Secure Global Desktop 4.40 管理者ガイド
> セキュリティー
> クライアントデバイスと SGD サーバー間の接続の保護
クライアントデバイスと SGD サーバー間の接続を保護する場合に、考慮に入れる必要のある接続を次に示します。
これらの接続を保護する方法については、後続のセクションを参照してください。
SGD を最初にインストールしたとき、SGD Client クライアントと SGD サーバー間の初期接続は保護されます。ただし、この接続は、ユーザーがログインしたあとに標準接続にダウングレードします。接続を恒久的に保護するには、SGD セキュリティーサービスを有効にする必要があります。次の手順を実行します。
X.509 証明書は、SGD サーバーが SGD Client にサーバー自体を識別させることを可能にします。
注 使用できる X.509 証明書のタイプに関する重要なセキュリティー上の注意事項があります。
次のコマンドを使用します。
# tarantella security start
SGD Client と SGD サーバー間のセキュア接続には、標準接続とは異なるポートが使用されます。セキュア接続にはデフォルトで TCP ポート 5307 が使用されますが、このポートは設定可能です。必要に応じ、このポートに対するネットワークトラフィックを許可するよう、ファイアウォールを設定してください。また、SGD をファイアウォール転送用に設定することで、SGD サーバーへのすべての接続が 1 つのポート (通常は TCP ポート 443) を使用するようにできます。
SGD セキュリティーサービスで保護されるのは、SGD Client と SGD サーバー間の接続だけです。Web ブラウザと SGD ホスト上の Web サーバー間の接続を保護するには、Web サーバーで HTTPS 接続を有効にする必要があります。この接続は、Webtop および SGD への認証に使用されます (SGD Client が Webtop モードで動作している場合)。デフォルトでは、SGD Web Server はセキュア Web サーバーとして設定され、SGD サーバーと同じセキュリティー証明書を使用します。
SGD Web Server へのセキュア接続を有効にするには、次の手順を実行します。
注 SGD Web Server 用に別個のX.509 証明書を使うこともできます。
次のコマンドを使用します。
# tarantella webserver restart --ssl
SGD サーバーアレイ内のすべての Web サーバーが、同一の HTTP または HTTPS ポートを使用する必要があります。同一 SGD アレイ内で HTTP Web サーバーと HTTPS Web サーバーを混在させることはできません。
Web サーバーとのセキュリティー保護された接続を有効にした場合、クライアントプロファイルの URL を HTTPS URL に再設定する必要があります。
SGD Client と SGD サーバー間でセキュア接続と標準接続のどちらを使用するかを決定するのに、接続定義が使用されます。接続タイプは、次の要因の影響を受けます。
注 SGD セキュリティーサービスがサーバー上で使用可能でない場合は、ユーザーの接続定義には関係なく、そのサーバーへのセキュア接続は使用できません。
デフォルトでは、接続定義の処理は有効になっています。無効の場合は、次の方法で有効にできます。
または、次のコマンドを実行します。
$ tarantella config edit --security-applyconnections 1
接続定義の処理が有効になっている場合は、接続定義を設定することで、標準接続を使用するユーザーとセキュア接続を使用するユーザーを決定できます。組織オブジェクト、組織単位オブジェクト、またはユーザープロファイルオブジェクト用の接続定義を設定できます。組織用の接続定義は、組織単位用の定義で上書きできます。組織単位用の定義は、ユーザープロファイル用の定義で上書きできます。デフォルトでは、Secure Global Desktop セキュリティーサービスが使用可能の場合、すべてのユーザーがセキュア接続を使用できます。
接続を定義する方法を次に示します。
「接続定義」テーブルに、組織階層内の親オブジェクトから継承した定義が表示されます。多数のユーザーの接続を一度に設定でき、管理が容易になるため、組織および組織単位オブジェクト用の接続定義を作成するのが最善です。
接続定義の順番は重要です。最初に一致したエントリが使用されます。固有の定義は、一般性の高い設定よりも前に配置するようにしてください。
コマンド行で、次のコマンドを使って接続定義を設定します。
$ tarantella object edit --name obj --conntype type_spec...
ここで、type_spec には、接続タイプを client:server:type
形式で指定します (例: 192.168.5.*:*:STD
)。標準接続には STD
を、セキュア接続には SSL
を使って接続を設定します。各 type_spec は「パイプ」文字 (|) で区切ります。
注 接続定義に *
または ?
ワイルドカードを含めることで、複数の DNS 名や IP アドレスに一致させることができます。
Mulan Rouge のユーザープロファイルオブジェクトは、次の接続定義を保持します。
クライアントデバイスのアドレス | SGD サーバーのアドレス | 接続タイプ |
---|---|---|
*.indigo-insurance.com | * | 標準 |
* | * | セキュア |
Mulan が、通常使用するクライアントデバイス fez.indigo-insurance.com から SGD にログインすると、リスト内の最初の接続定義が一致して、標準接続が確立されます。
Mulan が、indigo-insurance.com に所属しないクライアントデバイスから SGD にログインすると、リスト内の 2 番目の接続定義が一致して、セキュア接続が確立されます。
Mulan が接続定義を保持していない場合は、組織階層内の親オブジェクトの接続定義により、接続タイプが決定されます。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.