JP2008065693A - Information processor, and its method and program for controlling installation - Google Patents

Information processor, and its method and program for controlling installation Download PDF

Info

Publication number
JP2008065693A
JP2008065693A JP2006244440A JP2006244440A JP2008065693A JP 2008065693 A JP2008065693 A JP 2008065693A JP 2006244440 A JP2006244440 A JP 2006244440A JP 2006244440 A JP2006244440 A JP 2006244440A JP 2008065693 A JP2008065693 A JP 2008065693A
Authority
JP
Japan
Prior art keywords
information
installation
predetermined program
user
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006244440A
Other languages
Japanese (ja)
Inventor
Hiroya Kumashio
弘也 熊塩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006244440A priority Critical patent/JP2008065693A/en
Publication of JP2008065693A publication Critical patent/JP2008065693A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technique preventing unauthorized program installation. <P>SOLUTION: When a user's authentication information is input, a client PC 10 sends the authentication information to a domain controller 20. The domain controller 20 sends an installation control program to the client PC 10 when authenticating the user based on the authentication information. When executing the installation control program, the client PC 10 obtains installation permission definition information from a file server 30 and determines whether or not a predetermined program can be installed using the installation permission definition information. If the determination result is affirmative, the client PC 10 obtains an installer from the file server 30. The client PC 10 executes the installer to install the predetermined program. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、ユーザのログイン時に所定のプログラムを自身にインストールする情報処理装置、そのインストール制御方法及びインストール制御プログラムに関する。   The present invention relates to an information processing apparatus that installs a predetermined program on itself when a user logs in, an installation control method thereof, and an installation control program.

従来より、ユーザがクライアントPC(Personal Computer)においてログインすると、バージョンアップのためのプログラムなどの各種プログラムを自動的にインストールする技術がある。例えば、特許文献1には、複数のクライアントPCと管理サーバとからなる情報処理システムにおいて、クライアントPCと管理サーバとの間で、クライアントPCにおけるプログラムの自動的なインストールを制御する技術が記載されている。具体的には、ユーザがクライアントPCにログインすると、クライアントPCは管理サーバからインストール制御プログラムをダウンロードして、このインストール制御プログラムを実行することにより、所定のプログラムをインストールするためのインストーラを取得し、取得したインストーラを実行することにより、当該所定のプログラムをインストールする。この技術においては、クライアントPCにおいてログインしたユーザ全てが所定のプログラムをインストール可能である。   2. Description of the Related Art Conventionally, there is a technology for automatically installing various programs such as a program for upgrading when a user logs in on a client PC (Personal Computer). For example, Patent Document 1 describes a technology for controlling automatic installation of a program on a client PC between the client PC and the management server in an information processing system including a plurality of client PCs and a management server. Yes. Specifically, when the user logs in to the client PC, the client PC downloads an installation control program from the management server and executes the installation control program to obtain an installer for installing a predetermined program. The predetermined program is installed by executing the acquired installer. In this technique, all users who have logged in on the client PC can install a predetermined program.

特開2005−25477号公報JP 2005-25477 A

しかし、ユーザの中には、例えば、ライセンス契約などによって所定のプログラムを使用できる権利を有するユーザもいれば、当該権利を実際には有さないユーザ(以下、不正ユーザという)もいる恐れがある。従って、クライアントPCにおいてログインしたユーザ全てが所定のプログラムをインストール可能である場合、不正ユーザによって当該所定のプログラムがクライアントPCにインストールされ、当該所定のプログラムが不正に使用される恐れがある。   However, there is a possibility that some users have the right to use a predetermined program, for example, under a license agreement, and some users do not actually have the right (hereinafter referred to as unauthorized users). . Therefore, when all users who have logged in at the client PC can install the predetermined program, the predetermined program may be installed on the client PC by an unauthorized user, and the predetermined program may be used illegally.

本発明は、上記に鑑みてなされたものであって、プログラムの不正なインストールを防止することが可能な情報処理装置及びインストール制御方法及びインストール制御プログラムを提供することを目的とする。   SUMMARY An advantage of some aspects of the invention is that it provides an information processing apparatus, an installation control method, and an installation control program capable of preventing unauthorized installation of a program.

上述した課題を解決し、目的を達成するために、請求項1にかかる発明は、情報処理装置であって、ユーザを特定する認証情報を用いてユーザの認証を行い当該認証が成功した場合に当該ユーザのログインを許可する第1情報管理装置に対し、ネットワークを介して前記認証情報を送信する送信手段と、前記送信手段が送信した前記認証情報を用いて前記ユーザの認証を行った前記第1情報管理装置からインストール制御プログラムを取得する第1取得手段と、前記第1取得手段が取得した前記インストール制御プログラムを実行する実行手段とを備え、前記実行手段は、前記ネットワークに接続される第2情報管理装置から、所定のプログラムのインストールの可否を示すインストール許可定義情報を取得する第2取得手段と、前記第2取得手段が取得した前記インストール許可定義情報を用いて、前記所定のプログラムのインストールの可否を判定する判定手段と、前記判定手段の判定結果が肯定的である場合、前記第2情報管理装置から前記所定のプログラムを取得する第3取得手段とを有することを特徴とする。   In order to solve the above-described problems and achieve the object, the invention according to claim 1 is an information processing apparatus, in which authentication of a user is performed using authentication information for identifying the user and the authentication is successful. Transmitting means for transmitting the authentication information via a network to the first information management apparatus permitting login of the user, and the first authenticating the user using the authentication information transmitted by the transmitting means. A first acquisition unit that acquires an installation control program from an information management device; and an execution unit that executes the installation control program acquired by the first acquisition unit, wherein the execution unit is connected to the network. (2) second acquisition means for acquiring installation permission definition information indicating whether or not a predetermined program can be installed from the information management device; A determination unit that determines whether or not the predetermined program can be installed using the installation permission definition information acquired by the unit; and if the determination result of the determination unit is affirmative, And third acquisition means for acquiring the program.

