|
| |
| Sun Java System Portal Server Secure Remote Access 6 管理ガイド 2004Q2 | |
第 9 章
ゲートウェイの設定この章では、Sun Java System Identity Server 管理コンソールからゲートウェイの属性を設定する方法について説明します。
注
Sun Java System Portal Server Secure Remote Access (SRA) のすべての属性について簡単に調べるには、Identity Server 管理コンソールの右上に表示される「ヘルプ」をクリックし、「Secure Remote Access 管理ヘルプ」をクリックします。
ゲートウェイの設定方法については、「ゲートウェイプロファイルの作成」を参照してください。
ゲートウェイプロファイルを作成したら、ゲートウェイの属性を設定する必要があります。
ゲートウェイの属性を設定するには
次にこれらのタブと、各タブで設定できる属性について説明します。
コアタブゲートウェイサービスの「コア」タブでは、次のタスクを実行できます。
HTTP 接続と HTTPS 接続の有効化
インストール時にゲートウェイを HTTPS モードで実行するように選択している場合は、インストール後、ゲートウェイは HTTPS モードで実行されます。HTTPS モードの場合、ゲートウェイはブラウザからの SSL 接続を許可し、非 SSL 接続を拒否します。
ただし、ゲートウェイを HTTP モードで実行するように設定することもできます。HTTPS モードで発生する、SSL セッションの管理、SSL トラフィックの暗号化と復号化に伴うオーバーヘッドが取り除かれるため、ゲートウェイのパフォーマンスが向上します。
HTTP モードまたは HTTPS モードで実行するようにゲートウェイを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 管理コンソールの「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブで次の操作を行います。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
リライタプロキシリストの有効化と作成
リライタプロキシを使用して、ゲートウェイとイントラネットコンピュータの間の HTTP トラフィックをセキュリティ保護することができます。リライタプロキシを指定しない場合、いずれかのイントラネットコンピュータにアクセスしようとすると、ゲートウェイコンポーネントによりイントラネットコンピュータに直接つながります。
リライタプロキシは、インストール後に自動的に起動されません。次の手順を実行して、リライタプロキシを有効にする必要があります。
リライタプロキシを有効化し、リライタプロキシリストを作成するには
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「リライタプロキシを有効」チェックボックスにチェックマークを付けて、リライタプロキシを有効にします。
- 「リライタプロキシのリスト」編集ボックスに、hostname:port という形式で適切なホスト名とポート番号を入力します。
- 「追加」をクリックします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- サーバーで portal-server-install-root/SUNWps/bin/certadmin を実行し、リライタプロキシの証明書を作成します。
この手順が必要になるのは、リライタプロキシのインストール時に証明書の作成を選択していない場合です。
- リライタプロキシがインストールされているマシンに root としてログインし、リライタプロキシを起動します。
rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start
- ゲートウェイがインストールされているマシンに root としてログインし、ゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Netlet の有効化
Netlet を使用することで、インターネットなどのセキュリティの弱いネットワークで一般的な TCP/IP サービスを安全に実行できます。TCP/IP アプリケーション (Telnet や SMTP など)、HTTP アプリケーション、同じポートを使用するすべてのアプリケーションを実行できます。
Netlet を有効にした場合は、ゲートウェイは着信トラフィックが Netlet トラフィックであるか、または Portal Server トラフィックであるかを判断する必要があります。Netlet を無効にした場合は、ゲートウェイはすべての着信トラフィックが HTTP トラフィックと HTTPS トラフィックのいずれかであると仮定するため、オーバーヘッドが低減します。Netlet は、Portal Server でアプリケーションをまったく使用しないことが確実な場合にだけ無効にしてください。
Netlet を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Netlet を有効」チェックボックスにチェックマークを付けます。デフォルトでは、このチェックボックスは選択されています。チェックマークを外すと、Netlet は無効になります。
- 「Netlet プロキシを有効」チェックボックスにチェックマークを付けて、Netlet プロキシを有効にします。
- 「Netlet Proxy Host」編集ボックスに、hostname:port という形式で適切なホスト名とポート番号を入力します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Netlet プロキシリストの有効化と作成
Netlet プロキシは、ゲートウェイを経由してイントラネット内の Netlet プロキシまでクライアントからの安全なトンネルを拡張することで、ゲートウェイとイントラネットの間の Netlet トラフィックの安全性を補強します。
Netlet プロキシを有効にすると、Netlet パケットが Netlet プロキシにより解読され、送信先サーバーに送られます。これにより、ファイアウォール内で開くポート数を減らすことができます。
Netlet プロキシを有効化し、Netlet プロキシリストを作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 左のフレームに表示される「SRA 設定」の下の「ゲートウェイ」の隣の右矢印をクリックします。
