認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラム
【課題】複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステムにおいて、システムマネージメントソフトウエア、或いはクライアント端末からのアクセスに対してシングルサインオンを実現する。
【解決手段】セルボックス10に実装されたベースボードマネージメントコントローラ110、120で動作する1以上のWebサーバ112からなるサーバシステム1の認証装置であって、認証情報が保持される記憶部70と、被認証クライアントまたは被認証アカウントの認証結果を記憶部70に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理部140と、を含む。
【解決手段】セルボックス10に実装されたベースボードマネージメントコントローラ110、120で動作する1以上のWebサーバ112からなるサーバシステム1の認証装置であって、認証情報が保持される記憶部70と、被認証クライアントまたは被認証アカウントの認証結果を記憶部70に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理部140と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラムに関し、特に、セルボックスに実装されたベースボードマネージメントコントローラ(BMC:Baseboard management Controller)で動作する1以上のWeb(World Wide Web)サーバからなるサーバシステムに用いて好適な技術に関する。
【背景技術】
【0002】
ユーザが一度認証を受けるだけで許可されている全ての機能を利用手背切るようになる機能としてシングルサインオン(以下、単にSSOという)が知られている。このSSOによれば、例えば、ネットワークに接続された端末を使用している場合、端末の起動時、LAN(Local
Area Network)への接続時、サーバへの接続時、サーバのアプリケーションション起動時に1回というように、何度もIDとバスワード入力を強いる状況が考えられるが、こうしたユーザの手間を省き、一度認証されれば全てのユーザ認証をスキップできる機能がSSOである。
【0003】
例えば、特許文献1には、認証状況を一元管理する認証状態管理サーバを必要とせずにSSOを実現してシステム構築コスト、および運用管理コストを軽減するSSO認証方法およびシステムが提案されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−335239号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、メモリを含むCPUモジュール、入出力モジュールを含むセルボックス内に、複数のベースボードマネージメントコントローラ(以下、BMCボードという)を実装し、BMCボードでは、BMC上で動作するBMCファームウエアと、BMC上で動作するWebサーバとが動作する、SMP(Symmetric Multiple Processor)構成のサーバシステムが知られている。
【0006】
上述したサーバシステムにおいて、ネットワーク経由で接続された上位装置のシステムマネージメントソフトウエア、或いはクライアント端末が、プラットホームマネージメントを司るBMCボードにアクセスするために、BMCへのログイン(認証)が必要である。このとき、セルボックス内でパーティションに分割され、或いは複数のセルボックスで構成されたパーティションシステムでは、BMCボード毎にアクセス認証を行う必要がある。
【0007】
また、Webクライアントがベーシック認証を装備したWebサーバを跨ってHTTP(Hyper Text Transfer Protocol)によるハイハーリンクアクセスを行う場合には、各Webサーバにアクセスする毎にログイン(認証)を行う必要があった。上述した特許文献1にはこのための対策が施されていない。
【0008】
(発明の目的)
本発明の目的は、複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステムにおいて、システムマネージメントソフトウエア、或いはクライアント端末からのアクセスに対してシングルサインオンを実現する、認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の第1の認証装置は、セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証装置であって、認証情報が保持される記憶部と、被認証クライアントまたは被認証アカウントの認証結果を記憶部に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理部と、を含む。
【0010】
本発明の第2のサーバシステムは、認証を通してプラットホーム制御を行う上位装置と、Webサーバのアクセスを行うクライアント端末と、上位装置とクライアント端末とはネットワーク経由で接続され、認証情報が保持される記憶部と、被認証クライアントまたは被認証アカウントの認証結果を記憶部に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理部とを備えた、1以上のベースボードマネージメントコントローラがそれぞれ実装される1以上のセルボックスと、を含む。
【0011】
本発明の第3の複数セル間のサーバ認証方法は、プラットホーム制御を行う上位装置と、Webサーバのアクセスを行うクライアント端末と、上位装置とクライアント端末とはネットワーク経由で接続される、1以上のベースボードマネージメントコントローラがそれぞれ実装された1以上のセルボックスとからなるサーバシステムにおける複数セル間のサーバ認証方法であって、上位装置もしくはクライアント端末が、ベースボードマネージメントコントローラ、もしくはWebサーバにアクセス要求を発行する要求ステップと、ベースボードマネージメントコントローラが、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行う同期化ステップと、ベースボードマネージメントコントローラが、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理ステップと、を有する。
【0012】
本発明の第4の認証プログラムは、コンピュータ上で実行され、セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証プログラムであって、コンピュータに、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行う同期化処理と、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理処理と、を実行させる。
【発明の効果】
【0013】
本発明によれば、複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステムにおいて、システムマネージメントソフトウエア、或いはクライアント端末からのアクセスに対してシングルサインオンを実現する、認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラムを提供することができる。
【0014】
その理由は、BMCボードが、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理処理を実行するためである。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施の形態によるサーバシステムで使用されるセルボックスの構成を示すブロック図である。
【図2】本発明の第1の実施の形態によるサーバシステムの構成を示すブロック図である。
【図3】本発明の第1の実施の形態による認証装置の構成を示すブロック図である。
【図4】本発明の第1の実施の形態による認証装置の認証管理部が実行するプログラムの構造を機能展開して示したブロック図である。
【図5】本発明の第1の実施の形態によるサーバシステムのWebサーバが実行するプログラムの構造を機能展開して示したブロック図である。
【図6】本発明の第1の実施の形態によるサーバシステムの上位装置が実行するプログラムの構造を機能展開して示したブロック図である。
【図7】本発明の第1の実施の形態による認証装置のユーザ管理テーブル、認証コード管理テーブルのデータ構造の一例を示す図である。
【図8】本発明の第1の実施の形態による認証装置の動作を示すフローチャートである。
【発明を実施するための形態】
【0016】
次に、本発明の実施の形態について図面を参照して詳細に説明する。
【0017】
(第1の実施の形態の構成)