請求項2にかかる発明は、請求項1にかかる発明において、前記第3取得手段は、前記所定のプログラムを含み且つ当該所定のプログラムをインストールするためのインストーラを取得し、前記第3取得手段が取得した前記インストーラを実行して、前記所定のプログラムをインストールするインストール手段を更に備えることを特徴とする。   The invention according to claim 2 is the invention according to claim 1, wherein the third acquisition unit acquires an installer for installing the predetermined program, the third acquisition unit including the predetermined program, The system further comprises installation means for executing the acquired installer and installing the predetermined program.

請求項3にかかる発明は、請求項1にかかる発明において、前記インストール許可定義情報は、暗号化されており、前記判定手段は、前記第2取得手段が取得したインストール許可定義情報を復号化し、復号化したインストール許可定義情報を用いて、前記所定のプログラムのインストールの可否を判定することを特徴とする。   The invention according to claim 3 is the invention according to claim 1, wherein the installation permission definition information is encrypted, and the determination unit decrypts the installation permission definition information acquired by the second acquisition unit, Using the decrypted install permission definition information, it is determined whether or not the predetermined program can be installed.

請求項4にかかる発明は、請求項1にかかる発明において、前記インストール許可定義情報は、前記所定のプログラムのインストールが許可されるユーザを特定する第1識別情報を含み、前記判定手段は、前記インストール許可定義情報に含まれる第1識別情報と、前記認証情報とが一致する場合に、インストールが可であると判定することを特徴とする。   According to a fourth aspect of the present invention, in the first aspect of the invention, the installation permission definition information includes first identification information that identifies a user who is permitted to install the predetermined program. When the first identification information included in the installation permission definition information matches the authentication information, it is determined that the installation is possible.

請求項5にかかる発明は、請求項1にかかる発明において、少なくとも前記ネットワークにおいて自身を特定する装置識別情報を記憶する記憶手段を更に備え、前記インストール許可定義情報には、前記所定のプログラムのインストールが許可される情報処理装置を特定する前記装置識別情報を含み、前記判定手段は、前記インストール許可定義情報に含まれる前記装置識別情報と、前記記憶手段に記憶された前記装置識別情報とが一致する場合に、インストールが可であると判定することを特徴とする。   The invention according to claim 5 is the invention according to claim 1, further comprising storage means for storing at least device identification information for identifying itself in the network, wherein the installation permission definition information includes installation of the predetermined program. The apparatus identification information for identifying an information processing apparatus that is permitted is included, and the determination unit matches the apparatus identification information included in the installation permission definition information with the apparatus identification information stored in the storage unit. In this case, it is determined that the installation is possible.

請求項6にかかる発明は、請求項1にかかる発明において、前記装置識別情報は、前記ネットワークにおいて自身を一意に識別可能に付与されたIPアドレスであることを特徴とする。   The invention according to claim 6 is the invention according to claim 1, wherein the device identification information is an IP address that is uniquely identifiable in the network.

請求項7にかかる発明は、インストール制御方法であって、ユーザを特定する認証情報を用いてユーザの認証を行い当該認証が成功した場合に当該ユーザのログインを許可する第1情報管理装置に対し、ネットワークを介して前記認証情報を送信する送信ステップと、前記送信ステップで送信した前記認証情報を用いて前記ユーザの認証を行った前記第1情報管理装置からインストール制御プログラムを取得する第1取得ステップと、前記第1取得ステップで取得した前記インストール制御プログラムを実行する実行ステップとを備え、前記実行ステップは、前記ネットワークに接続される第2情報管理装置から、所定のプログラムのインストールの可否を示すインストール許可定義情報を取得する第2取得ステップと、前記第2取得ステップで取得した前記インストール許可定義情報を用いて、前記所定のプログラムのインストールの可否を判定する判定ステップと、前記判定ステップの判定結果が肯定的である場合、前記第2情報管理装置から前記所定のプログラムを取得する第3取得ステップとを有することを特徴とする。   The invention according to claim 7 is an installation control method for authenticating a user by using authentication information for identifying the user and permitting the user to log in when the authentication is successful. A transmission step of transmitting the authentication information via a network, and a first acquisition of acquiring an installation control program from the first information management apparatus that has authenticated the user using the authentication information transmitted in the transmission step And an execution step of executing the installation control program acquired in the first acquisition step, wherein the execution step determines whether or not a predetermined program can be installed from the second information management device connected to the network. A second acquisition step of acquiring the installation permission definition information shown, and the second acquisition step. A determination step for determining whether or not the predetermined program can be installed using the installation permission definition information acquired in step (2), and if the determination result in the determination step is affirmative, And a third acquisition step of acquiring a program.

請求項8にかかる発明は、インストール制御プログラムであって、請求項7に記載されたインストール制御方法をコンピュータで実行させることを特徴とする。   The invention according to claim 8 is an installation control program, wherein the installation control method according to claim 7 is executed by a computer.

本発明によれば、インストール許可定義情報を用いて、インストールの可否を判定することにより、所定のプログラムのインストールが許可される場合のみ、当該所定のプログラムのインストールが可能になる。従って、所定のプログラムのインストールが許可されない場合に所定のプログラムが不正にインストールされることを防止することができる。   According to the present invention, it is possible to install the predetermined program only when installation of the predetermined program is permitted by determining whether or not the installation can be performed using the installation permission definition information. Therefore, it is possible to prevent the predetermined program from being illegally installed when installation of the predetermined program is not permitted.

また、本発明によれば、インストール許可定義情報を暗号化することにより、当該インストール許可定義情報の改竄を防止することができる。この結果、インストール許可定義情報の改竄によって、所定のプログラムが不正にインストールされることを防止することができる。   Further, according to the present invention, the installation permission definition information can be prevented from being falsified by encrypting the installation permission definition information. As a result, it is possible to prevent a predetermined program from being illegally installed by falsifying the installation permission definition information.

