- 4.2.1. 管理名とパスワード
- 4.2.2. 管理 GUI タブの説明
- 4.2.3. 管理ツール (管理 GUI) にログインする方法
- 4.2.4. 管理 GUI ロケールを変更する方法
- 4.2.5. 管理 GUI を英語ロケールに変更する方法
- 4.2.6. 管理 GUI のタイムアウトを変更する方法
- 4.2.7. 複数の管理アカウントを有効または無効にする方法 (Oracle Linux)
- 4.2.8. 複数の管理アカウントを有効または無効にする方法 (Oracle Solaris 11)
- 4.2.9. 複数の管理アカウントを有効または無効にする方法 (Oracle Solaris 10)
- 4.2.10. 管理 GUI セッションを監査する方法
Sun Ray 管理ツール (管理 GUI) は、サーバー、セッション、デスクトップユニット、トークンなどの主な Sun Ray オブジェクトに基づいて構成されています。オブジェクトのタイプごとに、関連する機能を提供する専用タブがあります。図4.1「管理 GUI ホーム画面」にホーム画面を示します。
管理アカウントのデフォルトユーザー名は admin です。
パスワードは Sun Ray サーバー構成中に設定されます。管理パスワードを思い出せない場合は、utconfig -w コマンドを使用してパスワードを含めて管理ソフトウェアを再構成できます。管理パスワードを変更するには、管理 GUI の「詳細」タブまたは utpw コマンドを使用します。
別のユーザーアカウントが管理機能を実行することを許可するときは、「複数の管理アカウントを有効または無効にする方法 (Oracle Linux)」または「複数の管理アカウントを有効または無効にする方法 (Oracle Solaris)」を参照してください。
表4.2「管理 GUI タブの説明」で、管理 GUI で提供されるタブについて説明します。詳しいリファレンス情報については、「Appendix B, 管理 GUI ヘルプ」を参照してください。
表4.2 管理 GUI タブの説明
タブ | 機能 |
|---|---|
サーバー | 「サーバー」タブから次のタスクを行うことができます。
|
セッション | 「セッション」タブから次のタスクを行うことができます。
|
デスクトップユニット | 「デスクトップユニット」タブ (SunRay クライアントおよび Oracle Virtual Desktop Client を含む) から次のタスクを実行できます。
|
トークン | 「トークン」タブから次のタスクを行うことができます。
|
詳細 | 「詳細」タブには次のサブタブが含まれます。 |
「セキュリティー」サブタブ 「セキュリティー」サブタブから、クライアントとサーバーとの間の通信、サーバー認証、セキュリティーモード、デバイスアクセスなどのセキュリティー設定を無効にしたり再度有効にしたりできます。 | |
「システムポリシー」サブタブ 「システムポリシー」サブタブから次のような認証マネージャーポリシー設定を管理できます。
| |
「キオスクモード」サブタブ 「キオスクモード」サブタブからシステムのキオスクモードを構成できます。 | |
「カードの検索順序」サブタブ 「カードの検索順序」サブタブからスマートカードの検索順序を調整できます。もっとも使用頻度の高いカードを一覧の最上位に移動できます。 | |
「データストアパスワード」サブタブ 「データストアパスワード」サブタブから管理者アカウントのパスワードを変更できます。 | |
ログファイル | 「ログファイル」タブから次のタスクを行うことができます。
|
システム設定を変更するために管理 GUI 内で実行されるすべてのアクションは、監査証跡に記録されます。
この手順では、Sun Ray 管理ツール (管理 GUI) にログインする方法について説明します。
セッションが 30 分間アクティブでない場合は、ログインし直す必要があります。タイムアウト値を変更するときは、「管理 GUI のタイムアウトを変更する方法」を参照してください。
Sun Ray サーバーのコンソールまたは接続されているクライアントにログインします。
ブラウザウィンドウを開き、次の URL を入力します。
http://
localhost:1660注記Sun Ray Software を構成したときと異なるポート番号を指定した場合は、URL でそのポート番号を使用します。安全な通信を有効にした場合、ブラウザがセキュアなポートにリダイレクトされる場合があります。デフォルトのセキュアなポートは 1661 です。
「ユーザー名」ウィンドウで管理者ユーザー名を入力し、「了解」をクリックします。
パスワード変更画面で、管理パスワードを入力して「了解」をクリックします。
Sun Ray 管理ツールが表示されます。
アクセスを拒否するメッセージが表示された場合は、次の項目をチェックしてください。
Sun Ray サーバーまたはそのクライアントのいずれかでブラウザを実行している。
ブラウザが HTTP プロキシサーバーとして別のマシンを使用していない。
空白のブラウザページが表示される場合:
Sun Ray サーバーの代わりにシステムから管理 GUI にアクセスするには、リモートアクセスを有効にする必要があります (デフォルトでは無効)。管理 GUI へのリモートアクセスを有効にするには、utconfig -w -u コマンドを使用して管理 GUI を構成解除してから、utconfig -w を実行して再構成してください。「はい」を選択してリモートアクセスを有効にします。
この手順では、管理 GUI が適切でない言語で表示されている場合に、英語を表示するように変更する方法について説明しています。
Sun Ray サーバーのスーパーユーザーになります。
英語ロケールをエクスポートします。
export LC_ALL=C
Web 管理サービスを停止します。
/etc/init.d/utwadmin stop
