Oracle®
Secure Global Desktop
管理ガイド (バージョン 4.6 用)
Part No.: 821-2167-102011 年 3 月, Revision 02
Copyright © 2010, 2011, Oracle and/or its affiliates. All rights reserved.
このソフ ト ウェアおよび関連ドキュ メン トの使用と開示は、 ライセンス契約の制約条件に従う ものと し、 知的財産に関する法律によ り保護さ
れています。 ライセンス契約で明示的に許諾されている場合もし くは法律によって認められている場合を除き、 形式、 手段に関係なく、 いか
なる部分も使用、 複写、 複製、 翻訳、 放送、 修正、 ライセンス供与、 送信、 配布、 発表、 実行、 公開または表示するこ とはできません。 この
ソフ ト ウェアのリバース ・ エンジニア リ ング、 逆アセンブル、 逆コンパイルは互換性のために法律によって規定されている場合を除き、 禁止
されています。
こ こに記載された情報は予告なしに変更される場合があ り ます。 また、 誤りが無いこ との保証はいたしかねます。 誤り を見つけた場合は、 オラ クル
社までご連絡ください。
このソフト ウェアまたは関連ド キュメ ント を、 米国政府機関もし く は米国政府機関に代わってこのソフト ウェアまたは関連ド キュメ ント
をラ イセンスされた者に提供する場合は、 次の通知が適用されます。
U.S. GOVERNMENT RIGHTS Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007). Oracle America, Inc., 500 Oracle Parkway, Redwood City, CA 94065.
このソフ ト ウェアもし くはハード ウェアは様々な情報管理アプリ ケーシ ョ ンでの一般的な使用のために開発されたものです。 このソフ ト ウェアも し
くはハード ウェアは、 危険が伴う アプ リ ケーシ ョ ン (人的傷害を発生させる可能性があるアプリ ケーシ ョ ンを含む) への用途を目的と して開発されていません。 このソフ ト ウェアもし くはハード ウェアを危険が伴う アプ リ ケーシ ョ ンで使用する際、 安全に使用するために、 適切な安全装置、 バッ
クアップ、 冗長性 (redundancy)、 その他の対策を講じるこ とは使用者の責任とな り ます。 このソフ ト ウェアも し くはハード ウェアを危険が伴う アプ リ ケーシ ョ ンで使用したこ とに起因して損害が発生しても、 オラ クル社およびその関連会社は一切の責任を負いかねます。
Oracle と Java は Oracle Corporation およびその関連企業の登録商標です。 その他の名称は、 それぞれの所有者の商標または登録商標です。
AMD、 Opteron、 AMD ロゴ、 AMD Opteron ロゴは、 Advanced Micro Devices, Inc. の商標または登録商標です。 Intel、 Intel Xeon は、Intel Corporation の商標または登録商標です。 すべての SPARC の商標はライセンスをも と に使用し、 SPARC International, Inc. の商標または登録商標です。 UNIX は X/Open Company, Ltd. からライセンスされている登録商標です。
このソフ ト ウェアまたはハードウェア、 そしてドキュ メン トは、 第三者のコンテンツ、 製品、 サービスへのアクセス、 あるいはそれらに関す
る情報を提供するこ とがあ り ます。 オラ クル社およびその関連会社は、 第三者のコンテンツ、 製品、 サービスに関して一切の責任を負わず、
いかなる保証もいたしません。 オラクル社およびその関連会社は、 第三者のコンテンツ、 製品、 サービスへのアクセスまたは使用によって損
失、 費用、 あるいは損害が発生しても一切の責任を負いかねます。
PleaseRecycle
目次
はじめに xxxv
1. ネッ ト ワーク とセキュ リ テ ィー 1
ネッ ト ワーク とセキュ リ テ ィーの概要 1
ク ラ イアン トデバイス と SGD サーバーの間の接続 2
SGD サーバーとアプ リ ケーシ ョ ンサーバーの間の接続 2
アレイ内の SGD サーバー間の接続 3
DNS 名 3
外部 DNS 名の設定 5
SGD サーバーのピア DNS 名の変更 6
プロキシサーバー 8
サポート されているプロキシサーバー 9
ク ラ イアン トプロキシ設定の設定 9
プロキシサーバーのタイムアウ ト 11
サーバー側のプロキシサーバーの設定 11
ファ イアウォール 13
ク ラ イアン トデバイス と SGD サーバーの間のファ イアウォール 14
SGD サーバー間のファ イアウォール 15
SGD サーバーとアプ リ ケーシ ョ ンサーバーの間のファ イアウォール 15
ほかのファ イアウォール 17
iii
SGD サーバーへのセキュ リ テ ィー保護された接続 19
SSL 証明書 20
ファ イアウォール越え 25
保護付きの接続の有効化 ( 自動設定 ) 26
保護付きの接続の有効化 ( 手動設定 ) 29
セキュ リ テ ィー保護された接続およびセキュ リ テ ィーの警告 34
SGD サーバーへのセキュ リ テ ィー保護された接続の調整 39
SSL デーモンの調整 40
外部 SSL アクセラレータの使用 42
セキュア接続の暗号化方式群の選択 43
接続定義の使用 45
2. ユーザー認証 49
Secure Global Desktop 認証 49
ユーザー識別情報 50
ユーザープロファ イル 51
システム認証機構 51
パスワードの有効期限 53
セキュ リ テ ィーとパスワード 54
Active Directory 認証 54
Active Directory 認証の仕組み 54
Active Directory 認証の設定 56
Active Directory 認証の準備 56
Kerberos 認証用の SGD の設定 59
▼ Active Directory 認証を有効にする方法 63
匿名ユーザーの認証 64
匿名ユーザーの認証の動作 64
▼ 匿名ユーザーの認証を有効にする方法 65
LDAP 認証 66
iv Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
LDAP 認証の動作 66
LDAP 認証の設定 67
LDAP 認証の準備 68
▼ LDAP 認証を有効にする方法 70
SecurID 認証 72
SecurID 認証の動作 73
SecurID 認証の設定 74
Agent Host と しての SGD サーバーの設定 74
▼ SecurID 認証を有効にする方法 75
サードパーティーの認証 76
サードパーティー認証の仕組み 76
サードパーティー認証の設定 79
▼ サードパーティー認証を有効にする方法 80
SGD 管理者とサードパーティー認証 82
信頼できるユーザーとサードパーティー認証 82
UNIX システム認証 85
UNIX システム認証の動作 85
UNIX システム認証と PAM 87
▼ UNIX システム認証を有効にする方法 88
Windows ド メ イン認証 88
Windows ド メ イン認証の動作 89
▼ Windows ド メ イン認証を有効にする方法 90
パスワード 、 ド メ イン 、およびド メ インコン ト ローラ 90
認証のためのディ レク ト リサービスの調整 91
LDAP または Active Directory のログインのフ ィルタ リ ング 92
LDAP 検出タイムアウ ト 95
サービスオブジェ ク トの使用法 95
パスワードの有効期限 100
目次 v
LDAP のパスワード更新モード 101
サイ ト 101
ホワイ ト リ ス ト 102
ブラ ッ ク リ ス ト 103
グローバルカタログのみの検索 103
接頭辞マッピング 104
ド メ イン リ ス ト 104
ルッ クアップキャ ッシュのタイムアウ ト 105
LDAP 操作のタイムアウ ト 105
Active Directory 認証と LDAP 検出 106
Secure Global Desktop 認証の ト ラブルシューティング 108
認証の問題に使用するログフ ィルタの設定 108
ログインに失敗したユーザーの SGD へのアクセスの拒否 109
どの SGD サーバーにもログインできない 110
ゲス ト ユーザー用の共有アカウン トの使用 111
セキュ リ テ ィーが有効な場合に、 Solaris OS ユーザーがログインできない111
ユーザーがログインしよ う とする とユーザー名にあいまい性があるこ とを示すダイアログが表示される場合 112
3. ユーザーへのアプ リ ケーシ ョ ンの公開 113
組織とオブジェク ト 113
組織階層 115
SGD オブジェク ト タ イプ 117
組織階層の設計 122
組織階層内のオブジェク トへの命名 123
バッチスク リプ ト を使用した SGD 組織階層の移植 123
LDAP ミ ラー化 125
SGD 管理者 129
vi Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
アプ リ ケーシ ョ ンの公開 131
ローカル割り当て 132
LDAP 割り当て 134
割り当ての確認 140
LDAP グループ検索の調整 140
ディ レク ト リサービスキャ ッシュの管理 142
LDAP 割り当ての ト ラブルシューティング 143
4. アプ リ ケーシ ョ ンの設定 145
Windows アプ リ ケーシ ョ ン 145
Windows アプ リ ケーシ ョ ンオブジェク ト の設定 146
コマンド行での Windows アプ リ ケーシ ョ ンオブジェク ト の作成 148
SGD で使用する Microsoft Windows ターミナル サービスの設定 149
Microsoft Windows ターミナルサービスのラ イセンス 153
Microsoft Windows リ モー ト デスク ト ップ 154
シームレスウ ィ ン ド ウ 155
Windows ターミナル サービスのキー処理 156
Windows ターミナル サービス セッシ ョ ンのク ラ イアン トデバイスの情報を返す 158
SGD Remote Desktop Client 159
ク ラ イアン トデバイス上での Windows アプ リ ケーシ ョ ンの実行 162
X アプ リ ケーシ ョ ン 163
X アプ リ ケーシ ョ ンオブジェク ト の設定 163
サポート されている X の拡張機能 166
X 認証 166
X フォン ト 166
キーボードマップ 169
文字型アプ リ ケーシ ョ ン 170
文字型アプ リ ケーシ ョ ンオブジェク ト の設定 170
目次 vii
端末エ ミ ュレータのキーボードマップ 172
端末エ ミ ュレータの属性マップ 177
端末エ ミ ュレータのカラーマップ 179
動的起動 180
動的アプ リ ケーシ ョ ンサーバー 180
動的アプ リ ケーシ ョ ン 184
ク ラ イアン ト オーバーライ ド 186
My Desktop の使用 187
SGD と Oracle VDI の統合 188