また、本発明によれば、インストール許可定義情報に含まれる、ユーザを一意に識別可能なユーザ識別情報を用いることにより、所定のプログラムをインストールできる権利を有するユーザのみ、当該所定のプログラムのインストールが可能になる。従って、上述の権利を有さない不正なユーザによって所定のプログラムがインストールされることを防止することができる。   Further, according to the present invention, only the user who has the right to install a predetermined program by using user identification information that can uniquely identify the user included in the installation permission definition information can install the predetermined program. It becomes possible. Therefore, it is possible to prevent a predetermined program from being installed by an unauthorized user who does not have the above right.

また、本発明によれば、インストール許可定義情報に含まれる、情報処理装置を一意に識別可能な装置識別情報を用いることにより、所定のプログラムをインストールできる権利を情報処理装置毎に付与した場合にも、所定のプログラムの不正なインストールを防止することができる。   Further, according to the present invention, when the right to install a predetermined program is granted to each information processing device by using the device identification information that can uniquely identify the information processing device included in the installation permission definition information. In addition, unauthorized installation of a predetermined program can be prevented.

以下に添付図面を参照して、この発明にかかる情報処理装置、インストール制御方法及びインストール制御プログラムの最良な実施の形態を詳細に説明する。   Exemplary embodiments of an information processing apparatus, an installation control method, and an installation control program according to the present invention will be explained below in detail with reference to the accompanying drawings.

(1)構成
<情報処理システムの構成>
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本実施の形態における情報処理システムの構成を例示するブロック図である。情報処理システム1は、クライアントPC10と、ドメインコントローラ20と、ファイルサーバ30とから構成されている。これらは、LAN、イントラネット、又はインターネット等のネットワーク40によって接続される。尚、情報処理システム1を構成するクライアントPC10は、複数あっても良いが、ここでは、便宜上、1つのクライアントPC10について説明する。また、ここでのネットワーク環境は、Microsoft Windows(登録商標)OS(Operation System)を用いて構築されるものとする。 (1) Configuration <Configuration of information processing system>
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram illustrating the configuration of the information processing system in this embodiment. The information processing system 1 includes a client PC 10, a domain controller 20, and a file server 30. These are connected by a network 40 such as a LAN, an intranet, or the Internet. Although there may be a plurality of client PCs 10 constituting the information processing system 1, only one client PC 10 will be described here for convenience. In addition, the network environment here is assumed to be constructed using a Microsoft Windows (registered trademark) OS (Operation System).

<クライアントPCの構成>
クライアントPC10は各々CPU(Central Processing Unit)と、ROM(Read Only Memory)やRAM(Random Access Memory)の記憶装置(いずれも図示せず)とを備えるコンピュータである。クライアントPC10には、HDD(Hard Disk Drive)等の外部記憶装置と、ディスプレイ装置等の表示装置と、キーボードやマウス等の入力装置(いずれも図示せず)とが接続される。ROMにはCPUがクライアントPC10を制御するためのオペレーションシステムなどの各種プログラムが記憶されている。HDDには、各種アプリケーションプログラムが記憶され得る。 <Configuration of client PC>
Each of the client PCs 10 is a computer including a CPU (Central Processing Unit) and a storage device (not shown) of ROM (Read Only Memory) and RAM (Random Access Memory). The client PC 10 is connected to an external storage device such as an HDD (Hard Disk Drive), a display device such as a display device, and an input device such as a keyboard and a mouse (none of which are shown). The ROM stores various programs such as an operation system for the CPU to control the client PC 10. Various application programs can be stored in the HDD.

クライアントPC10の有するCPUがROMやHDDに記憶されたプログラムをRAMに読み出してこれを実行することにより、クライアントPC10は各種機能を実現させる。特に、本実施の形態においては、以下の機能が実現される。クライアントPC10に接続された入力装置においてユーザが認証情報としてユーザ名及びパスワードを入力すると、クライアントPC10は、当該認証情報をドメインコントローラ20に送信し、当該ユーザの認証をドメインコントローラ20に要求する。ドメインコントローラ20で当該認証情報を用いて当該ユーザが認証され、インストール制御プログラムがドメインコントローラ20から送信されると、クライアントPC10は、当該インストール制御プログラムを実行する。尚、インストール制御プログラムとは、クライアントPC10に対して所定のプログラムのインストールする処理全体を制御する機能が実装されているプログラムである。そして、クライアントPC10は、ファイルサーバ30からインストール許可定義情報を取得し、当該インストール許可定義情報を用いて所定のプログラムのインストールが可能か否かを判定する。尚、インストール許可定義情報は、所定のプログラムのインストールが許可されているユーザのユーザ名を含む。所定のプログラムのインストールが許可されているユーザとは、例えば、所定のプログラムに対するライセンス契約などの締結により、所定のプログラムに対してその使用が認められているユーザのことである。このインストール許可定義情報を用いた詳細な判定方法については、後述する。そして、当該判定結果が肯定的である場合に、クライアントPC10は、所定のプログラムを含み且つ当該所定のプログラムをインストールするためのインストーラをファイルサーバ30から取得する。クライアントPC10は、当該インストーラを実行することにより、所定のプログラムをインストールする。   When the CPU of the client PC 10 reads a program stored in the ROM or HDD into the RAM and executes it, the client PC 10 realizes various functions. In particular, the following functions are realized in the present embodiment. When a user inputs a user name and password as authentication information in an input device connected to the client PC 10, the client PC 10 transmits the authentication information to the domain controller 20 and requests the domain controller 20 for authentication of the user. When the user is authenticated by the domain controller 20 using the authentication information and the installation control program is transmitted from the domain controller 20, the client PC 10 executes the installation control program. The installation control program is a program in which a function for controlling the entire process of installing a predetermined program on the client PC 10 is installed. Then, the client PC 10 acquires installation permission definition information from the file server 30 and determines whether or not a predetermined program can be installed using the installation permission definition information. The installation permission definition information includes the user name of a user who is permitted to install a predetermined program. The user who is permitted to install the predetermined program is a user who is permitted to use the predetermined program by, for example, concluding a license agreement for the predetermined program. A detailed determination method using the installation permission definition information will be described later. When the determination result is affirmative, the client PC 10 acquires an installer for installing the predetermined program from the file server 30 including the predetermined program. The client PC 10 installs a predetermined program by executing the installer.

