Oracle Secure Global Desktop Gateway 管理者ガイド ( バージョン 4.6 用)

Oracle

®

Secure Global Desktop

Gateway 管理者ガ イ ド ( バージ ョ ン 4.6 用 )

Please Recycle

Copyright © 2010 Oracle and/or its affiliates. All rights reserved.

こ の ソ フ ト ウ ェ アおよ び関連 ド キ ュ メ ン ト の使用 と 開示は、 ラ イ セン ス契約の制約条件に従 う も の と し 、 知的財産に関する 法律に よ り 保護 さ れてい ます。 ラ イ セン ス契約で明示的に許諾 さ れてい る場合 も し く は法律に よ っ て認め ら れてい る場合を除き、 形式、 手段に関係な く 、 いか な る 部分 も 使用、 複写、 複製、 翻訳、 放送、 修正、 ラ イ セン ス供与、 送信、 配布、 発表、 実行、 公開ま たは表示する こ と はで き ません。 こ の ソ フ ト ウ ェ アの リ バース ・ エン ジニア リ ン グ、 逆アセンブル、 逆コ ンパ イ ルは互換性のために法律に よ っ て規定 さ れてい る 場合を除き 、 禁止 さ れてい ます。 こ こ に記載 さ れた情報は予告な し に変更 さ れ る 場合があ り ます。 ま た、 誤 り が無い こ と の保証はいた し かねます。 誤 り を見つけた場合は、 オ ラ ク ル 社ま で ご連絡 く だ さ い。 こ のソ フ ト ウ ェ ア ま たは関連ド キ ュ メ ン ト を 、 米国政府機関も し く は米国政府機関に代わっ てこ のソ フ ト ウ ェ ア ま たは関連ド キ ュ メ ン ト を ラ イ セン ス さ れた者に提供する 場合は、 次の通知が適用さ れま す。

U.S. GOVERNMENT RIGHTS Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007). Oracle America, Inc., 500 Oracle Parkway, Redwood City, CA 94065.

こ の ソ フ ト ウ ェ ア も し く はハー ド ウ ェ アは様々な情報管理アプ リ ケーシ ョ ン での一般的な使用のために開発 さ れた も のです。 こ の ソ フ ト ウ ェ ア も し く はハー ド ウ ェ アは、 危険が伴 う アプ リ ケーシ ョ ン （人的傷害を発生 さ せる可能性があ る アプ リ ケーシ ョ ン を含む） への用途を目的 と し て開発 さ れ てい ません。 こ の ソ フ ト ウ ェ ア も し く はハー ド ウ ェ ア を危険が伴 う アプ リ ケーシ ョ ン で使用す る 際、 安全に使用す る ために、 適切な安全装置、 バ ッ ク ア ッ プ、 冗長性 （redundancy）、 その他の対策を講じ る こ と は使用者の責任 と な り ます。 こ の ソ フ ト ウ ェ ア も し く はハー ド ウ ェ ア を危険が伴 う ア プ リ ケーシ ョ ン で使用 し た こ と に起因 し て損害が発生 し て も 、 オ ラ ク ル社お よ びその関連会社は一切の責任を負いかねます。

Oracle と Java は Oracle Corporation およびその関連企業の登録商標です。 その他の名称は、 それぞれの所有者の商標ま たは登録商標です。

AMD、 Opteron、 AMD ロ ゴ 、 AMD Opteron ロ ゴ は、 Advanced Micro Devices, Inc. の商標ま たは登録商標です。 Intel、 Intel Xeon は、 Intel Corporation の商標ま たは登録商標です。 すべての SPARC の商標はラ イ セン ス を も と に使用し 、 SPARC International, Inc. の商標ま た は登録商標です。UNIX は X/Open Company, Ltd. から ラ イ セン ス さ れている 登録商標です。

こ の ソ フ ト ウ ェ ア ま たはハー ド ウ ェ ア、 そ し て ド キ ュ メ ン ト は、 第三者の コ ン テ ン ツ、 製品、 サービ スへのア ク セ ス、 あ る いはそれ ら に関す る情報を提供する こ と があ り ます。 オ ラ ク ル社およ びその関連会社は、 第三者の コ ン テ ン ツ、 製品、 サービ ス に関し て一切の責任を負わず、 いかな る保証 も いた し ません。 オ ラ ク ル社およ びその関連会社は、 第三者の コ ン テ ン ツ、 製品、 サービ スへのア ク セ ス ま たは使用に よ っ て損 失、 費用、 あ る いは損害が発生し て も 一切の責任を負いかねます。

目次

は じ めに _xi 1. SGD Gateway の イ ン ス ト ール 1 SGD Gateway について 1 シ ス テ ム要件 2 既知の問題 ₂ イ ン ス ト ールの実行 2 ▼ SGD Gateway の イ ン ス ト ール方法 3 SGD Gateway のア ッ プグ レー ド 5 ▼ SGD Gateway のア ッ プグ レー ド 方法 5 2. SGD Gateway の設定 7 SGD Gateway の配備 7 基本的な配備 7 負荷分散 さ れた配備 ₉ SGD Gateway の設定作業 12 ク ラ イ ア ン ト デバ イ ス か ら _{SGD Gateway への接続 12} ▼ SGD Gateway のポー ト と 接続を設定す る方法 12 ▼ ク ラ イ ア ン ト 接続用の _{SSL 証明書を ク ラ イ ア ン ト キース ト アに イ ン} ス ト ールす る 方法 ₁₃ SGD Gateway か ら SGD サーバーへの接続 14

▼ SGD サーバーの証明書を イ ン ス ト ールする方法 14 ▼ SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ールす る方法 16 ▼ SGD Client 接続を設定する方法 17 ク ラ イ ア ン ト デバ イ ス か ら ロ ー ド バ ラ ン サへの接続 ₁₇ ロ ー ド バ ラ ン サか ら SGD Gateway への接続 17 SGD Gateway の制御 18 SGD Gateway の起動 18 SGD Gateway の停止 18 SGD Gateway の再起動 19 SGD Gateway の削除 19 ▼ SGD Gateway の削除方法 19 A. SGD Gateway のアーキテ ク チ ャーの概要 21 SGD Gateway のアーキテ ク チ ャー 21 SGD Gateway の コ ンポーネン ト 25 ルーテ ィ ン グ ト ー ク ン について 25 SGD Gateway で使用 さ れ る キース ト ア 26 ルーテ ィ ン グプ ロ キ シ設定フ ァ イ ル 27 Apache Web サーバーの設定フ ァ イ ル 28 逆プ ロ キ シ と 負荷分散の設定 28 SGD Gateway で使用 さ れ る Apache モジ ュール 29 B. コ マ ン ド 行 リ フ ァ レ ン ス 31 gateway コ マン ド 31 形式 31 説明 ₃₂ 使用例 33 gateway start 33 形式 33

説明 33 使用例 ₃₃ gateway stop 33 形式 ₃₄ 説明 34 使用例 ₃₄ gateway restart 34 形式 ₃₄ 説明 34 使用例 ₃₄ gateway config 35 形式 ₃₅ 説明 35 使用例 ₃₅

gateway config create 35 形式 ₃₆

説明 36 使用例 ₃₆

gateway config list 37 形式 ₃₇

説明 37 使用例 ₃₈

gateway config edit 38 形式 ₃₈

説明 38 使用例 ₃₉

gateway config enable 39 形式 ₄₀

説明 40 使用例 ₄₀

gateway config disable 41 形式 ₄₁ 説明 41 使用例 ₄₂ gateway server 42 形式 ₄₂ 説明 42 使用例 ₄₂

gateway server add 42 形式 ₄₃

説明 43 使用例 ₄₄

gateway server remove 44 形式 ₄₄

説明 44 使用例 ₄₄

gateway server list 45 形式 ₄₅ 説明 45 使用例 ₄₅ gateway status 45 形式 ₄₅ 説明 45 使用例 ₄₆ gateway version 46 形式 ₄₆

説明 46 使用例 ₄₆ gateway sslcert 46 形式 ₄₇ 説明 47 使用例 ₄₇

gateway sslcert export 47 形式 ₄₇

説明 47 使用例 ₄₈

gateway sslcert print 48 形式 ₄₈ 説明 48 使用例 ₄₈ gateway sslkey 48 形式 ₄₉ 説明 49 使用例 ₄₉

gateway sslkey import 49 形式 ₅₀

説明 50 使用例 ₅₁

gateway sslkey export 51 形式 ₅₁

説明 51 使用例 ₅₂

gateway cert export 52 形式 ₅₂

説明 52 使用例 ₅₂

gateway key import 53 形式 ₅₃ 説明 53 使用例 ₅₄ gateway setup 54 形式 ₅₄ 説明 54 使用例 ₅₅ gateway uninstall 55 形式 ₅₅ 説明 55 使用例 ₅₅ tarantella gateway コ マン ド 55 形式 ₅₆ 説明 56 使用例 ₅₆

