JPH0934838A - 分散コンピュータ環境において、ユーザの信任状を捜し出す方法及びその装置 - Google Patents
分散コンピュータ環境において、ユーザの信任状を捜し出す方法及びその装置Info
- Publication number
- JPH0934838A JPH0934838A JP8162596A JP16259696A JPH0934838A JP H0934838 A JPH0934838 A JP H0934838A JP 8162596 A JP8162596 A JP 8162596A JP 16259696 A JP16259696 A JP 16259696A JP H0934838 A JPH0934838 A JP H0934838A
- Authority
- JP
- Japan
- Prior art keywords
- user
- credentials
- credential
- computer
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】分散コンピューター環境(DCE)におけるシ
ステム全体のサイン・オン能力が提供される。 【解決手段】獲得した分散コンピューター環境信任状
は、デスクトップ上のどのようなプロセス、ウインドウ
でも使用可能である。DCEログオン用アプリケーショ
ン・プログラミング・インタフェースにより、システム
内でDCEプロセスにより使用可能な信任状キャッシュ
が作成され、またその存在が認識される。ログオンAP
Iが環境変数の組みにより発動される毎にシステム全体
のログオンが実行される。このAPIは、選択されたシ
ステム・ログオンのオプションの結果呼び出される。A
PIは、信任状キャッシュの名でグローバル変数を更新
する。その後発動されるアプリケーション全てに対し
て、プロセス変数が初期化ロジックによりグローバル値
に設定される。その結果、これらのアプリケーションに
よるどのような呼び出しであっても、変数により識別さ
れる信任状が獲得される。
ステム全体のサイン・オン能力が提供される。 【解決手段】獲得した分散コンピューター環境信任状
は、デスクトップ上のどのようなプロセス、ウインドウ
でも使用可能である。DCEログオン用アプリケーショ
ン・プログラミング・インタフェースにより、システム
内でDCEプロセスにより使用可能な信任状キャッシュ
が作成され、またその存在が認識される。ログオンAP
Iが環境変数の組みにより発動される毎にシステム全体
のログオンが実行される。このAPIは、選択されたシ
ステム・ログオンのオプションの結果呼び出される。A
PIは、信任状キャッシュの名でグローバル変数を更新
する。その後発動されるアプリケーション全てに対し
て、プロセス変数が初期化ロジックによりグローバル値
に設定される。その結果、これらのアプリケーションに
よるどのような呼び出しであっても、変数により識別さ
れる信任状が獲得される。
Description
【0001】
【発明の属する技術分野】本発明は、データ処理システ
ムに係り、特に分散コンピュータ環境を通してのユーザ
IDの伝播に関する。
ムに係り、特に分散コンピュータ環境を通してのユーザ
IDの伝播に関する。
【0002】
【従来の技術】コンピュータ・ユーザは、ハード、ソフ
トの実行に当たり柔軟な、洗練された技術を要求してい
る。このような柔軟性、洗練性は、ユーザがネットワー
ク内のアクセス・ノード(システム)に何度もログオン
する必要性を緩和するシステムに容易に見て取れる。
「単一サイン・オン」の概念は、単一のアクセス・ノー
ドを使い同時に複数のシステムに確実にログオンする能
力を提供する。これらが開発される以前は、一日に多数
のアプリケーション、又はシステムにアクセスするユー
ザは何度も不満を感じたものである。ワード・プロセッ
シング・プログラムの利用では、ユーザがそのアプリケ
ーションにアクセスするためパスワードを有することが
必要であった。電子メールのログオン、並びにアクセス
にも第二のパスワードが使用された。このような例は枚
挙に暇がない。最近の研究によれば、4つのアプリケー
ションを使う平均的ユーザは、これらのアプリケーショ
ンにログオンするだけで年におよそ44.4時間を費や
している。同ユーザがもし単一サイン・オンの能力を有
するならば、4つのアプリケーションにログオンするた
めに要する時間は年およそ17時間まで減少される。
トの実行に当たり柔軟な、洗練された技術を要求してい
る。このような柔軟性、洗練性は、ユーザがネットワー
ク内のアクセス・ノード(システム)に何度もログオン
する必要性を緩和するシステムに容易に見て取れる。
「単一サイン・オン」の概念は、単一のアクセス・ノー
ドを使い同時に複数のシステムに確実にログオンする能
力を提供する。これらが開発される以前は、一日に多数
のアプリケーション、又はシステムにアクセスするユー
ザは何度も不満を感じたものである。ワード・プロセッ
シング・プログラムの利用では、ユーザがそのアプリケ
ーションにアクセスするためパスワードを有することが
必要であった。電子メールのログオン、並びにアクセス
にも第二のパスワードが使用された。このような例は枚
挙に暇がない。最近の研究によれば、4つのアプリケー
ションを使う平均的ユーザは、これらのアプリケーショ
ンにログオンするだけで年におよそ44.4時間を費や
している。同ユーザがもし単一サイン・オンの能力を有
するならば、4つのアプリケーションにログオンするた
めに要する時間は年およそ17時間まで減少される。
【0003】単一サイン・オンの能力は、IBM社によ
りオペレーティング・システム/2搭載の製品で実施さ
れて来ている。この機能は、各ノード共有の5つのマス
タ・システム・ファイルの単一コピーを保持することに
より遂行される。ネットワーク統括者は、ユーザがどの
ノードにログオンされたかに関らず、同一のディレクト
リ及びファイルを見れるよう、各ユーザのファイル・ツ
リーを設置している。このファイル・ツリーは、どの機
種からもログオンでき、またどのノードからも同一のイ
ンタフェースを提供する能力を提供するもので、実際ど
のノードでもその環境に対して単一システムのイメージ
が提供される。要するに、単一システムのイメージが、
マスタ・ノードにおいて上記システム・ファイルのマス
タ・コピーをたった一つ保持するだけで実行される。各
ノードは、システムの初期プログラム・ロード(IP
L)時に実行される命令ファイルを有している。マスタ
・ファイルは、IPL時にノード自身のこれらファイル
の局所的コピーの上にロードされる。この方法の主な欠
点は、システム全体の能力が実現可能となる前に、ユー
ザがノードにログオンしなければならないことである。
りオペレーティング・システム/2搭載の製品で実施さ
れて来ている。この機能は、各ノード共有の5つのマス
タ・システム・ファイルの単一コピーを保持することに
より遂行される。ネットワーク統括者は、ユーザがどの
ノードにログオンされたかに関らず、同一のディレクト
リ及びファイルを見れるよう、各ユーザのファイル・ツ
リーを設置している。このファイル・ツリーは、どの機
種からもログオンでき、またどのノードからも同一のイ
ンタフェースを提供する能力を提供するもので、実際ど
のノードでもその環境に対して単一システムのイメージ
が提供される。要するに、単一システムのイメージが、
マスタ・ノードにおいて上記システム・ファイルのマス
タ・コピーをたった一つ保持するだけで実行される。各
ノードは、システムの初期プログラム・ロード(IP
L)時に実行される命令ファイルを有している。マスタ
・ファイルは、IPL時にノード自身のこれらファイル
の局所的コピーの上にロードされる。この方法の主な欠
点は、システム全体の能力が実現可能となる前に、ユー
ザがノードにログオンしなければならないことである。
【0004】多数のログオンの必要性を排除する第二の
方法が、オペレーティング・システム/2EEデータベ
ース・マネジャ製品用に提案されている(OS/2はI
BM社の登録商標)。現在のOS/2EEデータベース
・マネジャ製品の実施例では、保護対象物にアクセスし
ようとするユーザに対してログオン・メニュが提供され
る。このメニュを提供する機能は、有効なログオンが存
在していないことが判別された場合、要求サブシステム
により呼び出される。提案の実施例では、多数のログオ
ンの問題を緩和するため、遠隔認可表(RAT:Rem
ote Authorization Table)が
提供される。ユーザの初期ログオン上では(局所システ
ム、或は遠隔ノードのどちらかに対する)、表はユーザ
ID(userid)、パスワード、ユーザがログオン
しているノードID(例えば、局所、又は遠隔ノード
名)等を含むよう構築される。アクセスされる資源が遠
隔サーバ上にある場合、目標ノード用のユーザID、パ
スワードを得るためサブシステムによりデータベース・
マネジャが呼び出される。目標ノード内にユーザID,
パスワードが存在しない場合、別のノードで一番最近使
用された遠隔ノード用の情報が返却される。ログオンが
一回も実行されていなかったら、その局所ユーザID、
パスワードが該システム上で使用されるようサブシステ
ム・リクエスタに渡される。返却された情報が、そのノ
ード以外に関するものであったら、RATの内容がその
ノード名及びユーザIDを含むよう構築され、パスワー
ドが返却される。該パスワードが不履行となる場合、サ
ブシステムは、ユーザが遠隔サーバのノード用に正確な
パスワードを提供できるよう、ログオン・メニュを表示
するためユーザ管理サービスを呼び出す。次に、このノ
ードが、そのために以前に構築された不正確なRAT入
力に代わり、将来の利用に備えRATに保存される。前
記の方法と同様、この方法でもまた、システム全体の能
力がユーザに有効となる前に、ユーザがログオンする必
要がある。
方法が、オペレーティング・システム/2EEデータベ
ース・マネジャ製品用に提案されている(OS/2はI
BM社の登録商標)。現在のOS/2EEデータベース
・マネジャ製品の実施例では、保護対象物にアクセスし
ようとするユーザに対してログオン・メニュが提供され
る。このメニュを提供する機能は、有効なログオンが存
在していないことが判別された場合、要求サブシステム
により呼び出される。提案の実施例では、多数のログオ
ンの問題を緩和するため、遠隔認可表(RAT:Rem
ote Authorization Table)が
提供される。ユーザの初期ログオン上では(局所システ
ム、或は遠隔ノードのどちらかに対する)、表はユーザ
ID(userid)、パスワード、ユーザがログオン
しているノードID(例えば、局所、又は遠隔ノード
名)等を含むよう構築される。アクセスされる資源が遠
隔サーバ上にある場合、目標ノード用のユーザID、パ
スワードを得るためサブシステムによりデータベース・
マネジャが呼び出される。目標ノード内にユーザID,
パスワードが存在しない場合、別のノードで一番最近使
用された遠隔ノード用の情報が返却される。ログオンが
一回も実行されていなかったら、その局所ユーザID、
パスワードが該システム上で使用されるようサブシステ
ム・リクエスタに渡される。返却された情報が、そのノ
ード以外に関するものであったら、RATの内容がその
ノード名及びユーザIDを含むよう構築され、パスワー
ドが返却される。該パスワードが不履行となる場合、サ
ブシステムは、ユーザが遠隔サーバのノード用に正確な
パスワードを提供できるよう、ログオン・メニュを表示
するためユーザ管理サービスを呼び出す。次に、このノ
ードが、そのために以前に構築された不正確なRAT入
力に代わり、将来の利用に備えRATに保存される。前
記の方法と同様、この方法でもまた、システム全体の能
力がユーザに有効となる前に、ユーザがログオンする必
要がある。
【0005】従って、ユーザがシステムにログオンする
必要がなく、システム全体のログオン能力がユーザに対
して有効となることが望まれる。
必要がなく、システム全体のログオン能力がユーザに対
して有効となることが望まれる。
【0006】
