|
| |
| Sun Java System Portal Server Secure Remote Access 6 管理ガイド 2004Q2 | |
第 11 章
Netlet の設定この章では、Sun Java System Identity Server 管理コンソールから Netlet の属性を設定する方法について説明します。
注
SRA のすべての属性について簡単に調べるには、Identity Server 管理コンソールの右上に表示される「ヘルプ」をクリックし、「Secure Remote Access 管理ヘルプ」をクリックします。
組織レベルで設定できるすべての属性は、ユーザーレベルでも設定できます。組織、ロール、ユーザーの各レベルの属性については、『Identity Server 管理ガイド』を参照してください。
Netlet 属性を設定するには、次の手順を実行し、組織レベルの属性を設定します。
ユーザーへの Netlet サービスの割り当て
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。
選択した組織名が、管理コンソールの左上に場所として表示されます。
- 選択した組織の「表示」ドロップダウンリストから「ユーザー」を選択します。
- 左のパネルで目的のユーザーの隣にある矢印をクリックします。
- このユーザーが使用できる Netlet サービスが割り当てられていない場合は、このユーザーの「表示」ドロップダウンリストから「サービス」を選択します。
- 「追加」をクリックします。
- 「利用可能なサービス」のリストから「Netlet」を選択します。
- 「保存」をクリックします。
- このユーザーの「表示」ドロップダウンリストから「Netlet」サービスを選択することで、Netlet 属性を変更できます。
Netlet ルールの追加Identity Server 管理コンソールの「アイデンティティ管理」タブでは、Netlet ルールをグローバルレベルで追加または作成できます。これらのルールは、新しい組織を作成すると、その組織に継承されます。
新しいルールの作成または既存のルールの修正は、組織、ロール、ユーザーレベルで行えます。
Netlet ルールを追加するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- ルールを作成する組織を選択します。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「Netlet ルール」フィールドの「追加」をクリックします。
Netlet ルールの追加ページが表示されます。ルールのすべてのフィールドに同じ値が入力されていますが、必要に応じて変更できます。
- 「ルール名」フィールドに一意の名前を入力します。
- 適切な暗号化方式を指定します。デフォルトの暗号化方式を使用する場合は、「デフォルト」を選択します。使用できる暗号化方式のリストから選択するときは、「その他」を選択します。
デフォルトの暗号化方式については、「デフォルトの暗号化方式を指定するには」を参照してください。
- 呼び出すアプリケーションの URL を「URL」フィールドに入力します。
- アプレットをダウンロードする必要がある場合は、「アプレットのダウンロード」チェックボックスにチェックマークを付けます。local-port:server-host:server-port の形式で、関連する編集ボックスにアプレットの詳細を入力します。
アプレットの詳細を指定する必要があるのは、アプレットを Portal Server ホスト以外のホストからダウンロードする必要がある場合だけです。チェックボックスにチェックマークを付けていない場合、編集ボックスは無効になっています。詳細は、「リモートホストからのアプレットのダウンロード」を参照してください。
- このルールに対応する Netlet セッションの実行中は Portal Server セッション時間が延長されるようにするときは、「拡張セッション」チェックボックスにチェックマークを付けます。
- Netlet が待機するローカルポートを「ローカルポート」フィールドに入力します。
FTP ルールでは、ローカルポートは 30021 である必要があります。
- 「ターゲットホスト」フィールドにエントリを入力します。
スタティックルールでは、Netlet 接続のターゲットマシンのホスト名を入力します。
ダイナミックルールでは、「TARGET」と入力します。
- ターゲットホストのポートを「ターゲットポート」フィールドに入力します。
- 「リストに追加」をクリックして、「宛先ポート」フィールドにローカルポートの最後の 3 つのエントリを反映させます。
- 「保存」をクリックします。
ルールが保存され、「Netlet」ページに戻ります。「Netlet ルール」リストに新しいルールが表示されます。
既存の Netlet ルールの変更管理コンソールの「アイデンティティ管理」タブでは、既存のルールを組織、ロール、ユーザーレベルで変更できます。これらのルールは、新しい組織を作成すると、その組織に継承されます。
Netlet ルールを変更するには
Netlet ルールの削除管理コンソールの「アイデンティティ管理」タブで、Netlet ルールをグローバルレベルで削除できます。
Netlet ルールを削除するには
デフォルトの暗号化方式の指定Netlet ルールにはデフォルトの暗号化方式を指定する必要があります。これはルールの一部として暗号化方式が指定されていない既存のルールを使用する場合に便利です。このフィールドの設定は必須です。「下位互換性」を参照してください。.
