1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
|
<!-- --- BEGIN COPYRIGHT BLOCK ---
This Program is free software; you can redistribute it and/or modify it under
the terms of the GNU General Public License as published by the Free Software
Foundation; version 2 of the License.
This Program is distributed in the hope that it will be useful, but WITHOUT
ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS
FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.
You should have received a copy of the GNU General Public License along with
this Program; if not, write to the Free Software Foundation, Inc., 59 Temple
Place, Suite 330, Boston, MA 02111-1307 USA.
In addition, as a special exception, Red Hat, Inc. gives You the additional
right to link the code of this Program with code not covered under the GNU
General Public License ("Non-GPL Code") and to distribute linked combinations
including the two, subject to the limitations in this paragraph. Non-GPL Code
permitted under this exception must only link to the code of this Program
through those well defined interfaces identified in the file named EXCEPTION
found in the source code files (the "Approved Interfaces"). The files of
Non-GPL Code may instantiate templates or use macros or inline functions from
the Approved Interfaces without causing the resulting work to be covered by
the GNU General Public License. Only Red Hat, Inc. may make changes or
additions to the list of Approved Interfaces. You must obey the GNU General
Public License in all respects for all of the Program code and other code used
in conjunction with the Program except the Non-GPL Code covered by this
exception. If you modify this file, you may extend this exception to your
version of the file, but you are not obligated to do so. If you do not wish to
do so, delete this exception statement from your version.
Copyright (C) 2001 Sun Microsystems, Inc. Used by permission.
Copyright (C) 2005 Red Hat, Inc.
All rights reserved.
--- END COPYRIGHT BLOCK --- -->
<html>
<!-- HEAD -->
<title>ディレクトリへの認証</title>
</head>
<body>
<h1><a name="authenticating"></a>認証</h1>
<p>認証は、Directory Serverに身分を証明する処理です。認証処理によって、Directory Serverは、ユーザに許可するディレクトリの操作を決めることができます。しかし、認証は必ず必要であるとは限らないことに注意してください。ディレクトリ管理者は、ある処理に対しては許可を不要にするようにシステムを設定することができます。</p>
<p>デフォルトでは、ディレクトリ管理者以外のすべてのユーザは、ディレクトリへのアクセスを拒否されます。ディレクトリ管理者がディレクトリへのアクセス権の付与または削除を行います。このような許可はサイトごとに決定されるため、自分が保持しているディレクトリへのアクセス権の種類やどの操作に認証が必要かについては、ディレクトリ管理者に尋ねてください。</p>
<p>本章の内容:</p>
<ul>
<li><a href="#ustand">ディレクトリ アクセスについて</a></li>
<li><a href="#userauth">ディレクトリへの認証</a></li>
<li><a href="#logout">ディレクトリからのログアウト</a></li>
<li><a href="#incorrectauth">不適切な認証によって発生する問題</a></li>