【発明が解決しようとする課題】分散コンピューター環
境において、単一のアクセス・ノードを使い、同時に複
数のシステムにログオンできる単一サイン・オンを実現
する。
境において、単一のアクセス・ノードを使い、同時に複
数のシステムにログオンできる単一サイン・オンを実現
する。
【0007】
【課題を解決するための手段】本発明は、分散コンピュ
ータ環境における単一サイン・オン・コードを提供する
ための方法及びその装置に関する。本発明では、単一ユ
ーザ・ログオンの分散コンピュータ環境(DCE)部分
がシステム全体のログオン信任状に変換される。得られ
た分散コンピュータ環境信任状は、デスクトップ上のど
のようなプロセス、ウインドウでも利用可能である。D
CEログオンAPI(アプリケーション・プログラミン
グ・インタフェース: Application Pr
ogramming Interface)が、システ
ム内でのDCEプロセスにより使用可能な信任状キャッ
シュを作成し、またその存在を認識する。ユーザのログ
・オフ後に発動されたDCEアプリケーションは、前の
システム・ログオンにより確立された信任状を受け継ぐ
ものではない。ログオンの際ユーザが開始したアプリケ
ーションでは、ログ・オフしたユーザの信任状が継続し
て使用される。環境可変SINGLELOGINの組み
によりSEC_LOGIN_SET_CONTEXTの
APIが発動される毎にシステム全体のログオンが実行
される。これは、DCE2.0環境でのラン・サーバ
(LS)統合ログオン・プログラムによりAPIが呼び
出される場合も同様である。このAPIは、選択された
システムのログオン・オプションの結果DCELOGO
Nにより呼び出される。APIは、信任状キャッシュの
名でグローバルを更新する。変数KRB5CCNAME
が、未だ環境内に設定されていない場合、DCE保護手
段を使いその後発動された全てのアプリケーションに対
して、SEC.DLL初期化ロジックによりグローバル
値に設定される(例えば、各プロセスのDCELOGO
Nによりディフォルト情況が無効となる)。その結果、
これらのアプリケーションにより呼び出されるどのSE
C_LOGONでも該変数から信任状を得られる。
ータ環境における単一サイン・オン・コードを提供する
ための方法及びその装置に関する。本発明では、単一ユ
ーザ・ログオンの分散コンピュータ環境(DCE)部分
がシステム全体のログオン信任状に変換される。得られ
た分散コンピュータ環境信任状は、デスクトップ上のど
のようなプロセス、ウインドウでも利用可能である。D
CEログオンAPI(アプリケーション・プログラミン
グ・インタフェース: Application Pr
ogramming Interface)が、システ
ム内でのDCEプロセスにより使用可能な信任状キャッ
シュを作成し、またその存在を認識する。ユーザのログ
・オフ後に発動されたDCEアプリケーションは、前の
システム・ログオンにより確立された信任状を受け継ぐ
ものではない。ログオンの際ユーザが開始したアプリケ
ーションでは、ログ・オフしたユーザの信任状が継続し
て使用される。環境可変SINGLELOGINの組み
によりSEC_LOGIN_SET_CONTEXTの
APIが発動される毎にシステム全体のログオンが実行
される。これは、DCE2.0環境でのラン・サーバ
(LS)統合ログオン・プログラムによりAPIが呼び
出される場合も同様である。このAPIは、選択された
システムのログオン・オプションの結果DCELOGO
Nにより呼び出される。APIは、信任状キャッシュの
名でグローバルを更新する。変数KRB5CCNAME
が、未だ環境内に設定されていない場合、DCE保護手
段を使いその後発動された全てのアプリケーションに対
して、SEC.DLL初期化ロジックによりグローバル
値に設定される(例えば、各プロセスのDCELOGO
Nによりディフォルト情況が無効となる)。その結果、
これらのアプリケーションにより呼び出されるどのSE
C_LOGONでも該変数から信任状を得られる。
【0008】
【発明の実施の形態】本発明は、ルート・プロセス時に
IDがログ・インされない場合でも、全OS/2プロセ
ス・ツリーを通して分散コンピュータ環境を伝播する方
法及びその装置を提供する。本出願で使用され、また当
業者に知られるように、分散コンピュータ環境(DC
E)により、ユーザはネットワーク内のどのような特定
ノードに縛られることからも開放される。DCEとは、
オープン・ソフトウェア財団により定義される一組の通
信プロトコルのことである。DCEにより、ユーザはD
CE内のどの機種からも「ホーム」ディレクトリにアク
セスが許される。さらに、DCEにより、異なるハード
ウェア・プラットフォーム間、オペレーティング・シス
テム間でも通信、そして資源の共有が可能となる。
IDがログ・インされない場合でも、全OS/2プロセ
ス・ツリーを通して分散コンピュータ環境を伝播する方
法及びその装置を提供する。本出願で使用され、また当
業者に知られるように、分散コンピュータ環境(DC
E)により、ユーザはネットワーク内のどのような特定
ノードに縛られることからも開放される。DCEとは、
オープン・ソフトウェア財団により定義される一組の通
信プロトコルのことである。DCEにより、ユーザはD
CE内のどの機種からも「ホーム」ディレクトリにアク
セスが許される。さらに、DCEにより、異なるハード
ウェア・プラットフォーム間、オペレーティング・シス
テム間でも通信、そして資源の共有が可能となる。
【0009】図1は、通信ネットワークにおける分散デ
ータ処理システム/DCEを示す。この環境において、
ネットワーク内のノードでの各プロセッサは、ファイル
がたとえどのノードに存在しようとも、潜在的にネット
ワーク内のファイルの全てにアクセス可能である。図1
に示すように、分散ネットワーク環境1は、コミュニケ
ーション・リンク、又はネットワーク3を介し接続され
た2つ以上のノードA,B,Cより構成される。ネット
ワーク3は、ローカル・エリア・ネットワーク(LA
N)、或はワイド・エリア・ネットワーク(WAN)で
よく、後者の場合、他のノード、又はSNA(システム
・ネットワーク・アーキテクチャ:System Ne
twork Architecture)システム・ネ
ットワークへの切り替え、或は専用テレプロセッシング
(TP)接続が含まれる。各ノードA,B,Cには、I
BMのPS/2パーソナル・コンピュータ、IBMのR
ISCシステム/6000ワークステーション等のプロ
セッシング・システム10A,10B,10Cを設置で
きる。各システム10A,10B,10Cは、ネットワ
ーク3を使いネットワーク内の遠隔ノードに存するファ
イルにアクセスする能力を有する単一ユーザシステム、
或は多数ユーザシステムとすることができる。
ータ処理システム/DCEを示す。この環境において、
ネットワーク内のノードでの各プロセッサは、ファイル
がたとえどのノードに存在しようとも、潜在的にネット
ワーク内のファイルの全てにアクセス可能である。図1
に示すように、分散ネットワーク環境1は、コミュニケ
ーション・リンク、又はネットワーク3を介し接続され
た2つ以上のノードA,B,Cより構成される。ネット
ワーク3は、ローカル・エリア・ネットワーク(LA
N)、或はワイド・エリア・ネットワーク(WAN)で
よく、後者の場合、他のノード、又はSNA(システム
・ネットワーク・アーキテクチャ:System Ne
twork Architecture)システム・ネ
ットワークへの切り替え、或は専用テレプロセッシング
(TP)接続が含まれる。各ノードA,B,Cには、I
BMのPS/2パーソナル・コンピュータ、IBMのR
ISCシステム/6000ワークステーション等のプロ
セッシング・システム10A,10B,10Cを設置で
きる。各システム10A,10B,10Cは、ネットワ
ーク3を使いネットワーク内の遠隔ノードに存するファ
イルにアクセスする能力を有する単一ユーザシステム、
或は多数ユーザシステムとすることができる。
【0010】図2及び3は、システム全体のログオン手
順の主構成要素のブロック図である。図2では、ブロッ
ク100に示すように信任状ルーティンが獲得されるシ
ステム・ログオンのプロセスが説明されている。このブ
ロックは、ログ・インするユーザの認証、さらに該ユー
ザの信任状を含むディスク常駐ファイルの構築を司る一
連の共通API呼び出しを表す。ブロック300では、
「セット・コンテキスト」ブロック300が、その後新
しく開始されるアプリケーション・プロセスと関連付け
されるものとして前に獲得した信任状を確立する役割を
果たす単一共通APIへの呼び出しを表していた。シス
テム全体のログオン手順におけるアプリケーション、信
任状関連付け部が図3に示されている。ブロック200
は、信任状プロセスの初期化を示す。「ゲット」コンテ
キストのブロック400により、単一のシステム全体の
ログオン能力のためのコンテキストが確立される。パー
ジ/リリース用コンテキスト・ブロック500では、ロ
グオン・パラメータに割り当てられたメモリ内容の抹
消、破棄が行われる。パージ/リリース用ブロック50
0からDCEログオフ・ブロック600が挿入され、D
CEログオン手順が終了する。
順の主構成要素のブロック図である。図2では、ブロッ
ク100に示すように信任状ルーティンが獲得されるシ
ステム・ログオンのプロセスが説明されている。このブ
ロックは、ログ・インするユーザの認証、さらに該ユー
ザの信任状を含むディスク常駐ファイルの構築を司る一
連の共通API呼び出しを表す。ブロック300では、
「セット・コンテキスト」ブロック300が、その後新
しく開始されるアプリケーション・プロセスと関連付け
されるものとして前に獲得した信任状を確立する役割を
果たす単一共通APIへの呼び出しを表していた。シス
テム全体のログオン手順におけるアプリケーション、信
任状関連付け部が図3に示されている。ブロック200
は、信任状プロセスの初期化を示す。「ゲット」コンテ
キストのブロック400により、単一のシステム全体の
ログオン能力のためのコンテキストが確立される。パー
ジ/リリース用コンテキスト・ブロック500では、ロ
グオン・パラメータに割り当てられたメモリ内容の抹
消、破棄が行われる。パージ/リリース用ブロック50
0からDCEログオフ・ブロック600が挿入され、D
CEログオン手順が終了する。
【0011】図4は、本発明の概要をさらに示す図であ
る。ログオン・プロセスは、信任状の獲得と保存とから
成るブロック20に記載されている。さらに、ブロック
300の「セット」コンテキスト手順(図2)が実行さ
れ、結果的にグローバル変数が<File Name>
に設定される。信任状を含む実際のファイルは、ユーザ
のローカル記憶部24に記憶される。次ぎに、変数<F
ile Name>は、変数SINGLELOGINの
下グローバル記憶部22に記憶される。続いて作成され
たアプリケーション・プロセスにより、ブロック26に
記述するようにシステム全体の信任状が得られる。保護
手段ダイナミック・リンク・ライブラリ(DLL)のコ
ード28Aには、ブロック200(図3)に記述するプ
ロセス初期化ロジックが含まれる。このコードは、グロ
ーバル変数を読みだし、プロセス変数を設定する。変数
<File Name>が、変数KRB5CCNAME
26Cとしてプロセス記憶部に記憶される。アプリケー
ション・コード26Bにはブロック400(図3)に記
述する「Get(獲得)」コンテキスト呼び出しが含ま
れ、KRB5CCNAMEと名付けたファイルから信任
状を検索する。
る。ログオン・プロセスは、信任状の獲得と保存とから
成るブロック20に記載されている。さらに、ブロック
300の「セット」コンテキスト手順(図2)が実行さ
れ、結果的にグローバル変数が<File Name>
に設定される。信任状を含む実際のファイルは、ユーザ
のローカル記憶部24に記憶される。次ぎに、変数<F
ile Name>は、変数SINGLELOGINの
下グローバル記憶部22に記憶される。続いて作成され
たアプリケーション・プロセスにより、ブロック26に