デフォルトの暗号化方式を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「デフォルトのネイティブ VM 暗号化方式」フィールド、または「デフォルトの Java プラグイン暗号化方式」フィールドまでスクロールし、ドロップダウンリストから適切な暗号化方式を選択します。サポートされる暗号化方式のリストについては、「サポートされる暗号化方式」を参照してください。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
デフォルトループバックポートの割り当てこの属性は、Netlet を通じてアプレットがダウンロードされるときにローカルマシンで使用されるポートを指定します。Netlet ルールの設定が優先される場合を除き、デフォルトの 58000 が使用されます。
デフォルトループバックポートを割り当てるには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「デフォルトのループバックポート」フィールドまでスクロールし、適切なポート番号を入力します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
接続の再認証の有効化Netlet 接続を確立しようとするユーザーに、その都度 Netlet パスワードの入力を要求する場合は、このオプションを有効にします。このオプションを有効にすると、ユーザーのデスクトップに接続の警告ポップアップが表示されなくなります。詳細については、「接続の警告ポップアップの有効化」を参照してください。
このオプションを有効にすると、ユーザーは Netlet チャネルの編集オプションを使用して再認証パスワードを変更できるようになります。デフォルトでは、最初のパスワードは srap-Netlet です。
接続の再認証を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「接続の再認証」フィールドまでスクロールし、オプションを選択します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
接続の警告ポップアップの有効化この属性が有効になっている場合は、Netlet を使用してアプリケーションを実行しているときに、他のユーザーが待機ポートを通じて Netlet に接続しようとすると、デスクトップに警告ポップアップダイアログボックスが表示されます。ユーザーのデスクトップにポップアップを表示しないようにするときは、この属性の選択を解除します。
接続の警告ポップアップを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「接続の警告ポップアップを表示」チェックボックスにチェックマークを付けて、警告ポップアップを有効にします。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
「ポート警告ダイアログにチェックボックスを表示」の有効化この属性が管理コンソールで有効になっている場合は、Netlet がローカルマシン上の自由に使用できるポートを通じて宛先ホストに接続しようとしたときに、ユーザーのデスクトップの警告ポップアップにチェックボックスが表示されます。このチェックボックスをデスクトップ上で切り替えることによって、ユーザーは警告ポップアップを有効または無効にすることができます。
管理コンソールの「ポート警告ダイアログにチェックボックスを表示」オプションを無効にすると、ユーザーはこの警告ポップアップを非表示にできるようになります。
ユーザーによるポート警告ダイアログの非表示を許可するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「ポート警告ダイアログにチェックボックスを表示」フィールドまでスクロールし、チェックボックスのチェックマークを外します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
キープアライブ間隔の設定クライアントが Web プロキシを通じてゲートウェイに接続している場合は、アイドル状態の Netlet 接続はプロキシタイムアウトによって切断されます。切断されないようにするには、このパラメータにプロキシタイムアウトより小さい値を指定してください。
キープアライブ間隔を設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「キープアライブ間隔 (分)」フィールドまでスクロールし、適切な時間を入力します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
「ポータルのログアウト時に Netlet を終了」オプションの設定ユーザーが Portal Server をログアウトしたときにすべての接続を終了させるときは、このオプションを有効にします。これにより、セキュリティが向上します。デフォルトでは、このオプションは有効に設定されています。
このオプションを無効にすると、ユーザーが Portal Server デスクトップからログアウトした後も、有効な Netlet 接続が持続します。
「ポータルのログアウト時に Netlet を終了」オプションを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「ポータルのログアウト時に Netlet を終了」フィールドまでスクロールし、必要に応じてオプションを選択または選択解除します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
「Sun Ray 環境での Netlet の実行」も参照してください。
Netlet ルールへのアクセスの定義特定の組織、ロール、ユーザーに対して特定の Netlet ルールへのアクセスを定義できます。
Netlet ルールへのアクセスを定義するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「Netlet ルールにアクセス」フィールドまでスクロールします。
- 「Netlet ルールにアクセス」フィールドで、選択している組織が使用できるようにするルールの名前を入力します。
