Sun Secure Global Desktop 4.5 管理者ガイド
Total Page:16
File Type:pdf, Size:1020Kb
Sun Secure Global Desktop 4.5 管 理者ガイド Sun Microsystems, Inc. www.sun.com Part No. 820-7416-10 2009 年 4 月, Revision 01 このマニュアルに関するコメントの送付先: http://docs.sun.com/app/docs/form/comments Copyright 2008-2009 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A. All rights reserved. 米国 Sun Microsystems, Inc. (以下、米国 Sun Microsystems 社とします) は、本書に記述されている技術に関連する知的財産権を所有しま す。特に、この知的財産権はひとつかそれ以上の米国における特許 (http://www.sun.com/patents を参照)、あるいは米国およびその 他の国において追加または申請中の特許を含んでいることがありますが、それらに限定されるものではありません。 U.S. Government Rights - Commercial software.Government users are subject to the Sun Microsystems, Inc. standard license agreement and applicable provisions of the FAR and its supplements. この配布には、第三者によって開発された素材を含んでいることがあります。 本製品の一部は、カリフォルニア大学からライセンスされている Berkeley BSD システムに基づいていることがあります。UNIX は、 X/Open Company, Ltd. が独占的にライセンスしている米国ならびに他の国における登録商標です。 Sun、Sun Microsystems、Sun のロゴマーク、Solaris、OpenSolaris、Java、JavaScript、JDK、JavaServer Pages、JSP、JavaHelp、 JavaBeans、JVM、JRE、Sun Ray、および StarOffice は、米国およびその他の国における米国 Sun Microsystems 社の商標、登録商標もしく は、サービスマークです。 すべての SPARC 商標は、米国 SPARC International, Inc. のライセンスを受けて使用している同社の米国およびその他の国における商標また は登録商標です。SPARC 商標が付いた製品は、米国 Sun Microsystems 社が開発したアーキテクチャーに基づくものです。 Adobe は、Adobe Systems, Incorporated の登録商標です。 ICA は、Citrix Systems, Inc. の登録商標です。 Intel は、米国およびその他の国における Intel Corporation もしくはその子会社の商標または登録商標です。 Netscape は、米国およびその他の国における Netscape Communications Corporation の商標または登録商標です。 本書で言及されている製品や含まれている情報は、米国輸出規制法で規制されるものであり、その他の国の輸出入に関する法律の対象とな ることがあります。核、ミサイル、化学生物兵器、原子力の海洋輸送手段への使用は、直接および間接を問わず厳しく禁止されています。 米国が禁輸の対象としている国や、限定はされませんが、取引禁止顧客や特別指定国民のリストを含む米国輸出排除リストで指定されてい るものへの輸出および再輸出は厳しく禁止されています。 本書は、「現状のまま」をベースとして提供され、商品性、特定目的への適合性または第三者の権利の非侵害の黙示の保証を含みそれに限 定されない、明示的であるか黙示的であるかを問わない、なんらの保証も行われないものとします。 Please Recycle 目次 はじめに xxxiii 1. ネットワークとセキュリティー 1 ネットワークとセキュリティーの概要 1 クライアントデバイスと SGD サーバーの間の接続 2 SGD サーバーとアプリケーションサーバーの間の接続 3 アレイ内の SGD サーバー間の接続 4 SGD Gateway 5 DNS 名 5 外部 DNS 名の設定 6 SGD サーバーのピア DNS 名の変更 8 プロキシサーバー 10 サポートされているプロキシサーバー 10 クライアントプロキシ設定の設定 11 プロキシサーバーのタイムアウト 13 サーバー側のプロキシサーバーの設定 13 ファイアウォール 16 クライアントデバイスと SGD サーバーの間のファイアウォール 17 SGD サーバー間のファイアウォール 18 SGD サーバーとアプリケーションサーバーの間のファイアウォール 19 iii ほかのファイアウォール 20 クライアントデバイスと SGD サーバー間の接続の保護 22 保護付きのクライアント接続の設定 23 サーバー SSL 証明書の使用 25 自動設定による SGD セキュリティーサービスの有効化 34 SGD Web サーバーへの HTTPS 接続の使用 37 ファイアウォール越えの使用 38 SGD サーバーへの SOAP 