図1は、本発明の第1の実施の形態によるサーバシステム1で使用されるセルボックスの構成を示すブロック図であり、図2は、本発明の第1の実施の形態によるサーバシステム1の構成を示すブロック図である。
【0018】
図1を参照すると、本実施の形態では、セルボックス10として、2個のパーティションP0、P1に分離された2ハードウエアセルボックス11、12が例示されている。ここでは、パーティションP0、P1毎に、BMCボード#0(110)、#1(120)が実装されている。BMCボード#0(110)と、#1(120)との間は、それぞれが内蔵するLANインタフェース経由で、内部LAN30、および外部LAN40経由で接続される。
【0019】
図2を参照すると、BMCボード#0(110)上には、パーティションP0を管理、制御するBMCファームウエア(BMC−FW111)と、不図示のWebクライアントからのハイパーリンクアクセスによるプラットホーム管理、および制御を司るWebサーバ112が実装される。また、BMCボード#1(120)上には、パーティションP1を管理し、制御するBMCファームウエア121と、不図示のWebクライアントからのハイパーリンクアクセスによるプラットホーム管理、および制御を司るWebサーバ122が実装される。
【0020】
なお、各パーティションP0、P1を構成するモジュールには、図1に示されるように、4個の、CPUを含むメモリモジュール(PMM)と、入出力モジュール(IOM)と、コアモジュール(Core)が含まれ、同一セルボックス内のBMCファームウエア111、121と、他のセルボックス内のBMCファームウエア211、221とは、外部からは隠蔽された内部LAN30を介して通信が行なわれる。また、システムが複数のセルボックスで構成されている場合も、各セルボックスは内部LAN30を使用して通信が可能である。
【0021】
図3は、本発明の第1の実施の形態による認証装置の構成を示すブロック図であり、ここでは、認証装置がセルボックス#0(10)のMMCボード#0(11)に実装される例が示されている。
【0022】
図3に示されるように、MMCボード110は、認証装置として機能するために、記憶部70の所定の領域に認証管理テーブル130が割り付けられて記憶され、更には認証管理部140が付加される。認証管理テーブルは、例えば、図7(a)にそのデータ構造の一例が示されるユーザ管理テーブル131と、図7(b)にそのデータ構造の一例が示される認証コード管理テーブル132に区分される。
【0023】
図7(a)に示されるように、ユーザ管理テーブル131には、パーティション毎に、ユーザアカウントと、ユーザアカウントに対応するパスワードと、特権レベル情報とが保存されている。本情報は、パーティション単位にデフォルトアカウントとパスワードが予め登録されており、システムマネージメントソフトウエア50、およびWebクライアント60によって追加可能である。システムマネージメントソフトウエア50、およびWebクライアント60は、ユーザ管理テーブル131に登録されているユーザアカウントとパスワードと同じものを使用してBMCファームウエア111やWebサーバ112へアクセスを行う。
【0024】
図7(b)を参照すると、認証コード管理テーブル132には、パーティション毎に、ユーザに対応するユーザアカウントと、パスワードと、ランダム値からなる認証キーから生成されたハッシュ値である認証コードとが登録されている。
【0025】
説明を図3に戻す。図3において、不図示の上位装置に実装されるシステムマネージメントソフトウエア50と、不図示のクライアント端末で動作するWebクライアント60は、プラットホーム制御を行うために、BMCファームウエア111、あるいはWebサーバ112へアクセスするが、このときに使用されるユーザアカウント、パスワード、あるいは操作制限を行う特権レベル情報は、認証管理テーブル130のユーザ管理テーブル131に格納されている。
【0026】
システムマネージメントソフトウエア50は、外部LAN40、LANインタフェース150経由で発せられるBMCファームウエア111への認証を通してプラットホーム制御を行うことが可能になる。また、Webクライアント60は、外部LAN40、LANインタフェース150経由でWebサーバ112への認証を通してプラットホーム制御を行うことが可能となる。
【0027】
システムマネージメントソフトウエア50が、外部LAN40、LANインタフェース150経由でBMCファヘムウエア111への認証を行う際、BMCファームウエア111は、認証管理部140を介してシステムマネージメントソフトウエア50から送信されてくるユーザ情報(ユーザアカウント、パスワード、特権レベル)を予め認証管理テーブル130のユーザ管理テーブル131に保存しておく。そして、登録済みで適切なユーザアカウント情報であることを判別して不正なアクセスであると判定するとアクセス拒否を行う機能を有している。
【0028】
Webクライアント60が、外部LAN40、LANインタフェース150経由でWebサーバ112へ認証を行う際(Webサーバ112内の認証ページにて認証を行う)、Webサーバ112は、BMCファームウエア111と認証管理部140を介してWebクライアント60から送信されるユーザ情報(ユーザアカウント、パスワード、特権レベル)を予め認証管理テーブル130のユーザ管理テーブル131に保存しておく。そして、登録済みで適切なユーザアカウント情報であることを判別して不正なアクセスであると判定したときにアクセス拒否を行う機能を有している。
【0029】
認証管理テーブル130には、ユーザアカウント、ユーザアカウントに対応するパスワードと特権レベル情報が保存されている。システムマネージメントソフトウエア50、およびWebクライアント60からの認証キー発行要求時、認証管理部140は、認証キー(ハッシュ値)を生成し、認証キーを返却する。
【0030】
システムマネージメントソフトウエア50、およびWebクライアント60は、BMCファームウエア111、またはWebサーバ112への認証要求時(或いは、Web認証ページでのWebサーバ112へのユーザアカウント、パスワード送信時)、ユーザアカウントと、パスワードと、認証キー発行要求時(或いはWeb認証ページへのGET要求時に)に取得した認証キーとからハッシュ値を算出し、BMCファームウエア111、またはW ebサーバへの認証時にユーザアカウント、パスワードとともに認証コード(ハッシュ値)を送信する。
【0031】
認証要求時、認証管理部140は、登録されているユーザアカウントと、パスワードと、認証要求時に返却した認証キーとを用いてハッシュ値を算出し、システムマネージメントソフトウエア50およびWebクライアント60が認証要求時に送信してきた認証コードと同一であれば認証を許可する。同時に、登録ユーザに対応する認証コードを認証コード管理テーブル132へ保存する。Webサーバ112への認証要求時、Webサーバ112は、BMCファームウエア111を介して認証管理部140で認証を行うものとする。
【0032】
認証管理部140は、認証コードが適切なものであると判定した場合、認証コード登録部143を使用して認証管理テーブル130の認証コード管理テーブル132に格納する。認証管理部140は、認証コード生成後、LANインタフェース150、内部LAN30経由で他BMCボード120上のBMCファームウエア121へ認証コードの同期要求を行い、各BMCボード上の認証管理テーブル130内の認証コード管理テーブル132の同期化を行う。認証コードが登録済みでなく、妥当な認証コードでないと判定した場合は、認証要求に対してエラーを返却して、BMCファームウエア111、または、Webサーバ112へのログイをン不可とする。
【0033】
図4に、認証管理部140が実行するプログラムの構造が機能展開され示されている。図4に示されるように、認証管理部140は、認証キー発行部141と、ユーザ管理情報参照・登録部142と、認証コード登録部143と、認証管理テーブル同期化部144と、認証コードチェック部145と、認証コード判定部146と、を含む。
【0034】
図4を参照すると、認証管理部140は、システムマネージメントソフトウエア50、およびWebクライアント60からのユーザ登録情報変更時、または認証コードの新規追加、変化時に、ユーザ管理情報参照・登録部142によってユーザ情報の新規追加、変化処理を行う。また、認証管理テーブル同期化部144によって複数のBMCボード間の認証管理テーブル130のプラットホーム全体で同一データを共有するために同期通知を行う。本通知を受けた認証管理部140は、内部LAN30を使用して各BMCボード間の同一のユーザ情報と認証コードを共有するために認証管理テーブル130の同期化を行う。
【0035】
認証管理部140は、システムマネージメントソフトウエア50からの認証キー発行要求時、認証キー発行部141によってランダムな文字列である認証キーを生成し、ここで生成された認証キーを、システムマネージメントソフトウエア50に返却する。
