VxLogonによるシングルサインオン
VxLogonはNxLogonのスクリプトバージョンです。アンチウィルスソフトとの問題を避けるために開発されました。
よりシンプルで導入しやすく、アンチウィルスソフトとの問題も発生しません。
Active Directoryに対してシングルサインオンを実装する前に、まずユーザーとグループをインポートする必要があります。ユーザーとグループをインポートするには
とグループをインポートするには GUIの概要 User.
動作原理
起動するには User > VxLogon NxFilter GUI 上で有効にしてから
VxLogonパッケージのvxlogon.vbsをWindowsログオンスクリプトとしてGPOに登録します。GPOへの登録方法は
を参照してください。 ユーザ認証 > NxLogonによるSSO.基本的に手順は同じ。
NxLogon と異なり、VxLogon ではサーバ IP を指定する必要はありません。
セキュリティ上の問題
VxLogon では、VxLogon と NxFilter 間の通信プロトコルに DNS プロトコルを使用しています。
そのため、スクリプトファイルで公開されているプロトコルを使って、別のユーザ名でログインし、権限を取得することができます。
を取得する方法を見つけるかもしれません。このような問題を防ぐために
を追加しました。VxLogonを使用したログオンとログオフ用に2つの特別なドメインを定義しました。
オン User > VxLogon,
- Logon Domain : vxlogon.example.com
- Logoff Domain : vxlogoff.example.com
これらのドメインは再定義できる。ドメインを変更したら、VxLogon パッケージの次の 2 つのファイルも編集する必要があります。 を編集する必要があります。
- vxlogon.vbs
- vxlogoff.bat
このファイルには特別なドメインが含まれているので、自分のドメインに変更する必要があります。
内部的にNslookupコマンドを使用しているため、ドメインを変更する際は末尾のドットを維持する必要があります。
トラブルシューティング
vxlogon.vbsをCMDで実行すると、WindowsのデフォルトのVBScriptエンジンであるWscriptで実行されるため、出力が表示されません。
によって実行されるためです。ロギングでデプロイを確認したい場合は、Cscript
コマンドで実行します、
cscript vxlogon.vbs
NxFilter 側で何が起こっているかを監視できるように、CMD で NxFilter も実行してください。 あるいは、/nxfilter/log/nxfilter.log ファイルを見てください。