接続の保護 40 SGD セキュリティーサービスの有効化 43 接続定義の使用 44 クライアント接続とセキュリティーの警告 46 SSL デーモン 51 保護付きのクライアント接続用の暗号化方式群の選択 53 外部 SSL アクセラレータの使用 55 SGD サーバー間の接続の保護 56 アレイ内のセキュリティー保護された通信の使用 56 CA 証明書とピア SSL 証明書の管理 57 ▼ アレイ内のセキュリティー保護された通信を有効にする方法 58 アレイ内のセキュリティー保護された通信用の暗号化方式群の選択 60 SSH によるアプリケーションサーバーへの接続の保護 62 SSH のサポート 62 SSH クライアントの設定 63 X11 転送の有効化 65 SSH と X セキュリティー拡張機能の使用 65 SSH と X 認証の使用 66 高度な SSH 機能の使用 66 2. ユーザー認証 69 Secure Global Desktop 認証 70 iv Sun Secure Global Desktop 4.5 管理者ガイド • 2009 年 4 月 ユーザー識別情報 70 ユーザープロファイル 71 システム認証機構 72 パスワードの有効期限 73 セキュリティーとパスワード 74 アプリケーション認証 75 ログインスクリプト 76 アプリケーション認証の設定 77 アプリケーションサーバーのパスワードキャッシュ 77 RSA SecurID を使用したアプリケーション認証 80 異なるロケールのユーザーのサポート 80 Active Directory 認証 82 Active Directory 認証の仕組み 82 Active Directory 認証の設定 83 Kerberos 認証用の SGD の設定 84 ▼ Active Directory 認証を有効にする方法 88 ▼ Active Directory への SSL 接続を設定する方法 89 匿名ユーザーの認証 92 匿名ユーザーの認証の動作 92 ▼ 匿名ユーザーの認証を有効にする方法 93 LDAP 認証 94 LDAP 認証の動作 94 サポートされる LDAP ディレクトリサーバー 95 ▼ LDAP 認証を有効にする方法 96 SGD にログインできる LDAP ユーザーの制限 98 SecurID 認証 99 サポートされている SecurID バージョン 100 SecurID 認証の動作 100 目次 v SecurID 認証の設定 101 SGD サーバーを Agent Host として設定 101 ▼ SecurID 認証を有効にする方法 103 サードパーティー認証と Web サーバー認証 103 サードパーティー認証の仕組み 104 ▼ サードパーティー認証を有効にする方法 106 Web サーバー認証 108 Web サーバー認証の有効化 110 Web サーバー認証での認証プラグインの使用 112 Web サーバー認証でのクライアント証明書の使用 113 SGD 管理者とサードパーティー認証 115 信頼されているユーザーとサードパーティー認証 115 UNIX システム認証 118 UNIX システム認証の動作 118 UNIX システム認証と PAM 120 ▼ UNIX システム認証を有効にする方法 121 Windows ドメイン認証 122 Windows ドメイン認証の動作 122 ▼ Windows ドメイン認証を有効にする方法 123 パスワード、ドメイン、およびドメインコントローラ 123 Secure Global Desktop 認証のトラブルシューティング 125 認証の問題に使用するログフィルタの設定 125 認証用の LDAP パフォーマンスの調整 126 Active Directory 認証のトラブルシューティング 129 LDAP 認証のトラブルシューティング 130 Web サーバー認証のトラブルシューティング 132 ログインに失敗したユーザーの SGD へのアクセスの拒否 134 どの SGD サーバーにもログインできない 135 vi Sun Secure Global Desktop 4.5 管理者ガイド • 2009 年 4 月 ゲストユーザー用の共有アカウントの使用 136 セキュリティーが有効な場合に、Solaris OS ユーザーがログインできない 136 ユーザーがログインしようとするとユーザー名にあいまい性があることを示 すダイアログが表示される場合 137 アプリケーション認証のトラブルシューティング 138 異なるユーザー名とパスワードでアプリケーションを起動できる場合 138 Windows ターミナルサービスを使っていて、ユーザーが頻繁にユーザー名と パスワードの入力を要求される場合 139 3. ユーザーへのアプリケーションの公開 141 組織とオブジェクト 141 組織階層 143 SGD オブジェクトタイプ 145 組織階層の設計 150 組織階層内のオブジェクトへの命名 150 バッチスクリプトを使用した SGD 組織階層の移植 151 LDAP ミラー化 152 SGD 管理者 156 アプリケーションの公開 159 ローカル割り当て 159 LDAP 割り当て 162 割り当ての確認 167 LDAP グループ検索を調整する 167 LDAP 人物オブジェクト検索フィルタ 171 LDAP 割り当てのトラブルシューティング 172 4. アプリケーションの設定 173 サポートされるアプリケーション 173 SGD 拡張モジュール用のサポートされるインストールプラットフォーム 174 目次 vii Windows アプリケーション 175 Windows アプリケーションオブジェクトの設定 175 コマンド行での Windows アプリケーションオブジェクトの作成 178 Microsoft RDP の使用 178 クライアントデバイス上での Windows アプリケーションの実行 190 X アプリケーション 191 X アプリケーションオブジェクトの設定 191 サポートされている X の拡張機能 194 X 認証 195 X フォント 195 キーボードマップ 198 文字型アプリケーション 199 文字型アプリケーションオブジェクトの設定 199 端末エミュレータのキーボードマップ 201 端末エミュレータの属性マップ 206 端末エミュレータのカラーマップ 207 アプリケーションの設定に関するヒント 209 Webtop を表示せずにアプリケーションまたはデスクトップセッションを起 動する 209 マルチヘッドモニターまたはデュアルヘッドモニターの使用 212 Windows デスクトップセッションのパフォーマンスの向上 214 Java Desktop System デスクトップセッションまたはアプリケーションのパ フォーマンスの向上 215 ドキュメントと Web アプリケーション 216 仮想教室の作成 216 共通デスクトップ環境アプリケーションの設定 218 VMS アプリケーションの設定 221 3270 および 5250 アプリケーション 222 アプリケーションのトラブルシューティング 223 viii Sun Secure Global Desktop 4.5 管理者ガイド • 2009 年 4 月 ユーザーの問題を解決するためのシャドウイングの使用 224 アプリケーションが起動しない場合 225 アプリケーションが起動直後に終了する場合 229 アプリケーションが約 2 分後に表示されなくなる場合 229 ユーザーがアプリケーションを終了しても、アプリケーションセッションが 終了しない 230 X 認証が有効になっているときにアプリケーションの起動に失敗する 231 キオスクアプリケーションがフルスクリーン表示されない場合 233 アプリケーションのアニメーションがとびとびに表示される場合 234 X アプリケーションでのフォントの問題 234 High Color の X アプリケーションでの表示の問題 235 「クライアントウィンドウ管理」アプリケーションのウィンドウが切り取ら れて表示される場合 237 Sun キーボードのエミュレーション 237 一部の X アプリケーションでは、Alt および AltGraph キーが機能しない 239 低帯域幅の接続でシャドウイングしているときの表示の更新の問題 239 5. クライアントデバイスのサポート 241 印刷 241 SGD 印刷の概要 242 印刷の設定 243 Microsoft Windows アプリケーションサーバーの印刷の設定 244 UNIX および Linux プラットフォームのアプリケーションサーバーの印刷の設 定 247 SGD サーバーの印刷の設定 252 Microsoft Windows クライアントデバイスへの印刷の設定 257 UNIX、Linux、および Mac OS X プラットフォームのクライアントデバイス への印刷の設定 261 印刷の管理 265 目次 ix SGD を使って表示したアプリケーションからユーザーが印刷できない場合 267 その他の印刷の問題のトラブルシューティング 277 クライアントドライブマッピング 281 クライアントドライブマッピングの設定 281 UNIX および Linux プラットフォームのアプリケーションサーバーを CDM 用 に設定する 282 CDM 用の NFS 共有を設定する 282 アプリケーションサーバーの CDM プロセスを起動する 284 Microsoft Windows アプリケーションサーバーを CDM 用に設定する 284 SGD の CDM サービスを有効にする 285 UNIX、Linux、および Mac OS X プラットフォームのクライアントデバイス で使用できるようにドライブを設定する 287 Microsoft Windows クライアントデバイスで使用できるようにドライブを設 定する 288 クライアントドライブマッピングのトラブルシューティング 290 CDM のログ出力 297 オーディオ 299 オーディオの設定 299 Microsoft Windows アプリケーションサーバーをオーディオ用に設定する 300 UNIX および Linux プラットフォームのアプリケーションサーバーをオーディ オ用に設定する 300 X アプリケーションをオーディオ用に設定する 302 SGD オーディオサービスを有効にする 302 クライアントデバイスをオーディオ用に設定する 304 アプリケーションでのオーディオのトラブルシューティング 304 コピー&ペースト 310 コピー&ペーストの使用 311 アプリケーションでのコピー&ペーストの制御 311 クリップボードセキュリティーレベルの使用例 313 x Sun Secure Global Desktop 4.5 管理者ガイド • 2009 年 4 月 コピー&ペーストの設定に関するヒント 313 コピー&ペーストのトラブルシューティング 314 スマートカード 315 Windows アプリケーションでのスマートカードの使用 316 スマートカードへのアクセスを設定する 317 Microsoft Windows アプリケーションサーバーをスマートカード用に設定す る 317 SGD でスマートカードを有効にする 318 クライアントデバイス上のスマートカードリーダーを設定する 319 ▼ スマートカードを使用して Microsoft Windows アプリケーションサー バーにログインする方法 320 スマートカードのトラブルシューティング 321 シリアルポート 323 シリアルポートへのアクセスを設定する 323 Microsoft Windows アプリケーションーバーの設定 323 SGD でシリアルポートへのアクセスを有効にする 324 クライアントデバイスの設定 325 6. SGD Client と Webtop 327 サポートされるクライアントプラットフォーム 327 SGD Client 329 SGD Client の概要 329 SGD Client のインストール 331 SGD Client の自動インストール 331 ▼ ローミングユーザープロファイルでの自動インストールを有効にする方 法 332 SGD Client の手動インストール 333 コマンド行からの SGD Client の実行 333 Java テクノロジを使用しないで SGD にアクセスする 337 クライアントプロファイル 339 目次 xi クライアントプロファイルと SGD Client 339 クライアントプロファイルの管理 340 ▼ ユーザーのクライアントプロファイルの編集を設定する方法 341 クライアントプロファイルの設定 342 プロファイルキャッシュについて 345 ローミングユーザープロファイルを所有する Microsoft Windows ユーザー 346 統合モード 348 統合モードでの操作 348 SGD Client の統合モードを設定する 350 認証トークンの認証 351 クライアントプロファイルの統合モードを設定する 356 アプリケーションの統合モードを設定する 357 Webtop 358 Webtop の言語を設定する 358 Webtop を再配置する 360 7. SGD サーバー、アレイ、および負荷分散 363 アレイ 364 アレイの構造 364 アレイ全体へのデータの複製 365 アレイの通信 365 アレイに対する SGD サーバーの追加と削除 366 アレイとサーバーの設定 368 アレイフェイルオーバー 369 負荷分散 376 ユーザーセッションの負荷分散 376 アプリケーションセッションの負荷分散 385 アプリケーションの負荷分散 385 xii Sun Secure Global Desktop 4.5 管理者ガイド • 2009 年 4 月 負荷分散グループ 387 アプリケーションの負荷分散の仕組み 387 Advanced Load Management の仕組み 393 アプリケーションの負荷分散の調整 394 アプリケーションの負荷分散プロパティーの編集 397 SGD Web サーバー 402 SGD Web サーバーの概要 402 SGD での別の Web サーバーの使用 403 SGD Web サーバーのセキュリティー保護 403 Administration Console 404 Administration Console の実行 404 Administration Console の設定 407 Administration Console へのアクセスをセキュリティー保護する 409 監視とロギング 410 SGD データストア 410 ユーザーセッションとアプリケーションセッション 411 ログフィルタを使用した SGD サーバーのトラブルシューティング 415 ログフィルタを使用した監査 422 ログフィルタを使用したプロトコルエンジンの問題解決 426 SGD Web サーバーのロギング 430 SGD Client のロギング 431 ライセンスと SGD 433 ライセンスキーとライセンス 433 ライセンスの管理 435 Microsoft Windows ターミナルサービスのライセンス 435 SGD サーバーの証明書ストア 437 CA 証明書トラストストア 437 クライアント証明書ストア 438 目次 xiii SGD のインストール 440 SGD のインストールについて 440 SGD インストールのバックアップと復元 443 アレイと負荷分散のトラブルシューティング 449 アレイフェイルオーバーのトラブルシューティング 449 Advanced Load Management に関するトラブルシューティング 451 SGD が大量のネットワーク帯域幅を使いすぎる 455 ファイアウォール越えモード時にユーザーが SGD サーバーに接続できな い 456 ユーザーが自分のセッションを再配置できない 457 A. グローバル設定とキャッシュ 459 「Secure Global Desktop 認証」タブ 460 認証ウィザード 460 トークン生成 462 パスワードキャッシュ 463 サードパーティーの認証 463 システム認証 464 ローカルリポジトリの検索 464 LDAP リポジトリを検索 465 デフォルトのサードパーティー識別情報を使用 465 デフォルトの LDAP プロファイルを使用 466 もっとも近い LDAP プロファイルを使用 467 LDAP / Active Directory 468 Unix 468 認証トークン