Secure Global Desktop 4.40 管理者ガイド
> セキュリティー
> Active Directory および LDAP ディレクトリサーバーへの接続の保護
SGD セキュリティーサービスを使って、Microsoft Active Directory を含む LDAP ディレクトリサーバーへの接続を保護できます。これらの接続は、次の認証機構で使用されます。
これらの接続を保護するには、次の手順を実行します。
手順については、「Active Directory 認証」または「LDAP 認証」を参照してください。サードパーティー認証については、「Web サーバー認証」を参照してください。
セキュア接続を使用するには、LDAP ディレクトリサーバーまたは Active Directory から提示される証明書を SGD が検証できるようにする必要があります。SGD で使用するすべての Active Directory または LDAP ディレクトリサーバーのルート証明書を、アレイ内のすべての SGD サーバー上の cacerts
ファイルにインポートする必要があります。詳細については、「ルート証明書のインポート」を参照してください。
詳細については、「Active Directory 認証で使用するクライアント証明書の作成」を参照してください。
SGD ホストにスーパーユーザー (root) としてログインします。
# tarantella security start tarantella restart
セキュア接続を使用するには、LDAP ディレクトリサーバーまたは Active Directory から提示される証明書を SGD が検証できるようにする必要があります。そのためには、SGD サーバーで使用される Java™ 2 Runtime Environment (JRE) のキーストア (cacerts
ファイル) にルート証明書 (認証局の証明書) をインポートする必要があります。
次のコマンドを使用します。
/opt/tarantella/bin/jre/bin/keytool -import \ -keystore /opt/tarantella/bin/jre/lib/security/cacerts \ -storepass changeit \ -file root_certificate_path \ -alias alias
次の点に留意してください。
keytool
アプリケーションの使用方法については、「Java 2 SDK Tools and Utilities documentation」を参照してください。-alias
オプションを使って、証明書を一意に識別します。cacerts
ファイルにルート証明書をインポートします。Microsoft Active Directory は、Windows 2000/2003 Server の証明書サービスを使って署名された有効なクライアント証明書を持っているサーバーからのセキュア接続だけを受け入れます。つまり、アレイ内の SGD サーバーごとにクライアント証明書を作成し、インストールする必要があります。
keytool
アプリケーションを使用して、サーバーのクライアント証明書を作成およびインストールします。詳細については、「Java 2 SDK Tools and Utilities documentation」を参照してください。
サーバーのクライアント証明書は、SGD 証明書ストア /opt/tarantella/var/info/certs/sslkeystore
に格納されます。
証明書ストアに対して証明書の追加または削除を行うときは、パスワードを入力する必要があります。sslkeystore
のパスワードは、SGD サーバーごとに固有で、/opt/tarantella/var/info/key
ファイル内にあります。-storepass
および -keypass
オプションの両方で、このパスワードを使用します。
SGD サーバーのクライアント証明書を作成してインストールするには、次の手順を実行します。
# /opt/tarantella/bin/jre/bin/keytool -genkey \ -keyalg rsa \ -keystore /opt/tarantella/var/info/certs/sslkeystore \ -storepass "$(cat /opt/tarantella/var/info/key)" \ -alias alias \ -keypass "$(cat /opt/tarantella/var/info/key)"
# /opt/tarantella/bin/jre/bin/keytool -certreq \ -keystore /opt/tarantella/var/info/certs/sslkeystore \ -storepass "$(cat /opt/tarantella/var/info/key)" \ -alias alias \ -keypass "$(cat /opt/tarantella/var/info/key)" \ -file path_to_CSR
キーペアの生成時に使用したエイリアスを指定してください。エイリアスの大文字と小文字は区別されません。
http://Windows_server/certsrv
に移動します。# /opt/tarantella/bin/jre/bin/keytool -import \ -file certificate_path \ -keystore /opt/tarantella/var/info/certs/sslkeystore \ -storepass "$(cat /opt/tarantella/var/info/key)" \ -alias alias \ -keypass "$(cat /opt/tarantella/var/info/key)"
Active Directory 認証の場合、アレイ内のすべての SGD サーバーにクライアント証明書をインストールしたら、ドメインコントローラ上で LDAP 署名を有効にする必要があります。たとえば、次の手順を実行します。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.