JP2011164686A - Information processor, image processor, login authentication method, program, and recording medium - Google Patents

Information processor, image processor, login authentication method, program, and recording medium Download PDF

Info

Publication number
JP2011164686A
JP2011164686A JP2010023255A JP2010023255A JP2011164686A JP 2011164686 A JP2011164686 A JP 2011164686A JP 2010023255 A JP2010023255 A JP 2010023255A JP 2010023255 A JP2010023255 A JP 2010023255A JP 2011164686 A JP2011164686 A JP 2011164686A
Authority
JP
Japan
Prior art keywords
authentication
authentication request
priority
unit
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010023255A
Other languages
Japanese (ja)
Inventor
Hirotsugu Okura
裕嗣 大倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2010023255A priority Critical patent/JP2011164686A/en
Publication of JP2011164686A publication Critical patent/JP2011164686A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To reduce fail-over time when an authentication server responds to an authentication request by a client in a JAAS Kerberos authentication system. <P>SOLUTION: When an authentication request is issued by a JAAS 13 to a KDC according to priority, the authentication request is issued for each KDC based on a Kerberos configuration file 15 generated so as to reflect user's initial setting, a successfully authenticated KDC is specified and registered in a priority registration unit 6, the Kerberos configuration file 15 is corrected such that an authentication request retry unit 4 can prioritize the KDC as an authentication request issuance destination at the next authentication. Fail-over time is reduced by optimizing the priority of the KDC as an authentication request issuance destination according to the status of the KDC at the time of authentication request and performing processing for issuing the authentication request. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、ログインに対する認証をネットワーク接続可能な複数の認証サーバを利用して行うJAASのKerberos認証に関し、より詳しくは、クライアントの認証要求に認証サーバが応答する際のフェイルオーバ時間の短縮化を図る認証処理を行う情報処理装置、画像処理装置、ログインの認証方法及び前記認証処理を実行するためのプログラム及び記録媒体に関する。   The present invention relates to JAAS Kerberos authentication that uses a plurality of authentication servers that can connect to a network for login authentication. More specifically, the present invention aims to shorten the failover time when an authentication server responds to a client authentication request. The present invention relates to an information processing apparatus, an image processing apparatus, a login authentication method, a program for executing the authentication process, and a recording medium.

公開された、例えばインターネットなどのネットワークで使うために開発された認証システムであるKerberos(登録商標、以下同様)では、冗長化を目的として、認証サーバとして1つのマスタKDC(KDC:Key Distribution Center:キー配布センター)と複数のスレーブKDCを構成要素とする認証システムを構成している。
また、Java(登録商標)認証・承認サービス(即ち、JAAS:Java(登録商標) Authentication and Authorization Service)のKerberos認証であるSun OSに実装するKerberos認証サービスでは、J2SE v1.4.2以降にスレーブKDCがサポートされ、KDCを複数指定できる。
このため、マスタKDCに障害が発生し、予め設定されたタイムアウト時間以内に応答がない場合、順次自動的にスレーブKDCへ認証をリダイレクトして実行を可能とする機能が既にこのKerberos認証システムが持つことは、知られるところである。 In Kerberos (registered trademark, the same applies hereinafter), which is an authentication system developed for use in a public network such as the Internet, for the purpose of redundancy, one master KDC (KDC: Key Distribution Center: Key distribution center) and an authentication system consisting of multiple slave KDCs.
In addition, in the Kerberos authentication service implemented in Sun OS, which is the Kerberos authentication of Java (registered trademark) authentication and authorization service (that is, JAAS: Java (registered trademark) Authentication and Authorization Service), the slave KDC is installed after J2SE v1.4.2. Supported, multiple KDCs can be specified.
For this reason, if a failure occurs in the master KDC and there is no response within the preset timeout period, this Kerberos authentication system already has a function that can automatically redirect and execute authentication to the slave KDC. That is known.

ただ、既存のSun OSに実装するKerberos認証サービスには、障害が発生したKDCが回復するまで優先させないように優先度を変える、といった対応を自動的に行うことで解決を図る機能もしくはどのKDCが応答したかを知る術を持たない。このため、次回認証を要求した場合に、再度マスタKDCから実行せざるを得ず、正常に動作するサーバが応答するまでのフェイルオーバ時間が掛かってしまう問題があった。
ところで、特許文献1には、ディスクアレイ装置等のストレージ装置を共用する複数のサーバを結合したクラスタシステムにおいて、あるサーバに障害が発生した場合に、代替サーバが処理やデータを引き継ぐフェイルオーバ機能が示されている。この従来技術では、ストレージ装置が状況検出部と優先度制御部を備え、サーバ側の状況をストレージ装置側からサーバの状況を観測し、観測結果に応じて処理の優先度を制御することにより、フェイルオーバ時間の短縮を図る動作を行うことが記載されている。 However, the Kerberos authentication service implemented in the existing Sun OS has a function to solve by automatically changing the priority so that priority is not given until the failed KDC recovers, or which KDC There is no way to know if you responded. For this reason, the next time authentication is requested, the master KDC must be executed again, and there is a problem that it takes a failover time until a normally operating server responds.
By the way, in Patent Document 1, in a cluster system in which a plurality of servers sharing a storage device such as a disk array device are combined, when a failure occurs in a certain server, a failover function in which an alternative server takes over processing and data is shown. Has been. In this prior art, the storage device includes a status detection unit and a priority control unit, the server status is observed from the storage device side, and the processing priority is controlled according to the observation result, It describes that an operation for reducing the failover time is performed.

しかしながら、特許文献1に示される従来技術では、サーバ状況の観測結果は、障害等の発生時に、処理やデータを引き継ぐ代替サーバの処理の優先度を高め、引き継ぎ時にフェイルオーバ時間が長引くことを避けることに利用され、またフェイルオーバ機能をハードウェアで実現するもので、JAASのKerberos認証サービスにおいて認証要求を行うクライアント側の動作により起きる上記したフェイルオーバ時間の問題を解決することができない。
本発明は、JAASのKerberos認証システムにおける上述の従来技術の問題に鑑みてなされたもので、その目的は、複数の認証サーバと、これらにネットワークを介して接続されるクライアントとしての情報処理装置をシステム要素として構成する認証システムにおいて、クライアントの認証要求に認証サーバが応答する際のフェイルオーバ時間を短縮することにある。 However, in the prior art disclosed in Patent Literature 1, the observation result of the server status increases the priority of the processing of the alternative server that takes over processing and data when a failure or the like occurs, and avoids prolonging the failover time when taking over. The failover function is implemented in hardware, and the above-described failover time problem caused by the client-side operation that makes an authentication request in the JAAS Kerberos authentication service cannot be solved.
The present invention has been made in view of the above-mentioned problems of the prior art in JAAS's Kerberos authentication system, and its purpose is to provide a plurality of authentication servers and an information processing apparatus as a client connected to these via a network. In an authentication system configured as a system element, it is to reduce a failover time when an authentication server responds to a client authentication request.

本発明は、ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行う情報処理装置であって、ユーザーのログインを受け付けるユーザーインターフェース部と、受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部とを有することを特徴とする。
本発明は、ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行い、ログインに伴う処理要求に応じて処理対象の画像にデータ処理を施す画像処理装置であって、ユーザーのログインを受け付けるユーザーインターフェース部と、受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部とを有することを特徴とする。
本発明は、ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行う情報処理装置におけるログインの認証方法であって、ユーザーのログインを受け付ける工程と、受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成工程と、認証要求の構成情報に基づいて認証要求を発行する認証要求発行工程と、発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録工程と、優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録工程で登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正工程と、修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行工程に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に前記優先順位登録工程で登録した認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ工程とを有することを特徴とする。 The present invention is an information processing apparatus that accepts a user's login and performs authentication for the accepted login using an authentication server that can be connected to a network, and includes a user interface unit that accepts a user's login and a received user's login. On the other hand, a configuration information creation unit that creates configuration information of an authentication request to be issued to a specified authentication server, an authentication request issue unit that issues an authentication request based on the configuration information of the authentication request, and an available destination that can be specified as an issue destination A priority order registration unit for registering the priority order of a plurality of authentication servers, and a next order registered in the priority order registration unit when a response to an authentication request issued to a prioritized authentication server is not obtained. Modify configuration information that modifies the configuration information of an existing authentication request in order to change the authentication server to the issue destination The authentication request issuing unit is instructed to execute an authentication request issued based on the modified authentication request configuration information, and a response to the authentication request issued to the changed authentication server is obtained. And an authentication request retry unit for changing the priority of the authentication server of the priority order registration unit from the initial priority to the order of giving priority to the authentication server from which a response has been obtained.
The present invention is an image processing apparatus that accepts a user login, performs authentication for the accepted login using an authentication server that can be connected to a network, and performs data processing on an image to be processed in response to a processing request accompanying the login. The user interface unit that accepts user login, the configuration information creation unit that creates the configuration information of the authentication request issued to the specified authentication server for the received user login, and authentication based on the configuration information of the authentication request An authentication request issuing unit that issues a request, a priority registration unit that registers the priorities of a plurality of available authentication servers that are designated as issue destinations, and a response to the authentication request issued to the priority authentication server If it cannot be obtained, the authentication server of the next order registered in the priority registration unit is changed to the issue destination. In order to issue, a configuration information correction unit for correcting configuration information of an existing authentication request, and an instruction to execute an authentication request issued based on the corrected configuration information of the authentication request are instructed to the authentication request issuing unit. When the response to the authentication request issued to the changed authentication server is obtained, the priority of the authentication server of the priority registration unit is set to the priority of the authentication server in which the response is obtained. And an authentication request retry unit for changing from the above.
The present invention relates to a login authentication method in an information processing apparatus that accepts a user's login and performs authentication for the accepted login using an authentication server that can be connected to a network, the step of accepting the user's login, and the accepted user Configuration information creation step for creating authentication request configuration information to be issued to the designated authentication server, authentication request issuance step for issuing an authentication request based on the authentication request configuration information, and designation as an issue destination Registered in the priority registration step when a response to an authentication request issued to a priority issuer authentication server cannot be obtained, and a priority order registration step of registering the priorities of a plurality of available authentication servers Modify the configuration information of the existing authentication request to change the authentication server of the next order to the issue destination and issue it. The authentication information issuing step and an instruction to execute the authentication request issued based on the configuration information of the corrected authentication request to the authentication request issuing step, and for the authentication request issued to the changed authentication server An authentication request retry step for changing the priority order of the authentication servers registered in the priority order registration step when the response is obtained from the initial priority order to a priority order for giving priority to the authentication server for which the response is obtained. It is characterized by that.