<インストール制御プログラムの機能的構成>
ここで、クライアントPC10の有するCPUがインストール制御プログラムを実行することにより、クライアントPC10において実現される機能について説明する。図2は、クライアントPC10において実現される機能を例示するブロック図である。クライアントPC10において実現される機能は、インストール制御部K1(実行手段)と、インストール可否判定部K2(判定手段)と、データ入出力部K3(第2取得手段、第3取得手段)とを有する。インストール制御部K1は、所定のプログラムをインストールするためのインストーラの起動やインストールの監視を行う。インストール可否判定部K2は、インストール許可定義情報に基づき、インストールの可否判定を行う。データ入出力部K3は、ファイルサーバ30にアクセスして、インストール許可定義情報の取得や、所定のプログラムをインストールするためのインストーラの取得を行う。 <Functional configuration of installation control program>
Here, functions realized in the client PC 10 by the CPU of the client PC 10 executing the installation control program will be described. FIG. 2 is a block diagram illustrating functions implemented in the client PC 10. The functions realized in the client PC 10 include an installation control unit K1 (execution unit), an installability determination unit K2 (determination unit), and a data input / output unit K3 (second acquisition unit, third acquisition unit). The installation control unit K1 activates an installer for installing a predetermined program and monitors installation. The installability determination unit K2 determines whether or not to install based on the install permission definition information. The data input / output unit K3 accesses the file server 30 to acquire installation permission definition information and an installer for installing a predetermined program.

<ドメインコントローラの構成>
ドメインコントローラ20は、CPU,ROM,RAM及びHDD(いずれも図示せず)などを備えるコンピュータである。ROMには、CPUがドメインコントローラ20を制御するためのオペレーションシステムや、当該オペレーションシステムのシェルスクリプトであるログインスクリプトなどの各種プログラムが記憶されている。ログインスクリプトとは、ユーザがクライアントPC10にログインする際に実行される簡易プログラムであり、情報処理システム1をユーザが利用するために必要な各種設定を行ったり、ユーザ毎の各種カスタマイズを行ったりするためのものである。HDDには、上述したインストール制御プログラムが記憶されている。また、HDDには、情報処理システム1の利用が許可されているユーザのユーザ名及びパスワードを記憶する認証データベース(図示せず)が記憶されている。 <Domain controller configuration>
The domain controller 20 is a computer including a CPU, a ROM, a RAM, an HDD (all not shown), and the like. The ROM stores various programs such as an operation system for the CPU to control the domain controller 20 and a login script that is a shell script of the operation system. The login script is a simple program executed when the user logs in to the client PC 10, and performs various settings necessary for the user to use the information processing system 1 or performs various customizations for each user. Is for. The HDD stores the above-described installation control program. The HDD also stores an authentication database (not shown) that stores user names and passwords of users who are permitted to use the information processing system 1.

ドメインコントローラ20の有するCPUがROMやHDDに記憶されたプログラムをRAMに読み出してこれを実行することにより、ドメインコントローラ20は、ユーザやセキュリティに関する情報を管理する。特に、本実施の形態においては、CPUがログインスクリプトを実行することにより、ドメインコントローラ20は、クライアントPC10からの要求に従って、認証データベースを参照してユーザの認証を行ない、認証が成功した場合、インストール制御プログラムをクライアントPC10に送信する。   When the CPU of the domain controller 20 reads a program stored in the ROM or HDD into the RAM and executes the program, the domain controller 20 manages information about users and security. In particular, in the present embodiment, when the CPU executes a login script, the domain controller 20 refers to the authentication database in accordance with a request from the client PC 10, and installs when the authentication is successful. The control program is transmitted to the client PC 10.

<ファイルサーバの構成>
ファイルサーバ30は、CPU,ROM,RAM及びHDD(いずれも図示せず)などを備えるコンピュータである。ROMには、CPUがドメインコントローラ20を制御するためのオペレーションシステムなどの各種プログラムが記憶されている。HDDには、クライアントPC10に所定のプログラムをインストールするためのインストーラやインストール許可定義情報などが記憶されている。ファイルサーバ30の有するCPUがROMやHDDに記憶されたプログラムをRAMに読み出してこれを実行することにより、ファイルサーバ30は、クライアントPC10からの要求に応じて、インストール許可定義情報やインストーラを送信する。詳細については後述する。 <File server configuration>
The file server 30 is a computer including a CPU, a ROM, a RAM, an HDD (all not shown), and the like. Various programs such as an operation system for the CPU to control the domain controller 20 are stored in the ROM. The HDD stores an installer for installing a predetermined program in the client PC 10, installation permission definition information, and the like. When the CPU of the file server 30 reads the program stored in the ROM or HDD into the RAM and executes it, the file server 30 transmits installation permission definition information and an installer in response to a request from the client PC 10. . Details will be described later.

(2)動作
次に、本実施の形態の情報処理システム1において、クライアントPC10、ドメインコントローラ20及びファイルサーバ30によって行われるインストール許可処理の手順を説明する。図3は、クライアントPC10、ドメインコントローラ20及びファイルサーバ30によって行われるインストール許可処理の手順を示すシーケンスチャートである。以下、図3のシーケンスチャートに沿って処理の手順を説明する。 (2) Operation Next, the procedure of the installation permission process performed by the client PC 10, the domain controller 20, and the file server 30 in the information processing system 1 according to the present embodiment will be described. FIG. 3 is a sequence chart showing the procedure of the installation permission process performed by the client PC 10, the domain controller 20, and the file server 30. Hereinafter, the processing procedure will be described with reference to the sequence chart of FIG.

