Sun Java System Portal Server Secure Remote Access 6 2005Q4 管理ガイド |
第 1 章
Portal Server Secure Remote Access についてこの章では、Sun JavaTM System Portal Server Secure Remote Access について、および Sun Java System Portal Server (Portal Server) ソフトウェアと Sun Java System Portal Server Secure Remote Access (SRA) コンポーネントの関係について説明します。
この章で説明する内容は次のとおりです。
SRA ソフトウェアの概要SRA ソフトウェアは、リモートユーザーがインターネットを通じて社内のネットワークおよびサービスに安全にアクセスできる環境を提供します。また、従業員、ビジネスパートナー、一般ユーザーなど、あなたの会社のインターネットポータルを使用する誰もがコンテンツやアプリケーション、データに安全にアクセスできるようになります。
リモートデバイスからポータルコンテンツおよびサービスにアクセスする場合、SRA ソフトウェアはブラウザによるセキュアリモートアクセスを提供します。SRA は、JavaTM テクノロジに対応したブラウザを使用するすべてのデバイスからアクセス可能な安全なアクセスソリューションであり、クライアントソフトウェアを使用しません。Portal Server に統合すると、アクセス権のあるコンテンツおよびサービスへの暗号化された安全なアクセスが、ユーザーに対して保証されます。
SRA ソフトウェアは、安全性の高いリモートアクセスポータルを配備する企業を対象に設計されています。このようなポータルは、イントラネットリソースのセキュリティー、保護、およびプライバシーに重点が置かれています。SRA のアーキテクチャーは、これらのタイプのポータルに最も適しています。ユーザーは SRA ソフトウェアを利用することで、イントラネットリソースをインターネットに公開しなくても、これらのリソースにインターネットを通じて安全にアクセスできます。
Portal Server は、次の 2 つのモードで動作します。
オープンモード
オープンモードの場合、Portal Server のインストール時に SRA ソフトウェアはインストールされません。このモードでの HTTPS 通信は可能ですが、セキュアリモートアクセスは使用できません。つまり、セキュリティー保護されたリモートファイルシステムとアプリケーションにはアクセスできません。
オープンポータルとセキュアポータルの主な違いは、オープンポータルを通じて提供されるサービスが、通常は保護されたイントラネット内ではなく非武装ゾーン (DMZ) 内に存在する点にあります。DMZ は一般のインターネットと私的なイントラネットの間に存在する保護付きの小規模ネットワークで、通常は両端のファイアウォールで境界が定められます。
ポータルに機密情報が含まれていない場合 (公開情報の配布や無償アプリケーションへのアクセス許可)、大量のアクセス要求への応答は、セキュアモードに比べて速くなります。
図 1-1 は、オープンモードの Portal Server を示しています。この例では、Portal Server はファイアウォールの背後にある単一のサーバーにインストールされています。複数のクライアントが単一のファイアウォールを経由して、インターネット上の Portal Server にアクセスしています。
図 1-1 オープンモードの Portal Server
セキュアモード
セキュアモードは、必要とされるイントラネットファイルシステムとアプリケーションへのセキュリティー保護されたリモートアクセスを可能にします。
ゲートウェイは非武装ゾーン (DMZ) に常駐します。ゲートウェイはすべてのイントラネット URL とアプリケーションへの単一のセキュアアクセスポイントとして機能し、ファイアウォールに開かれるポートの数は減ります。その他のセッション、認証、および標準のポータルデスクトップなどの Portal Server サービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。クライアントブラウザからゲートウェイへの通信は、SSL (Secure Socket Layer) を使った HTTP を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP または HTTPS が使用されます。
図 1-2 は、Portal Server と SRA ソフトウェアを示しています。SSL は、クライアントとゲートウェイの接続をインターネット上で暗号化するために使用されます。また、SSL はゲートウェイとサーバー間の接続の暗号化にも使用されます。イントラネットとインターネット間にゲートウェイが存在することで、クライアントと Portal Server 間のパスの安全性が強化されます。
図 1-2 セキュアモードの Portal Server (SRA ソフトウェアを使用)
サーバーとゲートウェイをさらに追加して、サイトを拡張することができます。SRA ソフトウェアは、ビジネスの要件に基づいてさまざまな方法で構成することができます。
SRA サービスSRA ソフトウェアには、次に示す 5 つの主要なコンポーネントがあります。
ゲートウェイ
SRA のゲートウェイは、インターネットから送信されるリモートユーザーセッションと企業イントラネットの間のインタフェースおよびセキュリティーバリアとして機能します。ゲートウェイはリモートユーザーとの単一のインタフェースを通じて、内部 Web サーバーとアプリケーションサーバーのコンテンツを安全に提供します。
Web サーバーでは、クライアントとゲートウェイの間の通信に HTML、JavaScript、XML などの Web ベースのリソースが使用されます。リライタは、Web コンテンツを使用できるようにするためのゲートウェイコンポーネントです。
