サーバー認証を使用して Secure Global Desktop にログインするときに、次のような問題が発生することがあります。
これらの問題が発生するときは、次のログフィルタを Array Manager の「Array Properties」パネルに追加すると、問題の診断と解決がしやすくなります。
server/login/*error:log_file_name%%PID%%_error.jsl
server/login/*error:log_file_name%%PID%%_error.log
server/login/*info:log_file_name%%PID%%_error.jsl
server/login/*info:log_file_name%%PID%%_error.log
Web サーバーへの認証に失敗すると、「401 認証が必要です」などのメッセージが表示されます。このメッセージは、入力されたユーザー名/パスワードに問題があるか、または Web サーバーの設定に問題があることを示しています。
次の点を確認してください。
ttaserv ユーザーはそのパスワードファイルにアクセスできますか。このパスワードファイルを読み取ることができないユーザーは、認証に失敗します。Web サーバー認証が正しく設定されていない場合、またはなんらかの理由で Web サーバー認証に失敗した場合は、Secure Global Desktop の標準ログインページが表示されます。次の表は、確認が必要な事項の一覧です。
| 確認項目 | 詳細情報 |
|---|---|
| 保護している Secure Global Desktop ディレクトリ/URL は適切ですか。 | 次のものを保護するように、Web サーバーを設定する必要があります。
|
| Web サーバー認証を「信頼する」ように Tomcat が設定されていますか。 | ブラウザベース Webtop の場合は、Web サーバー認証を信頼するように Tomcat コンポーネントを設定する必要があります。
アレイのメンバーごとに、 |
| ユーザーに ENS 人物オブジェクトが関連付けられていますか。 | ユーザーに ENS 人物オブジェクトが関連付けられていることを前提としてSecure Global Desktop が設定されているときに、フォールバックプロファイルオブジェクトのいずれかを有効にしていない場合は、ユーザーがログインできないことがあります。
この問題が発生したときに、追加のログを有効にしている場合は、ログファイルで検索して、認証済みのユーザーと ENS オブジェクトを照合できなかったことを示すメッセージを探してください。
ユーザーの ENS 人物オブジェクトを作成するか、フォールバックプロファイルオブジェクトのいずれかを有効にします。詳細については、「Web サーバー/サードパーティーの認証」を参照してください。 |
| そのユーザーは Secure Global Desktop 管理者 ですか。 | ブラウザベース Webtop は、Web サーバーから認証されている Secure Global Desktop 管理者
のアクセスをデフォルトで許可していません。この動作を変更するには、次のコマンドを実行します。tarantella config edit --tarantella-config-login-thirdparty-allowadmins 1 |
| 信頼されているユーザーに変更を加えましたか。 | (ブラウザベース Webtop の場合) 信頼されているユーザーのユーザー名とパスワードを変更したときに、その新しいユーザーが機能するかどうかを確認しましたか。詳細については、「Web サーバー認証を使用するときのセキュリティー上の考慮事項」を参照してください。 |
| トークンがタイムアウトになっていませんか。 | (旧 Webtop の場合) トークンがタイムアウトになっていないことを確認します。
追加のログを有効にしている場合は、 Web トークンの有効期間を増やしてから、もう一度ログインしてみてください。 |
| Web サーバーユーザー名は正しいですか。 | (旧 Webtop の場合) Secure Global Desktop に設定されている Web サーバーユーザー名が Web サーバープロセスを所有するユーザーと一致していることを確認します。Secure Global Desktop Web Server の場合、この名前は ttaserv です。このユーザーは、Web サーバーの認証トークンを検証するときに必要になります。
|
従来の Web サーバー認証が機能するには、Web サーバーの tarantella/cgi-bin/secure ディレクトリが保護されている必要があります。それ以外の Secure Global Desktop ディレクトリ (たとえば、/tarantella や /tarantella/cgi-bin) を保護すると、Java プラットフォームのプラグイン仮想マシン (Java 仮想マシン、JVM) を使用するブラウザに、ユーザー名とパスワードの入力を要求されます。この問題は、JVM とブラウザが認証情報を共有していないために発生します。
tarantella/cgi-bin/secure ディレクトリのみを保護するようにしてください。
ブラウザベース Webtop の場合は、プラグインのバージョンをアップグレードするか、なんらかの解決方法を適用する必要があります。詳細については、http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=4943729 を参照してください。
Web サーバーの認証機能では、あいまいなユーザーをサポートしていません。つまり、最初に一致したログインプロファイルの Webtop が表示されます。
追加のログを有効にしている場合は、あいまいなユーザーであることを示すメッセージをログファイルで検索します。
この問題を解決するには、次のいずれかの操作を行ないます。
従来の Web サーバー認証であいまいなログインを禁止するには、次のコマンドを実行します。
tarantella config edit --com.sco.tta.server.login.webauth.WebLoginAuthority.properties-takeFirstMatch false
この変更を加えたら、Secure Global Desktop サーバーを再起動する必要があります。
Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.