tarantella gateway add 57 形式 ₅₇

説明 57 使用例 ₅₇

tarantella gateway list 58 形式 ₅₈

説明 58 使用例 ₅₈

tarantella gateway remove 58 形式 ₅₈

説明 58 使用例 ₅₉ --security-gateway 属性 59 C. 詳細設定 63 SGD Gateway の調整 63 AIP 接続の最大数の変更 64 AIP 接続数の計算 64 HTTP 接続の最大数の変更 65 JVM の メ モ リ ーサ イ ズの変更 65 JVM の メ モ リ ーサ イ ズの計算 65 HTTP リ ダ イ レ ク ト の設定 66 SGD Gateway のバ イ ンデ ィ ン グポー ト の変更 66 SGD ア レ イ に対す る非暗号化接続の使用 67 外部 _{SSL ア ク セ ラ レー タ の使用 68} ▼ 外部 SSL ア ク セ ラ レー タ のサポー ト を有効にす る方法 68 SGD Gateway での ク ラ イ ア ン ト 証明書の使用法 69 ▼ ク ラ イ ア ン ト 証明書が使用 さ れ る よ う に SGD Gateway を設定する方法 69 Balancer Manager アプ リ ケーシ ョ ンの有効化 70 リ フ レ ク シ ョ ン サービ ス 71 リ フ レ ク シ ョ ン サービ ス の有効化 ₇₁ ▼ リ フ レ ク シ ョ ン サービ ス に対す る 無認証ア ク セ ス を有効にす る 方法 72 ▼ リ フ レ ク シ ョ ン サービ ス に対す る 認証ア ク セ ス を有効にす る 方法 ₇₃ リ フ レ ク シ ョ ン サービ ス の使用 74 RESTful Web サービ ス について 75 リ フ レ ク シ ョ ン サービ ス の使用例 76 D. SGD Gateway の ト ラ ブルシ ューテ ィ ン グ 79 ロ グ と 診断 79

SGD Gateway の ロ グについて 79 ロ グ レベルの変更 ₈₀ ロ グ フ ァ イ ルの場所 80 SGD Gateway のプ ロ セ ス情報の表示 81 コ マ ン ド 行か ら の設定の確認 81 SGD Gateway のエ ラ ー メ ッ セージ 82

は じ めに

『 _{Oracle Secure Global Desktop 4.6 Gateway} 管理者ガ イ ド _{』 には 、 Oracle Secure} Global Desktop Gateway (SGD Gateway) の イ ン ス ト ール 、 設定 、 お よび操作の手順 が記載 さ れてい ます 。 こ のマニ ュ アルはシ ス テ ム管理者向けに記述 さ れてい ます 。

内容の紹介

第 1 章では 、 SGD Gateway の イ ン ス ト ール方法について説明 し ます 。 第 2 章では 、 ネ ッ ト ワ ー ク に応 じ て SGD Gateway を設定する方法について説明 し ます 。 付録 _{A では 、 SGD Gateway のアーキテ ク チ ャーについて説明 し ます 。} 付録 _{B では 、 コ マン ド 行か ら SGD Gateway を設定お よび制御す る方法について} 説明 し ます 。 付録 _{C では 、 SGD Gateway の リ フ レ ク シ ョ ンサービ ス の設定方法 と 使用方法な ど 、} SGD Gateway の高度な設定について説明 し ます 。 付録 D では 、 SGD Gateway の問題の診断 と 解決に役立つ 、 ト ラ ブルシ ューテ ィ ン グ関連の情報について説明 し ます 。

UNIX コ マン ド の使用法

こ のマニ ュ アルには 、 シ ス テ ム のシ ャ ッ ト ダ ウ ン 、 シ ス テ ム のブー ト 、 デバ イ ス の設 定 と い っ た基本的な _UNIX® _{の コ マン ド や手順に関する情報は記載 さ れていない場合} があ り ます 。 こ の よ う な情報については 、 次のマニ ュ アルを参照 し て く だ さ い 。 ■ 使用 し てい る シ ス テ ム に付属 し てい る ソ フ ト ウ ェ アマニ ュ アル ■ Solaris™ オペレーテ ィ ン グシ ス テ ムのマニ ュ アル 。 次の場所か ら 入手で き ます 。 http://docs.sun.com ただ し 、 それぞれの SGD コ マン ド に関する情報は こ のマニ ュ アルに記載 さ れてい ます 。

シ ェ ルプ ロ ン プ ト

表記上の規則

注 - ブ ラ ウ ザの設定に よ っ て 、 文字の表示が異な り ます 。 文字が正 し く 表示 さ れない 場合は 、 使用 し てい る ブ ラ ウ ザの文字エ ン コ ーデ ィ ン グ を _{Unicode UTF-8 に変更 し} て く だ さ い 。 シ ェ ル プ ロ ン プ ト C シ ェル machine-name% C シ ェルスーパーユーザー machine-name# Bourne シ ェルお よび Korn シ ェ ル $ Bourne シ ェルお よび Korn シ ェ ルスーパーユーザー # 字体 意味 使用例 AaBbCc123 コ マ ン ド 名 、 フ ァ イ ル名 、 お よ びデ ィ レ ク ト リ 名を示 し ます 。 ま たは 、 画面上の コ ン ピ ュ ー タ 出力を示 し ます 。 .login フ ァ イ ルを編集 し ます 。 ls -a を使用 し てすべてのフ ァ イ ルを表 示 し ます 。

% You have mail.

AaBbCc123 ユーザーが入力す る 文字を 、 画 面上の コ ン ピ ュ ー タ 出力 と は区 別 し て示 し ます 。 % su Password: AaBbCc123 書名 、 新規語や新規用語 、 強調 す る 語句を示 し ます 。 コ マ ン ド 行の変数を示 し ます 。 実際に使 用す る 特定の名前 ま たは値で置 き 換え ます 。 『ユーザーガ イ ド』 の第 6 章を参照 し て く だ さ い 。 これらはク ラ スオプシ ョ ン と 呼ばれます 。 フ ァ イ ルを削除す る には 、 rm filename と 入力 し ます 。

関連マニ ュ アル

次の表は 、 こ の製品に関す る マニ ュ アルの一覧を示 し てい ます 。 オ ン ラ イ ン マニ ュ ア ルは 、 次のサ イ ト で参照で き ます 。 http://docs.sun.com/app/docs/coll/1706.5

マニ ュ アルの フ ィ ー ド バ ッ ク

こ のマニ ュ アルに関す る コ メ ン ト は 、 http://docs.sun.com で Feedback[+] リ ン ク を ク リ ッ ク し て送付 し て く だ さ い 。 フ ィ ー ド バ ッ ク には 、 次の よ う に 、 マニ ュ アル の タ イ ト ル と _{Part Number を含め る よ う に し て く だ さ い 。}

Oracle Secure Global Desktop 4.6 Gateway 管理者ガ イ ド 、 Part Number 821-2166 ア プ リ ケーシ ョ ン タ イ ト ル Part Number 形式 ロ ケーシ ョ ン

リ リ ー ス ノ ー ト Oracle Secure Global Desktop 4.6 Platform

Support and Release Notes 821-1928 HTML_PDF オ ン ラ イ ン_{DVD メ デ ィ アお よびオ}

ン ラ イ ン イ ン ス ト ール Oracle Secure Global Desktop 4.6 イ ン ス ト ール

ガ イ ド 821-2162 HTML PDF オ ン ラ イ ン DVD メ デ ィ アお よびオ ン ラ イ ン

管理 Oracle Secure Global Desktop 4.6 管理者ガ イ ド 821-2167 HTML PDF

オ ン ラ イ ン

ユーザー Oracle Secure Global Desktop 4.6 ユーザーガ イ ド

821-2157 HTML PDF

第

1 章

SGD Gateway の イ ン ス ト ール

こ の章では 、 Oracle Secure Global Desktop Gateway (SGD Gateway) の簡単な紹介 に続 き 、 _{SGD Gateway ソ フ ト ウ ェ アの イ ン ス ト ール方法について説明 し ます 。 こ の} 章では 、 _{SGD Gateway のシ ス テ ム要件の詳細について も 説明 し ます 。} こ の章の内容は 、 次の と お り です 。 ■ 1 ページの 「 SGD Gateway について 」 ■ 2 ページの 「 シ ス テ ム要件 」 ■ 2 ページの 「 イ ン ス ト ールの実行 」 ■ 5 ページの 「 SGD Gateway のア ッ プグ レー ド 」

SGD Gateway について

SGD Gateway は 、 非武装ゾーン (DMZ) で SGD ア レ イ の前に配備 さ れる よ う に設計 さ れたプ ロ キ シサーバーです 。 こ れに よ り 、 組織の内部ネ ッ ト ワ ー ク 上に SGD ア レ イ を配置で き る よ う にな り ます 。 ま た 、 ア レ イ 内の SGD サーバーに接続する前に 、 すべての接続を _{DMZ で認証で き ます 。} フ ァ イ ア ウ ォ ール越え _{( フ ァ イ ア ウ ォール転送 と も 呼ばれる ) を使用 し て SGD サー} バーを実行す る 代わ り に 、 _{SGD Gateway を使用で き ます 。} SGD Gateway はハ イ パーテキ ス ト 転送プ ロ ト コ ル (HTTP) 接続の負荷分散を管理す る ので 、 _{SGD に含まれてい る JavaServer Pages™ (JSP™) テ ク ノ ロ ジの負荷分散ペ} ージ を使用す る 必要はあ り ません 。

シ ス テ ム要件

SGD Gateway ホ ス ト でサポー ト さ れる イ ン ス ト ールプ ラ ッ ト フ ォームは 、

http://docs.sun.com/app/docs/doc/821-1928 で参照可能な 『 Oracle Secure Global Desktop 4.6 Platform Support and Release Notes 』 に一覧表示 さ れています 。 SGD Gateway と と も に使用 さ れる SGD サーバーには 、 次の要件が適用 さ れます 。

■ セ キ ュ アモー ド 。 デフ ォ ル ト では 、 SGD Gateway では SGD サーバーへのセキ

ュ ア接続が使用 さ れ ます 。 _{SGD サーバーでセキ ュ ア接続を有効にする必要があ り} ます 。 フ ァ イ ア ウ ォ ールの転送が無効にな っ てい る 必要があ り ます 。

SGD サーバーをセキ ュ リ テ ィ ー保護す る方法については 、 『 Oracle Secure Global Desktop 4.6 管理者ガ イ ド 』 の第 _{1 章の 「 Secure Connections to SGD Servers 」}

を参照 し て く だ さ い 。

■ 統合モー ド 。 SGD Client は 、 統合モー ド で SGD サーバーにア ク セ スす る よ う に

設定 し てはいけ ません 。

■ SGD のバージ ョ ン 。 SGD サーバーでは SGD version 4.5 以降が実行 さ れてい る必

要があ り ます 。 _{SGD version 4.6 で Gateway version 4.6 を使用する こ と をお勧め} し ます 。

■ ク ロ ッ ク の同期 。 SGD サーバー と SGD Gateway のシ ス テ ム ク ロ ッ ク が同期 し て

い る こ と が重要です 。 時間情報プ ロ ト コ ル (NTP) ソ フ ト ウ ェ ア ま たは rdate コ マ ン ド を使用 し て 、 ク ロ ッ ク が同期 し てい る こ と を確認 し て く だ さ い 。

SGD サーバーのシ ス テ ム要件については 、 『 Oracle Secure Global Desktop 4.6 Platform Support and Release Notes 』 を参照 し て く だ さ い 。

既知の問題

SGD Gateway の こ の リ リ ース で認識 さ れてい る問題の詳細については 、 『 Oracle Secure Global Desktop 4.6 Platform Support and Release Notes 』 を参照 し て く だ さ い 。

イ ン ス ト ールの実行

Solaris OS プ ラ ッ ト フ ォームでは 、 pkgadd コ マン ド を使用 し て SGD Gateway を イ ン ス ト ール し ます 。

Linux プ ラ ッ ト フ ォームでは 、 rpm コ マン ド を使用 し て SGD Gateway を イ ン ス ト ー ル し ます 。

デフ ォ ル ト では 、 SGD Gateway は /opt/SUNWsgdg デ ィ レ ク ト リ に イ ン ス ト ール さ れ ます 。 イ ン ス ト ールデ ィ レ ク ト リ は 、 次の よ う に し て変更で き ます 。 ■ Solaris OS プ ラ ッ ト フ ォーム – ソ フ ト ウ ェ アの イ ン ス ト ール時に 、 イ ン ス ト ール プ ロ グ ラ ム に よ っ て イ ン ス ト ールデ ィ レ ク ト リ の指定が求め ら れ ます 。 ■ Linux プ ラ ッ ト フ ォーム – ソ フ ト ウ ェ アの イ ン ス ト ール時に rpm コ マン ド に --prefix オプシ ョ ン を使用する こ と で 、 別の イ ン ス ト ールデ ィ レ ク ト リ を選択 で き ます 。

▼ SGD Gateway のイ ン ス ト ール方法

1. ホ ス ト 上の一時デ ィ レ ク ト リ に SGD Gateway パ ッ ケージ を保存 し ます 。 イ ン ス ト ール メ デ ィ アか ら イ ン ス ト ールす る 場合 、 パ ッ ケージは gateway デ ィ レ ク ト リ にあ り ます 。 ま たは 、 イ ン ス ト ールプ ロ グ ラ ム を _{SGD Web サーバー http://} server.example.com か ら ダ ウ ン ロー ド し ます 。 こ こ で 、 server.example.com は SGD サーバーの名前です 。 SGD Web サーバーの開始画面が表示 さ れた ら 、 「 Oracle Secure Global Desktop Gateway の イ ン ス ト ール 」 を ク リ ッ ク し ます 。

パ ッ ケージ フ ァ イ ルは次の と お り です 。

■ SUNWsgdg-version.sol-x86.pkg (x86 プ ラ ッ ト フ ォーム版 Solaris OS)

■ SUNWsgdg-version.sol-sparc.pkg (SPARC テ ク ノ ロ ジプ ラ ッ ト フ ォーム版 Solaris OS)

■ SUNWsgdg-version.i386.rpm (Linux プ ラ ッ ト フ ォーム ) こ こ で 、 _{version は SGD Gateway のバージ ョ ン番号です 。} 2. ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。 3. SGD Gateway を イ ン ス ト ール し ます 。 パ ッ ケージ フ ァ イ ルが圧縮 さ れてい る 場合 、 イ ン ス ト ール前に フ ァ イ ルを解凍す る 必要があ り ます 。 x86 プ ラ ッ ト フ ォーム版 Solaris OS に イ ン ス ト ールする場合 : SPARC テ ク ノ ロ ジプ ラ ッ ト フ ォーム版 Solaris OS に イ ン ス ト ールする場合 : # pkgadd -d /tempdir/SUNWsgdg-version.sol-x86.pkg # pkgadd -d /tempdir/SUNWsgdg-version.sol-sparc.pkg

注 - Solaris OS プ ラ ッ ト フ ォームでは 、 「 pwd: cannot determine current directory! 」 と いう エラ ーメ ッ セージ が表示さ れて イ ン ス ト ールが失敗し た 場合は 、 /tempdir デ ィ レ ク ト リ に移動 し て 、 イ ン ス ト ールを再度実行 し て く だ さ い 。 Linux プ ラ ッ ト フ ォームに イ ン ス ト ールする場合 : 4. SGD Gateway パ ッ ケージがパ ッ ケージデー タベース に登録 さ れてい る こ と を確 認 し ます 。 Solaris OS プ ラ ッ ト フ ォームの場合 : Linux プ ラ ッ ト フ ォームの場合 : 5. SGD Gateway のセ ッ ト ア ッ ププ ロ グ ラ ム を実行 し ます 。 SGD Gateway のセ ッ ト ア ッ ププ ロ グ ラ ムは次の設定を提示 し ます 。 ユーザーは 、 それを受け入れ る こ と も 変更す る こ と も で き ます 。 ■ SGD Gateway のポー ト 設定 。 SGD Gateway で着信接続に使用 さ れる イ ン タ フ ェ ー ス と ポー ト です 。 デフ ォ ル ト では 、 SGD Gateway はすべての イ ン タ フ ェ ー ス のポー ト _{443 で待機 し ます 。} ■ ネ ッ ト ワ ー ク エ ン ト リ ポ イ ン ト 。 ク ラ イ ア ン ト デバ イ ス が SGD Gateway に接 続す る ために使用す る イ ン タ ーネ ッ ト プ ロ ト コ ル _{(IP) ア ド レ ス ま たは ド メ イ ン} ネーム シ ス テ ム (DNS) 名 、 およびポー ト です 。 こ れは 、 SGD Gateway のア ド レ ス と 常に同 じ で あ る と は限 り ません 。 ネ ッ ト ワ ー ク の構成に よ っ ては 、 ロ ー ド バ ラ ン サな ど の外部デバ イ ス のア ド レ ス にな る こ と が あ り ます 。 た と えば 、 ユーザーが _{SGD Gateway gateway1.example.com に直接接続す} る 場合は 、 ネ ッ ト ワ ー ク エ ン ト リ ポ イ ン ト と し て gateway1.example.com:443 を入力 し ます 。 ユーザーが ロ ー ド バ ラ ン サ lb.example.com を介 し て SGD Gateway に接続 す る 場合は 、 ネ ッ ト ワ ー ク エ ン ト リ ポ イ ン ト と し て lb.example.com:443 を 入力 し ます 。 ■ セ キ ュ ア接続 。 SGD Gateway と ア レ イ内の SGD サーバー と の接続をセキ ュ リ テ ィ ー保護す る か ど う か 。 デフ ォ ル ト では 、 _{SGD Gateway はセキ ュ ア接続を} 使用 し ます 。 セ キ ュ ア続を使用す る には 、 ア レ イ 内の _{SGD サーバーがセキ ュ ア} モー ド で稼働 し てい る 必要が あ り ます 。 # rpm -Uvh /tempdir/SUNWsgdg-version.i386.rpm # pkginfo -x SUNWsgdg

# rpm -qa | grep -i SUNWsgdg

注 - こ れ ら の設定は 、 あ と で gateway config create コ マン ド を使用 し て変更で き ます 。 _{12 ページの 「 SGD Gateway のポー ト と 接続を設定する方法 」}を参照 し て く だ さ い 。 ソ フ ト ウ ェ ア を イ ン ス ト ール し た あ と 、 _{SGD Gateway の追加の設定を実行する必} 要があ り ます 。 実行す る 必要のあ る 作業の詳細については 、第 2 章を参照 し て く だ さ い 。

SGD Gateway のア ッ プグ レー ド

こ の節では 、 SGD Gateway のア ッ プグ レー ド 方法について説明 し ます 。 SGD Gateway を ア ッ プグ レー ド し て も 、 キース ト アやルーテ ィ ン グプ ロ キシ設定フ ァ イ ルな ど 、 元の設定は保持 さ れ ます 。 ア ッ プグ レー ド 後 、 _{SGD Gateway を再設定} す る 必要はあ り ません 。 ア ッ プグ レー ド ロ グは 、 /opt/SUNWsgdg/proxy/var/log/

upgrade_oldversion_newversion.log に作成 さ れます 。 こ こ で 、 oldversion は SGD Gateway の古いバージ ョ ンで 、 newversion は SGD Gateway のア ッ プグ レー ド さ れ たバージ ョ ン です 。 ア ッ プグ レー ド 時には 、 SGD Gateway の イ ン ス ト ールプ ロ グ ラ ムに よ っ て 、 検出 さ れて ア ッ プグ レー ド ロ グに一覧表示 さ れた 、 カ ス タ マ イ ズ済みの _{Apache Web サー} バーフ ァ イ ルがバ ッ ク ア ッ プ さ れ ます 。 こ れ ら の フ ァ イ ルは手動でア ッ プグ レー ド す る 必要があ り ます 。 diff _{な どのユーテ ィ リ テ ィ ーを使用 し て 、 フ ァ イ ルを比較 し た} り 、 加え ら れた変更を示 し た り す る こ と がで き ます 。

▼ SGD Gateway のア ッ プグ レ ード 方法

1. SSGD Gateway を介 し て実行 さ れてい る ユーザーセ ッ シ ョ ンやアプ リ ケーシ ョ ン セ ッ シ ョ ン がない こ と を確認 し ます 。 2. 新 し いバージ ョ ンの SGD Gateway を イ ン ス ト ール し ます 。 3 ページの 「 SGD Gateway の イ ン ス ト ール方法 」を参照 し て く だ さ い 。

第

2 章

SGD Gateway の設定

こ の章では 、 一般的な配備シナ リ オに対 し て Oracle Secure Global Desktop Gateway (SGD Gateway) を設定する方法について説明 し ます 。 SGD Gateway の起動 と 停止の 方法 、 お よ び _{SGD Gateway ソ フ ト ウ ェ アの削除方法について も 説明 し ます 。} こ の章の内容は 、 次の と お り です 。 ■ 7 ページの 「 SGD Gateway の配備 」 ■ 12 ページの 「 SGD Gateway の設定作業 」 ■ 18 ページの 「 SGD Gateway の制御 」 ■ 19 ページの 「 SGD Gateway の削除 」

SGD Gateway の配備

こ の節では 、 次に示す _{SGD Gateway の配備シナ リ オについて説明 し ます 。} ■ 7 ページの 「 基本的な配備 」 ■ 9 ページの 「 負荷分散 さ れた配備 」

基本的な配備

こ こ では 、 _{SGD Gateway の基本的な配備の設定作業について説明 し ます 。} 基本的な配備では 、 単一の _{SGD Gateway を}図2-1 の よ う に使用 し ます 。

基本的な配備を設定す る には 、表2-1 に示す接続の設定作業を行います 。

負荷分散 さ れた配備

こ こ では 、 _{SGD Gateway の負荷分散 さ れた配備の設定作業について説明 し ます 。} 負荷分散 さ れた配備では 、 複数の SGD Gateway と ネ ッ ト ワー ク エン ト リ ポ イ ン ト と な る ロ ー ド バ ラ ン サ を図2-2 の よ う に使用 し ます 。 表2-1 SGD Gateway の基本的な配備で使用する接続 接続 設定手順 ク ラ イ ア ン ト デバ イ ス か ら

SGD Gateway 1. SGD Gateway で使用する ポー ト と 接続を設定 し ます 。_{こ れ ら の設定は 、 SGD Gateway の イ ン ス ト ール時に行い ま し た 。}

SGD Gateway の設定を変更す る場合は 、 12 ページの 「 SGD Gateway のポ ー ト と 接続を設定す る 方法 」を参照 し て く だ さ い 。

2. SGD Gateway に 、 ク ラ イ ア ン ト 接続用の Secure Sockets Layer (SSL) 証明書 を イ ン ス ト ール し ます 。 13 ページの 「 ク ラ イ ア ン ト 接続用の SSL 証明書を ク ラ イ ア ン ト キース ト アに イ ン ス ト ールす る 方法 」を参照 し て く だ さ い 。 SGD Gateway か ら SGD サー バー 1. ア レ イ に対 し て SGD セキ ュ リ テ ィ ーサービ ス を有効に し ます 。 SGD サーバーはセキ ュ アモー ド で稼働 し てい る必要があ り ます 。 フ ァ イ ア ウ ォ ールの転送が無効にな っ てい る 必要が あ り ます 。

こ れを行 う 方法については 、 『 Oracle Secure Global Desktop 4.6 管理者ガ イ ド

』 の第 1 章の 「 Secure Connections to SGD Servers 」 を参照 し て く だ さ い 。 2. SGD Gateway に 、 SGD サーバーのセキ ュ リ テ ィ ー証明書を イ ン ス ト ール し ます 。 gateway server コ マン ド を使用 し て 、 ア レ イ内の SGD サーバーの CA 証 明書 と SSL 証明書を SGD Gateway キース ト アに イ ンポー ト し ます 。 14 ページの 「 SGD サーバーの証明書を イ ン ス ト ールする方法 」を参照 し て く だ さ い 。 3. SGD Gateway を使用する よ う にア レ イ内の SGD サーバーを設定 し ます 。 SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ール し 、 tarantella gateway add コ マン ド を使用 し て SGD Gateway を SGD ア レ イ に登録 し

ます 。

16 ページの 「 SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ールする方 法 」を参照 し て く だ さ い 。

4. どの SGD Client 接続で SGD Gateway を使用で き る かを設定 し ます 。

負荷分散 さ れた配備を設定す る には 、表2-1 に示す接続の設定作業を行います 。 表2-2 SGD Gateway の負荷分散 さ れた配備で使用する接続 接続 設定作業 ク ラ イ ア ン ト デバ イ ス か ら ロ ー ド バ ラ ン サ 1. ク ラ イ ア ン ト デバ イ ス か ら の着信接続を有効に し ます 。

通常 、 こ れには Transmission Control Protocol (TCP) ポー ト 443 を使用 し ます 。 こ の方法の詳細については 、 ロード バラ ンサのマニ ュ アルを参照し て く だ さ い 。 2. ( 省略可能 ) ロー ド バ ラ ンサに 、 SGD Gateway で ク ラ イ ア ン ト 接続に使用 さ れ る SSL 証明書を イ ン ス ト ール し ます 。 こ の方法の詳細については 、 ロ ー ド バ ラ ン サのマニ ュ アルを参照 し て く だ さ い 。 ロ ー ド バ ラ ン サか ら SGD Gateway 1. 接続を SGD Gateway に転送する よ う に ロー ド バ ラ ンサを設定 し ます 。_{こ の方法の詳細については 、 ロ ー ド バ ラ ン サのマニ ュ アルを参照 し て く だ} さ い 。 2. SGD Gateway で使用す る ポー ト と 接続を設定 し ます 。 ネ ッ ト ワ ー ク エ ン ト リ ポ イ ン ト を ロ ー ド バ ラ ン サのア ド レ ス に設定 し ます 。 こ れ ら の設定は 、 SGD Gateway の イ ン ス ト ール時に行い ま し た 。 SGD Gateway の設定を変更する場合は 、 12 ページの 「 SGD Gateway のポ ー ト と 接続を設定す る 方法 」を参照 し て く だ さ い 。 3. 各 SGD Gateway に 、 ク ラ イ ア ン ト 接続用の SSL 証明書を イ ン ス ト ール し ます 。 13 ページの 「 ク ラ イ ア ン ト 接続用の SSL 証明書を ク ラ イ ア ン ト キース ト ア に イ ン ス ト ールす る 方法 」を参照 し て く だ さ い 。 SGD Gateway か ら SGD サーバー 1. SGD ア レ イ に対 し て SGD セキ ュ リ テ ィ ーサービ ス を有効に し ます 。 SGD サーバーはセキ ュ アモー ド で稼働 し てい る必要があ り ます 。 フ ァ イ ア ウ ォ ールの転送が無効にな っ てい る 必要が あ り ます 。

こ れを行 う 方法については 、 『 Oracle Secure Global Desktop 4.6 管理者ガ イ ド 』 の第 1 章の 「 Secure Connections to SGD Servers 」 を参照し て く だ さ い 。 2. SGD Gateway に 、 SGD サーバーのセキ ュ リ テ ィ ー証明書を イ ン ス ト ール し ます 。 gateway server コ マン ド を使用 し て 、 ア レ イ内の SGD サーバーの CA 証明書 と SSL 証明書を SGD Gateway キース ト アに イ ンポー ト し ます 。 14 ページの 「 SGD サーバーの証明書を イ ン ス ト ールする方法 」を参照 し て く だ さ い 。 3. SGD Gateway を使用す る よ う にア レ イ内の SGD サーバーを設定 し ます 。 SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ール し 、 tarantella gateway add コ マン ド を使用 し て SGD Gateway を SGD ア レ イ に登録 し

ます 。

16 ページの 「 SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ールす る方 法 」を参照 し て く だ さ い 。

4. どの SGD Client 接続で SGD Gateway を使用で き る かを設定 し ます 。

SGD Gateway の設定作業

こ の節では 、 SGD Gateway で使用する接続を設定す る手順について説明 し ます 。 説明す る 設定作業は次の と お り です 。 ■ 12 ページの 「 ク ラ イ ア ン ト デバ イ ス か ら SGD Gateway への接続 」 ■ 14 ページの 「 SGD Gateway か ら SGD サーバーへの接続 」 ■ 17 ページの 「 ク ラ イ ア ン ト デバ イ ス か ら ロー ド バ ラ ンサへの接続 」 ■ 17 ページの 「 ロー ド バ ラ ンサか ら SGD Gateway への接続 」

ク ラ イ ア ン ト デバイ ス から

_{SGD Gateway への接続}

ク ラ イ ア ン ト デバ イ ス と _{SGD Gateway の間の接続を設定する には 、 次の設定作業を} 行い ます 。 1. ( 省略可能 ) SGD Gateway で使用する ポー ト と 接続を設定 し ます 。 こ れ ら の設定は 、 _{SGD Gateway の イ ン ス ト ール時に行います 。} こ れ ら の設定を変更す る 場合は 、 _{12 ページの 「 SGD Gateway のポー ト と 接続を} 設定す る 方法 」を参照 し て く だ さ い 。 2. ( 省略可能 ) SGD Gateway に 、 ク ラ イ ア ン ト 接続用の SSL 証明書を イ ン ス ト ール し ます 。 13 ページの 「 ク ラ イ ア ン ト 接続用の SSL 証明書を ク ラ イ ア ン ト キース ト アに イ ン ス ト ールす る 方法 」を参照 し て く だ さ い 。

▼ SGD Gateway のポー ト と 接続を設定す る方法

こ の手順を使用す る 必要があ る のは 、 _{SGD Gateway の イ ン ス ト ール時に行な っ た設} 定を変更す る 場合のみです 。 1. SGD Gateway ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。 2. gateway config create コ マン ド を実行 し ます 。

画面上の質問に回答 し て次の項目を設定 し ます 。

■ SGD Gateway のポー ト 設定 。 SGD Gateway で着信接続に使用 さ れる イ ン タ フ

ェ ー ス と ポー ト です 。

■ ネ ッ ト ワ ー ク エ ン ト リ ポ イ ン ト 。 ク ラ イ ア ン ト デバ イ ス が SGD Gateway に接 続す る ために使用す る イ ン タ ーネ ッ ト プ ロ ト コ ル _{(IP) ア ド レ ス ま たは ド メ イ ン} ネーム シ ス テ ム _{(DNS) 名 、 およびポー ト です 。 こ れは 、 SGD Gateway のア ド} レ ス と 常に同 じ で あ る と は限 り ません 。 ネ ッ ト ワ ー ク の構成に よ っ ては 、 ロ ー ド バ ラ ン サな ど の外部デバ イ ス のア ド レ ス にな る こ と が あ り ます 。 ■ セ キ ュ ア接続 。 SGD Gateway と ア レ イ内の SGD サーバー と の接続をセキ ュ リ テ ィ ー保護す る か ど う か 。 セ キ ュ ア接続を使用す る には 、 ア レ イ 内の _{SGD サー} バーがセ キ ュ アモー ド で稼働 し てい る 必要があ り ます 。 3. 接続 と ポー ト の設定を保存 し ます 。 入力 し た設定を使用 し て _{SGD Gateway が設定 さ れます 。}

▼ ク ラ イ ア ン ト 接続用の SSL 証明書を ク ラ イ ア ン ト キース

ト ア に イ ン ス ト ールす る 方法

SGD Gateway で ク ラ イ ア ン ト 接続に使用 さ れる SSL 証明書は 、 SGD Gateway SSL 証明書 と 呼ばれ ます 。 _{SSL 証明書は ク ラ イ ア ン ト キース ト ア} /opt/SUNWsgdg/proxy/etc/keystore.client に保存 さ れます 。 デフ ォ ル ト では 、 SGD Gateway は自己 署 名付 き SGD Gateway SSL 証明書を ク ラ イ ア ン ト 接続に使用 し ますが 、 こ の自己 署 名付 き _{SSL 証明書を認証局 (CA) に よ っ} て 署 名 さ れた証明書で置 き 換え る こ と がで き ます 。 次の手順では、 _{CA によ っ て 署 名さ れた SSL 証明書がある こ と を 前提と し ていま す。} イ ン ス ト ールす る 非公開鍵は Privacy Enhanced Mail (PEM) 形式で作成 さ れてい る必 要があ り ます 。

1. SGD Gateway ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。 2. SSL 証明書 と それに対応する非公開鍵を SGD Gateway ホ ス ト に コ ピー し ます 。 3. SSL 証明書 と 非公開鍵を ク ラ イ ア ン ト キース ト アに イ ン ポー ト し ます 。

gateway sslkey import コ マン ド を次の よ う に使用 し ます 。

こ こ では 、 証明書フ ァ イ ル _{example.com.pem と 、 それに対応する RSA で符号化 さ} れた非公開鍵 _{temp.key が ク ラ イ ア ン ト キース ト アに イ ンポー ト さ れます 。} ク ラ イ ア ン ト キー ス ト ア内の既存の自己 署 名付 き SSL 証明書は上書き さ れます 。 4. ( 省略可能 ) SGD Gateway を再起動 し ます 。

# /opt/SUNWsgdg/bin/gateway sslkey import \ --keyfile temp.key \

--keyalg RSA \

注意 - こ の手順は 、 SGD Gateway の初期設定を実行 し ない場合にのみ使用 し て く だ さ い 。 初期設定の こ の段階で _{SGD Gateway を再起動する と 、 SGD Gateway の初期} 設定が完了 し ていないため 、 エ ラ ー メ ッ セージが表示 さ れ ます 。 すでに設定済みで稼働し ている _{SGD Gateway の SSL 証明書を 置き 換える 場合は、} SGD Gateway を再起動 し ます 。 注 - SGD Gateway を再起動する と 、 SGD Gateway を介 し て実行 さ れてい る ユーザ ーセ ッ シ ョ ン と アプ リ ケーシ ョ ン セ ッ シ ョ ンはすべて切断 さ れ ます 。 SGD Gateway ホ ス ト で 、 次の コ マン ド を実行 し ます 。

SGD Gateway か ら SGD サーバーへの接続

SGD Gateway と ア レ イ内の SGD サーバー と の接続では 、 相互承認のために証明書 が使用 さ れ ます 。 こ れ ら の接続を設定す る には 、 次の設定作業を行い ます 。 1. SGD サーバーの証明書を SGD Gateway に イ ン ス ト ール し ます 。 14 ページの 「 SGD サーバーの証明書を イ ン ス ト ールする方法 」を 参照し てく ださ い。 2. SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ール し ます 。 16 ページの 「 SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ールする方法 」 を参照 し て く だ さ い 。 3. SGD Gateway に対する SGD Client 接続を設定 し ます 。 17 ページの 「 SGD Client 接続を設定する方法 」 を参照 し て く だ さ い 。

▼ SGD サーバーの証明書を イ ン ス ト ールす る方法

こ の手順を使用す る には 、 ア レ イ 内の _{SGD サーバーがセキ ュ アモー ド で稼働 し てい} る 必要が あ り ます 。 SGD サーバーに対 し てセキ ュ リ テ ィ ーサービ ス を有効にする方法については 、 『 Oracle Secure Global Desktop 4.6 管理者ガ イ ド 』 の第 1 章の 「 Secure Connections to SGD Servers 」 を参照 し て く だ さ い 。

ア レ イ 内の各 _{SGD サーバーで 、 次の手順を繰 り 返 し ます 。} 1. SGD ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。

2. SGD サーバーか ら SGD Gateway キース ト アデ ィ レ ク ト リ に CA 証明書を コ ピー し ます 。 SGD サーバーの CA 証明書は 、 SGD ホ ス ト の /opt/tarantella/var/info/certs/PeerCAcert.pem にあ り ます 。 注 - こ の CA 証明書は 、 SGD サーバーがア レ イ内のセキ ュ ア通信に使用する も の と 同 じ です 。 SGD Gateway キース ト アデ ィ レ ク ト リ は /opt/SUNWsgdg/proxy/etc です 。 CA 証明書を コ ピーす る と き は 、 フ ァ イ ルの内容や証明書フ ァ イ ルがあ っ た SGD サーバーを特定で き る よ う に 、 証明書フ ァ イ ルの名前を変更す る こ と をお勧め し ます 。 3. SGD サーバーか ら SGD Gateway キース ト アデ ィ レ ク ト リ に SSL 証明書を コ ピ ー し ます 。 セ キ ュ アモー ド で稼働 し てい る SGD サーバーの SSL 証明書は 、 SGD ホ ス ト の /opt/tarantella/var/tsp/cert.pem にあ り ます 。 SGD Gateway キース ト アデ ィ レ ク ト リ は /opt/SUNWsgdg/proxy/etc です 。 SSL 証明書を コ ピーする と き は 、 フ ァ イ ルの内容や証明書フ ァ イ ルがあ っ た SGD サーバーを特定で き る よ う に 、 証明書フ ァ イ ルの名前を変更す る こ と をお勧め し ます 。 4. SGD Gateway ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。 5. SGD Gateway キース ト アに証明書を イ ン ポー ト し ます 。 --server オプシ ョ ンは 、 証明書を キース ト アに保存す る と き に使用する別名を 定義 し ます 。 こ の例では 、 _{CA 証明書は sgd-server1 と い う 別名で保存 さ れ 、} SSL 証明書は sgd-server1-ssl と い う 別名で保存 さ れます 。

https://sgd1.example.com は SGD Web サーバーの URL (Uniform Resource Locator) です 。

6. SGD Gateway を再起動 し ます 。

注 - SGD Gateway を再起動する と 、 SGD Gateway を介 し て実行 さ れてい る ユーザ ーセ ッ シ ョ ン と アプ リ ケーシ ョ ン セ ッ シ ョ ンはすべて切断 さ れ ます 。

SGD Gateway ホ ス ト で 、 次の コ マン ド を実行 し ます 。

# /opt/SUNWsgdg/bin/gateway server add --server sgd-server1 \

--certfile /opt/SUNWsgdg/proxy/etc/PeerCAcert.pem --url https://sgd1.example.com \ --ssl-certfile /opt/SUNWsgdg/proxy/etc/cert.pem

▼ SGD Gateway の証明書を SGD ア レ イ に イ ン ス ト ールす

る 方法

各 SGD Gateway で 、 次の手順を繰 り 返 し ます 。 1. SGD Gateway の証明書をエ ク ス ポー ト し ます 。 a. SGD Gateway ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。 b. SGD Gateway キース ト アか ら SGD Gateway の証明書をエ ク スポー ト し ます 。

gateway cert export コ マン ド を次の よ う に使用 し ます 。

証明書が フ ァ イ ル _{gateway1.pem にエ ク ス ポー ト さ れます 。} c. ア レ イ のプ ラ イ マ リ SGD サーバーの /opt/tarantella/var/tsp デ ィ レ ク ト リ に証明書を コ ピー し ます 。 証明書を エ ク ス ポー ト す る と き は 、 証明書フ ァ イ ルがあ っ た _{SGD Gateway を} 特定で き る よ う に 、 証明書フ ァ イ ルの名前を変更す る こ と をお勧め し ます 。 d. Gateway の証明書でフ ァ イ ルへのア ク セ ス権を変更 し ます 。 2. SGD Gateway を SGD ア レ イ に登録 し ます 。 a. プ ラ イ マ リ SGD サーバーに スーパーユーザー (root) と し て ロ グ イ ン し ます 。 b. SGD Gateway の証明書を イ ンポー ト し ます 。 こ こ で 、 _{sgd-gateway1 は SGD が SGD Gateway の識別に使用する名前 、} gateway1.pem は SGD Gateway の証明書フ ァ イ ル名です 。

複数の SGD Gateway を同時に登録する には 、 tarantella gateway add コ マ ン ド の --file オプシ ョ ン を使用 し ます 。 詳細については 、

55 ページの 「 tarantella gateway コ マン ド 」を参照 し て く だ さ い 。 tarantella gateway add を使用 し て行な っ た設定変更は 、 ア レ イ内のほか の SGD サーバーに複製 さ れます 。

# /opt/SUNWsgdg/bin/gateway cert export --certfile gateway1.pem

# chmod 644 /opt/tarantella/var/tsp/gateway1.pem

# tarantella gateway add --name sgd-gateway1 \ --certfile /opt/tarantella/var/tsp/gateway1.pem

▼ SGD Client 接続を設定す る方法

● SGD Gateway を使用する SGD Client 接続を設定 し ます 。 プ ラ イ マ リ _{SGD サーバーで --security-gateway グ ローバル属性を設定 し て 、} ど の _{SGD Client が SGD Gateway を使用で き る かを ク ラ イ ア ン ト の IP ア ド レ ス} ま たは _{DNS 名に基づいて定義 し ます 。} 単一の SGD Gateway gateway1.example.com の TCP ポー ト 443 を介 し てすべ ての _{SGD Client 接続をルーテ ィ ン グする よ う に指定する には 、 次の コ マン ド を使} 用 し ます 。 外部 ロ ー ド バ ラ ン サ _{lb.example.com の TCP ポー ト 443 を介 し てすべての SGD} Client 接続をルーテ ィ ングする よ う に指定するには 、 次のコ マン ド を使用し ます 。 注 - --security-gateway 属性に加えた変更は 、 ア レ イ内のすべての SGD サーバ ーに適用 さ れ ます 。 変更が反映 さ れ る のは 、 新規ユーザーセ ッ シ ョ ン だけです 。 --security-gateway 属性を使用 し て複数の SGD Client 接続フ ィ ル タ を定義す る 方法については 、 59 ページの 「 --security-gateway 属性 」を参照 し て く だ さ い 。

ク ラ イ アン ト デバイ ス から ロ ード バラ ン サへの接続

ク ラ イ ア ン ト デバ イ ス と 外部 ロ ー ド バ ラ ン サの間の接続を設定す る には 、 次の設定作 業を行い ます 。 1. ク ラ イ アント デバイ ス から の接続を 受け入れる よ う にロ ード バラ ンサを 設定し ま す。 こ の方法の詳細については 、 ロ ー ド バ ラ ンサのマニ ュ アルを参照 し て く だ さ い 。 2. ( 省略可能 ) SGD Gateway の SSL 証明書を ロ ード バラ ンサにイ ンス ト ールし ま す。 こ の方法の詳細については 、 ロ ー ド バ ラ ンサのマニ ュ アルを参照 し て く だ さ い 。

ロ ー ド バ ラ ン サか ら

_{SGD Gateway への接続}

外部 ロ ー ド バ ラ ン サ と SGD Gateway の間の接続を設定する には 、 次の設定作業を行

$ tarantella config edit --security-gateway \ "*:sgdg:gateway1.example.com:443"

$ tarantella config edit --security-gateway \ "*:sgdg:lb.example.com:443"

1. SGD Gateway で使用す る ポー ト と 接続を設定 し ます 。 12 ページの 「 SGD Gateway のポー ト と 接続を設定する方法 」を参照 し て く だ さ い 。 2. ( 省略可能 ) SGD Gateway に 、 着信 ク ラ ア ン ト 接続用の SSL 証明書を イ ン ス ト ー ル し ます 。 13 ページの 「 ク ラ イ ア ン ト 接続用の SSL 証明書を ク ラ イ ア ン ト キース ト アに イ ン ス ト ールす る 方法 」を参照 し て く だ さ い 。

SGD Gateway の制御

こ の節では 、 _{SGD Gateway の制御方法について説明 し ます 。 説明する作業は次の と} お り です 。 ■ SGD Gateway の起動 ■ SGD Gateway の停止 ■ SGD Gateway の再起動

SGD Gateway の起動

SGD Gateway を起動す る には 、 次の コ マン ド を使用 し ます 。

SGD Gateway の停止

注意 - SGD Gateway を停止す る と 、 SGD Gateway を介 し て実行 さ れてい る ユーザ ーセ ッ シ ョ ン と アプ リ ケーシ ョ ン セ ッ シ ョ ンはすべて切断 さ れ ます 。 つ ま り 、 _SGD Gateway が予期せず停止 さ れた場合は 、 アプ リ ケーシ ョ ンデータ が失われる可能性 があ り ます 。 SGD Gateway を停止す る には 、 次の コ マン ド を使用 し ます 。 # /opt/SUNWsgdg/bin/gateway start # /opt/SUNWsgdg/bin/gateway stop

gateway stop コ マン ド を使用する と 、 SGD Gateway を停止する かど う かの確認 を求め る 警告 メ ッ セージが表示 さ れ ます 。 こ の メ ッ セージ を表示 し ない よ う にす る に は 、 gateway stop _{コ マン ド の --force オプシ ョ ン を使用 し て く だ さ い 。} 注 - SGD Gateway が停止 し てい る場合 、 ネ ッ ト ワー ク の外部のユーザーが SGD Gateway を使用 し て SGD に接続す る こ と はで き ません 。 --security-gateway 属性を使用 し て 、 ク ラ イ ア ン ト デバ イ ス が _{SGD Gateway を経由せずに直接 SGD に} ア ク セ ス で き る よ う に し た場合 、 こ の よ う な ク ラ イ ア ン ト デバ イ ス は引 き 続 き _SGD にア ク セ ス で き ます 。 _{59 ページの 「 --security-gateway 属性 」}を参照 し て く だ さ い 。

SGD Gateway の再起動

注意 - SGD Gateway を再起動する と 、 SGD Gateway を介 し て実行 さ れてい る ユー ザーセ ッ シ ョ ン と アプ リ ケーシ ョ ン セ ッ シ ョ ンはすべて切断 さ れ ます 。 つ ま り 、 SGD Gateway が予期せず再起動 さ れた場合は 、 アプ リ ケーシ ョ ンデー タ が失われる 可能性があ り ます 。 SGD Gateway を再起動す る には 、 次の コ マン ド を使用 し ます 。

gateway restart コ マン ド を使用する と 、 SGD Gateway を停止する かど う かの確 認を求め る 警告 メ ッ セージが表示 さ れ ます 。 こ の メ ッ セージ を表示 し ない よ う にす る には 、 gateway restart _{コ マン ド の --force オプシ ョ ン を使用 し て く だ さ い 。}

SGD Gateway の削除

SGD Gateway を削除す る には 、 SGD Gateway ホ ス ト に イ ン ス ト ール さ れてい る ソ フ ト ウ ェ ア を削除 し ます 。

▼ SGD Gateway の削除方法

1. SGD Gateway ホ ス ト に スーパーユーザー (root) と し て ロ グ イ ン し ます 。 2. SGD ア レ イ の SGD Client のルーテ ィ ン グ設定を変更 し ます 。 # /opt/SUNWsgdg/bin/gateway restart

a. プ ラ イ マ リ SGD サーバーに スーパーユーザー (root) と し て ロ グ イ ン し ます 。 b. SGD ア レ イ の --security-gateway 属性を編集 し ます 。 単一の _{SGD Gateway を使用 し た基本的な配備の場合は 、 次の コ マン ド を実行} し ます 。 注 - 複数の SGD Gateway と 外部 ロー ド バ ラ ンサを使用 し た負荷分散 さ れた配備の場 合 、 --security gateway _{属性を編集する必要はあ り ません 。} 3. SGD Gateway を ア ン イ ン ス ト ール し ます 。 次の コ マ ン ド を実行 し ます 。 SGD Gateway を停止する かど う かの確認を求める警告 メ ッ セージが表示さ れます 。 注意 - SGD Gateway の削除方法 と し てサポー ト さ れてい る のは 、 gateway uninstall コ マン ド だけです 。 pkgrm コ マン ド や rpm コ マン ド を使用 し て SGD Gateway を直接削除 し ないで く だ さ い 。 4. ( 省略可能 ) SGD ア レ イ に登録 さ れてい る SGD Gateway の リ ス ト か ら 、 こ の SGD Gateway を削除 し ます 。 a. SGD ア レ イ に登録 さ れてい る SGD Gateway を表示 し ます 。 b. SGD ア レ イ に登録 さ れてい る SGD Gateway の リ ス ト か ら 、 こ の SGD Gateway を削除 し ます 。

# tarantella config edit --security-gateway ""

# /opt/SUNWsgdg/bin/gateway uninstall

# tarantella gateway list

Installed gateway: gateway1.example.com

Issuer: CN=gateway1.example.com, OU=Marketing, O=Example, L=Boston, ST= Massachusetts, C=US

Serial Number: 1208509056

Subject: CN=gateway2.example.com, OU=Marketing, O=Example, L=Boston, ST= Massachusetts, C=US

Valid from Fri Sep 26 09:57:36 GMT 2008 to Thu Dec 25 09:57:36 GMT 2008

付録

A

SGD Gateway のアーキテ ク チ ャー

の概要

こ の章では 、 _{Oracle Secure Global Desktop Gateway (SGD Gateway) のアーキテ ク} チ ャ ー と 主な コ ン ポーネ ン ト について説明 し ます 。 こ の章の内容は 、 次の と お り です 。 ■ 21 ページの 「 SGD Gateway のアーキテ ク チ ャー 」 ■ 25 ページの 「 SGD Gateway の コ ンポーネン ト 」

SGD Gateway のアーキテ ク チ ャー

こ の節では 、 _{SGD Gateway のアーキテ ク チ ャーを示 し 、 SGD Gateway を介 し て} SGD を実行する と き に確立 さ れる接続について説明 し ます 。 図A-1 に 、 SGD Gateway のアーキテ ク チ ャーを示 し ます 。

図A-1 SGD Gateway のアーキテ ク チ ャー

SGD Gateway のアーキ テ ク チ ャ ーを示すネ ッ ト ワー ク 図

次の手順では 、 _{SGD Gateway を介 し て SGD にア ク セ スする と き に確立 さ れる接続} について説明 し ます 。 こ の手順では 、 ブ ラ ウ ザ を使用 し た SGD への初期接続 、 SGD への ロ グオ ン 、 さ ら にアプ リ ケーシ ョ ン の起動 ま でが示 さ れてい ます 。

1. ク ラ イ ア ン ト デバ イ ス のブ ラ ウ ザが SGD Gateway に対 し て Transmission Control Protocol (TCP) ポー ト 443 で HTTPS (Hypertext Transfer Protocol over Secure Sockets Layer) 接続を行います 。

■ 基本的な配備の場合 、 ユーザーは SGD Gateway の URL (Uniform Resource

Locator) にア ク セ スする こ と に よ っ て SGD にア ク セ ス で き ます 。

■ TCP ポー ト 443 は SGD Gateway のデフ ォル ト ポー ト です 。 SGD Gateway が

使用す る ポー ト は 、 ルーテ ィ ン グ プ ロ キ シ設定フ ァ イ ル _{gateway.xml で定義} さ れ ます 。 こ の フ ァ イ ルは 、 SGD Gateway の イ ン ス ト ール時に自動的に作成 さ れ 、 gateway config _{コ マン ド を使用 し て SGD Gateway の設定を変更 し} た と き に更新 さ れ ます 。 ■ SGD Gateway は SSL 証明書を提示 し ます 。 こ の証明書は 、 SGD Gateway の keystore.client キース ト アにあ る唯一のエン ト リ です 。 ■ SGD Gateway が使用する キース ト アの場所 と パス ワー ド は 、 ルーテ ィ ン グプ ロ キ シ設定フ ァ イ ル _{gateway.xml で定義 さ れます 。} 2. ルーテ ィ ン グプ ロ キシは HTTPS 接続を認識 し 、 データ ス ト リ ーム を復号化 し 、 HTTP デー タ を Apache 逆プ ロ キシに転送 し ます 。 ■ ハ イ パーテ キ ス ト 転送プ ロ ト コ ル (HTTP) デー タ は 、 TCP ポー ト 8080 よ り 上 の最初の空 き ポー ト に内部で送信 さ れ ます 。 ■ Apache 逆プ ロ キシの設定は httpd.conf フ ァ イ ルで定義 さ れます 。 こ のフ ァ イ ル と それに関連す る 逆プ ロ キ シ設定フ ァ イ ルは 、 SGD Gateway の イ ン ス ト ール時に自動的に作成 さ れ ます 。 こ れ ら の フ ァ イ ルは 、 gateway config _コ マ ン ド を使用 し て _{SGD Gateway の設定を変更 し た と き に更新 さ れます 。} 3. 逆プ ロ キシは HTTP 負荷分散を使用 し て 、 ア レ イ内の SGD Web サーバーを選択 し ます 。 ■ 逆プ ロ キ シ と SGD Web サーバーの間の接続は 、 TCP ポー ト 443 で HTTPS を 使用 し てセ キ ュ リ テ ィ ー保護 さ れ ます 。 ■ Apache 逆プ ロ キシはブ ラ ウ ザに負荷分散 Cookie を設定 し ます 。 こ れ以降 、 ブ ラ ウ ザに よ る すべての _{HTTP 要求で同 じ SGD Web サーバーが使用 さ れます 。} 4. SGD Web サーバーは ク ラ イ ア ン ト デバ イ ス のブ ラ ウ ザに HTML を配信 し ます 。 ■ HTML は 、 SGD Gateway の TCP ポー ト 443 に確立 さ れた接続上で 、 HTTPS デー タ と し て送信 さ れ ます 。 ■ SGD Gateway は HTTPS デー タ をブ ラ ウ ザに転送 し ます 。 5. ユーザーが SGD に ロ グ イ ン し ます 。 ■ SGD サーバーはユーザーを認証 し 、 ユーザーセ ッ シ ョ ン を管理する SGD サー バーを選択 し 、 新 し いユーザーセ ッ シ ョ ン を開始 し ます 。 ■ ク ラ イ ア ン ト デバ イ ス に SGD Client がダ ウ ン ロー ド お よび イ ン ス ト ール さ れ 、 起動 さ れ ます 。 ■ ブ ラ ウ ザに送信 さ れた HTML にルーテ ィ ン グ ト ー ク ンが含まれています 。 ルー テ ィ ン グ ト ー ク ン には 、 ユーザーセ ッ シ ョ ン を管理す る よ う に選択 さ れた _SGD サーバーのア ド レ ス が含 ま れてい ます 。 こ の情報は 、_{AIP (Adaptive Internet} Protocol) データ を 正し い SGD サーバーにルーティ ングする ために使用さ れま す。