「ゲートウェイ」ページが右のパネルに表示されます。
- 適切なプロファイルの隣の「編集」をクリックします。
右のパネルに「ゲートウェイプロファイルを編集」ページが表示されます。
- 「Netlet プロキシを有効」チェックボックスにチェックマークを付けて、Netlet プロキシを有効にします。
- 「Netlet プロキシホスト」フィールドに、host hostname:port という形式で適切な Netlet プロキシホストの名前とポート番号を入力します。
ヒント
目的のポートが使用可能で未使用であることを確認するには、コマンド行で次のコマンドを実行します。
netstat -a | grep port-number | wc -l
port-number は、目的のポート番号です。
- 「追加」をクリックします。
- ページの上部または下部の「保存」をクリックし、変更内容を保存します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
プロキシレットの有効化
プロキシレットを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「コア」タブをクリックします。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
- 「プロキシレットを有効」チェックボックスにチェックマークを付けます。
- 「プロキシ」タブをクリックします。「ドメインとサブドメインのプロキシ」フィールドまでスクロールして、ゲートウェイにリダイレクトする URL のドメインを入力します。
- 「保存」をクリックします。
Cookie 管理の有効化
多くの Web サイトは、ユーザーセッションの追跡と管理に cookie を使用しています。HTTP ヘッダに cookie が設定されている Web サイトにゲートウェイが要求をルーティングする場合、ゲートウェイは次の方法でそれらの cookie を破棄するか、またはそのまま通過させます。
この設定は、Portal Server が Portal Server ユーザーセッションの追跡に使用する cookie には適用されません。これは、「ユーザーセッション Cookie を転送する URL」オプションの設定によって制御されます。「ユーザーセッション Cookie を転送する URL リストの作成」を参照してください。
この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトの cookie を破棄し、別のサイトの cookie を保持することはできない)。
注
cookie を使用しないゲートウェイであっても、「Cookie ドメイン」リストから URL を削除しないでください。「Cookie ドメイン」リストについては、『Identity Server 管理ガイド』を参照してください。
cookie の管理を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Cookie 管理を有効」チェックボックスにチェックマークを付けて、cookie 管理を有効化します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
HTTP 基本認証の有効化
ゲートウェイサービスには HTTP 基本認証を設定できます。
Web サイトは、サイトを閲覧する前にユーザー名とパスワードの入力を要求する HTTP 基本認証で保護することができます (HTTP応答コードは 401、WWW 認証は BASIC)。Portal Server はユーザー名とパスワードを保存するため、ユーザーは BASIC で保護された Web サイトに再びアクセスするときに証明情報を再入力する必要はありません。これらの証明情報は、ディレクトリサーバー上のユーザープロファイルに保存されます。
BASIC で保護されたサイトをユーザーが訪問できるかどうかは、この設定によって決定するわけではありませんが、ユーザーが入力する証明情報がユーザーのプロファイルに確実に保存されます。
この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトについて HTTP 基本認証のキャッシングを有効にし、別のサイトについて無効にするということはできない)。
注
BASIC 認証ではなく、Windows NT challenge/response (HTTP 応答コード 401、WWW 認証は TLM) で保護された Microsoft の IIS (Internet Information Server) が提供する URL のブラウズはサポートされません。
また、管理コンソールのアクセスリストサービスを使用して、シングルサインオンを有効にすることができます。シングルサインオンの有効化については、「シングルサインオンの管理」を参照してください。
HTTP 基本認証を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「HTTP 基本認証を有効」チェックボックスにチェックマークを付けて、HTTP 基本認証を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
持続的 HTTP 接続の有効化
ゲートウェイで HTTP の持続的接続を有効にし、Web ページの (イメージやスタイルシートなどの) すべてのオブジェクトにソケットが開かれないように設定することができます。
持続的 HTTP 接続を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「持続的 HTTP 接続を有効」チェックボックスにチェックマークを付けて、持続的な HTTP 接続を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
持続的接続 1 つあたりの最大要求数の指定
持続的接続 1 つあたりの最大要求数を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「持続接続ごとの最大要求数」フィールドまでスクロールし、適切な要求数を入力します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
持続的ソケット接続のタイムアウトの指定
持続的ソケット接続のタイムアウトを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「持続ソケット接続のタイムアウト」フィールドまでスクロールし、適切なタイムアウト時間を秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