本発明によって、複数の認証サーバと、これらにネットワークを介して接続されるクライアントとしての情報処理装置をシステム要素として構成する認証システムにおいて、認証要求への応答結果によって、発行先として指定する利用可能な複数の認証サーバの優先順位を変更して、認証要求を行えるようにすることで、認証サーバが応答する際のフェイルオーバ時間を短縮することができる。   According to the present invention, in an authentication system comprising a plurality of authentication servers and an information processing apparatus as a client connected to these servers via a network as system elements, it can be used as an issue destination by a response result to an authentication request. By changing the priority order of a plurality of authentication servers so that an authentication request can be made, the failover time when the authentication server responds can be shortened.

本発明の画像処理装置の実施形態に係るハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions which concern on embodiment of the image processing apparatus of this invention. 本発明の情報処理装置(画像処理装置)における認証サーバとして用いるコンピュータのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the computer used as an authentication server in the information processing apparatus (image processing apparatus) of this invention. 一般的なKerberos認証システムにおけるクライアントのソフトウェア構成を示すブロック図である。It is a block diagram which shows the software configuration of the client in a general Kerberos authentication system. 図3の認証システムで作成されるKerberos構成ファイルの1例を示すブロック図である。FIG. 4 is a block diagram illustrating an example of a Kerberos configuration file created by the authentication system of FIG. 3. 図3の認証システムの認証要求時におけるクライアントの処理シーケンスを示す図である。It is a figure which shows the processing sequence of the client at the time of the authentication request | requirement of the authentication system of FIG. 本発明の実施形態に係るKerberos認証システムにおけるクライアントのソフトウェア構成を示すブロック図である。It is a block diagram which shows the software configuration of the client in the Kerberos authentication system which concerns on embodiment of this invention. 図6の認証システムで初回ログイン時に作成されるKerberos構成ファイルの1例を示すブロック図である。FIG. 7 is a block diagram showing an example of a Kerberos configuration file created at the time of first login with the authentication system of FIG. 6. 図6の認証システムの認証要求時におけるクライアントの処理シーケンスを示す図である。It is a figure which shows the processing sequence of the client at the time of the authentication request | requirement of the authentication system of FIG. 図6の認証システムでリトライ時に作成されるKerberos構成ファイルの1例を示すブロック図である。FIG. 7 is a block diagram illustrating an example of a Kerberos configuration file created at the time of a retry in the authentication system of FIG. 6.

本発明の実施形態について、添付図面を参照して説明する。
以下に示す実施形態は、認証サーバとしてのKDCを複数指定できるJAASのKerberos認証システムを構成する例を示す。
また、ネットワーク上でKDCを利用するクライアント装置にMFP(複写、プリンタ、スキャナ等の機能を複合して持つ複合機)等の画像処理装置を適用した例を示す。なお、MFPは、スキャナ読み取りにより画像データを生成する機能やスキャナ入力や外部機からネットワーク経由で入力される画像データ(印刷要求を含む)をもとに画像出力や外部機へのネットワーク配信に用いる画像データの処理を行う装置であり、共用されることが多く、Kerberos認証の必要性が高い画像処理装置の1つである。
ただ、基本的には、例示するMFP等の画像処理装置を対象にした以下に示す手法を、ログインに対するKerberos認証を必要とする例えば、共用されるPC(Personal Computer)等の他の情報処理装置に適用することにより、こうした情報処理装置に対しても同様に実施することができる。 Embodiments of the present invention will be described with reference to the accompanying drawings.
The following embodiment shows an example of configuring a JAAS Kerberos authentication system that can specify a plurality of KDCs as authentication servers.
In addition, an example in which an image processing apparatus such as an MFP (multifunction apparatus having a combination of functions such as a copy, a printer, and a scanner) is applied to a client apparatus that uses a KDC on a network is shown. The MFP is used for image output and network distribution to an external device based on a function of generating image data by scanning a scanner, image input from a scanner or an external device via a network (including a print request). It is an apparatus that processes image data, and is one of image processing apparatuses that are often shared and have a high necessity for Kerberos authentication.
However, basically, the following method for an image processing apparatus such as an MFP as an example is used as another information processing apparatus such as a shared PC (Personal Computer) that requires Kerberos authentication for login. By applying to the above, the present invention can be similarly applied to such an information processing apparatus.

「クライアント装置のハードウェア構成」
図1は、本実施形態のクライアント装置としての画像処理装置のハードウェア構成を示すブロック図である。
図1に示す画像処理装置100は、コントローラ110のもとに画像処理装置100全体が制御され、複写、プリンタ、スキャナ等の機能を利用する際にも必要となる各種デバイスの動作をコントローラ110が制御する。
コントローラ110は、ソフトウエアプログラムの命令を実行するためのCPU(Central Processing Unit)111と、該プログラムを格納するためのROM(Read Only Memory)112と、該プログラムの動作によって作成されるページメモリやプログラムの動作に必要なワークメモリとして利用するRAM(Random Access Memory)113と、画像処理装置100を適正に動作させるための設定条件などを保存しておく不揮発性メモリであるNVRAM114よりなるコンピュータで構成する。 "Hardware configuration of client device"
FIG. 1 is a block diagram illustrating a hardware configuration of an image processing apparatus as a client apparatus according to the present embodiment.
In the image processing apparatus 100 shown in FIG. 1, the entire image processing apparatus 100 is controlled under the controller 110, and the controller 110 controls the operations of various devices that are necessary even when using functions such as copying, printers, and scanners. Control.
The controller 110 includes a CPU (Central Processing Unit) 111 for executing instructions of the software program, a ROM (Read Only Memory) 112 for storing the program, a page memory created by the operation of the program, A computer comprising a RAM (Random Access Memory) 113 used as a work memory necessary for the operation of the program and an NVRAM 114 which is a non-volatile memory for storing setting conditions for properly operating the image processing apparatus 100 To do.

また、コントローラ110の構成要素として、ネットワーク上に接続された外部機120とデータのやり取りを行うためのネットワークI/F(インターフェース)115とエンジン130との間で印刷指令等の動作の指示を行うエンジンI/F116と、ユーザーインターフェース(UI)として機能する操作パネル140との間でデータのやり取りを行うための操作パネルI/F117を有する。
なお、ネットワークI/F115を介して接続される外部機120としては、ホストPCや後述する認証サーバなどが含まれる。エンジンI/F116を介して接続されるエンジン130としては、スキャナやプリンタなどが含まれる。操作パネル140は、表示部とキー等の入力操作を受付ける入力部とを備え、対話形式のUI機能を提供する。 Further, as a component of the controller 110, an operation instruction such as a print command is issued between the network I / F (interface) 115 for exchanging data with the external device 120 connected on the network and the engine 130. It has an operation panel I / F 117 for exchanging data between the engine I / F 116 and an operation panel 140 functioning as a user interface (UI).
Note that the external unit 120 connected via the network I / F 115 includes a host PC, an authentication server described later, and the like. Examples of the engine 130 connected via the engine I / F 116 include a scanner and a printer. The operation panel 140 includes a display unit and an input unit that receives an input operation such as a key, and provides an interactive UI function.