</ul>
<h2><a name="ustand"></a>ディレクトリ アクセスについて</h2>
<p>ディレクトリへのアクセスの必要なユーザや必要とされるアクセス タイプを決定することは、ディレクトリ管理者の重要な仕事の1つです。ディレクトリ管理者は、アクセス制御機構を使用して、ディレクトリへのアクセス許可を付与または禁止します。アクセス制御機構を使用して、ディレクトリ管理者は以下のアクセス権を付与または禁止できます。
</p>
<ul>
<li>すべての未認証のユーザに対するアクセス権(これは匿名アクセスと呼ばれます) </li>
<li>すべての認証ユーザに対するアクセス権</li>
<li>特定の認証ユーザまたはグループに対するアクセス権</li>
<li>特定のマシンまたはDNSドメインからのアクセス権</li>
<li>特定の時間または曜日におけるアクセス権</li>
<li>認証方法に基づくアクセス権</li>
</ul>
<p>管理者が割り当てる特定の権限は、ユーザによって異なることもあります。例えば、匿名ユーザには読込みおよび検索のアクセス権のみが通常付与されますが、特定の認証ユーザ、またはグループのみに書込みアクセス権が付与されたり、または特定のマシンから操作にのみ書込みアクセス権が付与されることもあります。</p>
<p>ディレクトリ管理者がディレクトリに許可を適用して実行できる操作を、以下にいくつか示します。ディレクトリ管理者が実行可能なこと:</p>
<ul>
<li>任意の方法でディレクトリにアクセスする前に認証を義務付ける</li>
<li>ディレクトリの特定のサブセクションにアクセスする前に認証を義務付ける </li>
<li>エントリの追加または変更など、ディレクトリにおける特定の操作を実行する前に認証を義務付ける</li>
<li>ディレクトリ全体または一部へのアクセスを拒否したり、または特定の操作の実行を拒否する</li>
<li>ディレクトリ全体または一部の匿名アクセスを許可する </li>
<li>ある種の動作(検索など)の匿名アクセスを許可するが、その他の操作(変更など)の匿名アクセスを禁止する</li>
<li>現在使用中の物理的マシンに基づいてアクセスを許可または拒否する </li>
</ul>
<p>Directory Serverゲートウェイインタフェースでは、ディレクトリ アクセスを試みる前に認証が義務付けられているかどうかを認識する手段がありません。しかし、このインタフェースでは、任意の方法でユーザがディレクトリ ツリーを変更する前に認証が必要であることが設定されており、現在ユーザが認証していない場合は、変更前に認証するようプロンプトが表示されます。認証しない場合は、ディレクトリ管理者が匿名アクセス用に設定した操作とディレクトリ部分へのアクセスのみが許可されます。</p>
<!--<p>アクセス制御の詳細は、『Directory Server管理者用ガイド』をご覧ください。</p>-->
<h2><a name="userauth"></a>ディレクトリへの認証</h2>
<p>場合によっては、ある操作前に認証するようプロンプトが自動的に表示されます。 また、[認証]タブをクリックして、明示的に認証を選択することもできます。いずれの場合も、認証過程は以下の通りです。</p>
<ol>
<li>[認証]タブをクリックします。</li>
<li>Directory Serverに身分を証明するために使用する名前を入力します。
<ul type="disc">
<li><a name="userauth2"></a>通常のユーザとして認証するには、氏名を入力して[継続]をクリックします。<br>
Directory Serverに表示される通りに名前(一般名、氏名あるいはユーザID)を入力します。
ローカルのオペレーティング システムのユーザIDまたはログインを入力しないでください。 </li>
<li><a name="managerauth2"></a>特権のあるディレクトリ ユーザとして認証するには、<b>[ディレクトリ管理者として認証]</b>ボタンをクリックします。</li>
</ul>
</li>
<li>一致するエントリのテーブルが複数表示された場合は、ディレクトリ エントリに対応するリンクを選択します。名前がディレクトリにおいて固有のものである場合は、システムはこのステップを飛ばします。</li>
<li>パスワードを入力して[継続]をクリックします。<br>
自分のパスワードが不明の場合は、ディレクトリ管理者にお尋ねください。<br>
<a name="authsuccess"></a>認証動作の完了に成功したら、認証の有効時間を示すメッセージが表示されます。この時間が過ぎたら、セッションを継続するためにディレクトリに再度認証する必要があります。パスワードが失効していれば、その場でパスワードを変更するか、システム管理者に連絡してください。</li>
<li>[メインへ戻る]をクリックしてDirectory Serverインタフェースのセッションを継続します。</li>
</ol>
<h2><a name="logout"></a>ディレクトリからのログアウト</h2>
<p>Directory Serverに既に認証済みで、匿名アクセスに戻る場合は、以下を実行してください。</p>
<ol>
<li>[認証]タブをクリックします。</li>
<li> <b>[認証の破棄(ログアウト)]</b>ボタンをクリックします。 </li>
</ol>
<p>これで匿名アクセスに戻ります。アクセスのタイプを変更するには、再度Directory Serverに認証する必要があります。詳細は、<a
href="#userauth2">「ユーザとして認証」</a>または<a
href="#managerauth2">「ディレクトリ管理者として認証」</a>をご覧ください。</p>
<h2><a name="reauth"></a>ディレクトリへの再度認証</h2>
