LDAPとデータベースの併用
複数の認証方法がインストールされている場合、Guacamoleはユーザーの認証を試みる際に各認証方法を順にチェックし、ユーザーが正常に認証されると、それぞれの方法から接続データを取得します。この動作は、認証方法が連携して動作できるようにデザインされており、LDAPを使ってGuacamoleユーザーを認証し、その接続データをMySQL、PostgreSQL、SQL Server内に保存するために活用にできます。
GuacamoleのIDの定義
複数の認証方法からデータを読み取る際、Guacamoleはユーザー (ユーザー名) およびグループの固有の識別子を比較して、アイデンティティを判別します。つまり、異なる認証システムのユーザーアカウントは、同じユーザー名を持っている限り、認証が成功すると自動的に統合され、グループメンバーシップは、そのグループの固有の名前が一致する限り、認証システム間で有効になります。
LDAPとデータベース認証メソッドの両方が設定されている場合、Guacamoleはユーザーがログインしようとするたびに自動的に両方のシステムで認証を試みます。ユーザー名が一致する場合、LDAPアカウントはデータベースユーザーと同等であると見なされ、そのユーザーはデータベースを使用して関連付けられたすべてのデータ、およびLDAPディレクトリ内のすべての表示可能なオブジェクトにアクセスできるようになります。また、そのユーザーがLDAP内のグループメンバーシップを照会する権限を持っており、GuacamoleがLDAP内のグループを照会するように設定されている場合、認証時にユーザーのグループメンバーシップも取得され、そのユーザーはデータベースを通じてそれらのグループに関連付けられたすべてのデータにもアクセスできるようになります。
LDAP内に存在が確認されているユーザーの場合、管理ユーザー (デフォルトでは 「guacadmin」) としてログインし、同じユーザー名を持つ対応するデータベースアカウントを作成することで、データベース内の接続に対するアクセス権を付与できます。データベースアカウントのパスワードを指定しない場合、そのユーザーはLDAPを使用しないとログインできないようになりますが、それでもデータベース内で定義された関連接続には引き続きアクセスできます。
Guacamole内のLDAPユーザーの管理
LDAPディレクトリ内のユーザーまたはグループを手動で検索し、それらと同じユーザーおよびグループをGuacamole内に手動で作成する必要がないよう、有効なLDAPオブジェクトを表示および管理できる管理者ユーザーアカウントを設定できます。これにより、管理プロセスが合理化され、手動で作成する必要のあるユーザーの数を1人に減らすことができます。
Guacamoleの管理インターフェース内でLDAPオブジェクトを表示するには、以下のいずれかのタスクを実行する必要があります。
Guacamoleデータベース内の管理ユーザー (デフォルトの「guacadmin」ユーザーなど) は、LDAP内で手動で作成され、同じユーザー名を持ち、LDAP内で定義されたすべてのGuacamoleユーザーおよびグループを照会するための十分な権限を持っている必要があります。
LDAPユーザーと同じユーザー名を持ち、LDAP内で定義されたすべてのGuacamoleユーザーおよびグループを照会するための十分な権限を持つ管理者ユーザーをGuacamole内に手動で作成する必要があります。
上記の定義に従って作成されたGuacamoleユーザーは、LDAPユーザーとグループ、データベースユーザーとグループ、データベース接続へアクセスできるため、これらのデータはすべてGuacamole内の同じ管理インターフェースに統合されます。ユーザーは、データベースのみを使用している場合と同様に、LDAPユーザーとグループにデータベース内の接続へのアクセス権を付与することができます。
Last updated