【0036】
Webサーバ112は、Webクライアント60からのWebサーバ112内の認証ページへのGETリクエスト時に、BMCファームウエア111を介して認証キー発行部141によってランダムな文字列からなる認証キーを生成し、生成された認証キーをWebクライアント60に返却する。
【0037】
認証キー受信後、システムマネージメントソフトウエア50は、BMCファームウエア111への認証要求時、ユーザアカウントと、パスワードと、BMCファームウエア111が認証キー発行要求時の応答として取得した認証キーとから、認証コード算出部502によってハッシュ値を算出し、BMCファームウエア111へユーザアカウントと、パスワードと、認証コードとを送信する。
【0038】
Webクライアント112は、認証ページにおいてユーザからのユーザアカウントとパスワード入力時に、ユーザアカウントと、パスワードと、BMCファームウエア111が認証キー発行要求時の応答として取得した認証キーとから、認証コード算出部601手段N20によってハッシュ値を算出する。そして、Webサーバ112へ、ユーザアカウントと、パスワードと、認証コードとを送信する。
【0039】
システムマネージメントソフトウエア50、Webクライアント60から認証要求に付属のユーザアカウント、パスワード、認証コードを受信したBMCファームウエア111、またはWebサーバ112は、認証管理部140に、ユーザアカウント、パスワード、認証コードを引き渡して認証要求を行う。
【0040】
認証管理部140は、認証要求時に送信されたユーザアカウントが登録済みであるか否かを判別するために、ユーザ管理情報参照・登録部142によって、登録済みユーザアカウントであるか否かをチェックし、予め登録済みのユーザアカウントであれば、認証判定部146によって登録されているユーザアカウントとパスワードと認証キーとを用いてハッシュ値を算出する。
【0041】
そして、認証判定部146によって認証要求時に送信された認証コードと、算出した認証コードとが同一であるか否かを判別する。ここで、送信された認証コードと、算出した認証コードとが同じであれば認証を許可するとともに、認証コード登録部143によりユーザに対応する認証コード管理テーブル132へ算出した認証コードを保存する。同時に、認証管理部140は、認証管理テーブル同期部144により、内部LAN30を使用して各BMCボード間のBMCファームウエア間で同一のユーザ情報と認証コードを共有するために認証管理テーブル130の同期化を行う。
【0042】
図5(a)に、Webサーバが実行するプログラムの構造が、図5(b)にWebクライアントが実行するプログラムの構造が機能展開され示されている。
【0043】
図5(a)に示されるように、Webサーバ112が実行するプログラムは、HTTPリクエストハンドラ1121を含み、Webクライアント60が実行するプログラムは、認証コード算出部601と、認証コードパラメータ付加部602とを含む。各ブロックの機能は後述する。
【0044】
また、図6に、上位装置が実行するシステムマネージメントソフトウエア50の構造が機能展開され示されている。図6に示されるように、上位装置が実行するシステムマネージメントソフトウエア50は、認証キー要求部501と、認証コード算出部502とを含む。各ブロックの機能は後述する。
【0045】
図5、図6を参照すると、まず、Webクライアント60は、異なるパーティション間のパーティション情報を取得するために、異なるパーティションのWebサーバのハイパーリンクでの他のパーティションをアクセスする。このとき、認証コードパラメータ付加部602により認証コードをHTTP GET要求(以下、単にGET要求という)のクエリーパラメータとして付加し、他のパーティションのWebサーバへGETリクエストを発行する。
【0046】
GET要求を受信した側のWebサーバ222は、HTTPリクエストハンドラ1121によって、異なるパーティション間のハイパーリングでのアクセス時にGETリクエストのクエリーパラメータとして付加された認証コードを読み出し、認証管理部140の認証コードチェック部145によって登録済みの認証コードでかつ妥当な認証コードであることがチェックされる。
【0047】
次に、認証管理部140は、認証判定部136によって認証可否決定を行い、認証済みであればハイパーリンクでのアクセス許可を行い、登録済みでなく、妥当な認証コードとみなされない場合は、GETリクエトスに対してアクセス拒否の応答を返却する。
【0048】
(第1の実施の形態の動作)
以下、本実施の形態による認証装置の動作について、図8のフローチャートを参照しながら詳細に説明する。
【0049】
まず、上位装置で実行されるシステムマネージメントソフトウエア50が、BMCボード#0(110)のBMCファームウエア111への認証を行う場合について説明する。システムマネージメントソフトウエア50の認証キー要求部501(図6)からの認証キー発行要求時、BMCファームウエア111は、認証管理部140の認証キー発行部141によってランダムな文字列である認証キーを生成し、ここで生成された認証キーを、システムマネージメントソフトウエア50に返却する。
【0050】
システムマネージメントソフトウエア50は、BMCファームウエア111への認証要求として、システムマネージメントソフトウエア50で管理しているユーザアカウントと、パスワードと、Webサーバ112から入手済みの認証キーとからハッシュ値を算出し、ユーザアカウントと、パスワードと、認証コードとを付加して送信する。
【0051】
Webクライアント60によるWebサーバ112内の認証ページへのGETリクエスト時、Webサーバ112は、BMCファームウエア111を介して認証管理部140の認証キー発行部141によってランダムな文字列からなる認証キーを生成し、生成された認証キーをWebクライアント60に返却する。
【0052】
Webクライアント60は、Webサーバ112の認証ページでのユーザのアカウント、パスワード入力を契機に、このユーザアカウントと、パスワードと、Webサーバ112から入手済みの認証キーとからハッシュ値を算出する。そして、このユーザアカウントと、パスワードに、Webサーバ112に送信する際に算出した認証コードを付加して送信する。
【0053】
図8を参照すると、システムマネージメントソフトウエア50からの認証要求時、或いはWebサーバ112への認証ページでのユーザによるユーザアカウント、パスワード入力時に(ステップS801“Yes”)、認証管理部140は、認証要求時に送信されたユーザアカウントが登録済みであるか否かを判別するために、ユーザ管理情報参照・登録部142により、登録済みユーザアカウントであるか否かをチェックする(ステップS802)。ここで、予め登録済みのユーザアカウントであれば(ステップS802“Yes”)、認証判定部146は、登録されているユーザアカウントと、パスワードと、認証キーとを用いてハッシュ値を算出する(ステップS803)。
【0054】
次に、認証管理部140は、認証判別部146によって認証要求時に送信された認証コードと、算出した認証コードとが同一であるかを判別する(ステップS804)。認証管理部140は、システムマネージメントソフトウエア50、またはWebクライアント60から送信された認証コードと、ここで算出した認証コードとが同じであれば(ステップS804“Yes”)、認証を許可するとともに、認証コード登録部143によりユーザに対応する認証コード管理テーブル132へ算出した認証コードを保存する(ステップS805)。同時に、認証管理部140は、認証管理テーブル同期部144により、内部LAN30を使用して各BMCボード間のBMCファームウエア間で同一のユーザ情報と認証コードを共有するために、認証管理テーブル130の同期化を行う(ステップS806)。
【0055】
次に、Webクライアント60は、任意のパーティション用のWebページから他のパーティションのWebページをハイパーリンクでアクセスする際、GETリクエストのクエリーオプションに認証コードを付加して、Webサーバ112にHTTPアクセス要求を送信する。Webサーバ112は、GETリクエスト受信時、HTTPリクエストハンドラ1121(図5(a)))によってクエリーオプションに付加された認証コードを解析し、BMCファームウエア111経由で認証管理部140に引き渡す。
【0056】
これを受けて認証管理部140は(ステップS807“Yes”)、認証コードチェック部145により、引き渡された認証コードが登録済みの認証コードで、かつ妥当な認証コードであることをチェックする(ステップS808)。認証管理部140は、認証判定部146によって認証可否の決定を行い、結果をWebサーバ112へ送信する。Webサーバ112は、認証済みであれば(ステップS808“Yes”)ハイパーリンクでのアクセス許可を行い(ステップS809)、登録済みでなく妥当な認証コードとみなさなかった場合は(ステップS808“No”)、HTTPリクエストに対してアクセス拒否の応答を返却する(ステップS810)。
