HP ThinPro 7.1-Administrator Guide
暗号化
Active Directory 資格情報およびその他のシークレットは、画面のロック解除などの機能で使用するた
めにハッシュされたり、シングル サインオンのために暗号化されてシステムに保存されたりします。
パスワードのハッシュを作成するためのハッシュ アルゴリズムは、このメニューから選択できます。
初期設定の scrypt は、広く認められているキー派生関数です。別のキー派生関数 Argon2 や、従来の
ハッシュ SHA-256 および SHA-512 も使用できます。キー派生関数の利点は、平文のパスワードを事前
に計算されたハッシュ値と照合するレインボー テーブルの計算コストが高いことであり、従来のハッ
シュは可能な限り高速で実行する場合に適しています。ハッシュはすべて 128 ビット以上のランダ
ム ソルトを付加して保存され、パスワード ハッシュを計算して保存するたびにランダム ソルトが変
わります。
接続開始時にパスワードの暗号化を解除して、接続に提供できる場合に、暗号化されたパスワードが
使用されます(シングル サインオン)。暗号化アルゴリズムは、OpenSSL でサポートされる幅広いア
ルゴリズムから選択できます。別の値を選択する十分の理由がない限り、初期設定の暗号化アルゴリ
ズムを使用することをおすすめします。このアルゴリズムは一般に、セキュリティの専門家から最新
の安全なアルゴリズムと認められています。ソルト ビットおよびキー ビットの数はアルゴリズムに
よって異なります。アルゴリズム セレクターの横にある情報ボタンを押すと、詳しい情報を確認でき
ます。暗号化キーは Thin Client ごとに一意で、管理者だけが参照できる場所に保存されます。また、
システム上の権限を付与された特定のアプリケーションだけが暗号化を解除できます。
ハッシュおよび暗号化されたシークレットは両方とも、生存時間を設定できます。シークレットが
ハッシュまたは暗号化されてから、使用または暗号化の解除までの時間の長さが生存時間を超過した
場合、ハッシュ照合または暗号化の解除は失敗します。
初期設定では、シングル サインオン パスワードは 1 日しか使用できませんが、接続またはネットワー
ク設定に保存されたパスワードは無期限に使用できます。
オプション
[ローカル ユーザーのログインを必須にする]:Active Directory 認証が無効になっている場合にこのオ
プションを選択すると、起動時およびログアウト時にログイン画面が表示されます。その場合、シス
テムにアクセスするには、ローカル ユーザーまたは root の資格情報を使用する必要があります。
[シークレットのプレビューを有効にする]:有効にすると、システムのほとんどのパスワードおよび
シークレットの入力フィールドで、右側に小さな目のアイコンが表示されます。マウスの左ボタンを
押したままにしてその目のアイコンを選択すると、マウス ボタンを押したままにしている間、シーク
レットが平文で表示されます。ボタンを放すと、シークレットは再び見えなくなります。
[ドメインのテキスト入力を使用する]:有効にすると、必要に応じて、ドメイン名用のドメイン入力
フィールドが別に表示されます。無効にすると、代わりに、[ユーザー]フィールドに入力した値でド
メインが判定されます。たとえば、[ユーザー]フィールドに「mike@mycorp」と入力した場合、ドメ
インは「mycorp」であるとみなされます。[ユーザー]フィールドに「graycorp¥mary」と入力した場
合には、ドメインは「graycorp」であるとみなされます。
[管理者に画面ロックの上書きを許可する]:有効にすると、ロックされた画面を上書きして、ユー
ザーが手動で Thin Client からログアウトしたかのように、ログイン画面または HP ThinPro のデスク
トップに戻すことができます。
証明書
注記:
Linux で証明書を使用する方法について詳しくは、https://www.openssl.org/docs/ (英語サイト)
を参照してください。
60 第 9 章 コントロール パネル