2

新機能および変更点

この章では、SGD version 4.40、4.31、および 4.30 の新機能および変更点について説明します。

この章の内容は次のとおりです。


version 4.40 の新機能

ここでは、Sun Secure Global Desktop 4.40 リリースの新機能について説明します。

SGD Administration Console

SGD の管理ツールである Object Manager、Array Manager、Configuration Wizard、および Session Manager は、SGD Administration Console に置き換えられました。SGD Administration Console は Web アプリケーションです。SGD 管理者は Administration Console を使って SGD を設定できます。

Administration Console は、SGD でサポートされている言語、つまり英語、フランス語、日本語、韓国語、簡体字中国語、および繁体字中国語にローカライズされます。

Administration Console を使用するには、ブラウザで JavaScript が有効になっている必要があります。

可能な場合は、SGD アレイ内のプライマリサーバーで Administration Console を実行してください。新規オブジェクトの作成やオブジェクトの属性の編集といった一部の操作は、プライマリサーバーで行うことが最適です。プライマリサーバーが稼働していない場合にこれらの操作をセカンダリサーバーで実行すると、変更が適用されません。



注 - SGD のディストリビューションには、Administration Console の Web アーカイブ (WAR) ファイル sgdadmin.war が含まれています。このファイルを使って Administration Console を別の Web アプリケーションサーバーに配備することはできません。



Administration Console は、次のいずれかの方法で起動できます。

Administration Console の詳細については、『Sun Secure Global Desktop 4.4 管理者ガイド』および『Sun Secure Global Desktop 4.4 リファレンスマニュアル』を参照してください。

用語の変更

Administration Console では、以前の SGD のリリースとは異なる用語が使用されています。

次の表に、version 4.31 で使用されているいくつかの一般的な用語と、Administration Console で使用されている対応する用語を示します。


SGD Version 4.31 Administration Console
アレイメンバー SGD サーバー
ブラウザベース Webtop Webtop
エミュレータセッション アプリケーションセッション
ENS (Enterprise Naming Scheme) ローカルリポジトリ
ENS 等価名 ユーザープロファイル
完全修飾名 ユーザーの識別情報
ホスト アプリケーションサーバー
インテリジェントアレイルーティング 負荷分散グループ
ログイン認証機能 システム認証
ログインプロファイル ユーザープロファイル
人物オブジェクト ユーザープロファイルオブジェクト
TFN (Tarantella Federated Naming) 使用されない
Webtop セッション ユーザーセッション

属性名の変更

Administration Console では、一部の属性の名前が変更されました。『Sun Secure Global Desktop 4.4 リファレンスマニュアル』には、Administration Console で使用される属性名が、Object Manager および Array Manager で使用されていた以前の属性名とともに記載されています。

デスクトップ直接 URL

デスクトップ直接 URL (Uniform Resource Locator) を使用すると、ユーザーは Webtop を表示せずにログインして全画面デスクトップを表示できます。

デスクトップ直接 URL を使用するには、My Desktop (cn=My Desktop) と呼ばれるアプリケーションオブジェクトがユーザーに割り当てられている必要があります。このオブジェクトは、SGD のインストール時に自動的に作成されます。デフォルトでは、このオブジェクトは、SGD サーバー上で使用可能なデフォルトのデスクトップアプリケーション (Sun Java Desktop System など) を実行するように設定されています。このオブジェクトは、任意のアプリケーションを実行するように再設定できますが、全画面デスクトップアプリケーションで最適に動作します。ユーザーが別のデスクトップアプリケーションを必要としている場合は、必要に応じて追加の My Desktop オブジェクトを作成することができます。ただし、ユーザーに割り当てる My Desktop アプリケーションは 1 つだけにしてください。



注 - ユーザーには任意の数のアプリケーションを割り当てることができますが、デスクトップ直接 URL からアクセスできるのは My Desktop アプリケーションだけです。



デスクトップ直接 URL は、http://server.example.com/sgd/mydesktop です。ここで、server.example.com は SGD サーバーの名前です。この URL を開くと、SGD のログインページが表示されます。ユーザーがログインすると、デスクトップセッションが表示されます。Web ブラウザは閉じてもかまいません。



注 - デスクトップアプリケーションを中断または再開することはできません。ユーザーはデスクトップアプリケーションから通常どおりにログアウトする必要があります。



ローミングプロファイルのサポート

Microsoft Windows クライアントデバイスを使用するユーザーは、ローミングユーザープロファイルを持つことができます。ローミングユーザープロファイルにより、ユーザーがどの Microsoft Windows コンピュータを使用する場合でも、同じ環境が提供されます。Microsoft Windows ユーザーがローミングユーザープロファイルを所有している場合、この環境を実現するために、次のように SGD クライアントプロファイルが自動的に調整されます。

SGD クライアントプロファイルの次の設定が、ユーザーのローミングプロファイルの場所に格納されます。


クライアントプロファイルの設定 ローミングプロファイルのエントリ
ログイン URL <url>
「スタート」メニューへのアプリケーションの追加 <mode>
自動クライアントログイン <autologin>

<AT>

システムログイン時に接続 <autostart>
接続障害 <reconnect mode>

<reconnect_attempts>

<reconnect_interval>


アイドル状態のユーザーセッションの自動タイムアウト

SGD 管理者は、アイドル状態のユーザーセッションの自動タイムアウトを設定できるようになりました。

タイムアウトを設定すると、アプリケーションセッションや Webtop のアクティビティーのない状態が一定期間続いた場合に、ユーザーセッションを中断することができます。タイムアウトは、アレイ内のすべての SGD サーバーに適用されます。

このタイムアウトは、コマンド行からのみ設定できます。Administration Console を使ってタイムアウト値を編集することはできません。

タイムアウトは次のコマンドで設定します。


$ tarantella config edit \
‐‐tarantella-config-array-webtopsessionidletimeout secs

ここで、secs はタイムアウト値 (単位は秒) です。

0 に設定すると、アイドル状態のユーザーセッションのタイムアウト機能はオフになります。これは、デフォルト設定です。

次の例では、アクティビティーのない状態が 1800 秒 (30 分) 続くとユーザーセッションは中断されます。


$ tarantella config edit \
‐‐tarantella-config-array-webtopsessionidletimeout 1800

