4.6. 公開キー認証の設定方法

公開キー認証を使用するには、Oracle VDI Manager でユーザーディレクトリを設定する前に、Active Directory サーバーおよび Oracle VDI ホストで特定の設定をいくつか指定する必要があります。

手順

  1. Kerberos 認証で説明されている設定手順 1 ~ 5 に従います。「「Kerberos 認証の設定方法」」を参照してください。

  2. Oracle VDI ホストごとにクライアント証明書を作成します。

    クライアント証明書用の Oracle VDI キーストアは /etc/opt/SUNWvda/sslkeystore にあり、パスワードは changeit です。

    1. クライアント証明書用のキーペア (非公開キーと公開キー) を生成します。

      Oracle VDI ホストで、スーパーユーザー (root) としてログインし、Java keytool ユーティリティを使用して Oracle VDI キーストアにキーペアを生成します。

      keytool -genkey -keyalg rsa \
      -keystore /etc/opt/SUNWvda/sslkeystore \
      -storepass changeit -keypass changeit \
      -alias your_alias
      
    2. クライアント証明書用の証明書署名要求 (Certificate Signing Request、CSR) を生成します。

      Oracle VDI ホストで、keytool を使用して証明書要求を生成します。

      keytool -certreq \
      -keystore /etc/opt/SUNWvda/sslkeystore \
      -storepass changeit -keypass changeit \
      -alias your_alias \
      -file certreq_file
      

      エイリアスは、キーペアの生成時に使用したエイリアスと同じにしてください。エイリアスでは大文字と小文字が区別されます。

    3. 証明書を作成します。

      1. Active Directory をホストしているサーバーに CSR ファイルをコピーします。

      2. Internet Explorer で "http://localhost/certsrv" に移動します。

      3. ログインします。

      4. 「Microsoft 証明書サービス」ページで、「証明書を要求する」をクリックします。

      5. 証明書を要求する」ページで、「詳細な証明書要求」をクリックします。

      6. 詳細な証明書要求」ページで、「Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する。」をクリックします。

      7. 「証明書要求を送信する」または「更新要求を送信する」ページで、「保存された要求」テキストボックスに CSR の内容を貼り付けるか、CSR ファイルを参照します。

      8. 証明書テンプレート」リストから適切なテンプレートを選択します。(管理者を推奨)。

      9. 送信」をクリックします。

      10. 証明書が発行されました」ページで、Base 64 エンコードが選択されていることを確認し、「証明書チェーンをダウンロードする」をクリックします。

      11. 証明書ファイルを保存します。

    4. Oracle VDI ホストに証明書をインポートします。

      1. Oracle VDI ホストに証明書ファイルをコピーします。

      2. Oracle VDI キーストアに証明書をインポートします。

        keytool -import \
        -keystore /etc/opt/SUNWvda/sslkeystore \
        -storepass changeit -keypass changeit \
        -trustcacerts -file certificate_file \
        -alias your_alias
        
  3. VDA サービスを再起動します。

    # /opt/SUNWvda/sbin/vda-service restart
  4. Oracle VDI Manager でユーザーディレクトリを設定します。

    1. Oracle VDI Manager で、「設定」 → 「会社」を選択します。

    2. 「会社」テーブルで「新規」をクリックして、新規会社ウィザードを起動します。

    3. Active Directory の種類を選択し、「次へ」をクリックします。

    4. 公開キー認証」を選択します。

    5. Active Directory のドメインを入力します。

      例: my.company.com

    6. 次の手順では、Active Directory サーバーの SSL 証明書が表示されます。「次へ」をクリックして証明書を永久的に受け入れます。

    7. 次へ」をクリックして指定した内容を確認したあと、設定を完了します。