Secure Global Desktop 4.40 管理者ガイド
> セキュリティー
> SGD でのプロキシサーバーの使用
SGD でプロキシサーバーを使用するには、クライアント側に、SGD との接続に使うためには、プロキシサーバーのアドレスとポート番号を設定する必要があります。また、サーバー側プロキシサーバーの経由に関する情報をクライアントに渡すよう、SGD を設定する必要がある場合があります。
このページで説明する内容は、次のとおりです。
SGD でプロキシサーバーを使用するには、プロキシサーバーがトンネリングをサポートしている必要があります。HTTP、Secure (SSL)、または SOCKS version 5 プロキシサーバーを使用できます。
SOCKS version 5 プロキシサーバーの場合、「基本」および「無認証要求」認証方式が SGD でサポートされます。サーバー側の設定は必要ありません。
クライアントプロキシ設定に関しては、次の 2 つの接続を考慮する必要があります。
Web ブラウザと SGD Web Server を接続してたとえば Webtop を表示する場合、常に Web ブラウザ側のプロキシサーバー設定が使われます。
SGD Client との接続に関しては、SGD Client が Web ブラウザ側のプロキシサーバー設定を使用するか、プロファイル自身の設定を使用するかを、プロファイルで設定できるようになっています。SGD Client は常に、直近に使用したプロキシ設定をプロファイルキャッシュに保存しています。
注 SGD Client 接続用の SOCKS プロキシは、アレイルートを指定することによってのみ設定できます。
プロファイルで「デフォルトの Web ブラウザ設定を使用する」が有効になっていれば、ユーザーの Web ブラウザの設定をもとに、プロキシサーバーの設定を決めることになります。SGD Client が統合モードの場合は、プロファイルキャッシュに直近のプロキシサーバー設定があればそれを使い、なければユーザーのデフォルト Web ブラウザを起動してプロキシ設定を取得します。統合モードで、「セッション開始時にプロキシ設定を確立する」がプロファイルで有効になっていれば、SGD Client はそのたびにユーザーのデフォルト Web サーバーを起動します。
Web ブラウザ側の設定をもとにプロキシサーバー設定を決めるためには、Web ブラウザ側で Java™ テクノロジが有効になっている必要があります。Java テクノロジが使えない、あるいは Web ブラウザ側で無効にしている場合、プロファイルに手動でプロキシ設定を指定しなければなりません。
注 プロキシサーバー設定が Sun Java Plug-in 用の Java コントロールパネルで定義されていれば、Web ブラウザ側の設定の代わりにこの設定が使われます。
プロファイルで「手動プロキシ設定」が有効になっていれば、プロファイル自身にプロキシサーバー設定を指定できます。HTTP または SSL プロキシサーバーのいずれかを指定できます。
Web ブラウザ側の設定をもとにクライアントプロキシサーバー設定を決める場合は、自動設定スクリプトを使って自動的にプロキシ設定を行うことができます。
設定スクリプトの URL を、Web ブラウザの接続設定に指定します。自動設定スクリプトは JavaScript で記述する必要があります。ファイル拡張子は .pac
ですが、ファイル拡張子がなくてもかまいません。詳細については、「Netscape Proxy Auto-Config File Format」を参照してください。
注 この形式は、SGD がサポートしているすべての Web ブラウザで使用します。
プロキシサーバーの自動設定スクリプトには、接続しようとするプロキシサーバーのリストを指定できます。リストの最初のプロキシサーバーに接続できない場合は、ブラウザは接続できるサーバーが見つかるまでほかのプロキシサーバーに順番に接続しようとします。
Microsoft Internet Explorer と Sun Java Plug-in version 1.5.0 を同時に使用すると、リストの最初のプロキシサーバーのみが使用されます。そのプロキシサーバーを使用できない場合、接続は失敗します。この問題を解決するには、Sun Java Plug-in version 1.6.0 を使用します。
プロキシサーバーの例外リストを使用して、プロキシを使用しない接続を制御できます。プロキシ例外リストは、Web ブラウザ側の設定をもとにプロキシ設定を決める場合にのみ使えます。例外リストは、クライアントプロファイルでは設定できません。例外リストは Web ブラウザまたは Sun Java Plug-in で設定できます。