回復時間に必要な正常なタイムアウトの指定
回復時間に必要な正常なタイムアウトとは次の合計です。
これは、ネットワークの状況やクライアントの接続スピードといった要因に影響を受けます。
回復時間に必要な正常なタイムアウトを指定するには
これはクライアント (ブラウザ) とゲートウェイの間でのネットワークトラフィックの往復時間です。
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「回復時間に必要な正常なタイムアウト」フィールドに、必要な猶予期間を秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ユーザーセッション Cookie を転送する URL リストの作成
Portal Server は、ユーザーセッションの追跡に cookie を使用します。ゲートウェイがサーバーに HTTP 要求を送信すると (ユーザーのデスクトップページを生成するためにデスクトップサーブレットが呼び出される場合など)、この cookie はサーバーに転送されます。サーバー上のアプリケーションはこの cookie を使用して、ユーザーの検証と特定を行います。
Portal Server の cookie は、サーバー以外のマシンに送信された HTTP 要求には転送されませんが、それらのマシンの URL が「ユーザーセッション Cookie を転送する URL」リストに指定されている場合は転送されます。したがってこのリストに URL を追加すると、サーブレットと CGI が Portal Server の cookie を受け取り、API を使用してユーザーを特定することができます。
URL は後続の暗黙的なワイルドカードを使って照合されます。たとえば、リストのデフォルトエントリを次のように指定した場合、
http://server:8080
http://server:8080 から始まるすべての URL に cookie が転送されます。
次のように指定した場合は、
http://newmachine.eng.siroe.com/subdir
この文字列から始まるすべての URL に、cookie が転送されます。
たとえば、「http://newmachine.eng/subdir」で始まるすべての URL には cookie は転送されません。これはこの文字列が転送リスト内の文字列と完全に一致する文字列から始まっていないためです。このようなマシン名の変形で始まる URL に cookie を転送するには、転送リストにエントリを追加する必要があります。
同様に、リストに適切なエントリが追加されている場合を除き、「https://newmachine.eng.siroe.com/subdir」から始まる URL には cookie は転送されません。
Cookie を転送する URL を追加するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「ユーザーセッション Cookie を転送する URL」編集ボックスまでスクロールし、適切な URL を入力します。
- 「追加」をクリックすると、ユーザーセッション Cookie 転送リストにこのエントリが追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
最大接続キューの指定
ゲートウェイが受け付ける最大同時接続数を指定できます。この数を超える接続の試行は、ゲートウェイに受け付けられません。
最大接続キューを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「最大接続キュー」フィールドまでスクロールし、適切な接続数を指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ゲートウェイタイムアウトの指定
ゲートウェイがブラウザとの接続をタイムアウトするまでの時間を、ミリ秒単位で指定できます。
ゲートウェイタイムアウトを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「ゲートウェイタイムアウト (ミリ秒)」フィールドまでスクロールし、タイムアウトまでの間隔をミリ秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
最大スレッドプールサイズの指定
ゲートウェイスレッドプールで事前に作成できる最大スレッド数を指定できます。
最大スレッドプールサイズを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「最大スレッドプールサイズ」フィールドまでスクロールし、適切なスレッド数を指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
キャッシュされたソケットのタイムアウトの指定
ゲートウェイが Portal Server との接続をタイムアウトするまでの時間を、ミリ秒単位で指定できます。
キャッシュされたソケットのタイムアウトを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「キャッシュされたソケットのタイムアウト」フィールドまでスクロールし、タイムアウトまでの時間をミリ秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Portal Server のリストの作成
ゲートウェイが要求に応答するように、複数の Portal Server を設定できます。ゲートウェイのインストール時に、ゲートウェイの稼動に必要な Portal Server を指定することがあります。この Portal Server は、デフォルトでは「Portal Server」フィールドに表示されます。その他の Portal Server を http://portal server name:port number の形式でリストに追加することができます。ゲートウェイは要求を処理するために、リスト内の各 Portal Server に順次アクセスを試みます。
Portal Server を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Portal Server」フィールドまでスクロールし、Portal Server 名を入力します。