「認証サーバのハードウェア構成」
図2は、本実施形態に係る認証サーバのハードウェア構成を示すブロック図である。
この認証サーバ200のハードウェアは、PCで構成することができ、バス210と、それぞれがバス210に接続されたCPU212、メモリ213、通信装置214、表示装置215、HD(Hard Disk)ドライブ216、入力装置217、CD(Compact Disk)−ROM(Read Only Memory)ドライブ218及びFD(Flexible Disk)ドライブ219を有する。
CPU212は、この認証サーバ200の動作を制御する。メモリ213は、CPU212が起動時に実行するプログラムや必要なデータ等を記憶するためのROM、CPU212のワークエリア等を構成するためのRAMなどからなる。
CPU212は、RAMをワークメモリとして用いることにより、ROM、HDドライブ216などに格納されたソフトウェア(プログラム)を動作させ、これらの要素で構成するコンピュータを動作制御部として機能させる。このコンピュータは、本実施形態では、認証サーバとしてのKDCの処理を実行するためのプログラムを駆動することにより、これらの処理手段として機能する。 "Authentication Server Hardware Configuration"
FIG. 2 is a block diagram showing a hardware configuration of the authentication server according to the present embodiment.
The hardware of the authentication server 200 can be configured by a PC, and includes a bus 210, a CPU 212, a memory 213, a communication device 214, a display device 215, an HD (Hard Disk) drive 216, which are connected to the bus 210, respectively. It has an input device 217, a CD (Compact Disk) -ROM (Read Only Memory) drive 218, and an FD (Flexible Disk) drive 219.
The CPU 212 controls the operation of the authentication server 200. The memory 213 includes a ROM for storing a program executed by the CPU 212 at startup, necessary data, and a RAM for configuring a work area of the CPU 212.
The CPU 212 uses the RAM as a work memory to operate software (programs) stored in the ROM, the HD drive 216, and the like, and causes a computer configured by these elements to function as an operation control unit. In this embodiment, this computer functions as these processing means by driving a program for executing processing of the KDC as an authentication server.

通信装置214は、この認証サーバ200をインターネットなどのネットワークに接続し、画像処理装置(クライアント装置)100(図1)等とのデータ交換を行うための装置で、このネットワークによりJAASのKerberos認証システムを構成する。
表示装置215は、この認証サーバ200を操作するための画面や動作状態を表示する。
入力装置217は、キーボードやマウスなどからなり、この認証サーバ200に対する種々のキー操作や指示の入力を行うためのものである。
HDドライブ216は、KDCの処理を実行するためのプログラム、ワークデータ、及びファイルデータなどを記憶する。CD−ROMドライブ218は、CD−ROMやDVD−ROMなどの記録媒体の読み出しを行うための装置である。FDドライブ219は、フレキシブルディスクに対する書き込み及び読み出しを行うための装置である。 The communication device 214 is a device for connecting the authentication server 200 to a network such as the Internet and exchanging data with the image processing device (client device) 100 (FIG. 1) and the like. Configure.
The display device 215 displays a screen for operating the authentication server 200 and an operation state.
The input device 217 includes a keyboard, a mouse, and the like, and is used for inputting various key operations and instructions to the authentication server 200.
The HD drive 216 stores a program for executing KDC processing, work data, file data, and the like. The CD-ROM drive 218 is a device for reading a recording medium such as a CD-ROM or a DVD-ROM. The FD drive 219 is a device for performing writing and reading on a flexible disk.

「認証システムとその動作」
クライアント装置としての画像処理装置100とネットワークで接続された認証サーバ200とにより構成するJAASのKerberos認証システムと、この認証システムにおける認証時の動作を詳細に説明する。
以下の説明では、認証サーバとして1つのマスタKDC(master.sample.com)と2つのスレーブKDC(slave1.sample.com,slave2.sample.com)からレルム環境を構成する実施例を示す。また、利用する認証サーバの優先順位が予め設定されるが、その初期設定は、master.sample.com,slave1.sample.com,slave2.sample.comの順とする。 "Authentication system and its operation"
A JAAS Kerberos authentication system configured by an image processing apparatus 100 as a client apparatus and an authentication server 200 connected via a network, and an operation at the time of authentication in this authentication system will be described in detail.
In the following description, an embodiment is shown in which a realm environment is configured from one master KDC (master.sample.com) and two slave KDCs (slave1.sample.com, slave2.sample.com) as an authentication server. The priority order of the authentication servers to be used is set in advance, and the initial setting is the order of master.sample.com, slave1.sample.com, and slave2.sample.com.

〈先行技術〉
本発明に係る実施形態を説明する前に、先ず、JAASのKerberos認証システムとして、本発明と共通の手段を一部に用いて構成する先行技術の該認証システムの1例を図3〜5を参照して、説明する。なお、ここでは、この認証システムのクライアントの構成に特徴部分があり、認証サーバとしてのKDC自体は、既存の技術を適用することにより実施することができるので、認証サーバの詳細な説明は省略する。
図3は、JAAS API(Application Program Interface)を利用してKerberos認証を行うためにクライアント装置が用いる先行技術のソフトウェア構成を示すブロック図である。
図3に示すように、クライアント装置は、クライアントJava(登録商標) VM(Virtual Machine)10として、Kerberosクライアント9とJAAS(Java(登録商標) Authentication and Authorization Service)13を有する。また、クライアントJava(登録商標)
VM10は、ネットワーク30を介して1つのマスタKDC(master.sample.com)20と2つのスレーブKDC21,22(slave1.sample.com,slave2.sample.com)と接続する。 <Prior art>
Before describing an embodiment according to the present invention, first, as an example of a Kerberos authentication system of JAAS, an example of the authentication system of the prior art configured by using a part common to the present invention is shown in FIGS. Reference is made to the description. Here, there is a characteristic part in the configuration of the client of this authentication system, and the KDC itself as the authentication server can be implemented by applying the existing technology, and thus detailed description of the authentication server is omitted. .
FIG. 3 is a block diagram showing a prior art software configuration used by a client device to perform Kerberos authentication using JAAS API (Application Program Interface).
As illustrated in FIG. 3, the client apparatus includes a Kerberos client 9 and a Java (registered trademark) Authentication and Authorization Service (JAAS) 13 as a client Java (registered trademark) VM (virtual machine) 10. Client Java (registered trademark)
The VM 10 is connected to one master KDC (master.sample.com) 20 and two slave KDCs 21 and 22 (slave1.sample.com, slave2.sample.com) via the network 30.

Kerberosクライアント9は、UI(ユーザーインターフェース)部1と、Kerberos構成ファイル(krb5.conf)15を作成する構成ファイル作成部2と、JAAS13に認証を依頼する認証要求部3を構成要素とする。
JAAS13は、LoginContext11とKrb5LoginModule12を構成要素とし、後述するように、認証要求を認証サーバとしてのKDCへ発行する際の処理を行う。
構成ファイル作成部2が作成するKerberos構成ファイル15には、Kerberosクライアント9、認証サーバ(KDC)20〜22、管理用ユーティリティ及びKDC自身にリンクされる、Kerberosライブラリに必要な情報がすべて含まれる。
図4は、Kerberos構成ファイル15の1例を示すものである。
図4に示す例では、[realms]の記述のもと、SAMPLE.COMレルム内に、1つのマスタKDC(master.sample.com)と2つのスレーブKDC(slave1.sample.com,slave2.sample.com)よりなる3つのKDCがユーザーによって設定された優先順位に従って定義されている。 The Kerberos client 9 includes a UI (user interface) unit 1, a configuration file creation unit 2 that creates a Kerberos configuration file (krb5.conf) 15, and an authentication request unit 3 that requests JAAS 13 for authentication.
JAAS 13 uses LoginContext 11 and Krb5LoginModule 12 as components, and performs processing when issuing an authentication request to KDC as an authentication server, as will be described later.
The Kerberos configuration file 15 created by the configuration file creation unit 2 includes all information necessary for the Kerberos library linked to the Kerberos client 9, the authentication servers (KDC) 20 to 22, the management utility, and the KDC itself.
FIG. 4 shows an example of the Kerberos configuration file 15.
In the example shown in FIG. 4, under the description of [realms], one master KDC (master.sample.com) and two slave KDCs (slave1.sample.com, slave2.sample.) Are included in the SAMPLE.COM realm. com) are defined according to the priority set by the user.

クライアントJava(登録商標) VM10が行う認証要求の処理過程を、図5の処理手順を表すシーケンス図を参照して説明する。
UI部1は、このKerberos認証に必要な情報を入力するインターフェースと、ユーザー認証に必要なユーザー情報を入力するインターフェースを持つ。従って、これらのインターフェースを介して行われるそれぞれの入力に応じて行うシーケンスを図5に示している。
Kerberos認証に必要な情報は、ユーザーの操作によって、Kerberosクライアント9のUI部1を介してKDC設定として入力される(図5,シーケンス1)。
このとき、UI部1は、入力されたKerberos認証に必要な情報の中から利用するKDCの優先順位を定める情報を構成ファイル作成部2に渡す(図5,シーケンス1.1)。
次に、構成ファイル作成部2は、UI部1から渡された利用するKDCの優先順位を定める情報等をもとに、既定のフォーマットに従いKerberos構成ファイル15を作成する(図5,シーケンス1.2)。なお、作成されるKerberos構成ファイル15(krb5.conf)には、[realms]の記述のもとに、KDCがユーザーによって設定された優先順位で定義される。 An authentication request processing process performed by the client Java (registered trademark) VM 10 will be described with reference to a sequence diagram showing a processing procedure of FIG.
The UI unit 1 has an interface for inputting information necessary for this Kerberos authentication and an interface for inputting user information necessary for user authentication. Therefore, FIG. 5 shows a sequence performed in accordance with each input performed through these interfaces.
Information necessary for Kerberos authentication is input as a KDC setting via the UI unit 1 of the Kerberos client 9 by a user operation (FIG. 5, sequence 1).
At this time, the UI unit 1 passes information for determining the priority order of the KDC to be used from the input information necessary for Kerberos authentication to the configuration file creation unit 2 (FIG. 5, sequence 1.1).
Next, the configuration file creation unit 2 creates the Kerberos configuration file 15 according to a predetermined format based on the information for determining the priority order of the KDC used from the UI unit 1 (FIG. 5, sequence 1. 2). In the created Kerberos configuration file 15 (krb5.conf), KDCs are defined in the priority order set by the user based on the description of [realms].

