Oracle® Secure Global Desktopリリース 5.4 配備ガイド

2018 年 5 月E95574-01

Oracle の法律上の注意点について

Copyright © 2018, Oracle and/or its affiliates. All rights reserved.

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクルまでご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware,and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal AcquisitionRegulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs,including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to licenseterms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.

このソフトウェアまたはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアまたはハードウェアは、危険が伴うアプリケーション (人的傷害を発生させる可能性があるアプリケーションを含む) への用途を目的として開発されていません。このソフトウェアまたはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性 (redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアまたはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、Oracle Corporation およびその関連会社は一切の責任を負いかねます。

Oracle および Java はオラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。

Intel、Intel Xeon は、Intel Corporation の商標または登録商標です。すべての SPARC の商標はライセンスをもとに使用し、SPARC International,Inc. の商標または登録商標です。AMD、Opteron、AMD ロゴ、AMD Opteron ロゴは、Advanced Micro Devices, Inc. の商標または登録商標です。UNIX は、The Open Group の登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様と Oracle Corporation との間の契約に別段の定めがある場合を除いて、Oracle Corporation およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporation との間の契約に定めがある場合を除いて、Oracle Corporation およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。

iii

目次はじめに .............................................................................................................................................. v1 Oracle Secure Global Desktop の概要 .................................................................................................... 1

1.1 SGD のコンポーネント ............................................................................................................. 11.2 SGD ネットワークアーキテクチャー ........................................................................................... 11.3 SGD で使用される接続 ............................................................................................................. 3

2 Oracle Secure Global Desktop Gateway の使用 ....................................................................................... 52.1 基本的な Gateway 配備 ............................................................................................................ 5

2.1.1 基本的な Gateway 配備の構成 ......................................................................................... 62.2 単一ホスト Gateway 配備 ......................................................................................................... 8

2.2.1 単一ホスト Gateway 配備の構成 ...................................................................................... 82.3 負荷分散された Gateway 配備 ................................................................................................... 9

2.3.1 負荷分散された Gateway 配備の構成 .............................................................................. 112.4 SGD Gateway 配備によるクラウドアクセスおよびセキュリティーの強化 ......................................... 11

2.4.1 セキュアな Gateway 配備の構成 .................................................................................... 142.4.2 セキュアな Gateway 配備によるユーザーエクスペリエンス ................................................. 15

A SGD コンポーネントのインストール ................................................................................................... 17A.1 SGD サーバーのインストール .................................................................................................. 17A.2 SGD Gateway のインストール ................................................................................................. 17A.3 SGD 拡張モジュールのインストール ......................................................................................... 18

iv

v

はじめにこのマニュアルでは、Oracle Secure Global Desktop (SGD) の概要を示し、SGD のいくつかの標準的な配備を構成する方法について詳しく説明します。

対象ユーザーこのドキュメントは、SGD 管理者を対象としています。Web 関連のテクノロジに関する知識と、Windows およびUNIX のプラットフォームに関する一般的な知識が必要となります。

関連ドキュメントこの製品のドキュメントは、次のサイトで入手できます。

http://www.oracle.com/technetwork/documentation/sgd-193668.html

表記規則このドキュメントでは、次のような表記規則を使用しています。

表記規則 意味ボールド体 ボールド体の個所は、アクションに関連するグラフィカルユーザーインタフェー

ス要素、テキストや用語集で定義された用語などを表しています。イタリック体 イタリック体の個所は、書名、強調語句、特定の値が指定されるプレースホルダ

変数などを表しています。モノスペース体 モノスペース体の個所は、パラグラフ内のコマンド、URL、例示されているコー

ド、画面上に表示されるテキスト、ユーザーが入力するテキストなどを表しています。

ドキュメントのアクセシビリティオラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracle Supportへのアクセスサポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info)か、聴覚に障害のあるお客様は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs)を参照してください。