記述するようにシステム全体の信任状が得られる。保護
手段ダイナミック・リンク・ライブラリ(DLL)のコ
ード28Aには、ブロック200(図3)に記述するプ
ロセス初期化ロジックが含まれる。このコードは、グロ
ーバル変数を読みだし、プロセス変数を設定する。変数
<File Name>が、変数KRB5CCNAME
26Cとしてプロセス記憶部に記憶される。アプリケー
ション・コード26Bにはブロック400(図3)に記
述する「Get(獲得)」コンテキスト呼び出しが含ま
れ、KRB5CCNAMEと名付けたファイルから信任
状を検索する。
【0012】図5は、保護手段初期化ルーティンを示す
フロー図である。この手順はブロック202から開始さ
れ、ブロック204に進み、アプリケーションがDCE
に接続中かどうか判別するためのチェックがなされる。
YESの場合、ブロック208で変数KRB5CCNA
MEがNULLかどうか判定される。該変数がNULL
であれば、ブロック210においてSINLOGINが
NULLでないかどうかチェックされる。ブロック21
2で変数KRB5CCNAMEが等価のSINLOGI
Nに設定される。
フロー図である。この手順はブロック202から開始さ
れ、ブロック204に進み、アプリケーションがDCE
に接続中かどうか判別するためのチェックがなされる。
YESの場合、ブロック208で変数KRB5CCNA
MEがNULLかどうか判定される。該変数がNULL
であれば、ブロック210においてSINLOGINが
NULLでないかどうかチェックされる。ブロック21
2で変数KRB5CCNAMEが等価のSINLOGI
Nに設定される。
【0013】図6は、システム全体のログオン用セット
・コンテキストを示すフロー図である。この方法では、
ブロック302から開始され、入力パラメータ「ロジッ
ク・コンテキスト」からチケット名が得られる。ブロッ
ク304において、SINGLELOGIN環境変数が
設定されているかどうか判定される。当業者であれば分
かる通り、これはシステム・ログオン・オプションであ
る。その判定がNOの場合、ブロック306において、
従来の単一ウインドウDCEログオンが開始される。ブ
ロック308で、変数KRB5CCNAMEをチケット
・キャッシュ名と等価に設定する。ブロック310で
は、変数NOSINGLELOGONCACHEをNU
LLに再設定し、ブロック312で該プロセス用にディ
フォルト・コンテキスト値が印される。ブロック314
では、ディフォルト・コンテキストが呼び出し上に供給
されたログイン・コンテキストと等価に印される。当業
者であれば分かる通り、これにより使用される他全ての
プロセスに対してディフォルト・コンテキスト(システ
ム全体)が設定される。ブロック304に戻り、SIN
GLELOGIN環境変数が設定されている場合、ブロ
ック316でSINLOGINセグメントが存在するか
どうか判定するためのチェックがなされる。YESであ
れば、ブロック318でチケット・キャッシュ名により
SINLOGINが更新される。ブロック316に戻
り、SINLOGINセグメントが存在しない場合、或
はライト・アクセス用にSINLOGINセグメントが
得られない場合、ブロック322で処理が停止する。
・コンテキストを示すフロー図である。この方法では、
ブロック302から開始され、入力パラメータ「ロジッ
ク・コンテキスト」からチケット名が得られる。ブロッ
ク304において、SINGLELOGIN環境変数が
設定されているかどうか判定される。当業者であれば分
かる通り、これはシステム・ログオン・オプションであ
る。その判定がNOの場合、ブロック306において、
従来の単一ウインドウDCEログオンが開始される。ブ
ロック308で、変数KRB5CCNAMEをチケット
・キャッシュ名と等価に設定する。ブロック310で
は、変数NOSINGLELOGONCACHEをNU
LLに再設定し、ブロック312で該プロセス用にディ
フォルト・コンテキスト値が印される。ブロック314
では、ディフォルト・コンテキストが呼び出し上に供給
されたログイン・コンテキストと等価に印される。当業
者であれば分かる通り、これにより使用される他全ての
プロセスに対してディフォルト・コンテキスト(システ
ム全体)が設定される。ブロック304に戻り、SIN
GLELOGIN環境変数が設定されている場合、ブロ
ック316でSINLOGINセグメントが存在するか
どうか判定するためのチェックがなされる。YESであ
れば、ブロック318でチケット・キャッシュ名により
SINLOGINが更新される。ブロック316に戻
り、SINLOGINセグメントが存在しない場合、或
はライト・アクセス用にSINLOGINセグメントが
得られない場合、ブロック322で処理が停止する。
【0014】図7は、「ゲット・コンテキスト(Get
Context)」機能を示すフロー図である。ブロ
ック402で処理が開始され、ディフォルト・コンテキ
ストが有効と印されているかどうか判定するためのチェ
ックが行われる。YESの場合、ブロック404でディ
フォルト・コンテキストに記憶されたログオン・コンテ
キスト・ポインタが返却される。当業者であれば分かる
通り、これは前の「ゲット・コンテキスト」の呼び出し
により既にディフォルト・コンテキストが作成され、有
効と印されている状態である。ディフォルト・コンテキ
スト(システム全体のログオン)が入手できるため、ロ
グオン・コンテキストとして使われる。ブロック402
に戻り、プロセス・ディフォルト・コンテキストが有効
でない場合、ブロック406において「チケット・キャ
ッシュ」名が変数KRB5CCNAME値と等価に設定
される。ブロック408で、該チケット・キャッシュ名
がNULLでなく、変数NOSINGLELOGONが
設定されているかどうか判定するためのチェックが行わ
れる。YESであれば、ブロック418でチケット・キ
ャッシュ名が無効に設定される。当業者であれば分かる
通り、これは機械のコンテキストとの関連性を望んでい
るプロセスである。NOの場合、ブロック410におい
てチケット・キャッシュ名が無効かどうかがチェックさ
れる。チケット・キャッシュ名がNULLの場合、ブロ
ック420でチケット・キャッシュ名が機械コンテキス
トのチケット・キャッシュと等価に設定される。ブロッ
ク422で、変数KRB5CCNAMEが機械コンテキ
ストのチケット・キャッシュ名と等価に設定され、ブロ
ック424で変数NOSINGLELOGONCACH
EがNULLと等価に再設定される。ブロック410に
戻り、チケット・キャッシュ名が無効でない場合、ブロ
ック412でログオン・コンテキストがチケット・キャ
ッシュ名の機能として構築される。ブロック414でデ
ィフォルト・コンテキストが有効と印され、ブロック4
16で印されたディフォルト・コンテキストがログオン
・コンテキストと等価に設定される。チケット・キャッ
シュ名が機械コンテキストと等しい時、その機械コンテ
キストを使いコンテキストが構築される(ブロック41
4)ことは理解できるであろう。
Context)」機能を示すフロー図である。ブロ
ック402で処理が開始され、ディフォルト・コンテキ
ストが有効と印されているかどうか判定するためのチェ
ックが行われる。YESの場合、ブロック404でディ
フォルト・コンテキストに記憶されたログオン・コンテ
キスト・ポインタが返却される。当業者であれば分かる
通り、これは前の「ゲット・コンテキスト」の呼び出し
により既にディフォルト・コンテキストが作成され、有
効と印されている状態である。ディフォルト・コンテキ
スト(システム全体のログオン)が入手できるため、ロ
グオン・コンテキストとして使われる。ブロック402
に戻り、プロセス・ディフォルト・コンテキストが有効
でない場合、ブロック406において「チケット・キャ
ッシュ」名が変数KRB5CCNAME値と等価に設定
される。ブロック408で、該チケット・キャッシュ名
がNULLでなく、変数NOSINGLELOGONが
設定されているかどうか判定するためのチェックが行わ
れる。YESであれば、ブロック418でチケット・キ
ャッシュ名が無効に設定される。当業者であれば分かる
通り、これは機械のコンテキストとの関連性を望んでい
るプロセスである。NOの場合、ブロック410におい
てチケット・キャッシュ名が無効かどうかがチェックさ
れる。チケット・キャッシュ名がNULLの場合、ブロ
ック420でチケット・キャッシュ名が機械コンテキス
トのチケット・キャッシュと等価に設定される。ブロッ
ク422で、変数KRB5CCNAMEが機械コンテキ
ストのチケット・キャッシュ名と等価に設定され、ブロ
ック424で変数NOSINGLELOGONCACH
EがNULLと等価に再設定される。ブロック410に
戻り、チケット・キャッシュ名が無効でない場合、ブロ
ック412でログオン・コンテキストがチケット・キャ
ッシュ名の機能として構築される。ブロック414でデ
ィフォルト・コンテキストが有効と印され、ブロック4
16で印されたディフォルト・コンテキストがログオン
・コンテキストと等価に設定される。チケット・キャッ
シュ名が機械コンテキストと等しい時、その機械コンテ
キストを使いコンテキストが構築される(ブロック41
4)ことは理解できるであろう。
【0015】図8は、パージ/リリースのコンテキスト
機能を示すフロー図である。ブロック502において、
プロセス・ディフォルト・コンテキストが有効と印され
ているか、またログオン・コンテキストがディフォルト
・コンテキストと等しいかどうかの判定が行われる。Y
ESの場合、ブロック506で変数KRB5CCNAM
EがNULLに設定され、ブロック508でプロセス・
ディフォルト・コンテキストが無効と印される。ブロッ
ク510で、変数NOSINGLELOGONCACH
Eが非NULL値に設定され、プロセッシングがブロッ
ク512に進む。ブロック502に戻り、プロセス・デ
ィフォルト・コンテキストが有効でない場合、ブロック
512において、パージ機能が呼び出されたかどうか判
定するためのチェックがなされる。YESであれば、ブ
ロック514で入力「ログオン・コンテキスト」からチ
ケット・キャッシュ名を得、ブロック516で信任状フ
ァイルのリンクを解く(破棄する)。当業者であれば分
かる通り、本手順でのブロック524内の「リリーシン
グ・メモリ(releasing memory)」で
は信任状ファイルの内容が破棄されないが、パージ機能
では信任状ファイルの内容が破棄される。ブロック51
8でSINLOGINが書き出し(write)により
得られたかどうか判定するためのチェックが行われる。
YESであれば、ブロック520において、チケット・
キャッシュ名がSINLOGINに記憶された値と等し
いかどうかの判定チェックが行われる。YESであれ
ば、ブロック522でSINLOGINセグメントがN
ULLに設定され、ブロック524でログイン・コンテ
キスト・メモリが開放される。これは、デスクトップが
破棄されたキャッシュで実行されるのを防ぐために行わ
れる。
機能を示すフロー図である。ブロック502において、
プロセス・ディフォルト・コンテキストが有効と印され
ているか、またログオン・コンテキストがディフォルト
・コンテキストと等しいかどうかの判定が行われる。Y
ESの場合、ブロック506で変数KRB5CCNAM
EがNULLに設定され、ブロック508でプロセス・
ディフォルト・コンテキストが無効と印される。ブロッ
ク510で、変数NOSINGLELOGONCACH
Eが非NULL値に設定され、プロセッシングがブロッ
ク512に進む。ブロック502に戻り、プロセス・デ
ィフォルト・コンテキストが有効でない場合、ブロック
512において、パージ機能が呼び出されたかどうか判
定するためのチェックがなされる。YESであれば、ブ
ロック514で入力「ログオン・コンテキスト」からチ
ケット・キャッシュ名を得、ブロック516で信任状フ
ァイルのリンクを解く(破棄する)。当業者であれば分
かる通り、本手順でのブロック524内の「リリーシン
グ・メモリ(releasing memory)」で
は信任状ファイルの内容が破棄されないが、パージ機能
