HP ThinPro 6.2-Administrator Guide
注意:root アカウントまたはユーザー アカウントを無効にすると、Active Directory 認証を有効にしな
い限り、システムが使用できない状態になる場合があります。たとえば、root アカウントを無効にし
た場合、管理者のドメイン資格情報を使用しないと、管理者モードに変更できません。一方で、Active
Directory 認証が有効になっている場合は、ローカル アカウントを無効にすると、セキュリティが向上
することがあります。Thin Client の root パスワードなどの共有シークレットを管理したり更新したり
する必要がなくなるからです。
Active Directory 認証を使用していて、ドメイン ユーザーのキャッシュされたデータが Thin Client にあ
る場合は、このタブから、ユーザーのキャッシュされたデータを削除することもできます。
注記:ユーザーがドメイン アカウントを使用してログインした場合、ユーザーは自分のアカウントの
データを削除できません。削除すると、システムが不確定な状態になるからです。
暗号化
Active Directory 資格情報およびその他のシークレットは、画面のロック解除などの機能で使用するた
めにハッシュされたり、シングル サインオンのために暗号化されてシステムに保存されたりします。
パスワードのハッシュを作成するためのハッシュ アルゴリズムは、このメニューから選択できます。
初期設定の scrypt は、広く認められているキー派生関数です。別のキー派生関数 Argon2 や、従来の
ハッシュ SHA-256 および SHA-512 も使用できます。キー派生関数の利点は、平文のパスワードを事前
に計算されたハッシュ値と照合するレインボー テーブルの計算コストが高いことであり、従来のハッ
シュは可能な限り高速で実行する場合に適しています。ハッシュはすべて 128 ビット以上のランダ
ム ソルトを付加して保存され、パスワード ハッシュを計算して保存するたびにランダム ソルトが変
わります。
接続開始時にパスワードの暗号化を解除して、接続に提供できる場合に、暗号化されたパスワードが
使用されます(シングル サインオン)。暗号化アルゴリズムは、OpenSSL でサポートされる幅広いア
ルゴリズムから選択できます。別の値を選択する十分の理由がない限り、初期設定の暗号化アルゴリ
ズムを使用することをおすすめします。このアルゴリズムは一般に、セキュリティの専門家から最新
の安全なアルゴリズムと認められています。ソルト ビットおよびキー ビットの数はアルゴリズムに
よって異なります。アルゴリズム セレクターの横にある情報ボタンを押すと、詳しい情報を確認でき
ます。暗号化キーは Thin Client ごとに一意で、管理者だけが参照できる場所に保存されます。また、
システム上の権限を付与された特定のアプリケーションだけが暗号化を解除できます。
ハッシュおよび暗号化されたシークレットは両方とも、生存時間を設定できます。シークレットが
ハッシュまたは暗号化されてから、使用または暗号化の解除までの時間の長さが生存時間を超過した
場合、ハッシュ照合または暗号化の解除は失敗します。
オプション
[ローカル ユーザーのログインを必須にする]:Active Directory 認証が無効になっている場合にこのオ
プションを選択すると、起動時およびログアウト時にログイン画面が表示されます。その場合、シス
テムにアクセスするには、ローカル ユーザーまたは root の資格情報を使用する必要があります。
[シークレットのプレビューを有効にする]:有効にすると、システムのほとんどのパスワードおよび
シークレットの入力フィールドで、右側に小さな目のアイコンが表示されます。マウスの左ボタンを
押したままにしてその目のアイコンを選択すると、マウス ボタンを押したままにしている間、シーク
レットが平文で表示されます。ボタンを放すと、シークレットは再び見えなくなります。
[ドメインのテキスト入力を使用する]:有効にすると、必要に応じて、ドメイン名用のドメイン入力
フィールドが別に表示されます。無効にすると、代わりに、[ユーザー]フィールドに入力した値でド
メインが判定されます。たとえば、
[ユーザー]フィールドに「mike@mycorp」と入力した場合、ドメ
インは「mycorp」であるとみなされます。[ユーザー]フィールドに「graycorp¥mary」と入力した場合
には、ドメインは「graycorp」であるとみなされます。
設定
55