【0057】
一方、システムマネージメントソフトウエア50は、BMCファームウエア111への認証要求の際のユーザアカウントとパスワード送信時に、ユーザアカウントと、パスワードと、BMCファームウエア111から認証キー応答要求のレスポンスとして返却された認証キーとからハッシュ値を算出する。そして、このユーザアカウントと、パスワードと、算出した認証コードとを付加してBMCファームウエア111に送信する。以降、システムマネージメントソフトウエア50は、BMCファームウエア111へのアクセス時(コマンド要求時に)、認証コードを付加する。
【0058】
BMCファームウエア111は、付加された認証コードを解析し、BMCファヘムウエア111経由で認証管理部140へ引き渡す。これを受けて認証管理部140は、認証コードチェック部145により、登録済みの認証コードで、かつ妥当な認証コードであるか否かをチェックし認証判定部146によって認証可否決定を行う(ステップS808)。ここで、認証済みと判定されれば(ステップS808“Yes”)、ハイパーリンクでのアクセス許可を行い(ステツプS809)、登録済みでなく妥当な認証コードとみなさない場合は、アクセス要求に対してアクセス拒否の応答を返却する(ステップS810)。
【0059】
(第1の実施の形態の効果)
本実施の形態による認証装置によれば、以下の効果を奏する。第1の効果は、複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステム1において、システムマネージメントソフトウエア50、或いはWebクライアント60からのアクセスに対してシングルサインオンを実現することで、ユーザのオペレーションの操作容易性を高めることができる。
【0060】
その理由は、BMCボード#0(110)、#1(120)が、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理処理を実行するためである。
【0061】
第2の効果は、外部に専用の認証サーバを設けなくてもシングルサインオンによる認証が可能であり、ネットワーク(ここでは、内部LAN30、外部LAN40)経由でユーザ情報の一貫性保持を実現するために、盗聴や改竄を防ぐことが可能である。
【0062】
なお、図3の認証管理部140が有する機能は、全てをソフトウェアによって実現しても、あるいはその少なくとも一部をハードウェアで実現してもよい。例えば、認証管理部140が、被認証クライアントまたは被認証アカウントの認証結果を記憶部70に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップするデータ処理は、1または複数のプログラムによりコンピュータ上で実現してもよく、また、その少なくとも一部をハードウェアで実現してもよい。
【0063】
以上好ましい実施の形態と実施例をあげて本発明を説明したが、本発明は必ずしも、上述実施の形態及び実施例に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
【符号の説明】
【0064】
1:サーバシステム
10:セルボックス
11、12:セルボックス(パーティション)
30:内部LAN
40;外部LAN
50:システムマネージメントソフトウエア(上位装置)
60:Webクライアント(クライアント端末)
70:記憶部
110、120:BMCボード
121、121、211、221:BMCファームウエア(BMC−FW)
112、122、212、222:Webサーバ
130:認証管理テーブル
131:ユーザ管理テーブル
132:認証コード管理テーブル
140:認証管理部
141:認証キー発行部
142:ユーザ管理情報参照・登録部
143:認証コード登録部
144:認証管理テーブル同期部
145:認証コードチェック部
146:認証コード判定部
501:認証キー要求部501
502:認証コード算出部
601:認証コード算出部
602:認証コードパラメータ付加部。
1121:HTTPリクエストハンドラ
【技術分野】
【0001】
本発明は、認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラムに関し、特に、セルボックスに実装されたベースボードマネージメントコントローラ(BMC:Baseboard management Controller)で動作する1以上のWeb(World Wide Web)サーバからなるサーバシステムに用いて好適な技術に関する。
【背景技術】
【0002】
ユーザが一度認証を受けるだけで許可されている全ての機能を利用手背切るようになる機能としてシングルサインオン(以下、単にSSOという)が知られている。このSSOによれば、例えば、ネットワークに接続された端末を使用している場合、端末の起動時、LAN(Local
Area Network)への接続時、サーバへの接続時、サーバのアプリケーションション起動時に1回というように、何度もIDとバスワード入力を強いる状況が考えられるが、こうしたユーザの手間を省き、一度認証されれば全てのユーザ認証をスキップできる機能がSSOである。
【0003】
例えば、特許文献1には、認証状況を一元管理する認証状態管理サーバを必要とせずにSSOを実現してシステム構築コスト、および運用管理コストを軽減するSSO認証方法およびシステムが提案されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2002−335239号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、メモリを含むCPUモジュール、入出力モジュールを含むセルボックス内に、複数のベースボードマネージメントコントローラ(以下、BMCボードという)を実装し、BMCボードでは、BMC上で動作するBMCファームウエアと、BMC上で動作するWebサーバとが動作する、SMP(Symmetric Multiple Processor)構成のサーバシステムが知られている。
【0006】
上述したサーバシステムにおいて、ネットワーク経由で接続された上位装置のシステムマネージメントソフトウエア、或いはクライアント端末が、プラットホームマネージメントを司るBMCボードにアクセスするために、BMCへのログイン(認証)が必要である。このとき、セルボックス内でパーティションに分割され、或いは複数のセルボックスで構成されたパーティションシステムでは、BMCボード毎にアクセス認証を行う必要がある。
【0007】
また、Webクライアントがベーシック認証を装備したWebサーバを跨ってHTTP(Hyper Text Transfer Protocol)によるハイハーリンクアクセスを行う場合には、各Webサーバにアクセスする毎にログイン(認証)を行う必要があった。上述した特許文献1にはこのための対策が施されていない。
【0008】
(発明の目的)
本発明の目的は、複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステムにおいて、システムマネージメントソフトウエア、或いはクライアント端末からのアクセスに対してシングルサインオンを実現する、認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の第1の認証装置は、セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証装置であって、認証情報が保持される記憶部と、被認証クライアントまたは被認証アカウントの認証結果を記憶部に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理部と、を含む。
【0010】
本発明の第2のサーバシステムは、認証を通してプラットホーム制御を行う上位装置と、Webサーバのアクセスを行うクライアント端末と、上位装置とクライアント端末とはネットワーク経由で接続され、認証情報が保持される記憶部と、被認証クライアントまたは被認証アカウントの認証結果を記憶部に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理部とを備えた、1以上のベースボードマネージメントコントローラがそれぞれ実装される1以上のセルボックスと、を含む。
【0011】
本発明の第3の複数セル間のサーバ認証方法は、プラットホーム制御を行う上位装置と、Webサーバのアクセスを行うクライアント端末と、上位装置とクライアント端末とはネットワーク経由で接続される、1以上のベースボードマネージメントコントローラがそれぞれ実装された1以上のセルボックスとからなるサーバシステムにおける複数セル間のサーバ認証方法であって、上位装置もしくはクライアント端末が、ベースボードマネージメントコントローラ、もしくはWebサーバにアクセス要求を発行する要求ステップと、ベースボードマネージメントコントローラが、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行う同期化ステップと、ベースボードマネージメントコントローラが、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理ステップと、を有する。