ドキュメントリビジョンドキュメント作成日: 2018-05-17 (revision: 5831)

vi

1

第 1 章 Oracle Secure Global Desktop の概要この章では、Oracle Secure Global Desktop (SGD) の概要について説明します。SGD のソフトウェアコンポーネントおよびネットワークアーキテクチャーモデルについて説明します。

1.1 SGD のコンポーネントSGD には、インストール可能なソフトウェアコンポーネントが複数含まれています。

• SGD サーバー。ホストにインストールされている SGD の主要コンポーネント。SGD サーバーは SGD の主要な機能を提供します。

• SGD 拡張モジュール。アプリケーションサーバーにインストールされているオプションコンポーネント。拡張モジュールでは、ユーザーが自分のクライアントデバイスのドライブにアクセスできるようにするなどの SGD の追加機能が提供されます。

• SGD クライアント。クライアントデバイスにインストールできるオプションコンポーネントで、ユーザーが SGDサーバーに接続できるようにします。

SGD クライアントをインストールする代わりに、ユーザーは HTML5 Web ページ経由で SGD にログインできます。SGD では、これは HTML5 クライアントの使用ともいいます。

• SGD Gateway。ホストにインストールされているオプションコンポーネント。Gateway は SGD サーバーアレイのためのプロキシサーバーと負荷分散機能を提供します。

1.2 SGD ネットワークアーキテクチャーSGD は、次の層から構成される 3 層ネットワークアーキテクチャーモデルを中核にして構築されています。

• クライアントデバイス

• SGD サーバーおよび Gateway

• アプリケーションサーバー

同一ホスト上に複数の層を常駐させることができます。たとえば、1 台の Linux プラットフォームのホストを、SGDサーバーおよびアプリケーションサーバーの両方として機能させることができます。

図1.1「SGD ネットワークアーキテクチャー」は、SGD で使用される 3 層ネットワークアーキテクチャーモデルを示しています。

クライアントデバイス

2

図 1.1 SGD ネットワークアーキテクチャー

クライアントデバイス第 1 層には、クライアントデバイスがあります。クライアントデバイスは、ブラウザを使用して SGD と通信できるコンピュータまたはタブレットです。

クライアントデバイス上のブラウザは、第 2 層の SGD サーバーに接続し、ユーザーに対して SGD ワークスペースを表示します。

SGD サーバー

3

クライアントデバイスは、第 2 層の SGD サーバーと通信し、ユーザーが実行するアプリケーションを表示します。

SGD クライアントがクライアントデバイスにインストールされた場合、Adaptive Internet Protocol (AIP) は、第 1 層と第 2 層の間でネットワークを最適に利用できるようにします。

SGD サーバー第 2 層には、SGD サーバーがあり、第 1 層と第 3 層の間のリンクとして機能します。

SGD サーバー層は、1 台の SGD サーバーで構成されているか、アレイを形成するように構成された複数の SGDサーバーで構成されています。

セキュリティーを強化するために、1 つ以上の SGD Gateway を非武装ゾーン (DMZ) の SGD アレイの前に配備できます。

SGD サーバーは次のことを行います。

• ユーザーが SGD にログインする際に、ユーザーを認証します

• ユーザーがアプリケーションを実行するときに、ユーザーを認証するためにアプリケーションサーバーとネゴシエーションします

• アプリケーションを表示するためにクライアントデバイスと通信します

• ユーザーがログアウトしたあとも実行されているアプリケーションを追跡し、あとで再開できるようにします

アプリケーションサーバー第 3 層には、SGD ユーザーのためにアプリケーションとデスクトップセッションを実行するアプリケーションサーバーがあります。

ユーザーがワークスペース上のリンクをクリックすると、SGD は該当するアプリケーションサーバー上でアプリケーションを起動します。アプリケーションからの出力は、SGD サーバーによって、アプリケーションサーバーからクライアントデバイスにリダイレクトされます。

アプリケーションサーバー層には、従来の UNIX または Linux プラットフォームのアプリケーションサーバーとWindows アプリケーションサーバーを構成できます。

