過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > セキュリティー > クライアントデバイスと SGD サーバー間の接続の保護

クライアントデバイスと SGD サーバー間の接続の保護

クライアントデバイスと SGD サーバー間の接続を保護する場合に、考慮に入れる必要のある接続を次に示します。

これらの接続を保護する方法については、後続のセクションを参照してください。

SGD Client と SGD サーバー間の接続の保護

SGD を最初にインストールしたとき、SGD Client クライアントと SGD サーバー間の初期接続は保護されます。ただし、この接続は、ユーザーがログインしたあとに標準接続にダウングレードします。接続を恒久的に保護するには、SGD セキュリティーサービスを有効にする必要があります。次の手順を実行します。

  1. SGD ホストにスーパーユーザー (root) としてログインします。
  2. SGD サーバー用の X.509 証明書を取得してインストールします。

    X.509 証明書は、SGD サーバーが SGD Client にサーバー自体を識別させることを可能にします。

    使用できる X.509 証明書のタイプに関する重要なセキュリティー上の注意事項があります。

  3. SGD サーバーを再起動します。
  4. SGD セキュリティーサービスを使用可能にします。

    次のコマンドを使用します。

    過去のコマンド構文またはプログラムコードのスキップ# tarantella security start
  5. アレイ内の SGD サーバーごとに手順 1 ~ 4 を繰り返します。
  6. (省略可能) 接続定義を構成して、セキュア接続を使うユーザーを決定します

SGD Client と SGD サーバー間のセキュア接続には、標準接続とは異なるポートが使用されます。セキュア接続にはデフォルトで TCP ポート 5307 が使用されますが、このポートは設定可能です。必要に応じ、このポートに対するネットワークトラフィックを許可するよう、ファイアウォールを設定してください。また、SGD をファイアウォール転送用に設定することで、SGD サーバーへのすべての接続が 1 つのポート (通常は TCP ポート 443) を使用するようにできます。

Web ブラウザと SGD ホスト上の Web サーバー間の接続の保護

SGD セキュリティーサービスで保護されるのは、SGD Client と SGD サーバー間の接続だけです。Web ブラウザと SGD ホスト上の Web サーバー間の接続を保護するには、Web サーバーで HTTPS 接続を有効にする必要があります。この接続は、Webtop および SGD への認証に使用されます (SGD Client が Webtop モードで動作している場合)。デフォルトでは、SGD Web Server はセキュア Web サーバーとして設定され、SGD サーバーと同じセキュリティー証明書を使用します。

SGD Web Server へのセキュア接続を有効にするには、次の手順を実行します。

  1. SGD ホストにスーパーユーザー (root) としてログインします。
  2. SGD セキュリティーサービスで使用する X.509 証明書を取得してインストールします

    SGD Web Server 用に別個のX.509 証明書を使うこともできます。

  3. SGD セキュリティーサービスを使用可能にします。
  4. SGD Web Server へのセキュア (HTTPS) 接続を有効にします。

    次のコマンドを使用します。

    過去のコマンド構文またはプログラムコードのスキップ# tarantella webserver restart --ssl

SGD サーバーアレイ内のすべての Web サーバーが、同一の HTTP または HTTPS ポートを使用する必要があります。同一 SGD アレイ内で HTTP Web サーバーと HTTPS Web サーバーを混在させることはできません。

Web サーバーとのセキュリティー保護された接続を有効にした場合、クライアントプロファイルの URL を HTTPS URL に再設定する必要があります。

接続定義を使用してユーザーに別のタイプの接続を提供する

SGD Client と SGD サーバー間でセキュア接続と標準接続のどちらを使用するかを決定するのに、接続定義が使用されます。接続タイプは、次の要因の影響を受けます。

SGD セキュリティーサービスがサーバー上で使用可能でない場合は、ユーザーの接続定義には関係なく、そのサーバーへのセキュア接続は使用できません。

デフォルトでは、接続定義の処理は有効になっています。無効の場合は、次の方法で有効にできます。

  1. SGD Administration Console で、 「グローバル設定」 をクリックしてから、「セキュリティー」タブをクリックします。
  2. 「接続定義」チェックボックスを選択します。
  3. 「保存」をクリックします。

または、次のコマンドを実行します。

過去のコマンド構文またはプログラムコードのスキップ$ tarantella config edit --security-applyconnections 1

接続定義の処理が有効になっている場合は、接続定義を設定することで、標準接続を使用するユーザーとセキュア接続を使用するユーザーを決定できます。組織オブジェクト、組織単位オブジェクト、またはユーザープロファイルオブジェクト用の接続定義を設定できます。組織用の接続定義は、組織単位用の定義で上書きできます。組織単位用の定義は、ユーザープロファイル用の定義で上書きできます。デフォルトでは、Secure Global Desktop セキュリティーサービスが使用可能の場合、すべてのユーザーがセキュア接続を使用できます。

接続を定義する方法を次に示します。

  1. SGD Administration Console で、「ユーザープロファイル」タブをクリックして、設定するオブジェクトを選択します。
  2. 「セキュリティー」タブをクリックします。
  3. 接続定義を追加します。
    1. 「接続定義」テーブルの「追加」ボタンをクリックします。「新規接続定義の追加」ウィンドウが表示されます。
    2. 「クライアントデバイスのアドレス」フィールドに、IP または DNS 名を入力します。
    3. 「Secure Global Desktop サーバーのアドレス」に、IP または DNS 名を入力します。
    4. リストから「接続タイプ」を選択します。
    5. 「追加」をクリックします。「新規接続定義の追加」ウィンドウが閉じて、 接続定義が「接続定義」テーブルに追加されます。
  4. 接続定義を必要な数だけ追加します。

    「接続定義」テーブルに、組織階層内の親オブジェクトから継承した定義が表示されます。多数のユーザーの接続を一度に設定でき、管理が容易になるため、組織および組織単位オブジェクト用の接続定義を作成するのが最善です。

  5. 「上に移動」および「下に移動」ボタンを使って、接続定義の順番を変更します。

    接続定義の順番は重要です。最初に一致したエントリが使用されます。固有の定義は、一般性の高い設定よりも前に配置するようにしてください。

コマンド行で、次のコマンドを使って接続定義を設定します。

過去のコマンド構文またはプログラムコードのスキップ$ tarantella object edit --name obj --conntype type_spec...

ここで、type_spec には、接続タイプを client:server:type 形式で指定します (例: 192.168.5.*:*:STD)。標準接続には STD を、セキュア接続には SSL を使って接続を設定します。各 type_spec は「パイプ」文字 (|) で区切ります。

接続定義に * または ? ワイルドカードを含めることで、複数の DNS 名や IP アドレスに一致させることができます。

Mulan Rouge のユーザープロファイルオブジェクトは、次の接続定義を保持します。

クライアントデバイスのアドレス SGD サーバーのアドレス 接続タイプ
*.indigo-insurance.com * 標準
* * セキュア

Mulan が、通常使用するクライアントデバイス fez.indigo-insurance.com から SGD にログインすると、リスト内の最初の接続定義が一致して、標準接続が確立されます。

Mulan が、indigo-insurance.com に所属しないクライアントデバイスから SGD にログインすると、リスト内の 2 番目の接続定義が一致して、セキュア接続が確立されます。

Mulan が接続定義を保持していない場合は、組織階層内の親オブジェクトの接続定義により、接続タイプが決定されます。

関連トピック