JP3696933B2 - コンピュータ・ネットワークにおいて、ネットワークアイデンティティと、局部的に定義されたアイデンティティを結び付ける装置と方法 - Google Patents
コンピュータ・ネットワークにおいて、ネットワークアイデンティティと、局部的に定義されたアイデンティティを結び付ける装置と方法 Download PDFInfo
- Publication number
- JP3696933B2 JP3696933B2 JP17687795A JP17687795A JP3696933B2 JP 3696933 B2 JP3696933 B2 JP 3696933B2 JP 17687795 A JP17687795 A JP 17687795A JP 17687795 A JP17687795 A JP 17687795A JP 3696933 B2 JP3696933 B2 JP 3696933B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- computer
- identity
- server computer
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Description
【0001】
【産業上の利用分野】
本発明は、コンピュータのネットワークオペレーティングシステムに関し、特に、コンピュータのネットワークにおいて、特定のコンピュータ上の局部的に定義されたローカルアイデンティティとネットワークのアイデンティティを動的に結合する方法と装置に関する。
【0002】
【従来技術の説明】
ローカルエリアネットワーク(LAN)により、パーソナルコンピュータ(PC)は、ホストコンピュータに設けられた、例えば、ファイル、プリンタ等のリソースを共有することができる。通常、このようなネットワークのタイプは、クライアント/サーバーネットワークと称し、このネットワークにおいては、PCはクライアントで、その要求は、ホストであるサーバーにより処理される。
【0003】
このようなネットワークオペレーティングシステムは、ネットワーク全域にわたるユーザのアイデンティティ(識別子)を利用することがますます多くなり、このユーザアイデンティティは、そのネットワークのいたるところで、そのユーザを唯一に識別するのに用いられる単一のネットワーク全域のアイデンティティをネットワークユーザに与える。このネットワーク全域にわたるユーザのアイデンティティは、ネットワークトポロジー、あるいは、ネットワーク構成に関わる特定のユーザを同定するのに用いられる単一のネットワーク全域の名前を許すことにより、管理、および、その他のタスクを単純化している。しかし、サーバーコンピュータは、このサーバーコンピュータにとってローカルなトラックオーナーシップ、および、リソースの使用に対して、個別の局所的に定義されたユーザアイデンティティを必要とする。例えば、UNIXシステムは、ファイルの、ディレクトリ、プロセスのオーナーシップを追跡するために、局部的に定義された整数ユーザアイデンティティ、すなわち、略して「uid」を用いている。
【0004】
有効なネットワークユーザの数は、特定のサーバーコンピュータ上で充分にサポートされた個別のユーザの数よりもはるかに多くなることがあるので、このネットワーク上の各サーバーに対し、各ネットワークユーザに局部的に定義されたアイデンティティを形成することは、実際的ではない。例えば、大学では、各個別のネットワークユーザである数万の学生がおり、たくさんの異なるサーバーコンピュータに対し、数万個のローカルユーザのアカウントを形成することは、大きなコンピュータを除いては不可能である。
【0005】
この種の問題に対する解決法は、たくさんある。例えば、ユーザが使用することを計画している各サーバーコンピュータに対し、各ネットワークユーザにローカルアイデンティティを手動で作成し、このユーザのネットワークアイデンティティと、これら局部的に定義されたユーザのアイデンティティの一つとを手動で結び付けることである。この解決方法は、管理者が、予め各ユーザが使用を望んでいる各サーバーを知っていなければならない。
【0006】
何度でも使用パターンは変化することがあり、そして、ユーザは、複数のサーバーを周期的に利用する。そのため、ユーザは、ローカルユーザアカウントを持っていないために、ネットワークオペレーションを行うことができない。現在のところ、ローカルアイデンティティを作成し、ユーザのネットワークアイデンティティと関連づけるためには、ユーザは、そのサーバーのシステムアドミニストレータと接触しなければならない。
【0007】
他の解決方法としては、全てのネットワークアイデンティティを、「ゲスト」と称するローカルアイデンティティに割り当てることにより、全てのネットワークユーザを、各サーバーのキャッチオールローカルユーザーアカウントに割り当てることである。全てのユーザを単一のユーザアカウントに均質化することにより、ユーザアカウントメカニズムをバイパスすることができるので、この方法は、技術的には簡単である。しかし、サーバーに対し、実際には管理できない状況を形成してしまう。ネットワークユーザにより形成され、所有される全てのファイル、ディレクトリ、リソースは、ゲスト(クライアント)のローカルアイデンティティにより保有されているとみなされるので、アドミニストレータは、そのサーバーで実際には誰が、ファイル、ディレクトリ、リソースを所有しているのかを決定することが困難である。例えば、ファイルのオーナーを知らずして、そのリソースに関連するコストを、個別のオーナー、則ち、ユーザに正確に割り当てることは困難である。
【0008】
本発明は、クライアントサーバーのコンピュータシステムにおいて、ネットワークアイデンティティを局部的に定義されたローカルアイデンティティに割り当てる方法と装置を提供するものである。
【0009】
【発明が解決しようとする課題】
したがって、本発明の目的は、クライアント/サーバーコンピュータネットワークにおいて、局部的に定義されたローカルアイデンティティをネットワークアイデンティティに割り当てる技術を提供することである。このような局部的に定義されたアイデンティティをサーバーコンピュータが用いて、リソースのオーナーシップとその使用を追跡する。
【0010】
さらに、本発明の他の目的は、たくさんのネットワークアクセスが、唯一の局部的に定義されたローカルアイデンティティの使用を必要としない場合に、サーバーコンピュータへのネットワークアクセスを管理する方法を提供することである。さらに、具体的に述べると、通常のアクセスに対し、サーバーコンピュータ上のゲスト、すなわち、一時的に局部的に定義されたローカルアイデンティティに割当が可能な大量のネットワークアイデンティティが可能となり、永続的なローカルアイデンティティを、オーナーシップフォルトが発生した場合にのみネットワークアイデンティティに割り当てることができる。本発明の技術は、ネットワーク上の各サーバーの各ネットワークユーザに対し、局部的に定義されたアイデンティティを形成する実際的でない方法を回避できる。
【0011】
さらに、本発明の目的は、局部的に定義されたローカルアイデンティティ、あるいは、ユーザアカウントを手動によらない方法で、ネットワークアイデンティティに割り当てる技術を提供することである。その結果、本発明は、サーバーコンピュータへのネットワークアクセスを管理する際に、システムアドミニストレータに要求される仕事を大きく単純化することができる。さらに、サーバーコンピュータ上におけるローカルリソース、例えば、ファイルのオーナーを容易に特定できる。
【0012】
【課題を解決するための手段】
