Secure Global Desktop 4.31 管理者ガイド > ユーザーと認証 > Active Directory ログイン認証機能

Active Directory ログイン認証機能

概要

Active Directory ログイン認証機能では、Active Directory ドメインにアカウントを持つユーザーに対して Secure Global Desktop へのログインが許可されます。

このログイン認証機能は、Active Directory サーバーの Kerberos 認証と LDAP 検索を使用して、LDAP ログイン認証機能よりも高速で安全性の高い認証を実現します。また、フォレスト内の任意のドメインのユーザーを認証することができ、ユーザー情報の提供は ENS ではなく Active Directory が行うので、拡張性や柔軟性にも優れています。

このログイン認証機能は、デフォルトでは使用不能です。

認証

このログイン認証機能では、Kerberos プロトコルを使用してドメインの鍵配布センター (KDC) にアクセスすることで、主体名とパスワードを認証します。
認証が失敗した場合は、次のログイン認証機能が試されます。
認証に成功した場合は、そのユーザーはログインできます。

ユーザーの識別情報

Secure Global Desktop は、そのドメインの Active Directory サーバーで、認証されたユーザーの LDAP 人物オブジェクトを検索します。

識別情報は LDAP 人物オブジェクトで、形式は .../_service/sco/tta/ldapcache/LDAP-person です。

ログインプロファイル

次のうちで、最初に一致したものを使用します。

LDAP 人物オブジェクトと同じ名前の ENS の人物オブジェクト。命名体系の差に対応することができます。たとえば、LDAP オブジェクト cn=Indigo Jones,cn=Administration,dc=Indigo Insurance,dc=com が見つかった場合、このログイン認証機能は、dc=com/dc=Indigo Insurance/cn=Administration/cn=Indigo Jones を ENS で検索します。
LDAP 人物オブジェクトと同じ OU で、名前が cn=LDAP Profile である ENS の人物オブジェクト。たとえば、dc=com/dc=Indigo Insurance/cn=Administration/cn=LDAP Profile。
LDAP 人物オブジェクトの任意の親 OU で、名前が cn=LDAP Profile である ENS の人物オブジェクト。たとえば、dc=com/dc=Indigo Insurance/cn=LDAP Profile。
デフォルトの LDAP プロファイルオブジェクト o=Tarantella System Objects/cn=LDAP Profile。

エミュレータセッションおよびパスワードキャッシュエントリ

エミュレータセッションおよびパスワードキャッシュエントリは、LDAP 人物オブジェクトに属します。

関連トピック
Active Directory ログイン認証機能の有効化ログイン認証機能 Secure Global Desktop ログインのプロパティー (アレイ全体)