複数の認証メソッドがインストールされている場合、Guacamoleはユーザーを認証しようとするときに、各メソッドに順次問い合わせて、ユーザーの認証に成功すると、各メソッドから接続データを取得します。この動作は、認証メソッドを連携できるように設計されており、Guacamoleユーザーの接続データはMySQL、PostgreSQL、またはSQL Server内に保存しながら、これらのユーザーをLDAPに対して認証するために利用できます。

GuacamoleのIDの定義

複数の認証メソッドからデータを読み取る場合、Guacamoleはユーザー（ユーザー名）とグループの一意の識別子を比較してIDを特定します。つまり、異なる認証システムのユーザーアカウントが同じユーザー名を持つ限り、認証に成功するとGuacamoleによって自動的に結合され、それらのグループの一意の名前が一致する限り、グループメンバーシップは認証システム間で有効になります。

LDAPとデータベース認証メソッドの両方が設定されている場合、ユーザーがログインしようとするたびに、Guacamoleは両方のシステムに対して自動的に認証を試みます。ユーザー名が同一の場合、LDAPアカウントはデータベースユーザーと同等であると見なされ、そのユーザーは、データベースを使用して関連付けられたすべてのデータ、およびLDAPディレクトリ内のすべての可視オブジェクトにアクセスできます。そのユーザーがLDAP内のグループメンバーシップを照会する権限を持ち、GuacamoleがLDAP内のグループを照会するように設定されている場合、ユーザーのグループメンバーシップも認証時に取得され、そのユーザーはデータベースを使用してそれらのグループに関連付けられたすべてのデータにアクセスできます。

Guacamole内のLDAPユーザーの管理

LDAPディレクトリ内のユーザーまたはグループを手動で検索し、それらと同じユーザーおよびグループをGuacamole内に手動で作成する必要はなく、有効なLDAPオブジェクトをもとより表示および管理できる管理ユーザーアカウントを設定できます。これにより、管理プロセスが合理化され、手動で作成する必要があるユーザーの数が1人に削減されます。

Guacamoleの管理インターフェース内でLDAPオブジェクトを表示するには、以下のいずれかのタスクを実行する必要があります。

1. Guacamoleデータベース内の管理ユーザー（デフォルトの「guacadmin」ユーザーなど）と同じユーザー名を持ち、LDAP内で定義されたすべてのGuacamoleユーザーおよびグループを照会するのに十分な権限を付与された管理ユーザーをLDAP内に手動で作成する必要があります。

2. LDAP内で定義されたすべてのGuacamoleユーザーおよびグループを照会するのに十分な権限が付与され、LDAPユーザーと同じユーザー名を持つ管理ユーザーをGuacamole内に手動で作成する必要があります。

上記の定義に従って作成されたGuacamoleユーザーは、LDAPユーザー/グループ、データベースユーザー/グループ、およびデータベース接続にアクセスできるため、これらのデータはすべて、Guacamole内の同じ管理インターフェース内に統合されます。ユーザーは、データベースのみが使用されている場合と同様に、データベース内の接続へのアクセス権をLDAPユーザーおよびグループに付与できます。