5.5. スマートカード

このセクションでは、SGD 経由で表示される Windows アプリケーションのためにスマートカードを構成する方法について説明します。

このセクションの内容は、次のとおりです。

5.5.1. Windows アプリケーションでのスマートカードの使用

SGD では、ユーザーは Windows アプリケーションサーバー上で実行されているアプリケーションから、クライアントデバイスに接続されたスマートカードリーダーにアクセスできます。ユーザーは次の操作を行うことができます。

  • スマートカードを使用して、Windows アプリケーションサーバーにログインする。

  • Windows アプリケーションサーバー上で動作するアプリケーションを使用しながら、スマートカード上のデータにアクセスする。たとえば、証明書を使用して電子メールの署名や暗号化を行う。

SGD は、PC/SC (Personal Computer/Smart Card) に準拠した任意のスマートカードおよびリーダーで動作します。SGD で正常にテストされているスマートカードの詳細は、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

5.5.2. スマートカードへのアクセスを設定する

SGD 管理者は、SGD 経由で表示される Windows アプリケーションからスマートカードリーダーへのアクセスをユーザーに許可できます。スマートカードへのアクセスを設定するには、次の設定手順が必要です。

  1. アプリケーションサーバーでスマートカードサービスを有効にします。

    「Microsoft Windows アプリケーションサーバーをスマートカード用に設定する」を参照してください。

  2. SGD ユーザーのスマートカードへのアクセスを有効にします。

    「SGD でのスマートカードの有効化」を参照してください。

  3. クライアントデバイスでスマートカードリーダーを設定します。

    「クライアントデバイス上のスマートカードリーダーを設定する」を参照してください。

  4. スマートカードを使用してアプリケーションサーバーにログインします。

    「スマートカードを使用して Microsoft Windows アプリケーションサーバーにログインする方法」を参照してください。

5.5.3. Microsoft Windows アプリケーションサーバーをスマートカード用に設定する

Microsoft Windows アプリケーションサーバーをスマートカード用に設定するには、次の手順を実行します

  • Microsoft Windows Server ドメインにスマートカードを配備します。

    スマートカードを配備するときに必要な主な構成手順については、スマートカードの配備計画を参照してください。

  • Windows リモートデスクトップセッションホスト上でスマートカードデバイスのリダイレクトが有効になっていることを確認します。スマートカードデバイスのリダイレクトをサポートする Windows プラットフォームの詳細については、「SGD で使用するための Microsoft Windows リモートデスクトップサービス の構成」を参照してください。

  • SGD を導入する前に、スマートカードが機能していることを確認します。

5.5.3.1. アプリケーションサーバーの認証ダイアログの設定

Administration Console の「グローバル設定」 → 「アプリケーション認証」タブには、SGD スマートカードサービスを使用しているときの「アプリケーションサーバーの認証」ダイアログの動作を制御するいくつかの属性が含まれています。

「スマートカード認証」ボックスでは、スマートカードを使用してログインすることをユーザーに許可するか、またはユーザー名とパスワードを使用するログインのみを許可するかを制御します。

「常にスマートカードを使う」ボックスの属性を使用すると、スマートカードでログインするというユーザーの決定を、次回そのアプリケーションサーバーにログインするときのために記憶する (つまり、キャッシュする) かどうか、およびユーザーがこの設定を変更できるかどうかを制御できます。

注記

認証方式の選択や、スマートカードに関する決定をキャッシュするかどうかの選択は、「アプリケーションサーバーの認証」ダイアログにアクセスできる場合にのみ行うことができます。Shift キーを押しながらクリックする機能を無効にすると、「アプリケーションサーバーの認証」ダイアログへのユーザーアクセスが制限されます。「異なるユーザー名とパスワードでアプリケーションを起動できる場合」を参照してください。

5.5.4. SGD でのスマートカードの有効化

スマートカードへのユーザーアクセスをサポートするには、SGD を構成する必要があります。

SGD サーバー間のファイアウォールによって、スマートカードに必要な接続が妨げられる場合があります。「SGD サーバー間のファイアウォール」を参照してください。

5.5.4.1. SGD でスマートカードを有効にする方法

  1. SGD スマートカードサービスが有効になっていることを確認します。

    Administration Console で、「グローバル設定」 → 「クライアントデバイス」タブに移動し、「スマートカード」チェックボックスが選択されていることを確認します。