ネットワークアドレスを指定するためのネットマスクフィルタ

次の属性を設定する際に、ネットマスクフィルタを指定できるようになりました。

ネットマスクフィルタの形式は v.w.x.y/z です。以前の「ワイルドカード」タイプのフィルタも引き続きサポートされています。

次の例では、ネットマスクフィルタを使って外部 DNS 名を指定します。


$ tarantella config edit ‐‐server-dns-external \
 "192.168.55.0/24:boston.indigo-insurance.com"

ウィンドウ管理キー

次のオブジェクトタイプのために、新しい「ウィンドウ管理キー」(--remotewindowkeys) 属性を使用できます。

この属性を使用すると、ウィンドウ管理を処理するキーボードショートカットを、リモートセッションに送信することも、ローカルで実行することもできます。この設定が有効なのは、「ウィンドウタイプ」が「キオスク」モードに設定されているアプリケーションだけです。

この属性が有効になっているときに「キオスク」モードを終了するには、キーシーケンス Alt + Ctrl + Shift + スペースを使用します。これにより、ローカルデスクトップ上でキオスクセッションがアイコン化されます。

Solaris 10 OS Trusted Extensions のサポート

SGD は Solaris 10 OS Trusted Extensions 上で動作しますが、次の制限事項があります。

パスワードとトークンのグローバル管理

Administration Console を使用すると、SGD のすべてのユーザーに関してパスワードとトークンをグローバルに管理できます。

パスワードとトークンをユーザー識別情報またはユーザープロファイルによって管理できるようになりました。以前の Object Manager 管理ツールでは、ユーザープロファイルによるパスワードとトークンの管理だけがサポートされていました。

サーバー証明書のサブジェクト代替名

SGD サーバーに複数の DNS 名がある場合 (ファイアウォールの内側と外側で異なる名前を使って認識されている場合など)、証明書発行要求 (CSR) を生成するときに、「サブジェクト代替名」として追加の DNS 名を指定できます。これにより、複数の DNS 名をサーバー証明書に関連付けることができます。

tarantella security certrequest コマンドで CSR を生成する際に、サブジェクト代替名の入力を求めるプロンプトが表示されるようになりました。

証明書のサブジェクト代替名は、tarantella security certinfo コマンドを使って表示できます。

「タイムゾーンマップファイル」属性

新しい「タイムゾーンマップファイル」属性 (--xpe-tzmapfile) が使用可能になりました。

この属性を使用すると、UNIX クライアントデバイスと Windows アプリケーションサーバーのタイムゾーン名との間のマッピングを含むファイルを指定できます。属性は、アレイ内のすべての SGD サーバーに適用されます。


version 4.31 の新機能

ここでは、Sun Secure Global Desktop Software 4.31 リリースの新機能について説明します。

X アプリケーションでのオーディオサポート

SGD 管理者は、SGD を使ってアクセスする X アプリケーションのサウンドを有効にできるようになりました。

X アプリケーションでサウンドを聞くには、次の条件を満たす必要があります。

UNIX オーディオモジュールには OSS オーディオドライバエミュレータが含まれます。オーディオドライバエミュレータは、SGD 拡張モジュールの UNIX オーディオモジュールをインストールするときに、カーネルにインストールされます。



注 - オーディオモジュールにはオーディオドライバエミュレータが含まれるため、アプリケーションサーバー自体にサウンドカードは不要です。



一部の X アプリケーションは、オーディオ出力に /dev/audio または /dev/dsp デバイスを使用するようにハードコードされています。X アプリケーションオブジェクトの新しい属性「オーディオリダイレクトライブラリ」(--unixaudiopreload) によって SGD オーディオリダイレクトライブラリが有効になり、X アプリケーションで強制的に SGD オーディオデバイスが使用されるようになります。

Microsoft Windows Vista でのリモートデスクトップのサポート

Microsoft Windows Vista のリモートデスクトップ機能では、リモートデスクトッププロトコルを使ってコンピュータにアクセスすることができます。たとえば、SGD とリモートデスクトップを使って、オフィスの外部のユーザーにオフィスの PC へのアクセスを許可できるようになりました。完全な Windows デスクトップセッションだけがサポートされます。

SGD 拡張モジュールを Microsoft Windows Vista クライアントデバイスにインストールして、クライアントドライブマッピングをサポートすることも可能です。高度な負荷分散およびシームレスウィンドウはサポートされません。

SSH クライアントの設定

次のオブジェクトタイプのために、新しい「SSH Arguments」(--ssharguments) 属性を使用できます。

この属性を使用すると、アプリケーションの接続方法が SSH の場合に、SSH クライアントのコマンド行引数を指定できます。


version 4.30 の新機能

ここでは、Sun Secure Global Desktop Software 4.30 リリースの新機能について説明します。

デスクトップの「スタート」メニューまたは「起動」メニューとの統合

SGD Client は、次のいずれかのモードで動作できるようになりました。



注 - クライアントデバイス上で Java テクノロジを使用しない組織の場合は、統合モードを使用してください。



統合モードを利用するには、デスクトップの「スタート」メニューまたは「起動」メニューの「ログイン」リンクを使って SGD にログインする必要があります。Web ブラウザを起動してログインした場合、統合モードは使用できません。

統合モードで操作すると、セッション管理が簡単になります。Webtop とは異なり、アプリケーションを中断および再開することはできません。その代わりに、ログアウトすると、Client は実行中のアプリケーションセッションすべてを自動的に中断または終了します。再度ログインすると、Client は中断していたセッションを自動的に再開します。

印刷も簡単になります。印刷は常に「実行できる状態」になっていて、選択したプリンタに印刷ジョブが直接送信されます。Webtop とは異なり、印刷ジョブを個別に管理することはできません。

中断しているアプリケーションの再開や印刷の管理などの目的で、Webtop を表示する必要がある場合、「スタート」メニューまたは「起動」メニューの Webtop のリンクをクリックします。Webtop がデフォルトの Web ブラウザに表示されます。

