24.3 ログインとポストログインのメソッドとシーケンスの管理

このセクションでは、NMAS用のログインとポストログインのメソッドとシーケンスのインストール、セットアップ、および設定方法について説明します。

NMASには、3つのログインファクタ(パスワード、物理デバイスまたはトークン、およびバイオメトリック認証)に基づく複数のログインメソッドの選択肢があります。

NMASには、NetIQとサードパーティ認証開発者による複数のログインメソッドとポストログインメソッドのサポートが含まれます。メソッドによっては、追加のハードウェアやソフトウェアが必要な場合があります。使用するメソッドに必要なすべてのハードウェアとソフトウェアが揃っていることを確認してください。

NMASでは、ソフトウェアビルド内にいくつかのログインメソッドが同梱されています。その他のログインメソッドはサードパーティベンダから入手できます。

eDirectoryパートナーの一覧については、NetIQパートナーWebサイトを参照してください。いくつかのパートナーがサードパーティログインメソッドを開発しています。

24.3.1 ログインメソッドのインストール方法

NetIQ eDirectoryで使用するログインメソッドのインストール方法は3種類あります。

  • nmasinstユーティリティ(LinuxとWindows)。eDirectoryにログインメソッドをインストールすることができます。

  • NetIQ iManager (LinuxとWindows)。eDirectoryにログインメソッドとポストログインメソッドをインストールすることができます。

nmasinstユーティリティを使用したログインメソッドのインストール

サーバコンソールのコマンドラインから次のように入力します。

nmasinst -addmethod admin.context treename config.txt_path [-h hostname[:port]] [-w password|file:<filename>|env:<environment_variable>] [-checkversion] [-d]

  • admin.context: 管理者の名前とコンテキスト。

  • treename: ログインメソッドをインストールするeDirectoryツリーの名前。

  • config.txt_ path - ログインメソッドのconfig.txtファイルへの完全パスまたは相対パス。config.txtファイルは各ログインメソッドに付属しています。

  • [-h hostname[:port]]: (オプション)サーバのホスト名とポート。eDirectoryがデフォルトポートで実行していない場合に使用します。IPアドレスを指定することもできます。eDirectory 9.0は、IPv4アドレスとIPv6アドレスの両方をサポートします。次に例を示します。

    • IPv4: -h 127.0.0.1:8443

    • IPv6: -h [2001:db8::6]:8443

  • [-w password|file:<filename>|env:<environment_variable>]: このオプションを使用すれば、次の方法のいずれかを使用してパスワードを指定することができます。

    • コマンドラインから。例: -w n

    • ファイルを通して。例: -w file:/tmp/passwd

    • 環境変数を通して。例: -w env:PASSWD

  • [-checkversion]: このオプションは、インストールするメソッドバージョンがインストール済みのメソッドバージョンと同じかそれよりも新しい場合にエラーを報告します。

  • [-d]: サポートされていないプラットフォーム用のメソッドを削除します。

ログインメソッドがすでに存在した場合は、nmasinstがそれを更新します。

NetIQ iManagerを使用したログインメソッドまたはポストログインメソッドのインストール

  1. NetIQ iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMASログインメソッド]の順にクリックします。

  4. 新規作成]をクリックします。

  5. インストールするログインメソッド(.zip)ファイルをブラウズして選択してから、[次へ]をクリックします。

  6. インストールウィザードに従って完了します。

24.3.2 ログインメソッドとポストログインメソッドの更新

ログインメソッドベンダがログインメソッドまたはポストログインメソッドの更新を提供にしている場合は、次の手順を実行してメソッドを更新することができます。

nmasinstユーティリティを使用したログインメソッドの更新

nmasinstユーティリティを使用してログインメソッドをインストールする手順と同じ手順を使用します(nmasinstユーティリティを使用したログインメソッドの更新を参照)。新しいconfig.txtファイルへのパスを追加すると、ログインメソッドが更新されます。

iManagerを使用したログインメソッドの更新

  1. iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMASログインメソッド]の順にクリックします。

  4. 更新するログインメソッドをクリックします。

  5. ログインメソッドのプロパティページで、[Update Method]をクリックします。

  6. 更新ウィザードに従って完了します。

24.3.3 ログインシーケンスの管理

ログインをインストールするときに、インストールするログインメソッドのみを使用するログインシーケンスを作成するかどうかが尋ねられます。[はい]を選択すると、1つのログインメソッドだけを含むログインシーケンスが作成されます。

