2.2. SGD Gateway の構成タスク

このセクションでは、SGD Gateway で使用する接続を構成する手順について説明します。

説明する構成タスクは次のとおりです。

2.2.1. クライアントデバイスから SGD Gateway への接続

クライアントデバイスと SGD Gateway の間の接続を構成するには、次の構成タスクを行います。

  1. (オプション) SGD Gateway で使用するポートと接続を構成します。

    これらの構成は、SGD Gateway のインストール時に行います。

    これらの設定を変更する場合は、「SGD Gateway のポートと接続を構成する方法」を参照してください。

  2. (オプション) SGD Gateway に、クライアント接続用の SSL 証明書をインストールします。

    「クライアント接続用の SSL 証明書をクライアントキーストアにインストールする方法」を参照してください。

2.2.1.1. SGD Gateway のポートと接続を構成する方法

この手順を使用する必要があるのは、SGD Gateway のインストール時に行なった設定を変更する場合のみです。

  1. SGD Gateway ホストにスーパーユーザー (root) としてログインします。

  2. gateway config create コマンドを実行します。

    # /opt/SUNWsgdg/bin/gateway config create

    画面上の質問に回答して次の項目を構成します。

    • SGD Gateway ポート設定。SGD Gateway で着信接続に使用されるインタフェースとポートです。

    • ネットワークエントリポイント。クライアントデバイスが SGD Gateway に接続するために使用する IP アドレスまたは DNS 名、およびポートです。これは、SGD Gateway のアドレスと常に同じであるとは限りません。ネットワークの構成によっては、ロードバランサなどの外部デバイスのアドレスになることがあります。

    • セキュア接続。SGD Gateway とアレイ内の SGD サーバーとの接続をセキュリティー保護するかどうか。セキュア接続を使用するには、アレイ内の SGD サーバーがセキュアモードで稼働している必要があります。

  3. 接続とポートの設定を保存します。

    入力した設定を使用して SGD Gateway が構成されます。

2.2.1.2. クライアント接続用の SSL 証明書をクライアントキーストアにインストールする方法

SGD Gateway でクライアント接続に使用される SSL 証明書は、SGD Gateway SSL 証明書と呼ばれます。SSL 証明書はクライアントキーストア /opt/SUNWsgdg/proxy/etc/keystore.client に保存されます。

デフォルトでは、SGD Gateway は自己署名付き SGD Gateway SSL 証明書をクライアント接続に使用しますが、この自己署名付き SSL 証明書を認証局 (CA) によって署名された証明書で置き換えることができます。

次の手順では、CA によって署名された SSL 証明書があることを前提としています。

インストールする非公開鍵は Privacy Enhanced Mail (PEM) 形式で作成されている必要があります。

  1. SGD Gateway ホストにスーパーユーザー (root) としてログインします。

  2. SSL 証明書とそれに対応する非公開鍵を SGD Gateway ホストにコピーします。

  3. SSL 証明書と非公開鍵をクライアントキーストアにインポートします。

    gateway sslkey import コマンドを次のように使用します。

    # /opt/SUNWsgdg/bin/gateway sslkey import \
    --keyfile temp.key \
    --keyalg RSA \
    --certfile example.com.pem
    

    ここでは、証明書ファイル example.com.pem と、それに対応する RSA で符号化された非公開鍵 temp.key がクライアントキーストアにインポートされます。

    クライアントキーストア内の既存の自己署名付き SSL 証明書は上書きされます。

  4. (オプション) SGD Gateway を再起動します。

    注意

    この手順は、SGD Gateway の初期構成を実行しない場合にのみ使用してください。初期構成のこの段階で SGD Gateway を再起動すると、SGD Gateway の初期構成が完了していないため、エラーメッセージが表示されます。

