クレデンシャルパススルー
動的パススルートークン
接続パラメータの値には「トークン」が含まれており、これらは使用時にKeeperコネクションマネージャーによってその場で置き換えられます。これらのトークンにより、接続パラメータの値は接続を使用するユーザーによって変化し、接続構成自体に認証情報を保存することなく、認証情報を簡単に転送できる仕組みを実現します。これは、リモートデスクトップ接続がKeeperコネクションマネージャーと同じ認証情報を使用する場合に有効です。
以下はトークンの一般的な用途となります。
ログイン時に指定された認証情報を渡すことで、リモートデスクトップでユーザーを自動的に認証します。これは、Keeperコネクションマネージャーとリモートデスクトップの両方が、Active DirectoryやLDAPなどの同じ中央認証局に対して認証する場合に便利です。
ライセンス供与、監査、またはログ記録に必要な場合は、リモートデスクトップにユーザーのIPアドレスまたはホスト名を表示します。
現在の日付と時刻を使用してセッション録画を自動的に整理します。
各トークンは、${TOKEN_NAME}
の形式であり、ここでTOKEN_NAME
はトークンが表す値の説明的な名前となります。対応する値がないトークンは置き換えられませんが、接続パラメータ内でそのようなテキストが必要であり、トークンの値で置き換えられないようにしたい場合は、トークンの前に追加のドル記号を付けてエスケープすることができます (例: $${TOKEN_NAME}
)。
これらのトークンは、接続が使用されるたびにその都度置き換えられます。2人の異なるユーザーが同じ接続に同時にアクセスする場合、両方のユーザーは異なる接続パラメーターのセットを使用することで互いの接続が分離されます。
ユーザー名/パスワードのパススルー
ユーザーがKeeperコネクションマネージャーで認証すると、使用した認証情報は「${GUAC_USERNAME}
」および「${GUAC_PASSWORD}
」トークンを使って自動的に接続に渡される場合があります。これらは、リモートデスクトップに接続するために使用するユーザー名とパスワードを指定するパラメータを含む、任意の接続パラメータ内で指定されている可能性があります。これにより、管理者はユーザーの認証情報が渡されるか否か、またはどのように渡されるかを定義できます。管理者がこれらのトークンを指定しない限り、このようなパススルーは行われません。
${GUAC_USERNAME}
現在のユーザーが現在のGuacamoleセッションの認証に成功したときに指定したユーザー名。
${GUAC_PASSWORD}
現在のユーザーが現在のKeeperセッションの認証に成功したときに指定したパスワード。
クライアントのホスト名/アドレス情報
現在のKeeperユーザーが接続しているマシンのホスト名 (わかっている場合) またはIPアドレスは、「${GUAC_CLIENT_HOSTNAME}
」トークンと「${GUAC_CLIENT_ADDRESS}
」トークンをそれぞれ使用して接続パラメータ内に含めることができます。1つまたは複数のプロキシ経由で接続している場合、またはVPN経由で接続している場合は、クライアントアドレスがそのユーザーの本当のアドレスでない可能性があり、そのアドレスに関連付けられたホスト名が存在しないかもしれないことにご留意ください。
${GUAC_CLIENT_ADDRESS}
現在のGuacamoleユーザーのIPv4またはIPv6アドレス。これは、現在のユーザーがログインした際の、Guacamoleサーバーに対するHTTP接続のクライアント側のアドレスになります。
${GUAC_CLIENT_HOSTNAME}
現在ログインしているユーザーのホスト名。これは、現在のユーザーがログインした際の、Guacamoleサーバーに対するHTTP接続のクライアント側のホスト名になります。そのようなホスト名を特定できない場合は、代わりにIPv4またはIPv6アドレスが使用され、このトークンは${GUAC_CLIENT_ADDRESS}
と等価になります。
現在の日付と時刻
ユーザーの接続開始時刻を示すタイムスタンプは、「${GUAC_DATE}
」トークンと「${GUAC_TIME}
」トークンを使用して、接続パラメータ内に含めることができます。これらの各トークンは、数字だけで構成される値に置き換えられます。これらのトークンは、作成するセッション記録の名前を指定するパラメータ内で使用するのが一般的で、多くの場合、「${GUAC_USERNAME}
」トークンと一緒に使用して、記録に適切な固有の名前を付けて自動的に整理できるようにします。
たとえば、「${GUAC_USERNAME}-${GUAC_DATE}-${GUAC_TIME}.guac
」という名前のファイルにセッションを記録するように接続が設定されていて、「someuser
」という名前のユーザーが2020年1月1日の深夜ちょうどにその接続に接続した場合、作成されるセッション記録の名前は、「someuser-20200101-000000.guac
」になります。
${GUAC_DATE}
Guacamoleサーバーのローカルタイムゾーンの現在の日付。これは「YYYYMMDD」形式で記述されます (「YYYY」は年、「MM」は月、「DD」は日付で、すべてゼロパディングされます)。ユーザーが接続にアクセスすると、このトークンは接続が開始された日付に置き換えられます。
${GUAC_TIME}
Guacamoleサーバーのローカルタイムゾーンの現在の時間。これは「HHMMSS」形式で記述されます。ここで、「HH」は24時間表記の時間、「MM」は分、「SS」は秒で、すべてゼロパディングされます。ユーザーが接続にアクセスすると、このトークンは接続の開始時刻に置き換えられます。
Last updated