また、ユーザーの操作によって、Kerberosクライアント9のUI部1を介してログインの入力がなされる(図5,シーケンス2)。
このとき、UI部1は、ユーザーのログインを受付け、ログインに示されたユーザー情報を付して認証要求部3に認証要求の処理を依頼する。この依頼を受けた認証要求部3は、UI部1から渡されたユーザー情報を用いJAAS API のLoginContext11と対話し認証要求を行う(図5,シーケンス2.1)。
次いで、Krb5LoginModule12は、LoginContext11を介して受付けた認証要求に応じてKerberosプロトコルを使用して認証サーバへユーザー認証要求を発行する。この処理の手順としては、Krb5LoginModule12は、構成ファイル作成部2が上記シーケンス1.2で作成したKerberos構成ファイル15(krb5.conf)を読み込み(図5,シーケンス2.1.1)、Kerberos構成ファイル15の記述に従い、Kerberosプロトコルを使用してKDCへユーザー認証要求を発行する(図5,シーケンス2.1.2,2.1.3,2.1.4)。 In addition, a login operation is input through the UI unit 1 of the Kerberos client 9 by a user operation (FIG. 5, sequence 2).
At this time, the UI unit 1 accepts the user's login, attaches the user information indicated in the login, and requests the authentication request unit 3 to process the authentication request. Upon receiving this request, the authentication request unit 3 uses the user information passed from the UI unit 1 to interact with the LoginContext 11 of the JAAS API and makes an authentication request (FIG. 5, sequence 2.1).
Next, the Krb5LoginModule 12 issues a user authentication request to the authentication server using the Kerberos protocol in response to the authentication request received via the LoginContext 11. As a procedure of this process, the Krb5LoginModule 12 reads the Kerberos configuration file 15 (krb5.conf) created by the configuration file creation unit 2 in the sequence 1.2 (FIG. 5, sequence 2.1.1), and the Kerberos configuration file. According to the description in 15, a user authentication request is issued to the KDC using the Kerberos protocol (FIG. 5, sequence 2.1.2, 2.1.3, 2.1.4).

図4に例示したKerberos構成ファイルによると、Krb5LoginModule12は、KDCリストの記述における上から順に、即ち(master.sample.com,slave1.sample.com,slave2.sample.com)の順に認証をリダイレクトする。
例えば、master.sample.comのKDCへユーザー認証要求を発行し(図5,シーケンス2.1.2)、発行したKDCに何らかの障害が発生し、設定されたタイムアウト時間(kdc_timeoutの値:ミリ秒)内に応答が無い場合には、次の順位のslave1.sample.comに対して自動的にリダイレクトし、認証要求を発行する(図5,シーケンス2.1.3)。
同様に、slave1.sample.comのKDCに障害が発生し、タイムアウト時間内に応答が無い場合には、次の順位のslave2.sample.comに対して認証要求を発行する(図5,シーケンス2.1.4)。
ここで、slave2.sample.comからはタイムアウト時間内に応答があり、このKDCにより認証に成功した場合には、認証結果がKerberosクライアント9に伝えられ、またログインの可、不可をログイン結果として操作パネルの表示部を通してユーザーに通知する。 According to the Kerberos configuration file illustrated in FIG. 4, the Krb5LoginModule 12 redirects authentication in order from the top in the description of the KDC list, that is, (master.sample.com, slave1.sample.com, slave2.sample.com).
For example, a user authentication request is issued to the KDC of master.sample.com (Fig. 5, sequence 2.1.2), and some failure occurs in the issued KDC, and the set timeout time (value of kdc_timeout: milliseconds) If there is no response in (), it is automatically redirected to slave1.sample.com in the next rank and an authentication request is issued (FIG. 5, sequence 2.1.3).
Similarly, when a failure occurs in the KDC of slave1.sample.com and there is no response within the timeout period, an authentication request is issued to slave2.sample.com of the next rank (FIG. 5, sequence 2). .1.4).
Here, there is a response from the slave2.sample.com within the timeout period, and if the authentication is successful by this KDC, the authentication result is transmitted to the Kerberos client 9, and the login result is operated as the login result. Notify the user through the panel display.

上記のように、先行技術によって、予めユーザーの入力により定めた優先順位で複数のKDCに自動でリダイレクトする機能が実現される。
ただ、クライアントJava(登録商標) VM10のJAAS13には、上記の例のように、master.sample.comとslave1.sample.comからの応答が得られず、slave2.sample.comで認証に成功した場合、この状況を知る術がなく、KDCの優先順位をそのときの状況に合わせて最適化する機能を用意していないため、次回認証を要求した場合に、再度master.sample.comから実行してしまい、状況が変わらなければ、以前と同様に応答時間が掛かってしまうことになってしまう。 As described above, according to the prior art, a function of automatically redirecting to a plurality of KDCs with a priority determined in advance by user input is realized.
However, as shown in the example above, the response from master.sample.com and slave1.sample.com was not obtained in JAAS13 of client Java (registered trademark) VM10, and authentication was successful at slave2.sample.com. In this case, there is no way to know this situation and there is no function to optimize the priority of the KDC according to the situation at that time, so the next time authentication is requested, it is executed again from master.sample.com. If the situation does not change, it will take a response time as before.

〈本発明の実施形態〉
そこで、本発明の実施形態では、優先順位に従ってKDCへの認証要求を発行する際に、初回には、予め定めた初期優先順位に従い認証要求をKDCへ発行し、いずれかのKDCで認証に成功した場合に、そのとき認証に成功した、即ち認証結果を得たKDCを次回に認証要求を発行するときに発行先として優先させる。
このために、本実施形態は、優先順位に従い認証要求をKDCに発行する際に、KDCごとに認証要求を発行し、認証に成功したKDCを特定できるようにし、次回に特定したKDCを認証要求の発行先として優先させるために必要な情報を管理する。
このように、認証要求時のKDCの状況に応じて、要求の発行先とするKDCの優先順位を最適化し、認証要求を発行する処理を行うことによって、先行技術の上記問題を解決する。 <Embodiment of the present invention>
Therefore, in the embodiment of the present invention, when issuing an authentication request to the KDC in accordance with the priority order, the authentication request is issued to the KDC in accordance with a predetermined initial priority order for the first time, and the authentication is successful in any KDC. If the authentication is successful, that is, the KDC that has obtained the authentication result is given priority as the issue destination when the authentication request is issued next time.
Therefore, in this embodiment, when issuing an authentication request to the KDC in accordance with the priority order, the authentication request is issued for each KDC so that the KDC that has been successfully authenticated can be specified, and the next specified KDC is requested to be authenticated. Manage the information necessary to give priority to the issuer.
As described above, the priorities of the prior art are solved by optimizing the priority order of the KDCs to which requests are issued according to the state of the KDC at the time of the authentication request and performing the process of issuing the authentication request.

本実施形態のJAASのKerberos認証システムの1例を図6〜9を参照して、説明する。なお、ここでは、この認証システムのクライアントの構成に特徴部分があり、認証サーバとしてのKDC自体は、既存の技術を適用することにより実施することができるので、認証サーバの詳細な説明は省略する。
図6は、JAAS API(Application Program Interface)を利用してKerberos認証を行うためにクライアント装置(図1の画像処理装置100)が用いるソフトウェア構成を示すブロック図である。
図6に示すように、クライアント装置は、クライアントJava(登録商標) VM(Virtual Machine)10として、Kerberosクライアント9とJAAS(Java(登録商標) Authentication and Authorization Service)13を有する。また、クライアントJava(登録商標)
VM10は、ネットワーク30を介して1つのマスタKDC(master.sample.com)20と2つのスレーブKDC21,22(slave1.sample.com,slave2.sample.com)と接続する。 An example of the JAAS Kerberos authentication system of this embodiment will be described with reference to FIGS. Here, there is a characteristic part in the configuration of the client of this authentication system, and the KDC itself as the authentication server can be implemented by applying the existing technology, and thus detailed description of the authentication server is omitted. .
FIG. 6 is a block diagram showing a software configuration used by the client apparatus (image processing apparatus 100 in FIG. 1) to perform Kerberos authentication using JAAS API (Application Program Interface).
As illustrated in FIG. 6, the client device includes a Kerberos client 9 and a Java (registered trademark) Authentication and Authorization Service (JAAS) 13 as a client Java (registered trademark) VM (virtual machine) 10. Client Java (registered trademark)
The VM 10 is connected to one master KDC (master.sample.com) 20 and two slave KDCs 21 and 22 (slave1.sample.com, slave2.sample.com) via the network 30.