Portal Server を http://portal server name:port number の形式で編集フィールドに指定し、「追加」をクリックします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
サーバーの再試行間隔の指定
この属性により、Portal Server、リライタプロキシ、または Netlet プロキシがクラッシュしたり、停止したりして使用不能になった場合に、これらの再起動を要求するまでの間隔を指定します。
サーバーの再試行間隔を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「サーバーの再試行間隔」フィールドまでスクロールし、適切な秒数を指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
外部サーバー cookie の格納の有効化
「外部サーバーの Cookie を格納」オプションを有効にすると、ゲートウェイはサードパーティ製アプリケーション、またはゲートウェイ経由でアクセスするサーバーからの cookie を格納、管理します。アプリケーションまたはサーバーが、cookie を使用しないデバイスに対応できない場合、または複数バージョンの違いを区別する状態管理を cookie に依存している場合でも、対応しているデバイスが cookie を使用しないことは、アプリケーションまたはサーバーには透過的にマスクされます。cookie を使用しないデバイスとクライアント検出については、『Identity Server Customization and API Guide』を参照してください。
外部サーバー cookie を格納するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「外部サーバーの Cookie を格納」チェックボックスにチェックマークを付けて、外部サーバー cookie の格納を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
URL からのセッションの取得
「URL からセッションを取得」オプションを有効にすると、cookie をサポートするかどうかに関係なく、セッション情報が URL の一部としてコード化されます。つまりゲートウェイは、クライアントのブラウザから送信されるセッション cookie の代わりに URL に含まれるセッション情報を使用して検証を行います。
URL からのセッションを取得するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「URL からセッションを取得」チェックボックスにチェックマークを付けて、URL からのセッションの取得を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
安全な cookie としてのマーク付けの有効化
安全な cookie としてマーク付けしておけば、ブラウザはセキュリティを補強した cookie として処理します。セキュリティの実装には、ブラウザを使用します。このためには、「Cookie 管理を有効」属性を有効化しておく必要があります。
安全な cookie としてマークするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「安全な Cookie としてマークする」チェックボックスにチェックマークを付けて、安全な cookie としてマークを付けます。
「Cookie 管理を有効」属性が有効になっていることを確認します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
プロキシタブゲートウェイサービスの「プロキシ」タブでは、次のタスクを実行できます。
Web プロキシ使用の有効化
Web プロキシの使用を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「プロキシを使用する」チェックボックスにチェックマークを付けて、Web プロキシの使用を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Web プロキシを使用する URL のリストの作成
「プロキシを使用する」オプションを無効にしている場合でも、ゲートウェイが「ドメインとサブドメインのプロキシ」リストの Web プロキシだけを使用して、特定の URL に接続するように指定できます。これらの URL は、「Web プロキシを使用する URL」フィールドに指定する必要があります。この値がプロキシの使用に与える影響についての詳細は、「Identity Server へアクセスするプロキシの指定」を参照してください。
Web プロキシを使用する URL を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「Web プロキシを使用する URL」編集ボックスに、http://host name.subdomain.com という形式で適切な URL を入力します。「追加」をクリックします。
「Web プロキシを使用する URL」リストに URL が追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Web プロキシを使用しない URL のリストの作成
「Web プロキシを使用しない URL」リストに指定されている URL に対しては、ゲートウェイは直接接続を試みます。これらの URL への接続には Web プロキシは使用されません。
Web プロキシを使用しない URL を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「Web プロキシを使用しない URL」編集ボックスに適切な URL を入力し、「追加」をクリックします。
「Web プロキシを使用しない URL」リストに URL が追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ドメインとサブドメインのプロキシのリストの作成
ドメインとサブドメインのプロキシを指定するには
さまざまなホストにプロキシ情報を適用する方法については、「Identity Server へアクセスするプロキシの指定」を参照してください。
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の右矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「ドメインとサブドメインのプロキシ」編集ボックスまでスクロールし、適切な情報を入力して「追加」をクリックします。「ドメインとサブドメインのプロキシ」リストボックスにエントリが追加されます。
