1.3. プロキシサーバー

プロキシサーバーを介して SGD に接続できるようにするには、プロキシサーバーのアドレスとポート番号を使ってクライアントデバイスを構成することが必要となる場合があります。また、サーバー側プロキシサーバーに関する情報をクライアントに渡すよう、SGD を構成する必要がある場合もあります。

このセクションの内容は、次のとおりです。

1.3.1. サポートされているプロキシサーバー

サポートされているプロキシサーバーは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

1.3.2. クライアントプロキシ設定の設定

クライアントプロキシ設定を設定するには、HTTP 接続と AIP 接続の両方に対してプロキシ設定を設定する必要があります。設定方法の詳細は、後続のセクションを参照してください。

1.3.2.1. HTTP 接続

HTTP 接続とは、ユーザーのブラウザと SGD Web サーバー間の接続のことで、Webtop を表示する場合などに使用されます。これらの接続では、ブラウザ用に設定されたプロキシ設定が常に使用されます。

1.3.2.2. AIP 接続

AIP 接続とは、SGD Client と SGD サーバー間の接続のことで、アプリケーションを表示するために使用されます。これらの接続では、クライアントプロファイル内の設定によって、SGD Client がプロキシ設定をブラウザ側の設定またはクライアントプロファイル自身の設定のどちらをもとに決めるかが制御されます。

SGD Client は常に、直近に使用したプロキシ設定をクライアントプロファイルキャッシュに保存しています。詳細については、「プロファイルキャッシュについて」を参照してください。

注記

AIP 接続用の SOCKS プロキシは、アレイルートを指定することによってのみ設定できます。詳細は、「サーバー側のプロキシサーバーの設定」を参照してください。

1.3.2.2.1. ブラウザ側の設定をもとにプロキシ設定を決定する

クライアントプロファイルで「デフォルトの Web ブラウザ設定を使用する」チェックボックスが選択されている場合は、ユーザーのデフォルトブラウザ側の設定をもとにプロキシサーバー設定が決められます。SGD Client は、このプロキシ設定をクライアントデバイス上のプロファイルキャッシュに格納し、次回の起動時にこれらの設定を使用します。

クライアントプロファイルで「セッション開始時にプロキシ設定を確立する」が選択されている場合は、SGD Client が起動するたびに、ブラウザからプロキシ設定が取得されます。保存済みのプロキシ設定は使用されません。

ブラウザ側の設定をもとにプロキシ設定を決めるためには、ブラウザ側で Java テクノロジが有効になっている必要があります。Java テクノロジが使えない、あるいはブラウザ側で無効にしている場合は、クライアントプロファイルに手動でプロキシ設定を指定する必要があります。

注記

プロキシサーバー設定が Java Plug-in ツール用の Java コントロールパネルで定義されていれば、ブラウザ側の設定の代わりにこの設定が使われます。

1.3.2.2.2. クライアントプロファイルにプロキシ設定を指定する

クライアントプロファイルで「手動プロキシ設定」チェックボックスが選択されている場合は、クライアントプロファイル自身に HTTP または SSL プロキシサーバーを指定できます。

1.3.2.3. プロキシサーバーの自動設定スクリプトの使い方

ブラウザ側の設定をもとにクライアントプロキシサーバー設定を決める場合は、自動設定スクリプトを使って自動的にプロキシ設定を行うことができます。

設定スクリプトの URL をブラウザの接続設定に指定します。自動構成スクリプトは JavaScript プログラミング言語で記述する必要があり、ファイル拡張子は .pac ですが、ファイル拡張子がなくてもかまいません。詳細については、「Proxy Auto-Config File」を参照してください。

注記

この形式は、SGD がサポートしているすべてのブラウザで使用します。

1.3.2.4. プロキシサーバーの例外リスト

プロキシサーバーの例外リストを使用して、プロキシを使用しない接続を制御できます。プロキシ例外リストは、ブラウザ側の設定をもとにプロキシ設定を決める場合にのみ使えます。例外リストは、クライアントプロファイルでは設定できません。例外リストはブラウザまたは Java Plug-in ツールで構成できます。

例外リストとは、DNS ホスト名のリストのことです。Internet Explorer では、このリストはセミコロン区切りのリストになります。Mozilla ベースのブラウザのでは、このリストはコンマ区切りのリストになります。例外リストには、ワイルドカード * を含めることができます。

例外リストでは、DNS ホスト名と IP アドレスの間の変換が実行されません。たとえば、*.example.com という例外リストを使用した場合、chicago.example.com および detroit.example.com への接続ではプロキシサーバーが使用されませんが、これらのホストに IP アドレスを使用する接続ではプロキシサーバーが使用されます。