クライアントPC10に接続された入力装置においてユーザが認証情報としてユーザ名及びパスワードを入力すると、クライアントPC10は、当該認証情報の入力を受け付け、当該認証情報をドメインコントローラ20に送信し、当該ユーザの認証をドメインコントローラ20に要求する(ステップS1)。ドメインコントローラ20は、クライアントPC10から送信された認証情報を受信すると(ステップS2)、当該認証情報が認証データベースに記憶されているか否かを判定する(ステップS3)。当該判定結果が肯定的である場合(ステップS3:YES)、即ち、認証が成功した場合、ドメインコントローラ20は、インストール制御プログラムをクライアントPC10に送信する(ステップS4)。ステップS3の判定結果が否定的である場合(ステップS3:NO)、即ち、認証が失敗した場合、ドメインコントローラ20は、例えば、認証が失敗した旨を示す情報をクライアントPC10に送信する。   When the user inputs the user name and password as authentication information in the input device connected to the client PC 10, the client PC 10 receives the authentication information and transmits the authentication information to the domain controller 20 to authenticate the user. A request is made to the domain controller 20 (step S1). When the domain controller 20 receives the authentication information transmitted from the client PC 10 (step S2), the domain controller 20 determines whether the authentication information is stored in the authentication database (step S3). If the determination result is affirmative (step S3: YES), that is, if the authentication is successful, the domain controller 20 transmits an installation control program to the client PC 10 (step S4). When the determination result of step S3 is negative (step S3: NO), that is, when the authentication fails, the domain controller 20 transmits information indicating that the authentication has failed to the client PC 10, for example.

クライアントPC10は、ドメインコントローラ20から送信されたインストール制御プログラムを受信すると、当該インストール制御プログラムを実行する(ステップS5)。そして、クライアントPC10は、インストール制御プログラムに従って、ファイルサーバ30にインストール許可定義情報の送信を要求する(ステップS6)。ファイルサーバ30は、クライアントPC10からの要求を受け付けると(ステップS7)、当該要求に従って、HDDに記憶されているインストール許可定義情報を暗号化してクライアントPC10に送信する(ステップS8)。尚、暗号化の方法は、DES(Data Encryption Standard)などの一般的な鍵暗号方式を用い、インストール制御プログラムにおいてその鍵を秘密鍵として記述しておくなどすれば良い。クライアントPC10は、ファイルサーバ30から送信されたインストール許可定義情報を受信するとこれを復号化する(ステップS9)。そして、クライアントPC10は、復号化したインストール許可定義情報を用いて、インストールの可否を判定する(ステップS10)。具体的には、インストール許可定義情報に含まれる認証情報と、ステップS1で入力を受け付けた認証情報と照合し、これらが一致すれば、インストールが可であると判定し、これらが一致しなければ、インストールが不可であると判定する。ステップS10の判定結果が否定的である場合(ステップS10:NO)、クライアントPC10は、インストール制御プログラムの実行を終了する。ステップS10の判定結果が肯定的である場合(ステップS10:YES)、ファイルサーバ30に所定のプログラムのインストーラの送信を要求する(ステップS11)。ファイルサーバ30は、クライアントPC10からの要求を受け付けると(ステップS12)、当該要求に従って、インストーラをクライアントPC10に送信する(ステップS13)。クライアントPC10は、ファイルサーバ30から送信されたインストーラを受信すると(ステップS14)、当該インストーラを実行して(ステップS15)、所定のプログラムをインストールする。   When the client PC 10 receives the installation control program transmitted from the domain controller 20, the client PC 10 executes the installation control program (step S5). Then, the client PC 10 requests the file server 30 to transmit installation permission definition information according to the installation control program (step S6). When receiving a request from the client PC 10 (step S7), the file server 30 encrypts the installation permission definition information stored in the HDD according to the request and transmits it to the client PC 10 (step S8). As an encryption method, a general key encryption method such as DES (Data Encryption Standard) may be used, and the key may be described as a secret key in the installation control program. When the client PC 10 receives the installation permission definition information transmitted from the file server 30, it decrypts it (step S9). Then, the client PC 10 determines whether installation is possible using the decrypted installation permission definition information (step S10). Specifically, the authentication information included in the installation permission definition information is compared with the authentication information received in step S1, and if they match, it is determined that the installation is possible, and if they do not match. It is determined that the installation is impossible. If the determination result of step S10 is negative (step S10: NO), the client PC 10 ends the execution of the installation control program. When the determination result of step S10 is affirmative (step S10: YES), the file server 30 is requested to transmit an installer of a predetermined program (step S11). When receiving a request from the client PC 10 (step S12), the file server 30 transmits an installer to the client PC 10 according to the request (step S13). When the client PC 10 receives the installer transmitted from the file server 30 (step S14), the client PC 10 executes the installer (step S15) and installs a predetermined program.

以上のような構成によれば、所定のプログラムのインストールが許可されているユーザのみが当該所定のプログラムをインストール可能である。このため、所定のプログラムの不正なインストールを防止することができる。   According to the above configuration, only a user who is permitted to install a predetermined program can install the predetermined program. For this reason, unauthorized installation of a predetermined program can be prevented.

また、インストール許可定義情報を暗号化することにより、例えば、インストール許可定義情報が改竄される恐れを低減することができる。従って、インストール許可定義情報の改竄によって、所定のプログラムが不正にインストールされることを防ぐことが可能になる。   Further, by encrypting the installation permission definition information, for example, the possibility that the installation permission definition information is falsified can be reduced. Therefore, it is possible to prevent a predetermined program from being illegally installed by falsifying the installation permission definition information.

(3)変形例
上述した各実施の形態に限定されるものではなく、以下に例示するような種々の変形が可能である。 (3) Modifications The present invention is not limited to the above-described embodiments, and various modifications as exemplified below are possible.