【0012】
本発明の第4の認証プログラムは、コンピュータ上で実行され、セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証プログラムであって、コンピュータに、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行う同期化処理と、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理処理と、を実行させる。
【発明の効果】
【0013】
本発明によれば、複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステムにおいて、システムマネージメントソフトウエア、或いはクライアント端末からのアクセスに対してシングルサインオンを実現する、認証装置、サーバシステム、複数セル間のサーバ認証方法、認証プログラムを提供することができる。
【0014】
その理由は、BMCボードが、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理処理を実行するためである。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施の形態によるサーバシステムで使用されるセルボックスの構成を示すブロック図である。
【図2】本発明の第1の実施の形態によるサーバシステムの構成を示すブロック図である。
【図3】本発明の第1の実施の形態による認証装置の構成を示すブロック図である。
【図4】本発明の第1の実施の形態による認証装置の認証管理部が実行するプログラムの構造を機能展開して示したブロック図である。
【図5】本発明の第1の実施の形態によるサーバシステムのWebサーバが実行するプログラムの構造を機能展開して示したブロック図である。
【図6】本発明の第1の実施の形態によるサーバシステムの上位装置が実行するプログラムの構造を機能展開して示したブロック図である。
【図7】本発明の第1の実施の形態による認証装置のユーザ管理テーブル、認証コード管理テーブルのデータ構造の一例を示す図である。
【図8】本発明の第1の実施の形態による認証装置の動作を示すフローチャートである。
【発明を実施するための形態】
【0016】
次に、本発明の実施の形態について図面を参照して詳細に説明する。
【0017】
(第1の実施の形態の構成)
図1は、本発明の第1の実施の形態によるサーバシステム1で使用されるセルボックスの構成を示すブロック図であり、図2は、本発明の第1の実施の形態によるサーバシステム1の構成を示すブロック図である。
【0018】
図1を参照すると、本実施の形態では、セルボックス10として、2個のパーティションP0、P1に分離された2ハードウエアセルボックス11、12が例示されている。ここでは、パーティションP0、P1毎に、BMCボード#0(110)、#1(120)が実装されている。BMCボード#0(110)と、#1(120)との間は、それぞれが内蔵するLANインタフェース経由で、内部LAN30、および外部LAN40経由で接続される。
【0019】
図2を参照すると、BMCボード#0(110)上には、パーティションP0を管理、制御するBMCファームウエア(BMC−FW111)と、不図示のWebクライアントからのハイパーリンクアクセスによるプラットホーム管理、および制御を司るWebサーバ112が実装される。また、BMCボード#1(120)上には、パーティションP1を管理し、制御するBMCファームウエア121と、不図示のWebクライアントからのハイパーリンクアクセスによるプラットホーム管理、および制御を司るWebサーバ122が実装される。
【0020】
なお、各パーティションP0、P1を構成するモジュールには、図1に示されるように、4個の、CPUを含むメモリモジュール(PMM)と、入出力モジュール(IOM)と、コアモジュール(Core)が含まれ、同一セルボックス内のBMCファームウエア111、121と、他のセルボックス内のBMCファームウエア211、221とは、外部からは隠蔽された内部LAN30を介して通信が行なわれる。また、システムが複数のセルボックスで構成されている場合も、各セルボックスは内部LAN30を使用して通信が可能である。
【0021】
図3は、本発明の第1の実施の形態による認証装置の構成を示すブロック図であり、ここでは、認証装置がセルボックス#0(10)のMMCボード#0(11)に実装される例が示されている。
【0022】
図3に示されるように、MMCボード110は、認証装置として機能するために、記憶部70の所定の領域に認証管理テーブル130が割り付けられて記憶され、更には認証管理部140が付加される。認証管理テーブルは、例えば、図7(a)にそのデータ構造の一例が示されるユーザ管理テーブル131と、図7(b)にそのデータ構造の一例が示される認証コード管理テーブル132に区分される。
【0023】
図7(a)に示されるように、ユーザ管理テーブル131には、パーティション毎に、ユーザアカウントと、ユーザアカウントに対応するパスワードと、特権レベル情報とが保存されている。本情報は、パーティション単位にデフォルトアカウントとパスワードが予め登録されており、システムマネージメントソフトウエア50、およびWebクライアント60によって追加可能である。システムマネージメントソフトウエア50、およびWebクライアント60は、ユーザ管理テーブル131に登録されているユーザアカウントとパスワードと同じものを使用してBMCファームウエア111やWebサーバ112へアクセスを行う。
【0024】
図7(b)を参照すると、認証コード管理テーブル132には、パーティション毎に、ユーザに対応するユーザアカウントと、パスワードと、ランダム値からなる認証キーから生成されたハッシュ値である認証コードとが登録されている。
【0025】
説明を図3に戻す。図3において、不図示の上位装置に実装されるシステムマネージメントソフトウエア50と、不図示のクライアント端末で動作するWebクライアント60は、プラットホーム制御を行うために、BMCファームウエア111、あるいはWebサーバ112へアクセスするが、このときに使用されるユーザアカウント、パスワード、あるいは操作制限を行う特権レベル情報は、認証管理テーブル130のユーザ管理テーブル131に格納されている。
【0026】
システムマネージメントソフトウエア50は、外部LAN40、LANインタフェース150経由で発せられるBMCファームウエア111への認証を通してプラットホーム制御を行うことが可能になる。また、Webクライアント60は、外部LAN40、LANインタフェース150経由でWebサーバ112への認証を通してプラットホーム制御を行うことが可能となる。
【0027】
システムマネージメントソフトウエア50が、外部LAN40、LANインタフェース150経由でBMCファヘムウエア111への認証を行う際、BMCファームウエア111は、認証管理部140を介してシステムマネージメントソフトウエア50から送信されてくるユーザ情報(ユーザアカウント、パスワード、特権レベル)を予め認証管理テーブル130のユーザ管理テーブル131に保存しておく。そして、登録済みで適切なユーザアカウント情報であることを判別して不正なアクセスであると判定するとアクセス拒否を行う機能を有している。
【0028】
Webクライアント60が、外部LAN40、LANインタフェース150経由でWebサーバ112へ認証を行う際(Webサーバ112内の認証ページにて認証を行う)、Webサーバ112は、BMCファームウエア111と認証管理部140を介してWebクライアント60から送信されるユーザ情報(ユーザアカウント、パスワード、特権レベル)を予め認証管理テーブル130のユーザ管理テーブル131に保存しておく。そして、登録済みで適切なユーザアカウント情報であることを判別して不正なアクセスであると判定したときにアクセス拒否を行う機能を有している。
【0029】
認証管理テーブル130には、ユーザアカウント、ユーザアカウントに対応するパスワードと特権レベル情報が保存されている。システムマネージメントソフトウエア50、およびWebクライアント60からの認証キー発行要求時、認証管理部140は、認証キー(ハッシュ値)を生成し、認証キーを返却する。
【0030】