Kerberosクライアント9は、UI(ユーザーインターフェース)部1と、Kerberos構成ファイル(krb5.conf)15を作成する構成ファイル作成部2と、JAAS13に認証を依頼する認証要求部3と、認証要求部3に対し要求を繰り返し行うことが可能な認証要求リトライ部4と、認証要求リトライ部4の指示でKerberos構成ファイル15を修正する構成ファイル修正部5と、認証要求リトライによって変更される接続するKDCの優先順位を登録する優先順位登録部6を構成要素とする。
なお、上記UI部1は、Kerberos認証に必要な情報として、接続するKDCの優先順位等を入力するインターフェースと、ユーザー認証に必要なユーザー情報を入力するインターフェースを持つ。また、構成ファイル作成部2は、UI部1から渡されたKerberos認証に必要な情報を元に、既定のフォーマットに従いKerberos構成ファイル15を作成する。これらの点では、上述の先行技術におけるKerberosクライアントと同様である。 The Kerberos client 9 includes a UI (user interface) unit 1, a configuration file creation unit 2 that creates a Kerberos configuration file (krb5.conf) 15, an authentication request unit 3 that requests JAAS 13 for authentication, and an authentication request unit 3. Authentication request retry unit 4 that can repeatedly make requests, configuration file modification unit 5 that modifies Kerberos configuration file 15 according to instructions from authentication request retry unit 4, and priority of connected KDC that is changed by authentication request retry The priority order registration unit 6 for registering the order is a constituent element.
The UI unit 1 has an interface for inputting the priority of KDC to be connected as information necessary for Kerberos authentication, and an interface for inputting user information necessary for user authentication. Further, the configuration file creation unit 2 creates a Kerberos configuration file 15 according to a predetermined format based on information necessary for Kerberos authentication passed from the UI unit 1. These points are the same as the Kerberos client in the prior art described above.

JAAS13は、LoginContext11とKrb5LoginModule12を構成要素とし、後述するように、認証要求を認証サーバとしてのKDCへ発行する際の処理を行う。
構成ファイル作成部2が作成するKerberos構成ファイル15には、Kerberosクライアント9、認証サーバ(KDC)20〜22、管理用ユーティリティ及びKDC自身にリンクされる、Kerberosライブラリに必要な情報がすべて含まれる。
図7は、本実施形態で作成されるKerberos構成ファイル15の1例を示すものである。
図7に示す例では、[realms]の記述のもと、SAMPLE.COMレルム内に、1つのKDCだけが設定される。なお、図7の例では、ユーザーによって設定された優先順位の先頭のマスタKDC(master.sample.com)だけが定義されている。これは、1つのKDCだけを設定し認証要求のリトライ動作を行うことにより、認証に成功したKDCを特定できるようにするためである。このリトライ動作については、下記の処理手順で詳細に説明する。 JAAS 13 uses LoginContext 11 and Krb5LoginModule 12 as components, and performs processing when issuing an authentication request to KDC as an authentication server, as will be described later.
The Kerberos configuration file 15 created by the configuration file creation unit 2 includes all information necessary for the Kerberos library linked to the Kerberos client 9, the authentication servers (KDC) 20 to 22, the management utility, and the KDC itself.
FIG. 7 shows an example of the Kerberos configuration file 15 created in the present embodiment.
In the example shown in FIG. 7, only one KDC is set in the SAMPLE.COM realm under the description of [realms]. In the example of FIG. 7, only the first master KDC (master.sample.com) in the priority order set by the user is defined. This is because only one KDC is set and an authentication request retry operation is performed, so that a KDC that has been successfully authenticated can be identified. This retry operation will be described in detail in the following processing procedure.

クライアントJava(登録商標) VM10が行う認証要求の処理過程を、図8の処理手順を表すシーケンス図を参照して説明する。
先ず、ユーザーの操作によってKerberosクライアント9のUI部1を介して、Kerberos認証に必要な情報が、KDC設定として入力される(図8,シーケンス1)。
このとき、UI部1は、入力されたKerberos認証に必要な情報の中から利用するKDCの優先順位を定める情報を構成ファイル作成部2に渡す(図8,シーケンス1.1)。
次に、構成ファイル作成部2は、UI部1から渡された利用するKDCの優先順位を定める情報等をもとに、既定のフォーマットに従いKerberos構成ファイル15を作成する(図8,シーケンス1.2)。なお、作成されるKerberos構成ファイル15(krb5.conf)には、[realms]の記述のもとに、KDCがユーザーによって設定された優先順位で定義される(図4、参照)。ここまでのシーケンスは、図5に示した先行技術のシーケンスと変わりがなく、作成されるKerberos構成ファイル15は、図4に示したものと同じである。 An authentication request processing process performed by the client Java (registered trademark) VM 10 will be described with reference to a sequence diagram showing a processing procedure of FIG.
First, information necessary for Kerberos authentication is input as a KDC setting via the UI unit 1 of the Kerberos client 9 by a user operation (FIG. 8, sequence 1).
At this time, the UI unit 1 passes information for determining the priority order of the KDC to be used from the input information necessary for Kerberos authentication to the configuration file creation unit 2 (FIG. 8, sequence 1.1).
Next, the configuration file creation unit 2 creates the Kerberos configuration file 15 according to a predetermined format based on the information for determining the priority order of the KDC to be used passed from the UI unit 1 (FIG. 8, sequence 1. 2). In the created Kerberos configuration file 15 (krb5.conf), KDCs are defined in the priority order set by the user based on the description of [realms] (see FIG. 4). The sequence so far is the same as the sequence of the prior art shown in FIG. 5, and the Kerberos configuration file 15 to be created is the same as that shown in FIG.

また、ユーザーの操作によって、Kerberosクライアント9のUI部1を介してログインの入力がなされる(図8,シーケンス2)。
このとき、クライアント装置と認証サーバとしてのKDCとの間のSession Timeout(セッションタイムアウト)が確認され、Session Timeoutであれば、優先順位を初期化する(図8,シーケンス2.1)。この実施形態では、セッションタイムとして、前回のログイン時刻(この実施形態では、ログインの認証時刻)から所定時間を決め、その時間が経過するまでは、優先順位を初期化しないで、前回のログインに対して行った認証要求の処理結果に応じてKDCの優先順位を変更し、変更した優先順位に従った処理を行う。つまり、認証要求のリトライ動作(後記で詳述)を行うことにより、認証に成功したKDCを次回の認証要求を発行するときの発行先として優先させる動作を実施するタイムリミットをセッションタイムによって定める。 In addition, a login operation is input through the UI unit 1 of the Kerberos client 9 by a user operation (FIG. 8, sequence 2).
At this time, the Session Timeout (session timeout) between the client device and the KDC as the authentication server is confirmed, and if it is Session Timeout, the priority is initialized (FIG. 8, sequence 2.1). In this embodiment, a predetermined time is determined as the session time from the previous login time (in this embodiment, the login authentication time), and priorities are not initialized until the time has elapsed. The priority order of the KDC is changed in accordance with the processing result of the authentication request made for the process, and processing according to the changed priority order is performed. That is, by performing an authentication request retry operation (described in detail later), a time limit for performing an operation to prioritize the KDC that has been successfully authenticated as an issue destination when the next authentication request is issued is determined by the session time.

上記のセッションタイムは、認証システムの構成を含めさまざまな要因により適正な値が異なるので、例えば、認証システムの構成ごとに得られた経験値をもとにそれぞれの認証システムに適応する値が定められる。
Session Timeoutで初期化するときに設定される初期優先順位は、例えば、認証システムを稼動した際の成功率の高さや処理時間を経験値としてその統計データを求め、求められたデータをもとに認証システムを構成するKDCに予め順位を付け、クライアント装置内に保存しておく。
認証要求リトライ部4は、クライアント装置自身が発する初期化の指令を受け、保存しておいた初期優先順位を優先順位登録部6に登録することにより、実行時にこの優先順位を適用する。 The appropriate value for the above session time varies depending on various factors including the configuration of the authentication system.For example, a value to be applied to each authentication system is determined based on the experience value obtained for each configuration of the authentication system. It is done.
The initial priority set when initializing with Session Timeout is, for example, the statistical data is obtained based on the high success rate and processing time when the authentication system is operated as the experience value, and based on the obtained data. Priorities are assigned to the KDCs constituting the authentication system and stored in the client device.
The authentication request retry unit 4 receives an initialization command issued by the client device itself, and registers the stored initial priority in the priority registration unit 6 to apply this priority at the time of execution.