このフィールドにアスタリスク (*) を指定すると、選択している組織は、定義されているすべての Netlet ルールを使用できるようになります。
- 「追加」をクリックします。
指定したルールが「Netlet ルールにアクセス」リストに追加されます。
- 使用可能にする各 Netlet ルールについて、手順 7、8、9 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
Netlet ルールへのアクセスの拒否特定の組織、ロール、ユーザーに対して特定の Netlet ルールへのアクセスを拒否できます。
Netlet ルールへのアクセスを拒否するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「Netlet ルールの拒否」フィールドまでスクロールします。
- 「Netlet ルールの拒否」フィールドで、選択している組織がアクセスを拒否されるルールの名前を入力します。
このフィールドにアスタリスク (*) を指定すると、選択している組織は、定義されているすべての Netlet ルールへのアクセスが拒否されるようになります。
- 「追加」をクリックします。
指定したルールが「Netletl ルールの拒否」リストに追加されます。
- アクセスを拒否する各 Netlet ルールについて、手順 7、8、9 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
ホストへのアクセスの許可特定の組織、ロール、ユーザーに対して特定のホストへのアクセスを定義できます。この定義により、特定のホストへのアクセスを許可できます。たとえば、ユーザーが telnet 接続する 5 つのホストを「許可」リストに設定できます。
ホストへのアクセスを許可するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「許可されたホスト」フィールドまでスクロールします。
- 「許可されたホスト」フィールドに、アクセスを許可するホストの名前を入力します。
このフィールドにアスタリスク (*) を指定すると、指定されたドメインのすべてのホストへのアクセスが可能になります。たとえば、*.sesta.com と指定した場合、ユーザーは sesta.com ドメイン内のすべての Netlet ターゲットを実行できます。また、xxx.xxx.xxx.* のように、ワイルドカードを含む IP アドレスも指定できます。
- 「追加」をクリックします。
指定したホストが「許可されたホスト」リストに追加されます。
- アクセス可能にする各ホストについて、手順 7 と 8 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
ホストへのアクセスの拒否組織内の特定のホストへのアクセスを拒否することができます。アクセスを拒否するホストを「拒否されたホスト」リストに指定します。
ホストへのアクセスを拒否するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「拒否されたホスト」フィールドまでスクロールします。
- アクセスを拒否するホストの名前を「拒否されたホスト」フィールドに入力します。
このフィールドにアスタリスク (*) を指定すると、ユーザーは選択している組織内のすべてのホストにアクセスできなくなります。たとえば、組織 sesta のすべてのホストへのアクセスを拒否するには、「拒否されたホスト」フィールドに *.sesta.com と入力します。
特定のホストへのアクセスを拒否するには、完全修飾名を指定します。たとえば、ホスト abc へのアクセスを拒否する場合は、abc.sesta.com と入力します。
- 「追加」をクリックします。
指定したドメインが「拒否されたホスト」リストに追加されます。
- アクセス可能にする各ドメインについて、手順 7 と 8 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
プロキシの設定次の属性は、ユーザーレベルで設定できます。
管理コンソールでこれらの値を指定していないため、Netlet がブラウザのプロキシ設定を判断できない場合は、最初に Netlet を通じて接続が確立されるときに、この情報の入力を要求するプロンプトが表示されます。入力した情報は格納され、そのユーザーが次回以降に接続するときに使用されます。
次の場合には、Netlet はブラウザのプロキシ設定を判断できません。
- ユーザーが Java プラグイン (1.4.0 より前のバージョン) を使用する Internet Explorer 4.x、5.x、または 6.x を使用し、Java プラグインコントロールパネルの「プロキシ」タブで「ブラウザ設定を使用」オプションを有効にし、Internet Explorer の「ローカルエリアネットワーク (LAN) の設定」ダイアログの「自動構成スクリプトを使用する」フィールドで追加製品または INS ファイルを指定している場合
- ユーザーが Java プラグイン (Version 1.3.1_01 以降) を使用する Netscape 6.2 を使用し、Java プラグインコントロールパネルの「プロキシ」タブで「ブラウザ設定を使用」オプションを有効にしている場合。
いずれの場合も、Netlet はブラウザ設定を特定できない場合があり、次の情報の指定がユーザーに求められます。
デバッグロギングの有効化デバッグ情報の場所は、Portal Server ノードの AMConfig-instance-name.properties ファイルに設定されている com.iplanet.services.debug.directory 属性の値によって異なります。
たとえば、com.iplanet.services.debug.directory 属性に次の値が設定されている場合は、
/var/opt/SUNWam/debug/
NetFile のデバッグ情報は /var/opt/SUNWam/debug ディレクトリの srapNetFile ファイルから取得できます。
詳細については、『Identity Server 管理ガイド』を参照してください。