  ユーザがFirstClassにログインを試みると、FirstClassサーバと外部LDAPサーバ(リモート認証)のいずれかでユーザ認証が行われます。どちらのサーバが認証を行うかは、動作しているFirstClassディレクトリサービスのモードと、FirstClassサーバを設定時に認証用として選択したサーバによって決まります。
FirstClassに外部から接続する場合は、FirstClassディレクトリサービスでアノニマス認証、セキュア接続(SSL)、もしくはその両方を行うことができます。
リモートで認証を行う場合は、LDAP検索フィルタを使用することができます。検索フィルタの条件に一致するユーザだけが認証されます。
注意
ユーザは、[接続設定]フォームで[ユーザ認証時にFirstClassセキュア認証のみを使用]を有効にすると、特定の接続に対してリモート認証を拒否することができます。
認証とFirstClassモード
FirstClassクライアントは、MD5またはSHAハッシュアルゴリズムで暗号化されたパスワードか、平文のパスワードを使用することができます。
リモート認証の場合、FirstClassディレクトリサービスは常に平文のパスワードを外部LDAPサーバに送信します。ユーザは、ログインの度に自分のパスワードを入力しなければなりません。これにより、FirstClassディレクトリサービスはパスワード情報を平文でLDAPサーバに送ることができます。ただし、ユーザは、自分の接続設定ファイルにパスワードを保存することができません。これは、FirstClassがパスワードをハッシュ化して保存するために、FirstClassディレクトリサービスで利用できる平文にそのパスワードを変換できないからです。自分のユーザIDは保存することが可能で、このID情報と入力したパスワードが平文で送信されます。
スタンドアロンモード
スタンドアロンモードでは、認証作業とパスワードの管理作業がすべてFirstClassサーバで行われます。
スレーブモード
スレーブモードでは、FirstClassサーバか外部LDAPサーバを使用して、すべてのユーザを認証することも可能です。どちらのサーバが使用できるかは、LDAPサーバの種類とパスワードの暗号化方法によって決まります。
リモート認証とスレーブモード
リモート認証か両方のサーバによる認証を選択すると、外部LDAPサーバに登録されているすべてのユーザを認証することになります。ただし、リモート認証だけを選択した場合、複製ユーザは、外部LDAPサーバで認証されないかぎりFirstClassにログインできません。
複製が無効になっており、FirstClassディレクトリサービスを起動しても複製が始まらない場合は、すべてのユーザが、FirstClassサーバに登録されているものとして扱われます。この場合、外部LDAPサーバでの認証が失敗しても、代わりにFirstClassサーバで認証が行われます。
マスタ-スレーブモード
マスタ-スレーブモードでは、外部LDAPサーバを使用して、そのサーバに登録されているユーザの認証を行うこともできます。これが可能かどうかは、LDAPサーバの種類とパスワードの暗号化方法によって決まります。
リモート認証か、両方のサーバによる認証を選択すると、外部LDAPサーバに登録されているすべてのユーザが認証されます。FirstClassサーバに登録されているユーザは、FirstClassサーバで認証されます。
Sun Microsystems社のiPlanet Directory Server使用上の注意
Sun Microsystems社のiPlanet Directory Serverは、パスワードを平文で保存することも、暗号化して保存することもできます。パスワードは、保存した形式と同じ形式でFirstClassディレクトリに複製されます。
パスワードが平文の場合は、FirstClassサーバでログイン認証を行うか、FirstClassディレクトリサービスでユーザIDとパスワードをiPlanet Directory Serverに送信して認証を行うことができます。
パスワードが暗号化されている場合は、iPlanet Directory Serverでログイン認証を行わなければなりません。
Microsoft社のActive Directory使用上の注意
Microsoft Active Directoryを使用する場合は、登録ユーザのパスワード管理、暗号化、保存、認証のすべてを行わなければなりません。これは、Active Directoryでは、FirstClassディレクトリにパスワードを複製しないためです。
ユーザIDとパスワードだけを利用した認証
ユーザIDとパスワードだけでActive Directoryでの認証を行うことができます。この機能を実現しているFirstClassディレクトリサービスのコンポーネントは、LDAPを利用していません。したがって、
・FirstClassディレクトリをActive Directoryで複製したり同期したりする必要はありません。
・FirstClassサーバとActive Directoryで、ルートDN(ルート識別名)が同じでなくでもかまいません。
ただし、FirstClassサーバに登録されているユーザIDとパスワードは、Active Directory上で資格情報が一致しなければなりません。
この方法でリモート認証を行うには、
・ FirstClassディレクトリサービスをスレーブモードで実行してください。
複製を無効にすることができます。
・[ディレクトリサービス設定]フォームの[認証]タブにある[認証方法]欄で、「Microsoft Active Directory」ログインを選択してください。
注意
ディレクトリの完全同期を実行していないかぎり、FirstClassサーバとActive Directoryのどちらにユーザが登録されているか、FirstClassディレクトリサービスではわかりません。このような状況でリモート認証が失敗すると、FirstClassサーバは、ローカルの資格情報をさがします。
| ||