1.4. ファイアウォール

ファイアウォールはネットワークのさまざまな箇所を保護するために使用でき、SGD が必要とする接続を許可するよう構成する必要があります。

このセクションの内容は、次のとおりです。

1.4.1. クライアントデバイスと SGD サーバーの間のファイアウォール

クライアントデバイスは、アレイ内のどの SGD サーバーに対しても HTTP 接続および AIP 接続を行える必要があります。これは、ユーザーの SGD セッションとユーザーのアプリケーションセッションが、異なる SGD サーバーでホストされる可能性があるからです。

次の表に、クライアントデバイスと SGD サーバー間の接続を可能にするために開く必要のあるポートを示します。

ソース

宛先

ポート

プロトコル

目的

クライアント

SGD Web サーバー

80

TCP

標準の暗号化されない HTTP 要求と HTTP 応答。

Webtop を表示するためと Web サービスに使用されます。

クライアント

SGD Web サーバー

443

TCP

安全性が高く、暗号化される HTTPS 要求と HTTPS 応答。

Webtop を表示するためと Web サービスに使用されます。

クライアント

SGD サーバー

3144

TCP

標準の暗号化されない AIP 接続。

制御、およびアプリケーションの表示を更新するために使用されます。

クライアント

SGD サーバー

5307

TCP

SSL を使用し、安全性が高く、暗号化される AIP 接続。

制御、およびアプリケーションの表示を更新するために使用されます。

TCP ポート 80 と 443 は、インターネットで HTTP と HTTPS に使用される標準ポートです。ポート 443 は、SGD Web サーバーで HTTPS が有効になっている場合にのみ使用されます。SGD Web サーバーで使用するポートは任意に構成できます。

SGD セキュリティーサービスが有効になっていて、HTTPS が使用されるセキュアモードでのデフォルトインストールでは、ファイアウォールでポート 443 と 5307 のみを開いてください。

接続がセキュリティー保護されない非セキュアモードのインストールでは、ファイアウォールでポート 80、3144、および 5307 を開く必要があります。これは、SGD Client では初期状態でセキュア接続がポート 5307 で確立されるためです。接続が確立されると、接続はポート 3144 の標準接続にダウングレードされます。これらのポートを開くことができないときに SGD を構成する方法については、「ファイアウォール越え」を参照してください。

ポート 3144 とポート 5307 は Internet Assigned Numbers Authority (IANA) に登録され、SGD 専用として予約されています。

1.4.2. SGD サーバー間のファイアウォール

ネットワークでは、アレイ内の SGD サーバー間にファイアウォールが存在する場合があります。たとえば、複数のオフィスにそれぞれ SGD サーバーが存在する場合などです。アレイ内の SGD サーバーは、アレイのほかのどのメンバーにも接続できる必要があります。

次の表に、SGD サーバー間の接続を可能にするために開く必要のあるポートを示します。

ソース

宛先

ポート

プロトコル

目的

SGD サーバー

別の SGD サーバー

515

TCP

tarantella print move コマンドを使用して SGD サーバー間で印刷ジョブを移動するときに使用されます。

SGD サーバー

別の SGD サーバー

1024 以上

TCP

Windows アプリケーションでオーディオ、スマートカード、およびシリアルポートをサポートするために使用されます。

SGD サーバー

別の SGD サーバー

5427

TCP

SGD サーバー間の接続に使用され、アレイを複製し、アレイ間で静的データと動的データを共有できます。

ポート 5427 は IANA に登録され、SGD 専用として予約されています。

Windows アプリケーションでオーディオ、スマートカード、またはシリアルポートのサポートを有効にしている場合は、ファイアウォールで TCP ポート 1024 以上での SGD サーバー間の接続が許可されている必要があります。これらの機能を管理するプロトコルエンジンはユーザーセッションをホストする SGD サーバーで実行され、これはアプリケーションセッションをホストする SGD サーバーと異なるサーバーである可能性があります。これらの機能を使用しない場合は、SGD でこれらのサポートを無効にすることをお勧めします。詳細については、次の節を参照してください。

1.4.3. SGD サーバーとアプリケーションサーバーの間のファイアウォール

SGD サーバーは、アプリケーションを実行するために、アプリケーションサーバーに接続できる必要があります。

SGD サーバーとアプリケーションサーバーの間の接続に使用されるポートは、アプリケーションのタイプ、およびアプリケーションサーバーへのログインに使用される接続方法によって決まります。ほかのポートは、アプリケーションの使用中にサポートを提供するために必要になります。

次の表に、SGD サーバーとアプリケーションサーバーの間の接続を可能にするために開く必要のあるポートを示します。

ソース

宛先

ポート

プロトコル

目的

SGD サーバー

アプリケーションサーバー

22

TCP

SSH を使用して X アプリケーションと文字型アプリケーションに接続するために使用されます。

SGD サーバー

アプリケーションサーバー

23

TCP

Telnet を使用して Windows アプリケーション、X アプリケーション、および文字型アプリケーションに接続するために使用されます。

アプリケーションサーバー

SGD サーバー

139

TCP

UNIX および Linux プラットフォームのクライアントドライブマッピングサービスで使用されます。クライアントドライブマッピングサービスが使用可能になっているか否かに関係なく、サーバーは起動時にこのポートにバインドされます。