<変形例1>
上述した実施の形態におけるインストール許可定義情報に含まれる情報は、インストールが許可されているユーザを特定する情報に限らず、インストールが許可されているクライアントPC10を特定する情報であっても良い。例えば、インストールが許可されているクライアントPC10を一意に識別可能なMACアドレスなどの識別IDや、クライアントPC10のIPアドレスであっても良い。このような構成においては、例えば、MACアドレスなどの識別IDの場合は、クライアントPC10のROMに記憶させ、IPアドレスの場合は、HDDなどに記憶させておく。そして、クライアントPC10は、ステップS10で、インストール許可定義情報に含まれる識別IDとROMに記憶された識別IDとを照合する又はインストール許可定義情報に含まれるIPアドレスとHDDに記憶されたIPアドレスとを照合することにより、上述の判定を行うように構成すれば良い。このような構成によれば、所定のプログラムを使用できる権利をユーザ毎にではなく、クライアントPC毎に付与する場合にも、所定のプログラムの不正なインストールを防止することが可能である。 <Modification 1>
The information included in the installation permission definition information in the embodiment described above is not limited to information specifying a user permitted to install, but may be information specifying a client PC 10 permitted to install. For example, an identification ID such as a MAC address that can uniquely identify the client PC 10 permitted to be installed, or the IP address of the client PC 10 may be used. In such a configuration, for example, an identification ID such as a MAC address is stored in the ROM of the client PC 10, and an IP address is stored in the HDD or the like. In step S10, the client PC 10 collates the identification ID included in the installation permission definition information with the identification ID stored in the ROM, or the IP address included in the installation permission definition information and the IP address stored in the HDD. May be configured to perform the above-described determination. According to such a configuration, it is possible to prevent unauthorized installation of a predetermined program even when the right to use a predetermined program is granted not for each user but for each client PC.

また、インストールが許可されているクライアントPC10を特定する情報と、インストールが許可されているユーザを特定する情報とを組み合わせて、所定のプログラムをインストールの可否を判定するように構成しても良い。   Further, the information specifying the client PC 10 permitted to install and the information specifying the user permitted to install may be combined to determine whether or not a predetermined program can be installed.

また、インストールが許可されているユーザを特定する情報は、ユーザを一意に識別可能な情報であれば、上述の実施の形態において用いたユーザ名及びパスワードに限らない。   Further, the information for identifying the user permitted to install is not limited to the user name and password used in the above-described embodiment as long as the information can uniquely identify the user.

<変形例2>
また上述の実施の形態においては、ステップS10で、ドメインコントローラ20から送信されたインストール許可定義情報に含まれる認証情報と、クライアントPC10に記憶される認証情報とが一致するか否かを判定した。しかし、インストール許可定義情報に含まれる認証情報と、クライアントPC10に記憶される認証情報との対応関係が一致するか否かを判定することにより、これらが一致するか否かを判定するように構成しても良い。具体的には、例えば、認証情報としてクライアントPC10に付与されたIPアドレスを用いる場合、情報処理システム1にDNS(Domain Name System)サーバを備え、クライアントPC10に自身に付与されたIPアドレスを記憶させ、インストール許可定義情報にドメイン名を含ませる。クライアントPC10は、インストール許可定義情報に含まれるドメイン名に対応するIPアドレスをDNSサーバを介して取得し、当該IPアドレスと、自身に記憶されているIPアドレスとが一致するか否かを判定する。 <Modification 2>
In the above-described embodiment, in step S10, it is determined whether or not the authentication information included in the installation permission definition information transmitted from the domain controller 20 matches the authentication information stored in the client PC 10. However, the authentication information included in the installation permission definition information and the authentication information stored in the client PC 10 are determined to match to determine whether or not they match. You may do it. Specifically, for example, when an IP address assigned to the client PC 10 is used as authentication information, the information processing system 1 includes a DNS (Domain Name System) server, and the client PC 10 stores the IP address assigned to itself. Include the domain name in the installation permission definition information. The client PC 10 acquires the IP address corresponding to the domain name included in the installation permission definition information via the DNS server, and determines whether or not the IP address matches the IP address stored in itself. .

<変形例3>
上述の実施の形態においては、インストールが許可されているユーザとは、例えば、ユーザが所定のプログラムを使用できる権利を有している場合であるとした。しかし、ユーザが所定のプログラムを使用できる権利を有しており、インストールが許可されている場合にも、所定のプログラムをクライアントPC10にインストールする際に管理者のみにインストールを許可する管理者権限を更に設定するように構成しても良い。この場合、例えば、特開2005−25477号公報に記載されている管理者情報ファイルを用いてインストールを許可するか否かを判定するように構成しても良い。 <Modification 3>
In the above-described embodiment, the user permitted to install is, for example, a case where the user has a right to use a predetermined program. However, even when the user has a right to use a predetermined program and installation is permitted, the administrator authority for allowing only the administrator to install the predetermined program on the client PC 10 is provided. Further, it may be configured to set. In this case, for example, the administrator information file described in JP-A-2005-25477 may be used to determine whether to permit installation.

<変形例4>
上述した実施の形態におけるファイルサーバ30の構成は、上述のものに限らず、例えば、WWWシステムにおいてデータを送信する機能を有するWebサーバであっても良い。また、上述した実施の形態においては、ドメインコントローラ20とファイルサーバ30とを別体で設けるように構成したが、これらを一体的に構成しても良い。 <Modification 4>
The configuration of the file server 30 in the above-described embodiment is not limited to that described above, and may be, for example, a Web server having a function of transmitting data in the WWW system. In the above-described embodiment, the domain controller 20 and the file server 30 are provided separately, but they may be integrally configured.

<変形例5>
上述した実施の形態におけるクライアントPC10においては、上述したインストール制御プログラムやインストーラをRAMに記憶させても良いし、HDDに記憶させても良い。また、ドメインコントローラ20においては、インストール制御プログラムはROMに記憶されていても良い。ファイルサーバ30においては、インストーラやインストール許可定義情報はROMに記憶されていても良い。 <Modification 5>
In the client PC 10 in the above-described embodiment, the above-described installation control program and installer may be stored in the RAM or may be stored in the HDD. In the domain controller 20, the installation control program may be stored in the ROM. In the file server 30, the installer and the installation permission definition information may be stored in the ROM.

<変形例6>
上述した実施の形態において、クライアントPC10がファイルサーバ30から取得したインストーラを用いてインストールする対象の所定のプログラムは、クライアントPC10にインストールされていない新規のプログラムであっても良いし、既にインストールされているプログラムのバージョンアップのためのプログラムであっても良いし、障害対応などのパッチに相当するプログラムであっても良いし、その他各種形態のプログラムであっても良い。 <Modification 6>
In the embodiment described above, the predetermined program to be installed by the client PC 10 using the installer acquired from the file server 30 may be a new program that is not installed in the client PC 10 or has already been installed. The program may be a program for upgrading the existing program, may be a program corresponding to a patch for troubleshooting, or may be a program of various other forms.

