48.3. シングルサインオン(SSO)
48.3.1. はじめに
Red Hat Enterprise Linux SSO 機能により、Red Hat Enterprise Linux デスクトップユーザーがパスワードを入力する必要がある回数が減ります。複数の主要なアプリケーションは、同じ基礎となる認証および承認メカニズムを利用して、ユーザーがログイン画面から Red Hat Enterprise Linux にログインし、パスワードを再入力する必要はありません。これらのアプリケーションの詳細を以下に示します。
さらに、ユーザーはネットワークがない場合に(オフラインモード)、またはワイヤレスアクセスなどのネットワーク接続が信頼できない場合でも、マシンにログインできます。後者の場合、サービスは正常に低下します。
48.3.1.1. サポート対象のアプリケーション
現在、以下のアプリケーションは、Red Hat Enterprise Linux の統合ログインスキームでサポートされています。
- Login
- screensaver
- Firefox および Thunderbird
48.3.1.2. サポートされる認証メカニズム
現在、Red Hat Enterprise Linux は以下の認証メカニズムをサポートしています。
- Kerberos 名/パスワードログイン
- スマートカード/PIN ログイン
48.3.1.3. 対応するスマートカード
Red Hat Enterprise Linux は Cyberflex e-gate カードとリーダーでテストされていますが、PCSC-lite でサポートされるリーダーであれば、Java カード 2.1.1 と Global Platform 2.0.1 仕様の両方に準拠するカードが正しく動作するはずです。
Red Hat Enterprise Linux は、Common Access Cards (CAC)でもテストされています。CAC でサポートされているリーダーは SCM SCR 331 USB Reader です。
Red Hat Enterprise Linux 5.2 の時点で、Gemalto スマートカード(PKCSI v2.1 で DER SHA1 値が設定された DER SHA1 値を持つ標準) (Cyberflex Access 64k v2)がサポートされるようになりました。これらのスマートカードは、Chip/Smart Card Interface Devices (CCID)に準拠するリーダーを使用するようになりました。
48.3.1.4. Red Hat Enterprise Linux Single Sign-on の利点
多数のプロトコルやクレデンシャルストアを利用するセキュリティーメカニズムが多数存在します。たとえば、SSL、SSH、IPsec、および Kerberos などがあります。Red Hat Enterprise Linux SSO は、上記の要件をサポートするためにこれらのスキームを統一することを目的としています。これは、Kerberos を X.509v3 証明書に置き換えることを意味するのではなく、システムユーザーとそれらを管理する管理者の両方に負荷を軽減するようにユニットします。
この目的を達成するために、Red Hat Enterprise Linux は以下のようになります。
- 各オペレーティングシステム上の NSS 暗号ライブラリーの共有インスタンス 1 つを提供します。
- Certificate System の Enterprise Security Client (ESC)をベースオペレーティングシステムで出荷します。ESC アプリケーションは、スマートカード挿入イベントを監視します。ユーザーが Red Hat Enterprise Linux Certificate System サーバー製品で使用するために設計されたスマートカードを挿入したことを検知すると、そのスマートカードの登録方法をユーザーに指示するユーザーインターフェイスが表示されます。
- スマートカードを使用してオペレーティングシステムにログインするユーザーが Kerberos 認証情報(ファイルサーバーなどにログインできる)も取得できるように Kerberos と NSS を統合する。