本発明のネットワークアイデンティティをネットワーク内のコンピュータの局部的に定義されたローカルアイデンティティと結合する方法と装置においては、クライアントコンピュータは、クライアントコンピュータのオペレータにより要求される様々な機能を実行するサーバーコンピュータに接続されている。このサーバーコンピュータは、クライアントコンピュータのオペレータに対し、唯一の局部的に定義されたローカルアイデンティティを持っていない場合には、このサーバーコンピュータは、一時的にローカルアイデンティティをオペレータに割り当て、クライアントコンピュータからの機能の実行要求を受領し、応答する。このサーバーコンピュータは、クライアントコンピュータから受領した特定の要求に応じて、オーナーシップフォルトをトリガーする。このオーナーシップフォルトをトリガーする特定のリクエストは、ファイルの訂正リクエスト、ディレクトリの訂正リクエスト、既存のファイルのオーナーシップをとるリクエスト、既存のディレクトリのオーナーシップをとるリクエスト、あるいは、他の機能のリクエストである。このオーナーシップフォルトに応答して、このサーバーコンピュータは、ローカルセキュリティポリシーに基づいたオーナーシップフォルトに応答し、永続的なローカルアイデンティティをクライアントコンピュータのオペレータに割り当てる。この永続的なローカルアイデンティティは、以前に割り当てられた局部的に定義されサーバーコンピュータにより保存されているアイデンティティのまとまりの中から割り当てられるか、あるいは、永続的なローカルアイデンティティは、必要に応じて生成される(例えば、オンザイフライ(on-the-fly))。いったん、この割当が行われると、サーバーコンピュータは、そのレコードを更新することにより、永続的なローカルアイデンティティをネットワークアイデンティティに割り当てる。
【0013】
【実施例】
図1に示されたネットワークにおいては、サーバーコンピュータ10は、複数のクライアントコンピュータ12にローカルエリアネットワーク(LAN)14を介して接続されている。このサーバーコンピュータ10は、ディスク16に記録されたデータに対し、共通のアクセス権をクライアントコンピュータ12に与える。
【0014】
この実施例においては、サーバーコンピュータ10は、AT&T System 3450(商標)のコンピュータで、UNIX(登録商標) System V Release 4.0のUNIXオペレーティングシステム18のもとで動作するコンピュータである。各クライアントコンピュータ12は、公知のMS−DOS(登録商標)のオペレーティングシステム、あるいは、OS/2(登録商標)のオペレーティングシステムMS−DOS 3.X 20の制御のもとで動作する。このローカルエリアネットワーク(LAN)14は、AT&T STARLAN(商標)システムである。
【0015】
クライアントコンピュータ12とサーバーコンピュータ10は、AT&T StarGROUP(商標)システムソフトウェアを利用する。このStarGROUP(商標)システムソフトウェアでは、MS−DOSとOS/2のクライアントであるクライアントコンピュータ12は、ローカルエリアネットワーク(LAN)14を介して、データファイルを共有する。このサーバーコンピュータ10は、ローカルエリアネットワーク(LAN)14上でクライアントコンピュータ12に対し利用可能なディスク16をサポートする。
【0016】
サーバーコンピュータ10の動作を制御するUNIXオペレーティングシステム18は、三層、すなわち、ユーザレベル22、カーネルレベル24、ハードウェアレベル26に分割される。ユーザレベル22は、クライアントコンピュータ12に対しローカルエリアネットワーク(LAN)14を介してインタフェースするサーバープログラム30、および、ライブラリ32のようなユーザプログラム28を有し、これにより、ディスク16にストアされた所望のデータにアクセスできる。カーネルレベル24は、システムコールインタフェース34とファイルシステム36とプロセスコントロール38とデバイスドライバ40とハードウェアコントロール42を有し、ユーザレベル22に対し共通サービスを提供するハードウェアレベル26と直接相互作用して、ユーザレベル22をハードウェアレベル26の得意傾向(idiosyncrasies)から切り放す。このハードウェアレベル26は、ハードウェアドライバ44を有し、MS−DOS 3.X 20に対し、サーバーコンピュータ10により必要とされるベーシックサービスを提供する
。
【0017】
カーネルレベル24のシステムコールインタフェース34は、ユーザレベル22とカーネルレベル24の間の境界を表す。このシステムコールインタフェース34は、ユーザプログラムコールをUNIXシステムコールに変換する。システムコールは、Cプログラムの通常のファンクションコールと見ることができ、ライブラリ32は、これらのファンクションコールを公知の方法でオペレーティングシステムに入るのに必要なプリミティブス(primitives)に配置する(マッピングする)。このシステムコールの組には、プロセスコントロール38と相互作用(interact)するもの、および、ファイルシステム36と相互作用するものを含む。
【0018】
クライアントコンピュータ12のMS−DOSプログラム46は、サーバーコンピュータ10のサーバープログラム30と相互作用して、ディスク16にアクセスを許す。ディスク16を参照するMS−DOSプログラム46によるシステムコールは、リディレクタ48によるリクエストメッセージにパッケージされて、ネットワークソフトウェア50とLANインタフェースハードウェア52により、ローカルエリアネットワーク(LAN)14によりサーバープログラム30に転送される。
【0019】
図2は、サーバーコンピュータ10とクライアントコンピュータ12との間の相互作用を表すフローチャート図である。
【0020】
ブロック54においては、サーバーコンピュータ10は、クライアントコンピュータ12からのネゴシエート(Negotiate)サーバーメッセージブロック(Server Message Block:SMB)を受信し、応答する。そして、このサーバーコンピュータ10は、クライアントコンピュータ12と共に、クライアントコンピュータ12が使用するプロトコールダイアレクトを決定する。このSMBプロトコールは、多くのネットワーク製品で用いられる公知のプロトコールである。このネゴシエートSMBは、新たに確立された仮想回路上を伝送される第1のSMBである。このネゴシエートSMBに応答して、サーバーコンピュータ10は、その容量を表す情報をクライアントコンピュータ12に送信する。クライアントコンピュータ12がSession Setup And X SMBを送信すると、このネゴシエーションにおいて、最終ステップがおこる。
【0021】
次に、ブロック56では、サーバーコンピュータ10は、Session Setup And X SMBを受信し、応答して、クライアントコンピュータ12からの来入ネットワークアイデンティティに対し、認証を与える。このSession Setup And X SMBは、ユーザのネットワーク全域にわたるユーザネームと、それらが属する管理ネットワーク領域の名前を含む。例えば、ユーザネームが、「JOHNSMITH」の場合には、その領域ネームは「ACCOUNNTING」である。サーバーコンピュータ10は、ネットワークアイデンティティを局部的に定義されたアイデンティティに局部的に割り当てることをコンサルトして、来入ネットワークアイデンティティが配置される(割り当てられる)局部的に定義されたローカルアイデンティティを取り出す。
【0022】
UNIXシステムにおいては、このようなマッピング(配置)は、局所的に定義されたUNIXユーザアカウントと「username:domain」のネーム対と関連づけるファイルとして実行される。例えば、「JOHNSMITH」:「ACCOUNTING」は、局部的に定義された「smith」のアイデンティティに割り当てられる。公知のUNIXシステムファイル「/etc/profile」は、局部的に定義されたネーム「smith」を、この特定のユーザシステムに対する適切な数値uidに割り当てる。
【0023】
この来入ネットワークアイデンティティが、明確に割り当てられた局部的に定義されたアイデンティティを有さない場合には、このサーバーコンピュータ10は、ユーザに「ゲスト」局部的に定義されたアイデンティティを割り当てる。以下の説明においては、来入ネットワークアイデンティティは、いかなる局部的に定義されたアイデンティティにも明白には割り当てられず、そして、「ゲスト」局部的に定義されたアイデンティティに割り当てられるものとする。
【0024】
ブロック58においては、サーバーコンピュータ10は、オーナーシップフォルトをトリガーするユーザからのコマンドを受領する。このようなコマンドには、例えば、新たなファイル、あるいは、ディレクトリの生成、既存のファイル、あるいは、ディレクトリのオーナーシップの獲得、あるいは、他の機能の獲得等を含む。例えば、このコマンドは、Create And X SMBで、ファイル、あるいは、ディレクトリを生成、あるいは、開き、そして、その際、サーバーコンピュータ10によってとられるアクションは、開かれた対称物の名前、すでに存在する対称物によって、あるいは、ユーザが名前のつけられた、あるいは、他のファクターにアクセスを許可されたかに依存し、そして、ファイルハンドルは、ファイル内のファイルそのもの、あるいは、データを動かすために、後続のサービスコールにより用いられる。
