Sun ONE ロゴ     前へ     目次     索引     次へ     
Sun ONE Portal Server, Secure Remote Access 6.0 管理者ガイド



第2章   ゲートウェイの管理


この章では、ゲートウェイに関連する概念と、ゲートウェイのスムーズな動作に必要な基本設定について説明します。 またゲートウェイサービスのすべての属性を説明します。

ここで扱う項目は次のとおりです。


ゲートウェイの概要

Secure Remote Access のゲートウェイは、インターネットから送信されるリモートユーザーセッションと企業イントラネットの間のインターフェイスおよびセキュリティバリアとして機能します。 ゲートウェイはリモートユーザーとの単一のインターフェイスを通じて、内部 Web サーバーとアプリケーションサーバーのコンテンツを安全に提供します。


ゲートウェイプロファイルの作成

ゲートウェイプロファイルには、ゲートウェイが待機するポート、 SSL オプション、プロキシオプションなどのゲートウェイの設定に関連したすべての情報が収められています。

ゲートウェイをインストールする場合、デフォルトの値を選択すると「default」というプロファイルが作成されます。 デフォルトプロファイルに相当する設定ファイルは、次の場所にあります。

/etc/opt/SUNWps/platform.conf.default

/etc/opt/SUNWps は、すべての platform.conf.* ファイルが格納されるデフォルトの場所です。

platform.conf ファイルの内容についての詳細は、「platform.conf ファイルの概要」を参照してください。

複数のプロファイルを作成して、各プロファイルに属性を定義できます。またこれらのプロファイルを必要に応じて異なる複数のゲートウェイに割り当てることができます。 次の方式が使用できます。

  • 同じプロファイルを、複数のマシン上にあるゲートウェイに割り当てる。

  • 異なる複数のプロファイルを、同じマシン上で稼動している単一のゲートウェイの複数のインスタンスに割り当てる。


    注意

    		同じマシン上で稼動するゲートウェイの複数のインスタンスに同じプロファイルを割り当てないでください。 このような方法で割り当てると、同じポート番号の間で衝突が生じます。

    また同じゲートウェイに作成された複数のプロファイルに、同じポート番号を指定しないでください。 同じゲートウェイの複数のインスタンスを同じポートで実行すると、衝突が発生します。


ゲートウェイプロファイルの作成手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが右の区画に表示されます。

  4. 「新規」をクリックします。

    「新規ゲートウェイプロファイル作成」ページが表示されます。

  5. 「新規ゲートウェイプロファイル名を入力」フィールドに、新規プロファイルの名前を指定します。

  6. 「既存の設定をコピー」ドロップダウンリストから、新規プロファイルを作成するときの基になるプロファイルを選択します。

    デフォルトでは、新規プロファイルはパッケージ内の「default」プロファイルに基づいて作成されます。 カスタムプロファイルを作成している場合、ドロップダウンリストからそのプロファイルを選択できます。 新しいプロファイルは、選択したプロファイルのすべての属性を継承します。

  7. 「作成」をクリックします。

    新規プロファイルが作成され、「ゲートウェイ」ページに戻ります。このページのリストに新規プロファイルが追加されています。

    各ゲートウェイの属性の設定については、「ゲートウェイの属性の設定」を参照してください。

  8. 変更を有効にするには、このプロファイル名でゲートウェイを再起動します。 詳細については、「ゲートウェイの再起動」を参照してください。


ゲートウェイの起動と停止

デフォルトでは、ゲートウェイはユーザー noaccess として起動します。

ゲートウェイを起動するには、次の手順に従います。

ゲートウェイをインストールし、必要なプロファイルを作成した後、次のコマンドを実行してゲートウェイを起動します。

InstallDir/SUNWps/bin/gateway -n default start

default はインストール時に作成されたデフォルトのゲートウェイプロファイルです。 独自のプロファイルを後で作成できます。その場合、新しいプロファイルでゲートウェイを再起動します。 「ゲートウェイプロファイルの作成」 を参照してください。

ゲートウェイのインスタンスが複数ある場合は、次のコマンドを使用します。

InstallDir/SUNWps/bin/gateway start

このコマンドにより、指定されたマシン上に設定されているすべてのゲートウェイインスタンスが起動します。


サーバー(ゲートウェイのインスタンスを設定したマシン)を再起動すると、ゲートウェイで設定されたすべてのインスタンスが再起動します。

/etc/opt/SUNWpsディレクトリに古いプロファイルまたはバックアップ用のプロファイルが残っていないことを確認します。


指定されたポートでゲートウェイが稼動しているかどうかを確認する場合は、次のコマンドを実行します。

netstat -a | grep port number


ゲートウェイのデフォルトのポートは、443です。


ゲートウェイを停止するには、次の手順に従います。

InstallDir/SUNWps/bin/gateway -n new profile name stop

ゲートウェイのインスタンスが複数ある場合は、次のコマンドを使用します。

InstallDir/SUNWps/bin/gateway stop

このコマンドにより、指定されたマシン上で稼動するすべてのゲートウェイインスタンスが停止します。


ゲートウェイの複数インスタンスの作成

スクリプト gwmultiinstance を使用して、ゲートウェイの新しいインスタンスを作成します。 新しいインスタンスは、次のような場合にを作成できます。

Portal Server ノード上での新規インスタンスの作成

  1. root でログインし、次のディレクトリに移動します。

    InstallDir/SUNWps/bin

  2. 次の複数インスタンス用のスクリプトを実行します。

    ./gwmultiinstance

表 2-1 にスクリプト内で照会される質問を一覧にしています。 最初の列は質問、2 番目の列はデフォルト値、3 番目の列は説明をそれぞれ表しています。


表 2-1    Portal Serverノード上で新規ゲートウェイインスタンスを作成するためのチェックリスト  

パラメータ

デフォルト値

説明

New gateway uses Portal Server instance running on this node

新規ゲートウェイはこのノード上で実行するPortal Server インスタンスを使用する  

y  

スクリプトは Portal Server の既存のインスタンスを検出し、このように質問します。

同じノード上の Portal Server インスタンスでゲートウェイを実行する場合は、yを指定します。

Portal Server の別のインスタンスを使用する場合は、n を選択します。

この場合、「「Portal Server 以外のノード上での新規インスタンスの作成」」のチェックリストが適用されます。  

Portal Server instance is the default one created during installation

Portal Server インスタンスは、インストール時に作成されたデフォルトインスタンスである  

y  

新しいゲートウェイインスタンスとともに実行する Portal Server のインスタンスを指定します。

y を選択すると、インストール時に作成されたデフォルトの Portal Server インスタンスが新しいゲートウェイで使用されます。

n を選択すると、使用する Portal Server インスタンスの名前を指定するように要求されます。  

New Portal Server instance created

新規 Portal Server インスタンスが作成されている  

y  

この質問が表示されるのは、デフォルトの Portal Server インスタンスを使用しない場合のみです。

新規ゲートウェイインスタンスで使用する Portal Server インスタンスをすでに作成しているかどうかを指定します。

n を選択すると、まずインスタンスを作成するように要求され、スクリプトは中断されます。  

Name of the new Portal Server instance

新規 Portal Server インスタンスの名前  

Portal Server インスタンス名  

この質問が表示されるのは、デフォルトの Portal Server インスタンスを使用しない場合のみです。

新規ゲートウェイインスタンスで使用する Portal Server インスタンスの名前を指定します。  

Port on which the new Portal Server instance listens

新規 Portal Server インスタンスが待機するポート  

 

この質問が表示されるのは、デフォルトの Portal Server インスタンスを使用しない場合のみです。

新規 Portal Server インスタンスが待機するポートを指定します。  

Deployment URI

配置 URI  

/portal  

この質問が表示されるのは、デフォルトの Portal Server インスタンスを使用しない場合のみです。

新規 Portal Server インスタンスの配置 URI を指定します。  

Name of the new gateway instance

新規ゲートウェイインスタンスの名前  

 

作成する新規ゲートウェイインスタンスの名前を指定します。  

Protocol to be used by the gateway

ゲートウェイで使用されるプロトコル  

https  

ゲートウェイを HTTP モードと HTTPS モードのどちらで動作させるかを指定します。  

Port on which the new gateway instance listens

新規ゲートウェイインスタンスが待機するポート  

 

新規ゲートウェイインスタンスが待機する必要のあるポートを指定します。 他のゲートウェイインスタンスでこのポートが指定されていないことを確認します。  

Create certificate database for new gateway instance

新規ゲートウェイインスタンスの証明書データベースを作成する  

y  

ゲートウェイをインストールすると、デフォルトの証明書データベースが次の場所に作成されます。

/etc/opt/SUNWps/cert/default

デフォルトディレクトリには次のデータベースファイルが格納されています。

cert7.db、key3.db、secmod.db

ゲートウェイのさまざまなインスタンスに同じ証明書データベースを使用できますが、別の証明書データベースを作成して異なるインスタンスに割り当てることもできます。

ゲートウェイの インスタンス1つに証明書を1つのみ割り当てられます。 組織ごとに別の証明書を割り当てる場合、ゲートウェイの複数のインスタンスを作成する必要があります。

