eDirectoryに対する認証

ユーザがアプリケーションまたはポリシーにアクセスするには、そのユーザがネットワークにログインして(つまりNovell eDirectoryTMにログインして)ログインの権利を確認したうえで、認証が必要なネットワークサーバへの接続を確立できることが必要です。

Novell ClientTM、ZfD Management Agent、およびZfD Middle Tier Serverをインストールしている場合、ログインは次の3通りの方法で行われます。


Novell Clientを使用したログイン

認証用にNovell Clientを使用する場合、eDirectoryおよびサーバファイルシステムへのすべての通信で従来のNovell NCPTMプロトコルが使用されます。Novell Clientによる認証の詳細については、『ZENworks for Desktops 4インストールガイド』の「認証」の「Novell Clientを使用した認証」を参照してください。

ユーザが企業ファイアウォールの内部に存在する場合(またはファイアウォールが存在しない場合)で、エージェントおよびクライアントが共にユーザワークステーション上にインストールされているときは、クライアントがデフォルトログインGINA(Graphical Identification and Authentication)ユーザインタフェースとして起動します。

次の図に、この条件で32ビットクライアントを使用したeDirectoryへの認証プロセスを示します。


Novell ClientからNovell eDirectoryに認証するプロセス。

手順 説明

Step 1

適切な権利を持つユーザがNovell Client GINAのログインフィールドにeDirectoryアカウント情報を入力します。

Step 2

Novell Clientは、NDAP/LDAPパケット内でeDirectoryへの認証要求を送信します。

Step 3

eDirectoryは、ログインアカウント情報が有効であることを確認したうえで、認証応答パケットをNDAP/LDAP経由でユーザワークステーションに送信します。

Step 4

ユーザワークステーション上のNovell Clientは、応答パケットを受信し、認証が成功したことを確認します。ネットワーク接続が確立されます。

ただし、同じ条件のワークステーションがファイアウォールの外部にある場合、クライアントは引き続きデフォルトログインGINAとして起動します。ユーザは、独自のWindowsデスクトップにローカルにログインできますが、ZfD Middle Tier Serverを通じてeDirectoryに認証することはできません。

エージェントおよびクライアントを共にコンピュータ上にインストールしたユーザがファイアウォール外部のアプリケーションの認証および受信が必要な場合、代替のログイン手段を使用することでもその目的を実現できますが、ユーザのワークステーションではアプリケーションファイルのみを受信できます。この場合、ポリシーを受信することはできません。このような理由から、ファイアウォールの外部で使用するワークステーションではクライアントを削除した上で、エージェントをインストールする必要があります。

ファイアウォール外部のワークステーションにクライアントおよびエージェントが共にインストールされている場合に使用される代替ログイン手段について詳細は、ワークステーションへのローカルログインを参照してください。


ZfD Management Agentを使用したログイン

ZfD Management Agentをインストールし、ZfD Management Agentを通じてネットワークにログインするようにユーザに求める場合は、ZfD Management Agentがネットワークに対して認証するしくみを理解する必要があります。ZfD Management Agentを認証用にセットアップする方法について詳細は、『ZENworks for Desktops 4インストールガイド』の「認証」の「ZfD Management AgentとZfD Middle Tier Serverを使用した認証」を参照してください。

次の図は、ユーザがファイアウォールの背後のZfD Management Agentを使用してeDirectoryに認証するプロセスを示しています。


ZfD 4 Management AgentからNovell eDirectoryに認証するプロセス。

手順 説明

Step 1

ユーザは、ZfD Management Agentにアクセスし、ユーザIDとパスワードを入力します。

Step 2

エージェントは、ユーザアカウント情報を収集します。パブリック/プライベートキーとセッションキーの暗号化方式により、アカウント情報がHTTPまたはHTTPSを通じて(企業ファイアウォール経由で)ZfD Middle Tier Serverに安全に渡されます。

注:  アカウント情報は、転送機構がHTTPまたはHTTPSのいずれの場合でも、前記の暗号化方式により常に保護されます。

Step 3

ZfD Middle Tier Server Webサービスは、ファイアウォール経由でアカウント情報を受信し、それをアンパースした後、NDAP/LDAPパケットに変換したうえで、NDAP/LDAPを使用してバックエンドファイアウォール内のポートを通じてeDirectoryに渡します。

注:  ZfD Middle Tier ServerでNetWare(R)ライセンスが消費されることはありません。ライセンス接続は、ZfD Serverによって消費されます。

Step 4

eDirectoryは、NDAP/LDAPパケットを受信した後、ログインアカウント情報が有効であることを確認したうえで、認証応答パケットをNDAP/LDAP経由でZfD Middle Tier Serverに送信します。

Step 5

ZfD Middle Tier Serverは、返却されたLDAPパケットまたはNDAPパケットを再びXMLに暗号化してから、そのXML確認パケットをHTTPまたはHTTPS経由でZfD Management Agentに送信します。

Step 6

エージェントはそのXMLパケットを受信した後、それをアンパースし、バイナリ形式に変換します。これにより、ワークステーションのユーザがログインの成功を確認できます。

eDirectoryによって認証されたユーザは、システム管理者がそのユーザに権利を与えたツリー内の任意のサーバに対して認証されます。

ZfD Middle Tier Serverは、eDirectoryに認証するために、LDAP/NDAPを使用します。これらのプロトコルが検索機能を持つことがその理由です。ZfD Middle Tier Serverのインストール時に[Clear Text Passwords]を選択した場合、認証要求ではツリー全体から認証ユーザを検索するために、コンテキストを含まないユーザIDのみを使用できます。クリアテキストパスワードを使用しない場合、ユーザが完全識別名を使用してログインするか、またはディレクトリ内の特定のコンテキストを表す認証ドメインにユーザを制限する必要があります。

ZENworksファイルへのアクセスにおけるZfD Middle Tier Serverの認証および役割について詳細は、ZfD Serverについてを参照してください。


ワークステーションへのローカルログイン

ユーザがローカルワークステーションにのみログインすることによりZfD Management Agentへのログインを避ける場合でも、アプリケーションにアクセスするために依然としてeDirectoryに認証する必要があります。

ユーザのデスクトップまたはシステムトレイに[Application Explorer]アイコンが表示されている場合、ユーザはそのアイコンを右クリックすることによりZfD Middle Tier Serverにログインできます。ユーザがこの方法でログインすると、NovellセキュリティサービスログインGINAが表示されます。


NetIdentity認証のためのユーザインタフェース。

ユーザがセキュリティサービスログインGINAにユーザIDとパスワードを入力すると、そのアカウント情報がZfD Middle Tier Serverに提供され、さらにZfD Middle Tier Serverによって認証用にeDirectoryに渡されます。このログインGINAの認証プロセスは、ZfD Management AgentログインGINAで使用される認証プロセスと同じです。詳細については、ZfD Management Agentを使用したログインを参照してください。