では信任状ファイルの内容が破棄される。ブロック51
8でSINLOGINが書き出し(write)により
得られたかどうか判定するためのチェックが行われる。
YESであれば、ブロック520において、チケット・
キャッシュ名がSINLOGINに記憶された値と等し
いかどうかの判定チェックが行われる。YESであれ
ば、ブロック522でSINLOGINセグメントがN
ULLに設定され、ブロック524でログイン・コンテ
キスト・メモリが開放される。これは、デスクトップが
破棄されたキャッシュで実行されるのを防ぐために行わ
れる。
【0016】図9は、IBMのPS/2コンピュータ等
の多くの商業用システムで具現化された汎用コンピュー
タ・システム、ワークステーション740を示す(PS
/2はIBM社の登録商標)。本発明での現在のOSサ
ポートは、OS/2.2.3を有するインテル社製マイ
クロプロセッサである。図8に示すように、基本的構成
要素には、1つ以上のプロセッシング・ユニット、又は
CPU746,ハード・ディスク、又は他の永久記憶装
置742、RAM748,アダプタ744を介してのネ
ットワーク通信サポート、ディスプレイ装置754への
入出力サポート、ポインティング装置758、I/Oコ
ントローラ750を介してのフロッピ・ディスケット・
ドライブ760が含まれる。当業者であれば分かる通
り、コンピュータ・プログラム製品は、その上に記録さ
れたコンピュータ・プログラム・ロジック含み、コンピ
ュータ読み出し可能媒体(例えば、フロッピ・ディスケ
ット)上に記憶され、フロッピ・ディスケット・ドライ
ブ760を使いコンピュータ・システムに入力できる。
これらの構成要素は、システム・バス752上でお互い
に連通される。
の多くの商業用システムで具現化された汎用コンピュー
タ・システム、ワークステーション740を示す(PS
/2はIBM社の登録商標)。本発明での現在のOSサ
ポートは、OS/2.2.3を有するインテル社製マイ
クロプロセッサである。図8に示すように、基本的構成
要素には、1つ以上のプロセッシング・ユニット、又は
CPU746,ハード・ディスク、又は他の永久記憶装
置742、RAM748,アダプタ744を介してのネ
ットワーク通信サポート、ディスプレイ装置754への
入出力サポート、ポインティング装置758、I/Oコ
ントローラ750を介してのフロッピ・ディスケット・
ドライブ760が含まれる。当業者であれば分かる通
り、コンピュータ・プログラム製品は、その上に記録さ
れたコンピュータ・プログラム・ロジック含み、コンピ
ュータ読み出し可能媒体(例えば、フロッピ・ディスケ
ット)上に記憶され、フロッピ・ディスケット・ドライ
ブ760を使いコンピュータ・システムに入力できる。
これらの構成要素は、システム・バス752上でお互い
に連通される。
【0017】以上本発明の好適実施例について記載した
が、当業者であれば分かるように、本発明の主旨、範
囲、及び教示を越えることなく、様々な具体的変更が可
能である。
が、当業者であれば分かるように、本発明の主旨、範
囲、及び教示を越えることなく、様々な具体的変更が可
能である。
【0018】まとめとして、本発明の構成に関して下記
の事項を開示 (1)分散コンピュータ環境においてローカル・コンピ
ュータ・システムを使用するためのユーザの信任状を捜
し出す方法であって、前記ユーザの信任状のポインタが
存在するかどうか判定し、存在する場合、前記ユーザの
信任状を使用するステップと、存在しない場合、ディフ
ォルト組みの信任状が存在するかどうか判定し、存在す
る場合、前記ディフォルト組みのユーザ信任状を使用す
るステップと、存在しない場合、前記ローカル・コンピ
ュータ・システム用に一組の信任状を使用するステップ
を含む方法。 (2)プロセスにおいて前記ディフォルト組みのユーザ
信任状を使用できるかどうか判定するステップと、使用
できない場合、前記ローカル・コンピュータ・システム
用に前記組みの信任状を使用するステップをさらに含む
請求項1に記載の方法。 (3)分散コンピュータ環境におけるローカル・コンピ
ュータ・システムで使用するためのユーザの信任状を捜
し出す装置であって、前記ユーザ信任状のポインタが存
在するかどうか判定する手段であり、存在する場合、前
記ユーザ信任状を使用し、存在しない場合、ディフォル
ト組みの信任状が存在するかどうか判定する手段であ
り、存在する場合、前記ディフォルト組みのユーザ信任
状を使用し、存在しない場合、前記ローカル・コンピュ
ータ・システム用に一組の信任状を使用する手段とを含
む装置。 (4)さらにプロセスにおいて前記ディフォルト組みの
ユーザ信任状が使用できるかどうか判定する手段と、使
用できない場合、前記ローカル・コンピュータ・システ
ム用に前記組みの信任状を使用する手段とを含む請求項
3に記載の装置。 (5)コンピュータ・プログラム・ロジックが上に記録
されたコンピュータ読み出し可能媒体を有し、分散コン
ピュータ環境においてローカル・コンピュータ・システ
ムを使用しユーザの信任状を捜し出すためのコンピュー
タ・プログラム製品であって、前記ユーザ信任状のポイ
ンタが存在するかどうか判定するコンピュータ読み出し
可能プログラム・コード手段と、存在する場合、前記ユ
ーザ信任状を使用するためのコンピュータ読み出し可能
プログラム・コード手段と、存在しない場合、ディフォ
ルト組みの信任状が存在するかどうか判定するコンピュ
ータ読み出し可能プログラム・コード手段と、存在する
場合、前記ディフォルト組みのユーザ信任状を使用する
ためのコンピュータ読み出し可能プログラム・コード手
段と、存在しない場合、前記ローカル・コンピュータ・
システム用に一組の信任状を使用するためのコンピュー
タ読み出し可能プログラム・コード手段とを含むコンピ
ュータ・プログラム製品。 (6)プロセスにおいて前記ディフォルトユーザ信任状
が使用できるかどうか判定するコンピュータ読み出し可
能プログラム手段と、使用できない場合、前記ローカル
・コンピュータ・システム用に前記組みの信任状を使用
するためのコンピュータ読み出し可能プログラム・コー
ド手段とを含む請求項5に記載のコンピュータ読み出し
可能プログラム。 (7)分散コンピュータ環境におけるネットワーク内の
ワークステーション・ユーザに対してシステム全体のロ
グオン能力を提供する方法であって、ユーザの信任状を
獲得し、ローカル記憶領域に記憶するステップと、前記
システム全体のログオン能力用にログオン環境を確立す
るステップと、前記システム全体のログオン能力を要求
するアプリケーションの装着を検知し、前記ユーザ信任
状にアクセスし、自動的に前記ユーザを前記ネットワー
クにログオンさせるステップとを含む方法。 (8)ログオン環境を確立するステップに、グローバル
記憶部を前記ローカル記憶領域内の前記ユーザ信任状に
設定するステップが含まれることを特徴とする請求項7
に記載の方法。 (9)前記グローバル記憶部設定をプロセス記憶領域に
記憶するステップが含まれる請求項8に記載の方法。 (10)前記ユーザ信任状にアクセスするステップに
は、存在する場合、前記プロセス領域から前記ユーザ信
任状を検索するステップが含まれることを特徴とする請
求項9に記載の方法。 (11)前記ユーザ信任状にアクセスするステップに
は、前記ユーザ信任状が前記プロセス記憶領域に存在し
ない場合、前記ローカル記憶領域から前記ユーザ信任状
を検索するステップが含まれることを特徴とする請求項
9に記載の方法。
の事項を開示 (1)分散コンピュータ環境においてローカル・コンピ
ュータ・システムを使用するためのユーザの信任状を捜
し出す方法であって、前記ユーザの信任状のポインタが
存在するかどうか判定し、存在する場合、前記ユーザの
信任状を使用するステップと、存在しない場合、ディフ
ォルト組みの信任状が存在するかどうか判定し、存在す
る場合、前記ディフォルト組みのユーザ信任状を使用す
るステップと、存在しない場合、前記ローカル・コンピ
ュータ・システム用に一組の信任状を使用するステップ
を含む方法。 (2)プロセスにおいて前記ディフォルト組みのユーザ
信任状を使用できるかどうか判定するステップと、使用
できない場合、前記ローカル・コンピュータ・システム
用に前記組みの信任状を使用するステップをさらに含む
請求項1に記載の方法。 (3)分散コンピュータ環境におけるローカル・コンピ
ュータ・システムで使用するためのユーザの信任状を捜
し出す装置であって、前記ユーザ信任状のポインタが存
在するかどうか判定する手段であり、存在する場合、前
記ユーザ信任状を使用し、存在しない場合、ディフォル
ト組みの信任状が存在するかどうか判定する手段であ
り、存在する場合、前記ディフォルト組みのユーザ信任
状を使用し、存在しない場合、前記ローカル・コンピュ
ータ・システム用に一組の信任状を使用する手段とを含
む装置。 (4)さらにプロセスにおいて前記ディフォルト組みの
ユーザ信任状が使用できるかどうか判定する手段と、使
用できない場合、前記ローカル・コンピュータ・システ
ム用に前記組みの信任状を使用する手段とを含む請求項
3に記載の装置。 (5)コンピュータ・プログラム・ロジックが上に記録
されたコンピュータ読み出し可能媒体を有し、分散コン
ピュータ環境においてローカル・コンピュータ・システ
ムを使用しユーザの信任状を捜し出すためのコンピュー
タ・プログラム製品であって、前記ユーザ信任状のポイ
ンタが存在するかどうか判定するコンピュータ読み出し
可能プログラム・コード手段と、存在する場合、前記ユ
ーザ信任状を使用するためのコンピュータ読み出し可能
プログラム・コード手段と、存在しない場合、ディフォ
ルト組みの信任状が存在するかどうか判定するコンピュ
ータ読み出し可能プログラム・コード手段と、存在する
場合、前記ディフォルト組みのユーザ信任状を使用する
ためのコンピュータ読み出し可能プログラム・コード手
段と、存在しない場合、前記ローカル・コンピュータ・
システム用に一組の信任状を使用するためのコンピュー
タ読み出し可能プログラム・コード手段とを含むコンピ
ュータ・プログラム製品。 (6)プロセスにおいて前記ディフォルトユーザ信任状
が使用できるかどうか判定するコンピュータ読み出し可
能プログラム手段と、使用できない場合、前記ローカル
・コンピュータ・システム用に前記組みの信任状を使用
するためのコンピュータ読み出し可能プログラム・コー
ド手段とを含む請求項5に記載のコンピュータ読み出し
可能プログラム。 (7)分散コンピュータ環境におけるネットワーク内の
ワークステーション・ユーザに対してシステム全体のロ
グオン能力を提供する方法であって、ユーザの信任状を
獲得し、ローカル記憶領域に記憶するステップと、前記
システム全体のログオン能力用にログオン環境を確立す
るステップと、前記システム全体のログオン能力を要求
するアプリケーションの装着を検知し、前記ユーザ信任
状にアクセスし、自動的に前記ユーザを前記ネットワー
クにログオンさせるステップとを含む方法。 (8)ログオン環境を確立するステップに、グローバル
記憶部を前記ローカル記憶領域内の前記ユーザ信任状に
設定するステップが含まれることを特徴とする請求項7
に記載の方法。 (9)前記グローバル記憶部設定をプロセス記憶領域に
記憶するステップが含まれる請求項8に記載の方法。 (10)前記ユーザ信任状にアクセスするステップに
は、存在する場合、前記プロセス領域から前記ユーザ信
任状を検索するステップが含まれることを特徴とする請
求項9に記載の方法。 (11)前記ユーザ信任状にアクセスするステップに
は、前記ユーザ信任状が前記プロセス記憶領域に存在し
ない場合、前記ローカル記憶領域から前記ユーザ信任状
を検索するステップが含まれることを特徴とする請求項
9に記載の方法。
【図1】本発明によるコンピュータ・ネットワークを示
すブロック図である。
すブロック図である。
【図2】システム全体のログオン能力の実行に要される
機能ブロックのブロック図である。
機能ブロックのブロック図である。
【図3】システム全体のログオン能力の実行に要される
機能ブロックのブロック図である。
機能ブロックのブロック図である。