新規ゲートウェイインスタンスに新しく証明書データベースを作成する場合は、y を選択します。  

Create self-signed certificate

自己署名証明書を作成する  

y  

この質問が表示されるのは、新しい証明書データベースを作成する場合のみです。

自己署名証明書を作成する場合はyを選択します。 このような証明書を作成するための一連の質問が表示されます。

nを選択すると、自己署名証明書を後で作成できます。 詳細については、Sun ONE Portal Server, Secure Remote Access 6.0 インストールガイド の第 4 章「SSL 証明書のインストール」の「自己署名証明書の生成」を参照してください。  

Name of the organization

組織の名前

Name of the division

部署の名前

Name of the city or locality

市町村の名前

Name of the state or province

州または郡の名前

Two-letter country code

2文字の国コード

Password for certificate database

証明書データベースのパスワード  

 

これらの詳細が照会されるのは、前の質問で y を選択して自己署名証明書を作成する場合です。  

Created a profile for the new gateway instance

新規ゲートウェイインスタンスにプロファイルを作成している  

y  

新規ゲートウェイインスタンスにすでにプロファイルを作成しているかどうかが問われます。

新規ゲートウェイプロファイルの作成についての詳細は、「ゲートウェイプロファイルの作成手順」を参照してください。  

Start the new gateway instance after installation

インストール後に新規ゲートウェイインスタンスを起動する  

y  

この質問は、前の質問でyを選択している場合、すなわち新規ゲートウェイインスタンスにプロファイルを作成した場合のみ表示されます。

プロファイルを作成していない場合、ゲートウェイを起動する前にプロファイルを作成するようにスクリプトが表示されます。  

新規プロファイル名でゲートウェイの新規インスタンスを起動します。

InstallDir/SUNWps/bin/gateway -n test start

test は新規ゲートウェイインスタンスのプロファイル名です。

Portal Server 以外のノード上での新規インスタンスの作成

  1. root でログインし、次のディレクトリに移動します。

    InstallDir/SUNWps/bin

  2. 次の複数インスタンスのスクリプトを実行します。

    ./gwmultiinstance

表 2-2 にスクリプト内で照会される質問を一覧にしています。 最初の列は質問、2番目の列はデフォルト値、3 番目の列は説明をそれぞれ表しています。


表 2-2    Portal Server以外のノードで新規ゲートウェイインスタンスを作成するためのチェックリスト 

パラメータ

デフォルト値

説明

Host name of the Directory Server

Directory Serverのホスト名  

hostname  

Directory Serverがインストールされているマシンです。

Portal Server用にDirectory Serverがインストールされているマシンを指定します。  

Sub-domain name for hostname

hostnameのサブドメイン名  

 

Directory Serverが属するサブドメインです。

Portal SeverにDirectory Serverがインストールされているマシンのサブドメインを指定します。  

Domain name for hostname

hostnameのドメイン名  

 

Directory Serverマシンが属するドメインです。

Portal SeverにDirectory Serverがインストールされているマシンのドメインを指定します。  

Port used to access the Directory Server

Directory Serverにアクセスするために使用するポート  

389  

Directory Serverにアクセスする際にPortal Severが使用するポートです。

Portal Serverのインストール時に指定されるDirectory Serverポートを指定します。  

Root suffix of the directory tree

ディレクトリツリーのルート接尾辞  

o=isp  

デフォルトの最上位の組織です。 新規組織を作成する場合、この組織の下に作成されます。  

Organization name

組織名  

 

作成された組織のデフォルトの名前です。  

Hostname of Portal Server

Portal Serverのホスト名  

Portal Server hostname  

Portal Serverのホスト名です。  

sub-domain for Portal Server hostname

Portal Server hostnameのサブドメイン  

 

Portal Serverが属するサブドメインです。  

domain name for Portal Server hostname

Portal Server hostnameのドメイン名  

 

Portal Serverマシンが属するドメインです。  

Port used to access Portal Server

Portal Serverへのアクセスに使用するポート  

80  

Portal Serverへのアクセスに使用するポートです。  

Protocol used to access Portal Server

Portal Serverへのアクセスに使用するプロトコル  

http  

Portal Serverへのアクセスに使用するプロトコルを指定します。  

DSAME server deployment URI

DSAMEサーバー配置URI  

/amserver  

DSAME配置URIです。 この値を変更しないでください。  

Portal Server deployment URI

Portal Server配置URI  

/portal  

新規Portal Serverインスタンスの配置URIを指定します。  

Name of the new gateway instance

新規ゲートウェイインスタンスの名前  

 

作成する新規ゲートウェイインスタンスの名前を指定します。  

Protocol to be used by the gateway

ゲートウェイで使用されるプロトコル  

http  

ゲートウェイをHTTPモードとHTTPSモードのどちらで動作させるかを指定します。  

Port on which the new gateway instance listens

新規ゲートウェイインスタンスが待機するポート  

 

新規ゲートウェイインスタンスが待機する必要のあるポートを指定します。 他のゲートウェイインスタンスにこのポートが指定されていないことを確認します。  

Create certificate database for new gateway instance

新規ゲートウェイインスタンスの証明書データベースを作成する  

y  

ゲートウェイをインストールすると、デフォルトの証明書データベースが次の場所に作成されます。

/etc/opt/SUNWps/cert/default

デフォルトディレクトリには次のデータベースファイルが格納されています。

cert7.db、key3.db、secmod.db

ゲートウェイのさまざまなインスタンスに同じ証明書データベースを使用できますが、別の証明書データベースを作成して異なるインスタンスに割り当てることもできます。

ゲートウェイのインスタンス1つに証明書を1つのみ割り当てられます。 組織ごとに別の証明書を割り当てる場合、ゲートウェイの複数のインスタンスを作成する必要があります。

新規ゲートウェイインスタンスに新しく証明書データベースを作成する場合は、yを選択します。

nを選択すると、デフォルトの証明書データベースが使用されます。  

Create self-signed certificate

自己署名証明書を作成する  

y  

この質問が表示されるのは、新しい証明書データベースを作成する場合のみです。

自己署名証明書を作成する場合はyを選択します。 このような証明書を作成するための一連の質問が表示されます。

nを選択すると、自己署名証明書を後で作成できます。 詳細については、Sun ONE Portal Server, Secure Remote Access 6.0 インストールガイドの第4章「SSL証明書のインストール」の「自己署名証明書の生成」を参照してください。  

Name of the organization

組織の名前

Name of the division

部署の名前

Name of the city or locality

市町村の名前

Name of the state or province

州または郡の名前

Two-letter country code

2文字の国コード

Password for certificate database

証明書データベースのパスワード  

 

これらの詳細が照会されるのは、前の質問でyを選択して自己署名証明書を作成する場合です。  

Created a profile for the new gateway instance

新規ゲートウェイインスタンスにプロファイルを作成している  

y  

新規ゲートウェイインスタンスにすでにプロファイルを作成しているかどうかが問われます。

新規ゲートウェイプロファイルの作成についての詳細は、「ゲートウェイプロファイルの作成手順」を参照してください。  

Start the new gateway instance after installation

インストール後に新規ゲートウェイインスタンスを起動する  

y  

この質問は、前の質問で y を選択している場合、すなわち新規ゲートウェイインスタンスにプロファイルを作成した場合のみ表示されます。

プロファイルを作成していない場合、ゲートウェイを起動する前にプロファイルを作成するようにスクリプトが表示されます。  

Created a profile for the new gateway instance

新規プロファイル名でゲートウェイの新規インスタンスを起動します。

InstallDir/SUNWps/bin/gateway -n test start

test は新規ゲートウェイインスタンスのプロファイル名です。


Portal Server に照会するプロキシの設定

ゲートウェイと Portal Server 間で直接の接続が使用できない場合、プロキシを通じてプロファイル情報を取得するようにゲートウェイを設定できます。

  1. コマンド行で、次のファイルを編集します。

    /etc/opt/bin/platform.conf.profilename

  2. 次のエントリを追加します。

    http.proxyHost=proxy hostname

    http.proxyPort=proxy port

    http.proxySet=true

  3. サーバーに対する Profile Service の要求で指定されるプロキシを使用するには、ゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n profilename start


ゲートウェイの再起動

通常はゲートウェイを再起動する必要がありません。 再起動するのは、次のイベントのいずれかが発生した場合です。

  • 新規プロファイルを作成し、新しいプロファイルをゲートウェイに割り当てる必要がある。

  • 既存のプロファイルの属性を修正し、変更を有効にする必要がある。

別のプロファイルでゲートウェイを再起動する手順

次のコマンドを指定してゲートウェイを再起動します。

InstallDir/SUNWps/bin/gateway -n new profilename start

ゲートウェイを再起動する watchdog プロセスの設定

watchdog プロセスをスケジューリングしてゲートウェイを監視し、ゲートウェイが停止したときには再起動するようにできます。

ゲートウェイを再起動する watchdog プロセスを設定する手順

端末ウィンドウで、ゲートウェイマシンに root で接続し次の操作を行います。

次のコマンドを使用して watchdog プロセスを起動します。

InstallDir/SUNWps/bin/gateway watchdog on

crontab にエントリが作成され、 watchdog プロセスがアクティブになります。 watchdog はゲートウェイポートを監視し、停止した場合にゲートウェイを再起動します。


watchdog を起動する前に、ゲートウェイが稼動していることを確認する必要があります。

ゲートウェイを停止するには、まず watchdog プロセスの停止を確認します。

watchdog プロセスは指定されたマシン上のゲートウェイのインスタンスのうち、稼動中のすべてのインスタンスを監視します。


ゲートウェイ watchdog を設定する手順

watchdog がゲートウェイを監視する間隔を設定することができます。 この間隔はデフォルトでは 60 秒に設定されています。 これを変更する場合は、 crontab で次の行を編集します。