Webtop コンテンツをグループで表示するように設定した場合は、「スタート」メニューまたは「起動」メニューでもそれらのグループが使用されます。Webtop コンテンツを表示しないように設定されているグループは、「スタート」または「起動」メニューにコンテンツは表示されません。

SGD からログアウトするには、「スタート」メニューまたは「起動」メニューの「ログアウト」リンクをクリックします。

統合モードで使用可能なデスクトップシステムの詳細については、クライアントの要件を参照してください。

シングルサインオン

ユーザーがクライアントデバイスにログインしたときに、SGD Client が自動的に起動するように設定できるようになりました。SGD Client が認証トークンをキャッシュすることで、手動でログインせずにユーザーセッションを自動的に起動することも可能です。この方法で SGD Client を設定すると、ユーザーはシングルサインオンのメリットを享受できます。

自動ログインは、認証トークンの認証を使って実現されます。SGD Client が有効な認証トークンを提示すると、ユーザーは自動的に SGD に認証されます。認証トークンを取得するには、ユーザーは Web ブラウザを使って初期ログインを実行してから、クライアントプロファイルを編集して認証トークンを手動で生成する必要があります。ユーザーが接続する SGD サーバーごとに個別のトークンが必要になります。

プロファイルを使用したクライアント設定の管理

デスクトップの「スタート」メニューまたは「起動」メニュー、およびシングルサインオン機能を利用するには、SGD に接続できるように SGD Client を設定する必要があります。それだけではなく、ユーザーがオフィスにいる場合と自宅で作業を行う場合など、状況に応じて異なる設定が必要になる可能性があります。複数の Client 設定を管理できるように、version 4.3 では、SGD Client 設定のグループを格納する方法としてクライアントプロファイルが導入されました。クライアントプロファイルごとに、次の設定を行うことができます。

SGD 管理者は、クライアントプロファイルを完全に制御できます。管理者の Webtop 上には、新しい管理ツールであるプロファイルエディタが表示されます。プロファイルエディタを使用すると、Tarantella System Objects 組織内の組織、組織単位 (OU) オブジェクト、およびプロファイルオブジェクトのクライアントプロファイルを作成および編集することができます。これらのオブジェクトのクライアントプロファイルを定義することで、管理者は一般的なデフォルト SGD Client 設定をユーザーに配備できます。

管理者は、ユーザーが独自のクライアントプロファイルを作成および編集できるかどうかを制御できます。ユーザーのプロファイル編集は、グローバルに、あるいは組織、組織単位、またはユーザーごとに有効にできます。デフォルトでは、ユーザーのプロファイル編集は有効に設定されています。ユーザーは、Webtop の「編集」ボタンを使ってプロファイルを作成および編集できます。

SGD には、システム規模のデフォルトプロファイルが存在します。これは、以前のリリースで実行可能であった標準の Webtop 動作をユーザーに提供するように設定されています。管理者は、このプロファイルを編集できます。

SGD Client が SGD に接続されると、ユーザー用に設定されたプロファイルが SGD からクライアントデバイスにコピーされます。ユーザーがこのプロファイルを編集すると、変更はクライアントデバイス上にのみ格納されます。

モバイルプロキシサーバー設定

さまざまな場所から SGD に接続するときに、SGD Client に別のクライアントプロキシサーバー設定が必要になることがよくあります。ユーザーのプロキシ設定を適切に保つのは管理者にとっても困難な場合があります。version 4.3 では、モバイルプロキシサーバー設定が導入されています。モバイルプロキシサーバー設定がある場合、SGD Client はクライアントプロファイルのその設定を使って、プロキシサーバー設定を決定します。プロキシサーバー設定には、次のいずれかを指定できます。

SGD Client が統合モードで動作しており、Web ブラウザの設定を使用するように設定されている場合、SGD Client は、ユーザーのデフォルト Web ブラウザのプロファイル内で指定された URL を読み込むことで、プロキシ設定を取得します。SGD Client は取得した設定をキャッシュするので、キャッシュに格納されている設定を使用するように SGD Client を設定すると、ユーザーのデフォルト Web ブラウザを 1 回起動するだけで済みます。



注 - Web ブラウザ側の設定をもとにプロキシ設定を決めるためには、Web ブラウザ側で Java テクノロジが有効になっている必要があります。



SGD Client で拡張されたコマンド行

クライアントプロファイルをサポートするために、すべてのプラットフォームの SGD Client でコマンド行が拡張されました。引数を使って次の項目を指定できます。

拡張されたコマンド行を使って、SGD Client の起動用スクリプトや単一アプリケーションの実行用スクリプトをユーザー独自に作成できます。

手動でインストールできる SGD Client

統合モードまたは Java テクノロジ非対応の Web ブラウザの環境での SGD Client の実行をサポートするために、SGD Client を手動でダウンロードおよびインストールすることができます。http://server.example.com で、SGD サーバーから SGD Client をダウンロードします。ここで、server.example.com は SGD サーバーの名前です。「Sun SGD Client のインストール」をクリックして、SGD Client をインストールします。

新規 X サーバー

このリリースには、X11R6.8.2 に基づく新しい X サーバーが含まれています。新しい X サーバーは、version 4.2 と比較して、速度および帯域幅が大幅に改善されています。

更新されたサーバーがサポートする X 拡張機能を次に示します。

新しい X サーバーには、追加の X フォントのサポートも含まれます。Speedo フォントは使用できなくなりました。

新しい「X セキュリティー拡張機能」属性

X アプリケーションオブジェクトに新しい属性「X セキュリティー拡張機能」 (--securityextension) が追加され、これを使ってアプリケーションの X セキュリティー拡張機能を有効にするかどうかを設定できます。安全でない可能性のあるアプリケーションサーバーから X アプリケーションを実行する必要がある場合は、X セキュリティー拡張機能を有効にして、アプリケーションを信頼されないモードで実行してください。これにより、X アプリケーションが X サーバー内で実行可能な操作が制限され、表示が保護されます。X セキュリティー拡張機能は、-Y オプションをサポートする SSH のバージョンでのみ動作します。OpenSSH の場合、これは 3.8 以降のバージョンです。