システムマネージメントソフトウエア50、およびWebクライアント60は、BMCファームウエア111、またはWebサーバ112への認証要求時(或いは、Web認証ページでのWebサーバ112へのユーザアカウント、パスワード送信時)、ユーザアカウントと、パスワードと、認証キー発行要求時(或いはWeb認証ページへのGET要求時に)に取得した認証キーとからハッシュ値を算出し、BMCファームウエア111、またはW ebサーバへの認証時にユーザアカウント、パスワードとともに認証コード(ハッシュ値)を送信する。
【0031】
認証要求時、認証管理部140は、登録されているユーザアカウントと、パスワードと、認証要求時に返却した認証キーとを用いてハッシュ値を算出し、システムマネージメントソフトウエア50およびWebクライアント60が認証要求時に送信してきた認証コードと同一であれば認証を許可する。同時に、登録ユーザに対応する認証コードを認証コード管理テーブル132へ保存する。Webサーバ112への認証要求時、Webサーバ112は、BMCファームウエア111を介して認証管理部140で認証を行うものとする。
【0032】
認証管理部140は、認証コードが適切なものであると判定した場合、認証コード登録部143を使用して認証管理テーブル130の認証コード管理テーブル132に格納する。認証管理部140は、認証コード生成後、LANインタフェース150、内部LAN30経由で他BMCボード120上のBMCファームウエア121へ認証コードの同期要求を行い、各BMCボード上の認証管理テーブル130内の認証コード管理テーブル132の同期化を行う。認証コードが登録済みでなく、妥当な認証コードでないと判定した場合は、認証要求に対してエラーを返却して、BMCファームウエア111、または、Webサーバ112へのログイをン不可とする。
【0033】
図4に、認証管理部140が実行するプログラムの構造が機能展開され示されている。図4に示されるように、認証管理部140は、認証キー発行部141と、ユーザ管理情報参照・登録部142と、認証コード登録部143と、認証管理テーブル同期化部144と、認証コードチェック部145と、認証コード判定部146と、を含む。
【0034】
図4を参照すると、認証管理部140は、システムマネージメントソフトウエア50、およびWebクライアント60からのユーザ登録情報変更時、または認証コードの新規追加、変化時に、ユーザ管理情報参照・登録部142によってユーザ情報の新規追加、変化処理を行う。また、認証管理テーブル同期化部144によって複数のBMCボード間の認証管理テーブル130のプラットホーム全体で同一データを共有するために同期通知を行う。本通知を受けた認証管理部140は、内部LAN30を使用して各BMCボード間の同一のユーザ情報と認証コードを共有するために認証管理テーブル130の同期化を行う。
【0035】
認証管理部140は、システムマネージメントソフトウエア50からの認証キー発行要求時、認証キー発行部141によってランダムな文字列である認証キーを生成し、ここで生成された認証キーを、システムマネージメントソフトウエア50に返却する。
【0036】
Webサーバ112は、Webクライアント60からのWebサーバ112内の認証ページへのGETリクエスト時に、BMCファームウエア111を介して認証キー発行部141によってランダムな文字列からなる認証キーを生成し、生成された認証キーをWebクライアント60に返却する。
【0037】
認証キー受信後、システムマネージメントソフトウエア50は、BMCファームウエア111への認証要求時、ユーザアカウントと、パスワードと、BMCファームウエア111が認証キー発行要求時の応答として取得した認証キーとから、認証コード算出部502によってハッシュ値を算出し、BMCファームウエア111へユーザアカウントと、パスワードと、認証コードとを送信する。
【0038】
Webクライアント112は、認証ページにおいてユーザからのユーザアカウントとパスワード入力時に、ユーザアカウントと、パスワードと、BMCファームウエア111が認証キー発行要求時の応答として取得した認証キーとから、認証コード算出部601手段N20によってハッシュ値を算出する。そして、Webサーバ112へ、ユーザアカウントと、パスワードと、認証コードとを送信する。
【0039】
システムマネージメントソフトウエア50、Webクライアント60から認証要求に付属のユーザアカウント、パスワード、認証コードを受信したBMCファームウエア111、またはWebサーバ112は、認証管理部140に、ユーザアカウント、パスワード、認証コードを引き渡して認証要求を行う。
【0040】
認証管理部140は、認証要求時に送信されたユーザアカウントが登録済みであるか否かを判別するために、ユーザ管理情報参照・登録部142によって、登録済みユーザアカウントであるか否かをチェックし、予め登録済みのユーザアカウントであれば、認証判定部146によって登録されているユーザアカウントとパスワードと認証キーとを用いてハッシュ値を算出する。
【0041】
そして、認証判定部146によって認証要求時に送信された認証コードと、算出した認証コードとが同一であるか否かを判別する。ここで、送信された認証コードと、算出した認証コードとが同じであれば認証を許可するとともに、認証コード登録部143によりユーザに対応する認証コード管理テーブル132へ算出した認証コードを保存する。同時に、認証管理部140は、認証管理テーブル同期部144により、内部LAN30を使用して各BMCボード間のBMCファームウエア間で同一のユーザ情報と認証コードを共有するために認証管理テーブル130の同期化を行う。
【0042】
図5(a)に、Webサーバが実行するプログラムの構造が、図5(b)にWebクライアントが実行するプログラムの構造が機能展開され示されている。
【0043】
図5(a)に示されるように、Webサーバ112が実行するプログラムは、HTTPリクエストハンドラ1121を含み、Webクライアント60が実行するプログラムは、認証コード算出部601と、認証コードパラメータ付加部602とを含む。各ブロックの機能は後述する。
【0044】
また、図6に、上位装置が実行するシステムマネージメントソフトウエア50の構造が機能展開され示されている。図6に示されるように、上位装置が実行するシステムマネージメントソフトウエア50は、認証キー要求部501と、認証コード算出部502とを含む。各ブロックの機能は後述する。
【0045】
図5、図6を参照すると、まず、Webクライアント60は、異なるパーティション間のパーティション情報を取得するために、異なるパーティションのWebサーバのハイパーリンクでの他のパーティションをアクセスする。このとき、認証コードパラメータ付加部602により認証コードをHTTP GET要求(以下、単にGET要求という)のクエリーパラメータとして付加し、他のパーティションのWebサーバへGETリクエストを発行する。
【0046】
GET要求を受信した側のWebサーバ222は、HTTPリクエストハンドラ1121によって、異なるパーティション間のハイパーリングでのアクセス時にGETリクエストのクエリーパラメータとして付加された認証コードを読み出し、認証管理部140の認証コードチェック部145によって登録済みの認証コードでかつ妥当な認証コードであることがチェックされる。
【0047】
次に、認証管理部140は、認証判定部136によって認証可否決定を行い、認証済みであればハイパーリンクでのアクセス許可を行い、登録済みでなく、妥当な認証コードとみなされない場合は、GETリクエトスに対してアクセス拒否の応答を返却する。
【0048】
(第1の実施の形態の動作)
以下、本実施の形態による認証装置の動作について、図8のフローチャートを参照しながら詳細に説明する。
【0049】
まず、上位装置で実行されるシステムマネージメントソフトウエア50が、BMCボード#0(110)のBMCファームウエア111への認証を行う場合について説明する。システムマネージメントソフトウエア50の認証キー要求部501(図6)からの認証キー発行要求時、BMCファームウエア111は、認証管理部140の認証キー発行部141によってランダムな文字列である認証キーを生成し、ここで生成された認証キーを、システムマネージメントソフトウエア50に返却する。
【0050】
システムマネージメントソフトウエア50は、BMCファームウエア111への認証要求として、システムマネージメントソフトウエア50で管理しているユーザアカウントと、パスワードと、Webサーバ112から入手済みの認証キーとからハッシュ値を算出し、ユーザアカウントと、パスワードと、認証コードとを付加して送信する。
【0051】
Webクライアント60によるWebサーバ112内の認証ページへのGETリクエスト時、Webサーバ112は、BMCファームウエア111を介して認証管理部140の認証キー発行部141によってランダムな文字列からなる認証キーを生成し、生成された認証キーをWebクライアント60に返却する。
【0052】
