Secure Global Desktop 4.31 管理者ガイド
> ユーザーと認証
> Web サーバー認証を使用するときのセキュリティー上の考慮事項Secure Global Desktop 4.31 管理者ガイド
> ユーザーと認証
> Web サーバー認証を使用するときのセキュリティー上の考慮事項
Web サーバー認証 (HTTP 認証) を使用するには、ブラウザにユーザーの資格情報がキャッシュされる必要がありますが、そのためユーザーの認証が Secure Global Desktop にキャッシュされることになります。キャッシュされた資格情報を他人に使用される危険性を最小限に抑えるため、ユーザーが次の点に注意する必要があります。
注 セキュア (HTTPS) Web サーバーを使用してユーザーの資格情報を保護することをお勧めします。
ブラウザベース Webtop では、Secure Global Desktop Web サービスが使用されます。ITarantellaExternalAuth Web サービスは、Web サーバー認証などの外部手段から認証されているユーザーの識別情報を設定するために使用されます。クライアント (Webtop Web アプリケーション) と Secure Global Desktop サーバー (ITarantellaExternalAuth Web サービス) は、セキュリティーのためにシークレット (信頼されているユーザーのユーザー名とパスワード) を共有しています。シークレットは、実際には Web サーバー認証のレイヤーの 1 つになっています。
標準インストールのブラウザベース Webtop には、1 人の信頼されているユーザーの資格情報が事前に設定されています。これらの資格情報を変更する方法、または信頼されているユーザーを新しく追加する方法については、「信頼されているユーザーとサードパーティー認証」を参照してください。
旧 Webtop の場合は、Web サーバーから認証されたユーザーには Secure Global Desktop プログラム ttawlogin.cgi へのアクセス権が付与され、そのユーザー名 (Web ユーザー名) が Web サーバーからこのプログラムに渡されます。ttawlogin.cgi プログラムは次の処理を行ないます。
トークンを受け取った Secure Global Desktop サーバーは、次の方法でトークンを検証します。
このように、旧 Webtop で Web サーバー認証を使用するときには、次の 3 つの領域のセキュリティーに注意する必要があります。
有効期間内のトークンが傍受されて使用されることを防止するために、Secure Global Desktop サーバーおよび Secure Global Desktop Web Server (HTTPS) への接続を保護することをお勧めします。
Secure Global Desktop サーバーと ttawlogin.cgi プログラムが共有する秘密鍵は、Secure Global Desktop が起動するたびに生成されます。秘密鍵には、Secure Global Desktop サーバーの root 権限を持つユーザーだけがアクセスできます。ただし、ウォームリスタート (tarantella restart -warm) する場合には、新しい鍵は生成されません。この動作は、次のコマンドを実行して変更できます。
tarantella config edit --tarantella-config-login-webauth-refreshkeyonwarmrestart 1
Web サーバーのユーザー名とは、Web サーバープロセスを所有するユーザーの名前のことです。ユーザー独自の Web サーバーを使用するときのデフォルトユーザーは、多くの場合、nobody または apache です。セキュリティーを特に重視する場合は、これらのデフォルトを使用しないことをお勧めします。
Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.