【0025】
サーバーコンピュータ10に記憶されたファイルは、有効なローカルアイデンティティ(例えば、UNIX uid)を保有しなければならず、そして、ユーザのネットワークアイデンティティは、「ゲスト」局部的に定義されたアイデンティティ、すなわち、唯一のユーザに割り当てられない局部的に定義されたアイデンティティにマッピングされるので、サーバーコンピュータ10は、オーナーシップフォルトをトリガーする。このオーナーシップフォルトのトリガー後、判断ブロック60において、サーバーコンピュータ10は、ネットワークユーザがサーバーコンピュータ10上に確立されたセキュリティポリシーに基づいて、リソースのオーナーシップをとらせることを許可するか否かを決定する。このセキュリティポリシーは、ユーザが所属する組織、あるいは、管理領域に基づいて、オーナーシップフォルトを以下に処理するかを、そして、そのユーザがどのようなネットワーク全域に属するべきか、あるいは、その特性の他の組の処理を指示する。そのユーザが、リソースのオーナーシップをとる許可が得られない場合には、ブロック62において、リクエストの失敗を表し、サーバーコンピュータ10は、適切なエラーメッセージをクライアントコンピュータ12に戻す。
【0026】
このリソースのオーナーシップをとる許可が与えられると、ブロック64において、サーバーコンピュータ10は、以前に割り当てられた局部的に定義されたアイデンティティのプールの中から、既存のローカルアイデンティティをユーザに割り当てる。以前に割り当てられた局部的に定義されたアイデンティティのプールは、オーナーシップフォルトの発生時に、直ちに、局部的に定義されたアイデンティティを割り当てることができる。例えば、サーバーコンピュータ10は、5個のスペアの局部的に定義されたアイデンティティのユーザアカウント、例えば、「newuser1」から「newuser5」を連続して保持している。オーナーシップフォルトがトリガーされ、リソースを所有する許可をユーザに与えることによりクリアされた最初の時点で、サーバーコンピュータ10は、「newuser1」のローカルアイデンティティをユーザに割り当てる。
【0027】
別法として、ブロック64において、サーバーコンピュータ10は、ユーザのネットワークアイデンティティに対し、局部的に定義されたアイデンティティを、例えば、UNIXコマンド「useradd」を用いて生成する。しかし、この方法は、リアルタイムの性能を犠牲にする。その理由は、新たなローカルアイデンティティを付加する時間は、あるサーバーコンピュータ10上に割り当てられたローカルアイデンティティの数と共に急速に大きくなるからである。それにも関わらず、このような方法は、既存のアカウントを必要としない。さらにまた、かくして生成されたこのようなローカルアイデンティティは、任意のローカルアイデンティティよりも、ネットワークアイデンティティにより明白に関連している。例えば、ネットワークアイデンティティ「ERICBAUER」は、「newuser1」よりも「ejb]のローカルアイデンティティにマッピングされる。
【0028】
この局部的に定義されたアイデンティティの割当の方法にも関わらず、ブロック64においては、サーバーコンピュータ10は、そのレコードを更新して、これからは、この特定のユーザネットワークアイデンティティは、新たに生成された、および/または、割り当てられた局部的に定義されたアイデンティティにマッピングされることを示す。例えば、サーバーコンピュータ10は、ライブラリ32のコール「getpwent」を用いて、この新たに生成されたローカルアイデンティティに割り当てられたUNIXユーザアイデンティティ(uid)と、UNIXグループアイデンティティ(gid)とを取り出し、その後、この新たなUNIX uidを反映するために、サーバーコンピュータ10上の局部ユーザ特定データレコード内のデータを更新する。
【0029】
ブロック66においては、サーバーコンピュータ10は、オーナーシップフォルトを発生させた要求されたコマンドを実行する。例えば、サーバーコンピュータ10は、Create And X SMBに対するその応答を要求されたファイルを生成し、UNIXシステムコール「chown」を用いて、局部的に定義されたアイデンティティと関連する適正なUNIX uidに、このファイルのオーナーシップを設定することにより、その応答を完了する。この時点において、UNIXシステムコール「stat」は、ブロック66で形成されたファイルが、ブロック64での来入ネットワークアイデンティティに割り当てられた局部的に定義されたアイデンティティにより保有されていることを表す。
【0030】
ブロック68においては、サーバーコンピュータ10は、クライアントコンピュータ12に対する要求されたコマンド用の状態レスポンスを生成して、その動作が成功したか否かを示す。
【0031】
このクライアントPCとサーバーコンピュータとの間のこの接続の間、これ以上のオーナーシップフォルトは発生しない。その理由は、クライアントPCのオペレータのネットワークアイデンティティは、唯一の局部的に定義されたアイデンティティに永続的にマッピングされているからである。さらに、オペレータとサーバーコンピュータ10との間の後続のセッションの間、このオペレータのネットワークアイデンティティは、サーバーコンピュータ10により認証される。その理由は、ネットワークアイデンティティと、局部的に定義されサーバーコンピュータ10により保持されるアイデンティティとの間の永続的なマッピングが存在するからである。かくして、オペレータのネットワークアイデンティティは、サーバーコンピュータ10にアクセスしたときに、ゲスト、すなわち、一時的なローカルアイデンティティに割り当てられることはない。
【0032】
【発明の効果】
以上述べたように、本発明によれば、クライアント/サーバーコンピュータネットワークにおいて、局部的に定義されたローカルアイデンティティをネットワークアイデンティティに割り当てる技術を提供され、このような局部的に定義されたローカルアイデンティティをサーバーコンピュータが用いて、リソースのオーナーシップと使用を追跡することができる。
【0033】
さらに、たくさんのネットワークアクセスが、唯一の局部的に定義されたローカルアイデンティティの使用を必要としない場合に、サーバーコンピュータへのネットワークアクセスを管理する方法が提供される。つまり、通常のアクセスに対し、サーバーコンピュータ上のゲスト、すなわち、一時的な局部的に定義されたローカルアイデンティティに割当が可能な大量のネットワークアイデンティティが可能となり、永続的なローカルアイデンティティを、オーナーシップフォルトが発生した場合にのみネットワークアイデンティティに割り当てることができ、ネットワーク上の各サーバーの各ネットワークユーザに対し、局部的に定義されたローカルアイデンティティを形成する実際的でない方法を回避できる。
【0034】
さらにまた、局部的に定義されたローカルアイデンティティ、すなわち、ユーザアカウントを手動によらない方法で、ネットワークアイデンティティに割り当てる技術が提供される。その結果、サーバーコンピュータへのネットワークアクセスを管理する際に、システムアドミニストレータに要求される仕事を大きく単純化することができ、サーバーコンピュータ上におけるローカルリソース、例えば、ファイルのオーナーを容易に特定できる。
【図面の簡単な説明】
【図1】クライアント/サーバーコンピュータネットワークアーキテクチャーを表す図。
【図2】本発明により実行されるステップを表すフローチャート図。
【符号の説明】
10 サーバーコンピュータ
12 クライアントコンピュータ
14 ローカルエリアネットワーク(LAN)
16 ディスク
18 UNIXオペレーティングシステム
20 MS−DOS 3.X
22 ユーザレベル
24 カーネルレベル
26 ハードウェアレベル
28 ユーザプログラム
30 サーバープログラム
32 ライブラリ
34 システムコールインタフェース
36 ファイルシステム
38 プロセスコントロール
40 デバイスドライバ
42 ハードウェアコントロール
44 ハードウェアドライバ
46 MS−DOSプログラム
48 リディレクタ
50 ネットワークソフトウェア
52 LANインタフェースハードウェア
54 サーバーが協定SMBを受信し応答する
56 サーバーがセッション設定とX SMBを受信し応答する。
58 サーバーがオーナーシップフォルトをトリガーするコマンドを受信する。60 オーナーシップをとることはOKか?