    すでに構成済みで稼働している SGD Gateway の SSL 証明書を置き換える場合は、SGD Gateway を再起動します。

    注記

    SGD Gateway を再起動すると、SGD Gateway を介して実行されているユーザーセッションとアプリケーションセッションはすべて切断されます。

    SGD Gateway ホストで、次のコマンドを実行します。

    # /opt/SUNWsgdg/bin/gateway restart

2.2.2. SGD Gateway から SGD サーバーへの接続

SGD Gateway とアレイ内の SGD サーバーとの接続では、相互承認のために証明書が使用されます。これらの接続を構成するには、次の構成タスクを行います。

  1. SGD サーバーの証明書を SGD Gateway にインストールします。

    「SGD サーバーの証明書をインストールする方法」を参照してください。

  2. SGD Gateway の証明書を SGD アレイにインストールします。

    「SGD Gateway の証明書を SGD アレイにインストールする方法」を参照してください。

  3. SGD Gateway に対する SGD Client 接続を構成します。

    「SGD Client 接続を構成する方法」を参照してください。

2.2.2.1. SGD サーバーの証明書をインストールする方法

この手順を使用するには、アレイ内の SGD サーバーがセキュアモードで稼働している必要があります。

標準インストールでは、SGD サーバーはセキュア接続を使用するように自動的に構成されます。SGD サーバーに対してセキュリティーサービスを有効にする方法については、『オラクル Secure Global Desktop 管理者ガイド (リリース 4.7 用)』の、SGD サーバーへのセキュア接続に関する第 1 章を参照してください。

アレイ内の各 SGD サーバーで、次の手順を繰り返します。

  1. SGD ホスト上でスーパーユーザー (root) としてログインします。

  2. SGD サーバーから SGD Gateway キーストアディレクトリに CA 証明書をコピーします。

    SGD サーバーの CA 証明書は、SGD ホストの /opt/tarantella/var/info/certs/PeerCAcert.pem にあります。

    注記

    この CA 証明書は、SGD サーバーがアレイ内のセキュア通信に使用するものと同じです。

    SGD Gateway キーストアディレクトリは /opt/SUNWsgdg/proxy/etc です。

    CA 証明書をコピーするときは、ファイルの内容や証明書ファイルがあった SGD サーバーを特定できるように、証明書ファイルの名前を変更することをお勧めします。

  3. SGD サーバーから SGD Gateway キーストアディレクトリに SSL 証明書をコピーします。

    セキュアモードで稼働している SGD サーバーの SSL 証明書は、SGD ホストの /opt/tarantella/var/tsp/cert.pem にあります。

    SGD Gateway キーストアディレクトリは /opt/SUNWsgdg/proxy/etc です。

    SSL 証明書をコピーするときは、ファイルの内容や証明書ファイルがあった SGD サーバーを特定できるように、証明書ファイルの名前を変更することをお勧めします。

  4. SGD Gateway ホストにスーパーユーザー (root) としてログインします。

  5. SGD Gateway キーストアに証明書をインポートします。

    # /opt/SUNWsgdg/bin/gateway server add --server sgd-server1 \
    --certfile /opt/SUNWsgdg/proxy/etc/PeerCAcert.pem --url https://sgd1.example.com \
    --ssl-certfile /opt/SUNWsgdg/proxy/etc/cert.pem
    

    --server オプションは、証明書をキーストアに保存するときに使用する別名を定義します。この例では、CA 証明書は sgd-server1 という別名を使用して保存され、SSL 証明書は sgd-server1-ssl という別名を使用して保存されます。