<変形例7>
上述の実施の形態においては、ユーザが入力装置を介して認証情報を入力する構成とした。しかし、ユーザの認証情報をクライアントPC10に予め記憶しておき、クライアントPC10が、所定のタイミング又は任意のタイミングで、自動的にログイン(オートログイン)を行うように構成しても良い。 <Modification 7>
In the above-described embodiment, the configuration is such that the user inputs the authentication information via the input device. However, user authentication information may be stored in the client PC 10 in advance, and the client PC 10 may be configured to automatically log in (auto login) at a predetermined timing or at an arbitrary timing.

以上のように、本発明にかかる情報処理装置、インストール制御方法及びインストール制御プログラムは、所定のプログラムをユーザのログイン時にインストールする技術に適している。   As described above, the information processing apparatus, the installation control method, and the installation control program according to the present invention are suitable for a technique for installing a predetermined program at the time of user login.

本発明の一実施の形態における情報処理システムの構成を例示するブロック図である。It is a block diagram which illustrates the composition of the information processing system in one embodiment of this invention. 同実施の形態におけるクライアントPC10において実現される機能を例示するブロック図である。It is a block diagram which illustrates the function implement | achieved in client PC10 in the embodiment. 同実施の形態におけるクライアントPC10、ドメインコントローラ20及びファイルサーバ30によって行われるインストール許可処理の手順を示すシーケンスチャートである。4 is a sequence chart showing a procedure of an installation permission process performed by the client PC 10, the domain controller 20, and the file server 30 in the same embodiment.

符号の説明Explanation of symbols

1 情報処理システム
10 クライアントPC(情報処理装置)
20 ドメインコントローラ(第1情報管理装置)
30 ファイルサーバ(第2情報管理装置)
40 ネットワーク
K1 インストール制御部(実行手段)
K2 インストール可否判定部(判定手段)
K3 データ入出力部(第2取得手段、第3取得手段) 1 Information Processing System 10 Client PC (Information Processing Device)
20 Domain controller (first information management device)
30 File server (second information management device)
40 Network K1 Installation control unit (execution means)
K2 installability determination unit (determination means)
K3 data input / output unit (second acquisition means, third acquisition means)

Claims (8)

ユーザを特定する認証情報を用いてユーザの認証を行い当該認証が成功した場合に当該ユーザのログインを許可する第1情報管理装置に対し、ネットワークを介して前記認証情報を送信する送信手段と、
前記送信手段が送信した前記認証情報を用いて前記ユーザの認証を行った前記第1情報管理装置からインストール制御プログラムを取得する第1取得手段と、
前記第1取得手段が取得した前記インストール制御プログラムを実行する実行手段とを備え、
前記実行手段は、
前記ネットワークに接続される第2情報管理装置から、所定のプログラムのインストールの可否を示すインストール許可定義情報を取得する第2取得手段と、
前記第2取得手段が取得した前記インストール許可定義情報を用いて、前記所定のプログラムのインストールの可否を判定する判定手段と、
前記判定手段の判定結果が肯定的である場合、前記第2情報管理装置から前記所定のプログラムを取得する第3取得手段とを有する
ことを特徴とする情報処理装置。 Transmitting means for transmitting the authentication information via a network to a first information management apparatus that authenticates the user using authentication information for identifying the user and permits the login of the user when the authentication is successful;
First acquisition means for acquiring an installation control program from the first information management apparatus that has authenticated the user using the authentication information transmitted by the transmission means;
Execution means for executing the installation control program acquired by the first acquisition means,
The execution means includes
Second acquisition means for acquiring installation permission definition information indicating whether or not a predetermined program can be installed from a second information management apparatus connected to the network;
Determination means for determining whether the predetermined program can be installed using the installation permission definition information acquired by the second acquisition means;
An information processing apparatus comprising: a third acquisition unit configured to acquire the predetermined program from the second information management apparatus when the determination result of the determination unit is positive. 前記第3取得手段は、前記所定のプログラムを含み且つ当該所定のプログラムをインストールするためのインストーラを取得し、
前記第3取得手段が取得した前記インストーラを実行して、前記所定のプログラムをインストールするインストール手段を更に備える
ことを特徴とする請求項1に記載の情報処理装置。 The third acquisition means acquires an installer for installing the predetermined program including the predetermined program,
The information processing apparatus according to claim 1, further comprising an installation unit that executes the installer acquired by the third acquisition unit and installs the predetermined program. 前記インストール許可定義情報は、暗号化されており、
前記判定手段は、前記第2取得手段が取得したインストール許可定義情報を復号化し、復号化したインストール許可定義情報を用いて、前記所定のプログラムのインストールの可否を判定する
ことを特徴とする請求項1に記載の情報処理装置。 The installation permission definition information is encrypted,
The determination means decrypts the installation permission definition information acquired by the second acquisition means, and determines whether or not the predetermined program can be installed using the decrypted installation permission definition information. The information processing apparatus according to 1. 前記インストール許可定義情報は、前記所定のプログラムのインストールが許可されるユーザを特定する第1識別情報を含み、
前記判定手段は、前記インストール許可定義情報に含まれる第1識別情報と、前記認証情報とが一致する場合に、インストールが可であると判定する
ことを特徴とする請求項1に記載の情報処理装置。 The installation permission definition information includes first identification information that identifies a user permitted to install the predetermined program,
The information processing according to claim 1, wherein the determination unit determines that the installation is possible when the first identification information included in the installation permission definition information matches the authentication information. apparatus. 少なくとも前記ネットワークにおいて自身を特定する装置識別情報を記憶する記憶手段を更に備え、
前記インストール許可定義情報には、前記所定のプログラムのインストールが許可される情報処理装置を特定する前記装置識別情報を含み、
前記判定手段は、前記インストール許可定義情報に含まれる前記装置識別情報と、前記記憶手段に記憶された前記装置識別情報とが一致する場合に、インストールが可であると判定する
ことを特徴とする請求項1に記載の情報処理装置。 Storage means for storing at least device identification information for identifying itself in the network;
The installation permission definition information includes the device identification information that identifies an information processing device that is permitted to install the predetermined program,
The determination unit determines that installation is possible when the device identification information included in the installation permission definition information matches the device identification information stored in the storage unit. The information processing apparatus according to claim 1. 前記装置識別情報は、前記ネットワークにおいて自身を一意に識別可能に付与されたIPアドレスである
ことを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the apparatus identification information is an IP address that is uniquely identifiable in the network. ユーザを特定する認証情報を用いてユーザの認証を行い当該認証が成功した場合に当該ユーザのログインを許可する第1情報管理装置に対し、ネットワークを介して前記認証情報を送信する送信ステップと、
前記送信ステップで送信した前記認証情報を用いて前記ユーザの認証を行った前記第1情報管理装置からインストール制御プログラムを取得する第1取得ステップと、
前記第1取得ステップで取得した前記インストール制御プログラムを実行する実行ステップとを備え、
前記実行ステップは、
前記ネットワークに接続される第2情報管理装置から、所定のプログラムのインストールの可否を示すインストール許可定義情報を取得する第2取得ステップと、
前記第2取得ステップで取得した前記インストール許可定義情報を用いて、前記所定のプログラムのインストールの可否を判定する判定ステップと、
前記判定ステップの判定結果が肯定的である場合、前記第2情報管理装置から前記所定のプログラムを取得する第3取得ステップとを有する
ことを特徴とするインストール制御方法。 A step of transmitting the authentication information via a network to a first information management apparatus that authenticates the user using authentication information for identifying the user and permits the login of the user when the authentication is successful;
A first acquisition step of acquiring an installation control program from the first information management apparatus that has authenticated the user using the authentication information transmitted in the transmission step;
An execution step of executing the installation control program acquired in the first acquisition step,
The execution step includes:
A second acquisition step of acquiring installation permission definition information indicating whether or not a predetermined program can be installed from a second information management apparatus connected to the network;
A determination step of determining whether or not the predetermined program can be installed using the installation permission definition information acquired in the second acquisition step;
And a third acquisition step of acquiring the predetermined program from the second information management device when the determination result of the determination step is affirmative. 請求項7に記載されたインストール制御方法をコンピュータで実行させることを特徴とするインストール制御プログラム。   An installation control program for causing a computer to execute the installation control method according to claim 7.
JP2006244440A 2006-09-08 2006-09-08 Information processor, and its method and program for controlling installation Pending JP2008065693A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006244440A JP2008065693A (en) 2006-09-08 2006-09-08 Information processor, and its method and program for controlling installation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006244440A JP2008065693A (en) 2006-09-08 2006-09-08 Information processor, and its method and program for controlling installation