62 サーバーがエラーメッセージを生成する。
64 サーバーはユーザのネットワークアイデンティティに対しローカルアイデンティティを形成する。
66 サーバーは要求された機能を実行する。
68 サーバーは要求された機能に対し状態応答を生成する。
【産業上の利用分野】
本発明は、コンピュータのネットワークオペレーティングシステムに関し、特に、コンピュータのネットワークにおいて、特定のコンピュータ上の局部的に定義されたローカルアイデンティティとネットワークのアイデンティティを動的に結合する方法と装置に関する。
【0002】
【従来技術の説明】
ローカルエリアネットワーク(LAN)により、パーソナルコンピュータ(PC)は、ホストコンピュータに設けられた、例えば、ファイル、プリンタ等のリソースを共有することができる。通常、このようなネットワークのタイプは、クライアント/サーバーネットワークと称し、このネットワークにおいては、PCはクライアントで、その要求は、ホストであるサーバーにより処理される。
【0003】
このようなネットワークオペレーティングシステムは、ネットワーク全域にわたるユーザのアイデンティティ(識別子)を利用することがますます多くなり、このユーザアイデンティティは、そのネットワークのいたるところで、そのユーザを唯一に識別するのに用いられる単一のネットワーク全域のアイデンティティをネットワークユーザに与える。このネットワーク全域にわたるユーザのアイデンティティは、ネットワークトポロジー、あるいは、ネットワーク構成に関わる特定のユーザを同定するのに用いられる単一のネットワーク全域の名前を許すことにより、管理、および、その他のタスクを単純化している。しかし、サーバーコンピュータは、このサーバーコンピュータにとってローカルなトラックオーナーシップ、および、リソースの使用に対して、個別の局所的に定義されたユーザアイデンティティを必要とする。例えば、UNIXシステムは、ファイルの、ディレクトリ、プロセスのオーナーシップを追跡するために、局部的に定義された整数ユーザアイデンティティ、すなわち、略して「uid」を用いている。
【0004】
有効なネットワークユーザの数は、特定のサーバーコンピュータ上で充分にサポートされた個別のユーザの数よりもはるかに多くなることがあるので、このネットワーク上の各サーバーに対し、各ネットワークユーザに局部的に定義されたアイデンティティを形成することは、実際的ではない。例えば、大学では、各個別のネットワークユーザである数万の学生がおり、たくさんの異なるサーバーコンピュータに対し、数万個のローカルユーザのアカウントを形成することは、大きなコンピュータを除いては不可能である。
【0005】
この種の問題に対する解決法は、たくさんある。例えば、ユーザが使用することを計画している各サーバーコンピュータに対し、各ネットワークユーザにローカルアイデンティティを手動で作成し、このユーザのネットワークアイデンティティと、これら局部的に定義されたユーザのアイデンティティの一つとを手動で結び付けることである。この解決方法は、管理者が、予め各ユーザが使用を望んでいる各サーバーを知っていなければならない。
【0006】
何度でも使用パターンは変化することがあり、そして、ユーザは、複数のサーバーを周期的に利用する。そのため、ユーザは、ローカルユーザアカウントを持っていないために、ネットワークオペレーションを行うことができない。現在のところ、ローカルアイデンティティを作成し、ユーザのネットワークアイデンティティと関連づけるためには、ユーザは、そのサーバーのシステムアドミニストレータと接触しなければならない。
【0007】
他の解決方法としては、全てのネットワークアイデンティティを、「ゲスト」と称するローカルアイデンティティに割り当てることにより、全てのネットワークユーザを、各サーバーのキャッチオールローカルユーザーアカウントに割り当てることである。全てのユーザを単一のユーザアカウントに均質化することにより、ユーザアカウントメカニズムをバイパスすることができるので、この方法は、技術的には簡単である。しかし、サーバーに対し、実際には管理できない状況を形成してしまう。ネットワークユーザにより形成され、所有される全てのファイル、ディレクトリ、リソースは、ゲスト(クライアント)のローカルアイデンティティにより保有されているとみなされるので、アドミニストレータは、そのサーバーで実際には誰が、ファイル、ディレクトリ、リソースを所有しているのかを決定することが困難である。例えば、ファイルのオーナーを知らずして、そのリソースに関連するコストを、個別のオーナー、則ち、ユーザに正確に割り当てることは困難である。
【0008】
本発明は、クライアントサーバーのコンピュータシステムにおいて、ネットワークアイデンティティを局部的に定義されたローカルアイデンティティに割り当てる方法と装置を提供するものである。
【0009】
【発明が解決しようとする課題】
したがって、本発明の目的は、クライアント/サーバーコンピュータネットワークにおいて、局部的に定義されたローカルアイデンティティをネットワークアイデンティティに割り当てる技術を提供することである。このような局部的に定義されたアイデンティティをサーバーコンピュータが用いて、リソースのオーナーシップとその使用を追跡する。
【0010】
さらに、本発明の他の目的は、たくさんのネットワークアクセスが、唯一の局部的に定義されたローカルアイデンティティの使用を必要としない場合に、サーバーコンピュータへのネットワークアクセスを管理する方法を提供することである。さらに、具体的に述べると、通常のアクセスに対し、サーバーコンピュータ上のゲスト、すなわち、一時的に局部的に定義されたローカルアイデンティティに割当が可能な大量のネットワークアイデンティティが可能となり、永続的なローカルアイデンティティを、オーナーシップフォルトが発生した場合にのみネットワークアイデンティティに割り当てることができる。本発明の技術は、ネットワーク上の各サーバーの各ネットワークユーザに対し、局部的に定義されたアイデンティティを形成する実際的でない方法を回避できる。
【0011】
さらに、本発明の目的は、局部的に定義されたローカルアイデンティティ、あるいは、ユーザアカウントを手動によらない方法で、ネットワークアイデンティティに割り当てる技術を提供することである。その結果、本発明は、サーバーコンピュータへのネットワークアクセスを管理する際に、システムアドミニストレータに要求される仕事を大きく単純化することができる。さらに、サーバーコンピュータ上におけるローカルリソース、例えば、ファイルのオーナーを容易に特定できる。
【0012】
【課題を解決するための手段】
本発明のネットワークアイデンティティをネットワーク内のコンピュータの局部的に定義されたローカルアイデンティティと結合する方法と装置においては、クライアントコンピュータは、クライアントコンピュータのオペレータにより要求される様々な機能を実行するサーバーコンピュータに接続されている。このサーバーコンピュータは、クライアントコンピュータのオペレータに対し、唯一の局部的に定義されたローカルアイデンティティを持っていない場合には、このサーバーコンピュータは、一時的にローカルアイデンティティをオペレータに割り当て、クライアントコンピュータからの機能の実行要求を受領し、応答する。このサーバーコンピュータは、クライアントコンピュータから受領した特定の要求に応じて、オーナーシップフォルトをトリガーする。このオーナーシップフォルトをトリガーする特定のリクエストは、ファイルの訂正リクエスト、ディレクトリの訂正リクエスト、既存のファイルのオーナーシップをとるリクエスト、既存のディレクトリのオーナーシップをとるリクエスト、あるいは、他の機能のリクエストである。このオーナーシップフォルトに応答して、このサーバーコンピュータは、ローカルセキュリティポリシーに基づいたオーナーシップフォルトに応答し、永続的なローカルアイデンティティをクライアントコンピュータのオペレータに割り当てる。この永続的なローカルアイデンティティは、以前に割り当てられた局部的に定義されサーバーコンピュータにより保存されているアイデンティティのまとまりの中から割り当てられるか、あるいは、永続的なローカルアイデンティティは、必要に応じて生成される(例えば、オンザイフライ(on-the-fly))。いったん、この割当が行われると、サーバーコンピュータは、そのレコードを更新することにより、永続的なローカルアイデンティティをネットワークアイデンティティに割り当てる。