ログインシーケンスは手動で作成して管理することもできます。ログインメソッドとポストログインメソッドをインストールしたら、iManagerを使用してログインシーケンスを表示、追加、変更、または削除することができます。メソッドが変更または更新されても、ログインシーケンスは作成されません。

NMASでは、シーケンスごとに複数のログインメソッドとポストログインメソッドをセットアップすることができます。ポストログインメソッドを選択するためには、1つ以上のログインメソッドを選択しておく必要があります。

1つのシーケンスに対して複数のメソッドが選択されている場合は、それらが表示順に実行されます。ログインメソッドが先に実行され、その後でポストログインメソッドが実行されます。

ログインシーケンスは、ANDシーケンスまたはORシーケンスにすることができます。ANDシーケンスは、すべてのログインメソッドによってユーザのIDが正常に検証された場合に成功します。ORシーケンスの場合は、いずれかのログインメソッドによってユーザのIDが検証されれば、ログインが成功します。

ポストログインメソッドは、And/Or関係とは無関係に、ログインが成功した場合にのみ実行されます。

シーケンスを作成したら、その新しいシーケンスを使用したeDirectoryへのログインをユーザに許可することができます。

NetIQ iManagerを使用した新しいログインシーケンスの作成

  1. iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMAS Login Sequences]の順にクリックします。

  4. 新規]をクリックして、新しいログインシーケンスの名前を指定します。

    すべての使用可能なメソッドが、[Available Login Methods]と[Available Post-Login Methods]の下に一覧表示されます。

  5. ドロップダウンリストから[Sequence Type]を選択します。

    And]を選択する場合、ユーザは、ログインシーケンスに含まれるすべてのログインメソッドを使用してログインする必要があります。[Or]を選択する場合、ユーザは、ログインシーケンスに含まれるログインメソッドのいずれか1つを使用するだけでログインできます。

  6. 水平矢印を使用して必要なそれぞれのメソッドをシーケンスに追加します。

    複数のメソッドを使用する場合、実行順序を変更するには垂直矢印を使用します。

    Sequence Grade]フィールドに、ログインシーケンスのグレードが表示されます。Andシーケンスの場合、シーケンスグレードは、一連のログインメソッドのグレードの和集合になります。Orシーケンスの場合、シーケンスグレードは、一連のメソッドのグレードの共通部分になります。

  7. 完了]をクリックしてログインシーケンスを保存します。

ログインシーケンスの変更

  1. iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMAS Login Sequences]の順にクリックします。

  4. ログインシーケンス名をクリックします。

    シーケンスグレードとシーケンスタイプが表示され、ログインメソッドとポストログインメソッドが一覧表示されます。使用可能なすべてのメソッドが、[Available Login Methods]リストと[Available Post-Login Methods]リストに表示されます。

  5. アクションの選択

    • シーケンスタイプを変更するには、シーケンスタイプの横にあるドロップダウンリストを使用します。

    • ログインメソッドまたはポストログインメソッドをシーケンスに追加したりシーケンスから削除したりするには、左矢印と右矢印を使用します。

      メモ:ポストログインメソッドを選択するためには、1つ以上のログインメソッドを選択しておく必要があります。

    • ログインメソッドのシーケンス順序を変更するには、上矢印と下矢印を使用します。

    • 変更を保存せずに終了するには、[キャンセル]をクリックします。

    重要:関連付けられたメソッドが存在しないログインシーケンスは保存されません。

  6. 適用またはOKをクリックします。

ログインシーケンスの削除

  1. iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMAS Login Sequences]の順にクリックします。

  4. 削除するログインシーケンスを選択して、[削除]をクリックします。

  5. 適用またはOKをクリックします。

24.3.4 ユーザに対するログインシーケンスの承認

ログインシーケンスの割り当て

承認済みログインシーケンスとデフォルトログインシーケンスを、ユーザ、コンテナ、パーティションルート、またはログインポリシーオブジェクトに割り当てることができます。NMASは、ユーザオブジェクト、ユーザオブジェクトのコンテナ、ユーザオブジェクトのパーティションルート、およびログインポリシーオブジェクトの順にそれらの属性を読み込むことによって、ユーザの承認済みログインシーケンスまたはデフォルトログインシーケンスを検索します。