0-59 * * * * InstallDir/bin/checkgw /var/opt/SUNWps/.gw. 5 > /dev/null 2>&1

crontabcrontab のエントリを設定する方法については、マニュアルページを参照してください。


ゲートウェイの属性の設定

このセクションでは、ゲートウェイが必要に応じて機能するための属性の設定を一覧にしています。


iPlanet Directory Server Access Management Edition 管理コンソールの右上の「マニュアル」をクリックします。Secure Remote Access のすべての属性をすばやく参照する場合は「SRAP ヘルプ (SRA_Help)」をクリックします。


HTTP モードと HTTPS モードの実行

インストール時にゲートウェイを HTTPS モードで実行するように選択している場合は、インストール後、ゲートウェイは HTTPS モードで実行されます。 HTTPS モードの場合、ゲートウェイはブラウザからの SSL 接続を許可し、非 SSL 接続を拒絶します。

ただし、ゲートウェイを HTTP モードで実行するように設定することもできます。 HTTP モードではパフォーマンスが向上します。これは HTTPS モードで発生する、SSL セッションの管理、SSL トラフィックの暗号化と解読に伴うオーバーヘッドが、 HTTP モードでは取り除かれて、ゲートウェイが高速化するためです。

HTTP モードまたは HTTPS モードで実行するゲートウェイの設定手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 管理コンソールから「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 次の操作を行います。

    • 「HTTP 接続の有効化」、「HTTPS 接続の有効化」、または両方のオプションを必要に応じて選択します。

    • 「HTTPS ポート」フィールドに目的の HTTPS ポートを指定します。

    • 「HTTP ポート」フィールドに目的の HTTP ポートを指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

リライタプロキシの有効化

リライタプロキシは、Portal Server ノード上にのみインストールする必要があります。

リライタプロキシを使用すると、ゲートウェイとイントラネットコンピュータ間で安全な HTTP トラフィックが可能になります。 リライタプロキシを使用する場合の利点は 2 つあります。

  • ゲートウェイとサーバー間にファイヤウォールが存在する場合、ファイヤウォールが開放する必要があるのは 2 つのポートに対してのみです。1 つはゲートウェイとリライタプロキシ間のポート、もう一つはゲートウェイとPortal Server 間のポートです。

  • 送信先のサーバーが (HTTPS ではなく) HTTP プロトコルのみをサポートしている場合でも、ゲートウェイとイントラネット間の HTTP トラフィックは安全です。

リライタプロキシを指定しない場合、イントラネットコンピュータのいずれかにアクセスしようとすると、ゲートウェイコンポーネントによりイントラネットコンピュータに直接つながります。


リライタプロキシは、Portal Server ノード上にのみインストールする必要があります。

リライタプロキシとゲートウェイが同じゲートウェイプロファイルを使用していることを確認します。


リライタプロキシは、インストール後に自動的に起動しません。 次の説明に従って、リライタプロキシを有効にする必要があります。

リライタプロキシを有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「リライタプロキシの有効化」チェックボックスを選択してリライタプロキシを有効にします。

  6. 「リライタプロキシポート」チェックボックスに、リライタプロキシで使用するポートを指定します。

  7. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  8. サーバーで InstallDir/SUNWps/bin/certadmin を実行し、リライタプロキシの証明書を作成します。

    この手順が必要になるのは、リライタプロキシのインストール時に証明書の作成を選択していない場合です。

  9. root で Portal Server マシンにログインし、次を入力してリライタプロキシを起動します。

    InstallDir/SUNWps/bin/rwproxyd -n gateway profile name start

  10. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Netlet の無効化

Netlet を使用すると、インターネットなどのセキュリティの弱いネットワークで一般的な TCP/IP サービスを安全に実行できます。 (Telnet や SMTP などの) TCP/IP アプリケーション、HTTP アプリケーション、決まったポートを使用するすべてのアプリケーションを実行できます。

Netlet を有効にすると、到着するトラフィックが Netlet トラフィックか Portal Server トラフィックかをゲートウェイが判断する必要があります。 Netlet を無効にすると、ゲートウェイは到着するすべてのトラフィックが HTTP トラフィックかHTTPS トラフィックであると仮定するため、オーバーヘッドが低減します。 Netlet は、Sun ONE Portal Server でアプリケーションを全く使用しないことが確実な場合にのみ無効にしてください。

Netlet を無効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「Netletの有効化」チェックボックスを選択します。 デフォルトでは、このチェックボックスは選択されています。 選択を解除すると Netlet が無効になります。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Netlet プロキシの有効化

Netlet プロキシは、クライアントからの安全なトンネルをゲートウェイを経由してイントラネット内の Netlet プロキシまで拡張することで、ゲートウェイとイントラネット間の Netlet トラフィックの安全性を補強します。Netlet プロキシを有効にすると、Netlet パケットが Netlet プロキシにより解読され、送信先サーバーに送られます。 これによってファイヤウォール内で開くポート数を減らすことができます。

Netlet プロキシの詳細については、第3章 「Netlet の設定」「Netlet プロキシの設定」を参照してください。

プロキシの管理

Web プロキシを使用して HTTP リソースに照会するように、ゲートウェイを設定することができます。 ドメインおよびサブドメインごとに異なるプロキシを使用できます。 これらのエントリから、特定のドメインの特定のサブドメインへの照会に使用する Web プロキシがゲートウェイに伝えられます。 ゲートウェイで指定したプロキシ設定は次のように機能します。

  • ゲートウェイサービスの「ドメインとサブドメインのプロキシ」フィールドで、必要なプロキシとドメインおよびサブドメインのリストを作成します。

  • 「プロキシの使用」フィールドを選択すると、次のような設定になります。

    • 指定されたホストに、「ドメインとサブドメインのプロキシ」フィールドで指定したプロキシが使用されます。

    • 「ドメインとサブドメインのプロキシ」リストで指定したドメインとサブドメイン内の、特定の URL に直接接続できるようにするには、「Web プロキシ URL を使用しない」リストにその URL を指定します。

  • 「プロキシの使用」フィールドの選択を解除すると、次のような設定になります。

    • 「ドメインとサブドメインのプロキシ」フィールドで指定したドメインとサブドメイン内の特定の URL にプロキシを使用するには、「Web プロキシ URL を使用する」リストにその URL を指定します。 「プロキシの使用」オプションは無効になっていますが、「Web プロキシ URL を使用する」リスト内の URL への接続にプロキシが使用されます。 これらの URL のプロキシは、「ドメインとサブドメインのプロキシ」リストから取得されます。

図 2-1に、ゲートウェイサービスのプロキシ設定に基づいてプロキシ情報が解決される手順を示しています。

図 2-1    プロキシの管理


この図は、プロキシ情報が解決される手順を示しています。詳細は、図の下の説明を参照してください。

図 2-1 では、「プロキシの使用」が選択され、「Web プロキシ URL を使用しない」リストに要求された URL が含まれている場合、ゲートウェイは指定されたホストに直接接続します。

「プロキシの使用」が選択され、「Web プロキシ URL を使用しない」リストに要求された URL が含まれていない場合、ゲートウェイは指定されたプロキシを経由してホストに接続します。 プロキシが指定されている場合は、「ドメインとサブドメインのプロキシ」リストからプロキシが検索されます。

「プロキシの使用」が無効で、「Web プロキシ URL を使用する」リストに要求された URL が含まれている場合、ゲートウェイは「ドメインとサブドメインのプロキシ」リストのプロキシ情報を使用して目的のホストに接続します。

「プロキシの使用」が無効で、「Web プロキシ URL を使用する」リストに要求された URL が含まれていない場合、ゲートウェイは指定されたホストに直接接続します。

上記のいずれの条件も満たさず、直接接続が不可能な場合は、ゲートウェイは接続不可を伝えるエラーを表示します。


Sun ONE Portal Server デスクトップのブックマークチャネルを通じて URL にアクセスする場合、上記のいずれの条件にも合わない場合は、ゲートウェイはブラウザにリダイレクトを送信します。 ブラウザは独自のプロキシ設定を使用して URL にアクセスします。


構文

domainname [web_proxy1:port1]|subdomain1 [web_proxy2:port2]|......


sesta.com wp1:8080|red wp2:8080|yellow|* wp3:8080

* はすべてに一致するワイルドカードです。

ここで

sesta.com はドメイン名、wp1 はポート 8080 で照会するプロキシです。

red はサブドメイン、wp2 はポート 8080 で照会するプロキシです。

yellow はサブドメインです。 プロキシが指定されていないため、ドメインに指定されたプロキシ、すなわちポート 8080 の wp1 が使用されます。

* は、他のすべてのサブドメインがポート 8080 で wp3 を使用する必要があることを表します。


デフォルトでは、ポートを指定しない場合ポート 8080 が使用されます。


プロキシ情報の処理

クライアントが特定の URL へのアクセスを試みると、URL のホスト名が「ドメインとサブドメインのプロキシ」リスト内のエントリと照合されます。 指定されたホスト名で最も長いサフィックスに一致するエントリが選ばれます。 例えば、ホスト名 host1.sesta.com が要求されていると考えます。

