Manualshelf

HP ThinPro 7.0-Administrator Guide

ManualsBrandsHP ManualsDesktopsHP t520 Flexible Thin Client
61626364656667686970
注意:root アカウントまたはユーザー アカウントを無効にすると、Active Directory 認証を有効にしな
い限り、システムが使用できない状態になる場合があります。たとえば、root アカウントを無効にし
た場合、管理者のドメイン資格情報を使用しないと、管理者モードに変更できません。一方で、Active
Directory 認証が有効になっている場合は、ローカル アカウントを無効にすると、セキュリティが向上
することがあります。Thin Client root パスワードなどの共有シークレットを管理したり更新したり
する必要がなくなるからです。
Active Directory 認証を使用していて、ドメイン ユーザーのキャッシュされたデータが Thin Client にあ
る場合は、このタブから、ユーザーのキャッシュされたデータを削除することもできます。
注記ユーザーがドメイン アカウントを使用してログインした場合、ユーザーは自分のアカウントの
データを削除できません。削除すると、システムが不確定な状態になるからです。
暗号化
Active Directory 資格情報およびその他のシークレットは、画面のロック解除などの機能で使用するた
めにハッシュされたり、シングル サインオンのために暗号化されてシステムに保存されたりします。
パスワードのハッシュを作成するためのハッシュ アルゴリズムは、このメニューから選択できます。
初期設定の scrypt は、広く認められているキー派生関数です。別のキー派生関数 Argon2 や、従来の
ハッシュ SHA-256 および SHA-512 も使用できます。キー派生関数の利点は、平文のパスワードを事前
に計算されたハッシュ値と照合するレインボー テーブルの計算コストが高いことであり、従来のハッ
シュは可能な限り高速で実行する場合に適しています。ハッシュはすべて
128 ビット以上のランダ
ム ソルトを付加して保存され、パスワード ハッシュを計算して保存するたびにランダム ソルトが変
わります。
接続開始時にパスワードの暗号化を解除して、接続に提供できる場合に、暗号化されたパスワードが
使用されます(シングル サインオン)。暗号化アルゴリズムは、OpenSSL でサポートされる幅広いア
ルゴリズムから選択できます。別の値を選択する十分の理由がない限り、初期設定の暗号化アルゴリ
ズムを使用することをおすすめします。このアルゴリズムは一般に、セキュリティの専門家から最新
の安全なアルゴリズムと認められています。ソルト ビットおよびキー ビットの数はアルゴリズムに
よって異なります。アルゴリズム セレクターの横にある情報ボタンを押すと、詳しい情報を確認でき
ます。暗号化キーは Thin Client ごとに一意で、管理者だけが参照できる場所に保存されます。また、
システム上の権限を付与された特定のアプリケーションだけが暗号化を解除できます。
ハッシュおよび暗号化されたシークレットは両方とも、生存時間を設定できます。シークレットが
ハッシュまたは暗号化されてから、使用または暗号化の解除までの時間の長さが生存時間を超過した
場合、ハッシュ照合または暗号化の解除は失敗します。
初期設定では、シングル サインオン パスワードは 1 日しか使用できませんが、接続またはネットワー
ク設定に保存されたパスワードは無期限に使用できます。
オプション
[ローカル ユーザーのログインを必須にする]:Active Directory 認証が無効になっている場合にこのオ
プションを選択すると、起動時およびログアウト時にログイン画面が表示されます。その場合、シス
テムにアクセスするには、ローカル ユーザーまたは root の資格情報を使用する必要があります。
[シークレットのプレビューを有効にする]:有効にすると、システムのほとんどのパスワードおよび
シークレットの入力フィールドで、右側に小さな目のアイコンが表示されます。マウスの左ボタンを
押したままにしてその目のアイコンを選択すると、マウス ボタンを押したままにしている間、シーク
レットが平文で表示されます。ボタンを放すと、シークレットは再び見えなくなります。
[ドメインのテキスト入力を使用する]:有効にすると、必要に応じて、ドメイン名用のドメイン入力
フィールドが別に表示されます。無効にすると、代わりに、[ユーザー]フィールドに入力した値でド
メインが判定されます。たとえば、[ユーザー]フィールドに「mike@mycorp」と入力した場合、ドメ
インは「mycorp」であるとみなされます。[ユーザー]フィールドに「graycorp¥mary」と入力した場
合には、ドメインは「graycorp」であるとみなされます。
セキュリティ
55