【図4】本発明によるシステム全体のログオン主構成要
素のブロック図である。
素のブロック図である。
【図5】保護手段初期化ルーティンのフロー図である。
【図6】本発明によるシステム全体のログオン用「セッ
ト・コンテキスト」機能のフロー図である。
ト・コンテキスト」機能のフロー図である。
【図7】本発明によるシステム全体のログオン用「ゲッ
ト・コンテキスト」機能のフロー図である。
ト・コンテキスト」機能のフロー図である。
【図8】本発明によるシステム全体のログオン用パージ
・リリース・コンテキストのフロー図である。
・リリース・コンテキストのフロー図である。
【図9】本発明の好適実施例を実行できるコンピュータ
・システムのブロック図である。
・システムのブロック図である。
4A 、 4B 、 4C : アプリケーション 13A、13B、13C : プロセス 11A 11B 11C オペレーション・シス
テム 2A、2B、2C : 記憶 5 : ファイル 3 : ネットワーク 742 ディスク 744 アダプター 750 コントローラ 760 ディスケット・ドライブ
テム 2A、2B、2C : 記憶 5 : ファイル 3 : ネットワーク 742 ディスク 744 アダプター 750 コントローラ 760 ディスケット・ドライブ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ウェイン・デューブ・シグラー アメリカ合衆国78730、テキサス州オース ティン、ベルマウンテン・ドライブ9601
Claims (11)
- 【請求項1】分散コンピュータ環境においてローカル・
コンピュータ・システムを使用するためのユーザの信任
状を捜し出す方法であって、 前記ユーザの信任状のポインタが存在するかどうか判定
し、存在する場合、前記ユーザの信任状を使用するステ
ップと、 存在しない場合、ディフォルト組みの信任状が存在する
かどうか判定し、存在する場合、前記ディフォルト組み
のユーザ信任状を使用するステップと、 存在しない場合、前記ローカル・コンピュータ・システ
ム用に一組の信任状を使用するステップを含む方法。 - 【請求項2】プロセスにおいて前記ディフォルト組みの
ユーザ信任状を使用できるかどうか判定するステップ
と、 使用できない場合、前記ローカル・コンピュータ・シス
テム用に前記組みの信任状を使用するステップをさらに
含む請求項1に記載の方法。 - 【請求項3】分散コンピュータ環境におけるローカル・
コンピュータ・システムで使用するためのユーザの信任
状を捜し出す装置であって、 前記ユーザ信任状のポインタが存在するかどうか判定す
る手段であり、存在する場合、前記ユーザ信任状を使用
し、 存在しない場合、ディフォルト組みの信任状が存在する
かどうか判定する手段であり、存在する場合、前記ディ
フォルト組みのユーザ信任状を使用し、 存在しない場合、前記ローカル・コンピュータ・システ
ム用に一組の信任状を使用する手段とを含む装置。 - 【請求項4】さらにプロセスにおいて前記ディフォルト
組みのユーザ信任状が使用できるかどうか判定する手段
と、 使用できない場合、前記ローカル・コンピュータ・シス
テム用に前記組みの信任状を使用する手段とを含む請求
項3に記載の装置。 - 【請求項5】コンピュータ・プログラム・ロジックが上
に記録されたコンピュータ読み出し可能媒体を有し、分
散コンピュータ環境においてローカル・コンピュータ・
システムを使用しユーザの信任状を捜し出すためのコン
ピュータ・プログラム製品であって、 前記ユーザ信任状のポインタが存在するかどうか判定す
るコンピュータ読み出し可能プログラム・コード手段
と、 存在する場合、前記ユーザ信任状を使用するためのコン
ピュータ読み出し可能プログラム・コード手段と、 存在しない場合、ディフォルト組みの信任状が存在する
かどうか判定するコンピュータ読み出し可能プログラム
・コード手段と、 存在する場合、前記ディフォルト組みのユーザ信任状を
使用するためのコンピュータ読み出し可能プログラム・
コード手段と、 存在しない場合、前記ローカル・コンピュータ・システ
ム用に一組の信任状を使用するためのコンピュータ読み
出し可能プログラム・コード手段とを含むコンピュータ
・プログラム製品。 - 【請求項6】プロセスにおいて前記ディフォルトユーザ
信任状が使用できるかどうか判定するコンピュータ読み
出し可能プログラム手段と、 使用できない場合、前記ローカル・コンピュータ・シス
テム用に前記組みの信任状を使用するためのコンピュー
タ読み出し可能プログラム・コード手段とを含む請求項
5に記載のコンピュータ読み出し可能プログラム。 - 【請求項7】分散コンピュータ環境におけるネットワー
ク内のワークステーション・ユーザに対してシステム全
体のログオン能力を提供する方法であって、 ユーザの信任状を獲得し、ローカル記憶領域に記憶する
ステップと、 前記システム全体のログオン能力用にログオン環境を確
立するステップと、 前記システム全体のログオン能力を要求するアプリケー
ションの装着を検知し、前記ユーザ信任状にアクセス
し、自動的に前記ユーザを前記ネットワークにログオン
させるステップとを含む方法。 - 【請求項8】ログオン環境を確立するステップに、グロ
ーバル記憶部を前記ローカル記憶領域内の前記ユーザ信
任状に設定するステップが含まれることを特徴とする請
求項7に記載の方法。 - 【請求項9】前記グローバル記憶部設定をプロセス記憶
領域に記憶するステップが含まれる請求項8に記載の方
法。 - 【請求項10】前記ユーザ信任状にアクセスするステッ
プには、存在する場合、前記プロセス領域から前記ユー
ザ信任状を検索するステップが含まれることを特徴とす
る請求項9に記載の方法。 - 【請求項11】前記ユーザ信任状にアクセスするステッ
プには、前記ユーザ信任状が前記プロセス記憶領域に存
在しない場合、前記ローカル記憶領域から前記ユーザ信
任状を検索するステップが含まれることを特徴とする請
求項9に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US49730095A | 1995-06-30 | 1995-06-30 | |
| US497300 | 1995-06-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH0934838A true JPH0934838A (ja) | 1997-02-07 |
Family
ID=23976289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8162596A Pending JPH0934838A (ja) | 1995-06-30 | 1996-06-24 | 分散コンピュータ環境において、ユーザの信任状を捜し出す方法及びその装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US5768504A (ja) |
| EP (1) | EP0751453B1 (ja) |
| JP (1) | JPH0934838A (ja) |
| KR (1) | KR100240910B1 (ja) |
| DE (1) | DE69610168D1 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6934706B1 (en) | 2002-03-22 | 2005-08-23 | International Business Machines Corporation | Centralized mapping of security credentials for database access operations |
| US7100207B1 (en) | 2001-06-14 | 2006-08-29 | International Business Machines Corporation | Method and system for providing access to computer resources that utilize distinct protocols for receiving security information and providing access based on received security information |
| US7349949B1 (en) | 2002-12-26 | 2008-03-25 | International Business Machines Corporation | System and method for facilitating development of a customizable portlet |
| US7359982B1 (en) | 2002-12-26 | 2008-04-15 | International Business Machines Corporation | System and method for facilitating access to content information |
Families Citing this family (72)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7743248B2 (en) * | 1995-01-17 | 2010-06-22 | Eoriginal, Inc. | System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components |
| US5790785A (en) | 1995-12-11 | 1998-08-04 | Customer Communications Group, Inc. | World Wide Web registration information processing system |
| US6615251B1 (en) | 1995-12-11 | 2003-09-02 | John R. Klug | Method for providing node targeted content in an addressable network |
| US6591245B1 (en) | 1996-02-02 | 2003-07-08 | John R. Klug | Media content notification via communications network |
| US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
| US6301661B1 (en) | 1997-02-12 | 2001-10-09 | Verizon Labortories Inc. | Enhanced security for applications employing downloadable executable content |
| US7062781B2 (en) * | 1997-02-12 | 2006-06-13 | Verizon Laboratories Inc. | Method for providing simultaneous parallel secure command execution on multiple remote hosts |
| US5923756A (en) | 1997-02-12 | 1999-07-13 | Gte Laboratories Incorporated | Method for providing secure remote command execution over an insecure computer network |
| US5944824A (en) * | 1997-04-30 | 1999-08-31 | Mci Communications Corporation | System and method for single sign-on to a plurality of network elements |
