過去のナビゲーションリンクのスキップSecure Global Desktop 4.31 管理者ガイド > ユーザーと認証 > LDAP ユーザーが Secure Global Desktop にログインできない場合

LDAP ユーザーが Secure Global Desktop にログインできない場合

LDAP ログイン認証機能を使用したユーザーの認証時に、LDAP ユーザーが Secure Global Desktop にログインできない場合は、次のチェックリストを使用して問題の原因を確認してください。

また、Array Manager で追加のログを有効にすることも役立ちます。「Array properties」パネルを選択して、「Log Filter」ボックスに server/login/* および server/ldap/* フィルタを追加します。

チェック項目
LDAP ログイン認証機能が有効になっていますか。 LDAP ログイン認証機能が有効になっていないと、Secure Global Desktop で LDAP ディレクトリサーバーを使用することはできません。

Array Manager の「Secure Global Desktop Login properties」 (または tarantella config edit --login-ldap 1 コマンド) を使用して、LDAP ログイン認証機能を有効にします。
LDAP ディレクトリサーバーの URL は正しいですか。 LDAP ログイン認証機能を使用するには、各 Secure Global Desktop サーバーが、指定の URL で LDAP ディレクトリサーバーに接続できる必要があります。

Array Manager の「Secure Global Desktop Login properties」 (または tarantella config view --login-ldap-url コマンド) を使用して、LDAP ディレクトリサーバーの URL を確認します。次の項目を確認してください。

  • 各 URL が有効な LDAP ディレクトリサーバーを参照しているかどうか。
  • 各 URL がセミコロンで区切られているかどうか。
  • URL で LDAP ディレクトリサーバーの完全修飾名が使用されているかどうか。
  • LDAP ディレクトリサーバーが標準以外のポートで待機している場合、LDAP ディレクトリサーバーが待機しているポート番号が URL に含まれているかどうか。
  • アレイ内のすべての Secure Global Desktop サーバーが、指定した URL の LDAP ディレクトリサーバーに接続しているかどうか。Secure Global Desktop サーバーから LDAP ディレクトリサーバーに telnet 接続できるかどうか。
  • サーチルートを使用して LDAP データベースの検索開始位置を制限した場合は、サーチルートが正しいかどうかを確認してください。
  • ログファイルは、LDAP ディレクトリサーバーへの接続がタイムアウトしていることを示しているか。LDAP タイムアウトの値を大きくしてみてください。

Sun™ ONE (以前の Netscape または iPlanet) Directory Server の場合、LDAP 名に ENS 名をマップするために追加の設定が必要な場合もあります。たとえば、LDAP ディレクトリサーバーで c=country,o=org,ou=office という構造を使用しており、o=org,c=country 以下の検索だけを許可するよう設定されているとします。ENS で o=org,ou=office という構造を使用している場合、Secure Global Desktop は o=org を使用して LDAP データベースの検索を試みるため、検索は失敗します。この問題を解決するには、次の手順を実行します。

  1. tarantella stop コマンドを使用して Secure Global Desktop サーバーを停止します。
  2. 次のコマンドを実行します。
    tarantella config edit --com.sco.tta.server.login.ens.LdapProfileCandidateAuthority.properties-ensMapping search_root
    ここで、search_root には c=country などを指定します。
  3. Array Manager の「Secure Global Desktop Login properties」 (または tarantella config edit --login-ldap-url コマンド) を使用して、LDAP サーバーのサーチルートを変更します (例: ldap://server_URL/o=org,c=country)。
  4. tarantella start コマンドを使用して、Secure Global Desktop サーバーを起動します。
  5. アレイの各メンバーに対してこれらの手順を繰り返します。
LDAP ディレクトリサーバーのユーザー名とパスワードは正しいですか。 一部の LDAP ディレクトリサーバーでは匿名ログインがサポートされるため、ユーザー名やパスワードを入力する必要はありません。その他 (Microsoft Active Directory など) の場合は、LDAP データベースの検索権限を有するユーザーのユーザー名とパスワードを入力する必要があります。

Array Manager の「Secure Global Desktop Login properties」 (または tarantella passcache list --ldap username コマンド) を使用して、ユーザー名とパスワードを確認します。
LDAP ディレクトリサーバーにセキュア接続を使用している場合は、セキュア接続が正しく設定されていますか。

次の項目を確認してください。

  • LDAP ディレクトリサーバーの URL が ldaps:// で始まっているかどうか。
  • Secure Global Desktop セキュリティーサービスが実行されているかどうか。
    tarantella status コマンドを使用して確認してください。
  • 各 LDAP ディレクトリサーバーのルート証明書が、各 Secure Global Desktop サーバーの cacerts キーストアにインポートされているか。
  • Microsoft Active Directory を使用している場合、各 Secure Global Desktop サーバーに有効なクライアント証明書が存在するかどうか。

詳細は、「LDAP ディレクトリサーバーへの接続の保護」を参照してください。
ユーザーを検出するための正しい情報が Secure Global Desktop により提供されていますか。 Secure Global Desktop では、LDAP データベースからユーザーを検索するときに、次の属性が使用されます。
  • フルネーム (共通名、cn)。
  • ユーザーの uid。
  • 電子メールアドレス。
  • SAM アカウント名。

これらの属性でユーザーを特定できない場合は、属性を追加することができます。

  1. tarantella stop コマンドを使用して Secure Global Desktop サーバーを停止します。
  2. 次のコマンドを実行します。
    tarantella config edit --searchldapla.properties-searchAttributes-append attributes
    複数の属性を指定できます。各属性は、空白文字で区切る必要があります。デフォルトの属性は、cn uid mail sAMAccountName です。
  3. tarantella start コマンドを使用して Secure Global Desktop サーバーを起動します。
  4. アレイの各メンバーに対してこれらの手順を繰り返します。

この手順を実行する場合は注意が必要です。手順を誤ると、すべてのユーザーがログインできなくなる可能性があります。
最近の LDAP 設定の変更が反映されていますか。 LDAP データベースの設定を変更した場合、変更が反映されるまで待つことをお勧めします。

Secure Global Desktop は、LDAP ディレクトリサーバーから収集したデータをキャッシュします。Secure Global Desktop が変更を検出していない場合は、tarantella cache コマンドを使用して、キャッシュされたデータを手動で消去できます。
関連トピック

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.