【0013】
【実施例】
図1に示されたネットワークにおいては、サーバーコンピュータ10は、複数のクライアントコンピュータ12にローカルエリアネットワーク(LAN)14を介して接続されている。このサーバーコンピュータ10は、ディスク16に記録されたデータに対し、共通のアクセス権をクライアントコンピュータ12に与える。
【0014】
この実施例においては、サーバーコンピュータ10は、AT&T System 3450(商標)のコンピュータで、UNIX(登録商標) System V Release 4.0のUNIXオペレーティングシステム18のもとで動作するコンピュータである。各クライアントコンピュータ12は、公知のMS−DOS(登録商標)のオペレーティングシステム、あるいは、OS/2(登録商標)のオペレーティングシステムMS−DOS 3.X 20の制御のもとで動作する。このローカルエリアネットワーク(LAN)14は、AT&T STARLAN(商標)システムである。
【0015】
クライアントコンピュータ12とサーバーコンピュータ10は、AT&T StarGROUP(商標)システムソフトウェアを利用する。このStarGROUP(商標)システムソフトウェアでは、MS−DOSとOS/2のクライアントであるクライアントコンピュータ12は、ローカルエリアネットワーク(LAN)14を介して、データファイルを共有する。このサーバーコンピュータ10は、ローカルエリアネットワーク(LAN)14上でクライアントコンピュータ12に対し利用可能なディスク16をサポートする。
【0016】
サーバーコンピュータ10の動作を制御するUNIXオペレーティングシステム18は、三層、すなわち、ユーザレベル22、カーネルレベル24、ハードウェアレベル26に分割される。ユーザレベル22は、クライアントコンピュータ12に対しローカルエリアネットワーク(LAN)14を介してインタフェースするサーバープログラム30、および、ライブラリ32のようなユーザプログラム28を有し、これにより、ディスク16にストアされた所望のデータにアクセスできる。カーネルレベル24は、システムコールインタフェース34とファイルシステム36とプロセスコントロール38とデバイスドライバ40とハードウェアコントロール42を有し、ユーザレベル22に対し共通サービスを提供するハードウェアレベル26と直接相互作用して、ユーザレベル22をハードウェアレベル26の得意傾向(idiosyncrasies)から切り放す。このハードウェアレベル26は、ハードウェアドライバ44を有し、MS−DOS 3.X 20に対し、サーバーコンピュータ10により必要とされるベーシックサービスを提供する
。
【0017】
カーネルレベル24のシステムコールインタフェース34は、ユーザレベル22とカーネルレベル24の間の境界を表す。このシステムコールインタフェース34は、ユーザプログラムコールをUNIXシステムコールに変換する。システムコールは、Cプログラムの通常のファンクションコールと見ることができ、ライブラリ32は、これらのファンクションコールを公知の方法でオペレーティングシステムに入るのに必要なプリミティブス(primitives)に配置する(マッピングする)。このシステムコールの組には、プロセスコントロール38と相互作用(interact)するもの、および、ファイルシステム36と相互作用するものを含む。
【0018】
クライアントコンピュータ12のMS−DOSプログラム46は、サーバーコンピュータ10のサーバープログラム30と相互作用して、ディスク16にアクセスを許す。ディスク16を参照するMS−DOSプログラム46によるシステムコールは、リディレクタ48によるリクエストメッセージにパッケージされて、ネットワークソフトウェア50とLANインタフェースハードウェア52により、ローカルエリアネットワーク(LAN)14によりサーバープログラム30に転送される。
【0019】
図2は、サーバーコンピュータ10とクライアントコンピュータ12との間の相互作用を表すフローチャート図である。
【0020】
ブロック54においては、サーバーコンピュータ10は、クライアントコンピュータ12からのネゴシエート(Negotiate)サーバーメッセージブロック(Server Message Block:SMB)を受信し、応答する。そして、このサーバーコンピュータ10は、クライアントコンピュータ12と共に、クライアントコンピュータ12が使用するプロトコールダイアレクトを決定する。このSMBプロトコールは、多くのネットワーク製品で用いられる公知のプロトコールである。このネゴシエートSMBは、新たに確立された仮想回路上を伝送される第1のSMBである。このネゴシエートSMBに応答して、サーバーコンピュータ10は、その容量を表す情報をクライアントコンピュータ12に送信する。クライアントコンピュータ12がSession Setup And X SMBを送信すると、このネゴシエーションにおいて、最終ステップがおこる。
【0021】
次に、ブロック56では、サーバーコンピュータ10は、Session Setup And X SMBを受信し、応答して、クライアントコンピュータ12からの来入ネットワークアイデンティティに対し、認証を与える。このSession Setup And X SMBは、ユーザのネットワーク全域にわたるユーザネームと、それらが属する管理ネットワーク領域の名前を含む。例えば、ユーザネームが、「JOHNSMITH」の場合には、その領域ネームは「ACCOUNNTING」である。サーバーコンピュータ10は、ネットワークアイデンティティを局部的に定義されたアイデンティティに局部的に割り当てることをコンサルトして、来入ネットワークアイデンティティが配置される(割り当てられる)局部的に定義されたローカルアイデンティティを取り出す。
【0022】
UNIXシステムにおいては、このようなマッピング(配置)は、局所的に定義されたUNIXユーザアカウントと「username:domain」のネーム対と関連づけるファイルとして実行される。例えば、「JOHNSMITH」:「ACCOUNTING」は、局部的に定義された「smith」のアイデンティティに割り当てられる。公知のUNIXシステムファイル「/etc/profile」は、局部的に定義されたネーム「smith」を、この特定のユーザシステムに対する適切な数値uidに割り当てる。
【0023】
この来入ネットワークアイデンティティが、明確に割り当てられた局部的に定義されたアイデンティティを有さない場合には、このサーバーコンピュータ10は、ユーザに「ゲスト」局部的に定義されたアイデンティティを割り当てる。以下の説明においては、来入ネットワークアイデンティティは、いかなる局部的に定義されたアイデンティティにも明白には割り当てられず、そして、「ゲスト」局部的に定義されたアイデンティティに割り当てられるものとする。
【0024】
ブロック58においては、サーバーコンピュータ10は、オーナーシップフォルトをトリガーするユーザからのコマンドを受領する。このようなコマンドには、例えば、新たなファイル、あるいは、ディレクトリの生成、既存のファイル、あるいは、ディレクトリのオーナーシップの獲得、あるいは、他の機能の獲得等を含む。例えば、このコマンドは、Create And X SMBで、ファイル、あるいは、ディレクトリを生成、あるいは、開き、そして、その際、サーバーコンピュータ10によってとられるアクションは、開かれた対称物の名前、すでに存在する対称物によって、あるいは、ユーザが名前のつけられた、あるいは、他のファクターにアクセスを許可されたかに依存し、そして、ファイルハンドルは、ファイル内のファイルそのもの、あるいは、データを動かすために、後続のサービスコールにより用いられる。
【0025】
