 |
| |
|
FirstClassディレクトリサービスによる認証について
FirstClassにログインを試みるユーザは、FirstClassサーバまたは外部LDAPサーバ(リモート認証)による認証を受けます。サーバによる認証は、FirstClassサーバに設定した認証用サーバの種類に従って行われます。
外部LDAPサーバを使用すると、そのサーバに属しているユーザを認証できる場合があります。認証が可能かどうかは、LDAPサーバの種類とパスワードの暗号化方式によって決まります。
リモート認証を選択すると、外部LDAPサーバに属するすべてのユーザに対してリモート認証が行われるようになります。また、FirstClassサーバに属するユーザの認証は、FirstClassサーバで行われるようになります。
リモートでFirstClassディレクトリサービスに接続する場合は、FirstClassディレクトリサービスで匿名ログインとセキュア接続(SSL)のどちらかまたは両方を利用するように設定できます。
 注意[接続設定]フォームで[ユーザ認証時にFirstClassセキュア認証のみを使用]を選択すると、ユーザは特定の接続に対してリモート認証を無効にできます。
副管理者は、リモート認証が行われている場合でも、リモートでは認証されません。
LDAP BIND認証
LDAP BIINDを使用してリモート認証を行う場合は、LDAP検索フィルタを指定できます。指定すると、フィルタの要件を満たすユーザだけが認証されるようになります。
外部LDAPサーバのルートDN(ルート識別名)がFirstClassサーバのルートDNと異なる場合は、外部LDAPサーバで使用されているルートDNも利用できます。FirstClassディレクトリサービスは、このルートDN(ルート識別名)を使用してユーザのDNを作成し、外部LDAPサーバ上で認証を行います。
ユーザ複製モード
ディレクトリのルートDN(ルート識別名)または認証ルートDNが、すべてのユーザの証明書を保存している外部LDAPサーバのDNと一致する場合、LDAP BIND認証ではLDAP BIND認証だけを使用できます。
認証のみモード
LDAP BIND認証方式の1つを認証のみモードで使用する場合、LDAP BINDのDN(識別名)は、ディレクトリのルートDN(LDAP BIND)または認証ルートDN(認証ルートDNへのLDAP BIND)をユーザIDに付加した名前になります。
パスワードと認証
FirstClassクライアントでは、プレーンテキストのパスワードか、またはMD5やSHAハッシュアルゴリズムを使用して暗号化したパスワードを利用できます。
リモート認証を行う場合、FirstClassディレクトリサービスは常にプレーンテキストのパスワードを外部LDAPサーバに渡します。FirstClassディレクトリサービスがパスワード情報をプレーンテキスト形式で外部LDAPサーバに渡せるようにするため、ユーザはログインのたびにパスワードを入力する必要があります。ユーザが設定ファイル内にパスワードを保存することはできません。これは、FirstClassクライアントが保存するパスワードはハッシュ化されており、FirstClassディレクトリサービスにとって必要なプレーンテキスト形式に変換できないためです。ただし、ユーザIDを保存することは可能で、このユーザIDと入力
したパスワードがプレーンテキスト形式で送信されます。
FirstClassディレクトリサービスでは、証明書による認証のためにプレーンテキストのユーザIDとパスワードが必要となるため、リモート認証を行う場合にはMD5ハッシュによるログインを無効にする必要があります。
ローカル認証とリモート認証の比較
FirstClassディレクトリサービスが初めてLDAPツリーを作成した時点では、ユーザが外部LDAPサーバから同期されたユーザなのか、元からFirstClassに登録されているユーザなのかはわかりません。そのため、この時点ではすべてのユーザが(FirstClassサーバに属している)ローカルユーザとみなされます。外部LDAPサーバとの完全同期が行われると、同期されたユーザはリモートユーザとして認識されます。
認証動作は、ローカルユーザとリモートユーザとでは異なります。ローカルユーザはすべてFirstClassサーバで認証されます。リモートユーザの場合は以下のようになります。
| ||||||||||||||||||