| FI106988B (fi) * | 1997-05-16 | 2001-05-15 | Nokia Networks Oy | Palveluriippumattomien rakenneosien toteutus |
| US6202066B1 (en) | 1997-11-19 | 2001-03-13 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role/group permission association using object access type |
| US5935251A (en) * | 1997-12-22 | 1999-08-10 | Hewlett Packard Company | Method and apparatus expedited log-on to an application program |
| US6240512B1 (en) | 1998-04-30 | 2001-05-29 | International Business Machines Corporation | Single sign-on (SSO) mechanism having master key synchronization |
| US6178511B1 (en) | 1998-04-30 | 2001-01-23 | International Business Machines Corporation | Coordinating user target logons in a single sign-on (SSO) environment |
| US6243816B1 (en) | 1998-04-30 | 2001-06-05 | International Business Machines Corporation | Single sign-on (SSO) mechanism personal key manager |
| US6275944B1 (en) | 1998-04-30 | 2001-08-14 | International Business Machines Corporation | Method and system for single sign on using configuration directives with respect to target types |
| US6205480B1 (en) | 1998-08-19 | 2001-03-20 | Computer Associates Think, Inc. | System and method for web server user authentication |
| WO2000016180A1 (en) * | 1998-09-11 | 2000-03-23 | Koninklijke Philips Electronics N.V. | Context sensitive login shield |
| US6681330B2 (en) * | 1998-10-02 | 2004-01-20 | International Business Machines Corporation | Method and system for a heterogeneous computer network system with unobtrusive cross-platform user access |
| US6505238B1 (en) | 1999-08-19 | 2003-01-07 | International Business Machines Corporation | Method and system for implementing universal login via web browser |
| US6732172B1 (en) * | 2000-01-04 | 2004-05-04 | International Business Machines Corporation | Method and system for providing cross-platform access to an internet user in a heterogeneous network environment |
| US20040259774A1 (en) * | 2000-03-08 | 2004-12-23 | Enrique Alvarez | Therapeutic polypeptides, nucleic acids encoding same, and methods of use |
| US6654783B1 (en) * | 2000-03-30 | 2003-11-25 | Ethergent Corporation | Network site content indexing method and associated system |
| US20090216641A1 (en) * | 2000-03-30 | 2009-08-27 | Niration Network Group, L.L.C. | Methods and Systems for Indexing Content |
| US6891802B1 (en) | 2000-03-30 | 2005-05-10 | United Devices, Inc. | Network site testing method and associated system |
| US7254607B2 (en) * | 2000-03-30 | 2007-08-07 | United Devices, Inc. | Dynamic coordination and control of network connected devices for large-scale network site testing and associated architectures |
| US7003547B1 (en) | 2000-03-30 | 2006-02-21 | United Devices, Inc. | Distributed parallel processing system having capability-based incentives and associated method |
| US8010703B2 (en) * | 2000-03-30 | 2011-08-30 | Prashtama Wireless Llc | Data conversion services and associated distributed processing system |
| US6847995B1 (en) | 2000-03-30 | 2005-01-25 | United Devices, Inc. | Security architecture for distributed processing systems and associated method |
| USRE42153E1 (en) * | 2000-03-30 | 2011-02-15 | Hubbard Edward A | Dynamic coordination and control of network connected devices for large-scale network site testing and associated architectures |
| US7020678B1 (en) | 2000-03-30 | 2006-03-28 | United Devices, Inc. | Machine generated sweepstakes entry model and associated distributed processing system |
| US20090222508A1 (en) * | 2000-03-30 | 2009-09-03 | Hubbard Edward A | Network Site Testing |
| US20040103139A1 (en) * | 2000-03-30 | 2004-05-27 | United Devices, Inc. | Distributed processing system having sensor based data collection and associated method |
| US6963897B1 (en) * | 2000-03-30 | 2005-11-08 | United Devices, Inc. | Customer services and advertising based upon device attributes and associated distributed processing system |
| US7039670B2 (en) * | 2000-03-30 | 2006-05-02 | United Devices, Inc. | Massively distributed processing system with modular client agent and associated method |
| US20010039497A1 (en) * | 2000-03-30 | 2001-11-08 | Hubbard Edward A. | System and method for monitizing network connected user bases utilizing distributed processing systems |
| US7092985B2 (en) * | 2000-03-30 | 2006-08-15 | United Devices, Inc. | Method of managing workloads and associated distributed processing system |
| US20040148336A1 (en) * | 2000-03-30 | 2004-07-29 | Hubbard Edward A | Massively distributed processing system architecture, scheduling, unique device identification and associated methods |
| US7082474B1 (en) | 2000-03-30 | 2006-07-25 | United Devices, Inc. | Data sharing and file distribution method and associated distributed processing system |
| US7137141B1 (en) | 2000-08-16 | 2006-11-14 | International Business Machines Corporation | Single sign-on to an underlying operating system application |
| US7334031B2 (en) | 2001-01-12 | 2008-02-19 | Siemens Medical Solutions Health Services Corporation | System and user interface supporting processing and activity management for concurrently operating applications |
| US7043752B2 (en) | 2001-01-12 | 2006-05-09 | Siemens Medical Solutions Health Services Corporation | System and user interface supporting concurrent application initiation and interoperability |