サーバーコンピュータ10に記憶されたファイルは、有効なローカルアイデンティティ(例えば、UNIX uid)を保有しなければならず、そして、ユーザのネットワークアイデンティティは、「ゲスト」局部的に定義されたアイデンティティ、すなわち、唯一のユーザに割り当てられない局部的に定義されたアイデンティティにマッピングされるので、サーバーコンピュータ10は、オーナーシップフォルトをトリガーする。このオーナーシップフォルトのトリガー後、判断ブロック60において、サーバーコンピュータ10は、ネットワークユーザがサーバーコンピュータ10上に確立されたセキュリティポリシーに基づいて、リソースのオーナーシップをとらせることを許可するか否かを決定する。このセキュリティポリシーは、ユーザが所属する組織、あるいは、管理領域に基づいて、オーナーシップフォルトを以下に処理するかを、そして、そのユーザがどのようなネットワーク全域に属するべきか、あるいは、その特性の他の組の処理を指示する。そのユーザが、リソースのオーナーシップをとる許可が得られない場合には、ブロック62において、リクエストの失敗を表し、サーバーコンピュータ10は、適切なエラーメッセージをクライアントコンピュータ12に戻す。
【0026】
このリソースのオーナーシップをとる許可が与えられると、ブロック64において、サーバーコンピュータ10は、以前に割り当てられた局部的に定義されたアイデンティティのプールの中から、既存のローカルアイデンティティをユーザに割り当てる。以前に割り当てられた局部的に定義されたアイデンティティのプールは、オーナーシップフォルトの発生時に、直ちに、局部的に定義されたアイデンティティを割り当てることができる。例えば、サーバーコンピュータ10は、5個のスペアの局部的に定義されたアイデンティティのユーザアカウント、例えば、「newuser1」から「newuser5」を連続して保持している。オーナーシップフォルトがトリガーされ、リソースを所有する許可をユーザに与えることによりクリアされた最初の時点で、サーバーコンピュータ10は、「newuser1」のローカルアイデンティティをユーザに割り当てる。
【0027】
別法として、ブロック64において、サーバーコンピュータ10は、ユーザのネットワークアイデンティティに対し、局部的に定義されたアイデンティティを、例えば、UNIXコマンド「useradd」を用いて生成する。しかし、この方法は、リアルタイムの性能を犠牲にする。その理由は、新たなローカルアイデンティティを付加する時間は、あるサーバーコンピュータ10上に割り当てられたローカルアイデンティティの数と共に急速に大きくなるからである。それにも関わらず、このような方法は、既存のアカウントを必要としない。さらにまた、かくして生成されたこのようなローカルアイデンティティは、任意のローカルアイデンティティよりも、ネットワークアイデンティティにより明白に関連している。例えば、ネットワークアイデンティティ「ERICBAUER」は、「newuser1」よりも「ejb]のローカルアイデンティティにマッピングされる。
【0028】
この局部的に定義されたアイデンティティの割当の方法にも関わらず、ブロック64においては、サーバーコンピュータ10は、そのレコードを更新して、これからは、この特定のユーザネットワークアイデンティティは、新たに生成された、および/または、割り当てられた局部的に定義されたアイデンティティにマッピングされることを示す。例えば、サーバーコンピュータ10は、ライブラリ32のコール「getpwent」を用いて、この新たに生成されたローカルアイデンティティに割り当てられたUNIXユーザアイデンティティ(uid)と、UNIXグループアイデンティティ(gid)とを取り出し、その後、この新たなUNIX uidを反映するために、サーバーコンピュータ10上の局部ユーザ特定データレコード内のデータを更新する。
【0029】
ブロック66においては、サーバーコンピュータ10は、オーナーシップフォルトを発生させた要求されたコマンドを実行する。例えば、サーバーコンピュータ10は、Create And X SMBに対するその応答を要求されたファイルを生成し、UNIXシステムコール「chown」を用いて、局部的に定義されたアイデンティティと関連する適正なUNIX uidに、このファイルのオーナーシップを設定することにより、その応答を完了する。この時点において、UNIXシステムコール「stat」は、ブロック66で形成されたファイルが、ブロック64での来入ネットワークアイデンティティに割り当てられた局部的に定義されたアイデンティティにより保有されていることを表す。
【0030】
ブロック68においては、サーバーコンピュータ10は、クライアントコンピュータ12に対する要求されたコマンド用の状態レスポンスを生成して、その動作が成功したか否かを示す。
【0031】
このクライアントPCとサーバーコンピュータとの間のこの接続の間、これ以上のオーナーシップフォルトは発生しない。その理由は、クライアントPCのオペレータのネットワークアイデンティティは、唯一の局部的に定義されたアイデンティティに永続的にマッピングされているからである。さらに、オペレータとサーバーコンピュータ10との間の後続のセッションの間、このオペレータのネットワークアイデンティティは、サーバーコンピュータ10により認証される。その理由は、ネットワークアイデンティティと、局部的に定義されサーバーコンピュータ10により保持されるアイデンティティとの間の永続的なマッピングが存在するからである。かくして、オペレータのネットワークアイデンティティは、サーバーコンピュータ10にアクセスしたときに、ゲスト、すなわち、一時的なローカルアイデンティティに割り当てられることはない。
【0032】
【発明の効果】
以上述べたように、本発明によれば、クライアント/サーバーコンピュータネットワークにおいて、局部的に定義されたローカルアイデンティティをネットワークアイデンティティに割り当てる技術を提供され、このような局部的に定義されたローカルアイデンティティをサーバーコンピュータが用いて、リソースのオーナーシップと使用を追跡することができる。
【0033】
さらに、たくさんのネットワークアクセスが、唯一の局部的に定義されたローカルアイデンティティの使用を必要としない場合に、サーバーコンピュータへのネットワークアクセスを管理する方法が提供される。つまり、通常のアクセスに対し、サーバーコンピュータ上のゲスト、すなわち、一時的な局部的に定義されたローカルアイデンティティに割当が可能な大量のネットワークアイデンティティが可能となり、永続的なローカルアイデンティティを、オーナーシップフォルトが発生した場合にのみネットワークアイデンティティに割り当てることができ、ネットワーク上の各サーバーの各ネットワークユーザに対し、局部的に定義されたローカルアイデンティティを形成する実際的でない方法を回避できる。
【0034】
さらにまた、局部的に定義されたローカルアイデンティティ、すなわち、ユーザアカウントを手動によらない方法で、ネットワークアイデンティティに割り当てる技術が提供される。その結果、サーバーコンピュータへのネットワークアクセスを管理する際に、システムアドミニストレータに要求される仕事を大きく単純化することができ、サーバーコンピュータ上におけるローカルリソース、例えば、ファイルのオーナーを容易に特定できる。
【図面の簡単な説明】
【図1】クライアント/サーバーコンピュータネットワークアーキテクチャーを表す図。
【図2】本発明により実行されるステップを表すフローチャート図。
【符号の説明】
10 サーバーコンピュータ
12 クライアントコンピュータ
14 ローカルエリアネットワーク(LAN)
16 ディスク
18 UNIXオペレーティングシステム
20 MS−DOS 3.X
22 ユーザレベル
24 カーネルレベル
26 ハードウェアレベル
28 ユーザプログラム
30 サーバープログラム
32 ライブラリ
34 システムコールインタフェース
36 ファイルシステム
38 プロセスコントロール
40 デバイスドライバ
42 ハードウェアコントロール
44 ハードウェアドライバ
46 MS−DOSプログラム
48 リディレクタ
50 ネットワークソフトウェア
52 LANインタフェースハードウェア
54 サーバーが協定SMBを受信し応答する
56 サーバーがセッション設定とX SMBを受信し応答する。
58 サーバーがオーナーシップフォルトをトリガーするコマンドを受信する。60 オーナーシップをとることはOKか?