SSH の使用 190
SSH のサポート 190
SSH ク ラ イアン トの設定 191
X アプ リ ケーシ ョ ン用の X11 の転送の有効化 193
SSH と X セキュ リ テ ィー拡張機能の使用 194
SSH と X 認証の使用 195
高度な SSH 機能の使用 195
アプ リ ケーシ ョ ン認証 196
ログインスク リプ ト 197
アプ リ ケーシ ョ ン認証の設定 197
アプ リ ケーシ ョ ンサーバーのパスワードキャ ッシュ 198
入力方式と UNIX プラ ッ ト フォームアプ リ ケーシ ョ ン 201
異なる言語のシステムプロンプ トのサポート を追加する 201
RSA SecurID を使用したアプ リ ケーシ ョ ン認証 202
アプ リ ケーシ ョ ンの設定に関する ヒ ン ト 202
Webtop を表示せずにアプ リ ケーシ ョ ンまたはデスク ト ップセッシ ョ ンを起動する 203
マルチヘッ ドモニターまたはデュアルヘッ ドモニターの使用 204
Windows アプ リ ケーシ ョ ンのパフォーマンスの向上 207
viii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
Java Desktop System デスク ト ップセッシ ョ ンまたはアプ リ ケーシ ョ ンのパフォーマンスの向上 208
ドキュ メン ト と Web アプ リ ケーシ ョ ン 209
仮想教室の作成 210
共通デスク ト ップ環境アプ リ ケーシ ョ ンの設定 212
VMS アプ リ ケーシ ョ ンの設定 215
3270 および 5250 アプ リ ケーシ ョ ン 216
アプ リ ケーシ ョ ンの ト ラブルシューティング 217
アプ リ ケーシ ョ ンが起動しない場合 218
アプ リ ケーシ ョ ンが起動直後に終了する場合 222
X 認証が有効になっている と きにアプ リ ケーシ ョ ンの起動に失敗する 222
アプ リ ケーシ ョ ンが約 2 分後に表示されな くなる場合 224
ユーザーがアプ リ ケーシ ョ ンを終了しても 、アプ リ ケーシ ョ ンセッシ ョ ンが終了しない 225
異なるユーザー名とパスワードでアプ リ ケーシ ョ ンを起動できる場合 227
Windows ターミナルサービスを使っていて、ユーザーが頻繁にユーザー名とパスワードの入力を要求される場合 228
ユーザーの問題を解決するためのシャ ド ウイングの使用 229
キオスクアプ リ ケーシ ョ ンがフルスク リーン表示されない場合 230
アプ リ ケーシ ョ ンのアニメーシ ョ ンがとびとびに表示される場合 230
X アプ リ ケーシ ョ ンでのフォン トの問題 230
High Color の X アプ リ ケーシ ョ ンでの表示の問題 231
「 ク ラ イアン ト ウ ィ ン ド ウ管理 」 アプ リ ケーシ ョ ンのウ ィ ンド ウが切り取られて表示される場合 233
Sun キーボードのエ ミ ュレーシ ョ ン 234
低帯域幅の接続でシャ ド ウイングしている と きの表示の更新の問題 235
マウス ド ラ ッグ遅延の問題の ト ラブルシューティ ング 236
Windows アプ リ ケーシ ョ ンに正し くないタイムゾーン名が表示される 236
5. ク ラ イアン トデバイスのサポート 237
目次 ix
印刷 237
SGD 印刷の概要 238
印刷の設定 239
Microsoft Windows アプ リ ケーシ ョ ンサーバーの印刷の設定 240
UNIX および Linux プラ ッ ト フォームのアプ リ ケーシ ョ ンサーバーの印刷の設定 243
SGD サーバーの印刷の設定 248
Microsoft Windows ク ラ イアン トデバイスへの印刷の設定 252
UNIX 、 Linux 、および Mac OS X プラ ッ ト フォームのク ラ イアン トデバイスへの印刷の設定 257
印刷の管理 260
SGD を使って表示したアプ リ ケーシ ョ ンからユーザーが印刷できない場合263
その他の印刷の問題の ト ラブルシューティング 272
ク ラ イアン ト ド ラ イブマッピング 276
ク ラ イアン ト ド ラ イブマッピングの設定 276
UNIX および Linux プラ ッ ト フォームのアプ リ ケーシ ョ ンサーバーを CDM 用に設定する 277
CDM 用の NFS 共有を設定する 277
アプ リ ケーシ ョ ンサーバーの CDM プロセスを起動する 279
Microsoft Windows アプ リ ケーシ ョ ンサーバーを CDM 用に設定する 280
SGD の CDM サービスを有効にする 280
UNIX プラ ッ ト フォーム CDM を別の SMB サービス と と もに実行する 281
ユーザーが使用可能なク ラ イアン ト ド ラ イブを設定する 282
ク ラ イアン ト ド ラ イブマッピングの ト ラブルシューティ ング 286
CDM のログ出力 294
オーディオ 296
オーディオの設定 296
Microsoft Windows アプ リ ケーシ ョ ンサーバーをオーディオ用に設定する297
x Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
UNIX および Linux プラ ッ ト フォームのアプ リ ケーシ ョ ンサーバーをオーディオ用に設定する 297
X アプ リ ケーシ ョ ンをオーディオ用に設定する 299
SGD オーディオサービスを有効にする 299
ク ラ イアン トデバイスをオーディオ用に設定する 300
アプ リ ケーシ ョ ンでのオーディオの ト ラブルシューティ ング 301
コピー&ペース ト 308
コピー&ペース トの使用 308
アプ リ ケーシ ョ ンでのコピー&ペース トの制御 309
ク リ ップボードセキュ リ テ ィーレベルの使用例 310
コピー&ペース トの設定に関する ヒ ン ト 311
コピー&ペース トの ト ラブルシューティ ング 312
スマート カード 313
Windows アプ リ ケーシ ョ ンでのスマート カードの使用 313
スマート カードへのアクセスを設定する 314
Microsoft Windows アプ リ ケーシ ョ ンサーバーをスマート カード用に設定する 314
SGD でスマート カードを有効にする 315
ク ラ イアン トデバイス上のスマート カード リーダーを設定する 316
▼ スマート カードを使用して Microsoft Windows アプ リ ケーシ ョ ンサーバーにログインする方法 317
スマート カードの ト ラブルシューティング 318
シ リ アルポート 319
シ リ アルポートへのアクセスを設定する 320
Microsoft Windows アプ リ ケーシ ョ ンサーバーの設定 320
SGD でシ リ アルポートへのアクセスを有効にする 320
ク ラ イアン トデバイスの設定 321
6. SGD Client と Webtop 323
SGD Client 323
目次 xi
SGD Client の概要 323
SGD Client のインス トール 325
SGD Client の自動インス トール 325
▼ ローミ ングユーザープロファ イルでの自動インス トールを有効にする方法 327
SGD Client の手動インス トール 327
コマンド行からの SGD Client の実行 328
Java テク ノ ロジを使用しない場合の SGD の使用法 332
ク ラ イアン トプロファ イル 333
ク ラ イアン トプロファ イルと SGD Client 334
ク ラ イアン トプロファ イルの管理 335
▼ ユーザーのク ラ イアン トプロファ イルの編集を設定する方法 336
ク ラ イアン トプロファ イルの設定 337
プロファ イルキャ ッシュについて 339
ローミ ングユーザープロファ イルを所有する Microsoft Windows ユーザー341
統合モード 342
統合モードでの操作 343
SGD Client の統合モードを設定する 345
認証トークンの認証 345
ク ラ イアン トプロファ イルの統合モードを設定する 350
アプ リ ケーシ ョ ンの統合モードを設定する 352
Webtop 352
Webtop の言語を設定する 352
7. SGD サーバー、アレイ 、および負荷分散 355
アレイ 355
アレイの構造 356
アレイ全体へのデータの複製 357
アレイ メンバー間の通信 357
xii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
アレイ内のセキュ リ テ ィー保護された通信 358
アレイ と SGD サーバーの管理 360
アレイ回復 360
アレイの設定 365
アレイ回復の設定 371
負荷分散 375
ユーザーセッシ ョ ンの負荷分散 376
アプ リ ケーシ ョ ンセッシ ョ ンの負荷分散 385
アプ リ ケーシ ョ ンの負荷分散 385
負荷分散グループ 387
アプ リ ケーシ ョ ンの負荷分散の仕組み 387
Advanced Load Management の仕組み 395
アプ リ ケーシ ョ ンの負荷分散の調整 396
アプ リ ケーシ ョ ンの負荷分散プロパティーの編集 399
SGD Web サーバーと SGD Administration Console 404
SGD Web サーバーの概要 404
SGD Web サーバーのセキュ リ テ ィー保護 405
Administration Console の使用 405
Administration Console の設定 407
Administration Console へのアクセスをセキュ リ テ ィー保護する 410
監視と ロギング 410
SGD データス ト ア 411
ユーザーセッシ ョ ン とアプ リ ケーシ ョ ンセッシ ョ ン 411
ログフ ィルタを使用した SGD サーバーの ト ラブルシューティング 415
ログフ ィルタを使用した監査 423
ログフ ィルタを使用したプロ ト コルエンジンの問題解決 426
SGD Web サーバーのロギング 431
SGD Client のロギング 432
目次 xiii
SGD サーバーの証明書ス ト ア 433
CA 証明書ト ラス ト ス ト ア 433
ク ラ イアン ト証明書ス ト ア 435
SGD のインス トール 437
SGD のインス トールについて 437
SGD インス トールのバッ クアップと復元 440
アレイ と負荷分散の ト ラブルシューティング 445
アレイ回復に関する ト ラブルシューティング 445
時刻同期の問題に関する ト ラブルシューティング 447
Advanced Load Management に関する ト ラブルシューティング 448
SGD が大量のネッ ト ワーク帯域幅を使いすぎる 453
ファ イアウォール越えモード時にユーザーが SGD サーバーに接続できない454
ユーザーが自分のセッシ ョ ンを再配置できない 455
A. グローバル設定とキャ ッシュ 457
「 Secure Global Desktop 認証 」 タブ 458
認証ウ ィザード 458
トークン生成 460
パスワードキャ ッシュ 460