  • 「ドメインとサブドメインのプロキシ」リストで host1.sesta.com がスキャンされます。 一致するエントリが見つかると、このエントリに指定されたプロキシがホストの接続に使用されます。

  • 見つからなかった場合、リストで *.sesta.com がスキャンされます。 エントリが見つかると、対応するプロキシが使用されます。

  • 見つからなかった場合、リストで sesta.com がスキャンされます。 エントリが見つかると、対応するプロキシが使用されます。

  • 見つからなかった場合、リストで *.com がスキャンされます。 エントリが見つかると、対応するプロキシが使用されます。

  • 見つからなかった場合、リストで com がスキャンされます。 エントリが見つかると、対応するプロキシが使用されます。

  • 見つからなかった場合、リストで * がスキャンされます。 エントリが見つかると、対応するプロキシが使用されます。

  • 見つからなかった場合、直接の接続が試みられます。

「ドメインとサブドメインのプロキシ」リストで次のエントリを検討してください。

com p1| host1 p2 | host2 | * p3

sesta.com p4 | host5 p5 | * p6

florizon.com | host6

abc.sesta.com p8 | host7 p7 | host8 p8 | * p9

host6.florizon.com p10

host9.sesta.com p11

siroe.com | host12 p12 | host13 p13 | host14 | * p14

siroe.com | host15 p15 | host16 | * p16

* p17

ゲートウェイは、表 2-3 に示すようにテーブルでこれらのエントリを内部的にマッピングします。表 2-3 は4つの列で表示します。 最初の列は説明を簡単に参照するためのエントリ番号が、2 番目の列は上記の例から解決されたエントリを、 3 番目の列は対応するプロキシを、 4 番目の列は適宜、説明を示します。


表 2-3    ドメインとサブドメインのプロキシリストのマッピング 

番号

「ドメインとサブドメインのプロキシ」 リストのエントリ

プロキシ

説明

1  

com  

p1  

リストで指定されたプロキシ  

2  

host1.com  

p2  

リストで指定されたプロキシ  

3  

host2.com  

p1  

host2 にプロキシが指定されていないため、ドメインのプロキシが使用される  

4  

*.com  

p3  

リストで指定されたプロキシ  

5  

sesta.com  

p4  

リストで指定されたプロキシ  

6  

host5.sesta.com  

p5  

リストで指定されたプロキシ  

7  

*.sesta.com  

p6  

リストで指定されたプロキシ  

8  

florizon.com  

直接  

詳細はエントリ 14 の説明を参照  

9  

host6.florizon.com  

 

詳細はエントリ 14 の説明を参照  

10  

abc.sesta.com  

p8  

リストで指定されたプロキシ  

11  

host7.abc.sesta.com  

p7  

リストで指定されたプロキシ  

12  

host8.abc.sesta.com  

p8  

リストで指定されたプロキシ  

13  

*.abc.sesta.com  

p9  

リストで指定されたプロキシ。 abc.sesta.com ドメインの host7host8 以外のすべてのホストについては、p9がプロキシとして使用される  

14  

host6.florizon.com  

p10  

エントリ 9 と同じエントリ。エントリ 9 は、直接の接続を指定するのに対し、このエントリはプロキシ p10 の使用を指定する。 このようにエントリが 2 つある場合、プロキシ情報を持つエントリが有効なエントリと見なされ、もう一つのエントリは無視される  

15  

host9.sesta.com  

p11  

リストで指定されたプロキシ  

16  

siroe.com  

直接  

siroe.com にプロキシが指定されていないため、直接の接続が試行される  

17  

host12.siroe.com  

p12  

リストで指定されたプロキシ  

18  

host13.siroe.com  

p13  

リストで指定されたプロキシ  

19  

host14.siroe.com  

直接  

siroe.comhost14 に対してプロキシが指定されていないため、直接の接続が試行される  

20  

*.siroe.com  

p14  

エントリ 23 の説明を参照  

21  

host15.siroe.com  

p15  

リストで指定されたプロキシ  

22  

host16.siroe.com  

直接  

siroe.comhost16 に対してプロキシが指定されていないため、直接の接続が試行される  

23  

*.siroe.com  

p16  

これはエントリ 20 に類似しているが、指定されるプロキシが異なる。 このような場合、ゲートウェイの正確な動作がわからない。2 つのプロキシのいずれかが使用される  

24  

*  

p17  

要求された URL に一致するエントリが存在しない場合、プロキシとして p17 が使用される  


「ドメインとサブドメインのプロキシ」でプロキシエントリを記号「|」で区切らずに、リストに個別に入力する方が簡単です。 例えば、エントリを次のように表記せずに、

sesta.com p1 | red p2 | * p3

次のように指定できます。

sesta.com p1

red.sesta.com p2

*.sesta.com p3

反復されたエントリやその他のあいまいなエントリをトラップしやすくなります。


ドメインとサブドメインのプロキシリストに基づくリライト
「ドメインとサブドメインのプロキシ」リストのエントリは、リライタも使用します。 リライタはドメインが「ドメインとサブドメインのプロキシ」リストのドメインに一致するすべての URL をリライトします。


注意

「ドメインとサブドメインのプロキシ」リストのエントリ * は、リライトの対象に考慮されません。 例えば、表 2-3 内のサンプルではエントリ 24 が考慮されません。


リライタとその機能の詳細については、第5章 「リライタの設定」を参照してください。

デフォルトのドメインとサブドメイン
URL の最終ホストが完全修飾名になっていない場合、完全修飾名に到達するのにデフォルトのドメインおよびサブドメインが使用されます。

管理コンソールの「デフォルトのドメインサブドメイン」フィールドのエントリを次のように想定します。

red.sesta.com


「ドメインとサブドメインのプロキシ」リストに対応するエントリが必要です。


上記の例では、sesta.com がデフォルトのドメイン、デフォルトのサブドメインは red です。

URL、host1 が要求された場合、これはデフォルトのドメインとサブドメインを使用して host1.red.sesta.com に解決されます。 「ドメインとサブドメインのプロキシ」リストで host1.red.sesta.com が検索されます。

Web プロキシの使用を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「プロキシの使用」チェックボックスを選択して、Web プロキシの使用を有効にします。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Webプロキシの URL の指定

「プロキシの使用」オプションを無効にしている場合でも、ゲートウェイが「ドメインとサブドメインのプロキシ」リストの Web プロキシのみを使用して、特定の URL に接続するように指定できます。 「Web プロキシ URL を使用する」フィールドに、これらの URL を指定する必要があります。 この値がプロキシの使用に与える影響についての詳細は、「プロキシの管理」を参照してください。

Web プロキシに URL を指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「Web プロキシ URL を使用する」編集ボックスに、接続する URL を http://host name.subdomain.com の形式で入力します。 「追加」をクリックします。

    URL が「Web プロキシ URL を使用する」リストに追加されます。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

プロキシを使用しない URL の指定

ゲートウェイは「Web プロキシURL を使用しない」リスト内の URL に対しては、直接接続しようと試みます。 Web プロキシはこれらの URL への接続に使用されません。

プロキシを使用しない URL を指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の 「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「Web プロキシ URL を使用しない」編集ボックスに目的の URL を入力して、「追加」をクリックします。

    URL が「Web プロキシ URL を使用しない」リストに追加されます。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

デフォルトのドメインとサブドメインの指定

デフォルトのドメインとサブドメインは、URL にホスト名のみが含まれ、ドメインとサブドメインが含まれていない場合に使用します。 この場合、ゲートウェイはホスト名がデフォルトのドメインとサブドメイン内にあると仮定し、そのように処理を進めます。

例えば、URL のホスト名が host1、デフォルトのドメインとサブドメインが red.sesta.com のように指定されている場合、ホスト名は host1.red.sesta.com として解決されます。

デフォルトのドメインとサブドメインを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の右矢印アイコンをクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「デフォルトのドメインサブドメイン」フィールドにスクロールし、必要なデフォルト値を subdomain.domain の形式で入力します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

ドメインとサブドメインのプロキシの指定

さまざまなホストにプロキシ情報を適用する方法については、"プロキシ情報の処理"を参照してください。

ドメインとサブドメインにプロキシを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の右矢印アイコンをクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「ドメインとサブドメインのプロキシ」編集ボックスに必要な情報を入力し、「追加」をクリックします。「ドメインとサブドメインのプロキシ」リストボックスにエントリが追加されます。

    プロキシ情報は次の形式で入力します。

    domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4

    * は * の後に定義されるプロキシが、特別に指定する以外のすべてのドメインとサブドメインに使用されている必要があることを示します。

    プロキシにポートを指定しない場合、デフォルトのポート 8080 が使用されます。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

プロキシ認証情報の指定

プロキシサーバーが一部またはすべてのサイトへのアクセスに認証を要求する場合、ゲートウェイが指定されたプロキシサーバーで認証されるのに必要なユーザー名とパスワードを指定する必要があります。

プロキシ認証情報の指定手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「プロキシパスワードリスト」フィールドにスクロールします。

