eDirectoryに対する認証

ユーザがアプリケーションまたはポリシーにアクセスするには、そのユーザがネットワークにログインして(つまりNovell eDirectoryTMにログインして)ログインの権利を確認したうえで、認証が必要なネットワークサーバへの接続を確立できることが必要です。

Novell ClientTM、デスクトップ管理エージェント、およびMiddle Tier Serverをインストール済みの場合、ログインの方法は次の3通りです。


Novell Clientを使用したログイン

Novell Clientを使用して認証すると、eDirectoryおよびサーバファイルシステムへのすべての通信で従来のNovell NCPTMプロトコルが使用されます。クライアントはデフォルトログインGINA (Graphical Identification and Authentication)ユーザインタフェースとして起動します。Novell Clientを使用した認証の詳細については、『Novell ZENworks 6.5 Desktop Managementインストールガイド』の「Novell Clientによる認証」を参照してください。

次の図に、この条件で32ビットクライアントを使用したeDirectoryへの認証プロセスを示します。


32ビットクライアントを使用したeDirectoryへの認証プロセスを示す図。
手順 説明

Step 1

適切な権利を持つユーザがNovell Client GINAのログインフィールドにeDirectoryアカウント情報を入力します。

Step 2

Novell Clientは、NDAP/LDAPパケット内でeDirectoryへの認証要求を送信します。

Step 3

eDirectoryは、ログインアカウント情報が有効であることを確認したうえで、認証応答パケットをNDAP/LDAP経由でユーザワークステーションに送信します。

Step 4

ユーザワークステーション上のNovell Clientは、応答パケットを受信し、認証が成功したことを確認します。ネットワーク接続が確立されます。

ただし、同じ条件のワークステーションがファイアウォールの外部にある場合、クライアントは引き続きデフォルトログインGINAとして起動します。ユーザは、独自のWindowsデスクトップにローカルにログインできますが、ZENworks Middle Tier Serverを介してeDirectoryに認証することはできません。

デスクトップ管理エージェントおよびNovell Clientを共にコンピュータ上にインストールしたユーザがファイアウォール外部のアプリケーションの認証および受信が必要な場合、代替のログイン手段を使用することでもその目的を実現できますが、ユーザのワークステーションではアプリケーションファイルのみを受信できます。この場合、デスクトップ管理ポリシーを受信することはできません。このような理由から、主にファイアウォールの外部で使用するワークステーションではクライアントを削除した上で、エージェントをインストールすることを検討する必要があります。

ファイアウォール外部のワークステーションにクライアントおよびエージェントが共にインストールされている場合に使用される代替ログイン手段の詳細については、ワークステーションへのローカルログインを参照してください。


デスクトップ管理エージェントを使用したログイン

デスクトップ管理エージェントをインストールし、このエージェントを介してネットワークにログインするようにユーザに求める場合は、デスクトップ管理エージェントがネットワークに対して認証する仕組みを理解する必要があります。認証のためにデスクトップ管理エージェントをセットアップする方法の詳細については、『Novell ZENworks 6.5 Desktop Managementインストールガイド』の「デスクトップ管理エージェントとZENworks Middle Tier Serverによる認証」を参照してください。

次の図は、ユーザがファイアウォールの外側のデスクトップ管理エージェントを使用してeDirectoryに認証するプロセスを示しています。このプロセスは、ユーザがファイアウォールの内側に存在している場合と似ています。


ユーザがファイアウォールの背後のデスクトップ管理エージェントを使用してeDirectoryに認証するプロセスを示す図
手順 説明

Step 1

ユーザは、ZENworks管理エージェント(ZENworks Management Agent)にアクセスし、ユーザIDとパスワードを入力します。

Step 2

エージェントは、ユーザアカウント情報を収集します。パブリック/プライベートキーとセッションキーの暗号化方式により、アカウント情報がHTTPまたはHTTPSを介して(企業ファイアウォールを介して)ZENworks Middle Tier Serverに安全に渡されます。

注:  アカウント情報は、転送機構がHTTPまたはHTTPSのいずれの場合でも、前記の暗号化方式により常に保護されます。

Step 3

ZENworks Middle Tier Server Webサービスは、ファイアウォールを介してアカウント情報を受信し、それをアンパースした後、NDAP/LDAPパケットに変換したうえで、NDAP/LDAPを使用してバックエンドファイアウォール内のポートを介してeDirectoryに渡します。

注:  ZENworks Middle Tier ServerでNetWare(R)ライセンスが消費されることはありません。ライセンス接続は、Desktop Management Serverによって消費されます。

Step 4

eDirectoryは、NDAP/LDAPパケットを受信した後、ログインアカウント情報が有効であることを確認したうえで、認証応答パケットをNDAP/LDAP経由でZENworks Middle Tier Serverに送信します。

Step 5

ZENworks Middle Tier Serverは、返されたLDAPパケットまたはNDAPパケットを再びXMLに暗号化してから、そのXML確認パケットをHTTPまたはHTTPS経由でZENworks管理エージェントに送信します。

Step 6

エージェントはそのXMLパケットを受信した後、それをアンパースし、バイナリ形式に変換します。これにより、ワークステーションのユーザがログインの成功を確認できます。

eDirectoryによって認証されたユーザは、システム管理者がそのユーザに権利を与えたツリー内の任意のサーバに対して認証されます。

ZENworks Middle Tier Serverは、eDirectoryに認証するために、LDAP/NDAPを使用します。これらのプロトコルが検索機能を持つことがその理由です。ZENworks Middle Tier Serverのインストール時に[Clear Text Passwords(クリアテキストパスワード)]を選択した場合、認証要求ではツリー全体から認証ユーザを検索するために、コンテキストを含まないユーザIDのみを使用できます。クリアテキストパスワードを使用しない場合は、ユーザが完全識別名を使用してログインするか、またはディレクトリ内の特定のコンテキストを表す認証ドメインにユーザを制限する必要があります。

ZENworksファイルへのアクセスにおけるZENworks Middle Tier Serverの認証および役割の詳細については、Desktop Management Serverとはを参照してください。


ワークステーションへのローカルログイン

ユーザがローカルワークステーションにのみログインすることによりデスクトップ管理エージェントへのログインを避ける場合でも、アプリケーションにアクセスするにはeDirectoryに認証する必要があります。

ユーザのデスクトップまたはシステムトレイに[Application Explorer]アイコンが表示されている場合、ユーザはそのアイコンを右クリックすることによりZENworks Middle Tier Serverにログインできます。ユーザがこの方法でログインすると、Novellセキュリティサービス(Novell Security Service)のログインGINAが表示されます。


[Novellセキュリティサービス]ダイアログボックス。

ユーザがセキュリティサービスのログインGINAにユーザIDとパスワードを入力すると、そのアカウント情報はZENworks Middle Tier Serverに渡され、次に認証のためにeDirectoryに渡されます。このログインGINAの認証プロセスは、デスクトップ管理エージェントのログインGINAで使用される認証プロセスと同じです。詳細については、デスクトップ管理エージェントを使用したログインを参照してください。