アプリケーションサーバーは、クライアントとゲートウェイの間の通信に telnet や FTP などのバイナリプロトコルを使用します。ゲートウェイに常駐する Netlet は、この目的で使用されます。詳細については、第 2 章「ゲートウェイ」を参照してください。
リライタ
リライタは、エンドユーザーのイントラネット参照を可能にし、またそのページ上のリンクや URL へのリンクが正しく機能するようにします。リライタは Web ブラウザのロケーションフィールドにゲートウェイ URL を追加して、ゲートウェイを通じてコンテンツ要求をリダイレクトします。詳細については、第 3 章「プロキシレットとリライタ」を参照してください。
NetFile
NetFile は、ファイルシステムとディレクトリのリモートアクセスおよびリモート操作を可能にするファイルマネージャーアプリケーションです。NetFile には Java ベースのユーザーインタフェースが含まれます。これは、Java1 と Java2 で使用できます。詳細については、第 4 章「NetFile」を参照してください。
Netlet
Netlet は、一般的なアプリケーションまたは企業独自のアプリケーションをリモートデスクトップで安全かつ効率的に実行できるようにします。サイトに Netlet を実装すると、Telnet や SMTP などの共通の TCP/IP サービスや、pcANYWHERE または Lotus Notes などの HTTP ベースのアプリケーションを安全に実行できます。詳細については、第 5 章「Netlet」を参照してください。
プロキシレット
プロキシレットは、クライアントマシン上で稼動する動的なプロキシサーバーです。プロキシレットは URL をゲートウェイにリダイレクトします。クライアントマシン上のプロキシレットはこの機能を実現するために、ブラウザのプロキシ設定を読み込み、ローカルプロキシサーバー (プロキシレット) をポイントするように変更します。
SRA 製品の管理SRA ソフトウェアには、管理に使用する次の 2 つのインタフェースがあります。
管理作業の大半は、Web ベースのSun Java System Access Manager 管理コンソールを通じて行います。管理コンソールにはローカルにアクセスできます。また、Web ブラウザからのリモートアクセスも可能です。ただし、ファイルの修正などの管理作業には UNIX コマンド行インタフェースを使用します。
SRA の属性の設定ほとんどの属性は、Access Manager の「アイデンティティー管理」タブまたは「サービス設定」タブで設定できます。このサービス設定レベルの属性は、テンプレートとして機能します。組織またはユーザーが新規に作成されると、デフォルトでこれらの値を継承します。
SRA に関連する属性は、組織、ロール、およびユーザーのレベルで設定できます。ただし、次のような例外があります。
- 競合の解決レベルはユーザーレベルでは設定できず、「サービス設定」タブからは設定できません。「競合解決の設定」を参照してください。
- MIME タイプ設定ファイルの場所は、組織レベルだけで設定可能です。「MIME タイプ設定ファイルの場所の指定」を参照してください。
組織レベルで設定した値は、その組織に属するすべてのロールとユーザーにも継承されます。ユーザーレベルで設定された値は、組織レベルまたはロールレベルで設定された値よりも優先されます。
属性の値は「サービス設定」タブで変更できます。新しい値は、組織を新規で追加した場合にだけ適用されます。「サービス設定」タブでの属性値の変更は、既存の組織またはユーザーには影響しません。詳細については、『Access Manager 管理ガイド』を参照してください。
SRA の属性は、Access Manager 管理コンソールの「SRA 設定」の下にある次のサービスを使用して設定します。
- アクセスリスト
特定の URL へのアクセスを許可または制限し、シングルサインオン機能を管理する場合に使用します。詳細については、第 8 章「URL アクセス制御の設定」を参照してください。
- ゲートウェイ
プロキシ管理、Cookie 管理、ロギング、リライタ管理、および暗号化などのゲートウェイに関連したすべての属性を設定する場合に使用します。詳細については、第 9 章「ゲートウェイの設定」を参照してください。
- NetFile
共通ホスト、MIME タイプ、および異なる種類のホストへのアクセスなど、NetFile 関連のすべての属性を設定する場合に使用します。詳細については、第 10 章「NetFile の設定」を参照してください。
- Netlet
Netlet ルール、必須ルールへのアクセス、組織とホスト、およびデフォルトアルゴリズムなど、Netlet に関連したすべての属性を設定する場合に使用します。詳細については、第 11 章「Netlet の設定」を参照してください。
- プロキシレット
「プロキシレットアプレットのバインド IP」アドレスやポート番号など、プロキシレットに関連する属性を設定する場合に使用します。詳細については、第 12 章「プロキシレットの設定」を参照してください。
警告
ゲートウェイの実行中に行われた属性変更は、ゲートウェイに通知されません。更新された (ゲートウェイまたはその他のサービスに属する) プロファイル属性をゲートウェイで確実に使用するようにするには、ゲートウェイを再起動します。「認証連鎖の使用」を参照してください。
競合解決の設定競合の解決レベルを設定する手順
サポートされるアプリケーションSRA ソフトウェアは、次のアプリケーションをサポートします。
- MS Exchange 2000 SP3 および MS Exchange 2003 (Outlook Web Access (OWA) 経由)
- exchange_2003_owa_ruleset という名前の OWA ルールセット
- iNotes - Notes 5.0.11
- Sun Java System Calendar Server Release 5.1.1 以降
- Sun Java System Messenger Express 6 2005Q4 - Sun Java System Messaging Server 5.2 以降
- Sun Java System Communications Express 6 2005Q1 以降