Web 管理サービスを開始します。
/etc/init.d/utwadmin start
より持続的な解決のために、英語以外の Sun Ray Software パッケージをサーバーから削除することもできます。次の例では、フランス語パッケージを削除して Web 管理サービスを再起動しています。
# /etc/init.d/utwadmin stop # pkgrm SUNWfuta SUNWfutwa SUNWfutwh SUNWfutwl # /etc/init.d/utwadmin start
この手順では、管理 GUI のタイムアウトを変更する方法について説明しています。デフォルトでは、管理 GUI タイムアウト値は 30 分です。
Sun Ray サーバーのスーパーユーザーになります。
/etc/opt/SUNWut/webadmin/webadmin.conf構成ファイルを編集します。次のタイムアウト値を変更します。
... # The session timeout (specified in minutes) session.timeout=30 ...
webadmin プログラムを再起動します。
# /opt/SUNWut/lib/utwebadmin restart
このツールは、管理 GUI をホストする Web サーバーで使用される
web.xmlファイルを自動更新します。
Sun Ray サーバー管理者は、utadmin 承認済みユーザーリストに追加されている有効な UNIX ユーザー ID が、管理 GUI を使用して Sun Ray サービスを管理することを許可できます。これらのアカウントのアクティビティーの監査証跡が提供されます。utadminuser コマンドは、既存の UNIX ユーザーを utadmin の承認済みユーザーリストに追加できます。
管理権限を持つアカウントの認証は、PAM 認証フレームワークに基づいています。
デフォルトの admin アカウントの代わりに utadmin 承認済みユーザーリスト内の UNIX ユーザーによるアクセスを許可するように Sun Ray 管理 GUI を構成するときは、次の手順を使用します。承認済みユーザーの管理 GUI 特権を有効にすると、utadmin 承認済みリストにユーザーを追加または削除することで管理 GUI へのアクセスを管理できます。
管理 GUI への承認を必要とする UNIX ユーザーごとに、ユーザーを承認済みユーザーリストに追加します。
# utadminuser -a
usernameutadmin コマンドをオプションなしで実行すると現在の承認済みユーザーを一覧表示でき、
-dオプションを付けるとユーザーを削除できます。次の auth エントリを
/etc/pam.d/utadminguiファイルに追加します。#%PAM-1.0 # BEGIN: added to utadmingui by SunRay Server Software -- utadmingui auth include system-auth # END: added to utadmingui by SunRay Server Software -- utadmingui
コメント行を必ず含めてください (クリーンアップが正しく動作するために必要です)。
これは、Sun Ray Software がインストールされるときのデフォルトの管理 GUI 特権構成です。
管理 GUI 特権をデフォルト admin ユーザーに制限するには、/etc/pam.d/utadmingui ファイル内の PAM エントリを pam_sunray_admingui.so.1 モジュールに置き換えます。
# BEGIN: added to utadmingui by SunRay Server Software -- utadmingui auth sufficient /opt/SUNWut/lib/pam_sunray_admingui.so.1 # END: added to utadmingui by SunRay Server Software -- utadmingui
コメント行を必ず含めてください (クリーンアップが正しく動作するために必要です)。
Sun Ray サーバー管理者は、utadmin 承認済みユーザーリストに追加されている有効な UNIX ユーザー ID が、管理 GUI を使用して Sun Ray サービスを管理することを許可できます。これらのアカウントのアクティビティーの監査証跡が提供されます。utadminuser コマンドは、既存の UNIX ユーザーを utadmin の承認済みユーザーリストに追加できます。
管理権限を持つアカウントの認証は、PAM 認証フレームワークに基づいています。
デフォルトの admin アカウントの代わりに utadmin 承認済みユーザーリスト内の UNIX ユーザーによるアクセスを許可するように Sun Ray 管理 GUI を構成するときは、次の手順を使用します。承認済みユーザーの管理 GUI 特権を有効にすると、utadmin 承認済みリストにユーザーを追加または削除することで管理 GUI へのアクセスを管理できます。
管理 GUI への承認を必要とする UNIX ユーザーごとに、ユーザーを承認済みユーザーリストに追加します。
# utadminuser -a
usernameutadmin コマンドをオプションなしで実行すると現在の承認済みユーザーを一覧表示でき、
-dオプションを付けるとユーザーを削除できます。次の auth エントリを
/etc/pam.d/utadminguiファイルに追加します。#%PAM-1.0 # BEGIN: added to utadmingui by SunRay Server Software -- utadmingui auth requisite pam_authtok_get.so.1 auth required pam_dhkeys.so.1 auth required pam_unix_cred.so.1 auth required pam_unix_auth.so.1