例外リストとは、DNS ホスト名をセミコロンで区切った次のようなリストのことです。
chicago.indigo-insurance.com;detroit.indigo-insurance.com;london.indigo-insurance.com
注 Mozilla ベースのブラウザでは、このリストはコンマ区切りのリストになります。
例外リストには、次のようにワイルドカード * を含めることができます。
*.indigo-insurance.com
例外リストでは、DNS ホスト名と IP アドレスの間の変換が実行されません。たとえば、例外リストが "*.indigo-insurance.com" の場合、"chicago.indigo-insurance.com" および "detroit.indigo-insurance.com" への接続時にはプロキシサーバーが使用されませんが、"192.168.5.20" および "192.168.5.30" (それぞれの IP アドレス) への接続時にはプロキシサーバーが使用されます。
ユーザーは、例外リストに次のエントリを入れる必要があります。
localhost; 127.0.0.1
アクティビティーが何も行なわれない接続については、プロキシサーバーが一定時間の経過後にその接続を停止する可能性があります。デフォルトでは、SGD がキープアライブパケットを 100 秒おきに送信して、接続が開いた状態で維持されます。
一定時間が経過したあとにアプリケーションの表示が消える場合は、キープアライブパケットの送信頻度を高くしてみてください。
SGD クライアントが SGD Web Server に接続する際、DNS 名とアレイルートを使い分けて接続するよう、SGD がクライアントに対して「指示」する旨の設定ができます。アレイルートとは、サーバー側 SOCKS プロキシサーバーのアドレスです。DNS 名とアレイルートは、クライアントの IP アドレスをもとに決まります。複数の DNS 名を使用するよう SGD サーバーを設定する方法については、「SGD と DNS 名」を参照してください。アレイルートを設定する方法については、後続のセクションを参照してください。
アレイルートは次のコマンドで設定します。
$ tarantella config edit --tarantella-config-array-netservice-proxy-routes route ...
各 route の形式は Client-IP-Pattern:type:host:port
です。
Client-IP-Pattern
には、次のいずれかを指定できます。
192.168.10.*
のように指定します。192.168.10.0/22
のように指定します。type
は接続タイプを表します。SOCKS version 5 による接続の場合は CTSOCKS
と指定します。プロキシサーバーを使用しないで直接接続するには、CTDIRECT
を使用します。
host
は接続先のプロキシサーバーの DNS 名または IP アドレス、port
は host 上の接続先ポートを表します。
アレイルートを引用符で囲み、各ルートをコンマで区切ります。次の例を参照してください。
ルートの順番は重要です。合致するクライアント IP パターンがいくつかある場合、使われるのは最初に合致したものです。
注 アレイルートの設定を変更した場合、それを反映させるためには、アレイに属するすべてのサーバーを再起動する必要があります。
SSL の処理に SGD ではなく外部 SSL アクセラレータを使用する場合は、route
を :ssl
とともに追加します。次の例を参照してください。これは、クライアントに対し、SOCKS 接続を続行する前にその接続で SSL を使用するように指示します。外部 SSL アクセラレータを使用する場合は、暗号化されない接続を受け入れるように SGD SSL デーモンを設定する必要もあります。設定手順は次のとおりです。
または、次のコマンドを実行します。
$ tarantella config edit --array --security-acceptplaintext 1
アレイルート設定の例を、次に示します。
"192.168.5.*:CTDIRECT:,192.168.10.*.*:CTSOCKS:taurus.indigo-insurance.com:8080,*:CTSOCKS:draco.indigo-insurance.com:8080:ssl"
この構成では、次のようになります。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.