Webクライアント60は、Webサーバ112の認証ページでのユーザのアカウント、パスワード入力を契機に、このユーザアカウントと、パスワードと、Webサーバ112から入手済みの認証キーとからハッシュ値を算出する。そして、このユーザアカウントと、パスワードに、Webサーバ112に送信する際に算出した認証コードを付加して送信する。
【0053】
図8を参照すると、システムマネージメントソフトウエア50からの認証要求時、或いはWebサーバ112への認証ページでのユーザによるユーザアカウント、パスワード入力時に(ステップS801“Yes”)、認証管理部140は、認証要求時に送信されたユーザアカウントが登録済みであるか否かを判別するために、ユーザ管理情報参照・登録部142により、登録済みユーザアカウントであるか否かをチェックする(ステップS802)。ここで、予め登録済みのユーザアカウントであれば(ステップS802“Yes”)、認証判定部146は、登録されているユーザアカウントと、パスワードと、認証キーとを用いてハッシュ値を算出する(ステップS803)。
【0054】
次に、認証管理部140は、認証判別部146によって認証要求時に送信された認証コードと、算出した認証コードとが同一であるかを判別する(ステップS804)。認証管理部140は、システムマネージメントソフトウエア50、またはWebクライアント60から送信された認証コードと、ここで算出した認証コードとが同じであれば(ステップS804“Yes”)、認証を許可するとともに、認証コード登録部143によりユーザに対応する認証コード管理テーブル132へ算出した認証コードを保存する(ステップS805)。同時に、認証管理部140は、認証管理テーブル同期部144により、内部LAN30を使用して各BMCボード間のBMCファームウエア間で同一のユーザ情報と認証コードを共有するために、認証管理テーブル130の同期化を行う(ステップS806)。
【0055】
次に、Webクライアント60は、任意のパーティション用のWebページから他のパーティションのWebページをハイパーリンクでアクセスする際、GETリクエストのクエリーオプションに認証コードを付加して、Webサーバ112にHTTPアクセス要求を送信する。Webサーバ112は、GETリクエスト受信時、HTTPリクエストハンドラ1121(図5(a)))によってクエリーオプションに付加された認証コードを解析し、BMCファームウエア111経由で認証管理部140に引き渡す。
【0056】
これを受けて認証管理部140は(ステップS807“Yes”)、認証コードチェック部145により、引き渡された認証コードが登録済みの認証コードで、かつ妥当な認証コードであることをチェックする(ステップS808)。認証管理部140は、認証判定部146によって認証可否の決定を行い、結果をWebサーバ112へ送信する。Webサーバ112は、認証済みであれば(ステップS808“Yes”)ハイパーリンクでのアクセス許可を行い(ステップS809)、登録済みでなく妥当な認証コードとみなさなかった場合は(ステップS808“No”)、HTTPリクエストに対してアクセス拒否の応答を返却する(ステップS810)。
【0057】
一方、システムマネージメントソフトウエア50は、BMCファームウエア111への認証要求の際のユーザアカウントとパスワード送信時に、ユーザアカウントと、パスワードと、BMCファームウエア111から認証キー応答要求のレスポンスとして返却された認証キーとからハッシュ値を算出する。そして、このユーザアカウントと、パスワードと、算出した認証コードとを付加してBMCファームウエア111に送信する。以降、システムマネージメントソフトウエア50は、BMCファームウエア111へのアクセス時(コマンド要求時に)、認証コードを付加する。
【0058】
BMCファームウエア111は、付加された認証コードを解析し、BMCファヘムウエア111経由で認証管理部140へ引き渡す。これを受けて認証管理部140は、認証コードチェック部145により、登録済みの認証コードで、かつ妥当な認証コードであるか否かをチェックし認証判定部146によって認証可否決定を行う(ステップS808)。ここで、認証済みと判定されれば(ステップS808“Yes”)、ハイパーリンクでのアクセス許可を行い(ステツプS809)、登録済みでなく妥当な認証コードとみなさない場合は、アクセス要求に対してアクセス拒否の応答を返却する(ステップS810)。
【0059】
(第1の実施の形態の効果)
本実施の形態による認証装置によれば、以下の効果を奏する。第1の効果は、複数のセルボックスのそれぞれに実装された1以上のBMCボードで動作するサーバシステム1において、システムマネージメントソフトウエア50、或いはWebクライアント60からのアクセスに対してシングルサインオンを実現することで、ユーザのオペレーションの操作容易性を高めることができる。
【0060】
その理由は、BMCボード#0(110)、#1(120)が、被認証クライアントまたは被認証アカウントの認証結果を保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップする認証管理処理を実行するためである。
【0061】
第2の効果は、外部に専用の認証サーバを設けなくてもシングルサインオンによる認証が可能であり、ネットワーク(ここでは、内部LAN30、外部LAN40)経由でユーザ情報の一貫性保持を実現するために、盗聴や改竄を防ぐことが可能である。
【0062】
なお、図3の認証管理部140が有する機能は、全てをソフトウェアによって実現しても、あるいはその少なくとも一部をハードウェアで実現してもよい。例えば、認証管理部140が、被認証クライアントまたは被認証アカウントの認証結果を記憶部70に保持し、Webサーバ間で認証情報の同期化を行い、Webサーバ間のハイパーリンクアクセスで認証をスキップするデータ処理は、1または複数のプログラムによりコンピュータ上で実現してもよく、また、その少なくとも一部をハードウェアで実現してもよい。
【0063】
以上好ましい実施の形態と実施例をあげて本発明を説明したが、本発明は必ずしも、上述実施の形態及び実施例に限定されるものでなく、その技術的思想の範囲内において様々に変形して実施することができる。
【符号の説明】
【0064】
1:サーバシステム
10:セルボックス
11、12:セルボックス(パーティション)
30:内部LAN
40;外部LAN
50:システムマネージメントソフトウエア(上位装置)
60:Webクライアント(クライアント端末)
70:記憶部
110、120:BMCボード
121、121、211、221:BMCファームウエア(BMC−FW)
112、122、212、222:Webサーバ
130:認証管理テーブル
131:ユーザ管理テーブル
132:認証コード管理テーブル
140:認証管理部
141:認証キー発行部
142:ユーザ管理情報参照・登録部
143:認証コード登録部
144:認証管理テーブル同期部
145:認証コードチェック部
146:認証コード判定部
501:認証キー要求部501
502:認証コード算出部
601:認証コード算出部
602:認証コードパラメータ付加部。
1121:HTTPリクエストハンドラ
【特許請求の範囲】
【請求項1】
セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証装置であって、
認証情報が保持される記憶部と、
被認証クライアントまたは被認証アカウントの認証結果を前記記憶部に保持し、前記Webサーバ間で前記認証情報の同期化を行い、前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理部と、
を備えたことを特徴とする認証装置。
【請求項2】
前記認証管理部は、
ネットワーク経由で接続される上位装置から前記ベースボードマネージメントコントローラに対するアクセス要求があった場合、前記上位装置から送信されるユーザアカウントと前記記憶部に保持された認証情報と照合し、前記照合の結果に応じて前記アクセスの許可、拒否を行い、一旦許可された上位装置からのアクセス要求は前記認証をスキップする、
ことを特徴とする請求項1に記載の認証装置。
【請求項3】
前記認証管理部は、
ネットワーク経由で接続されるクライアント端末から前記Webサーバにアクセス要求があった場合、前記クライアント端末から送信されるユーザアカウントと、前記記憶部に保持された認証情報と照合し、前記照合の結果に応じてアクセスの許可、拒否を行う、
ことを特徴とする請求項1に記載の認証装置。
【請求項4】
認証を通してプラットホーム制御を行う上位装置と、
Webサーバのアクセスを行うクライアント端末と、
前記上位装置と前記クライアント端末とはネットワーク経由で接続され、認証情報が保持される記憶部と、被認証クライアントまたは被認証アカウントの認証結果を前記記憶部に保持し、前記Webサーバ間で前記認証情報の同期化を行い、前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理部とを備えた、1以上のベースボードマネージメントコントローラがそれぞれ実装される1以上のセルボックスと、
