過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > セキュリティー > SGD でのプロキシサーバーの使用

SGD でのプロキシサーバーの使用

SGD でプロキシサーバーを使用するには、クライアント側に、SGD との接続に使うためには、プロキシサーバーのアドレスとポート番号を設定する必要があります。また、サーバー側プロキシサーバーの経由に関する情報をクライアントに渡すよう、SGD を設定する必要がある場合があります。

このページで説明する内容は、次のとおりです。

サポートされているプロキシサーバー

SGD でプロキシサーバーを使用するには、プロキシサーバーがトンネリングをサポートしている必要があります。HTTP、Secure (SSL)、または SOCKS version 5 プロキシサーバーを使用できます。

SOCKS version 5 プロキシサーバーの場合、「基本」および「無認証要求」認証方式が SGD でサポートされます。サーバー側の設定は必要ありません。

クライアントプロキシ設定

クライアントプロキシ設定に関しては、次の 2 つの接続を考慮する必要があります。

Web ブラウザと SGD Web Server を接続してたとえば Webtop を表示する場合、常に Web ブラウザ側のプロキシサーバー設定が使われます。

SGD Client との接続に関しては、SGD Client が Web ブラウザ側のプロキシサーバー設定を使用するか、プロファイル自身の設定を使用するかを、プロファイルで設定できるようになっています。SGD Client は常に、直近に使用したプロキシ設定をプロファイルキャッシュに保存しています。

SGD Client 接続用の SOCKS プロキシは、アレイルートを指定することによってのみ設定できます。

プロファイルで「デフォルトの Web ブラウザ設定を使用する」が有効になっていれば、ユーザーの Web ブラウザの設定をもとに、プロキシサーバーの設定を決めることになります。SGD Client が統合モードの場合は、プロファイルキャッシュに直近のプロキシサーバー設定があればそれを使い、なければユーザーのデフォルト Web ブラウザを起動してプロキシ設定を取得します。統合モードで、「セッション開始時にプロキシ設定を確立する」がプロファイルで有効になっていれば、SGD Client はそのたびにユーザーのデフォルト Web サーバーを起動します。

Web ブラウザ側の設定をもとにプロキシサーバー設定を決めるためには、Web ブラウザ側で Java™ テクノロジが有効になっている必要があります。Java テクノロジが使えない、あるいは Web ブラウザ側で無効にしている場合、プロファイルに手動でプロキシ設定を指定しなければなりません。

プロキシサーバー設定が Sun Java Plug-in 用の Java コントロールパネルで定義されていれば、Web ブラウザ側の設定の代わりにこの設定が使われます。

プロファイルで「手動プロキシ設定」が有効になっていれば、プロファイル自身にプロキシサーバー設定を指定できます。HTTP または SSL プロキシサーバーのいずれかを指定できます。

プロキシサーバーの自動設定スクリプトの使い方

Web ブラウザ側の設定をもとにクライアントプロキシサーバー設定を決める場合は、自動設定スクリプトを使って自動的にプロキシ設定を行うことができます。

設定スクリプトの URL を、Web ブラウザの接続設定に指定します。自動設定スクリプトは JavaScript で記述する必要があります。ファイル拡張子は .pac ですが、ファイル拡張子がなくてもかまいません。詳細については、「Netscape Proxy Auto-Config File Format」を参照してください。

この形式は、SGD がサポートしているすべての Web ブラウザで使用します。

自動設定スクリプトに関する既知の問題

プロキシサーバーの自動設定スクリプトには、接続しようとするプロキシサーバーのリストを指定できます。リストの最初のプロキシサーバーに接続できない場合は、ブラウザは接続できるサーバーが見つかるまでほかのプロキシサーバーに順番に接続しようとします。

Microsoft Internet Explorer と Sun Java Plug-in version 1.5.0 を同時に使用すると、リストの最初のプロキシサーバーのみが使用されます。そのプロキシサーバーを使用できない場合、接続は失敗します。この問題を解決するには、Sun Java Plug-in version 1.6.0 を使用します。

プロキシサーバーの例外リスト

プロキシサーバーの例外リストを使用して、プロキシを使用しない接続を制御できます。プロキシ例外リストは、Web ブラウザ側の設定をもとにプロキシ設定を決める場合にのみ使えます。例外リストは、クライアントプロファイルでは設定できません。例外リストは Web ブラウザまたは Sun Java Plug-in で設定できます。

例外リストとは、DNS ホスト名をセミコロンで区切った次のようなリストのことです。

過去のコマンド構文またはプログラムコードのスキップchicago.indigo-insurance.com;detroit.indigo-insurance.com;london.indigo-insurance.com

Mozilla ベースのブラウザでは、このリストはコンマ区切りのリストになります。

例外リストには、次のようにワイルドカード * を含めることができます。

過去のコマンド構文またはプログラムコードのスキップ*.indigo-insurance.com

例外リストでは、DNS ホスト名と IP アドレスの間の変換が実行されません。たとえば、例外リストが "*.indigo-insurance.com" の場合、"chicago.indigo-insurance.com" および "detroit.indigo-insurance.com" への接続時にはプロキシサーバーが使用されませんが、"192.168.5.20" および "192.168.5.30" (それぞれの IP アドレス) への接続時にはプロキシサーバーが使用されます。

ユーザーは、例外リストに次のエントリを入れる必要があります。

過去のコマンド構文またはプログラムコードのスキップlocalhost; 127.0.0.1

プロキシサーバーのタイムアウト

アクティビティーが何も行なわれない接続については、プロキシサーバーが一定時間の経過後にその接続を停止する可能性があります。デフォルトでは、SGD がキープアライブパケットを 100 秒おきに送信して、接続が開いた状態で維持されます。

一定時間が経過したあとにアプリケーションの表示が消える場合は、キープアライブパケットの送信頻度を高くしてみてください。

サーバー側プロキシサーバーの設定

SGD クライアントが SGD Web Server に接続する際、DNS 名とアレイルートを使い分けて接続するよう、SGD がクライアントに対して「指示」する旨の設定ができます。アレイルートとは、サーバー側 SOCKS プロキシサーバーのアドレスです。DNS 名とアレイルートは、クライアントの IP アドレスをもとに決まります。複数の DNS 名を使用するよう SGD サーバーを設定する方法については、「SGD と DNS 名」を参照してください。アレイルートを設定する方法については、後続のセクションを参照してください。

アレイルートの設定

アレイルートは次のコマンドで設定します。

過去のコマンド構文またはプログラムコードのスキップ$ tarantella config edit --tarantella-config-array-netservice-proxy-routes route ...

route の形式は Client-IP-Pattern:type:host:port です。

Client-IP-Pattern には、次のいずれかを指定できます。

type は接続タイプを表します。SOCKS version 5 による接続の場合は CTSOCKS と指定します。プロキシサーバーを使用しないで直接接続するには、CTDIRECT を使用します。

host は接続先のプロキシサーバーの DNS 名または IP アドレス、porthost 上の接続先ポートを表します。

アレイルートを引用符で囲み、各ルートをコンマで区切ります。次の例を参照してください。

ルートの順番は重要です。合致するクライアント IP パターンがいくつかある場合、使われるのは最初に合致したものです。

アレイルートの設定を変更した場合、それを反映させるためには、アレイに属するすべてのサーバーを再起動する必要があります。

SSL の処理に SGD ではなく外部 SSL アクセラレータを使用する場合は、route:ssl とともに追加します。次の例を参照してください。これは、クライアントに対し、SOCKS 接続を続行する前にその接続で SSL を使用するように指示します。外部 SSL アクセラレータを使用する場合は、暗号化されない接続を受け入れるように SGD SSL デーモンを設定する必要もあります。設定手順は次のとおりです。

  1. SGD Administration Console で、「Secure Global Desktop サーバー」タブをクリックして、SGD サーバーを選択します。
  2. 「セキュリティー」タブをクリックします。
  3. 「SSL アクセラセータのサポート」チェックボックスを選択します。
  4. 「保存」をクリックします。
  5. アレイ内の SGD サーバーごとに、これらの手順を繰り返します。

または、次のコマンドを実行します。

過去のコマンド構文またはプログラムコードのスキップ$ tarantella config edit --array --security-acceptplaintext 1

アレイルート設定の例を、次に示します。

過去のコマンド構文またはプログラムコードのスキップ"192.168.5.*:CTDIRECT:,192.168.10.*.*:CTSOCKS:taurus.indigo-insurance.com:8080,*:CTSOCKS:draco.indigo-insurance.com:8080:ssl"

この構成では、次のようになります。

関連トピック