UNIX プラットフォーム、Linux、および Mac OS X クライアントの PDF 印刷

UNIX プラットフォーム、Linux、および Mac OS X クライアントデバイス上の SGD Client で、PDF 印刷がサポートされるようになりました。これらのクライアント上で SGD PDF プリンタでの印刷を行うと、ドキュメントが PDF ビューアに表示されます。この PDF ビューアで、ファイルの保存や印刷を実行できます。SGD がデフォルトでサポートする PDF ビューアは次のとおりです。


クライアントプラットフォーム デフォルト PDF ビューア
SPARC テクノロジプラットフォーム上の Solaris OS Adobe Reader (acroread)
x86 プラットフォーム上の Solaris OS GNOME PDF Viewer (gpdf)
Linux GNOME PDF Viewer (gpdf)
Mac OS X Preview.app

デフォルトのビューアを使用するには、そのアプリケーションがユーザーの PATH 上に存在する必要があります。

代替の PDF ビューアを使用する場合は、SGD Client が使用するクライアントプロファイル内で代替ビューアのフルパスを指定できます。



注 - UNIX プラットフォーム、Linux、および Mac OS X クライアントデバイスで PDF プリンタを選択する場合、「Universal PDF プリンタ」プリンタと「Universal PDF ビューア」プリンタに違いはありません。ドキュメントは常に PDF ビューアに表示されます。



Microsoft Windows クライアントデバイス上の PDF 印刷については、変更はありません。

UNIX プラットフォームおよび Linux アプリケーションのクライアントドライブマッピング

クライアントドライブマッピング (CDM) が、UNIX プラットフォームおよび Linux アプリケーションで使用可能になりました。

Administration Console 内でクライアントドライブマッピングを有効に設定すると、UNIX プラットフォーム、Linux、および Windows アプリケーションでクライアントドライブマッピングが有効になります。

組織、組織単位、およびユーザープロファイルオブジェクトで使用可能なクライアントドライブへのアクセス権を管理する属性は、接続先が Windows、UNIX プラットフォーム、Linux アプリケーションのどれであるかに関係なく、Windows クライアントデバイスにのみ適用されます。

UNIX プラットフォーム、Linux、および Mac OS X クライアントデバイス用にマッピングされたドライブは、ユーザーの構成ファイル $HOME/.tarantella/native-cdm-config 内のエントリで制御されます。

クライアントドライブマッピングが UNIX プラットフォームおよび Linux アプリケーションで使用可能になるには、次の条件を満たす必要があります。

クライアントドライブマッピングを使用可能にすると、ユーザーのクライアントドライブまたはファイルシステムが、デフォルトでユーザーのホームディレクトリの My SGD drives ディレクトリ内で使用可能になります。My SGD drives ディレクトリは、クライアントドライブマッピングに使用される NFS 共有へのシンボリックリンクです。

Windows アプリケーションでのシリアルポートのサポート

Windows ターミナルサーバー上で Windows アプリケーションを実行するユーザーが、クライアントデバイスのシリアルポートにアクセスできるようになりました。

シリアルポートにアクセスするには、次の要件を満たす必要があります。

ユーザーは、アクセスするシリアルポートへの読み取り/書き込みアクセス権を保持している必要があります。

シリアルポートマッピングは、Windows、Solaris プラットフォーム、および Linux クライアントデバイス上で稼働する SGD Client で使用できます。

Microsoft Windows XP Professional でのリモートデスクトップのサポート

Microsoft Windows XP Professional のリモートデスクトップ機能では、リモートデスクトッププロトコルを使ってコンピュータにアクセスすることができます。たとえば、SGD とリモートデスクトップを使って、オフィスの外部のユーザーにオフィスの PC へのアクセスを許可できるようになりました。完全な Windows デスクトップセッションだけがサポートされます。

SGD 拡張モジュールを Microsoft Windows XP Professional クライアントデバイスにインストールして、クライアントドライブマッピングをサポートすることも可能です。高度な負荷分散およびシームレスウィンドウはサポートされません。

Windows Server 2003 ターミナルサービスを利用したコンソールセッションへの接続のサポート

SGD ターミナルサービスクライアント (ttatsc) は、追加オプション -console をサポートするようになりました。このオプションを使用すると、Windows Server 2003 ターミナルサービスを利用してコンソールセッションに接続できます。

このオプションは、Windows アプリケーションオブジェクトの「プロトコルの引数」(--protoargs) 属性を使って指定できます。

初期接続のセキュリティー

SGD Client と SGD サーバー間の最初の接続が SSL によって保護されるようになりました。ただし、この接続は、ユーザーがログインしたあとに標準接続にダウングレードします。SGD との接続を恒久的にセキュリティー保護されたものにするには、SGD セキュリティーサービスを有効にしなければなりません。

TCP ポート 5307 は、SGD Client と SGD の間の SSL ベースの接続に使用されます。SGD Client の接続を許可するために、ファイアウォール内でこのポートを開くことが必要になる可能性があります。

SGD のアレイルート機能を使用すれば、サーバー側に SOCKS プロキシサーバーを設定できます。アレイルートは次のコマンドで設定します。


$ tarantella config edit \
‐‐tarantella-config-array-netservice-proxy-routes route...

ルートに :ssl オプションが含まれる場合は、暗号化されていない接続が許可されるように SGD SSL デーモンを設定する必要があります。そのためには、Administration Console の「Secure Global Desktop サーバー設定」⇒「セキュリティ」タブにある「SSL アクセラレータのサポート」属性を使用するか、次のコマンドを使用します。


$ tarantella config edit --security-acceptplaintext 1

承認されていないサーバーからのクライアントの保護

SGD Client の自動起動および自動ログインが可能になったため、ユーザーが信頼されている SGD サーバーにだけ接続することは特に重要です。このリリースでは、ユーザーは SGD への接続を明示的に承認する必要があります。

ユーザーが SGD にはじめて接続したとき、「信頼されない初期接続」警告メッセージが表示され、SGD サーバーに本当に接続するかどうかの確認を求められます。このメッセージには、接続先のサーバーのホスト名とセキュリティー証明書のフィンガプリントが表示されます。ユーザーは、これらの詳細を確認してから、「はい」をクリックする必要があります。ユーザーが接続に同意したあとは、問題が発生しないかぎり、これらのメッセージが表示されることはありません。