アプリケーションサーバー

SGD サーバー

515

TCP

アプリケーションサーバーから SGD サーバーに印刷ジョブを送信するために使用されます。

SGD サーバー

アプリケーションサーバー

3389

TCP

Microsoft RDP プロトコルを使用する Windows アプリケーションに接続するために使用されます。

SGD サーバー

アプリケーションサーバー

3579

TCP

プライマリ SGD サーバーと、アプリケーションサーバーで実行される SGD 負荷分散サービスとの間の接続に使用されます。

アプリケーションサーバー

SGD サーバー

3579

UDP

アプリケーションサーバーで実行される SGD 負荷分散サービスと、プライマリ SGD サーバーとの間の接続に使用されます。

SGD サーバー

アプリケーションサーバー

5999

TCP

Wincenter プロトコルおよび Telnet 接続を使用するように構成された Windows アプリケーションに接続するために使用されます。Wincenter プロトコルのサポートは終了していますが、以前の Windows アプリケーションオブジェクトで使用されている可能性があります。

アプリケーションサーバー

SGD サーバー

6010 以上

TCP

X アプリケーションを SGD サーバー上のプロトコルエンジンに接続するために使用されます。

X アプリケーションの場合、ポート 6010 以上が使用されるのは、X アプリケーションの接続方法が Telnet の場合だけです。接続方法が SSH の場合、接続にはポート 22 が使用されます。X アプリケーションのオーディオを有効にした場合は、アプリケーションサーバーと SGD の間ですべてのポートを開いておく必要があります。これは、SGD オーディオデーモンがランダムなポートで SGD サーバーに接続するからです。これは、接続方法が SSH の場合にも当てはまります。詳細については、「オーディオ」を参照してください。

ポート 3579 は IANA に登録され、SGD 専用として予約されています。これらのポートを開く必要があるのは、SGD Advanced Load Management を使用する場合だけです。詳細については、「アプリケーションの負荷分散」を参照してください。

1.4.4. ほかのファイアウォール

認証サービスやディレクトリサービスが使用されている場合、SGD はこれらに接続する必要があります。

次の表に、SGD サーバーとほかのサービスの間の接続を可能にするために開く必要のあるポートを示します。

ソース

宛先

ポート

プロトコル

目的

SGD サーバー

Windows サーバー

88

TCP または UDP

Active Directory フォレストのユーザーを認証するために使用されます。

SGD サーバー

LDAP ディレクトリサーバー

389

TCP

LDAP (Lightweight Directory Access Protocol) ディレクトリを使用して、ユーザーの認証やユーザーへのアプリケーションの割り当てを行うために使用されます。

SGD サーバー

Windows サーバー

464

TCP または UDP

有効期限が切れたパスワードの変更をユーザーに許可するために使用されます。

SGD サーバー

LDAP ディレクトリサーバー

636

TCP

LDAP ディレクトリへのセキュリティー保護された接続 (LDAPS) を使用して、ユーザーの認証やユーザーへのアプリケーションの割り当てを行うために使用されます。

SecurID Authentication Manager

SGD サーバー

1024 -

65535

UDP

SecurID を使用してユーザーを認証するために使用されます。

SGD サーバー

Windows サーバー

3268

TCP

Active Directory フォレストのユーザーを認証するために使用されます。

SGD サーバー

Windows サーバー

3269

TCP

Active Directory フォレストのユーザーを認証するために使用されます。

SGD サーバー

SecurID Authentication Manager

5500

UDP

SecurID を使用してユーザーを認証するために使用されます。

ポート 88、464、3268、3269 が必要なのは、Active Directory 認証を使用する場合だけです。ポート 88 および 464 は、パケットサイズと Kerberos 設定に応じて、TCP または UDP プロトコルを使用できます。詳細は、「Kerberos 認証用の SGD の構成」を参照してください。ポート 3268 および 3269 は、Active Directory に対する SSL 通信にのみ使用されます。詳細については、「Active Directory への SSL 接続」を参照してください。

ポート 389 および 636 が必要なのは、LDAP ディレクトリを使用してユーザー識別情報を確立するか、アプリケーションをユーザーに割り当てる場合だけです。これは、次の認証メカニズムに当てはまります。

ポート 1024 - 65535 が必要なのは、SecurID 認証を使用する場合だけです。RSA SecurID Authentication Manager が Agent Host として動作する SGD サーバーと通信するためには、Master Authentication Manager および Slave Authentication Manager の IP アドレスからすべての Agent Host の IP アドレスまで、1024 - 65535 のすべてのポートを開いておく必要があります。詳細については、「SecurID 認証」を参照してください。

ポート 5500 が必要なのは、SecurID 認証を使用する場合だけです。RSA SecurID Authentication Manager が Agent Host として動作する SGD サーバーと通信するためには、Agent Host の IP アドレスから Master Authentication Manager および Slave Authentication Manager の IP アドレスまで、ポート 5500 を開いておく必要があります。