この層では、Oracle VM や Oracle VM VirtualBox などの仮想マシンのハイパーバイザホストや、Oracle CloudInfrastructure Compute Classic などのクラウドサービスもサポートされます。

1.3 SGD で使用される接続SGD のインストールは、デフォルトでセキュリティー保護されています。クライアントデバイスは、Transport LayerSecurity (TLS) を使用してセキュリティー保護された HTTPS、AIP、および Websocket のデータ接続を使用してSGD に接続します。

図1.2「SGD の接続およびポート」に、SGD によって使用される一部の接続およびポートを示します。

この図では、SGD クライアント接続で AIP データ接続を使用し、HTML5 クライアント接続で Websocket データ接続を使用する方法が示されています。

SGD で使用される接続

4

図 1.2 SGD の接続およびポート

注記

SGD 配備で使用されるポートの詳細は、Oracle Secure Global Desktop 管理ガイドのファイアウォールを参照してください。

5

第 2 章 Oracle Secure Global Desktop Gateway の使用SGD Gateway は、SGD アレイの前に配備されるように設計されたプロキシサーバーです。Gateway は、SGD アレイに単一ポートアクセスを提供し、IPv6 接続をサポートし、アレイ内の SGD サーバーの接続の負荷分散を管理します。

Gateway を非武装ゾーン (DMZ) の SGD アレイの前に配備して、セキュリティーを強化することもできます。これにより、組織の内部ネットワーク上に SGD アレイを配置できるようになります。

この章では、SGD Gateway を使用する SGD のいくつかの標準的な配備について説明します。次の配備の例が説明されています。

• 基本的な Gateway 配備。単一の SGD Gateway を使用して SGD アレイへのセキュアなアクセスを提供します。

• 単一ホスト Gateway 配備。単一の SGD Gateway および単一の SGD サーバーを同じホストにインストールします。これは、コロケーションと呼ばれることがあります。

• 負荷分散された Gateway 配備。複数の SGD Gateway と 1 つのロードバランサを使用して冗長性とスケーラビリティーを提供します。

• クラウドサービスへのセキュアなアクセス。SGD Gateway 配備の強化されたセキュリティー機能を使用して、Oracle Cloud Infrastructure などのクラウドサービスと統合します。

注記

SGD Gateway のインストールと構成の詳細は、Oracle Secure Global Desktop Gateway 管理ガイドを参照してください。

2.1 基本的な Gateway 配備基本的な Gateway 配備では、単一の SGD Gateway を、1 つ以上の SGD サーバーからなる SGD アレイと一緒に使用します。図2.1「基本的な Gateway 配備のネットワーク図」を参照してください。

基本的な Gateway 配備の構成

6

図 2.1 基本的な Gateway 配備のネットワーク図

基本的な Gateway 配備には次の利点があります。

• セキュアな単一ポートアクセス。アクセスには単一ポート TCP ポート 443 を使用します。ファイアウォールでこのポートだけを開く必要があります。

• IPv6 のサポート。この配備では IPv6 のサポートをデフォルトで利用できます。

• ロードバランシング。Gateway は、アレイ内の SGD サーバーの HTTP 接続の負荷分散を管理します。

• 強化されたセキュリティー。Gateway は非武装ゾーン (DMZ) の SGD アレイの前に配備されます。

• スケーラビリティー。SGD サーバーまたは Gateway を配備に追加できます。

2.1.1 基本的な Gateway 配備の構成注記

SGD Gateway とアレイ内の SGD サーバーとの接続では、相互承認のためにセキュリティー証明書が使用されます。これらの接続の構成には、Gateway および SGD サーバーホストへの証明書のインストールが含まれます。

基本的な Gateway 配備を構成するには、次のステップを使用します。

1. SGD ソフトウェアをホストにインストールします。

a. SGD のメインコンポーネントを SGD サーバーホストにインストールします。セクションA.1「SGD サーバーのインストール」を参照してください。

基本的な Gateway 配備の構成

7

b. SGD Gateway ソフトウェアを Gateway ホストにインストールします。セクションA.2「SGD Gateway のインストール」を参照してください。

2. SGD サーバーのセキュリティー証明書を SGD Gateway にインストールします。

アレイ内の各 SGD サーバーで、次のステップを繰り返します。

a. SGD サーバーから SGD Gateway に次のセキュリティー証明書をコピーします。

• CA 証明書。この証明書は、SGD ホストの/opt/tarantella/var/info/certs/PeerCAcert.pem にあります。

• SSL 証明書。この証明書は、SGD ホストの /opt/tarantella/var/tsp/cert.pem にあります。

b. gateway server add コマンドを使用して、証明書を SGD Gateway キーストアにインポートします。次に例を示します。

# /opt/SUNWsgdg/bin/gateway server add --server sgd-server1 \--certfile /opt/SUNWsgdg/proxy/etc/PeerCAcert.pem --url https://sgd1.example.com \--ssl-certfile /opt/SUNWsgdg/proxy/etc/cert.pem

Oracle Secure Global Desktop Gateway 管理ガイドのgateway server addを参照してください。

c. SGD Gateway を再起動します。

# /opt/SUNWsgdg/bin/gateway restart

3. SGD Gateway の証明書を SGD アレイにインストールします。

a. SGD Gateway キーストアから SGD Gateway の証明書をエクスポートします。次に例を示します。

# /opt/SUNWsgdg/bin/gateway cert export --certfile gateway1.pem

b. アレイのプライマリ SGD サーバーの /opt/tarantella/var/tsp ディレクトリに SGD Gateway 証明書をコピーします。

コピーしたあと、証明書のファイルアクセス権および所有権を変更します。次に例を示します。

# chmod 600 /opt/tarantella/var/tsp/gateway1.pem# chown ttasys:ttaserv /opt/tarantella/var/tsp/gateway1.pem

c. SGD Gateway を SGD アレイに登録します。

プライマリ SGD サーバーで、tarantella gateway add コマンドを使用して、SGD Gateway 証明書をインポートします。次に例を示します。

# tarantella gateway add --name sgd-gateway1 \--certfile /opt/tarantella/var/tsp/gateway1.pem

Oracle Secure Global Desktop Gateway 管理ガイドのtarantella gateway addを参照してください。

4. どの SGD Client 接続で SGD Gateway を使用できるかを構成します。

プライマリ SGD サーバーで、--security-gateway グローバル属性を設定します。

たとえば、単一の SGD Gateway gateway1.example.com の TCP ポート 443 を介してすべての SGD クライアント接続をルーティングするように指定するには、次のようにします。

$ tarantella config edit --security-gateway "*:sgdg:gateway1.example.com:443"

5. SGD にログインします。

a. ブラウザを使用して、Gateway の URL に移動します。たとえば、https://gateway1.example.com と指定します。

SGD ログインページが表示されます。

単一ホスト Gateway 配備

8

b. デフォルトの SGD Administrator 資格情報を使用してログインします。

「ユーザー名」には Administrator と入力し、「パスワード」にはスーパーユーザー (root) パスワードを入力します。

SGD ワークスペースが表示されます。

6. SGD からログアウトします。

ワークスペース上の「ログアウト」ボタンをクリックし、確認を要求されたら「了解」をクリックします。

2.2 単一ホスト Gateway 配備単一ホスト Gateway 配備の場合、SGD Gateway および単一の SGD サーバーを同じホストにインストールします。図2.2「単一ホスト Gateway 配備のネットワーク図」を参照してください。

図 2.2 単一ホスト Gateway 配備のネットワーク図

単一ホスト Gateway 配備には次の利点があります。

• 構成が容易。単一ホストを構成するだけで済みます。

• セキュアな単一ポートアクセス。アクセスには単一ポート TCP ポート 443 を使用します。ファイアウォールでこのポートだけを開く必要があります。

• IPv6 のサポート。この配備では IPv6 のサポートをデフォルトで利用できます。

• Gateway の検出。この配備では、SGD の検出機能を使用して、Gateway を自動的に検出および構成できます。

注記

単一ホスト Gateway 配備では、複数の SGD サーバーを持つアレイを使用したり、ほかのGateway を追加したりすることはできません。

2.2.1 単一ホスト Gateway 配備の構成単一ホスト Gateway 配備を構成するには、次のステップを使用します。

注記

作業を開始する前に、ホストの TCP ポート 443 が開いていることを確認してください。

1. SGD ソフトウェアをホストにインストールします。

負荷分散された Gateway 配備

9

a. SGD のメインコンポーネントをインストールします。

セクションA.1「SGD サーバーのインストール」のステップに従います。

SGD インストールプログラムの指示に従い、tarantella start コマンドを実行します。

b. SGD Gateway ソフトウェアをインストールします。

セクションA.2「SGD Gateway のインストール」のステップに従います。

Gateway インストールプログラムの指示に従い、gateway setup コマンドを実行します。

2. 実行中のすべての SGD コンポーネントを停止します。

a. SGD サーバーを停止します。

# /opt/tarantella/bin/tarantella stop

b. SGD Gateway を停止します。

# /opt/SUNWsgdg/bin/gateway stop

3. SGD Gateway を検出して構成します。

tarantella discover gateway コマンドを使用して、SGD サーバーと同じホストにインストールされている SGDGateway を検出して構成します。

次のコマンドを実行します。

# /opt/tarantella/bin/tarantella discover gateway --local

4. すべての SGD コンポーネントを起動します。

a. SGD サーバーを起動します。

# /opt/tarantella/bin/tarantella start

b. SGD Gateway を起動します。

# /opt/SUNWsgdg/bin/gateway start

5. SGD にログインします。

a. ブラウザを使用して、Gateway の URL に移動します。たとえば、https://gateway1.example.com と指定します。

SGD ログインページが表示されます。

b. デフォルトの SGD Administrator 資格情報を使用してログインします。

「ユーザー名」には Administrator と入力し、「パスワード」にはスーパーユーザー (root) パスワードを入力します。

SGD ワークスペースが表示されます。

6. SGD からログアウトします。

ワークスペース上の「ログアウト」ボタンをクリックし、確認を要求されたら「了解」をクリックします。

2.3 負荷分散された Gateway 配備負荷分散された Gateway 配備では、複数の SGD Gateway およびネットワークエントリポイントとなるロードバランサを使用します。図2.3「負荷分散された Gateway 配備のネットワーク図」を参照してください。

負荷分散された Gateway 配備

10

図 2.3 負荷分散された Gateway 配備のネットワーク図

負荷分散された Gateway 配備には次の利点があります。

• セキュアな単一ポートアクセス。アクセスには単一ポート TCP ポート 443 を使用します。ファイアウォールでこのポートだけを開く必要があります。

• IPv6 のサポート。この配備では IPv6 のサポートをデフォルトで利用できます。

• ロードバランシング。Gateway への接続は、専用のロードバランサデバイスによって処理されます。

• 冗長性。1 つの Gateway または SGD サーバーが使用できない状況が自動的に処理されます。

• スケーラビリティー。SGD サーバーまたは Gateway を配備に追加できます。

• 強化されたセキュリティー。Gateway は非武装ゾーン (DMZ) の SGD アレイの前に配備されます。

負荷分散された Gateway 配備の構成

11

2.3.1 負荷分散された Gateway 配備の構成注記

SGD Gateway とアレイ内の SGD サーバーとの接続では、相互承認のためにセキュリティー証明書が使用されます。これらの接続の構成には、Gateway および SGD サーバーホストへの証明書のインストールが含まれます。

負荷分散された Gateway 配備を構成するには、次のステップを使用します。

1. SGD ソフトウェアをホストにインストールします。

a. SGD のメインコンポーネントを SGD サーバーホストにインストールします。セクションA.1「SGD サーバーのインストール」のステップに従います。

b. SGD Gateway ソフトウェアを Gateway ホストにインストールします。セクションA.2「SGD Gateway のインストール」のステップに従います。

2. SGD Gateway への接続を転送するようにロードバランサを構成します。

この方法の詳細については、ロードバランサのドキュメントを参照してください。

3. SGD サーバーのセキュリティー証明書を各 SGD Gateway にインストールします。

各 Gateway に対して、セクション2.1.1「基本的な Gateway 配備の構成」のステップ 2 を繰り返します。

4. SGD Gateway 証明書を SGD アレイにインストールします。

各 Gateway に対して、セクション2.1.1「基本的な Gateway 配備の構成」のステップ 3 を繰り返します。

5. どの SGD Client 接続で SGD Gateway を使用できるかを構成します。

プライマリ SGD サーバーで、--security-gateway グローバル属性を設定します。

たとえば、外部ロードバランサ lb.example.com の TCP ポート 443 を介してすべての SGD クライアント接続をルーティングするように指定するには、次のようにします。

$ tarantella config edit --security-gateway "*:sgdg:lb.example.com:443/sgd"

6. SGD にログインします。

a. ブラウザを使用して、ロードバランサの URL に移動します。たとえば、https://lb.example.com と指定します。

SGD ログインページが表示されます。

b. デフォルトの SGD Administrator 資格情報を使用してログインします。

「ユーザー名」には Administrator と入力し、「パスワード」にはスーパーユーザー (root) パスワードを入力します。

SGD ワークスペースが表示されます。

7. SGD からログアウトします。

ワークスペース上の「ログアウト」ボタンをクリックし、確認を要求されたら「了解」をクリックします。

2.4 SGD Gateway 配備によるクラウドアクセスおよびセキュリティーの強化

SGD では、SGD Gateway 配備のセキュリティーを強化して、Oracle Cloud Infrastructure などのクラウドサービスと統合できるようにする次の機能がサポートされています。

SGD Gateway 配備によるクラウドアクセスおよびセキュリティーの強化

12

• クライアント証明書認証。ユーザーは、クライアントデバイスのブラウザまたはスマートカードにインストールされているセキュリティー証明書を使用して SGD への認証を行います。

クライアント証明書認証を使用すると、ユーザーは SGD にログインするときユーザー名およびパスワードの入力が不要になります。

Oracle Secure Global Desktop Gateway 管理ガイドのSGD Gateway でのクライアント証明書の使用に関する項を参照してください。

• SSH 鍵を使用したアプリケーション認証。ユーザーはクライアントデバイス上にインストールされている SSH 鍵を使用して、アプリケーションサーバーまたはクラウドサービスへの認証を行います。

SSH 鍵を使用すると、ユーザーはワークスペースでアプリケーションを起動するときユーザー名およびパスワードの入力が不要になります。

『Oracle Secure Global Desktop 管理ガイド』のアプリケーション認証のための SSH 鍵の使用を参照してください。

図2.4「クラウド証明書および SSH 鍵の場所を示すセキュアな Gateway 配備」は、クラウドサービスに接続するセキュアな Gateway 配備を示します。

SGD Gateway 配備によるクラウドアクセスおよびセキュリティーの強化

13

図 2.4 クラウド証明書および SSH 鍵の場所を示すセキュアな Gateway 配備

セキュアな Gateway 配備の構成

14

2.4.1 セキュアな Gateway 配備の構成1. セクション2.1「基本的な Gateway 配備」の説明に従って、基本的な Gateway 配備を構成します。

2. クライアント証明書認証を構成します。

a. クライアントデバイス上にクライアント証明書を生成します。

• クライアントデバイスのブラウザまたはスマートカードにクライアント証明書をインストールします。

• (オプション) クライアント証明書を SGD Gateway クライアントキーストアにインポートします。

クライアント証明書が、信頼された認証局 (CA) によって署名されている場合、このステップを実行する必要はありません。

gateway clientcert コマンドを使用して、証明書をインポートします。次に例を示します。

# /opt/SUNWsgdg/bin/gateway clientcert import --certfile mycert.pem --alias mycert

b. クライアント証明書認証が使用されるように SGD Gateway を構成します。

# /opt/SUNWsgdg/bin/gateway config edit --services-clientcerts required

SGD Gateway を再起動します。

# /opt/SUNWsgdg/bin/gateway restart

c. SGD アレイのサードパーティー認証を有効にします。次に例を示します。

# tarantella config edit --login-thirdparty 1

3. アプリケーション認証のための SSH 鍵を構成します。

a. クライアントデバイス上に SSH 鍵ペアを生成します。

b. SSH 鍵をインストールします。

• SSH 鍵ペアの公開鍵をクラウドサービスに追加します。

インスタンスを作成したとき、インスタンスに公開鍵をアタッチできます。

• SSH 鍵ペアの非公開鍵はクライアントデバイス上に残ります。

注記

非公開鍵はクライアントデバイスから取り出されることはなく、SGD サーバーやクラウドサービスに送信されません。

4. SGD を構成して、クラウド管理者がクラウドインスタンス上のアプリケーションまたはデスクトップを実行できるようにします。

a. クラウド管理者のためのユーザープロファイルオブジェクトを作成します。

b. クラウドサービス上で実行する必要があるアプリケーションを表すためのアプリケーションオブジェクトを作成します。

デスクトップセッションを表示するには、My Desktop アプリケーションを変更します。

c. クラウド管理者のユーザープロファイルオブジェクトにアプリケーションを割り当てます。

d. クラウドインスタンスを表すためのアプリケーションサーバーオブジェクトを作成します。

• Oracle VM および Oracle VM VirtualBox サービスについては、ハイパーバイザホストオブジェクトを使用します。

セキュアな Gateway 配備によるユーザーエクスペリエンス

15

• その他のクラウドサービスの場合、ユーザー定義の SGD ブローカなどの動的アプリケーションサーバーオブジェクトを使用します。このブローカによって、アプリケーションオブジェクトに割り当てられたクラウドインスタンスがリストされ、さらにユーザーがクラウドインスタンスの名前を指定できるようになります。

e. アプリケーションサーバーをアプリケーションオブジェクトに割り当てます。

2.4.2 セキュアな Gateway 配備によるユーザーエクスペリエンスユーザー名およびパスワードを入力しなければならない SGD 配備に比べて、より速く、よりセキュアな状態のユーザーエクスペリエンスが提供されます。

1. SGD にログインします。

ユーザーは SGD サーバーの URL に移動します。たとえば、https://sgd.example.com/sgd に移動します。ここで、sgd.example.com は SGD サーバーの名前です。