信頼されている SGD サーバーだけにユーザーが接続できるように、SGD 管理者は次のことを行なってください。

新しくインストールした状態では、各 SGD サーバーは自己署名付きのセキュリティー証明書を独自に保持しています。管理者は、SGD サーバーごとに、有効な X.509 証明書を取得してインストールしてください。

コピー&ペーストの制御

SGD 管理者が、Windows および X アプリケーションセッションのコピー&ペースト操作を制御できるようになりました。管理者は、次のようにコピー&ペーストを設定できます。

ユーザーがセキュリティーレベルが異なるなどの理由によって許可されないコピー&ペースト操作の実行を試みると、コピーしたデータではなく次のメッセージがペーストされます。

Sun SGD Software: Copied data not available to this application

アプリケーションサーバー認証用の SecurID のサポート

SGD に接続するユーザーを認証するために RSA SecurID を使用することに加えて、X アプリケーションや文字型アプリケーションの起動時のアプリケーションサーバーの認証にも SecurID を使用できます。

SecurID 認証を使用するときは、SGD を導入する前に、ユーザーが SecurID を使用してアプリケーションサーバーにログインできることを確認してください。SecurID 認証を使用する準備ができたら、securid.exp ログインスクリプトを使用するようにアプリケーションを設定します。

ローカライズされたユーザーインタフェース

version 4.3 には、次の言語にローカライズされたユーザーインタフェースが含まれます。

別の URL を参照するか、SGD Web サーバーの開始画面 (http://server.example.com) で言語を選択することにより、ユーザーは設定した言語で Webtop を実行できます。ここで、server.example.com は SGD サーバーの名前です。SGD Client も、設定した言語で起動できます。

Administration Console も、ユーザーインタフェースと同じ言語にローカライズされます。

ドキュメントの翻訳

次の表に、翻訳版の SGD ドキュメントを入手できるものを示します。


言語 リリースノート インストールガイド 管理ガイド リファレンスマニュアル ユーザーガイド
フランス語 はい はい いいえ いいえ はい
日本語 はい はい はい はい はい
韓国語 はい はい いいえ いいえ はい
簡体字中国語 はい はい いいえ いいえ はい
繁体字中国語 はい はい いいえ いいえ はい

Expect スクリプト内の言語サポート

アプリケーションサーバー上でアプリケーションの起動に使用される Expect スクリプトが拡張され、異なる言語のシステムプロンプトがサポートされています。デフォルトでは、サポートされる言語は SGD でサポートされる言語と同じです。

Expect スクリプトを異なる言語のシステムプロンプトで動作させるため、アプリケーションサーバーオブジェクトに「プロンプトのロケール」(--hostlocale) 属性が新たに追加されました。この属性を使って、アプリケーションサーバーのロケールを指定できます。


version 4.40 での変更点

ここでは、Sun Secure Global Desktop Software 4.31 のリリース以降に変更された点について説明します。

サポートされるインストールプラットフォームの変更

このリリースでは、SGD でサポートされるインストールプラットフォームに次の変更が適用されます。

このリリースでサポートされるプラットフォームの詳細については、第 1 章を参照してください。

旧クライアントが今後取り除かれることについて

SGD version 4.31 は、Java テクノロジクライアント、SGD Native Client、および旧 Webtop が含まれる最後のリリースとなりました。4.40 リリースには、これらのクライアントは含まれていません。

この変更の結果、この SGD リリースでは、アプリケーションを Web ブラウザウィンドウに表示するように設定することはできません。「ウィンドウタイプ」属性 (--displayusing) の webtop オプションと newbrowser オプションは削除されました。

ログインと認証の順序

サービス拒否攻撃を防ぐセキュリティー機能として、ユーザーが SGD にログインするときのイベントの順序が次のように変更されました。

SGD Client が起動したことは、デスクトップのタスクバーのアイコンで示されます。SGD へのログインの詳細については、『Sun Secure Global Desktop 4.4 インストールガイド』を参照してください。

SGD への接続をクライアントの IP アドレスに基づいて拒否することはできなくなりました。

サーバー証明書と複数の外部 DNS 名

以前のリリースでは、SGD サーバーの外部 DNS 名と X.509 証明書を関連付けるために --tarantella-config-ssldaemon-certificates 属性が使用されていました。

この属性はサポートされなくなりました。このリリースでは、CSR を生成する際に、外部 DNS 名をサブジェクト代替名として指定できます。

詳細については、サーバー証明書のサブジェクト代替名を参照してください。

Web サービスの変更

このリリースでは、Web サービスに次の変更が適用されています。

認証モデルの変更

4.31 リリースでは、ユーザーセッションを認証するために startSession メソッドと authenticateSession メソッドが使用されていました。

4.40 リリースでは、ユーザーセッションの作成と認証が単一のメソッド authenticate に組み込まれました。

startSession メソッドと authenticateSession メソッドは、4.40 リリースでは使用できません。

メソッド名の変更

4.31 リリースには、オーバーロードメソッドがいくつかありました。これらのメソッドは、そのパラメータの数とタイプで区別されていました。4.40 リリースでは、このようなオーバーロードメソッドの名前がすべて変更されました。また、4.40 リリースでは、setSessionIdentity メソッドの必須パラメータも変更されました。

次の表に、このリリースで変更されたメソッド名を示します。


インタフェース名 Version 4.31 でのメソッド名 Version 4.40 でのメソッド名
ITarantellaDatastore modify(String, String, String[]) modifyReplace (String, String, String[])
ITarantellaEvent adminSendClientSideMessage (String, String, String, String, String) adminBroadcastClientSideMessage (String, String, String, String, String)
ITarantellaExternalAuth setSessionIdentity (String, String) setSessionIdentity (String, String, String)
ITarantellaPrint printJobs(String) printAllJobs(String)
ITarantellaWebtopSession authenticateSession(String, String, String) authenticate(String, String, String, String)
ITarantellaWebtopSession authenticateSession(String, String, String, Item[], Item[]) authenticateExt(String, String, String, String, Item[], Item[])
ITarantellaWebtopSession setTCCConfiguration (String, String, String, String, String, Item[]) setTCCConfigurationOverrides (String, String, String, String, String, Item[])
ITarantellaWebtopSession startSession(*) 相当するものはありません

