公開キー認証を使用するには、Oracle VDI Manager でユーザーディレクトリを設定する前に、Active Directory サーバーおよび Oracle VDI ホストで特定の設定をいくつか指定する必要があります。
Kerberos 認証で説明されている設定手順 1 ~ 5 に従います。「「Kerberos 認証の設定方法」」を参照してください。
Oracle VDI ホストごとにクライアント証明書を作成します。
クライアント証明書用の Oracle VDI
キーストアは
/etc/opt/SUNWvda/sslkeystore
にあり、パスワードは changeit
です。
クライアント証明書用のキーペア (非公開キーと公開キー) を生成します。
Oracle VDI ホストで、スーパーユーザー (root) としてログインし、Java keytool ユーティリティを使用して Oracle VDI キーストアにキーペアを生成します。
keytool -genkey -keyalg rsa \
-keystore /etc/opt/SUNWvda/sslkeystore \
-storepass changeit -keypass changeit \
-alias your_alias
クライアント証明書用の証明書署名要求 (Certificate Signing Request、CSR) を生成します。
Oracle VDI ホストで、keytool を使用して証明書要求を生成します。
keytool -certreq \ -keystore /etc/opt/SUNWvda/sslkeystore \ -storepass changeit -keypass changeit \ -aliasyour_alias
\ -filecertreq_file
エイリアスは、キーペアの生成時に使用したエイリアスと同じにしてください。エイリアスでは大文字と小文字が区別されます。
証明書を作成します。
Active Directory をホストしているサーバーに CSR ファイルをコピーします。
Internet Explorer で
"http://localhost/certsrv"
に移動します。
ログインします。
「Microsoft 証明書サービス」ページで、「証明書を要求する」をクリックします。
「証明書を要求する」ページで、「詳細な証明書要求」をクリックします。
「詳細な証明書要求」ページで、「Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する。」をクリックします。
「証明書要求を送信する」または「更新要求を送信する」ページで、「保存された要求」テキストボックスに CSR の内容を貼り付けるか、CSR ファイルを参照します。
「証明書テンプレート」リストから適切なテンプレートを選択します。(管理者を推奨)。
「送信」をクリックします。
「証明書が発行されました」ページで、Base 64 エンコードが選択されていることを確認し、「証明書チェーンをダウンロードする」をクリックします。
証明書ファイルを保存します。
Oracle VDI ホストに証明書をインポートします。
Oracle VDI ホストに証明書ファイルをコピーします。
Oracle VDI キーストアに証明書をインポートします。
keytool -import \ -keystore /etc/opt/SUNWvda/sslkeystore \ -storepass changeit -keypass changeit \ -trustcacerts -filecertificate_file
\ -aliasyour_alias
VDA サービスを再起動します。
# /opt/SUNWvda/sbin/vda-service restart
Oracle VDI Manager でユーザーディレクトリを設定します。
Oracle VDI Manager で、「設定」 → 「会社」を選択します。
「会社」テーブルで「新規」をクリックして、新規会社ウィザードを起動します。
Active Directory の種類を選択し、「次へ」をクリックします。
「公開キー認証」を選択します。
Active Directory のドメインを入力します。
例: my.company.com
次の手順では、Active Directory サーバーの SSL 証明書が表示されます。「次へ」をクリックして証明書を永久的に受け入れます。
「次へ」をクリックして指定した内容を確認したあと、設定を完了します。