<p>ディレクトリに認証すると、特定時間有効な認証証明書が付与されます。デフォルトでは、認証証明書は120分間有効です。ただし、ディレクトリ管理者が有効期間を設定することができます。Directory Serverインタフェースの使用が終わる前に認証証明書が失効する場合、変更を保存するにはディレクトリに再度認証する必要があります。ディレクトリへの再度認証手順は、最初にディレクトリへの<a href="#userauth">認証</a>に使用したものと同じです。</p>
<h2><a name="incorrectauth"></a>不適切な認証によって発生する問題</h2>
<p>Directory Serverに認証していない場合は、匿名ユーザとしてディレクトリにアクセスしています。匿名ユーザとして実行可能な動作のタイプは、ディレクトリ管理者によって設定されたアクセス制御によって異なります。検索などのディレクトリ操作の実行を試みると、奇妙な動作をすることがあります。Directory Serverインタフェースによって明示的に示されてはいませんが、発生する異常は不適切な認証によることが考えられます。インタフェース上でこの情報を提供しないのは、それによってセキュリティが弱められる可能性があるからです。</p>
<p>下表には、一般的な問題の兆候、考えられる原因、および問題の解決策がリストされています。</p>
<table border="2">
<tr>
<th width="30%"><b>兆候</b></th>
<th><b>原因</b></th>
<td width="30%"><b>解決策</b></td>
</tr>
<tr>
<td valign="top" width="30%">検索結果が何もない。</td>
<td valign="top">入力した検索文字列に一致するエントリがないか、またはこのタイプの検索動作の実行前にディレクトリへの認証が義務付けられています。</td>
<td valign="top" width="30%">異なった検索動作を試してみてください。または、入力した基準に一致するエントリが必ずあることが分かっている場合は、ディレクトリに<a href="#userauth">認証</a>します。</td>
</tr>
<tr>
<td valign="top" width="30%">検索結果にエントリが欠けているか、または戻されたエントリから属性情報が欠けている。</td>
<td valign="top">正しく認証していないか、あるいは情報へのアクセス権が付与されていません。ディレクトリ管理者は、ディレクトリ ツリー全体または一部でエントリまたは特定のエントリ属性にアクセスするのに認証が必要であることを指定できます。この場合、情報が存在するか、さらにその情報にアクセスする権限をユーザが保持しているかはDirectory Serverでは示されません。代わりに、情報がまったく存在しないかのように動作します。ツリーにおける特定の情報を表示できなくても、それが存在することを知っていることは、セキュリティ上のリスクとなりうるとの配慮から、このように動作するようになっています。 </td>
<td valign="top" width="30%">正しく<a
href="#userauth">認証されている</a>ことを確認してください。必要なディレクトリ情報にアクセス権があることをディレクトリ管理者に確認します。</td>
</tr>
<tr>
<td valign="top" width="30%">完了後、動作に失敗する。</td>
<td valign="top">不適切な認証のため、ディレクトリが動作に失敗しています。あたかもインタフェースのフォームの動作が失敗しているように見えますが、フォームは動作をDirectory Serverに動作を受け渡すだけで、実際はDirectory Serverが動作に失敗しています。Directory Serverインタフェースは、単に動作の結果を報告するだけのものです。現在、LDAPプロトコルでは、動作が試みられる前に認証が必要であるかがインタフェースによって認識できないようになっているために、この事態が発生します。ディレクトリ エントリの作成または変更中に認証が失効した場合に限り、このインタフェース使用中にこの事態が発生することがあります。</td>
<td valign="top" width="30%">正しく<a
href="#userauth">認証されている</a>ことと認証が失効していないことを確認してください。</td>
</tr>
<tr>
<td valign="top" width="30%">認証過程中にエントリのテーブルが表示される。</td>
<td valign="top">氏名がディレクトリにおいて固有のものでないか、または入力した名前がディレクトリに存在しません。</td>
<td valign="top" width="30%">エントリがテーブルに表示されたら、対応するリンクを選択し、 <a href="#userauth">認証</a>過程を継続します。<p>エントリがテーブルに表示されない場合は、
<strong>[キャンセル]</strong>
をクリックし、<a href="#userauth">認証</a>
を再度試みます。ユーザIDでなく、氏名を必ず使用してください。</p>
</td>
</tr>
<tr>
<td valign="top" width="30%">ユーザ名は正しいのに、認証に失敗した。</td>
<td valign="top">パスワードが正しくありません。 <p>有効なユーザ名と正しくないパスワードを入力し、しかも入力したユーザ名がNTユーザのエントリを示す場合は、Windowsネットワークで認証が試みられます。</p>
<p>それが成功しなかったり、入力したユーザ名がNTユーザのエントリを示さない場合は、再度実行、ウィンドウを閉じる、またはヘルプのオプションが与えられます。</p>
</td>
<td valign="top" width="30%"><strong>[Retry]</strong>
をクリックしてパスワードを再度入力します。</td>
</tr>
</table>
<p> </p>
</body>
</html>
|