新しい Web サービスオペレーション

次の表に、新しい Web サービスオペレーションを示します。


インタフェース名 メソッド名 説明
ITarantellaDatastore deleteObjects

searchStart

searchNext

searchEnd

SGD データストアからいくつかのオブジェクトを削除します。

指定された検索のためにサーバー側のリソースをクリーンアップします。

検索結果の次のサブセットを取得します。

データストア検索を開始して結果のサブセットを返します。

ITarantellaEmulatorSession adminCount

adminSearchEnd

adminSearchNext

adminSearchStart

endSessions

検索によって返される、一致するアプリケーションセッションの数を数えます。

指定された検索のためにサーバー側のリソースをクリーンアップします。

検索結果の次のサブセットを取得します。

検索を開始して結果のサブセットを返します。

複数のアプリケーションセッションを終了します。

ITarantellaPrint adminCount

adminSearchEnd

adminSearchNext

adminSearchStart

検索によって返される、一致する印刷ジョブの数を数えます。

指定された検索のためにサーバー側のリソースをクリーンアップします。

検索結果の次のサブセットを取得します。

検索を開始して結果のサブセットを返します。

ITarantellaWebtopSession associateTCC

authenticate

authenticateExt

createView

adminEndSessions

adminCount

adminSearchEnd

adminSearchNext

adminSearchStart

ユーザーセッションを既存の TCC 接続に関連付けます。

ユーザーセッションを認証します。

ユーザーセッションを認証します。

既存のユーザーセッションの新しいビューを作成します。

複数のユーザーセッションを終了します。

検索によって返される、一致するユーザーセッションの数を数えます。

指定された検索のためにサーバー側のリソースをクリーンアップします。

検索結果の次のサブセットを取得します。

検索を開始して結果のサブセットを返します。

ITarantellaUtility SearchEnd

SearchNext

SearchStart

指定された検索のためにサーバー側のリソースをクリーンアップします。

検索結果の次のサブセットを取得します。

検索を開始して結果のサブセットを返します。


Document/Literal SOAP メッセージエンコーディング

SGD Web サービスに使用される SOAP メッセージエンコーディング形式が、RPC/Encoded から Document/Literal に変更されました。

SGD Web サービスの一覧を表示するには、http://server.example.com/axis/services にアクセスします。ここで、server.example.com は SGD サーバーの名前です。wsdl リンクをクリックすると、SGD Web サービスの Web Services Description Language (WSDL) リストを表示できます。

このページには、RPC/Encoded 形式の Web サービスの WSDL リストが引き続き含まれています。ユーザー独自のアプリケーションを開発する場合、RPC/Encoded 形式は使用しないでください。この形式の Web サービスは将来のリリースで推奨されなくなります。

デバイスデータの照会

adminLookupSession オペレーションでデバイス情報が返されるようになりました。このオペレーションを使用して、--scottarawdevicedata および --scottadeviceaccessibledata デバイスデータ属性を照会できます。

返されたデバイス情報は、診断ツールとして使用できます。

Kerberos キャッシュのフラッシュ

tarantella cache コマンドの新しい設定を使用すると、SGD サーバーの現在の Kerberos 設定を更新できます。

新しいオプション krb5config は次のように使用されます。


$ tarantella cache --flush krb5config

この設定を使用すると、SGD サーバーを再起動しなくても、サーバーの Kerberos 設定を更新できます。この機能は Active Directory 認証だけに使用されます。

tem status コマンド

SGD 拡張モジュールのユーザーには、新しいコマンドが使用可能になりました。

tem status コマンドは、SGD アレイの負荷分散、UNIX プラットフォームオーディオ、およびクライアントドライブマッピングサービスに関するステータス情報を提供します。このコマンドは、インストールされているモジュールの一覧を表示し、それらが実行中かどうかを示します。

SGD Client はデフォルトで Java テクノロジを前提としない

SGD Client は、Microsoft Windows クライアントプラットフォームでは tcc コマンド、UNIX、Linux、または Mac OS X クライアントプラットフォームでは ttatcc コマンドを使用して、コマンド行から起動できます。

このリリースでは、SGD Client をコマンド行から起動した場合や統合モードで起動した場合、SGD Client はデフォルトで、クライアントデバイスで Java テクノロジが有効になっていないと見なします。tcc コマンドと ttatcc コマンドの新しい引数 -use-java を使用すると、SGD Client は Java テクノロジを使用するように設定されます。

以前のリリースでは、SGD Client はデフォルトで、Java テクノロジが有効になっていると見なしていました。tcc コマンドと ttatcc コマンドの -no-java 引数を使用すると、この動作を無効にすることができました。現在、この引数は推奨されなくなりました。

tcc コマンドと ttatcc コマンドに使用できる引数については、『Sun Secure Global Desktop 4.4 管理者ガイド』を参照してください。

SGD Client はクライアントデバイスの情報をログ記録する

SGD Client はクライアントデバイスの情報をログ記録するようになりました。印刷、シリアルポート、クライアントドライブマッピング、オーディオおよびスマートカードの各デバイスについて、デバイスアクセスデータとエラーメッセージがログに記録されます。

クライアントデバイスの情報は SGD Client のログファイルに書き込まれ、Webtop の「詳細な診断」ページに表示されます。

名前の変更されたコマンド行引数

いくつかの属性の名前が変更され、属性名がより短くなりました。これにより、コマンド行でこれらの属性を入力する際の誤りを防ぐことができます。次の表に、変更された属性名を示します。


Version 4.31 での属性名 Version 4.40 での属性名
--tarantella-config-login-thirdparty-searchens --login-thirdparty-ens
--tarantella-config-login-thirdparty-allownonens --login-thirdparty-nonens
--tarantella-config-ldap-thirdpartyldapcandidate-useens --login-ldap-thirdparty-ens
--tarantella-config-ldap-thirdpartyldapcandidate-useprofile --login-ldap-thirdparty-profile
--tarantella-config-xpeconfig-timezonemapfile --xpe-tzmapfile