  6. 各プロキシサーバーの情報を proxyserver|username|password の形式で入力し、「追加」をクリックします。

    proxyserver は「ドメインとサブドメインのプロキシ」リストで定義されたプロキシサーバーに一致します。

  7. 認証を必要とするすべてのプロキシについて、手順 6 を繰り返します。

  8. ページの上または下で「保存」をクリックし、変更内容を記録します。

  9. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Cookie の設定

Web サイトの多くは cookie を使用してユーザーセッションを追跡および管理します。 HTTP ヘッダで cookie を設定する Web サイトに対してゲートウェイが要求をルーティングする場合、ゲートウェイは次の方法でそれらの cookie を破棄するか、通過します。

  • ゲートウェイサービスで「Cookie マネージメントの有効化」属性が選択されていない場合、すべての cookie を破棄します。

  • 「Cookie マネージメントの有効化」属性が選択されている場合、ユーザーがその後でその Web サイトを訪問すると、すべての cookie を通過してユーザーのブラウザに到達し、適切な Web サイトに戻ります。

この設定は、Sun ONE Portal Server が Portal Server ユーザーセッションの追跡に使用する cookie には適用されません。 「転送 Cookie の設定」によって制御されます。

この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (すなわち一部のサイトの cookie を破棄し、別のサイトの cookie を保持することはできません)。

Cookie 管理を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「Cookie マネージメントの有効化」チェックボックスを選択して、 cookie 管理を有効にします。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

HTTP 基本認証の有効化

ゲートウェイサービスでは HTTP 基本認証を設定できます。

Web サイトは、サイトを閲覧する前にユーザー名とパスワードの入力を要求するHTTP 基本認証で保護することができます(HTTP 応答コードは 401、WWW 認証: BASIC)。 Sun ONE Portal Server はユーザー名とパスワードを保存するため、ユーザーは BASIC で保護された Web サイトに再びアクセスするときに資格を再入力する必要はありません。 これらの資格は、Sun ONE Directory Server のユーザープロファイルに保存されます。

この設定によって、ユーザーが BASIC で保護されたサイトを訪問できるかどうかが決まるわけではありませんが、ユーザーが入力する資格がユーザーのプロファイルに確実に保存されます。

この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (すなわち一部のサイトについて HTTP 基本認証のキャッシングを有効にし、別のサイトについて無効にするということはできません)。


BASIC 認証ではなく、Windows NT challenge/response (HTTP 応答コード 401、WWW 認証: NTLM) で保護された Microsoft の Internet Information Server (IIS) が提供する URL の参照はサポートされません。


また管理コンソールのアクセスリストサービスを使用して、シングルサインオンを有効にできます。 シングルサインオンの有効化についての詳細は、第1章 「Sun ONE Portal Server, Secure Remote Access について」を参照してください。

HTTP 基本認証を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の 「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「HTTP 基本認証の有効化」チェックボックスを選択して、HTTP 基本認証を有効にします。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

持続的 HTTP 接続の設定

ゲートウェイで HTTP の持続的接続を有効にし、Web ページの (イメージやスタイルシートなどの) すべてのオブジェクトにソケットが開かれないようにできます。

持続的 HTTP 接続を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「持続 HTTP 接続の有効化」チェックボックスを選択します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

持続的接続あたりの最大要求数を指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「持続接続ごとの最大要求数」フィールドに、必要な要求数を入力します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

持続的ソケットのタイムアウトを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「持続ソケットが閉じられた後のタイムアウト」フィールドに、必要なタイムアウトを秒で指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

ターンアラウンド時間のタイムアウトの指定

これはクライアント(ブラウザ)とゲートウェイ間でのネットワークトラフィックの往復時間です。

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「回復時間に必要な正常なタイムアウト」フィールドに、必要な猶予期間を秒で指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

転送 Cookie の設定

Sun ONE Portal Server はユーザーセッションの追跡に cookie を使用します。 ゲートウェイがサーバーに HTTP 要求を送ると (ユーザーのデスクトップページを生成するためにデスクトップサーブレットが呼び出される場合など) 、この cookie はサーバーに転送されます。 サーバー上のアプリケーションはこの cookie を使用して、ユーザーの検証および特定を行います。

Portal Server の cookie は、サーバー以外のマシンに送られた HTTP 要求に転送されませんが、それらのマシンの URL が「転送 Cookie の URL (Forward Cookie URL)」リストに指定されている場合は転送されます。 したがってこのリストに URL を追加すると、サーブレットと CGI が Portal Server の cookie を受け取り、API を使用してユーザーを特定することができます。

URL は後続の暗黙的なワイルドカードを使って照合されます。 例えば、リストのデフォルトエントリを指定すると

http://server:8080

http://server:8080で始まるすべての URL に cookie が転送されます。

次の URL を追加すると、

http://newmachine.eng.siroe.com/subdir

正確にその文字列で開始するすべての URL に、 cookie が転送されます。

例えば、"http://newmachine.eng/subdir"で始まるすべての URL に cookie は転送されません。これはこの文字列が転送リスト内の文字列と完全に一致する文字列で開始していないためです。 このようなマシン名の変形で始まる URL に cookie を転送するには、転送リストにエントリを追加する必要があります。

同様に、リストに適切なエントリが追加されている場合を除き、 "https://newmachine.eng.siroe.com/subdir" で開始する URL には cookie が転送されません。

転送 Cookie URL の追加手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「Cookie URL の転送」編集ボックスに、追加する URL を入力します。

  6. 「追加」をクリックすると、「Cookie URL の転送」リストにこのエントリが追加されます。

  7. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  8. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

認証をバイパスする URL の指定

一部の URL で認証を不要にするように指定できます。 通常は、イメージを含むディレクトリおよびフォルダが該当します。

認証されない URL パスの指定

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「非認証 URL」フィールドにスクロールし、必要なフォルダパスを folder/subfolder の形式で入力します。

  6. 「追加」をクリックすると、「非認証 URL」リストにこのエントリが追加されます。

  7. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  8. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

最長接続キューの指定

ゲートウェイが受け付ける最大同時接続を指定できます。 この数を超える接続の試行は、ゲートウェイに受け付けられません。

最長接続キューを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administratorとしてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「最長接続キュー長」フィールドにスクロールし、必要な接続数を指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

ゲートウェイタイムアウトの指定

ゲートウェイがブラウザとの接続をタイムアウトするまでの時間をミリ秒で指定できます。

ゲートウェイタイムアウトを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「ゲートウェイタイムアウト (ミリ秒)」フィールドにスクロールし、時間をミリ秒で指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

最大スレッド数の指定

ゲートウェイスレッドプールで事前に作成できる最大スレッド数を指定できます。

最大スレッド数の指定手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administratorとしてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「最大スレッドプールサイズ」フィールドにスクロールし、必要なスレッド数を指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

キャッシュソケットのタイムアウトの指定

ゲートウェイが Portal Server との接続をタイムアウトするまでの時間をミリ秒で指定できます。

キャッシュソケットのタイムアウトを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「キャッシュされたソケットのタイムアウト」フィールドにスクロールし、時間をミリ秒で指定します。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Personal Digital Certificate (PDC) 認証の設定

PDC は認証局 (CA) が発行し、CA の非公開錠で署名されます。 CA は証明書を発行する前に要求本文の ID を検証します。 この場合 PDC が存在すると、非常に強力な認証メカニズムとして機能します。

PDC には所有者の公開錠、所有者名、有効期限、デジタル証明書を発行した認証局の名前、シリアル番号、その他の情報が収められています。

Sun ONE Portal Server の認証には、PDC とスマートカードや Java カードなどのエンコードされたデバイスを使用できます。 エンコードされたデバイスは、カードに保存された PDC と電子的に同等のものを搬送します。ユーザーがこれらのメカニズムのいずれかを使用してログインすると、ログイン画面も認証画面も表示されません。

PDC 認証プロセスには、いくつかの手順が伴います。

ブラウザから、https://my.sesta.com のような接続要求を入力します。

この要求への応答は、my.sesta.com までのゲートウェイが証明書を受け付けるように設定されているかどうかによって異なります。


ゲートウェイが証明書を受け付けるように設定されている場合、ゲートウェイは証明書付きのログインのみを受付、その他のログインを拒絶します。


ゲートウェイは、証明書が既知の認証局から発行されたものであるか、有効期限内であるか、変更されていないかどうかをチェックします。 証明書が有効であれば、ユーザーが認証プロセスの次の手順に進むことを許可します。

ゲートウェイはサーバー内の PDC 認証モジュールに証明書を渡します。

ゲートウェイで PDC とエンコードデバイスを設定する手順

ポータルサーバーマシンで、InstallDir/SUNWam/lib/AMConfig.properties ファイルに次の行を追加します。

com.iplanet.authentication.modules.cert.gwAuthEnable=yes

PDC とエンコードデバイスの設定では、次の作業が行われます。

必要な証明書のインポート

必要な CA 証明書を、PDC を有効にするゲートウェイの認証データベースにインポートします。

詳細については、Sun ONE Portal Server, Secure Remote Access 6.0 インストールガイドの第4章「SSL証明書のインストール」の「認証局からの証明書のインストール」を参照してください。