    スマートカードサービスは、デフォルトで有効に設定されています。

  2. スマートカード認証が有効になっていることを確認します。

    スマートカード認証は、デフォルトで有効に設定されています。

    Administration Console で、「グローバル設定」 → 「アプリケーション認証」タブに移動し、「スマートカード認証」チェックボックスが選択されていることを確認します。

    「グローバル設定」 → 「アプリケーション認証」タブには、「アプリケーションサーバーの認証」ダイアログにある「常にスマートカードを使う」チェックボックスの動作に影響を与えるほかの設定も含まれています。「アプリケーションサーバーの認証ダイアログの設定」を参照してください。

5.5.5. クライアントデバイス上のスマートカードリーダーを設定する

SGD は、PC/SC に準拠したカードおよびリーダーで動作します。詳細は、PC/SC Workgroup Web サイトを参照してください。

SGD でテストされたスマートカードは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

5.5.5.1. Microsoft Windows クライアントデバイス

Microsoft Windows クライアントデバイスでは、SGD 経由で実行されているリモートデスクトップサービスセッションからスマートカードを使用できるようにするには、そのクライアントデバイスにスマートカードリーダーと必要ないずれかのドライバをインストールする必要があります。

5.5.5.2. Linux プラットフォームおよび Oracle Solaris クライアントデバイス

Linux プラットフォームおよび Oracle Solaris クライアントデバイスでは、SGD がスマートカードリーダーと通信するには PCSC-Lite ライブラリをインストールする必要があります。PCSC-Lite は、UNIX および Linux プラットフォーム上の PC/SC フレームワークへのインタフェースを提供します。

Linux プラットフォームのクライアントデバイスの場合は、次の場所から PCSC-Lite を入手できます。

PCSC-Lite version 1.2.0 以降が必要です。

Oracle Solaris クライアントデバイスの場合は、次のパッケージで PCSC-Lite と互換性のあるライブラリが使用できます。

  • PC/SC Shim for SCF パッケージ (PCSCshim)

  • Sun Ray PC/SC Bypass パッケージ (SUNWsrcbp)

PC/SC Shim for SCF パッケージを適用すると、PC/SC アプリケーションを Solaris Card Framework (SCF) で使用できます。このパッケージは、Sun の内部リーダーおよび Sun Ray のリーダーで動作するようになっています。Version 1.1.1 以降が必要です。PC/SC Shim は、Oracle Solaris 10 に含まれています。その他の Solaris バージョンでは、PC/SC Shim は MUSCLE プロジェクトから入手できます。

Ray PC/SC Bypass パッケージには、Sun Ray リーダー用の PCSC-Lite インタフェースが用意されています。Sun Ray Software 用の最新のパッチおよび最新の SUNWsrcbp パッケージが揃っていることを確認してください。

SGD Client には、PCSC-Lite libpcsclite.so ライブラリファイルが必要です。これは通常 /usr/lib にインストールされますが、この場所は動的リンカーパスによって異なります。このファイルが動的リンカーパス以外の場所にインストールされている場合、または別のライブラリファイルを使用する場合は、TTA_LIB_PCSCLITE 環境変数を使用してその場所を指定してください。これは、ユーザーの環境またはログインスクリプトのどちらかで設定できます。

5.5.6. スマートカードを使用して Microsoft Windows アプリケーションサーバーにログインする方法

  1. SGD にログインします。

  2. Webtop 上のリンクをクリックして、Windows アプリケーションを起動します。

  3. 「アプリケーションサーバーの認証」ダイアログが表示されたら、「スマートカードを使用する」をクリックします。

  4. 常にスマートカードを使用してログインする場合は、「Always use smart card」ボックスをクリックします。

  5. 「Windows セキュリティー」ダイアログが表示されたら、スマートカードを挿入します。

  6. PIN の入力を要求されたら、PIN を入力します。

5.5.7. スマートカードのトラブルシューティング

Windows アプリケーションでスマートカードを使用するための SGD の構成については、「Windows アプリケーションでのスマートカードの使用」を参照してください。

