エンドユーザーの認証方法について
EUWI (End User Web Interface) にユーザーがアクセスする際に使用する認証方法は、PureMessage Manager の 「Quarantine」(隔離) タブにある「User Authentication」(エンドユーザーの認証) 機能を使用して設定されます。デフォルトの認証方法は、セッション ID をエンドユーザーへメールで伝達する方法です。別の方法として、暗号化されたパスワードまたは LDAP を使用して認証を行います。これらの 3つの方法は以下で説明します。
セッション ID による認証
このデフォルトのエンドユーザー認証方法は、生成されたセッション ID キーをエンドユーザーにメールで送信することで実行されます。セッション ID キーは「Session expiry time」(セッションの有効期限) を過ぎると無効になり、有効期限は「s」(秒)、「m」(分)、「h」(時間)、および「w」(週) です。たとえば、2日と 3時間 20分は51h20mというように入力されます。エンドユーザーに送信されるメールには、必要に応じて変更可能な「Email template」(メールテンプレート) が使用されます。(変更は複製したコピーファイル上に行うか、元のファイルのバックアップを作成しておくことをお勧めします。)
エンドユーザーが初めて Web インターフェースの URL (<EUWI_host>.<domain>28080) にアクセスする場合、メールアドレスを入力してパスワードをリクエストするように要求されます。生成されたセッション ID キーは指定されたメールアドレスにメールアドレスをパスワードとして送信されます。ユーザーがパスワードを複数回リクエストした場合、最後に生成されたパスワードのみが有効になります。パスワードを受け取ると、エンドユーザーは EUWI にログインできるようになります。
パスワードのテキストファイルによる認証
エンドユーザーの認証を、テキストパスワードのフラットファイル データベースを使用して設定することもできます。この方法を設定するには、enduser.conf 設定ファイル (デフォルトの保存場所は /opt/pmx/etc/enduser ディレクトリ) 内の auth 変数を flat_file に変更します。次に enduser_ui_user_passwords ファイルを編集し、例としてファイル内にコメントが追加されているファイルを参考にして、ユーザー名とパスワードを追加します。HTTP (RPC/UI) サービスを再起動して、変更を有効にします。EUWI を再起動した後は、ログイン認証は enduser_ui_user_passwords にあるユーザー名/パスワードの組み合わせよって制御されるようになります。
各ユーザーのパスワードを保存する場合、テキスト (デフォルト)、crypt、および md5 の 3つの方法があります。パスワードの保存形式を設定するには、enduser_ui_user_passwords ファイルにユーザー名およびパスワードを追加します。続いて etc/enduser/auth.conf ファイルで <Authenticator flat_file> -> <config> セクションにある「crypt」オプションを目的の方法に設定します。
この方法でエンドユーザーはパスワードをリクエストする必要がないため、エンドユーザーにとっては若干簡易な方法と言えます。一方、エンドユーザーに割り当てられたパスワードが EUWI へアクセスする URL と共にエンドユーザーに送信される必要があるため、PureMessage の管理者のタスクは増えることになります。
LDAP ベースの認証
エンドユーザー認証は、Active Directory、Sun ONE Directory Server 5.2、および OpenLDAP などの既存の LDAP ディレクトリを使用しても設定できます。エンドユーザー認証の設定の詳細については、「PureMessage Manager レファレンス」をご覧ください。一般的には LDAP サーバーの「host:port」、LDAP サーバーの識別名 (DN)、LDAP サーバー情報へアクセスするパスワード、必要に応じてユーザーアカウントの DN、および照会する LDAP データのフィールド名のフィルタによる処理方法を指定します。
LDAP 認証が設定された場合、LDAP に対して EUWI を有効に設定する必要があります。etc/enduser/enduser.conf ファイルで、auth オプションを編集して、auth=ldap に変更します。EUWI を再起動して変更を有効にします。
ユーザーに対する認証方法がメールアドレスか Active Directory ID によって適切なメッセージがユーザーに表示されるように EUWI のログインページを編集できます。このページに関するテンプレートは lib/manager/HTTPD/tmpl/authorize.html にあります。
LDAP サーバーから返されるすべての警告メッセージは var/log/manager/httpd_error.log ファイルに記録されます。LDAP 認証に関連するすべての項目には、ログファイル内の他のエントリとの区別が容易になるように「EU-LDAP-AUTH」」という文字列が最初に追加されます。