証明書を使用するゲートウェイリストへのゲートウェイの追加

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「表示 」メニューから「サービス管理」を選択します。

    左の区画にすべてのサービスが表示されます。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが右の区画に表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「証明書が有効なゲートウェイホスト」フールドに、PDC 認証を有効にするゲートウェイの完全修飾名を入力し、「追加」をクリックします。

    ゲートウェイを host1.sesta.com の形式で追加します。

    「証明書が有効なゲートウェイホスト」リストにゲートウェイが追加されます。

必要なサービスの登録

  1. 「表示 」メニューで「ユーザー管理」を選択します。

  2. 目的の組織を選択します。

  3. ナビゲーション区画の「表示 」メニューで「サービス」を選択します。

    すでに登録されている場合は、ナビゲーション区画にコアサービスが表示されます。 コアサービスがまだ登録されていない場合は、証明書ベースの認証サービスと同時に登録できます。

  4. ナビゲーション区画で「登録」をクリックします。

    データ区画に、使用できるサービスのリストが表示されます。

  5. 「認証」の下の「証明書」チェックボックスを選択し、「登録」をクリックします。

    ナビゲーション区画に、証明書ベースの認証サービスが表示され、サービスが登録されたことを確認します。

必要な属性の修正

  1. 「表示 」メニューで「ユーザー管理」を選択します。

  2. 目的の組織を選択します。

  3. ナビゲーション区画の「表示 」メニューで「サービス」を選択します。

    すでに登録されている場合は、ナビゲーション区画にコアサービスが表示されます。 コアサービスがまだ登録されていない場合は、証明書ベースの認証サービスと同時に登録できます。

  4. 「認証」の下の「証明書」チェックボックスを選択し、「プロパティ」矢印をクリックします。

    データ区画に、メッセージ「このサービスに使用可能なテンプレートがありません」が表示されます。

  5. 「作成」をクリックします。

    データ区画に「証明書」属性が表示されます。

  6. 必要に応じて属性を修正します。

  7. ページの上にある「保存」をクリックし、変更内容を記録します。

  8. 「DSAME 構成」の「認証」の下の「コア」の「ダイナミックユーザープロファイルの作成」オプションを有効にします。

  9. DSAME を再起動します。

  10. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start


    「ダイナミックユーザープロファイルの作成 」は、DSAME 設定のコアサービスで有効にする必要があります。 この設定により、PDC を使用するユーザーログイン用の証明書属性を使用して、ユーザープロファイルをダイナミックに作成することができます。


40 ビットブラウザ接続の許可

このオプションは、40 ビット (弱) Secure Sockets Layer (SSL) 接続を許可する場合に選択します。 このオプションを選択していない場合、128 ビット接続のみがサポートされます。

このオプションを無効にする場合は、ブラウザが必要な接続タイプをサポートするように設定されていることを確認する必要があります。


Netscape Navigator 4.7x の場合、次の手順が必要です。

  • 「Communicator」メニューの「ツール」の「セキュリティ情報」を選択します。

  • 左の区画で「Navigator」リンクをクリックします。

  • 「詳細セキュリティ (SSL) 設定」の「SSL v2 の設定」または 「SSl v3 の設定」をクリックします。

  • 使用する暗号化を有効にします。


40 ビットブラウザ接続を許可する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「40 ビットブラウザを許可」チェックボックスを選択して、 40 ビットブラウザ接続を有効にします。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

SSL Version 2.0 の無効化

SSL Version 2.0 を有効または無効にできます。 SSL 2.0 の無効化とは、古い SSL 2.0 のみをサポートするブラウザが Secure Remote Access によって認証できないようにします。 これによって、セキュリティのレベルが格段に向上します。

SSL Version 2.0 を無効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administratorとしてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「SSL バージョン 2.0 の有効化」フィールドにスクロールし、このオプションの選択を解除します。

    デフォルトでは、このチェックボックスは有効になっています。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするには、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

暗号化選択の有効化

Secure Remote Access はいくつかの標準暗号化をサポートします。 パッケージ内のすべての暗号化をサポートするか、必要な暗号化を個別に選択するか、選ぶことができます。 ゲートウェイインスタンスごとに、個別に SSL 暗号化を選択できます。 選択した暗号化のいずれかがクライアントサイトに存在する場合、 SSL ハンドシェークが正常に行われます。

暗号化の個別選択を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「SSL 符号化選択の有効化 (Enable SSL Cipher Selection)」フィールドにスクロールし、このオプションを選択します。

    このオプションを有効にすると、 SSL2、 SSL3、 TLS 暗号化のリストから、必要な暗号化を選択できます。

  6. 「ゲートウェイプロファイルを編集」ページの上または下で「保存」をクリックし、変更内容を記録します。

    これによって、クライアントサイトでサポートされる暗号化を選択することができます。 「SSL 符号化選択の有効化」オプションの選択を解除すると、リスト内のすべての暗号化が自動的に選択されます。

  7. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

すべての URL のリライト

詳細については、第5章 「リライタの設定」 を参照してください。

ドメインベースのルールの指定

詳細については、第5章 「リライタの設定」 を参照してください。

MIMEマッピングの指定

詳細については、第5章 「リライタの設定」 を参照してください。

設定済み Portal Server のリストの指定

ゲートウェイが要求に応答するように複数の Portal Server を設定できます。 ゲートウェイをインストールしている間、ゲートウェイの稼動に必要な Portal Server が指定されている場合があります。 この Portal Server はデフォルトでは、 Portal Server リストに表示されます。 その他の Portal Server を http://portal server name:port number の形式でリストに追加することができます。 ゲートウェイは要求に応えるために、順次リスト内の各 Portal Server への照会を試みます。

設定済み Portal Server のリストを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「ポータルサーバーリスト」フィールドにスクロールします。 Portal Server を http://portal server name:port number の形式で編集フィールドに指定し、「追加」をクリックします。

    指定した Portal Server が「ポータルサーバーリスト」フィールドに追加されます。

  6. ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Portal Server の再試行間隔の指定

Portal Server が使用可能かどうかをゲートウェイがチェックする間隔 (分) を設定できます。

Portal Server の再試行間隔を指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「サーバーの再試行間隔」フィールドにスクロールします。 Portal Server が使用可能かどうかをゲートウェイがチェックする間隔を分で指定します。

  6. ページの上または下で「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

ロギングの有効化

ゲートウェイログファイルが各セッションの最少情報または詳細情報のどちらを取り込むか指定できます。 このログ情報は、DSAME 設定属性の「ロギング (Logging)」セクションに含まれる「ログの場所 (Log Location)」属性で指定されたディレクトリに保存されます。 このログは Portal Server マシン上に置かれます。

ログ名には次の命名ルールがあります。

srapGateway_gatewayhostname_gateway profile name

ログ情報は DSAME 設定の指定に従って、ファイルまたはデータベースとして保存されます。 ログのフィールドはカンマ区切りの ASCII 値で、他のデータ分析ツールにエクスポートできます。

ゲートウェイのロギングを有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「ロギングの有効化」チェックボックスを選択して、ゲートウェイのロギングを有効にします。

  6. クライアントアドレス、要求タイプ、宛先ホストなどの最低限のログ情報を取り込むには、「各セッションのロギングの有効化」チェックボックスを選択します。


    ログ情報が取り込まれるのは、「ロギングの有効化」フィールドがすでに有効になっている場合のみです。


  7. ゲートウェイがクライアント、要求型、宛先ホスト、要求のタイプ、クライアント要求 URL、クライアントポートデータサイズ、セッション ID、応答結果コード、完全応答サイズなどの詳細情報を取り込むようにするには、「各セッション詳細ログの有効化」を選択します。


    詳細なログ情報が取り込まれるのは、「各セッションのロギングの有効化」フィールドがすでに有効になっている場合のみです。


  8. ページの上または下で「保存」をクリックし、変更内容を記録します。

  9. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

Netlet ロギングの有効化

このオプションを選択すると、Netlet関連のアクティビティのロギングを有効にできます。 Netlet ログには、Netlet セッションに関する次の詳細事項が収められます。

  • 開始時間

  • ソースアドレス

  • ソースポート

  • サーバーアドレス

  • サーバーポート

  • 停止時間

  • 状態(起動または停止)

Netlet ロギングを有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「ゲートウェイ」の横の矢印をクリックします。

    「ゲートウェイ」ページが表示されます。

  4. 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。

    「ゲートウェイプロファイルを編集」ページが表示されます。

  5. 「Netlet ロギングの有効化」チェックボックスを選択して、Netlet ロギングを有効にします。

  6. ページの下にある「保存」をクリックし、変更内容を記録します。

  7. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start


認証の連鎖

認証連鎖することにより、通常の認証メカニズムを超えた高いレベルのセキュリティがもたらされます。 ユーザーを複数の認証メカニズムで認証することができます。

たとえば、PDC、Unix、Radius 認証モジュールを連鎖させると、ユーザーはPortal Server デスクトップにアクセスするために3つのモジュールすべてについて認証が必要になります。


PDC が有効になっていると、PDC が常に最初の認証モジュールとしてユーザーに提示されます。


認証の連鎖を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. ナビゲーション区間の「表示 」メニューで「ユーザー管理」を選択します。