Session Timeoutで優先順位を初期化した場合には、ログインしたユーザーが操作パネルから認証に用いるKDCの優先順位を指定する入力を行うことがあるので、入力された場合には、入力された優先順位と初期設定との異同を確認する(図8,シーケンス2.2)。
ユーザーによって入力された優先順位が、初期化時に設定された初期優先順位と異なる場合に、構成ファイル修正部5は、上述のシーケンス1.2で作成されたKerberos構成ファイル15をユーザーの入力に従って修正する(図8,シーケンス2.3)。このとき、この実施形態では、図7で例示したように、ユーザーによって設定された優先順位の1番目のマスタKDC(master.sample.com)だけを定義する修正がKerberos構成ファイル15に加えられる。 If the priority is initialized with Session Timeout, the logged-in user may input from the operation panel to specify the priority of the KDC to be used for authentication. And the difference between the initial settings (Fig. 8, Sequence 2.2).
When the priority input by the user is different from the initial priority set at the time of initialization, the configuration file correction unit 5 corrects the Kerberos configuration file 15 created in the above sequence 1.2 according to the user input. (FIG. 8, sequence 2.3). At this time, in this embodiment, as illustrated in FIG. 7, a modification that defines only the first master KDC (master.sample.com) having the priority set by the user is added to the Kerberos configuration file 15.

Kerberos構成ファイル15の修正後、UI部1からのユーザーのログインを受付けた認証要求リトライ部4は、ログインに示されたユーザー情報を付して認証要求部3に認証要求の処理を依頼する。この依頼を受けた認証要求部3は、UI部1から渡されたユーザー情報を用いJAAS APIのLoginContext11と対話し認証要求を行う(図8,シーケンス2.4)。
次いで、Krb5LoginModule12は、LoginContext11を介して受付けた認証要求に応じてKerberosプロトコルを使用して認証サーバへユーザー認証要求を発行する。この処理の手順としては、Krb5LoginModule12は、構成ファイル作成部2が上記図8,シーケンス2.3で修正したKerberos構成ファイル15(krb5.conf)を読み込み(図8,シーケンス2.4.1)、Kerberos構成ファイル15の記述に従い、Kerberosプロトコルを使用して優先順位の1番目のKDCへユーザー認証要求を発行する(図8,シーケンス2.4.2)。 After the modification of the Kerberos configuration file 15, the authentication request retry unit 4 that has accepted the user login from the UI unit 1 attaches the user information indicated in the login and requests the authentication request unit 3 to process the authentication request. Upon receiving this request, the authentication request unit 3 uses the user information passed from the UI unit 1 to interact with the JAAS API LoginContext 11 to make an authentication request (FIG. 8, sequence 2.4).
Next, the Krb5LoginModule 12 issues a user authentication request to the authentication server using the Kerberos protocol in response to the authentication request received via the LoginContext 11. As a procedure of this process, the Krb5LoginModule 12 reads the Kerberos configuration file 15 (krb5.conf) modified by the configuration file creation unit 2 in FIG. 8 and sequence 2.3 (FIG. 8, sequence 2.4.1), According to the description of the Kerberos configuration file 15, a user authentication request is issued to the first priority KDC using the Kerberos protocol (FIG. 8, sequence 2.4.2).

図8のシーケンスでは、シーケンス2.4.2で発行した優先順位の1番目のKDCに何らかの障害が発生し、設定されたタイムアウト時間(kdc_timeoutの値:ミリ秒)内に応答が無かった場合であり、この場合には、次の順位のKDCに対して認証要求を発行する。
このための手順として、構成ファイル修正部5は、上述のシーケンス2.3で修正されたKerberos構成ファイル15を、さらにユーザーの入力で指示された優先順位に従って発行先のKDCの修正を行う(図8,シーケンス2.5)。このとき、この実施形態では、図9のKerberos構成ファイルに示すように、[realms]の記述のもと、SAMPLE.COMレルム内に、ユーザーによって設定された優先順位の2番目のKDCだけを定義する修正が加えられる。 In the sequence shown in FIG. 8, when a failure occurs in the first priority KDC issued in sequence 2.4.2 and there is no response within the set timeout period (kdc_timeout value: milliseconds). Yes, in this case, an authentication request is issued to the next-ranked KDC.
As a procedure for this, the configuration file modification unit 5 further modifies the Kerberos configuration file 15 modified in the above-described sequence 2.3 according to the priority order instructed by the user input (see FIG. 8, sequence 2.5). At this time, in this embodiment, as shown in the Kerberos configuration file in FIG. 9, only the second KDC having the priority set by the user is defined in the SAMPLE.COM realm under the description of [realms]. Correction to be made.

Kerberos構成ファイル15の修正後、UI部1からのユーザーのログインを受付けた認証要求リトライ部4は、ログインに示されたユーザー情報を付して認証要求部3に認証要求の処理を依頼する。この依頼を受けた認証要求部3は、UI部1から渡されたユーザー情報を用いJAAS APIのLoginContext11と対話し認証要求を行う(図8,シーケンス2.6)。
次いで、Krb5LoginModule12は、LoginContext11を介して受付けた認証要求に応じてKerberosプロトコルを使用して認証サーバへユーザー認証要求を発行する。この処理の手順としては、Krb5LoginModule12は、構成ファイル作成部2が上記図8,シーケンス2.5で修正したKerberos構成ファイル15(krb5.conf)を読み込み(図8,シーケンス2.6.1)、Kerberos構成ファイル15の記述に従い、Kerberosプロトコルを使用して優先順位の2番目のKDCへユーザー認証要求を発行する(図8,シーケンス2.6.2)。 After the modification of the Kerberos configuration file 15, the authentication request retry unit 4 that has accepted the user login from the UI unit 1 attaches the user information indicated in the login and requests the authentication request unit 3 to process the authentication request. Upon receiving this request, the authentication requesting unit 3 interacts with the LoginContext 11 of the JAAS API using the user information passed from the UI unit 1 and makes an authentication request (FIG. 8, sequence 2.6).
Next, the Krb5LoginModule 12 issues a user authentication request to the authentication server using the Kerberos protocol in response to the authentication request received via the LoginContext 11. As a procedure of this process, the Krb5LoginModule 12 reads the Kerberos configuration file 15 (krb5.conf) modified by the configuration file creation unit 2 in FIG. 8 and sequence 2.5 (FIG. 8, sequence 2.6.1), In accordance with the description in the Kerberos configuration file 15, a user authentication request is issued to the second priority KDC using the Kerberos protocol (FIG. 8, sequence 2.6.2).

ここで、2番目のKDCからはタイムアウト時間内に応答があり、このKDCにより認証に成功した場合には、認証結果がKerberosクライアント9に通知される。なお、Kerberosクライアント9が受取る認証結果には、認証の成功、失敗の結果とともに、認証したKDCを特定する情報及びこのときの時刻が付加されている。なお、前記時刻は、認証結果の通知時の時刻でもよいが、認証時にKDCで付したタイムスタンプが付加されている場合には、このタイムスタンプとする。
この認証結果を受取ったKerberosクライアント9の認証要求リトライ部4は、通知された優先順位登録部6に認証に成功した正常稼動中のKDCとタイムスタンプを対応付けて登録する。この登録は、次回に用いるKDCの優先順位の変更をするので、認証に成功した正常稼動中のKDCを優先順位の1番目にして登録を行う(図8,シーケンス2.7)。
なお、この優先順位の変更を行う場合に、このログインに対して発行された認証要求に応答せず、認証に失敗したKDCには、リダイレクトしないようにする。これは、失敗直後には、先の失敗の原因が除かれ、リトライで成功する可能性が低いので、認証に失敗したKDCを加えると、フェイルオーバ時間を短縮するためには、負の要因になると考えられるからである。 Here, there is a response from the second KDC within the timeout time, and when the authentication is successful by this KDC, the authentication result is notified to the Kerberos client 9. The authentication result received by the Kerberos client 9 is added with information specifying the authenticated KDC and the time at this time, along with the result of the authentication success and failure. The time may be the time when the authentication result is notified. However, if the time stamp added by the KDC at the time of authentication is added, this time stamp is used.
Upon receiving this authentication result, the authentication request retry unit 4 of the Kerberos client 9 registers the KDC successfully authenticated and the time stamp in association with the notified priority registration unit 6. Since this registration changes the priority order of the KDC to be used next time, registration is performed with the normal operation KDC that has been successfully authenticated as the first priority order (FIG. 8, sequence 2.7).
Note that when changing the priority order, the authentication request issued for this login is not responded, and the KDC that fails authentication is not redirected. This is because immediately after the failure, the cause of the previous failure is removed and the possibility of success in the retry is low, so adding a KDC that failed to authenticate is a negative factor in order to shorten the failover time. It is possible.

また、認証要求リトライ部4は、認証時にKDCで付したタイムスタンプが好適である、この認証結果を受取ったときの認証時刻をもとに、セッションを作成する(図8,シーケンス2.8)。
作成されたセッションの時刻はセッションの開始時刻となり、次回のユーザーログイン時においてSession Timeoutを確認するとき(図8,シーケンス2.1、参照)に用いられる。つまり、このセッションの開始時刻から始まるセッションタイムを越える、Session Timeoutをしなければ、今回変更した優先順位を使用して認証要求の発行先を決め、他方、Session Timeoutであれば、セッションをクリアとともに優先順位を初期化し、KDC復旧時にも対応可能にするという手順を行うことができるようにする。
また、認証の成功、失敗に従うログインの可、不可をログイン結果として操作パネルの表示部を通してユーザーに通知する。 Further, the authentication request retry unit 4 creates a session based on the authentication time when the authentication result is received, which is preferably the time stamp given by the KDC at the time of authentication (FIG. 8, sequence 2.8). .
The time of the created session is the start time of the session, and is used when confirming the Session Timeout at the next user login (see FIG. 8, sequence 2.1). In other words, if you do not set Session Timeout exceeding the session time starting from the start time of this session, the authentication request is issued using the priority changed this time. On the other hand, if Session Timeout is used, the session is cleared and The procedure to initialize the priority order and make it possible to cope with KDC recovery is also possible.
In addition, the user is notified through the display unit of the operation panel as a login result whether or not the login according to the success or failure of the authentication is possible.