サードパーティーの認証 461
システム認証 462
ローカルリポジ ト リの検索 462
LDAP リ ポジ ト リ を検索 463
デフォル トのサードパーティー識別情報を使用 463
デフォル トの LDAP プロファ イルを使用 464
もっ と も近い LDAP プロファ イルを使用 465
LDAP / Active Directory 466
Unix 466
xiv Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
認証トークン 467
Windows ド メ インコン ト ローラ 467
SecurID 468
匿名 468
ローカルリポジ ト リで Unix ユーザー ID を検索 469
ローカルリポジ ト リで Unix グループ ID を検索 469
デフォル トのユーザープロファ イルを使用する 470
Windows ド メ イン 470
Active Directory 471
LDAP 471
「 Service Objects 」 タブ 472
「 Service Objects List 」 テーブル 472
名前 473
タイプ 474
有効 474
URL 474
ユーザー名とパスワード 475
接続のセキュ リ テ ィー 476
Active Directory ベース ド メ イン 476
Active Directory デフォル ト ド メ イン 476
「 アプ リ ケーシ ョ ン認証 」 タブ 477
パスワードキャ ッシュの使用 477
パスワードの期限が切れたと きのアクシ ョ ン 478
スマート カード認証 479
ダイアログ表示 480
「 パスワードを保存 」 ボッ クス 481
「 常にスマート カードを使う 」 ボッ クス 482
表示の遅延 482
目次 xv
「 起動の詳細 」 区画 483
「 通信 」 タブ 484
暗号化されていない接続ポート 484
暗号化されている接続ポート 485
AIP Keepalive の頻度 486
ユーザーセッシ ョ ン再開機能のタイムアウ ト 486
全般的な再開機能のタイムアウ ト 487
リ ソース同期サービス 488
ユーザーセッシ ョ ンのアイ ドルタイムアウ ト 489
「 パフォーマンス 」 タブ 489
アプ リ ケーシ ョ ンセッシ ョ ンの負荷分散 490
アプ リ ケーシ ョ ンの負荷分散 491
「 ク ラ イアン トデバイス 」 タブ 492
Windows ク ラ イアン ト ド ラ イブマッピング 493
Unix ク ラ イアン ト ド ラ イブマッピング 493
動的なド ラ イブマッピング 494
Windows オーディオ 495
Windows オーディオの音質 495
Unix オーディオ 496
Unix オーディオの音質 497
スマート カード 497
シ リ アルポート マッピング 498
コピー&ペース ト 499
ク ラ イアン トの Clipboard Security Level 499
タイムゾーンマップファ イル 500
編集 500
「 印刷 」 タブ 501
ク ラ イアン ト印刷 502
xvi Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
Universal PDF プ リ ンタ 502
Universal PDF プリ ンタをデフォル トにする 503
Universal PDF ビューア 504
Universal PDF ビューアをデフォル トにする 504
Postscript プ リ ンタ ド ラ イバ 505
「 セキュ リ テ ィー 」 タブ 506
新規パスワード暗号化鍵 506
印刷ネームマッピングのタイムアウ ト 507
接続定義 508
X ディ スプレイの X 認証 508
「 監視 」 タブ 509
ログフ ィルタ 509
課金サービス 510
「 Resilience 」 タブ 511
アレイフェイルオーバー 511
監視の間隔 512
監視の試行回数 512
プラ イマ リ検索の間隔 513
プラ イマ リ検索の試行回数 514
フェイルオーバー終了時のアクシ ョ ン 514
バッ クアッププライマ リ 515
「 キャ ッシュ 」 タブ 516
「 パスワード 」 タブ 516
説明 516
コマンド行 518
「 トークン 」 タブ 519
説明 519
コマンド行 519
目次 xvii
B. Secure Global Desktop サーバー設定 521
「 Secure Global Desktop サーバー 」タブ 522
「 Secure Global Desktop サーバーの リ ス ト 」 テーブル 522
「 一般 」 タブ 523
外部 DNS 名 524
ユーザーログイン 525
リ ダイレク ト URL 525
「 セキュ リ テ ィー 」 タブ 526
接続タイプ 526
SSL アクセラレータのサポート 527
ファ イアウォール転送 URL 527
「 パフォーマンス 」 タブ 528
同時要求の最大数 528
同時ユーザーセッシ ョ ンの最大数 529
ファ イル記述子の最大数 529
JVM サイズ 530
毎日のリ ソース同期時刻 531
負荷分散グループ 532
「 プロ ト コルエンジン 」 タブ 532
「 文字型プロ ト コルエンジン 」 タブ 533
セッシ ョ ンの最大数 533
終了タイムアウ ト 534
コマンド行引数 534
「 X プロ ト コルエンジン 」 タブ 535
モニターの解像度 535
フォン トパス 536
RGB データベース 536
キーボードマップ 537
xviii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
ク ラ イアン ト ウ ィ ン ド ウのサイズ 538
セッシ ョ ン開始タイムアウ ト 539
セッシ ョ ンの最大数 539
終了タイムアウ ト 540
コマンド行引数 540
「 実行プロ ト コルエンジン 」 タブ 541
セッシ ョ ンの最大数 541
終了タイムアウ ト 541
ログインスク リプ トディ レク ト リ 542
コマンド行引数 543
「 チャネルプロ ト コルエンジン 」 タブ 543
パケッ ト圧縮 543
パケッ ト圧縮しきい値 544
終了タイムアウ ト 544
「 印刷プロ ト コルエンジン 」 タブ 545
パケッ ト圧縮 545
パケッ ト圧縮しきい値 546
終了タイムアウ ト 546
「 オーディオプロ ト コルエンジン 」 タブ 547
パケッ ト圧縮 547
「 IO Protocol Engine 」 タブ 548
パケッ ト圧縮 548
「 ユーザーセッシ ョ ン 」 タブ 549
「 ユーザーセッシ ョ ン リ ス ト 」 テーブル 549
「 アプ リ ケーシ ョ ンセッシ ョ ン 」 タブ 550
「 アプ リ ケーシ ョ ンセッシ ョ ン リ ス ト 」 テーブル 551
C. ユーザープロファ イル、アプ リ ケーシ ョ ン 、およびアプ リ ケーシ ョ ンサーバー 553
目次 xix
SGD オブジェク ト 553
3270 アプ リ ケーシ ョ ンオブジェク ト 554
5250 アプ リ ケーシ ョ ンオブジェク ト 556
アプ リ ケーシ ョ ンサーバーオブジェク ト 558
文字型アプ リ ケーシ ョ ンオブジェク ト 559
ディ レク ト リ : 組織オブジェ ク ト 561
ディ レク ト リ : 組織単位オブジェク ト 562
ディ レク ト リ ( 軽量 ): Active Directory コンテナオブジェク ト 563
ディ レク ト リ ( 軽量 ): ド メ インコンポーネン トオブジェク ト 564
ドキュ メン ト オブジェク ト 564
グループオブジェ ク ト 565
ユーザープロファ イルオブジェ ク ト 566
動的アプ リ ケーシ ョ ンオブジェ ク ト 568
動的アプ リ ケーシ ョ ンサーバーオブジェク ト 569
Windows アプ リ ケーシ ョ ンオブジェク ト 569
X アプ リ ケーシ ョ ンオブジェク ト 572
属性の参照 574
アド レス 574
SSH のダウングレードを許可 575
応答メ ッセージ 575
アプ リ ケーシ ョ ンコマンド 576
アプ リ ケーシ ョ ンの負荷分散 577
アプ リ ケーシ ョ ンの再開機能 578
アプ リ ケーシ ョ ンの再開機能 : タイムアウ ト 580
「 アプ リ ケーシ ョ ンセッシ ョ ン 」 タブ 582
アプ リ ケーシ ョ ン起動 583
Arguments 584
コマンドの引数 585
xx Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
「 割り当て済みのアプ リ ケーシ ョ ン 」 タブ 586
「 割り当て済みのユーザープロファ イル 」 タブ 588
属性マップ 593
オーディオ リ ダイレク ト ラ イブラ リ 594
背景色 595
帯域幅の制限 595
枠線のスタイル 597
ク ラ イアン ト ド ラ イブマッピング 597
ク ラ イアン ト印刷 600
ク ラ イアン ト印刷 : 上書き 601
ク ラ イアン トプロファ イルの編集 603
コードページ 604
発色数 605
カラーマップ 607
カラー品質 607
コマンドの圧縮 609
コマンドの実行 610
コ メ ン ト 611
接続終了アクシ ョ ン 612
接続方法 613
接続 614
接続方法 : SSH 引数 616
コンソールモード 616
コピー&ペース ト 617
コピー&ペース ト : アプ リ ケーシ ョ ンの Clipboard Security Level 619
カーソル 620
カーソルキーコードの変更 620
Cursor Settings 621
目次 xxi
Cursor Shadow 621
遅延更新 622
Cursor Shadow 623
表示される ソフ ト ボタン 623
ド メ イン名 624
電子メールアドレス 624
エ ミ ュレーシ ョ ンタイプ 625
環境変数 626
エスケープシーケンス 626
ユーロ文字 627
「 フ ァ イル 」 メニューと 「 設定 」 メニュー 628
フォン ト ファ ミ リ 629
フォン トサイズ 630
フォン トサイズ : 固定フォン トサイズ 630
Font Smoothing 631
前景色 632
Full Window Drag 632
グラフ ィ ッ クアクセラレーシ ョ ン 633
ヒ ン ト 634
「 ホス ト されているアプ リ ケーシ ョ ン 」 タブ 635
「 ホス ト しているアプ リ ケーシ ョ ンサーバー 」 タブ 636
アイコン 639
割り当て済みアプ リ ケーシ ョ ンを親から継承する 640
インターレースイ メージ 640
起動接続をオープンしたまま保持 641
キーボード コードの変更 642
キーボードマップ 642
キーボードマップ : ロ ッ ク 644
xxii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
キーボード タイプ 644
キオスクモードのエスケープ 645
行の折り返し 646
負荷分散グループ 647
ローカルク ラ イアン ト起動 647
ログイン 648
ログイン : 複数 649
ログイン名 650
ログインスク リプ ト 651