62 サーバーがエラーメッセージを生成する。
64 サーバーはユーザのネットワークアイデンティティに対しローカルアイデンティティを形成する。
66 サーバーは要求された機能を実行する。
68 サーバーは要求された機能に対し状態応答を生成する。
Claims (2)
- 複数のクライアントコンピュータと、当該クライアントコンピュータと通信回線を介して接続されて前記クライアントコンピュータから要求された機能を実行するサーバーコンピュータとからなるコンピュータ・ネットワークにおいて、
前記サーバーコンピュータは、
(a)前記クライアントコンピュータからの要求を受信し応答する手段と、
(b)前記クライアントコンピュータのユーザネームとドメインネームの組み合わせに対して一時的なローカルアイデンティティを割り当てる手段と、
(c)前記クライアントコンピュータからの要求が当該サーバーコンピュータ内のリソースを使用するオーナーシップを有するか否かを判断する手段と、
(d)前記要求において前記有効性がない場合にはオーナーシップフォルトをトリガーする手段と、
(e)前記オーナーシップフォルトに応答して、所定のセキュリティーポリシーに基づいて前記要求に応じて前記リソースの使用を許可するか否かを判断する手段と、
(f)前記要求に応じて前記リソースの使用を許可する場合には、前記クライアントコンピュータに対して永続的なローカルアイデンティティを割り当てる手段と、
の各手段を有することを特徴とする複数のコンピュータからなるコンピュータ・ネットワーク・システム。 - 複数のクライアントコンピュータと、当該クライアントコンピュータと通信回線を介して接続されて前記クライアントコンピュータから要求された機能を実行するサーバーコンピュータとからなるコンピュータ・ネットワークにおいて、前記サーバサーバーコンピュータは、
(a)前記クライアントコンピュータからの要求を受信するステップと、
(b)当該クライアントコンピュータのユーザネームとドメインネームの組み合わせに対して一時的なローカルアイデンティティを割り当てるステップと、
(c)前記クライアントコンピュータからの要求が当該サーバーコンピュータ内のリソースを使用するオーナーシップを有するか否かを判断するステップと、
(d)前記要求において前記有効性がない場合にはオーナーシップフォルトをトリガーするステップと、
(e)前記オーナーシップフォルトに応答して、所定のセキュリティーポリシーに基づいて前記要求に応じて前記リソースの使用を許可するか否かを判断するステップと、
(f)前記要求に応じて前記リソースの使用を許可する場合には前記クライアントコンピュータに対して永続的なローカルアイデンティティを割り当てて、許可しない場合には前記クライアントコンピュータに対して所定のエラーメッセージを送信するステップと、
の各ステップを有することを特徴とする、複数のコンピュータからなるコンピュータ・ネットワークにおけるネットワークアイデンティティとサーバーコンピュータ内の局部的に定義されたローカルアイデンティティとを結び付ける方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US263092 | 1994-06-21 | ||
| US08/263,092 US5550981A (en) | 1994-06-21 | 1994-06-21 | Dynamic binding of network identities to locally-meaningful identities in computer networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0888637A JPH0888637A (ja) | 1996-04-02 |
| JP3696933B2 true JP3696933B2 (ja) | 2005-09-21 |
Family
ID=23000346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP17687795A Expired - Fee Related JP3696933B2 (ja) | 1994-06-21 | 1995-06-21 | コンピュータ・ネットワークにおいて、ネットワークアイデンティティと、局部的に定義されたアイデンティティを結び付ける装置と方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US5550981A (ja) |
| EP (1) | EP0689326B1 (ja) |
| JP (1) | JP3696933B2 (ja) |
| DE (1) | DE69532736T2 (ja) |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6304574B1 (en) * | 1995-06-07 | 2001-10-16 | 3Com Corporation | Distributed processing of high level protocols, in a network access server |
| US5826027A (en) * | 1995-10-11 | 1998-10-20 | Citrix Systems, Inc. | Method for supporting an extensible and dynamically bindable protocol stack in a distrubited process system |
| US5835718A (en) * | 1996-04-10 | 1998-11-10 | At&T Corp | URL rewriting pseudo proxy server |
| US5875306A (en) * | 1996-10-01 | 1999-02-23 | International Business Machines Corporation | Reconfiguring computer resources in a distributed computer enterprise environment |
| CA2283080A1 (en) * | 1997-01-13 | 1998-07-16 | John Overton | Automated system for image archiving |
| US6401114B1 (en) | 1997-05-01 | 2002-06-04 | Stratum Technologies Corporation | Method and apparatus for dynamic programming across a computer network |
| US7162519B2 (en) * | 1998-05-01 | 2007-01-09 | Stratum Technologies Corporation | Structure and method for providing customized web pages-therefor |
| US6687707B1 (en) | 1997-11-28 | 2004-02-03 | International Business Machines Corporation | Unique object identification in a network of computing systems |
| US7051004B2 (en) * | 1998-04-03 | 2006-05-23 | Macrovision Corporation | System and methods providing secure delivery of licenses and content |
| US6202056B1 (en) * | 1998-04-03 | 2001-03-13 | Audiosoft, Inc. | Method for computer network operation providing basis for usage fees |
| AU695645B3 (en) * | 1998-06-01 | 1998-08-20 | Yong-Cong Chen | A network of distributed, non-permanent, and human interactive web servers |
| US7103640B1 (en) * | 1999-09-14 | 2006-09-05 | Econnectix, Llc | Network distributed tracking wire transfer protocol |
| US7233978B2 (en) * | 1998-07-08 | 2007-06-19 | Econnectix, Llc | Method and apparatus for managing location information in a network separate from the data to which the location information pertains |
| US6411966B1 (en) * | 1998-09-21 | 2002-06-25 | Microsoft Corporation | Method and computer readable medium for DNS dynamic update to minimize client-server and incremental zone transfer traffic |
| US6480508B1 (en) | 1999-05-12 | 2002-11-12 | Westell, Inc. | Router-based domain name system proxy agent using address translation |
| US6877036B1 (en) | 1999-09-24 | 2005-04-05 | Akamba Corporation | System and method for managing connections between a client and a server |
| US6308238B1 (en) * | 1999-09-24 | 2001-10-23 | Akamba Corporation | System and method for managing connections between clients and a server with independent connection and data buffers |
| US6801927B1 (en) | 1999-09-24 | 2004-10-05 | Akamba Corporation | Network adaptor card with reverse proxy and cache and method implemented therewith |
| US7493497B1 (en) | 2000-02-03 | 2009-02-17 | Integrated Information Solutions | Digital identity device |
| US20080005275A1 (en) * | 2000-06-02 | 2008-01-03 | Econnectix, Llc | Method and apparatus for managing location information in a network separate from the data to which the location information pertains |
| US7020773B1 (en) | 2000-07-17 | 2006-03-28 | Citrix Systems, Inc. | Strong mutual authentication of devices |
| US6505123B1 (en) | 2000-07-24 | 2003-01-07 | Weatherbank, Inc. | Interactive weather advisory system |
| US6986040B1 (en) | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
| US20050198379A1 (en) * | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| US7100200B2 (en) * | 2001-06-13 | 2006-08-29 | Citrix Systems, Inc. | Method and apparatus for transmitting authentication credentials of a user across communication sessions |
| US7562146B2 (en) | 2003-10-10 | 2009-07-14 | Citrix Systems, Inc. | Encapsulating protocol for session persistence and reliability |
| US7320033B2 (en) * | 2001-07-27 | 2008-01-15 | Intel Corporation | Dynamic local drive and printer sharing |
| US7661129B2 (en) | 2002-02-26 | 2010-02-09 | Citrix Systems, Inc. | Secure traversal of network components |
| US7984157B2 (en) | 2002-02-26 | 2011-07-19 | Citrix Systems, Inc. | Persistent and reliable session securely traversing network components using an encapsulating protocol |
| US7177929B2 (en) * | 2002-03-27 | 2007-02-13 | International Business Machines Corporation | Persisting node reputations in transient network communities |
| US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