■ ルーテ ィ ン グ ト ー ク ンは 、SGD サーバーの非公開鍵を使用し て署名さ れたあ と 、

SGD サーバーにあ る SGD Gateway の証明書を使用 し て暗号化 さ れます 。

■ ルーテ ィ ン グ ト ー ク ンは SGD Client に渡 さ れます 。

■ ク ラ イ ア ン ト デバ イ スへの接続では HTTPS が使用 さ れます 。

6. SGD Client は SGD Gateway に TCP ポー ト 443 で接続 し ます 。

■ SGD Client と SGD Gateway の間のデー タ接続では 、 AIP over Secure Sockets

Layer (SSL) が使用 さ れます 。 ■ SGD Gateway の SSL 証明書が接続のために提示 さ れます 。 ■ ルーテ ィ ン グプ ロ キ シは AIP over SSL 着信デー タ を認識 し ます 。 ■ SSL デー タ ス ト リ ームが復号化 さ れ 、 AIP デー タ ス ト リ ームか ら ルーテ ィ ン グ ト ー ク ン が抽出 さ れ ます 。 ■ ルーテ ィ ン グ ト ー ク ンは 、SGD Gateway の非公開鍵を使用 し て復号化 さ れたあ と 、 SGD サーバーの CA 証明書を使用 し て確認 さ れます 。 ■ SGD Gateway の非公開鍵 と SGD サーバーの CA 証明書は 、 SGD Gateway キ ー ス ト ア _{keystore に保存 さ れています 。} ■ ルーテ ィ ン グ ト ー ク ン が有効であ る こ と を確認す る ために 、 ルーテ ィ ン グ ト ー ク ン の タ イ ム ス タ ン プが検査 さ れ ます 。 ■ SSL を使用 し て AIP デー タ ス ト リ ームが再度暗号化 さ れます 。 7. AIP over SSL デー タ はルーテ ィ ン グプ ロ キシ を介 し て 、 ルーテ ィ ン グ ト ー ク ンで 指定 さ れてい る _{SGD サーバーに転送 さ れます 。} ■ AIP over SSL デー タ接続では TCP ポー ト 5307 が使用 さ れます 。 ■ AIP デー タ ス ト リ ームにはルーテ ィ ン グ ト ー ク ンは含まれていません 。 8. ユーザーが SGD Webtop でアプ リ ケーシ ョ ン を起動 し ます 。 ■ アプ リ ケーシ ョ ン の起動要求は HTTPS を使用 し て SGD Gateway に送信 さ れ ます 。 ■ ルーテ ィ ン グプ ロ キ シは HTTPS デー タ を認識 し て復号化 し 、 HTTP ト ラ フ ィ ッ ク を _{Apache 逆プ ロ キシに転送 し ます 。}

■ 逆プ ロ キ シは負荷分散 Cookie を検出 し 、 Cookie で指定 さ れてい る SGD Web

サーバーを使用 し ます 。 ■ SGD アプ リ ケーシ ョ ンセ ッ シ ョ ンの負荷分散では 、 アプ リ ケーシ ョ ンセ ッ シ ョ ン を管理す る ために同 じ _{SGD サーバーが選択 さ れます 。} ■ SGD サーバー上で新 し いルーテ ィ ン グ ト ー ク ンが作成 さ れます 。 ルーテ ィ ン グ ト ー ク ンは 、 アプ リ ケーシ ョ ン セ ッ シ ョ ン を管理す る よ う に選択 さ れた _{SGD サ} ーバーに AIP デー タ をルーテ ィ ン グする ために使用 さ れます 。 ■ SGD サーバーはルーテ ィ ン グ ト ー ク ン を SGD Client に送信 し ます 。 既存の AIP デー タ ス ト リ ームにはルーテ ィ ン グ ト ー ク ンが含まれています 。 9. SGD Client は SGD Gateway に TCP ポー ト 443 で接続 し ます 。

■ SGD Gateway の SSL 証明書が接続のために提示 さ れます 。 ■ ルーテ ィ ン グプ ロ キ シは AIP over SSL 着信デー タ を認識 し ます 。 ■ ルーテ ィ ン グ ト ー ク ン の復号化 、 確認 、 お よ び検証が行われ ます 。 ■ AIP over SSL デー タ はルーテ ィ ン グプ ロ キシ を介 し て 、 ルーテ ィ ン グ ト ー ク ン で指定 さ れてい る SGD サーバーに転送 さ れます 。 ■ AIP デー タ ス ト リ ームにはルーテ ィ ン グ ト ー ク ンは含まれていません 。 10. SGD サーバーはアプ リ ケーシ ョ ンセ ッ シ ョ ン を管理 し ます 。 ■ アプ リ ケーシ ョ ンは 、 ロ ーカルエ リ ア ネ ッ ト ワ ー ク (LAN) に配置 さ れたアプ リ ケーシ ョ ン サーバー上で実行 さ れ ます 。

SGD Gateway の コ ンポーネン ト

SGD Gateway は次の コ ンポーネン ト で構成 さ れます 。 ■ ルーテ ィ ン グプ ロ キ シ 。AIP デー タ接続を SGD サーバーにルーテ ィ ン グする 、 Java™ テ ク ノ ロ ジベース のアプ リ ケーシ ョ ンです 。 ルーテ ィ ン グプ ロ キ シの主要 コ ン ポーネ ン ト は次の と お り です 。 ■ ルーテ ィ ン グ ト ー ク ン – 25 ページの 「 ルーテ ィ ン グ ト ー ク ンについて 」を参照 ■ キー ス ト ア – 26 ページの 「 SGD Gateway で使用 さ れる キース ト ア 」を参照 ■ ルーテ ィ ン グプ ロ キ シ設定フ ァ イ ル – 27 ページの 「 ルーテ ィ ン グプ ロ キシ設定 フ ァ イ ル 」を参照 ■ 逆プ ロ キ シ 。 逆プ ロ キ シモー ド で動作す る よ う に設定 さ れた Apache Web サーバ ーです 。 逆プ ロ キ シは HTTP 接続の負荷分散 も 実行 し ます 。 逆プ ロ キ シの主要 コ ン ポーネ ン ト は次の と お り です 。

■ Apache Web サーバーの設定フ ァ イ ル – 28 ページの 「 Apache Web サーバーの

設定 フ ァ イ ル 」を参照 ■ 逆プ ロ キ シ用お よ び HTTP 負荷分散用の Apache モジ ュール – 29 ページの 「 SGD Gateway で使用 さ れる Apache モジ ュール 」を参照

ルーテ ィ ン グ ト ー ク ン について

SGD Gateway はルーテ ィ ン グ ト ー ク ンを使用 し て _{AIP 接続を管理 し ます 。 ルーテ ィ} ン グ ト ー ク ンは 、 経路の送信元お よ び送信先の _{SGD サーバーを識別する 、 署 名 さ れ} 暗号化 さ れた メ ッ セージです 。 ルーテ ィ ン グ ト ー ク ン には タ イ ム ス タ ン プが含 ま れて お り 、 ト ー ク ン の寿命を制限す る ために使用 さ れ ます 。

発信ルーテ ィ ン グ ト ー ク ンは次の よ う にな り ます 。 ■ SGD サーバーの非公開鍵を使用 し て SGD サーバー上で 署 名 さ れます 。 ■ SGD Gateway の証明書を使用 し て SGD サーバー上で暗号化 さ れます 。 ■ ク ラ イ ア ン ト デバ イ ス の SGD Client に送信 さ れます 。 着信ルーテ ィ ン グ ト ー ク ンは次の よ う にな り ます 。 ■ SGD Gateway の非公開鍵を使用 し て SGD Gateway 上で復号化 さ れます 。 ■ 送信元 SGD サーバーの CA 証明書を使用 し て SGD Gateway 上で確認 さ れます 。 ■ SGD Gateway 上で破棄 さ れます 。 ルーテ ィ ン グ ト ー ク ン を提示 し てい る接続は 、 送信先 SGD サーバーにルーテ ィ ン グ さ れます 。

SGD Gateway で使用 さ れ る キース ト ア

SGD Gateway は非公開鍵 と 証明書を使用 し て 、 ルーテ ィ ン グ ト ー ク ンへのデジ タ ル 署 名 、 ルーテ ィ ン グ ト ー ク ン の確認 、 ア レ イ 内の _{SGD サーバーに対する接続のセキ} ュ リ テ ィ ー保護 、 _{SGD Gateway への ク ラ イ ア ン ト 接続のセキ ュ リ テ ィ ー保護 、 お よ} び リ フ レ ク シ ョ ン サービ スへのア ク セ ス の承認を行い ます 。 SGD Gateway で使用 さ れ る証明書 と 非公開鍵は 、 /opt/SUNWsgdg/proxy/etc デ ィ レ ク ト リ のキー ス ト アに保存 さ れてい ます 。 こ のデ ィ レ ク ト リ には次のキー ス ト アが あ り ます 。

■ SGD Gateway キース ト ア keystore には 、 SGD Gateway の証明書 と 非公開鍵 、

ア レ イ 内の _{SGD サーバーの CA 証明書 、 お よび SGD サーバーの SSL 証明書があ} り 、 ア レ イ 内の _{SGD サーバーに対する セキ ュ ア接続に使用 さ れます 。} SGD Gateway キース ト アのエン ト リ を追加 、 削除 、 お よび一覧表示する には 、 gateway コ マン ド を使用 し ます 。 ■ ク ラ イ ア ン ト キー ス ト ア keystore.client には 、 単一の SGD Gateway SSL 証 明書 と 非公開鍵があ り 、 ク ラ イ ア ン ト デバ イ ス と _{SGD Gateway の間の接続をセキ} ュ リ テ ィ ー保護す る ために使用 さ れ ます 。 デフ ォ ル ト では 、 こ のキー ス ト アには 自己 署 名付 き 証明書が入っ てい ます 。 こ の証明書を認証局 (CA) に よ っ て 署 名 さ れた証明書で置 き 換え る こ と がで き ます 。 ■ リ フ レ ク シ ョ ン サービ ス キー ス ト ア keystore.reflection には 、 SGD Gateway で リ フ レ ク シ ョ ンサービ スへのア ク セ スの承認に使用 さ れる証明書 と 非 公開鍵が含 ま れてい ます 。 デフ ォ ル ト では 、 こ のキー ス ト アには自己 署 名付 き 証 明書 と 非公開鍵が入っ てい ます 。

キー ス ト アは 、 _{SGD Gateway の イ ン ス ト ール後に gateway setup コ マン ド を実行} し た と き に自動的に作成 さ れ ます 。