スマートカードやトークンを使用してログオンする方法には、次の 2種類があります。
■ スマートカードまたはトークンを使用したログオンのみが許可される。
■ ユーザー名とパスワードを使用したログオンと、スマートカードやトークンを使用した ログオンの両方が許可される。
セキュリティ担当者は、許可するログオン方法をポリシーで定義します。
スマートカード/トークンは、セキュリティ担当者から入手するか、自分のスマートカード/
トークンにWindows ユーザー情報を保存します。
注: SafeGuard Enterprise では、スマートカードとトークンを同じように扱っています。そ のため、製品およびマニュアルにおいて、「トークン」および「スマートカード」という用 語は、同じものとして理解することができます。この後のセクションでは、「トークン」と いう用語を使用します。
13.6.1 インストール後のトークンを使用した最初のログオン
トークンを使用した最初のログオンの手順は、トークンを使用しないログオンの手順と同じ です。
発行済みトークンを使用できる場合、そのトークンの PIN を入力してWindows にログオン することができます。
注: コンピュータを再起動する前に、Windows ユーザー ログオン情報を使用してトークン を設定することを推奨します。詳細は、トークンにWindows ユーザー ログオン情報を保存
する方法 (p. 68) を参照してください。ユーザーに適用されているセキュリティ ポリシーに
よっては、SafeGuard POA でトークンを使用することが必須になります。トークンに自分 のログオン情報が含まれていない場合、SafeGuard Power-on Authentication でログオンす ることはできません。
13.6.2 トークンを使用した SafeGuard POA ログオン
前提条件: BIOS で USB 対応が設定されていることを確認します。トークンの対応が設定さ れており、トークンがユーザーに発行されている必要があります。
1. トークンを接続します。
2. コンピュータの電源を入れます。
トークンを使ってログオンするためのダイアログが表示されます。
注: ユーザー ログオン情報を使用したログオンがポリシーで許可されている場合にトー クンを取り外すと、ログオンのためのユーザー ログオン情報を入力するように求められ ます。ユーザー ID とパスワードを使用してログオンするためのダイアログが表示されな い場合は、トークンを使用する方法のみで SafeGuard Power-on Authentication でログオ ンできます。
3. トークン PIN を入力します。
SafeGuard Power-on Authentication およびWindows にログオンします (ログオン ダイ アログで「Windows へのパススルー ログオン」チェック ボックスを選択した場合)。
13.6.3 PIN を変更する
Windows ログオン ダイアログで、トークンの PIN を変更することができます。
SafeGuard POA (Power-on Authentication) で「Windows へのパススルー ログオン」が選 択されている場合、通常、Windows ログオン ダイアログは表示されません。Windows ログ オン ダイアログを表示するには、SafeGuard POA ログオン時にこのチェックボックスを選 択から外す必要があります。
注: セキュリティ担当者が (たとえば特定の一定期間ごとに) PIN の変更を要求するように ルールを定義した場合は、PIN の変更を求めるプロンプトが自動的に表示されます。
1. Windows ログオンのための「PIN」ダイアログで、「PIN を変更する」チェック ボック
スを選択します。
2. トークン PIN を入力し、「OK」をクリックします。
「PIN の変更」ダイアログが表示されます。
3. 新しい PIN を入力し、確認入力します。
4. 「OK」をクリックします。
トークン PIN が変更され、Windows ログオンが続行されます。
13.6.4 トークンに Windows ユーザー ログオン情報を保存する方法
トークンに自分のWindows ユーザー ログオン情報が含まれていない場合、ユーザー自身が トークンに保存できます。
注:トークンの設定は、最初のログオン時に行うことを推奨します。ユーザーに適用されて いるセキュリティ ポリシーによっては、SafeGuard POA でトークンを使用することが必須
になります。トークンにユーザー情報が含まれていない場合、SafeGuard Power-on Authentication でログオンすることはできません。
1. インストール後の最初のログオン時に、Windows ログオン ダイアログが表示されたらシ ステムにトークンを接続します。
空のトークンが検出されると、「トークンの発行」ダイアログが自動的に表示されます。
2. Windows ユーザー名とパスワードを入力します。
3. 確認のためにパスワードを再度入力します。
4. ドメインを選択または入力し、「OK」をクリックします。
ログオンが正常に完了したら、データがトークンに保存されます。
ユーザーはWindows にログオンします。
ユーザー (すでに一度、ユーザー名とパスワードを使用して SafeGuard POA でログオンし たことがある場合) に対してトークン ログオンは任意と定義されている場合にも、後でトー クンを発行できます。
これを行うには、SafeGuard POA のログオン ダイアログで「オプション」をクリックし、
「Windows へのパススルー ログオン」チェックボックスを選択から外します。Windows ログオン ダイアログが表示され、ユーザーは前述の手順でログオン情報をトークンに保存 できます。
13.6.5 トークン ログオンの復旧
非暗号化トークンの PIN を忘れた場合、次のいずれか 1つの復旧方法を使用して、コン ピュータに再度アクセスできるようになります。
■ Local Self Help による復旧 (p. 51) 。
■ SafeGuard POA ユーザーのチャレンジ/レスポンス (p. 42) .
各コンピュータで使用できる復旧方法は、セキュリティ担当者が指定した設定によって異な ります。
復旧を開始するには、トークン ログオンのダイアログで「復旧」ボタンをクリックします。
注:暗号化トークンを使用している場合、上記の復旧方法を使用することはできません。ロ グオンの問題が発生した場合は、セキュリティ担当者に連絡してください。
13.6.6 トークンのブロックを解除する
間違った PIN を数回入力すると、トークンがブロックされます。セキュリティ担当者は、
このような場合に「トークンのブロック解除」ダイアログが表示されるよう、SafeGuard
Enterprise を構成することができます。
ユーザーは自分のトークンに対して定義されている管理者 PIN を、セキュリティ担当者か ら入手する必要があります。
1. 「トークンのブロック解除」ダイアログで、管理者 PIN を入力します。
2. 新しい PIN を入力し、確認入力します。
PIN に関して定義されているルールに従って PIN を入力してください。たとえば、特定 の文字の組み合わせが必要な場合や、すでに使用した PIN の再使用が禁止されている場 合があります。
3. 「OK」をクリックします。
トークンのブロックが解除され、ログオンが続行されます。
注: この機能をコンピュータで使用できない場合、チャレンジ/レスポンスを使用してコン ピュータに再びアクセスすることができます。ただし、チャレンジ/レスポンスを使用して PIN やユーザー ログイン情報を変更することはできません。
13.6.7 暗号化トークン - Kerberos
暗号化トークンを使用すると、トークンに保存されている証明書を使用して SafeGuard POA で認証が行われます。
このようなログオンでは、セキュリティ担当者またはその他の認証ユーザーによって発行さ れたトークンが必要です。システムにログオンするには、トークン PIN の入力だけが必要 です。ユーザーのコンピュータでこのようなログオン方法だけが有効な場合、トークンがな いとログオンできません。
注: このようなトークンを使用する場合、Local Self Help やチャレンジ/レスポンスの手順 を使用することはできません。ログオンの問題が発生した場合は、セキュリティ担当者まで お問い合わせください。
13.6.8 トークンを使用したログオンの証明書の変更
トークンを使用したログオンの証明書を変更または更新するには、セキュリティ担当者が ユーザーのコンピュータに新しい証明書を割り当てます。コンピュータと SafeGuard
Enterprise サーバーの同期をとった後、コンピュータが「証明書を変更する準備ができまし
た」という状態であることが、状態ダイアログ (SafeGuard Enterprise システム トレイ ア イコンに表示) に示されます。
セキュリティ担当者はユーザーに新しいトークンを提供します。
コンピュータ上の証明書を変更する方法は次のとおりです。
1. 変更前の認証方式 (トークンやユーザー名/パスワード認証) を使用して、Windows への 自動ログオンなしで SafeGuard Power-on Authentication でログオンします。
「オプション」をクリックして「Windows へのパススルー ログオン」チェック ボック スを選択から外すか、またはWindows への自動ログオン後、再びログオフします。
2. 新しいトークンを使用して、Windows にログオンします。
新しいトークンは SafeGuard POA ログオンに使用することができます。以後、変更前の トークンを使用してログオンすることはできません。