プロキシ情報は次の形式で入力します。
domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
* は特別に指定する以外のすべてのドメインとサブドメインに対して、* の後に定義されるプロキシが適用されなければならないことを示します。
プロキシにポートを指定しない場合、デフォルトのポート 8080 が使用されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
プロキシのパスワードリストの作成
プロキシサーバーが一部またはすべてのサイトへのアクセスに認証を要求する場合、指定されたプロキシサーバーでゲートウェイが認証されるために必要な、ユーザー名とパスワードを指定する必要があります。
プロキシパスワードを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「プロキシパスワードのリスト」フィールドまでスクロールし、各プロキシサーバーの情報を入力して「追加」をクリックします。
プロキシ情報は次の形式で入力します。
proxyserver|username|password
proxyserver は、「ドメインとサブドメインのプロキシ」リストに定義したプロキシサーバーです。
- 認証を必要とするすべてのプロキシについて、手順 6 を繰り返します。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
自動プロキシ設定サポートの有効化
自動プロキシ設定を有効にするオプションを選択すると、「ドメインとサブドメインのプロキシ」フィールドに指定した情報が無視されます。ゲートウェイは、イントラネット設定にだけプロキシ自動設定 (PAC) ファイルを使用します。PAC ファイルについては、「自動プロキシ設定の使用」を参照してください。
自動プロキシ設定サポートを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「自動プロキシ設定サポートを有効」チェックボックスにチェックマークを付けて、PAC サポートを有効にします。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
自動プロキシ設定ファイルの場所の指定
自動プロキシ設定ファイルの場所を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「自動プロキシ設定ファイルの位置」フィールドまでスクロールし、PAC ファイルの名前と場所を指定します。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Web プロキシ経由の Netlet トンネリングの有効化
Web プロキシ経由の Netlet トンネリングを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「Web プロキシ経由の Netlet トンネリングを有効」チェックボックスにチェックマークを付けて、トンネル化を有効にします。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
セキュリティタブゲートウェイサービスの「セキュリティ」タブでは、次のタスクを実行できます。
非認証 URL のリストの作成
一部の URL で認証を不要にするように指定できます。通常は、イメージを含むディレクトリおよびフォルダが該当します。
非認証 URL パスを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「非認証 URL」フィールドまでスクロールし、folder/subfolder の形式で適切なフォルダパスを入力します。
URL が、/images など完全修飾名ではない場合、ポータル URL として処理されます。
非ポータル URL を追加するには、URL を完全修飾名にしてください。
- 「追加」をクリックすると、「非認証 URL」リストにこのエントリが追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
証明書が有効なゲートウェイホストのリストの作成
証明書が有効なゲートウェイホストのリストにゲートウェイを追加するには
40 ビット暗号化接続の許可
このオプションは、40 ビットの (弱い) SSL (Secure Sockets Layer) 接続を許可する場合に選択します。このオプションを選択していない場合、128 ビット接続だけがサポートされます。
このオプションを無効にするときは、ブラウザが必要な接続タイプをサポートするように設定されていることを確認する必要があります。
40 ビット暗号化接続を許可するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「40 ビット暗号化を許可」チェックボックスにチェックマークを付けて、40 ビットブラウザ接続を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
SSL Version 2.0 の有効化
SSL Version 2.0 を有効または無効にできます。SSL 2.0 を無効化すると、古い SSL 2.0 だけをサポートするブラウザが SRA に対して認証できなくなります。これにより、セキュリティのレベルが格段に向上します。
SSL Version 2.0 を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「SSL バージョン 2.0 を有効」チェックボックスにチェックマークを付けて、バージョン 2.0 を有効にします。
デフォルトでは、このオプションは有効に設定されています。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
SSL 符号化選択を有効
SRA は、いくつかの標準暗号化方式をサポートしています。パッケージ内のすべての暗号化方式をサポートするか、必要な暗号化方式を個別に選択するかを選択することができます。ゲートウェイインスタンスごとに、個別に SSL 暗号化方式を選択できます。選択した暗号化方式のいずれかがクライアントサイトに存在していれば、SSL ハンドシェークは正常に行われます。
暗号化方式の個別選択を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「SSL 暗号化方式の選択を有効」フィールドまでスクロールし、このオプションを選択します。