| US6981144B2 (en) * | 2001-04-06 | 2005-12-27 | International Business Machines Corporation | System console device authentication in a network environment |
| US7020645B2 (en) * | 2001-04-19 | 2006-03-28 | Eoriginal, Inc. | Systems and methods for state-less authentication |
| US7571215B2 (en) * | 2001-07-16 | 2009-08-04 | Bea Systems, Inc. | Data replication protocol |
| US6918013B2 (en) * | 2001-07-16 | 2005-07-12 | Bea Systems, Inc. | System and method for flushing bean cache |
| US20030023898A1 (en) * | 2001-07-16 | 2003-01-30 | Jacobs Dean Bernard | Layered architecture for data replication |
| US20030046230A1 (en) * | 2001-08-30 | 2003-03-06 | Jacobs Dean Bernard | Method for maintaining account consistency |
| US7028030B2 (en) * | 2001-08-30 | 2006-04-11 | Bea Systems, Inc. | Cluster caching with concurrency checking |
| US6826601B2 (en) * | 2001-09-06 | 2004-11-30 | Bea Systems, Inc. | Exactly one cache framework |
| US7113980B2 (en) * | 2001-09-06 | 2006-09-26 | Bea Systems, Inc. | Exactly once JMS communication |
| US20030084302A1 (en) * | 2001-10-29 | 2003-05-01 | Sun Microsystems, Inc., A Delaware Corporation | Portability and privacy with data communications network browsing |
| US20030084172A1 (en) * | 2001-10-29 | 2003-05-01 | Sun Microsystem, Inc., A Delaware Corporation | Identification and privacy in the World Wide Web |
| US7275260B2 (en) | 2001-10-29 | 2007-09-25 | Sun Microsystems, Inc. | Enhanced privacy protection in identification in a data communications network |
| US20030084171A1 (en) * | 2001-10-29 | 2003-05-01 | Sun Microsystems, Inc., A Delaware Corporation | User access control to distributed resources on a data communications network |
| US7412720B1 (en) * | 2001-11-02 | 2008-08-12 | Bea Systems, Inc. | Delegated authentication using a generic application-layer network protocol |
| US7246230B2 (en) * | 2002-01-29 | 2007-07-17 | Bea Systems, Inc. | Single sign-on over the internet using public-key cryptography |
| US7930704B2 (en) * | 2002-02-06 | 2011-04-19 | Oracle International Corporation | J2EE component extension architecture |
| US7016959B2 (en) * | 2002-04-11 | 2006-03-21 | International Business Machines Corporation | Self service single sign on management system allowing user to amend user directory to include user chosen resource name and resource security data |
| US7506342B2 (en) * | 2002-07-23 | 2009-03-17 | Bea Systems, Inc. | System and method for implementing J2EE connector architecture |
| US7698434B2 (en) * | 2002-08-29 | 2010-04-13 | Bea Systems, Inc. | J2EE connector architecture |
| US7275259B2 (en) | 2003-06-18 | 2007-09-25 | Microsoft Corporation | System and method for unified sign-on |
| US7251732B2 (en) * | 2003-06-18 | 2007-07-31 | Microsoft Corporation | Password synchronization in a sign-on management system |
| US7392536B2 (en) * | 2003-06-18 | 2008-06-24 | Microsoft Corporation | System and method for unified sign-on |
| CA2434276A1 (en) | 2003-07-03 | 2005-01-03 | Ibm Canada Limited - Ibm Canada Limitee | Password management |
| US7739720B2 (en) * | 2004-10-14 | 2010-06-15 | Microsoft Corporation | Method and system for merging security policies |
| US20060185004A1 (en) * | 2005-02-11 | 2006-08-17 | Samsung Electronics Co., Ltd. | Method and system for single sign-on in a network |
| US7941668B2 (en) * | 2005-07-08 | 2011-05-10 | Stapleton Jeff J | Method and system for securely managing application transactions using cryptographic techniques |
| US8230487B2 (en) | 2005-12-21 | 2012-07-24 | International Business Machines Corporation | Method and system for controlling access to a secondary system |
| US8996857B1 (en) * | 2006-06-05 | 2015-03-31 | Thomson Financial Llc | Single sign-on method in multi-application framework |
| US7702787B1 (en) * | 2006-12-12 | 2010-04-20 | Emc Corporation | Configurable user management |
| US10733329B1 (en) * | 2018-04-20 | 2020-08-04 | Automation Anywhere, Inc. | Robotic process automation system and method with secure credential vault |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5001628A (en) * | 1987-02-13 | 1991-03-19 | International Business Machines Corporation | Single system image uniquely defining an environment for each user in a data processing system |
| US5367688A (en) * | 1987-09-04 | 1994-11-22 | Digital Equipment Corporation | Boot system for distributed digital data processing system |
| US5345587A (en) * | 1988-09-14 | 1994-09-06 | Digital Equipment Corporation | Extensible entity management system including a dispatching kernel and modules which independently interpret and execute commands |
| US5265221A (en) * | 1989-03-20 | 1993-11-23 | Tandem Computers | Access restriction facility method and apparatus |
| EP0398645B1 (en) * | 1989-05-15 | 1997-08-06 | International Business Machines Corporation | System for controlling access privileges |
| US5263158A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | Method and system for variable authority level user access control in a distributed data processing system having multiple resource manager |
| US5263157A (en) * | 1990-02-15 | 1993-11-16 | International Business Machines Corporation | Method and system for providing user access control within a distributed data processing system by the exchange of access control profiles |