• ユーザーのブラウザ内のクライアント証明書が SGD への認証に使用されます。

• 接続を検証するために、Gateway のクライアントキーストア内の信頼された認証局 (CA) が使用されます。

• ユーザーは SGD のユーザー名とパスワードを入力する必要がありません。

• SGD のログインダイアログボックスは表示されません。

2. アプリケーションを起動します。

ユーザーがワークスペース上のアプリケーションリンクをクリックします。

• クライアントデバイスの非公開鍵およびクラウドサービス上の公開鍵がアプリケーション認証に使用されます。

• ユーザーはアプリケーションを起動するためにユーザー名とパスワードを入力する必要がありません。

• アプリケーションをはじめて起動したとき、ユーザーはクライアントデバイス上の非公開鍵の場所を入力するよう要求されます。

• 非公開鍵の場所についてのユーザープロンプトは、その後に使用するアプリケーションのインスタンスについては表示されません。

非公開鍵がパスフレーズで保護されている場合、アプリケーションを起動するときにパスフレーズの入力を求めるプロンプトが表示されます。

16

17

付録 A SGD コンポーネントのインストールこの付録には、次の SGD コンポーネントをインストールする手順が記載されています。

• SGD サーバー

• SGD Gateway

• SGD 拡張モジュール

A.1 SGD サーバーのインストールメインの SGD ソフトウェアコンポーネントをインストールすると、SGD サーバーがインストールされます。

次の手順では、SGD ソフトウェアを Oracle Linux ホストにインストールする方法について説明します。

詳細な手順は、Oracle Secure Global Desktop インストールガイドを参照してください。

注記

始める前に、次のことを確認してください。

• (オプション) 必要な場合に SSL 証明書、非公開鍵、および CA 証明書にアクセスできること。証明書は PEM 形式で作成されている必要があります。

• SGD ホストの DNS 名を知っていること。ファイアウォールを含むネットワークでは、ホストがファイアウォールの内側で呼ばれている DNS 名を使用します。

1. SGD ソフトウェアを入手します。

Oracle Software Delivery Cloud からソフトウェアをダウンロードし、ソフトウェアパッケージファイルをホスト上の一時ディレクトリに保存します。

2. ホストにスーパーユーザー (root) としてログインします。

3. SGD をインストールします。

# yum install --nogpgcheck tta-version.x86_64.rpm

SGD はホストの /opt/tarantella ディレクトリにインストールされます。

4. SGD サーバーを起動します。

# /opt/tarantella/bin/tarantella start

SGD サーバーをはじめて起動したとき、受け入れるか変更するかを選択できる、推奨される構成設定のリストが表示されます。たとえば、SGD サーバーとのセキュア接続に使用される SSL 証明書の詳細および SGD サーバーの DNS 名などがあります。

推奨される構成設定を受け入れるか変更します。ほとんどの場合はデフォルト設定を受け入れます。

ソフトウェアは、指定された設定を使用してインストールおよび構成されます。

A.2 SGD Gateway のインストール次の手順では、SGD Gateway ソフトウェアを Oracle Linux ホストにインストールする方法について説明します。

詳細な手順は、Oracle Secure Global Desktop Gateway 管理ガイドを参照してください。

1. ホスト上の一時ディレクトリに SGD Gateway パッケージを保存します。

パッケージを SGD Web サーバー https://server.example.com からダウンロードします。ここで、server.example.com は SGD サーバーの名前です。SGD Web サーバーの開始画面が表示されたら、「OracleSecure Global Desktop のインストール」をクリックします。

SGD 拡張モジュールのインストール

18

Linux プラットフォーム用のパッケージファイルは SUNWsgdg-version.x86_64.rpm です。ここで、version はSGD Gateway のバージョン番号です。

2. ホストにスーパーユーザー (root) としてログインします。

3. SGD Gateway をインストールします。

# yum install --nogpgcheck SUNWsgdg-version.x86_64.rpm

SGD Gateway は /opt/SUNWsgdg ディレクトリにインストールされます。

4. SGD Gateway のセットアッププログラムを実行します。

# /opt/SUNWsgdg/bin/gateway setup

SGD Gateway のセットアッププログラムは次の設定を提示し、ユーザーは、それを受け入れることも変更することもできます。

• SGD Gateway ポート設定。SGD Gateway で着信接続に使用されるインタフェースとポートです。デフォルトでは、SGD Gateway はすべてのインタフェースのポート 443 で待機します。

• ネットワークエントリポイント。クライアントデバイスが SGD Gateway に接続するために使用する DNS 名およびポートです。

これは、SGD Gateway のアドレスと常に同じであるとは限りません。ネットワークの構成によっては、ロードバランサなどの外部デバイスのアドレスになることがあります。

A.3 SGD 拡張モジュールのインストールSGD 拡張モジュールは、アプリケーションサーバーにインストールできるオプションのソフトウェアコンポーネントです。

SGD 拡張モジュールのインストール手順は、Oracle Secure Global Desktop 拡張モジュール管理ガイドに記載されています。