このオプションを有効にすると、SSL2、SSL3、TLS の暗号化方式から、適切な暗号化方式を選択できます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
SSL Version 3.0 の有効化
SSL Version 3.0 を有効または無効にできます。SSL 3.0 を無効化すると、SSL 3.0 だけをサポートするブラウザが SRA ソフトウェア に対して認証できなくなります。これにより、セキュリティのレベルが格段に向上します。
SSL Version 3.0 を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「SSL バージョン 3.0 を有効」チェックボックスにチェックマークを付けて、バージョン 3.0 を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Null 暗号化方式を有効
Null 暗号化方式を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「Null 暗号化方式を有効」チェックボックスにチェックマークを付けて、Null 暗号化方式を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
信頼されている SSL ドメインのリストの作成
信頼されている SSL ドメインのリストを作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「信頼できる SSL ドメイン」リストまでスクロールし、ドメイン名を入力して「追加」をクリックします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
PDC (Personal Digital Certificate) 認証の設定
PDC は認証局 (CA) が発行し、CA の非公開錠で署名されます。CA は証明書を発行する前に要求本文の ID を検証します。この場合 PDC が存在すると、非常に強力な認証メカニズムとして機能します。
PDC には所有者の公開鍵、所有者名、有効期限、デジタル証明書を発行した認証局の名前、シリアル番号、その他の情報が収められています。
Portal Server での認証には、PDC とスマートカードや Java カードなどのコード化されたデバイスを使用できます。コード化されたデバイスは、カードに保存された PDC と電子的に同等のものを搬送します。ユーザーがこれらのメカニズムのいずれかを使用してログインすると、ログイン画面も認証画面も表示されません。
PDC 認証プロセスには、いくつかの手順が伴います。
PDC とコード化されたデバイスを設定するには
PDC とコード化されたデバイスを設定するには、次の手順を実行します。
- Portal Server マシンで、portal-server-install-root/SUNWam/config/AMConfig-instance-name.properties ファイルに次の行を追加します。
com.iplanet.authentication.modules.cert.gwAuthEnable=yes
(ファイルのどの場所に追加してもかまわない)
- PDC を有効にするゲートウェイの認証データベースに、適切な証明書をインポートします。
詳細については、第 7 章「証明書」を参照してください。
- 証明書を登録します。
- 「信頼できるリモートホスト」リストを作成します。
- 新しいインスタンスを作成します。
- 「アイデンティティ管理」タブをクリックします。
- 「表示」ドロップダウンメニューから「サービス」を選択します。
- 「認証設定」の隣の矢印をクリックします。
- 「サービスインスタンスリスト」が表示されます。
- 「新規」をクリックします。
- 「新規サービスインスタンス」ページが表示されます。
- サービスインスタンス名に「gatewaypdc」と入力します。
- 注 : この名前を使用する必要があります。
- 「送信」をクリックします。
- 「gatewaypdc」サービスインスタンスリストが表示されます。
- 「gatewaypdc」をクリックし、サービスを編集します。
- 「gatewaypdc プロパティを表示」ページが表示されます。
- 「認証設定」の隣の「編集」リンクをクリックします。
- ポップアップウィンドウが表示されます。
- 「追加」をクリックします。
「<組織名> の認証設定」ページが表示されます。
- 「追加」をクリックします。
- 「認証モジュールを追加」ページが表示されます。
- 「モジュール名」の「証明書」と、「適用基準」の「REQUIRED」を選択します。
- 「了解」をクリックします。
- 「了解」をもう一度クリックし、ポップアップウィンドウを閉じます。
- 証明書をゲートウェイホストに関連付けます。
- PDC を有効にしたゲートウェイへのアクセス権を必要とするブラウザに対して、CA から発行されたクライアント証明書をインストールします。
- 次のゲートウェイプロファイルと組織にアクセスします。
https://gateway:instance-port/YourOrganization
ユーザー名とパスワードを要求するプロンプトが表示されずに、証明書の名前を使用してログインできます。
リライタタブゲートウェイサービスの「リライタ」タブでは、次のタスクを実行できます。
すべての URL のリライトの有効化
ゲートウェイサービスで「すべての URL のリライトを有効」オプションを有効にすると、「ドメインとサブドメインのプロキシ」リストのエントリをチェックせずに、リライタはすべての URL をリライトします。「ドメインとサブドメインのプロキシ」リストのエントリは無視されます。
ゲートウェイによるすべてのURLのリライトを有効にするには
- Sun Java System Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「すべての URL のリライトを有効」チェックボックスにチェックマークを付け、ゲートウェイによるすべての URL のリライトを有効にします。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
URI とルールセットのマッピングリストの作成
ルールセットは、Identity Server 管理コンソールの「Portal Server 設定」の下のリライタサービスに作成されます。詳細については、『Portal Server 管理ガイド』を参照してください。