〈優先順位の変更に付随する処理〉
本実施形態では、上記のように、セッションタイムを越えるまでは、前回ログイン時に正常に稼動したKDCを優先させるように変更した優先順位を使用して認証要求の発行先を決める。
ただ、変更した順位を適用して発行した認証要求に対して、常にそのKDCが正常に稼動する保証があるわけではない。
そこで、変更した順位を適用した発行先のKDCが正常に稼動しなかった場合には、優先順位を初期の設定に戻すようにする。この方法を用いることによって、KDCに生じる障害によっては、ログインの処理をより速く行うことが可能になる。 <Processing accompanying priority change>
In the present embodiment, as described above, until the session time is exceeded, the authentication request issuance destination is determined using the priority order changed so that the KDC that normally operates at the time of the previous login is given priority.
However, there is no guarantee that the KDC will always operate normally for authentication requests issued by applying the changed order.
Therefore, when the issue destination KDC to which the changed order is applied does not operate normally, the priority order is returned to the initial setting. By using this method, the login process can be performed faster depending on the failure that occurs in the KDC.

上述のように、本実施形態のJAASのKerberos認証システムによると、認証要求を、予めクライアント装置自身が初期条件として設定するか、もしくはユーザーの設定する優先順位に従い定めたKDCへ順次リトライして発行し、認証要求へ応答したKDCを優先させるように、利用可能な複数のKDCの優先順位を変更して、次回の認証要求の発行先とすることで、認証要求時のKDCの状況に応じて優先順位を適正化し、この順位に従い認証要求を発行することによって、フェイルオーバ時間を短縮することができる。さらに、認証要求へ応答したKDCのタイムスタンプからの経過時間をチェックし、所定時間経過(セッションタイムアウト)した場合に優先順位を初期化することで、KDC復旧時にも対応可能になり、最適化が可能になる。   As described above, according to the JAAS Kerberos authentication system of the present embodiment, an authentication request is issued as an initial condition set in advance by the client device itself or sequentially to the KDC determined according to the priority set by the user. Depending on the status of the KDC at the time of the authentication request, the priority of the multiple KDCs that can be used is changed so that the KDC that responds to the authentication request has priority. Failover time can be shortened by optimizing priorities and issuing authentication requests according to the priorities. Furthermore, by checking the elapsed time from the time stamp of the KDC that responded to the authentication request and initializing the priority when a predetermined time has passed (session timeout), it is possible to cope with KDC recovery and optimization. It becomes possible.

1・・UI部、2・・構成ファイル作成部、3・・認証要求部、4・・認証要求リトライ部、5・・構成ファイル修正部、6・・優先順位登録部、9・・Kerberosクライアント、10・・クライアントJava(登録商標) VM、13・・JAAS(Java(登録商標) Authentication and Authorization Service)、15・・Kerberos構成ファイル、20・・マスタKDC、21,22・・スレーブKDC、30・・ネットワーク、100・・画像処理装置、110・・コントローラ、111・・CPU、112・・ROM、113・・RAM、115・・ネットワークI/F、116・・エンジンI/F、117・・操作パネルI/F、120・・外部機、130・・エンジン、140・・操作パネル。   1 .... UI part 2 .... Configuration file creation part 3 .... Authentication request part 4 .... Authentication request retry part 5 .... Configuration file modification part 6 .... Priority registration part 9 ... Kerberos client 10..Client Java (registered trademark) VM, 13 .... JAAS (Java (registered trademark) Authentication and Authorization Service), 15..Kerberos configuration file, 20..Master KDC, 21, 22..Slave KDC, 30. ..Network, 100..Image processing apparatus, 110..Controller, 111..CPU, 112..ROM, 113..RAM, 115..Network I / F, 116..Engine I / F, 117 .. Operation panel I / F, 120 ..External unit, 130 ..Engine, 140 ..Operation panel.

特開2005−301442号公報JP-A-2005-301442

Claims (18)

ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行う情報処理装置であって、
ユーザーのログインを受け付けるユーザーインターフェース部と、
受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、
認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、
発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、
優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、
修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部と
を有することを特徴とする情報処理装置。 An information processing apparatus that accepts a user login and performs authentication for the accepted login using an authentication server that can be connected to a network,
A user interface that accepts user logins;
A configuration information creation unit that creates configuration information of an authentication request issued to a specified authentication server in response to a login of an accepted user;
An authentication request issuing unit for issuing an authentication request based on the configuration information of the authentication request;
A priority registration unit for registering priorities of a plurality of available authentication servers designated as issue destinations;
If a response to the authentication request issued to the priority issuer authentication server cannot be obtained, the existing authentication server registered in the priority registration unit is changed to the issue destination and issued. A configuration information correction unit for correcting the configuration information of the authentication request of
When the authentication request issuing unit is instructed to execute an authentication request issued based on the modified authentication request configuration information, and a response to the authentication request issued to the changed authentication server is obtained. And an authentication request retry unit that changes the priority of the authentication server of the priority order registration unit from the initial priority to the order of priority of the authentication server for which the response has been obtained. 請求項1に記載された情報処理装置において、
前記認証要求リトライ部は、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、優先順位を初期優先順位に戻すことを特徴とする情報処理装置。 The information processing apparatus according to claim 1,
The authentication request retry unit returns the priority to the initial priority when a response to the authentication request issued to the changed authentication server is not obtained. 請求項1又は2に記載された情報処理装置において、
前記認証要求リトライ部は、正常稼動していない認証サーバにリダイレクトしないようにすることを特徴とする情報処理装置。 In the information processing apparatus according to claim 1 or 2,
The authentication request retry unit is configured not to redirect to an authentication server that is not operating normally. 請求項1乃至3のいずれかに記載された情報処理装置において、
前記優先順位登録部は、前記初期優先順位を自動的に予め定められた優先順位で登録することを特徴とする情報処理装置。 The information processing apparatus according to any one of claims 1 to 3,
The information processing apparatus, wherein the priority order registration unit automatically registers the initial priority order with a predetermined priority order. 請求項1乃至4のいずれかに記載された情報処理装置において、
前記優先順位登録部は、認証要求に対する応答が得られた認証サーバによって認証時に行われるタイムスタンプを該サーバと対応付けて登録するとともに、
前記認証要求リトライ部は、タイムスタンプからの所定セッションタイムの経過を条件に優先順位を初期優先順位に戻すことを特徴とする情報処理装置。 The information processing apparatus according to any one of claims 1 to 4,
The priority order registration unit registers a time stamp performed at the time of authentication by the authentication server from which a response to the authentication request is obtained in association with the server, and
The authentication request retry unit returns the priority to the initial priority on condition that a predetermined session time has elapsed from the time stamp. ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行い、ログインに伴う処理要求に応じて処理対象の画像にデータ処理を施す画像処理装置であって、
ユーザーのログインを受け付けるユーザーインターフェース部と、
受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、
認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、
発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、
優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、
修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部と
を有することを特徴とする画像処理装置。 An image processing apparatus that accepts a user's login, performs authentication for the accepted login using an authentication server that can be connected to a network, and performs data processing on an image to be processed in response to a processing request accompanying login,
A user interface that accepts user logins;
A configuration information creation unit that creates configuration information of an authentication request issued to a specified authentication server in response to a login of an accepted user;
An authentication request issuing unit for issuing an authentication request based on the configuration information of the authentication request;
A priority registration unit for registering priorities of a plurality of available authentication servers designated as issue destinations;
If a response to the authentication request issued to the priority issuer authentication server cannot be obtained, the existing authentication server registered in the priority registration unit is changed to the issue destination and issued. A configuration information correction unit for correcting the configuration information of the authentication request of
When the authentication request issuing unit is instructed to execute an authentication request issued based on the modified authentication request configuration information, and a response to the authentication request issued to the changed authentication server is obtained. And an authentication request retry unit for changing the priority of the authentication server of the priority order registration unit from the initial priority to the order of priority of the authentication server from which a response has been obtained. 請求項6に記載された画像処理装置において、
前記認証要求リトライ部は、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、優先順位を初期優先順位に戻すことを特徴とする画像処理装置。 The image processing apparatus according to claim 6, wherein
The authentication request retry unit returns the priority to the initial priority when a response to the authentication request issued to the changed authentication server is not obtained. 請求項6又は7に記載された画像処理装置において、
前記認証要求リトライ部は、正常稼動していない認証サーバにリダイレクトしないようにすることを特徴とする画像処理装置。 In the image processing device according to claim 6 or 7,
The image processing apparatus, wherein the authentication request retry unit does not redirect to an authentication server that is not operating normally. 請求項6乃至8のいずれかに記載された画像処理装置において、
前記優先順位登録部は、前記初期優先順位を自動的に予め定められた優先順位で登録することを特徴とする画像処理装置。 The image processing apparatus according to any one of claims 6 to 8,
The image processing apparatus, wherein the priority order registration unit automatically registers the initial priority order with a predetermined priority order. 請求項6乃至9のいずれかに記載された画像処理装置において、
前記優先順位登録部は、認証要求に対する応答が得られた認証サーバによって認証時に行われるタイムスタンプを該サーバと対応付けて登録するとともに、
前記認証要求リトライ部は、タイムスタンプからの所定セッションタイムの経過を条件に優先順位を初期優先順位に戻すことを特徴とする画像処理装置。 The image processing apparatus according to any one of claims 6 to 9,
The priority order registration unit registers a time stamp performed at the time of authentication by the authentication server from which a response to the authentication request is obtained in association with the server, and
The authentication request retry unit returns the priority to the initial priority on condition that a predetermined session time has elapsed from the time stamp. コンピュータを請求項1乃至5のいずれかに記載された情報処理装置が有する、前記構成情報作成部、前記認証要求発行部、前記優先順位登録部、前記構成情報修正部、前記認証要求リトライ部の各部として機能させるためのプログラム。   The information processing apparatus according to claim 1, wherein the information processing apparatus includes: the configuration information creation unit, the authentication request issue unit, the priority order registration unit, the configuration information correction unit, and the authentication request retry unit. Program to function as each part. コンピュータを請求項6乃至10のいずれかに記載された画像処理装置が有する、前記構成情報作成部、前記認証要求発行部、前記優先順位登録部、前記構成情報修正部、前記認証要求リトライ部の各部として機能させるためのプログラム。   The image processing apparatus according to any one of claims 6 to 10, wherein the image processing apparatus includes: the configuration information creating unit, the authentication request issuing unit, the priority order registering unit, the configuration information correcting unit, and the authentication request retry unit. Program to function as each part. 請求項11又は12に記載されたプログラムを記録したコンピュータ読取可能な記録媒体。   A computer-readable recording medium recording the program according to claim 11 or 12. ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行う情報処理装置におけるログインの認証方法であって、
ユーザーのログインを受け付ける工程と、
受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成工程と、
認証要求の構成情報に基づいて認証要求を発行する認証要求発行工程と、
発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録工程と、
優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録工程で登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正工程と、
修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行工程に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に前記優先順位登録工程で登録した認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ工程と
を有することを特徴とするログインの認証方法。 An authentication method for login in an information processing apparatus that accepts user login and performs authentication for the received login using an authentication server that can be connected to a network,
Accepting user logins,
A configuration information creation process for creating configuration information of an authentication request issued to a specified authentication server in response to a login of an accepted user;
An authentication request issuing step for issuing an authentication request based on the configuration information of the authentication request;
A priority registration step of registering priorities of a plurality of available authentication servers designated as issue destinations;
If a response to the authentication request issued to the priority issuer authentication server cannot be obtained, the existing authentication server registered in the priority order registration step is changed to the issue destination and issued. A configuration information correction process for correcting the configuration information of the authentication request of
When an instruction to execute an authentication request issued based on the configuration information of the modified authentication request is instructed to the authentication request issuing step, and a response to the authentication request issued to the changed authentication server is obtained The authentication request retrying step of changing the priority of the authentication server registered in the priority order registration step from the initial priority to the order of priority of the authentication server for which the response has been obtained. Authentication method. 請求項14に記載されたログインの認証方法において、
前記認証要求リトライ工程は、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、優先順位を初期優先順位に戻すことを特徴とするログインの認証方法。 The login authentication method according to claim 14, wherein:
An authentication method for login, wherein the authentication request retrying step returns the priority to the initial priority when a response to the authentication request issued to the changed authentication server is not obtained. 請求項14又は15に記載されたログインの認証方法において、
前記認証要求リトライ工程は、正常稼動していない認証サーバにリダイレクトしないようにすることを特徴とするログインの認証方法。 The login authentication method according to claim 14 or 15, wherein:
An authentication method for login, wherein the authentication request retry step does not redirect to an authentication server that is not operating normally. 請求項14乃至16のいずれかに記載されたログインの認証方法において、
前記優先順位登録工程は、前記初期優先順位を自動的に予め定められた優先順位で登録することを特徴とするログインの認証方法。 The login authentication method according to any one of claims 14 to 16, wherein:
In the priority order registration step, the initial priority order is automatically registered in a predetermined priority order. 請求項14乃至17のいずれかに記載されたログインの認証方法において、
前記優先順位登録工程は、認証要求に対する応答が得られた認証サーバによって認証時に行われるタイムスタンプを該サーバと対応付けて登録するとともに、
前記認証要求リトライ工程は、タイムスタンプからの所定セッションタイムの経過を条件に優先順位を初期優先順位に戻すことを特徴とするログインの認証方法。
The login authentication method according to any one of claims 14 to 17,
In the priority order registration step, a time stamp performed at the time of authentication by the authentication server from which a response to the authentication request is obtained is registered in association with the server, and
The authentication request retrying step returns the priority to the initial priority on condition that a predetermined session time has elapsed from the time stamp.
JP2010023255A 2010-02-04 2010-02-04 Information processor, image processor, login authentication method, program, and recording medium Pending JP2011164686A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010023255A JP2011164686A (en) 2010-02-04 2010-02-04 Information processor, image processor, login authentication method, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010023255A JP2011164686A (en) 2010-02-04 2010-02-04 Information processor, image processor, login authentication method, program, and recording medium

Publications (1)

Publication Number Publication Date
JP2011164686A true JP2011164686A (en) 2011-08-25

Family

ID=44595342

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010023255A Pending JP2011164686A (en) 2010-02-04 2010-02-04 Information processor, image processor, login authentication method, program, and recording medium

Country Status (1)

Country Link
JP (1) JP2011164686A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101209641B1 (en) 2012-06-08 2012-12-07 주식회사 인포바인 Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request
JP2015516617A (en) * 2012-03-15 2015-06-11 フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー Modular server system, I / O module and switching method
JP2020170352A (en) * 2019-04-03 2020-10-15 キヤノン株式会社 Information processing system, information processing device, control method of information processing device and program
CN114745130A (en) * 2022-04-02 2022-07-12 杭州玳数科技有限公司 Authentication method and device for multiple KDC data sources

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015516617A (en) * 2012-03-15 2015-06-11 フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー Modular server system, I / O module and switching method
KR101209641B1 (en) 2012-06-08 2012-12-07 주식회사 인포바인 Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request
JP2020170352A (en) * 2019-04-03 2020-10-15 キヤノン株式会社 Information processing system, information processing device, control method of information processing device and program
JP7222792B2 (en) 2019-04-03 2023-02-15 キヤノン株式会社 Information processing system, information processing device, control method and program for information processing device
CN114745130A (en) * 2022-04-02 2022-07-12 杭州玳数科技有限公司 Authentication method and device for multiple KDC data sources
CN114745130B (en) * 2022-04-02 2023-12-08 杭州玳数科技有限公司 Authentication method and device for multi-KDC data source

Similar Documents

Publication Publication Date Title
JP5683205B2 (en) Information processing apparatus, control method for controlling information processing apparatus, and program thereof
US10802779B2 (en) Print processing system and method having print server converts document data into print data and to store the print data into plural storage servers for printing at image processing apparatus
JP5693051B2 (en) Information processing apparatus and user authentication method for information processing apparatus
JP5862240B2 (en) Information processing apparatus, control system, control method, control program, and recording medium recording the program
JP2012185748A (en) Print system, information processor, control method, and program
JP2011227564A (en) Image processing apparatus, user authentication method in image processing apparatus
JP5339858B2 (en) Data processing apparatus, data processing apparatus control method, and program
US10423375B2 (en) Non-transitory computer-readable storage medium, client computer, and print method
JP5858750B2 (en) Image processing apparatus, image processing apparatus control method, and program
US11140294B2 (en) Communication device, non-transitory computer-readable recording medium storing computer-readable instructions for communication device, and method executed by communication device
JP2011164686A (en) Information processor, image processor, login authentication method, program, and recording medium
JP6025797B2 (en) Image forming apparatus, method for controlling the apparatus, and program
JP2010146486A (en) Image-processing device, network interface device, controlling method, image-processing system, and program
JP5274203B2 (en) Data processing apparatus, method, program, and data processing system
JP5702953B2 (en) Information processing apparatus and application execution method and program
JP4837475B2 (en) Method, system, and server device for reducing the number of times authentication information data is input
JP2007011942A (en) User authentication information linkage system
JP6191272B2 (en) Printing program, information processing apparatus, and printing system
JP4140956B2 (en) Print information processing apparatus, print system, print information processing method, print program, and storage medium storing print program
JP2022056789A (en) Printing system and printer
JP6518302B2 (en) INFORMATION PROCESSING APPARATUS, CONTROL METHOD THEREOF, AND PROGRAM
JP4378338B2 (en) Information processing apparatus, device setting method, storage medium, and program
WO2021028589A1 (en) A multi-function device, a system, a method of configuring a multi-function device, and a program
JP2008071318A (en) Certificate management apparatus, certificate management method and certificate management program
JP2007125777A (en) Image input/output system