  3. 目的の組織を選択します。

  4. ナビゲーション区画の「表示 」メニューで「サービス」を選択します。

    すでに登録されている場合は、DSAME 設定のナビゲーション区画にコアサービスが表示されます。

  5. コアの隣の矢印アイコンをクリックします。

    「コア」ページが表示されます。

  6. 組織の属性の「認証連鎖が有効になっています」チェックボックスを選択します。

  7. ページの上にある「保存」をクリックし、変更内容を記録します。

  8. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

認証モジュールを指定する手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「表示 」メニューで「ユーザー管理」を選択します。

  3. 目的の組織を選択します。

  4. ナビゲーション区画の「表示 」メニューで「サービス」を選択します。

    すでに登録されている場合は、DSAME 設定のナビゲーション区画にコアサービスが表示されます。

  5. コアの隣の矢印アイコンをクリックします。

    「コア」ページが表示されます。

  6. 組織の属性の「認証連鎖モジュール」フィールドに、必要な認証モジュールをすべて表示します。

    1 スペース空けてモジュール名を区切り、任意の数の認証モジュールを指定できます。


    PDC 認証を有効にしている場合、「認証連鎖モジュール」のエントリとしてCertを指定しないでください。 PDC 認証が有効になっている場合、PDC が最初に実行される認証モジュールです。

    認証モジュールについての詳細は、 iPlanet Directory Server Access Management Edition管理者ガイド を参照してください。


  7. ページの上にある「保存」をクリックし、変更内容を記録します。

  8. 変更を有効にするために、次のコマンドを入力してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n gateway profile name start

連鎖証明書

連鎖された証明書、または段階的な証明書は、40 ビット専用の接続から 128 ビット接続のサポートへのアップグレードが行われた証明書です。

ワイルドカード証明書

ワイルドカード証明書は、ホストの完全修飾 DNS 名にワイルドカード文字を含む単一の証明書を受け付けます。

これによって、同じドメイン内で証明書が複数のホストを保証することが可能になります。 例えば、*.domain.com の証明書は abc.domain.com abc1.domain.com に使用できます。 実際には、この証明書は domain.com ドメイン内のすべてのホストに有効です。

ワイルドカード証明書の作成

ワイルドカード証明書を作成する手順は、自分で署名した SSL 証明書の作成と同じです。 完全修飾ホスト名で * を指定する必要があります。 例えば、完全修飾ホスト名が abc.florizon.com の場合、*.florizon.com のように指定します。 生成される証明書は、今度は florizon.com ドメインのすべてのホスト名に有効になります。


ブラウザキャッシングの無効化

ゲートウェイコンポーネントは Web ブラウザのみを使用して任意の場所からバックエンド企業データへの安全なアクセスを提供します。そのため、クライアントが情報をローカルにキャッシュする必要がない場合があります。

ゲートウェイを通じてリダイレクトされるページのキャッシングを無効にするには、そのゲートウェイの platform.conf ファイルの属性を修正します。

このオプションを無効にすると、ゲートウェイのパフォーマンスに影響する場合があります。 デスクトップが再表示されるたびに、ブラウザがすでにキャッシュしているイメージを含めページが参照するすべてのデータをゲートウェイで取り出す必要があるためです。 ただし、この機能を有効にしても、リモートアクセスされた安全なコンテンツの足跡は、クライアントサイトでキャッシュとして残りません。 これがパフォーマンスへの影響よりも重要な意味を持つのは、企業 IT の制御下にないインターネットカフェやその類のリモートロケーションから企業ネットワークにアクセスしている場合です。

ブラウザキャッシングを無効にする手順

  1. root としてログインし、目的のゲートウェイインスタンスの platform.conf ファイルを編集します。

    /etc/opt/SUNWps/platform.conf.profilename

  2. 次の行を編集します。

    gateway.allow.client.caching=true

    この値はデフォルトでは、true に設定されています。 この値を false に変更するとクライアントサイドでのブラウザキャッシングが無効になります。

  3. 次のコマンドを指定してゲートウェイを再起動します。

    InstallDir/SUNWps/bin/gateway -n new profile name start


chroot 環境でのゲートウェイの実行

chroot 環境でセキュリティを高めるには、chroot ディレクトリのコンテンツを最小限に抑える必要があります。 例えば、chroot のディレクトリのファイルを修正できるプログラムが存在する場合、chroot はサーバーで chroot ツリーのファイルが攻撃者によって修正されるのを保護しません。 CGI プログラムは bourne シェル、C シェル、Korn シェル、または Perl などのインタープリタ型言語で記述できませんが、バイナリにコンパイルする必要があるため、インタープリタが chroot ディレクトリツリーに存在する必要がありません。


chroot 環境では watchdog 機能はサポートされません。


chroot をインストールする手順

  1. 端末ウィンドウで root として、次のファイルをネットワーク上のコンピュータ、バックアップテープ、フロッピーディスクなどの外部ソースにコピーします。

    # cp /etc/vfstab external-device

    # cp /etc/nsswitch.conf external-device

    # cp /etc/hosts external-device

  2. 次の場所から mkchroot スクリプトを実行します。

    InstallDir/SUNWps/bin/chroot


    mkchroot スクリプトの実行が開始すると、Ctrl-Cでこのスクリプトを終了することはできません。

    mkchroot スクリプトの実行中にエラーが発生した場合、「mkchroot スクリプトの実行の失敗」を参照してください。


別の root ディレクトリ (new_root_directory) が要求されます。 スクリプトにより新しいディレクトリが作成されます。

次の例では、new_root_directory は /safedir/chroot です。


Enter the full path name of the directory which will be the chrooted tree:/safedir/chroot
Using /safedir/chroot as root.
Checking available disk space...done
/safedir/chroot is on a setuid mounted partition.
Creating filesystem structure...dev etc sbin usr var proc opt bin lib tmp etc/lib usr/platform usr/bin usr/sbin usr/lib usr/openwin/lib var/opt var/tmp dev/fd done
Creating devices...null tcp ticots ticlts ticotsord tty udp zero conslog done
Copying/creating etc files...group passwd shadow hosts resolv.conf netconfig nsswitch.conf
done
Copying binaries...................................done
Copying libraries.....................................done
Copying zoneinfo (about 1 MB)..done
Copying locale info (about 5 MB)..........done
Adding comments to /etc/nsswitch.conf ...done
Creating loopback mount for/safedir/chroot/usr/java1.2...done
Creating loopback mount for/safedir/chroot/proc...done
Creating loopback mount for/safedir/chroot/dev/random...done
Do you need /dev/fd (if you do not know what it means, press return)[n]:
Updating /etc/vfstab...done
Creating a /safedir/chroot/etc/mnttab file, based on these loopback mounts.
Copying SRAP related data ...
Using /safedir/chroot as root.
Creating filesystem structure...........done
mkchroot successfully done.

  1. platform.conf ファイル内に記述されている Java ディレクトリを、次のコマンドを使用して chroot ディレクトリに手動でマウントします。

    mkdir -p /safedir/chroot/javadir

    mount -F lofs javadir /safedir/chroot/javadir

    Solaris 9 の場合は次のコマンドを使用します。

    mkdir -p /safedir/chroot/usr/lib/32

    mount -F lofs /usr/lib/32 /safedir/chroot/usr/lib/32

    mkdir -p /safedir/chroot/usr/lib/64

    mount -F lofs /usr/lib/64 /safedir/chroot/usr/lib/64

    システム起動時にこのディレクトリをマウントするには、/etc/vfstab ファイルに対応するエントリを追加します。

    javadir - /safedir/chroot/javadir lofs - no -

    Solaris 9 の場合は次を追加します。

    /usr/lib/32 - /safedir/chroot/usr/lib/32 lofs - no -

    /usr/lib/64 - /safedir/chroot/usr/lib/64 lofs - no -

  2. 次のコマンドを入力して、ゲートウェイを再起動します。

    stopping gateway ... done.
    starting gateway ...
    done.

mkchroot スクリプトの実行の失敗

mkchroot スクリプトの実行中にエラーが発生した場合、スクリプトによりファイルは初期状態に復元されます。

次のサンプルでは、/safedir/chroot は chroot ディレクトリです。

次のエラーメッセージが表示される場合、

Not a Clean Exit

  1. 「chroot をインストールする手順」の手順 1 で使用したバックアップファイルを元の場所にコピーし、次のコマンドを実行します。

    # umount /safedir/chroot/usr/java1.2

    # umount /safedir/chroot/proc

    # umount /safedir/chroot/dev/random

  2. /safedir/chroot ディレクトリを削除します。

chroot 環境でゲートウェイを再起動する手順

ゲートウェイマシンをリブートした場合、次の手順に従って chroot 環境で Secure Remote Access ゲートウェイを実行します。

  1. ユ/ユ ディレクトリから実行中のゲートウェイを停止します。

    # InstallDir/SUNWps/bin/gateway -n profilename stop

  2. ゲートウェイを起動して、chroot ディレクトリから次のコマンドを実行します。

    # chroot /safedir/chroot ./InstallDir/SUNWps/bin/gateway -n profilename start


    /safedir/chroot/etc ファイル (passwdhosts など) は /etc ファイルのように管理する必要がありますが、chroot ツリーで実行中のプログラムが要求するホストとアカウント情報を追加するだけです。