例外リストには、必ず次のエントリを含める必要があります。

localhost; 127.0.0.1

1.3.3. プロキシサーバーのタイムアウト

アクティビティーが何も行なわれない接続については、プロキシサーバーが一定時間の経過後にその接続を停止する可能性があります。デフォルトでは、SGD が AIP キープアライブパケットを 100 秒に 1 度送信して、接続が開いた状態で維持されます。

一定時間が経過したあとにアプリケーションの表示が消える場合は、AIP キープアライブパケットの送信頻度を高くしてみてください。

Administration Console で、「グローバル設定」 → 「通信」タブに移動し、「AIP keepalive の頻度」フィールドの値を減らします。または、次のコマンドを実行します。

$ tarantella config edit --sessions-aipkeepalive secs
注記

この属性への変更を有効にするには、アレイ内のすべての SGD サーバーを再起動する必要があります。

1.3.4. サーバー側のプロキシサーバーの設定

SGD Client がサーバー側の SOCKS version 5 プロキシサーバーを介して接続するように SGD を構成できます。実際に使用されるプロキシサーバーは、クライアントの IP アドレスをもとに決まります。これは、アレイルートとして知られています。

SGD Gateway を使用する場合は、SGD Gateway を経由しない、クライアントの接続にのみアレイルートが使用されます。

アレイルートは、クライアント IP アドレスをサーバー側のプロキシサーバーに適合させる 1 つ以上のフィルタを設定することによって設定します。各フィルタの形式は、Client-IP-Pattern:type:host:port です。

Client-IP-Pattern には、次のいずれかを指定できます。

  • 1 つ以上のクライアント IP アドレスに合致する正規表現。たとえば、192.168.10.* のように指定します。

  • 1 つ以上のクライアント IP アドレスに合致する、ビット数で表現されるサブネットマスク。たとえば、192.168.10.0/22 のように指定します。

type は接続タイプを表します。SOCKS version 5 による接続の場合は、CTSOCKS と指定します。プロキシサーバーを使用しないで直接接続する場合は、CTDIRECT と指定します。

host および port は、接続に使用するプロキシサーバーの DNS 名または IP アドレスと、ポートを表します。

SGD には複数のフィルタを構成できます。SGD は最初に合致する Client-IP-Pattern を使用するため、フィルタの順番は重要です。

SSL の処理に SGD ではなく外部 SSL アクセラレータを使用する場合は、アレイルートを :ssl とともに追加します (次の例を参照)。これは、SGD Client に対し、SOCKS 接続を続行する前にその接続で SSL を使用するように指示します。詳細については、「外部 SSL アクセラレータの使用」を参照してください。

注意

SGD がファイアウォール転送に対応するように構成されている場合は、SGD がクライアントデバイスの IP アドレスを決定できなくなるため、複数のアレイルートを使用できません。1 つのアレイルート (たとえば、*:CTSOCKS:taurus.example.com:8080) を構成できます。「ファイアウォール越え」を参照してください。

アレイルートの設定例を次に示します。

"192.168.5.*:CTDIRECT" \
"192.168.10.*.*:CTSOCKS:taurus.example.com:8080" \
"*:CTSOCKS:draco.example.com:8080:ssl"

この設定により、次の内容が適用されます。

  • IP アドレスが 192.168.5 で始まるクライアントは、直接接続が許可されます。

  • IP アドレスが 192.168.10 で始まるクライアントは、ポート 8080 上で SOCKS プロキシサーバー taurus.example.com を使って接続します。

  • それ以外のクライアントはすべて、ポート 8080 上で SOCKS プロキシサーバー draco.example.com を使って接続します。これらのクライアントは、SOCKS 接続で続行する前に SSL による接続も試みます。

1.3.4.1. アレイルートを設定する方法

アレイルートの設定は、コマンド行からのみ行うことができます。

アレイ内の SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) がないことを確認してください。

  1. アレイルートのフィルタを設定します。

    次のコマンドを使用します。

    $ tarantella config edit \
    --tarantella-config-array-netservice-proxy-routes routes
    

    各フィルタをスペースで区切り、二重引用符で囲みます (" ")。たとえば、"filter1" "filter2" "filter3" です。

    各フィルタの形式については、「サーバー側のプロキシサーバーの設定」を参照してください。

    フィルタの順番は重要です。最初に一致したエントリが使用されます。

  2. アレイ内のすべての SGD サーバーを再起動します。

    アレイルートの設定を変更した場合、それを反映させるためには、アレイに属するすべてのサーバーを再起動する必要があります。