    https://sgd1.example.com は、SGD Web サーバーの URL です。

  6. SGD Gateway を再起動します。

    注記

    SGD Gateway を再起動すると、SGD Gateway を介して実行されているユーザーセッションとアプリケーションセッションはすべて切断されます。

    SGD Gateway ホストで、次のコマンドを実行します。

    # /opt/SUNWsgdg/bin/gateway restart

2.2.2.2. SGD Gateway の証明書を SGD アレイにインストールする方法

各 SGD Gateway で、次の手順を繰り返します。

  1. SGD Gateway の証明書をエクスポートします。

    1. SGD Gateway ホストにスーパーユーザー (root) としてログインします。

    2. SGD Gateway キーストアから SGD Gateway の証明書をエクスポートします。

      gateway cert export コマンドを次のように使用します。

      # /opt/SUNWsgdg/bin/gateway cert export --certfile gateway1.pem
      

      証明書がファイル gateway1.pem にエクスポートされます。

    3. アレイのプライマリ SGD サーバーの /opt/tarantella/var/tsp ディレクトリに証明書をコピーします。

      証明書をエクスポートするときは、証明書ファイルがあった SGD Gateway を特定できるように、証明書ファイルの名前を変更することをお勧めします。

    4. Gateway の証明書でファイルへのアクセス権および所有権を変更します。

      # chmod 600 /opt/tarantella/var/tsp/gateway1.pem
      # chown ttasys:ttaserv /opt/tarantella/var/tsp/gateway1.pem
      
  2. SGD Gateway を SGD アレイに登録します。

    1. プライマリ SGD サーバーにスーパーユーザー (root) としてログインします。

    2. SGD Gateway の証明書をインポートします。

      # tarantella gateway add --name sgd-gateway1 \
      --certfile /opt/tarantella/var/tsp/gateway1.pem
      

      ここで、sgd-gateway1 は SGD が SGD Gateway の識別に使用する名前、gateway1.pem は SGD Gateway の証明書ファイル名です。

      複数の SGD Gateway を同時に登録するには、tarantella gateway add コマンドの --file オプションを使用します。詳細については、「tarantella gateway コマンド」を参照してください。

      tarantella gateway add を使用して行なった構成変更は、アレイ内のほかの SGD サーバーに複製されます。

2.2.2.3. SGD Client 接続を構成する方法

  1. SGD Gateway を使用する SGD Client 接続を構成します。

    プライマリ SGD サーバーで --security-gateway グローバル属性を設定して、どの SGD Client が SGD Gateway を使用できるかをクライアントの IP アドレスまたは DNS 名に基づいて定義します。

    単一の SGD Gateway gateway1.example.com の TCP ポート 443 を介してすべての SGD Client 接続をルーティングするように指定するには、次のコマンドを使用します。

    $ tarantella config edit --security-gateway \
    "*:sgdg:gateway1.example.com:443"
    

    外部ロードバランサ lb.example.com の TCP ポート 443 を介してすべての SGD Client 接続をルーティングするように指定するには、次のコマンドを使用します。

    $ tarantella config edit --security-gateway \
    "*:sgdg:lb.example.com:443"
    
    注記

    --security-gateway 属性に加えた変更は、アレイ内のすべての SGD サーバーに適用されます。変更が反映されるのは、新規ユーザーセッションだけです。

    --security-gateway 属性を使用して複数の SGD Client 接続フィルタを定義する方法については、「--security-gateway 属性」を参照してください。

2.2.3. クライアントデバイスからロードバランサへの接続

クライアントデバイスと外部ロードバランサの間の接続を構成するには、次の構成タスクを行います。

  1. クライアントデバイスからの接続を受け入れるようにロードバランサを構成します。

    この方法の詳細については、ロードバランサのドキュメントを参照してください。

  2. (オプション) SGD Gateway の SSL 証明書をロードバランサにインストールします。

    この方法の詳細については、ロードバランサのドキュメントを参照してください。

2.2.4. ロードバランサから SGD Gateway への接続

外部ロードバランサと SGD Gateway の間の接続を構成するには、次の構成タスクを行います。

  1. SGD Gateway で使用するポートと接続を構成します。

    「SGD Gateway のポートと接続を構成する方法」を参照してください。

  2. (オプション) SGD Gateway に、着信クライアント接続用の SSL 証明書をインストールします。

    「クライアント接続用の SSL 証明書をクライアントキーストアにインストールする方法」を参照してください。