Universal PDF プリ ンタをデフォル トにする 652
Universal PDF ビューアをデフォル トにする 653
「 Mappings 」 タブ 654
最大数 655
「 メ ンバー 」 タブ 655
メニューのアニメーシ ョ ン 657
メニューバー 658
マウスの中ボタンのタイムアウ ト 658
モニターの解像度 659
マウス 660
名前 661
セッシ ョ ン数 663
数字パッ ド コードの変更 664
「 パスワード 」 タブ 664
パスワードキャ ッシュの使用 665
Postscript プ リ ンタ ド ラ イバ 666
プ リ ンタ設定のキャ ッシュ 668
プロンプ トのロケール 668
リ モー トオーディオ 669
目次 xxiii
スク ロールスタイル 670
シ リ アルポート マッピング 671
サーバーアドレス 672
サーバーポート 673
セッシ ョ ン終了 674
SGD Remote Desktop Client 675
類似セッシ ョ ン間で リ ソースを共有 676
ステータス行 677
姓 678
SWM ローカルウ ィ ンド ウ階層 678
端末タイプ 679
Theming 680
「 トークン 」 タブ 680
Universal PDF プ リ ンタ 681
Universal PDF ビューア 682
URL 683
ユーザー割り当て 684
「 ユーザーセッシ ョ ン 」 タブ 686
仮想サーバーブローカク ラス 687
仮想サーバーブローカパラ メータ 688
ウ ィ ン ド ウを閉じるアクシ ョ ン 688
ウ ィ ン ド ウの色 691
ウ ィ ン ド ウの色 : カスタム色 692
ウ ィ ン ド ウ管理キー 692
ウ ィ ン ド ウマネージャー 693
ウ ィ ン ド ウのサイズ : ク ラ イアン トの最大サイズ 694
ウ ィ ン ド ウのサイズ : カラム 695
ウ ィ ン ド ウのサイズ : 高さ 695
xxiv Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
ウ ィ ン ド ウのサイズ : 行 696
ウ ィ ン ド ウのサイズ : 最大化 697
ウ ィ ン ド ウのサイズ : ウ ィ ン ド ウに合わせて拡大縮小する 697
ウ ィ ン ド ウのサイズ : 幅 698
ウ ィ ン ド ウタイプ 699
ウ ィ ン ド ウタイプ : 新規ブラウザウ ィ ン ド ウ 702
作業用ディ レク ト リ 702
X セキュ リ テ ィー拡張機能 703
D. コマンド 705
tarantella コマンド 706
形式 706
説明 706
使用例 708
tarantella archive コマンド 709
形式 709
説明 709
使用例 709
tarantella array コマンド 709
形式 710
説明 710
使用例 711
tarantella array add_backup_primary 711
tarantella array clean 712
tarantella array detach 713
tarantella array edit_backup_primary 714
tarantella array join 715
tarantella array list 717
tarantella array list_backup_primaries 717
目次 xxv
tarantella array make_primary 718
tarantella array remove_backup_primary 719
tarantella cache コマンド 720
形式 721
説明 721
使用例 722
tarantella config コマンド 722
形式 722
説明 722
使用例 723
tarantella config edit 723
tarantella config list 725
tarantella emulatorsession コマンド 727
形式 727
説明 727
使用例 728
tarantella emulatorsession list 728
tarantella emulatorsession info 730
tarantella emulatorsession shadow 732
tarantella emulatorsession suspend 733
tarantella emulatorsession end 734
tarantella help コマンド 735
形式 736
説明 736
使用例 736
tarantella object コマンド 736
形式 737
説明 737
xxvi Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
使用例 739
tarantella object add_host 739
tarantella object add_link 740
tarantella object add_mapping 741
tarantella object add_member 743
tarantella object delete 744
tarantella object edit 745
tarantella object list_attributes 746
tarantella object list_contents 747
tarantella object new_3270app 748
tarantella object new_5250app 753
tarantella object new_charapp 758
tarantella object new_container 763
tarantella object new_dc 763
tarantella object new_doc 764
tarantella object new_dynamicapp 766
tarantella object new_group 768
tarantella object new_host 769
tarantella object new_org 772
tarantella object new_orgunit 774
tarantella object new_person 777
tarantella object new_windowsapp 780
tarantella object new_xapp 786
tarantella object remove_host 791
tarantella object remove_link 792
tarantella object remove_mapping 793
tarantella object remove_member 795
tarantella object rename 796
目次 xxvii
tarantella object script 797
tarantella passcache コマンド 798
形式 798
説明 798
使用例 799
tarantella passcache delete 799
tarantella passcache edit 801
tarantella passcache list 803
tarantella passcache new 805
tarantella print コマンド 807
形式 807
説明 807
使用例 808
tarantella print cancel 808
tarantella print list 809
tarantella print move 811
tarantella print pause 812
tarantella print resume 813
tarantella print start 814
tarantella print status 815
tarantella print stop 816
tarantella query コマンド 817
形式 818
説明 818
使用例 818
tarantella query audit 818
tarantella query billing 821
tarantella query errlog 823
xxviii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
tarantella query uptime 824
tarantella restart コマンド 824
形式 825
説明 825
使用例 826
tarantella restart sgd 826
tarantella restart webserver 827
The tarantella role コマンド 828
形式 829
説明 829
使用例 829
tarantella role add_link 830
tarantella role add_member 831
tarantella role list 832
tarantella role list_links 832
tarantella role list_members 833
tarantella role remove_link 834
tarantella role remove_member 835
tarantella security コマンド 836
形式 837
説明 837
使用例 838
tarantella security certinfo 838
tarantella security certrequest 840
tarantella security certuse 842
tarantella security customca 844
tarantella security decryptkey 845
tarantella security disable 846
目次 xxix
tarantella security enable 847
tarantella security fingerprint 849
tarantella security peerca 850
tarantella security selfsign 851
tarantella security start 851
tarantella security stop 852
tarantella service コマンド 853
形式 854
説明 854
使用例 854
tarantella service delete 854
tarantella service edit 855
tarantella service list 859
tarantella service new 860
tarantella setup コマンド 865
形式 866
説明 866
使用例 866
tarantella start コマンド 866
形式 866
説明 866
使用例 867
tarantella start cdm 867
tarantella start sgd 868
tarantella start webserver 869
tarantella status コマンド 869
形式 870
説明 870
xxx Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
使用例 871
tarantella stop コマンド 871