Publications (1)

Publication Number Publication Date
JP2008065693A true JP2008065693A (en) 2008-03-21

Family

ID=39288348

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006244440A Pending JP2008065693A (en) 2006-09-08 2006-09-08 Information processor, and its method and program for controlling installation

Country Status (1)

Country Link
JP (1) JP2008065693A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016218666A (en) * 2015-05-19 2016-12-22 株式会社リコー Information processing apparatus, information processing method, and program
JP2019220191A (en) * 2019-07-11 2019-12-26 株式会社リコー Information processing apparatus, information processing method, and program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003083646A1 (en) * 2002-04-03 2003-10-09 Ntt Docomo, Inc. Distribution method, distribution system, and terminal device
JP2005025477A (en) * 2003-07-01 2005-01-27 Ricoh Co Ltd Information processor, installation method, installation program, version information management device, and authentication information management device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003083646A1 (en) * 2002-04-03 2003-10-09 Ntt Docomo, Inc. Distribution method, distribution system, and terminal device
JP2005025477A (en) * 2003-07-01 2005-01-27 Ricoh Co Ltd Information processor, installation method, installation program, version information management device, and authentication information management device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016218666A (en) * 2015-05-19 2016-12-22 株式会社リコー Information processing apparatus, information processing method, and program
JP2019220191A (en) * 2019-07-11 2019-12-26 株式会社リコー Information processing apparatus, information processing method, and program

Similar Documents

Publication Publication Date Title
US9553858B2 (en) Hardware-based credential distribution
JP5620781B2 (en) Information processing apparatus, control method thereof, and program
JP5704518B2 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
US8359464B2 (en) Quarantine method and system
US8839357B2 (en) Method, system, and computer-readable storage medium for authenticating a computing device
EP1564625A1 (en) Computer security system and method
US9438629B2 (en) Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium
JP5321641B2 (en) Information processing system, information processing apparatus, and relay server
JP2004288169A (en) Network connection system
WO2009093572A1 (en) License authentication system and authentication method
TW200949603A (en) System and method for providing a system management command
JP2016177551A (en) Output device, program, output system, and output method
US20120311700A1 (en) Information processing apparatus and authentication information migration method
US10154023B1 (en) Method and system for secure instantiation of an operation system within the cloud
JP5272602B2 (en) Authentication function linkage device, authentication function linkage system, and authentication function linkage program
WO2012098265A1 (en) Method and system for controlling access to networks and/or services
US8171530B2 (en) Computer access security
JP2006260027A (en) Quarantine system, and quarantine method using vpn and firewall
JP4587688B2 (en) Encryption key management server, encryption key management program, encryption key acquisition terminal, encryption key acquisition program, encryption key management system, and encryption key management method
JP2008065693A (en) Information processor, and its method and program for controlling installation
WO2010103800A1 (en) Server, terminal, program, and service providing method
JP6464544B1 (en) Information processing apparatus, information processing method, information processing program, and information processing system
TWI669627B (en) File protection component and its protection method
JP2006079359A (en) Communication device, control method for communication device, program and recording medium
JP2007207067A (en) Server/client system, access control method in the system and program therefor

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090521

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111121

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111213