| CA2527501A1 (en) * | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
| US7389411B2 (en) | 2003-08-29 | 2008-06-17 | Sun Microsystems, Inc. | Secure transfer of host identities |
| US7444396B2 (en) | 2003-08-29 | 2008-10-28 | Sun Microsystems, Inc. | Transferring system identities |
| GB2405965B (en) * | 2003-08-29 | 2005-11-02 | Sun Microsystems Inc | Transferring system identities |
| US7533258B2 (en) * | 2005-01-07 | 2009-05-12 | Cisco Technology, Inc. | Using a network-service credential for access control |
| US20060161469A1 (en) | 2005-01-14 | 2006-07-20 | Weatherbank, Inc. | Interactive advisory system |
| US7562226B2 (en) * | 2005-01-14 | 2009-07-14 | Citrix Systems, Inc. | System and method for permission-based access using a shared account |
| US8832121B2 (en) * | 2005-02-02 | 2014-09-09 | Accuweather, Inc. | Location-based data communications system and method |
| US8229467B2 (en) | 2006-01-19 | 2012-07-24 | Locator IP, L.P. | Interactive advisory system |
| US7730181B2 (en) | 2006-04-25 | 2010-06-01 | Cisco Technology, Inc. | System and method for providing security backup services to a home network |
| US8634814B2 (en) | 2007-02-23 | 2014-01-21 | Locator IP, L.P. | Interactive advisory system for prioritizing content |
| US20090328153A1 (en) * | 2008-06-25 | 2009-12-31 | International Business Machines Corporation | Using exclusion based security rules for establishing uri security |
| CN101400062B (zh) * | 2008-10-23 | 2010-07-14 | 中兴通讯股份有限公司 | 一种锁网终端的升级方法及系统 |
| US8560685B1 (en) * | 2011-07-20 | 2013-10-15 | Google Inc. | Probabilistic data storage owner election and replication protocol |
| US8560511B1 (en) | 2011-07-20 | 2013-10-15 | Google Inc. | Fine-grain locking |
| US8606907B1 (en) | 2011-07-20 | 2013-12-10 | Google Inc. | Multi-tiered system for receiving and reporting web site traffic data |
| CN114500612B (zh) * | 2022-04-06 | 2022-07-05 | 深圳航天信息有限公司 | 物联网本地组网的方法、装置、电子设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4714989A (en) * | 1982-02-19 | 1987-12-22 | Billings Roger E | Funtionally structured distributed data processing system |
| US5062040A (en) * | 1986-12-22 | 1991-10-29 | At&T Bell Laboratories | Handling of notification of asynchronous events by user and stub processes of a distributed process executing on a plurality of processors of a multi-processor system |
| US5263157A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | Method and system for providing user access control within a distributed data processing system by the exchange of access control profiles |
| US5218697A (en) * | 1990-04-18 | 1993-06-08 | Microsoft Corporation | Method and system for networking computers having varying file architectures |
| US5381535A (en) * | 1990-10-24 | 1995-01-10 | International Business Machines Corporation | Data processing control of second-level quest virtual machines without host intervention |
| US5159592A (en) * | 1990-10-29 | 1992-10-27 | International Business Machines Corporation | Network address management for a wired network supporting wireless communication to a plurality of mobile users |
| EP0579368A1 (en) * | 1992-07-17 | 1994-01-19 | International Computers Limited | File system for a computer |
-
1994
- 1994-06-21 US US08/263,092 patent/US5550981A/en not_active Expired - Lifetime
-
1995
- 1995-06-20 DE DE69532736T patent/DE69532736T2/de not_active Expired - Lifetime
- 1995-06-20 EP EP95304261A patent/EP0689326B1/en not_active Expired - Lifetime
- 1995-06-21 JP JP17687795A patent/JP3696933B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP0689326B1 (en) | 2004-03-24 |
| EP0689326A3 (en) | 2001-08-22 |
| US5550981A (en) | 1996-08-27 |
| EP0689326A2 (en) | 1995-12-27 |
| JPH0888637A (ja) | 1996-04-02 |
| DE69532736D1 (de) | 2004-04-29 |
| DE69532736T2 (de) | 2005-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3696933B2 (ja) | コンピュータ・ネットワークにおいて、ネットワークアイデンティティと、局部的に定義されたアイデンティティを結び付ける装置と方法 | |
| CA2543753C (en) | Method and system for accessing and managing virtual machines | |
| US10135827B2 (en) | Secure access to remote resources over a network | |
| US5754763A (en) | Software auditing mechanism for a distributed computer enterprise environment | |
| CN109254831B (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
| US6088728A (en) | System using session data stored in session data storage for associating and disassociating user identifiers for switching client sessions in a server | |
| US6243751B1 (en) | Method and apparatus for coupling clients to servers | |
| JP3370704B2 (ja) | 通信制御方法 | |
| US20020065919A1 (en) | Peer-to-peer caching network for user data | |
| US7356574B2 (en) | Apparatus and method for providing dynamic and automated assignment of data logical unit numbers | |
| US6529938B1 (en) | Method, system, and program for executing operations on a client in a network environment | |
| WO2016003646A1 (en) | Enterprise management for secure network communications over ipsec | |
| AU2006302251A1 (en) | Apparatus system and method for real-time migration of data related to authentication | |
| EP1569407B1 (en) | Computer system for allocating storage area to a computer based on a security level | |
| JPH08314861A (ja) | 分散コンピュータ環境コンポーネントの構成及び構成解除 | |
| US7437732B1 (en) | Computer system having an authentication and/or authorization routing service and a CORBA-compliant interceptor for monitoring the same | |
| CN113452711A (zh) | 云桌面的单点登录方法及网络设备 | |
| US20150381597A1 (en) | Enterprise management for secure network communications over ipsec | |
| US6865679B1 (en) | Method, system, and program for accessing a system without using a provided login facility | |
| US8793356B2 (en) | Transparent resource administration using a read-only domain controller | |
| JP2002324011A (ja) | ストレージシステム | |
| KR102269885B1 (ko) | 사용자별 맞춤형 서버 작업 환경의 생성 기능을 구비한 접근통제 시스템 | |
| KR100802434B1 (ko) | 다이나믹 텔넷 포트를 이용한 네트워크 침입방지 시스템및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041124 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20050224 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20050308 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050621 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050701 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080708 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100708 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110708 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |