クライアント認証をサポートするクライアント (Sun Ray クライアントまたは Oracle Virtual Desktop Client) は、クライアント認証用の公開 - 非公開鍵ペアを持っています。クライアント用の鍵ペアは、クライアントが適切なファームウェアで最初にブートするときに生成されます。
古いバージョンのファームウェアまたは工場から出荷された Sun Ray クライアントに事前インストールされたファームウェアは、鍵を生成せず、クライアント認証をサポートしません。インストール済みファームウェアを識別するには、インストール済みファームウェアのバージョンが MfgPkg
で始まることに注目してください。鍵が生成されるには、Sun Ray クライアントのファームウェアを更新する必要があります。
クライアントがサーバーに接続されていて、クライアント認証が有効になっているときは、クライアントはその公開鍵とクライアント識別子をサーバーに送信します。Sun Ray クライアントの場合、クライアント識別子は MAC アドレスです。サーバーが最初に確認できるのはクライアントが送信された鍵の所有者であることだけで、クライアントが送信されたクライアント ID を正規に使用しているかどうかは確認できません。
Sun Ray サーバーは、既知のクライアントとそれらの公開鍵のリストを Sun Ray データストアに格納します。格納された鍵は、特定のクライアントの鍵の真正性が人間の介入によって確認されたことを示すために、確認済みとマークできます。確認済みとマークされたクライアントの鍵がない場合には、クライアント認証機能が保証できるのは、クライアント識別子が異なる鍵を持つ複数の異なるクライアントによって使用されていないことだけです。鍵が確認されて確認済みとしてマークされたときにのみ、クライアント認証は実際にクライアントの識別情報を認証できます。
Oracle Virtual Desktop Client 用の鍵は、データストアに格納されず、utkeyadm コマンドまたは管理 GUI では表示されません。Oracle Virtual Desktop Client は代わりにその鍵フィンガープリントをクライアント識別子として使用することで、特定の ID の鍵の真正性が自動的に確立されます。詳細については、Section 11.5, “鍵フィンガープリント”を参照してください。
デフォルトでは、確認されていない鍵を持つクライアントは、クライアントの識別情報が異なる鍵で使用されていない限り、セッションが付与されます。クライアントに送信された複数の鍵がこのクライアントのセッションでの攻撃を示している場合があり、その場合このクライアントのセッションアクセスは拒否されます。ユーザーがクライアントへのアクセスを再度有効にするには、いずれかの鍵が真正であることを明示的に確認する必要があります。
認証済みクライアント識別情報を要求し、utpolicy コマンドまたは管理 GUI を使用して鍵が検証および確認されていないクライアントへのアクセスを拒否するという、より厳格なポリシーを選択できます。このポリシーを使用することを選択した場合、新しいクライアントを使用する前にそれぞれのクライアントの鍵を「確認済み」として明示的にマークする必要があります。このポリシーを十分に活用するために、セキュリティー構成内でクライアント認証モードを「ハード」に設定することもお勧めします。
クライアント識別情報とそれらに関連付けられた鍵を管理するために、utkeyadm コマンドを使用できます。クライアントに使用されるすべての鍵は、鍵管理ツールで一覧表示されます。
utkeyadm コマンドで、次の操作を実行できます。
既知のクライアントおよびそのステータスに関連付けられている鍵を一覧表示する
クライアント鍵の真正性を検証したあとに確認する複数の未確認の鍵がクライアントに格納されている場合、いずれかが真正であると確認されるとほかのすべての鍵は削除されます。
無効なまたは古い鍵エントリを削除する
すべてのまたは選択されたクライアント識別情報の鍵データを、バックアップのためまたはほかの Sun Ray サーバーインスタンスに転送するためにエクスポートする
このまたは別の Sun Ray サーバーインスタンスでエクスポートされた鍵データをインポートする
クライアントの管理 GUI の「デスクトッププロパティー」ページで、クライアントに関連付けられている鍵を表示、確認、または削除することもできます。