| GB9010603D0 (en) * | 1990-05-11 | 1990-07-04 | Int Computers Ltd | Access control in a distributed computer system |
| US5032979A (en) * | 1990-06-22 | 1991-07-16 | International Business Machines Corporation | Distributed security auditing subsystem for an operating system |
| FR2663958B1 (fr) * | 1990-06-27 | 1994-03-04 | Etat Francais Cnet | Procede de synthese d'oligomeres sublimables a base de phenylene, lineaires et de longueur controlee. |
| US5315657A (en) * | 1990-09-28 | 1994-05-24 | Digital Equipment Corporation | Compound principals in access control lists |
| GB9104909D0 (en) * | 1991-03-08 | 1991-04-24 | Int Computers Ltd | Access control in a distributed computer system |
| US5287461A (en) * | 1991-10-31 | 1994-02-15 | Sun Microsystems, Inc. | Method and apparatus for remotely accessing a plurality of server consoles |
| US5241594A (en) * | 1992-06-02 | 1993-08-31 | Hughes Aircraft Company | One-time logon means and methods for distributed computing systems |
| US5235642A (en) * | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
-
1996
- 1996-05-24 EP EP96303728A patent/EP0751453B1/en not_active Expired - Lifetime
- 1996-05-24 DE DE69610168T patent/DE69610168D1/de not_active Expired - Lifetime
- 1996-06-18 KR KR1019960021967A patent/KR100240910B1/ko not_active IP Right Cessation
- 1996-06-24 JP JP8162596A patent/JPH0934838A/ja active Pending
-
1997
- 1997-07-15 US US08/893,127 patent/US5768504A/en not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7100207B1 (en) | 2001-06-14 | 2006-08-29 | International Business Machines Corporation | Method and system for providing access to computer resources that utilize distinct protocols for receiving security information and providing access based on received security information |
| US6934706B1 (en) | 2002-03-22 | 2005-08-23 | International Business Machines Corporation | Centralized mapping of security credentials for database access operations |
| US7349949B1 (en) | 2002-12-26 | 2008-03-25 | International Business Machines Corporation | System and method for facilitating development of a customizable portlet |
| US7359982B1 (en) | 2002-12-26 | 2008-04-15 | International Business Machines Corporation | System and method for facilitating access to content information |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100240910B1 (ko) | 2000-01-15 |
| EP0751453B1 (en) | 2000-09-06 |
| DE69610168D1 (de) | 2000-10-12 |
| US5768504A (en) | 1998-06-16 |
| EP0751453A1 (en) | 1997-01-02 |
| KR970002602A (ko) | 1997-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH0934838A (ja) | 分散コンピュータ環境において、ユーザの信任状を捜し出す方法及びその装置 | |
| US6108779A (en) | Server and computer network that permit a client to be easily introduced into the computer network | |
| US5809230A (en) | System and method for controlling access to personal computer system resources | |
| US6556995B1 (en) | Method to provide global sign-on for ODBC-based database applications | |
| US6910041B2 (en) | Authorization model for administration | |
| US5680547A (en) | Method and apparatus for controlling network and workstation access prior to workstation boot | |
| US6178511B1 (en) | Coordinating user target logons in a single sign-on (SSO) environment | |
| US9811381B2 (en) | Resource restriction systems and methods | |
| US20090300190A1 (en) | Data Serialization In A User Switching Environment | |
| US20080172555A1 (en) | Bootable thin client personal initialization device | |
| JPH1074158A (ja) | ネットワークのファイルシステムのクライアントのダイナミック認証方法および装置 | |
| WO2001025922A1 (en) | Method and system for providing data security using file spoofing | |
| JPH11327919A (ja) | オブジェクト指向割込みシステム用の方法およびデバイス | |
| US5564003A (en) | Batch registration of object classes | |
| US7512990B2 (en) | Multiple simultaneous ACL formats on a filesystem | |
| US7330966B2 (en) | Providing security based on a device identifier prior to booting an operating system | |
| US6633906B1 (en) | Method and system for managing windows desktops in a heterogeneous server environment | |
| US5838911A (en) | Method and apparatus for obtaining network information by using a dynamic link library | |
| US6917958B1 (en) | Method and apparatus for dynamic distribution of system file and system registry changes in a distributed data processing system | |
| JP2000207363A (ja) | ユ―ザ・アクセス制御装置 | |
| US7827614B2 (en) | Automatically hiding sensitive information obtainable from a process table | |
| EP0791195A1 (en) | Method and apparatus for controlling network and workstation access prior to workstation boot | |
| US7278144B2 (en) | System and method for managing operating system option values | |
| US6986058B1 (en) | Method and system for providing data security using file spoofing | |
| US7191261B2 (en) | System and method to use unmodified operating system on diskless computer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071010 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081010 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091010 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091010 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101010 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111010 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121010 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131010 Year of fee payment: 10 |
|
| LAPS | Cancellation because of no payment of annual fees |