ユーザオブジェクトで見つかった属性は、コンテナ、パーティションルート、またはログインポリシーオブジェクトで見つかった属性よりも優先されます。ログインシーケンスがパーティションルートに割り当てられている場合は、そのログインシーケンスがそのパーティションルートの下のすべてのユーザに適用されます。ただしそれは、特定のユーザに個別にログインシーケンスが割り当てられていない場合に限られます。

また、コンテナに割り当てられたログインシーケンスは、そのコンテナ内のシーケンスが割り当てられていないユーザにのみ適用され、そのコンテナのサブコンテナ内のユーザには適用されません。

ログインシーケンスの承認

  1. iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMAS Users]の順にクリックして、ログインシーケンスを承認するユーザを選択してから、[NMAS]タブをクリックします。

  4. ログインシーケンスを選択して[Authorize]または[De-authorize]をクリックすることによって、ユーザに対してログインシーケンスを承認または承認解除します。

  5. 適用またはOKをクリックします。

24.3.5 デフォルトログインシーケンスの設定

ユーザがログイン時にログインシーケンスを指定する必要がないようにデフォルトログインシーケンスを設定するには:

  1. iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMAS Users]の順にクリックして、デフォルトログインシーケンスを設定するユーザを選択してから、[NMAS]タブをクリックします。

  4. 承認済みログインシーケンスを選択してから、[Make Default]をクリックします。

    選択したシーケンスがデフォルトログインシーケンスになります。ユーザがログインシーケンスを使用せずにログインしようとすると、このデフォルトログインシーケンスが使用されます。

  5. 適用またはOKをクリックします。

メモ:ワークステーションがユーザのデフォルトログインシーケンスを実行できない場合は、NDSパスワードログインメソッドが使用されます。

ログインシーケンスの割り当て方法については、ログインシーケンスの割り当てを参照してください。

24.3.6 ログインメソッドの削除

NMAS iManagerプラグインでは、ログインシーケンスの一部になっているログインメソッドを削除できません。ログインメソッドのデフォルトインストールでは、そのメソッドのみを含むログインシーケンスが作成されます。その結果、ほとんどのメソッドが1つ以上のシーケンスに組み込まれます。

メモ:nmasinstには、NMASメソッドを削除するオプションがありません。これはiManagerを使用して行う必要があります。

ログインメソッドを削除するには、次の2つの手順を実行する必要があります。

すべてのログインシーケンスからログインメソッドを削除する

iManagerを使用して任意のログインシーケンスのログインメソッドを削除するには:

  1. iManagerで、[NMAS]>[NMAS Login Sequences]の順にクリックします。

  2. NMAS Login Sequences]リスト内のシーケンスごとに、次の手順を実行します。

    1. シーケンス名をクリックします。

    2. 削除するログインメソッドが[ログインメソッド]リストにも[Post-Login Methods]リストにも列挙されていないことを確認します。

    3. 対象のログインメソッドが、選択されたメソッドの1つとして列挙されている場合は、それを選択して左矢印をクリックすることによってリストから移動することができます。

すべてのログインシーケンスからログインメソッドを削除したら、そのメソッドを削除することができます。詳細については、ログインメソッドを削除するを参照してください。

ログインメソッドを削除する

iManagerを使用してログインメソッドを削除するには:

  1. iManagerで、[NMAS]>[NMAS Login Methods]の順にクリックします。

  2. 削除するログインメソッドを選択します(複数選択可)。

  3. 削除]をクリックして、[はい]をクリックします。

24.3.7 ログインシーケンスの削除

  1. NetIQ iManagerを起動します。

  2. 管理者または管理権限を持つユーザとして、eDirectoryツリーに対する認証を受けます。

  3. 役割およびタスク]メニューで、[NMAS]>[NMAS Login Sequences]の順にクリックします。

  4. 削除するログインシーケンスを選択します。

  5. 削除]をクリックして、[はい]をクリックします。