    例えば、システムの IP アドレスを変更する場合、/safedir/chroot/etc/hosts も変更します。



ゲートウェイユーザーインターフェイスのカスタマイズ

このセクションでは、編集可能な各種のプロパティファイルについて説明します。 編集できるのは、ゲートウェイ管理コンソールのラベル、エラーメッセージ、またはログ情報です。 これはさまざまなロケールの製品をカスタマイズする場合に便利です。

次のファイルをカスタマイズできます。

InstallDir/SUNWam/locale/srapGatewayAdminConsole.properties

InstallDir/SUNWps/locale/srapGateway.properties

InstallDir/SUNWps/web-src/WEB-INF/classes/srapgwadminmsg.properties


複数のロケールで設定を行っている場合、次のファイルの各コピーをそれぞれの locale ディレクトリに保存する必要があります。


srapGatewayAdminConsole.properties ファイル

このファイルを編集して、ゲートウェイ管理コンソールに表示されるファイル名を変更します。

srapgwadminmsg.properties ファイル

このファイルを次のように編集します。

  • ゲートウェイ管理コンソールのボタンのラベルをカスタマイズします。

  • ゲートウェイを設定しているときに表示される状況メッセージとエラーメッセージをカスタマイズします。

srapGateway.properties ファイル

このファイルを次のように編集します。

  • ゲートウェイの実行時に表示されるエラーメッセージをカスタマイズします。

    • HTML-CharSets=ISO-8859-1 は、このファイルの作成に使用された文字セットを示しています。

    • 中カッコ内の数値 ({0}など) は、実行時に値が表示されることを示します。 この数値に対応するラベルを変更できます。また必要に応じてラベルを並べ替えることができます。 数値とメッセージは関連性を持つため、ラベルが表示されるメッセージに対応していることを確認します。

  • ログ情報をカスタマイズします。

デフォルトでは、srapGateway.properties ファイルはInstallDir/SUNWps/locale ディレクトリ内にあります。 ゲートウェイマシンに表示されるすべてのメッセージ (ゲートウェイ関連のメッセージ) は、メッセージの言語に関わりなく、このファイルに格納されます。

クライアントのデスクトップに表示されるメッセージの言語を変更する必要がある場合、このファイルを InstallDir/SUNWps/locale_en_US などの各ロケールのディレクトリにコピーします。


platform.conf ファイルの概要

platform.conf ファイルは次の場所にあります。

/etc/opt/SUNWps

platform.conf ファイルには、ゲートウェイが起動するのに必要な詳細情報が収められています。 このセクションでは、サンプルの platform.conf ファイルを提示し、すべてのエントリについて説明します。

マシン固有の詳細を設定ファイルにすべて格納しているため、複数のマシンで実行するゲートウェイが共通のプロファイルを共有できるという利点があります。

サンプル

#

# Copyright 11/28/00 Sun Microsystems, Inc. All Rights Reserved.

# "@(#)platform.conf 1.38 00/11/28 Sun Microsystems"

#

gateway.user=noaccess

gateway.jdk.dir=/usr/java_1.3.1_04

gateway.dsame.agent=http://abc.sesta.com:80//portal/RemoteConfigSer vlet

portal.server.protocol=http

portal.server.host=abc.sesta.com

portal.server.port=80

gateway.protocol=https

gateway.host=olyve.abc.siroe.com

gateway.port=443

gateway.trust_all_server_certs=true

gateway.trust_all_server_cert_domains=false

gateway.virtualhost=olyve.abc.siroe.com 10.12.147.53

gateway.notification.url=http://abc.sesta.com:80/notificationservic e

gateway.retries=6

gateway.locale=en_US

gateway.debug=error

gateway.debug.dir=/var/opt/SUNWps/debug

gateway.logdelimiter=&&

gateway.external.ip=10.12.147.53

gateway.certdir=/etc/opt/SUNWps/cert/default

gateway.allow.client.caching=true

gateway.userProfile.cacheSize=1024

gateway.userProfile.cacheSleepTime=60000

gateway.userProfile.cacheCleanupTime=300000

gateway.bindipaddress=10.12.147.53

gateway.sockretries=3

説明

表 2-4platform.conf ファイルのすべてのフィールドを一覧して説明します。 表は 3 つの列で構成されています。 最初の列はファイル内のエントリを、2 番目の列はデフォルト値がある場合には、デフォルト値を、3 番目の列はフィールドの簡単な説明をそれぞれ示します。


表 2-4    platform.confファイル 

エントリ

デフォルト値

説明

gateway.user  

noaccess  

ゲートウェイを実行しているユーザー。

ゲートウェイは root として起動する必要があり、初期化の後、 root 権限を失いこのユーザーになります。  

gateway.jdk.dir  

 

ゲートウェイが使用する JDK ディレクトリの場所です。  

gateway.dsame.agent  

 

ゲートウェイがプロファイルの取得を開始するときに照会する iPlanet Directory Server Access Management Edition サーバーの URL です。  

portal.server.
protocol

portal.server.host

portal.server.port

デフォルトの Portal Server が使用しているプロトコル、ホスト、ポートです。

gateway.protocol
gateway.host
gateway.port

ゲートウェイのプロトコル、ホスト、ポートです。 これらの値はインストール時に指定したモードおよびポートと同じです。 これらの値は通知 URL の作成に使用されます。

gateway.trust_all_
server_certs  

true  

ゲートウェイがすべてのサーバーの証明書を信頼する必要があるか、ゲートウェイ認証データベースの証明書のみを信頼するべきかを指定します。  

gateway.trust_all_
server_cert_domains  

false  

ゲートウェイとサーバー間で SSL 通信が行われる場合は常に、サーバーの証明書がゲートウェイに提示されます。 デフォルトでは、ゲートウェイはサーバーのホスト名がサーバーの証明書 CN と同じかどうかをチェックします。

この属性値が true に設定されている場合、ゲートウェイは受け取ったサーバーの証明書に対するドメインチェックを無効にします。  

gateway.virtualhost  

 

ゲートウェイマシンに複数のホスト名が設定されている場合、このフィールドで別の名前および IP アドレスを指定できます。  

gateway.
notification.url  

 

ゲートウェイのホスト、プロトコル、ポートの組み合わせが通知 URL の作成に使用されます。 これは iDS/AME からセッション通知を受け取る場合に使用されます。

通知 URL が組織名と一致しないことを確認します。 通知 URL が組織名と一致する場合、その組織に接続しようとするとログインページではなく空のページが表示されます。  

gateway.retries  

 

ゲートウェイが起動時に Portal Server に照会を試みる回数です。  

gateway.locale  

 

ゲートウェイのロケールです。  

gateway.debug  

error  

ゲートウェイのデバッグレベルを設定します。 デバッグログファイルの場所は、debug_directory/files です。 デバッグファイルの場所は、gateway.debug.dir エントリに指定されます。

デバッグレベルは次のとおりです。

エラー - 重要なエラーのみがデバッグファイルにロギングされます。 このようなエラーが発生すると、通常はゲートウェイは機能を停止します。

警告 - 警告メッセージがロギングされます。

メッセージ - すべてのデバッグメッセージがロギングされます。

オン - すべてのデバッグメッセージがコンソールに表示されます。

デバッグファイル名は次のとおりです。

srapGateway.profilename - ゲートウェイデバッグメッセージを格納します。

Gateway_to_from_server.profilename - メッセージモードの場合、このファイルにはゲートウェイと内部サーバー間のすべての要求と応答のヘッダが格納されます。

Gateway_to_from_browser.profilename - メッセージモードの場合、このファイルには、ゲートウェイとクライアントブラウザ間のすべての要求と応答のヘッダが格納されます。  

gateway.debug.dir  

 

すべてのデバッグファイルが生成されるディレクトリです。

このディレクトリには gateway.user 内のユーザーがファイルを記述するための十分な権限が必要です。  

gateway.
logdelimiter  

 

現在は使用されません。  

gateway.external.ip  

 

マルチホームゲートウェイマシンの場合、外部 IP アドレスをここで指定する必要があります。 この IP は Netlet が FTP を実行するのに使用されます。  

gateway.certdir  

 

証明書データベースの場所を指定します。  

gateway.allow.
client.caching  

true  

クライアントのキャッシングを許可または無効にします。

許可される場合、クライアントのブラウザはスタティックページおよびイメージをキャッシュして (ネットワークトラフィックを低減することで) パフォーマンスを向上させることができます。

無効にすると、クライアントサイドに何もキャッシュされないためセキュリティが向上しますが、パフォーマンスが低下し、ネットワークの負荷が高くなります。  

gateway.userProfile.cacheSize  

 

ゲートウェイでキャッシュされるユーザープロファイルのエントリ数です。 エントリ数がこの値を超えると、キャッシュをクリーンアップするために頻繁に再試行が行われます。  

gateway.userProfile.cacheSleepTime  

 

キャッシュクリーンアップスレッドのスリープ時間を秒で設定します。  

gateway.userProfile.cacheCleanupTime  

 

プロファイルエントリが削除されるまでの最大時間(秒)。  

gateway.
bindipaddress  

 

マルチホームマシン上では、ゲートウェイがサーバーソケットをバインドする IP アドレスです。  

gateway.sockretries  

3  

現在は使用されません。  


前へ     目次     索引     次へ     
Copyright 2002 Sun Microsystems, Inc. All rights reserved.

最終更新日 2002 年 9 月 26 日