形式 872
説明 872
使用例 873
tarantella stop cdm 873
tarantella stop sgd 874
tarantella stop webserver 875
tarantella tokencache コマンド 876
形式 876
説明 876
使用例 876
tarantella tokencache delete 877
tarantella tokencache list 877
tarantella tscal コマンド 878
形式 879
説明 879
使用例 879
tarantella tscal free 879
tarantella tscal list 881
tarantella tscal return 882
tarantella uninstall コマンド 883
形式 884
説明 884
使用例 884
tarantella version コマンド 884
形式 885
説明 885
目次 xxxi
使用例 885
tarantella webserver コマンド 885
形式 886
説明 886
使用例 886
tarantella webserver add_trusted_user 886
tarantella webserver delete_trusted_user 887
tarantella webserver list_trusted_users 888
tarantella webtopsession コマンド 889
形式 889
説明 889
使用例 890
tarantella webtopsession list 890
tarantella webtopsession logout 891
E. ログインスク リプ ト 893
SGD で提供するログインスク リプ ト 893
アプ リ ケーシ ョ ンの設定時に使用されるログインスク リプ ト 894
共通のコードを含むログインスク リプ ト 896
ログインスク リプ トの Tcl コマンドおよびプロシージャー 897
SGD アプ リ ケーシ ョ ン認証ダイアログの制御 898
SGD 進行状況ダイアログの制御 901
アプ リ ケーシ ョ ンサーバーへの接続の制御 902
ログインスク リプ トの変数 907
ログインスク リプ トの保証されている変数 907
ログインスク リプ トのオプシ ョ ン変数 909
ログインスク リプ トのタイムアウ ト時間 915
Expect のタイムアウ ト時間 916
ク ラ イアン ト タ イマー 917
xxxii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
その他のタイムアウ ト時間 919
ログインスク リプ トのエラーメ ッセージ 920
F. サードパーティーのご 利 用条件 927
Apache License, Version 2.0 928
Cryptix 934
JACL/TCL 934
OpenMotif 936
OpenSSL 941
TeemTalk 944
Unicode Character Database 944
X Window System (X11R6.8.2) 952
XML Parser 952
zlib 953
用語集 955
目次 xxxiii
xxxiv Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
はじめに
『 Oracle Secure Global Desktop 4.6 管理者ガイ ド 』 は、 Oracle Secure Global Desktop (SGD) を使用して設定、管理、および問題の ト ラブルシューティングを行う方法について説明する総合的なガイ ドです。 このマニュアルは、 SGD 管理者向けに記述されています。
内容の紹介第 1 章では、使用しているネッ ト ワークインフラス ト ラ クチャーに SGD を組み込み、SGD で使用されるネッ ト ワーク接続をセキュ リ テ ィー保護する方法について説明します。
第 2 章では、ユーザーが SGD サーバーに対して認証を実行して SGD にログインする方法について説明します。 また、ユーザーがアプ リ ケーシ ョ ンサーバー対して認証を実行してアプ リ ケーシ ョ ンを実行する方法についても説明します。
第 3 章では、組織階層を使って SGD ユーザーを管理し 、 SGD ユーザーがアプ リ ケーシ ョ ンにアクセスできるよ うにする方法について説明します。
第 4 章では、ユーザーが SGD を介して実行できるアプ リ ケーシ ョ ンを設定するためのアドバイス と 、アプ リ ケーシ ョ ンに関する問題を診断および修正する方法について説明します。
第 5 章では、 SGD に表示されるアプ リ ケーシ ョ ンから周辺装置や他のク ラ イアン トデバイス機能へのサポート を可能にする方法について説明します。
第 6 章では、 SGD Client のインス トール、設定、および実行の方法について説明します。 また、 Webtop の設定についても説明します。
第 7 章では、 SGD サーバーおよびアレイの設定および監視の方法について説明します。 Administration Console 、 ログフ ィルタ 、 インス トールのバッ クアップなど 、SGD のシステム管理機能の一部についても説明します。
xxxv
付録 A では、パスワードキャ ッシュやトークンキャ ッシュなど 、アレイ内のすべての SGD サーバーに適用されるグローバル設定について説明します。
付録 B では、アレイ内の指定された SGD サーバーに適用されるサーバー設定について説明します。
付録 C では、 SGD およびその属性に含まれる 、サポート されているオブジェク ト型について説明します。 Administration Console を使って属性を設定する方法と 、それに対応する SGD コマンド行の使用法について詳し く説明します。
付録 D では、使用可能な SGD コマンドについて説明します。 コマンドごとに、使用例も記載されています。
付録 E には、 SGD ログインスク リプ トに関する参照情報が記載されています。 この情報を使って、標準の SGD ログインスク リプ ト をカスタマイズするこ と も 、ユーザー独自のログインスク リプ ト を開発するこ と もできます。
UNIX コマンドの使用法このマニュアルには、システムのシャ ッ ト ダウン 、システムのブート 、デバイスの設定といった基本的な UNIX® のコマンドや手順に関する情報は記載されていない場合があ り ます。 このよ う な情報については、使用しているシステムのマニュアルを参照して ください。ただし 、それぞれの SGD コマンドに関する情報はこのマニュアルに記載されています。
xxxvi Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
シェルプロンプ ト
表記上の規則
注 - ブラウザの設定によって、文字の表示が異なり ます。文字が正し く表示されない場合は、使用しているブラウザの文字エンコーディングを Unicode UTF-8 に変更して ください。
シェル プロンプ ト
C シェル machine-name%
C シェルスーパーユーザー machine-name#
Bourne シェルおよび Korn シェル $
Bourne シェルおよび Korn シェルスーパーユーザー #
字体 意味 使用例
AaBbCc123 コマン ド名、 ファ イル名、およびディ レク ト リ名を示します。または、画面上のコンピュータ出力を示します。
.login ファ イルを編集します。ls -a を使用してすべてのファ イルを表示します。
% You have mail.
AaBbCc123 ユーザーが入力する文字を 、画面上のコンピュータ出力とは区別して示します。
% su
Password:
AaBbCc123 書名、新規語や新規用語、強調する語句を示します。 コマンド行の変数を示します。実際に使用する特定の名前または値で置き換えます。
『 ユーザーガイ ド 』 の第 6 章を参照してください。
これらはクラスオプションと呼ばれます。
ファ イルを削除するには、 rm filename と入力します。
はじめに xxxvii
関連マニュアル次の表は、 この製品に関するマニュアルの一覧を示しています。オンラ インマニュアルは、次のサイ トで参照できます。
http://download.oracle.com/docs/cd/E19351-01/index.html
サードパーティーの Web サイ トSun は、 このマニュアルに記載されているサードパーティーの Web サイ トが 利用可能かど うかについて責任を負いません。 Sun は、そのよ うなサイ トやリ ソース上に存在する 、 またはそれらを通じて得られる 、あらゆる内容、広告、製品、 またはその他の資料を保証するものではなく 、それらに対するいかなる責任または義務も負いません。 Sun は、そのよ うなサイ トやリ ソース上に存在する 、 またはそれらを通じて得られる 、それらのあらゆる内容、商品、 またはサービスによって、 またはそれらの使用に関連して、 またはそれらを信頼するこ とによって生じた、実際の損害または損失あるいは主張される損害または損失に対する 、いかなる責任または義務も負いません。
アプリケーシ ョ ン タイ トル Part Number 形式 ロケーシ ョ ン
リ リース ノー ト 821-1928 HTMLPDF
オンライン
ソフ ト ウェア CD およびオンライン
インス トール Oracle Secure Global Desktop 4.6 インス トールガイ ド
821-2162 HTMLPDF
オンライン
ソフ ト ウェア CD およびオンライン
管理 Oracle Secure Global Desktop 4.6 管理者ガイ ド
821-2167 HTMLPDF
オンライン
ユーザー Oracle Secure Global Desktop 4.6 ユーザーガイ ド
821-2157 HTMLPDF
オンライン
管理 Oracle Secure Global Desktop 4.6 Gateway 管理者ガイ ド
821-2166 HTMLPDF
オンライン
xxxviii Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
http://download.oracle.com/docs/cd/E19351-01/index.html
マニ ュ アルのフ ィ ー ド バ ッ クこ の マ ニ ュ ア ル に 関 す る コ メ ン ト は 、 [email protected] へ 送 付 し て く だ さ い 。 フ ィ ー ド バ ッ ク には 、 次のよ う に 、 マニ ュ アルのタ イ ト ル と Part Number を含める よ う にし て く だ さ い 。
Oracle Secure Global Desktop 4.6 管理者ガ イ ド 、 Part Number 821-2167
はじめに xxxix
xl Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
第 1 章
ネッ ト ワーク とセキュ リ テ ィー