ルールセットを作成したら、「URI をルールセットにマップ」フィールドを使用してドメインとルールセットを関連付けます。デフォルトでは、「URI をルールセットにマップ」リストに次の 2 つのエントリが追加されます。
デフォルトドメインのすべてのページに対して、デフォルトゲートウェイのルールセットが適用されます。他のすべてのページには、汎用ルールセットが適用されます。デフォルトのゲートウェイルールセットと汎用ルールセットはパッケージ内のルールセットです。
注
デスクトップに表示されるすべてのコンテンツについて、コンテンツがフェッチされる場所にかかわらず、デフォルトドメインのルールセットが使用されます。
たとえば、URL yahoo.com のコンテンツを集めるようにデスクトップを設定すると仮定します。Portal Server は sesta.com 内にあります。フェッチされたコンテンツに sesta.com のルールセットが適用されます。
URI をルールセットにマッピングするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「URI をルールセットにマップ」フィールドまでスクロールします。
- 「URI をルールセットにマップ」フィールドに適切なドメイン名またはホスト名とルールセットを入力し、「追加」をクリックします。
「URI をルールセットにマップ」リストにエントリが追加されます。
ドメインまたはホスト名とルールセットは次の形式で指定します。
ドメイン名|ルールセット名
例
eng.sesta.com|default
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Outlook Web Access 用のルールセット
SRA ソフトウェア では、OWA (Outlook Web Access) から MS Exchange 2000 SP3 インストールおよび MS Exchange 2003 にアクセスする機能がサポートされます。
OWA のルールセットを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「URI をルールセットにマップ」フィールドで、Exchange 2000 がインストールされているサーバー名を入力し、それに続けて Exchange 2000 Service Pack 4 OWA ルールセットを入力します。
例
exchange.domain.com|exchange_2000sp3_owa_ruleset
パースする MIME タイプのリストの作成
リライタでは、コンテンツタイプ、つまり HTML、JavaScript、CSS、XML に基づいて Web ページをパースするために、4 つのパーサーが使用されます。デフォルトでは、これらのパーサーには一般的な MIME タイプが関連付けられています。新しい MIME タイプとこれらのパーサーの関連付けは、ゲートウェイサービスの「パーサーを MIME タイプにマップ」フィールドで行います。これにより、リライタ機能を他の MIME タイプに拡張できます。
複数のエントリは、セミコロン (;) またはカンマ (,) で区切ります。
例
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
これは、これらの MIME が HTML リライタに送られ、URL のリライトに HTML ルールを適用することを指定しています。
ヒント
MIME マッピングリストから不要なパーサーを削除すると、処理速度が向上します。たとえば、特定のイントラネットのコンテンツに JavaScript が含まれないことが確実な場合は、MIME マッピングリストから JavaScript エントリを削除できます。
MIME のマッピングを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「パーサーを MIME タイプにマップ」フィールドまでスクロールし、編集ボックスに必要な MIME タイプを追加します。複数のエントリを区切るときは、セミコロンまたはカンマを使用します。
エントリは HTML=text/html;text/htm の形式で指定します。
- 「追加」をクリックし、必要なエントリをリストに追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
デフォルトのドメインとサブドメインの指定
デフォルトのドメインとサブドメインは、URL にホスト名だけが含まれ、ドメインとサブドメインが指定されていない場合に便利です。この場合、ゲートウェイはホスト名がデフォルトのドメインとサブドメイン内にあると仮定し、そのように処理を進めます。
たとえば、URL のホスト名が host1、デフォルトのドメインとサブドメインが red.sesta.com のように指定されている場合、ホスト名は host1.red.sesta.com として解決されます。
デフォルトのドメインとサブドメインを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブをクリックします。
- 「SRA 設定」の「ゲートウェイ」の隣の右矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「デフォルトのドメイン」フィールドまでスクロールし、必要なデフォルト値を subdomain.domain の形式で入力します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
リライトしない URI のリストの作成
デフォルトのドメインとサブドメインを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「詳細」サブセクションを表示します。
- 「リライトしない URI」フィールドまでスクロールし、編集ボックスに URI を追加します。
注 : このリストに #* を追加することで、href ルールがルールセットの一部である場合でも URI をリライトできます。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
MIME 推測の有効化
リライタは、パーサーの選択にページの MIME タイプを使用します。WebLogic や Oracle などの一部の Web サーバーは MIME タイプを送信しません。これに対応するには、「パーサーと URI のマッピング」リストボックスにデータを追加して、MIME 推測機能を有効にします。