「Windows NT Domain」属性

「Windows NT Domain」属性は、「ドメイン名」という名前に変更されました。この属性は、アプリケーションサーバーの認証プロセスに使用するドメインを指定します。

この属性を持つオブジェクトは、次のとおりです。

名前の変更された PDF プリンタ

SGD PDF プリンタの名前が、次の表のように変更されました。


リリース 4.31 でのプリンタ名 リリース 4.4 でのプリンタ名
Universal PDF Universal PDF プリンタ
Print to Local PDF File Universal PDF ビューア

ウィンドウが閉じるときの警告

「ウィンドウタイプ」が「独立ウィンドウ」に設定されているアプリケーションオブジェクトの場合、アプリケーションウィンドウを閉じるときに警告ダイアログが表示されるようになりました。このダイアログでは、アプリケーションセッションを終了するかどうかの確認が求められます。

クライアントプロファイルから削除された SOCKS プロキシ

SGD Client プロファイルを使って SOCKS プロキシサーバーを設定することはできなくなりました。

アレイルート機能を使用すれば、引き続き SOCKS プロキシサーバーを設定できます。次のコマンドを使用します。


$ tarantella config edit \ 
--tarantella-config-array-netservice-proxy-routes \
"192.168.10.*:CTSOCKS:taurus.indigo‐insurance.com:8080"

この設定では、IP アドレスが 192.168.10 で始まるクライアントは、TCP ポート 8080 上で SOCKS プロキシサーバー taurus.indigo-insurance.com を使って接続します。

管理者の Webtop から削除された管理ツール

Object Manager、Array Manager、Session Manager、および Configuration Wizard の各管理ツールは、管理者の Webtop に表示されなくなりました。これらの管理ツールは、Administration Console と呼ばれるブラウザベースの管理ツールに置き換えられました。詳細については、SGD Administration Consoleを参照してください。

Configuration Wizard は、Web アプリケーションのサンプルとして、SGD ディストリビューションに引き続き含まれています。Configuration Wizard を表示するには、http://server.example.com/sgd/admin/configmgr/index.jsp にアクセスします。ここで、server.example.com は SGD サーバーの名前です。

Session Manager は、Web アプリケーションのサンプルとして、SGD ディストリビューションに引き続き含まれています。Session Manager を表示するには、http://server.example.com/sgd/admin/sessmgr/index.jsp にアクセスします。ここで、server.example.com は SGD サーバーの名前です。

ログインスクリプトの変更

/install-dir/var/serverresources/expect ディレクトリ内のログインスクリプトが合理化されました。スクリプトの名前の変更や、スクリプトの統合が行われました。

アプリケーションサーバーの認証に SecurID を使用している場合、オブジェクトでは securid/unix.exp スクリプトの代わりに securid.exp スクリプトが使用されます。 下位互換性のために、securid/unix.exp から新しい securid.exp スクリプトへのシンボリックリンクが用意されました。

ロケールに応じた入力方式の有効化

入力方式 (IM) はプログラムまたはオペレーティングシステムコンポーネントであり、キーボードにない文字や記号をユーザーが入力できるようにします。Microsoft Windows プラットフォームでは、IM は Input Method Editor (IME) と呼ばれます。

アプリケーションの実行中、TTA_PreferredLocale、TTA_HostLocale、または LANG (アプリケーション環境によって上書き) のいずれかの環境変数が IM を必要とするロケールに設定されている場合、SGD は IM を有効にします。IM を必要とするロケールは、vars.exp ログインスクリプトで定義されている IM_localeList 変数によって制御されます。

デフォルトでは、IM はすべての日本語、韓国語、および中国語ロケールで有効になっています。ほかのロケールで IM を有効にするには、vars.exp を編集して、IM_localeList 変数にロケールを追加する必要があります。

SGD Client 終了のタイムアウト

SGD Client が突然終了したためにアプリケーションが中止される場合、次のタイムアウト時間は 20 分延長されます。


version 4.31 での変更点

ここでは、Sun Secure Global Desktop Software 4.30 リリースから変更された点について説明します。

Solaris x86 プラットフォームの SecurID 認証

version 4.31 では、Solaris x86 プラットフォームに SGD をインストールするときに、SecurID 認証を使用できます。

統合モードでの複数の SGD サーバーのサポート

version 4.30 では、SGD Client が統合モードのときに接続できる SGD サーバーは 1 つだけでした。version 4.31 では、複数の SGD サーバーのときでも統合モードを使用できます。デスクトップの「スタート」メニューまたは「起動」メニューには、各 SGD サーバーのログインリンクが表示されます。

アレイルート

SGD のアレイルート機能を使用すれば、サーバー側に SOCKS プロキシサーバーを設定できます。アレイルートは次のコマンドで設定します。


$ tarantella config edit \ 
--tarantella-config-array-netservice-proxy-routes route...

アレイルートが拡張されて、直接接続タイプを設定できるようになりました。プロキシサーバーを使用しなくても接続できるようにクライアントを指定するときは、接続タイプとして CTDIRECT を指定します。

アレイルート設定の例を、次に示します。


$ tarantella config edit \ 
--tarantella-config-array-netservice-proxy-routes \
"192.168.5.*:CTDIRECT:" \
"192.168.10.*:CTSOCKS:taurus.indigo‐insurance.com:8080"

この設定のときは、IP アドレスが 192.168.5 で始まるクライアントで直接接続が許可されます。IP アドレスが 192.168.10 で始まるクライアントは、TCP ポート 8080 上で SOCKS プロキシサーバー taurus.indigo-insurance.com を使って接続します。

SGD 起動スクリプト

version 4.31 では、SGD サーバーが再起動するときに SGD サービスを停止して起動するための起動スクリプトが、名前が変更されて再構築されています。*Tarantella および *TarantellaWebserver スクリプトは、*sun.com‐sgd‐base という名前の 1 つのスクリプトに置き換えられています。SGD 拡張モジュールのための *tem スクリプトは、*sun.com‐sgd‐em という名前になっています。