この章では、使用しているネッ ト ワーク インフラス ト ラ クチャーに Oracle Secure Global Desktop (SGD) を組み込み、 SGD で使用されるネッ ト ワーク接続をセキュ リテ ィー保護する方法について説明します。
この章の内容は、次のとおりです。
■ 1 ページの 「 ネッ ト ワーク とセキュ リ テ ィーの概要 」
■ 3 ページの 「 DNS 名 」
■ 8 ページの 「 プロキシサーバー 」
■ 13 ページの 「 ファ イアウォール 」
■ 19 ページの 「 SGD サーバーへのセキュ リ テ ィー保護された接続 」
■ 39 ページの 「 SGD サーバーへのセキュ リ テ ィー保護された接続の調整 」
ネッ ト ワーク とセキュ リ テ ィーの概要SGD の使用時には、 ク ラ イアン トデバイスがアプ リ ケーシ ョ ンサーバーに直接接続するこ とはあ り ません。代わりに、 ク ラ イアン トデバイスは HTTP (Hypertext Transfer Protocol) または HTTPS (HTTP over Secure Sockets Layer) および SGD Adaptive Internet Protocol (AIP) を使用して SGD に接続します。次に、 SGD がユーザーに代わってアプ リ ケーシ ョ ンサーバーに接続します。
SGD の使用時に関係している主要なネッ ト ワーク接続を次に示します。
■ ク ラ イアン トデバイス と SGD サーバーの間の接続
■ SGD サーバーとアプ リ ケーシ ョ ンサーバーの間の接続
■ アレイ内の SGD サーバー間の接続
デフォル トの SGD インス トールでは、ほとんどのネッ ト ワーク接続がセキュ リ テ ィー保護されていません。以降の節では、 これらのネッ ト ワーク接続をセキュ リ テ ィー保護する方法について説明します。
1
ク ラ イアン トデバイス と SGD サーバーの間の接続ク ライアン トデバイスは SGD サーバーに対して以下の接続を確立します。
■ HTTP 接続。 SGD Web サーバーに対する接続であ り 、 SGD Web サービス 、SGD に対する認証、および Webtop を表示するために使用されます。
■ AIP 接続。 SGD Client と SGD サーバーの間の接続であ り 、アプ リ ケーシ ョ ンの表示に使用されます。
これらの接続を保護するためには、 SGD Web サーバーを安全な Web サーバー (HTTPS) と して設定し 、 SGD セキュ リ テ ィーサービスを有効にします。詳細については、 19 ページの 「 SGD サーバーへのセキュ リ テ ィー保護された接続 」 を参照してください。
ク ラ イアン トデバイス と SGD サーバーの間のセキュ リ テ ィーのレベルを向上させるために SGD Secure Gateway を使用できます。 Gateway を使用する場合、 ク ラ イアン トデバイスは SGD に直接接続します。 SGD Gateway をインス トール、設定、および使用するための手順については、 Oracle Secure Global Desktop 4.6 Gateway 管理者ガイ ドを参照して ください。
SGD サーバーとアプ リ ケーシ ョ ンサーバーの間の接続
SGD サーバーとアプ リ ケーシ ョ ンサーバー間の接続は、アプ リ ケーシ ョ ンサーバー上でアプリ ケーシ ョ ンを起動するため、および、キーを押す操作や表示の更新など 、アプ リ ケーシ ョ ン との間でデータを送受信するために使用されます。
SGD とアプ リ ケーシ ョ ンサーバー間のセキュ リ テ ィーレベルは、アプ リ ケーシ ョ ンサーバーのタイプと使用するプロ ト コルによって変わり ます。
UNIX または Linux システムのアプ リ ケーシ ョ ンサーバー
telnet プロ ト コルまたは rexec コマンドを使用して接続する と きは、すべての通信およびパスワードが暗号化されないで送信されます。
UNIX® または Linux システムのアプ リ ケーシ ョ ンサーバーへのセキュ リ テ ィー保護された接続には、 SSH (Secure Shell) を使用します。 SSH は、送信前に SGD ホス ト間のすべての通信とパスワードを暗号化します。 190 ページの 「 SSH の使用 」 を参照して ください。
デフォルトで、 SGD は X 認証を使用して X ディ スプレイのセキュ リティーを保護し 、アクセスが許可されていないユーザーからの X ディ スプレイへのアクセスを防止します。
2 Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
Microsoft Windows アプ リ ケーシ ョ ンサーバーWindows アプ リ ケーシ ョ ンは Microsoft Remote Desktop (RDP) プロ ト コルを使用します。つま り 、すべての通信は暗号化され、 Microsoft Windows アプ リ ケーシ ョ ンサーバーへの接続はセキュ リ テ ィー保護されます。
Web アプ リ ケーシ ョ ンサーバー次に示すよ うに、セキュ リ テ ィーのレベルは、 Web アプ リ ケーシ ョ ンをホス トするために使用する Web サーバーのタイプによって異な り ます。
■ HTTP Web サーバー – すべての通信が暗号化されません
■ HTTPS Web サーバー – すべての通信が暗号化されます
Web アプ リ ケーシ ョ ンサーバーへのセキュ リ テ ィー保護された接続には、 HTTPS Web サーバーを使用します。
アレイ内の SGD サーバー間の接続アレイ全体の静的および動的なデータの共有には、 SGD サーバー間の接続が使用されます。 これらの接続で伝送される情報の詳細については、 357 ページの 「 アレイ全体へのデータの複製 」 を参照して ください。標準インス トールでは、アレイ内の SGD サーバー間で送信されるデータは暗号化されません。 これらの接続をセキュ リテ ィー保護する方法の詳細は、 358 ページの 「 アレイ内のセキュ リ テ ィー保護された通信 」 を参照して ください。
DNS 名SGD の主要な DNS (Domain Name System) 要件を次に示します。
■ ホス トの DNS エン ト リは、すべてのク ラ イアン トで解決可能であるこ とが必要です。
■ ホス トの DNS 検索と逆検索が常に成功する必要があ り ます。
■ すべてのク ラ イアン トデバイスが DNS を使用する必要があ り ます。
SGD サーバーは複数の DNS 名を持つこ とができます。各 SGD サーバーには、1 つのピア DNS 名と 1 つ以上の外部 DNS 名が割り当てられます。
注 - SGD を設定する と きは、完全指定 DNS 名を使用するのが最良の方法です。
第 第 1 章 章ネッ トワークとセキュリテ ィー 3
「 ピア DNS 名 」 とは、アレイ内の SGD サーバーが相互に識別するために使用する DNS 名のこ とです。たとえば、 boston.example.com などです。
「 外部 DNS 名 」 とは、 SGD Client が SGD サーバーへの接続に使用する DNS 名のこ とです。たとえば、 www.example.com などです。
上記の 2 種類の DNS 名は、 SGD ホス ト上の同一ネッ ト ワーク インタフェースに関連付けるこ と も 、それぞれ別のネッ ト ワーク インタフェースで使用するこ と もできます。 これらの DNS 名は、完全修飾 DNS 名である必要があ り ます。
SGD のインス トール時に、 SGD サーバーの DNS 名の入力を要求されます。 これには、 ファ イアウォールの内側で使用されるピア DNS 名を指定する必要があ り ます。これは、 SGD Web サーバーがバインドする DNS 名です。
インス トール後、各 SGD サーバーに 1 つ以上の外部 DNS 名を設定できます。外部 DNS 名は、 SGD Client が SGD サーバーへの接続時に使用します。デフォル トでは、 ピア DNS 名は外部 DNS 名と しても使用されます。
ファ イアウォールがあるネッ ト ワークでは、一部の名前を 、 インターネッ ト上などファ イアウォールの外側で使用できるよ うにし 、他の名前をファ イアウォールの内側で使用できるよ うにするこ とが必要になる場合もあ り ます。たとえば、 ファ イアウォールの外側にいるユーザーは、 www.example.com を使用できるよ うにし 、boston.example.com を使用できないよ うにします。 ファ イアウォールの内側にいるユーザーは、 どちらの名前も使用できるよ うにします。
注意 - すべての SGD サーバーをファ イアウォールの外側で使用可能にする必要はあり ません。ただし 、ユーザーがファ イアウォールの内側と外側の両方から SGD サーバーにログインする場合、 ファ イアウォールの外側からログインした際に一部のアプリ ケーシ ョ ンを再開できないこ とがあ り ます。
SGD Gateway を使用する場合、 ク ラ イアン トデバイスは Gateway またはロードバランサの DNS 名を使用するのではな く 、直接 SGD に接続します。外部 DNS 名は、Gateway を経由せずにク ラ イアン トに直接接続する場合にのみ使用されます。Gateway をインス トール、設定、および使用するための手順については、 Oracle Secure Global Desktop 4.6 Gateway 管理者ガイ ドを参照して ください。
外部ハード ウェアロードバランサやラウンド ロビン DNS などの機構を使用している場合に、ユーザーの接続先となる SGD サーバーを制御するには、 これらの機構と連携して動作するよ うに SGD を設定する必要があ り ます。 376 ページの 「 ユーザーセッシ ョ ンの負荷分散 」 を参照して ください。
この節の内容は、次のとおりです。
■ 5 ページの 「 外部 DNS 名の設定 」
■ 6 ページの 「 SGD サーバーのピア DNS 名の変更 」
4 Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
外部 DNS 名の設定SGD Client は、 SGD サーバーに直接接続する場合、 SGD サーバーが提供する外部 DNS 名を使用します。実際に使用される DNS 名は、 ク ラ イアン トの IP (Internet Protocol) アドレスをも とに決ま り ます。
SGD Gateway を使用する場合は、 SGD Gateway を経由しない、 ク ラ イアン トの直接接続にのみ外部 DNS 名が使用されます。
外部 DNS 名は、 ク ラ イアン ト IP アドレスを DNS 名に適合させる 1 つ以上のフ ィルタを設定するこ とによって設定します。各フ ィルタの形式は、Client-IP-Pattern:DNS-Name ÇÝDzÅB
Client-IP-Pattern には、次のいずれかを指定できます。
■ 1 つ以上のク ラ イアン トデバイスの IP アドレスに合致する正規表現。たとえば、192.168.10.* のよう に指定します。
■ 1 つ以上のク ラ イアン トデバイスの IP アドレスに合致する 、 ビッ ト数で表現されるサブネッ ト マスク 。たとえば、 192.168.10.0/22 のよう に指定します。
SGD サーバーには複数のフ ィルタを設定できます。 SGD は最初に合致する Client-IP-Pattern を使用するため、 フ ィルタの順番は重要です。
注意 - SGD がファ イアウォール転送に対応するよ うに設定されている場合は、 SGD がク ラ イアン トデバイスの IP アドレスを決定できな くなるため、複数の外部 DNS 名を使用できません。 この場合は、 1 つの外部 DNS 名 ( たとえば、*:www.example.com) を設定できます。次に、分割 DNS を使用するこ とによ り 、ク ラ イアン トはファ イアウォールの内側にあるか外側にあるかに応じて、 DNS 名を異なる IP アドレスに解決できます。 25 ページの 「 ファ イアウォール越え 」 を参照して ください。
外部 DNS 名の設定例を次に示します。
この設定によ り 、次の内容が適用されます。
■ IP アドレスが 192.168.10 で始まるク ラ イアン トは、 boston.example.com に接続します。
■ それ以外のク ラ イアン トはすべて、 www.example.com に接続します。
フ ィルタの順番を逆にした場合は、すべてのク ラ イアン トが www.example.com に接続します。
"192.168.10.*:boston.example.com,*:www.example.com"
第 第 1 章 章ネッ トワークとセキュリテ ィー 5
▼ SGD サーバーの外部 DNS 名を設定する方法SGD サーバーにログインしているユーザーがいないこ と 、および実行中のアプ リ ケーシ ョ ンセッシ ョ ン ( 中断されているアプ リ ケーシ ョ ンセッシ ョ ンを含む ) がないことを確認して ください。
1. Administration Console で、 「 SGD サーバー 」 タブに移動し 、 SGD サーバーを選択します。
「 一般 」 タブが表示されます。
2. 「 外部 DNS 名 」 フ ィールドに、外部 DNS 名の 1 つ以上のフィルタを入力します。
各フ ィルタがク ラ イアン ト IP アドレスを DNS 名に適合させます。
フ ィルタを入力するたびに、 Return キーを押します。
各フ ィルタの形式については、 5 ページの 「 外部 DNS 名の設定 」 を参照して ください。
フ ィルタの順番は重要です。最初に一致したエン ト リが使用されます。
3. 「 保存 」 をク リ ッ ク します。
4. SGD サーバーを再起動します。
外部 DNS 名の設定を変更したと き 、 これを反映するには SGD サーバーを再起動する必要があ り ます。
SGD サーバーのピア DNS 名の変更ソフ ト ウェアを再インス トールしな くても SGD サーバーのピア DNS 名を変更できます。 7 ページの 「 SGD サーバーのピア DNS 名を変更する方法 」 を参照して ください。
ピア DNS 名を変更する前に、 SGD サーバーをアレイから切り離して停止する必要があ り ます。
DNS 名の変更後、 /opt/tarantella/var/log/SERVER_RENAME.log ファ イルには変更内容の詳細が記録されています。既存のサーバーセキュ リ テ ィー証明書は、/opt/tarantella/var/tsp.OLD.number ディ レク ト リにバッ クアップされます。
SGD サーバーをアプ リ ケーシ ョ ンサーバーと して使用する場合は、アプ リ ケーシ ョンサーバーオブジェク ト を手動で再設定する必要があ り ます。そのためには、アプ リケーシ ョ ンサーバーの DNS 名を変更し 、必要に応じてオブジェク トの名前を変更します。
6 Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
SGD プ リ ンタキューを UNIX または Linux プラ ッ ト フォームのアプ リ ケーシ ョ ンサーバーにインス トールした場合は、 SGD サーバーの古い DNS 名を使用するプ リ ンタキューを削除し 、 SGD サーバーの新しい DNS 名を使用する新しいプ リ ンタキューを設定するこ とが必要になるこ とがあ り ます。 243 ページの 「 UNIX および Linux プラ ッ ト フォームのアプ リ ケーシ ョ ンサーバーの印刷の設定 」 を参照して ください。
▼ SGD サーバーのピア DNS 名を変更する方法SGD サーバーにログインしているユーザーがいないこ と 、および実行中のアプ リ ケーシ ョ ンセッシ ョ ン ( 中断されているアプ リ ケーシ ョ ンセッシ ョ ンを含む ) がないことを確認して ください。
ピア DNS 名の変更は、 コマンド行からのみ行う こ とができます。
1. SGD ホス トにスーパーユーザー (root) と してログインします。
2. SGD サーバーをアレイから切り離します。
プラ イマ リ SGD サーバーのピア DNS 名を変更する場合は、最初に別のサーバーをプラ イマ リサーバーにしてから 、サーバーを切り離して ください。
切り離したサーバーで tarantella status コマンドを実行して、そのサーバーがアレイから切り離されているこ とを確認して ください。
3. SGD サーバーを停止します。
4. SGD ホス トの DNS 名の変更が反映されたこ とを確認します。
DNS 設定を確認し 、ほかの SGD サーバーがこの新しい DNS 名を解決できる こ とを確認します。場合によっては、 SGD ホス トの /etc/hosts および/etc/resolv.cnf ファ イルも編集する必要があ り ます。
5. SGD サーバーの DNS 名を変更します。
次のコマンドを使用します。
完全指定 DNS 名を使用するのが最良の方法です。
サーバーの外部 DNS 名を変更するには、 --extdns オプシ ョ ンを使用します。このオプシ ョ ンが機能するのは、 SGD サーバーの外部 DNS 名が 1 つの場合のみです。サーバーの外部 DNS 名が複数ある場合は、外部 DNS 名を手動で更新する必要があ り ます。 5 ページの 「 外部 DNS 名の設定 」 を参照して ください。
プロンプ トが表示されたら 、 Y と入力して名前の変更を続行します。
# tarantella array detach --secondary serv
# tarantella serverrename --peerdns newname [ --extdns newname ]
第 第 1 章 章ネッ トワークとセキュリテ ィー 7
6. アレイ内のセキュ リ テ ィー保護された通信に使用される証明書を再生成します。
アレイ内のセキュ リ テ ィー保護された通信の詳細は、 358 ページの 「 アレイ内のセキュ リ テ ィー保護された通信 」 を参照して ください。
SGD Gateway を使用している場合は、それぞれの SGD Gateway に新しいピア認証局 (CA) 証明書をインス トールする必要があ り ます。
7. ( 省略可能 ) サーバー SSL 証明書を置き換えます。
新しいピア DNS 名が SGD サーバーによって使用される SSL 証明書の中に含まれていない場合、その証明書を置き換える必要があ り ます。詳細については 24 ページの 「 サーバー SSL 証明書を置き換える方法 」 を参照して ください。
SGD Gateway を使用している場合は、それぞれの SGD Gateway に新しいサーバー SSL 証明書をインス トールする必要があ り ます。
8. SGD Web サーバーと SGD サーバーを再起動します。
9. SGD サーバーをアレイに連結します。
アレイに連結するサーバーの時刻がそのアレイ内の他のサーバーの時刻と同期している必要があ り ます。時間差が 1 分を超えている場合、アレイの連結操作は失敗します。
プロキシサーバープロキシサーバーを介して SGD に接続できるよ うにするには、プロキシサーバーのアドレス とポー ト番号を使ってク ラ イアン トデバイスを設定するこ とが必要となる場合があ り ます。 また、サーバー側プロキシサーバーに関する情報をク ラ イアン トに渡すよ う 、 SGD を設定する必要がある場合もあ り ます。
この節の内容は、次のとおりです。
■ 9 ページの 「 サポート されているプロキシサーバー 」
■ 9 ページの 「 ク ラ イアン トプロキシ設定の設定 」
■ 11 ページの 「 プロキシサーバーのタイムアウ ト 」
■ 11 ページの 「 サーバー側のプロキシサーバーの設定 」
# tarantella security keystoregen
# tarantella array join --primary p-serv --secondary s-serv
8 Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
サポート されているプロキシサーバー
サポート されているプロキシサーバーは、http://docs.sun.com/app/docs/doc/821-1928 で参照可能な 『 』 に一覧表示されています。
ク ラ イアン トプロキシ設定の設定
ク ライアン トプロキシ設定を設定するには、 HTTP 接続と AIP 接続の両方に対してプロキシ設定を設定する必要があ り ます。設定方法の詳細は、後続の節を参照して ください。
HTTP 接続HTTP 接続とは、ユーザーのブラウザと SGD Web サーバー間の接続のこ とで、Webtop を表示する場合などに使用されます。 これらの接続では、ブラウザ用に設定されたプロキシ設定が常に使用されます。
AIP 接続AIP 接続とは、 SGD Client と SGD サーバー間の接続のこ とで、アプ リ ケーシ ョ ンを表示するために使用されます。 これらの接続では、 ク ラ イアン トプロファ イル内の設定によって、 SGD Client がプロキシ設定をブラウザ側の設定またはク ラ イアン トプロファ イル自身の設定のどちらをも とに決めるかが制御されます。
SGD Client は常に、直近に使用したプロキシ設定をク ラ イアン トプロファ イルキャッシュに保存しています。詳細については、 339 ページの 「 プロファ イルキャ ッシュについて 」 を参照して ください。
注 - AIP 接続用の SOCKS プロキシは、アレイルート を指定するこ とによってのみ設定できます。詳細は、 11 ページの 「 サーバー側のプロキシサーバーの設定 」 を参照して ください。
ブラウザ側の設定をも とにプロキシ設定を決定する
ク ライアン トプロファ イルで 「 デフォル トの Web ブラウザ設定を使用する 」 チェ ックボッ クスが選択されている場合は、ユーザーのデフォル トブラウザ側の設定をも とにプロキシサーバー設定が決められます。 SGD Client は、 このプロキシ設定をク ライアン トデバイス上のプロファ イルキャ ッシュに格納し 、次回の起動時にこれらの設定を使用します。
第 第 1 章 章ネッ トワークとセキュリテ ィー 9
http://docs.sun.com/app/docs/doc/821-1928http://docs.sun.com/app/docs/doc/821-1928
ク ラ イアン トプロファ イルで 「 セッシ ョ ン開始時にプロキシ設定を確立する 」 が選択されている場合は、 SGD Client が起動するたびに、ブラウザからプロキシ設定が取得されます。保存済みのプロキシ設定は使用されません。 ク ラ イアン トプロファ イルで 「 自動ク ラ イアン ト ログイン 」 が選択されている場合は、 「 セッシ ョ ン開始時にプロキシ設定を確立する 」 設定は無効にな り ます。
SGD Client が統合モードであ り 、プロファ イルキャ ッシュにプロキシ設定が存在しない場合、 SGD Client は直接接続を試みます。
ブラウザ側の設定をも とにプロキシ設定を決めるためには、ブラウザ側で Java テクノ ロジが有効になっている必要があ り ます。 Java テク ノ ロジが使えない、あるいはブラウザ側で無効にしている場合は、 ク ラ イアン トプロファ イルに手動でプロキシ設定を指定する必要があ り ます。
注 - プロキシサーバー設定が Sun Java Plugin ツール用の Java コン ト ロールパネルで定義されていれば、ブラウザ側の設定の代わりにこの設定が使われます。
ク ラ イアン トプロファ イルにプロキシ設定を指定する
ク ライアン トプロファ イルで 「 手動プロキシ設定 」 チェ ッ クボッ クスが選択されている場合は、 ク ラ イアン トプロファ イル自身に HTTP または SSL プロキシサーバーを指定できます。
プロキシサーバーの自動設定スク リプ トの使い方
ブラウザ側の設定をも とにク ラ イアン トプロキシサーバー設定を決める場合は、自動設定スク リプ ト を使って自動的にプロキシ設定を行う こ とができます。
設定スク リプ トの URL (Uniform Resource Locator) を 、ブラウザの接続設定に指定します。自動設定スク リプ トは JavaScript™ プログラ ミ ング言語で記述する必要があり ます。 ファ イル拡張子は .pac ですが、 ファ イル拡張子がな くてもかまいません。詳細については、 「 Proxy Auto-Config File 」 を参照して ください。
注 - この形式は、 SGD がサポート しているすべてのブラウザで使用します。
プロキシサーバーの例外リ ス ト
プロキシサーバーの例外リ ス ト を使用して、プロキシを使用しない接続を制御できます。プロキシ例外リ ス トは、ブラウザ側の設定をも とにプロキシ設定を決める場合にのみ使えます。例外リ ス トは、 ク ラ イアン トプロファ イルでは設定できません。例外リ ス トはブラウザまたは Sun Java Plugin ツールで設定できます。
10 Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
http://en.wikipedia.org/wiki/Proxy_auto-config
例外リ ス ト とは、 DNS ホス ト名の リ ス ト のこ とです。 Internet Explorer では、 このリ ス トはセ ミ コロン区切りの リ ス ト にな り ます。 Mozilla ベースのブラウザのでは、この リ ス トはコンマ区切りの リ ス ト にな り ます。例外リ ス トには、 ワイルドカード * を含めるこ とができます。
例外リ ス トでは、 DNS ホス ト名と IP アドレスの間の変換が実行されません。たとえば、 *.example.com とい う例外リ ス ト を使用した場合、chicago.example.com および detroit.example.com への接続ではプロキシサーバーが使用されませんが、 これらのホス トに IP アドレスを使用する接続ではプロキシサーバーが使用されます。
例外リ ス トには、必ず次のエン ト リ を含める必要があ り ます。
プロキシサーバーのタイムアウ ト
アクティ ビテ ィーが何も行なわれない接続については、プロキシサーバーが一定時間の経過後にその接続を停止する可能性があ り ます。デフォル トでは、 SGD が AIP キープアライブパケッ ト を 100 秒に 1 度送信して、接続が開いた状態で維持されます。
一定時間が経過したあとにアプ リ ケーシ ョ ンの表示が消える場合は、 AIP キープアライブパケッ トの送信頻度を高く してみて ください。
Administration Console で、 「 グローバル設定 」 → 「 通信 」 タブに移動し 、「 AIP keepalive の頻度 」 フ ィールドの値を減らします。 または、次のコマンドを実行します。
注 - この属性に対する変更を反映するには、アレイ内のすべての SGD サーバーを再起動して ください。
サーバー側のプロキシサーバーの設定
SGD Client がサーバー側の SOCKS version 5 プロキシサーバーを介して接続するように SGD を設定できます。実際に使用されるプロキシサーバーは、 ク ラ イアン トの IP アドレスをも とに決ま り ます。 これは、 「 アレイルート 」 と して知られています。
SGD Gateway を使用する場合は、 SGD Gateway を経由しない、 ク ラ イアン トの接続にのみアレイルートが使用されます。
localhost; 127.0.0.1
$ tarantella config edit --sessions-aipkeepalive secs
第 第 1 章 章ネッ トワークとセキュリテ ィー 11
アレイルートは、 ク ラ イアン ト IP アドレスをサーバー側のプロキシサーバーに適合させる 1 つ以上のフィルタを設定するこ とによって設定します。各フィルタの形式は、Client-IP-Pattern:type:host:port です。
Client-IP-Pattern には、次のいずれかを指定できます。
■ 1 つ以上のク ラ イアン ト IP アドレスに合致する正規表現。たとえば、192.168.10.* のよう に指定します。
■ 1 つ以上のク ラ イアン ト IP アドレスに合致する 、 ビッ ト数で表現されるサブネット マスク 。たとえば、 192.168.10.0/22 のよう に指定します。
type は接続タイプを表します。 SOCKS version 5 による接続の場合は、 CTSOCKS と指定します。プロキシサーバーを使用しないで直接接続する場合は、 CTDIRECT と指定します。
host および port は、接続に使用するプロキシサーバーの DNS 名または IP アドレスと 、ポート を表します。
SGD には複数のフ ィルタを設定できます。 SGD は最初に合致する Client-IP-Pattern を使用するため、 フ ィルタの順番は重要です。
SSL の処理に SGD ではな く外部 SSL アクセラレータを使用する場合は、アレイルート を :ssl と と もに追加します。次の例を参照して ください。 これは、 SGD Client に対し 、 SOCKS 接続を続行する前にその接続で SSL を使用するよ うに指示します。詳細については、 42 ページの 「 外部 SSL アクセラレータの使用 」 を参照して ください。
注意 - SGD がファ イアウォール転送に対応するよ うに設定されている場合は、SGD がク ラ イアン トデバイスの IP アドレスを決定できな くなるため、複数のアレイルート を使用できません。 1 つのアレイルート ( たとえば、*:CTSOCKS:taurus.example.com:8080) を設定できます。 25 ページの 「 ファ イアウォール越え 」 を参照して ください。
アレイルートの設定例を次に示します。
この設定によ り 、次の内容が適用されます。
■ IP アドレスが 192.168.5 で始まる ク ラ イアン トは、直接接続が許可されます。
■ IP アドレスが 192.168.10 で始まるク ラ イアン トは、ポート 8080 上で SOCKS プロキシサーバー taurus.example.com を使って接続します。
■ それ以外のク ラ イアン トはすべて、ポート 8080 上で SOCKS プロキシサーバー draco.example.com を使って接続します。 これらのク ラ イアン トは、 SOCKS 接続で続行する前に SSL による接続も試みます。
192.168.5.*:CTDIRECT: \192.168.10.*.*:CTSOCKS:taurus.example.com:8080 \*:CTSOCKS:draco.example.com:8080:ssl
12 Oracle Secure Global Desktop 4.6 管理者ガイド • 2011 年 3 月
▼ アレイルート を設定する方法
アレイルートの設定は、 コマンド行からのみ行う こ とができます。
アレイ内の SGD サーバーにログインしているユーザーがいないこ と 、および実行中のアプリケーシ ョ ンセッシ ョ ン ( 中断されているアプリケーシ ョ ンセッシ ョ ンを含む ) がないこ とを確認して ください。
1. アレイルートのフ ィルタを設定します。
次のコマンドを使用します。
routes を引用符で囲み、各フ ィルタをコンマで区切り ます。次に例を示します。"filter1,filter2,filter3"
各フ ィルタの形式については、 11 ページの 「 サーバー側のプロキシサーバーの設定 」 を参照して ください。
フ ィルタの順番は重要です。最初に一致したエン ト リが使用されます。
2. アレイ内のすべての SGD サーバーを再起動します。
アレイルートの設定を変更した場合、それを反映させるためには、アレイに属するすべてのサーバーを再起動する必要があ り ます。
フ ァ イアウォールファイアウォールはネッ ト ワークのさまざまな箇所を保護するために使用でき 、SGD が必要とする接続を許可するよ う設定する必要があ り ます。
こ こで説明する内容は、次のとおりです。
■ 14 ページの 「 ク ラ イアン トデバイス と SGD サーバーの間のファ イアウォール 」
■ 15 ページの 「 SGD サーバー間のファ イアウォール 」
■ 15 ページの 「 SGD サーバーとアプ リ ケーシ ョ ンサーバーの間のファ イアウォール」
■ 17 ページの 「 ほかのファ イアウォール 」
$ tarantella config edit \--tarantella-config-array-netservice-proxy-routes routes
第 第 1 章 章ネッ トワークとセキュリテ ィー 13
ク ラ イアン トデバイス と SGD サーバーの間のファイアウォール
ク ライアン トデバイスは、アレイ内のどの SGD サーバーに対しても HTTP 接続および AIP 接続を行える必要があ り ます。 これは、ユーザーの SGD セッシ ョ ン とユーザーのアプ リ ケーシ ョ ンセッシ ョ ンが、異なる SGD サーバーでホス ト される可能性があるからです。
次の表に、 ク ラ イアン トデバイス と SGD サーバーの間の接続を可能にするために開く必要のあるポート を示します。
TCP (Transmission Control Protocol) ポート 8