ユーザーが Windows アプリケーションでスマートカードを使用できない場合は、次のチェックリストを使用して問題を解決してください。

Questions

  • 5.5.7.1: Windows リモートデスクトップセッションホスト上でスマートカードデバイスのリダイレクトが有効になっていますか。

  • 5.5.7.2: アレイ内のすべての SGD サーバーでスマートカードサービスが有効になっていますか。

  • 5.5.7.3: ユーザーセッションをホストしている SGD サーバーと、アプリケーションセッションをホストしている SGD サーバーの間にファイアウォールが存在しますか。

  • 5.5.7.4: クライアントデバイスが正しく設定されていますか。

  • 5.5.7.5: ログファイルに何かエラーメッセージが記録されていますか。

Questions and Answers

5.5.7.1: Windows リモートデスクトップセッションホスト上でスマートカードデバイスのリダイレクトが有効になっていますか。

スマートカードを使用できるのは、Windows リモートデスクトップセッションホスト上でスマートカードデバイスのリダイレクトが有効になっている場合だけです。スマートカードデバイスのリダイレクトをサポートする Windows プラットフォームの詳細については、「SGD で使用するための Microsoft Windows リモートデスクトップサービス の構成」を参照してください。

5.5.7.2: アレイ内のすべての SGD サーバーでスマートカードサービスが有効になっていますか。

Administration Console で、「グローバル設定」 → 「クライアントデバイス」タブに移動し、「スマートカード」チェックボックスが選択されていることを確認します。

Administration Console で、「グローバル設定」 → 「アプリケーション認証」タブに移動し、「スマートカード認証」チェックボックスが選択されていることを確認します。

5.5.7.3: ユーザーセッションをホストしている SGD サーバーと、アプリケーションセッションをホストしている SGD サーバーの間にファイアウォールが存在しますか。

SGD サーバー間のファイアウォールによって、スマートカードの接続が妨げられる場合があります。「SGD サーバー間のファイアウォール」を参照してください。

5.5.7.4: クライアントデバイスが正しく設定されていますか。

Microsoft Windows クライアントプラットフォーム上では、次の手順を実行します。

  • Windows の「デバイス マネージャ」のリストにスマートカードリーダーが含まれていることを確認します。

  • スマートカードサービスがクライアント上で動作していることを確認します。「スタート」メニュー → 「プログラム」 → 「管理ツール」 → 「サービス」の順にクリックします。

  • SGD Client がスマートカードリーダーとカードを検出したことを確認します。Windows のシステムトレーにある SGD のアイコンをマウスの右ボタンでクリックし、「接続情報」を選択します。「スマートカードリーダーのプロパティー」に、詳細が reader:ATR_string の形式で表示されます。ここで、reader はスマートカードリーダーの製造元とモデルです。ATR_string は、カードの識別に使用される ATR (Automatic Terminal Recognition) 16 進文字列です。

Linux プラットフォーム上では、次の手順を実行します。

  • PCSC デーモン pcscd が実行されていることを確認します。たとえば、次のコマンドを使用できます。

    # /sbin/service pcscd status
  • --debug stdout オプションを指定して、PCSC デーモンを再起動してみてください。スマートカードをリーダーに挿入して、リーダーおよびカードが検出されるかどうかを確認します。

Oracle Solaris プラットフォーム上では、次の手順を実行します。

  • PC/SC Shim for SCF パッケージを使用している場合は、OCF サーバー ocfserv が実行されていることを確認します。OCF サービスが動作していない場合は、次のコマンドを使用して OCF サーバーを有効にします。

    # svcadm enable svc:/network/rpc/ocfserv
  • Sun Ray PC/SC Bypass パッケージを使用している場合は、Sun Ray Software の構成を確認します。

5.5.7.5: ログファイルに何かエラーメッセージが記録されていますか。

スマートカードのデバイスアクセスデータやエラーメッセージは、SGD Client ログファイルに格納されます。このデータは、SGD Webtop の「詳細な診断」ページに表示されます。