コメント行を必ず含めてください (クリーンアップが正しく動作するために必要です)。
これは、Sun Ray Software がインストールされるときのデフォルトの管理 GUI 特権構成です。
管理 GUI 特権をデフォルト admin ユーザーに制限するには、/etc/pam.d/utadmingui ファイル内の PAM エントリを pam_sunray_admingui.so.1 モジュールに置き換えます。
#%PAM-1.0 # BEGIN: added to utadmingui by SunRay Server Software -- utadmingui
auth sufficient /opt/SUNWut/lib/pam_sunray_admingui.so.1
コメント行を必ず含めてください (クリーンアップが正しく動作するために必要です)。
Sun Ray サーバー管理者は、utadmin 承認済みユーザーリストに追加されている有効な UNIX ユーザー ID が、管理 GUI を使用して Sun Ray サービスを管理することを許可できます。これらのアカウントのアクティビティーの監査証跡が提供されます。utadminuser コマンドは、既存の UNIX ユーザーを utadmin の承認済みユーザーリストに追加できます。
管理権限を持つアカウントの認証は、PAM 認証フレームワークに基づいています。
デフォルトの admin アカウントの代わりに utadmin 承認済みユーザーリスト内の UNIX ユーザーによるアクセスを許可するように Sun Ray 管理 GUI を構成するときは、次の手順を使用します。承認済みユーザーの管理 GUI 特権を有効にすると、utadmin 承認済みリストにユーザーを追加または削除することで管理 GUI へのアクセスを管理できます。
管理 GUI への承認を必要とする UNIX ユーザーごとに、ユーザーを承認済みユーザーリストに追加します。
# utadminuser -a
usernameutadmin コマンドをオプションなしで実行すると現在の承認済みユーザーを一覧表示でき、
-dオプションを付けるとユーザーを削除できます。utadmingui 用の PAM スタックを作成するための ほかの認証 PAM スタック auth エントリを使用するように、
/etc/pam.confファイルを変更します。# BEGIN: added to utadmingui by SunRay Server Software -- utadmingui utadmingui auth requisite pam_authtok_get.so.1 utadmingui auth required pam_dhkeys.so.1 utadmingui auth required pam_unix_cred.so.1 utadmingui auth required pam_unix_auth.so.1
コメント行を必ず含めてください (クリーンアップが正しく動作するために必要です)。
これは、Sun Ray Software がインストールされるときのデフォルトの管理 GUI 特権構成です。
管理 GUI 特権をデフォルト admin ユーザーに制限するには、/etc/pam.conf ファイルを変更し、utadmingui 用の PAM スタックを pam_sunray_admingui.so.1 モジュールに置き換えます。
# BEGIN: added to utadmingui by SunRay Server Software -- utadmingui utadmingui auth sufficient /opt/SUNWut/lib/pam_sunray_admingui.so.1
コメント行を必ず含めてください (クリーンアップが正しく動作するために必要です)。
管理フレームワークには管理 GUI の監査証跡が用意されています。監査証跡は、複数の管理アカウントによって実行される活動の監査ログです。システム設定を変更するすべてのイベントは監査証跡に記録されます。Sun Ray Software は syslog 実装を使用します。
イベントは次のログファイルに記録されます。
/var/opt/SUNWut/log/messages
すべての監査イベントにはキーワード utadt:: が先頭に付くので、messages ファイルからイベントをフィルタできます。
たとえば、管理 GUI からセッションが終了されると、次の監査イベントが生成されます。
Jun 6 18:49:51 sunrayserver usersession[17421]: [ID 521130 user.info] utadt:: username= /
{demo} hostname={sunrayserver} service={Sessions}
cmd={/opt/SUNWut/lib/utrcmd sunrayserver /opt/SUNWut/sbin/utsession -x -d 4 -t /
Cyberflex_Access_FullCrypto.1047750b1e0e -k 2>&P1}
message={terminated User "Cyberflex_Access_FullCrypto.1047750b1e0e" with display number="4" on /
"sunrayserver"}
status={0} return_val={0}ここでは:
username= ユーザーの UNIX IDhostname= コマンドが実行されるホストservice= 実行されているサービスの名前cmd= 実行されているコマンドの名前message= 実行されているアクションの詳細