信頼されない初期接続メッセージ

ユーザーが最初に SGD サーバーに接続するときに「信頼されない初期接続」警告メッセージが表示されますが、このメッセージが拡張されています。ユーザーがこのメッセージからサーバーのセキュリティー証明書を見ることができるようになりました。

無効になった Windows キー

SGD Windows ターミナルサービスセッションで、Windows キーがデフォルトで無効になっています。Windows キーは、ローカル Windows セッションだけで有効になります。SGD ターミナルサービスセッションで Windows の「スタート」メニューを表示するには、Alt + Home キーを押してください。

SGD ターミナルサービスクライアント (ttatsc) は、追加オプション -windowskey on|off をサポートするようになりました。このオプションを使えば、Windows キーのサポートを有効にできます。このオプションは、Windows アプリケーションオブジェクトの「プロトコルの引数」(--protoargs) 属性を使って指定できます。


version 4.30 での変更点

ここでは、Sun Secure Global Desktop Software 4.20 のリリース以降に変更された点について説明します。

インストール可能な単一パッケージ

version 4.3 では、SGD インストール用の単一パッケージが導入されました。SGD をインストールする際、以前は個別にインストールする必要のあったフォントパッケージなどのすべてのパッケージをインストールできます。使用できる SGD コンポーネントは、アレイにインストールされるライセンスキーによって管理されます。

SSL デーモンの常時稼働

SGD への初期接続が常にセキュリティー保護されるようになりました。これは、SGD セキュリティーサービスが有効でない場合でも、SGD SSL デーモンが常に稼働していることを意味します。

UNIX プラットフォーム、Linux、および Mac OS X クライアントデバイスのユーザー設定ファイル

以前のリリースでは、UNIX プラットフォーム、Linux、および Mac OS X クライアントデバイス上の SGD Client の設定に、ユーザー設定ファイルが使用されていました。プロファイルが導入されたため、このファイルは使用されなくなりました。

「ウィンドウを閉じるアクション」(--windowclose) 属性

以前のリリースでは、「ウィンドウを閉じるアクション」(--windowclose) 属性は、「Display Using」が「client window management」に設定された X アプリケーションでのみ使用できました。この属性が拡張され、independent ウィンドウを使って表示するように設定された X、Windows、および文字型アプリケーションでも使用できるようになりました。

この変更により、独立ウィンドウを閉じた場合に、アプリケーションセッションを終了または中断できます。デフォルトでは、セッションが終了します。

UNIX プラットフォームのユーザー認証用の PAM のサポート

SGD は、UNIX プラットフォームのユーザー認証用の Pluggable Authentication Modules (PAM) をサポートするようになりました。この変更は、次の UNIX 認証機構に影響を与えます。

SGD は、ユーザー認証、アカウント操作、およびパスワード操作に PAM を使用します。

SGD を Linux プラットフォームにインストールすると、Setup プログラムにより、passwd プログラムの現在の設定がコピーされ、/etc/pam.d/tarantella ファイルが作成されて、SGD 用の PAM 設定エントリが自動的に作成されます。Solaris OS プラットフォームの場合、必要に応じて /etc/pam.conf ファイル内に SGD 用の新規エントリ (tarantella) を追加できます。

PAM を使用することにより、SGD 管理者は、UNIX プラットフォームのユーザー認証をより柔軟かつ強力に制御できます。たとえば、新規ログインテスト、アカウント制限、有効なパスワードのチェックなどを追加できます。

PDF 印刷

UNIX プラットフォーム、Linux、および Mac OS X クライアントデバイスでの PDF 印刷をサポートするためにこのリリースで加えられた変更の結果、「Display Adobe Reader Print dialog」(--pdfprompt) 属性が削除されました。

この変更のために、ユーザーが Windows クライアント上の「Universal PDF プリンタ」プリンタを使って印刷を実行すると、印刷ジョブがクライアントのデフォルトプリンタに自動的に送信されます。印刷ジョブを送信するクライアントプリンタを選択可能にするには、ユーザーは「Universal PDF ビューア」プリンタを選択する必要があります。

Active Directory 認証用のクライアント証明書

Active Directory 認証のために、認証ウィザードに「クライアント証明書」チェックボックスが用意されています。Active Directory でクライアント証明書が必須として設定されており、SGD 用のクライアント証明書が作成およびインストール済みである場合、特権ユーザーのユーザー名とパスワードを設定する必要はなくなりました。

SGD 証明書ストア

SGD 証明書ストア (/install‐dir/var/info/certs/sslkeystore) で使用されるパスワードは、123456 にハードコードされなくなりました。その代わり、各ストアはランダムなパスワードを保持し、そのパスワードは /install‐dir/var/info/key に格納されます。keytool アプリケーションの使用時に、このパスワードを -storepass および -keypass オプションとともに使用します。

ライセンス管理

version 4.2では、ライセンスが次のように変更されました。

以前のバージョンからアップグレードした場合、既存の製品ライセンスキーは自動的に変換され、既存の Maintenance and Right to Upgrade license キーは削除されます。

アプリケーションの接続方法

version 4.1 から、SGD では、rlogin および rcmd 接続方法を使ったアプリケーションの起動をサポートしなくなりました。以前のバージョンからアップグレードした場合、この方法を利用していたすべてのアプリケーションで、接続方法を変更する必要があります。

同時 Webtop 接続属性

version 4.1 から、SGD は、「同時ユーザーセッションの最大数」の設定 (--tuning-maxconnections) に異なる属性を使用します。以前のバージョンからアップグレードする場合、この属性のデフォルト設定が適用されます。

メインフレーム (3270) アプリケーション

version 4.0 から、SGD はメインフレーム (3270) アプリケーション用に異なるエミュレータを使用します。3270 文字型および 3270 X アプリケーションオブジェクトは使用されなくなりました。これらは単一の 3270 アプリケーションオブジェクトで置き換えられています。新しい 3270 アプリケーションオブジェクトには複数の新しい属性が含まれるため、既存の 3270 アプリケーションオブジェクトをアップグレードすることはできません。以前のバージョンからアップグレードする場合、既存の 3270 文字型および 3270 X アプリケーションはアップグレード時に削除されます。このため、これらのアプリケーションを再設定する必要があります。