MIME 推測を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「MIME 推測を有効」チェックボックスにチェックマークを付け、MIME 推測を有効にします。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
パースする URI マッピングリストの作成
MIME 推測機能が有効で、サーバーが MIME タイプを送信しない場合は、このリストを使用してパーサーと URI がマッピングされます。
複数の URI はセミコロンで区切られます。
たとえば、HTML=*.html; *.htm;*Servlet のように指定します。
この例の設定では、HTML リライタは拡張子が html、htm、Servlet のすべてのページのコンテンツをリライトします。
パーサーを URI にマッピングするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「パーサーを MIME タイプにマップ」フィールドまでスクロールし、編集ボックスにデータを追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
マスキングの有効化
マスキングを有効にすることで、リライタはページのイントラネット URL が判読されないように URI をリライトします。
マスキングを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「マスキングを有効」チェックボックスにチェックマークを付け、マスキングを有効にします。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
マスキングのためのシード文字列の指定
URI のマスキングには、シード文字列が使用されます。これは、マスキングアルゴリズムによって生成されるランダムな文字列です。
マスキングのためのシード文字列を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「マスキングのシード文字列」フィールドまでスクロールし、編集ボックスに文字列を追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
マスクしない URI のリストの作成
アプレットなどの一部のアプリケーションはインターネット URI を必要とし、マスクすることができません。これらのアプリケーションを指定するには、リストボックスに URI を追加します。
たとえば、次のように追加します。
*/Applet/Param*
リストボックスに追加した URL は、コンテンツの URI http://abc.com/Applet/Param1.html がルールセット内のルールと一致する場合にマスクされません。
マスクしない URI を作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「マスクしない URI」のリストフィールドまでスクロールし、編集ボックスに URI を追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ゲートウェイプロトコルと元の URI プロトコルの同一化
ゲートウェイが HTTP と HTTPS の両方のモードで稼動する場合、HTML コンテンツ内で参照されるリソースへのアクセスに同じプロトコルを使用するようにリライタを設定できます。
たとえば、元の URL が http://intranet.com/Public.html であれば、HTTP ゲートウェイが追加されます。元の URL が https://intranet.com/Public.html であれば、HTTPS ゲートウェイが追加されます。
ゲートウェイプロトコルと元の URI プロトコルを同一化するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「ゲートウェイプロトコルを元の URI プロトコルと同じにする」チェックボックスにチェックマークを付けます。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ロギングタブゲートウェイサービスの「ロギング」タブでは、次のタスクを実行できます。
ロギングの有効化
ゲートウェイログファイルが、各セッションの最少情報または詳細情報のどちらを取り込むか指定できます。このログ情報は、Identity Server 設定属性の「ロギング」セクションに含まれる「ログの場所」属性で指定されたディレクトリに保存されます。このログは、Portal Server マシン上に置かれます。
ログ名には次の命名ルールがあります。
srapGateway_gatewayhostname_gateway-profile-name
ログ情報は Identity Server の設定に基づいて、ファイルまたはデータベースとして保存されます。ログのフィールドはカンマ区切りの ASCII 値で、他のデータ分析ツールにエクスポートできます。
ゲートウェイのロギングを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「ロギングを有効」チェックボックスにチェックマークを付けて、ゲートウェイのロギングを有効にします。
- クライアントアドレス、要求タイプ、宛先ホストなどの最低限のログ情報を取り込むには、「セッション単位のロギングを有効」チェックボックスにチェックマークを付けます。
- ゲートウェイがクライアント、要求型、宛先ホスト、要求のタイプ、クライアント要求 URL、クライアントポート、データサイズ、セッション ID、応答結果コード、完全応答サイズなどの詳細情報を取り込むようにするには、「セッション単位の詳細なロギングを有効」を選択します。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Netlet ロギングの有効化
このオプションを選択すると、Netlet に関連するアクティビティのロギングを有効にできます。Netlet ログには、Netlet セッションに関する次の詳細事項が収められます。
Netlet ロギングを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「Netlet ロギングを有効」チェックボックスにチェックマークを付けて、Netlet ロギングを有効にします。
- ページの下部にある「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start