を有することを特徴とするサーバシステム。
【請求項5】
プラットホーム制御を行う上位装置と、Webサーバのアクセスを行うクライアント端末と、前記上位装置と前記クライアント端末とはネットワーク経由で接続される、1以上のベースボードマネージメントコントローラがそれぞれ実装された1以上のセルボックスとからなるサーバシステムにおける複数セル間のサーバ認証方法であって、
前記上位装置もしくはクライアント端末が、前記ベースボードマネージメントコントローラ、もしくはWebサーバにアクセス要求を発行する要求ステップと、
前記ベースボードマネージメントコントローラが、被認証クライアントまたは被認証アカウントの認証結果を保持し、前記Webサーバ間で前記認証情報の同期化を行う同期化ステップと、
前記ベースボードマネージメントコントローラが、前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理ステップと
を有することを特徴とする複数セル間のサーバ認証方法。
【請求項6】
前記認証管理ステップは、
前記上位装置から送信されるユーザアカウントと前記保持された認証情報と照合するサブステップと、
前記照合の結果に応じて前記アクセスの許可、拒否を行い、一旦許可された上位装置からのアクセス要求は前記認証をスキップするサブステップと、
を含むことを特徴とする請求項5に記載の複数セル間のサーバ認証方法。
【請求項7】
前記認証管理ステップは、
前記クライアント端末から送信されるユーザアカウントと、前記保持された認証情報と照合するサブステップと、
前記照合の結果に応じてアクセスの許可、拒否を行うサブステップと、
を含むことを特徴とする請求項5に記載の複数セル間のサーバ認証方法。
【請求項8】
コンピュータ上で実行され、セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証プログラムであって、
前記コンピュータに、
被認証クライアントまたは被認証アカウントの認証結果を保持し、前記Webサーバ間で前記認証情報の同期化を行う同期化処理と、
前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理処理と、
を実行させることを特徴とする認証プログラム。
【請求項9】
前記認証管理処理は、
ネットワーク経由で接続される上位装置から前記ベースボードマネージメントコントローラに対するアクセス要求があった場合、
前記上位装置から送信されるユーザアカウントと前記保持された認証情報と照合し、前記照合の結果に応じて前記アクセスの許可、拒否を行い、一旦許可された上位装置からのアクセス要求は前記認証をスキップする、
ことを特徴とする請求項8に記載の認証プログラム。
【請求項10】
前記認証管理処理は、
ネットワーク経由で接続されるクライアント端末から前記Webサーバにアクセス要求があった場合、
前記クライアント端末から送信されるユーザアカウントと、前記保持された認証情報と照合し、前記照合の結果に応じてアクセスの許可、拒否を行う、
ことを特徴とする請求項8に記載の認証プログラム。
【請求項1】
セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証装置であって、
認証情報が保持される記憶部と、
被認証クライアントまたは被認証アカウントの認証結果を前記記憶部に保持し、前記Webサーバ間で前記認証情報の同期化を行い、前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理部と、
を備えたことを特徴とする認証装置。
【請求項2】
前記認証管理部は、
ネットワーク経由で接続される上位装置から前記ベースボードマネージメントコントローラに対するアクセス要求があった場合、前記上位装置から送信されるユーザアカウントと前記記憶部に保持された認証情報と照合し、前記照合の結果に応じて前記アクセスの許可、拒否を行い、一旦許可された上位装置からのアクセス要求は前記認証をスキップする、
ことを特徴とする請求項1に記載の認証装置。
【請求項3】
前記認証管理部は、
ネットワーク経由で接続されるクライアント端末から前記Webサーバにアクセス要求があった場合、前記クライアント端末から送信されるユーザアカウントと、前記記憶部に保持された認証情報と照合し、前記照合の結果に応じてアクセスの許可、拒否を行う、
ことを特徴とする請求項1に記載の認証装置。
【請求項4】
認証を通してプラットホーム制御を行う上位装置と、
Webサーバのアクセスを行うクライアント端末と、
前記上位装置と前記クライアント端末とはネットワーク経由で接続され、認証情報が保持される記憶部と、被認証クライアントまたは被認証アカウントの認証結果を前記記憶部に保持し、前記Webサーバ間で前記認証情報の同期化を行い、前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理部とを備えた、1以上のベースボードマネージメントコントローラがそれぞれ実装される1以上のセルボックスと、
を有することを特徴とするサーバシステム。
【請求項5】
プラットホーム制御を行う上位装置と、Webサーバのアクセスを行うクライアント端末と、前記上位装置と前記クライアント端末とはネットワーク経由で接続される、1以上のベースボードマネージメントコントローラがそれぞれ実装された1以上のセルボックスとからなるサーバシステムにおける複数セル間のサーバ認証方法であって、
前記上位装置もしくはクライアント端末が、前記ベースボードマネージメントコントローラ、もしくはWebサーバにアクセス要求を発行する要求ステップと、
前記ベースボードマネージメントコントローラが、被認証クライアントまたは被認証アカウントの認証結果を保持し、前記Webサーバ間で前記認証情報の同期化を行う同期化ステップと、
前記ベースボードマネージメントコントローラが、前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理ステップと
を有することを特徴とする複数セル間のサーバ認証方法。
【請求項6】
前記認証管理ステップは、
前記上位装置から送信されるユーザアカウントと前記保持された認証情報と照合するサブステップと、
前記照合の結果に応じて前記アクセスの許可、拒否を行い、一旦許可された上位装置からのアクセス要求は前記認証をスキップするサブステップと、
を含むことを特徴とする請求項5に記載の複数セル間のサーバ認証方法。
【請求項7】
前記認証管理ステップは、
前記クライアント端末から送信されるユーザアカウントと、前記保持された認証情報と照合するサブステップと、
前記照合の結果に応じてアクセスの許可、拒否を行うサブステップと、
を含むことを特徴とする請求項5に記載の複数セル間のサーバ認証方法。
【請求項8】
コンピュータ上で実行され、セルボックスに実装されたベースボードマネージメントコントローラで動作する1以上のWebサーバからなるサーバシステムの認証プログラムであって、
前記コンピュータに、
被認証クライアントまたは被認証アカウントの認証結果を保持し、前記Webサーバ間で前記認証情報の同期化を行う同期化処理と、
前記Webサーバ間のハイパーリンクアクセスで前記認証をスキップする認証管理処理と、
を実行させることを特徴とする認証プログラム。
【請求項9】
前記認証管理処理は、
ネットワーク経由で接続される上位装置から前記ベースボードマネージメントコントローラに対するアクセス要求があった場合、
前記上位装置から送信されるユーザアカウントと前記保持された認証情報と照合し、前記照合の結果に応じて前記アクセスの許可、拒否を行い、一旦許可された上位装置からのアクセス要求は前記認証をスキップする、
ことを特徴とする請求項8に記載の認証プログラム。
【請求項10】
前記認証管理処理は、
ネットワーク経由で接続されるクライアント端末から前記Webサーバにアクセス要求があった場合、
前記クライアント端末から送信されるユーザアカウントと、前記保持された認証情報と照合し、前記照合の結果に応じてアクセスの許可、拒否を行う、
ことを特徴とする請求項8に記載の認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−244226(P2010−244226A)
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願番号】特願2009−90786(P2009−90786)
【出願日】平成21年4月3日(2009.4.3)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成22年10月28日(2010.10.28)
【国際特許分類】
【出願日】平成21年4月3日(2009.4.3)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]