Sun ONE ロゴ     前へ     目次     索引     次へ     
Sun ONE Portal Server, Secure Remote Access 6.0 管理者ガイド



第1章   Sun ONE Portal Server, Secure Remote Access について


この章では、 Sun ONE Portal Server, Secure Remote Access 製品、 Sun ONE Portal Server と Secure Remote Access の関連性、 Secure Remote Access を構成するコンポーネントについて説明し、 Secure Remote Access の管理と設定に関する情報を提示します。

この章は次のセクションから構成されます。


Secure Remote Access

Sun ONE Portal Server, Secure Remote Access は、リモートユーザーがインターネットを通じて社内のネットワークおよびサービスに安全にアクセスできる環境を提供します。 また、従業員、ビジネスパートナー、一般ユーザーなど、あなたの会社のインターネットポータルを使用する誰もがコンテンツやアプリケーション、データに安全にアクセスできるようになります。

リモートデバイスからポータルコンテンツおよびサービスにアクセスする場合、 Secure Remote Access はブラウザによるセキュアリモートアクセスを提供します。 これは、クライアントソフトウェアを使用せず、 Java テクノロジに対応したブラウザを使用するデバイスであればアクセス可能な、コスト効果の高い安全なソリューションです。 Secure Remote Access を Sun ONE Portal Server に統合すると、アクセス権のあるコンテンツおよびサービスに対して暗号化された安全なアクセスが保証されます。

Sun ONE Portal Server, Secure Remote Access は、安全性の高いリモートアクセスポータルを提供する企業を対象に設計されています。 このようなポータルは、イントラネットリソースのセキュリティ、保護、およびプライバシーに重点が置かれています。 Secure Remote Access のアーキテクチャは、このようなタイプのポータルに非常に適しています。 イントラネットリソースにはインターネットを通じてアクセスしますが、 Secure Remote Access の Gateway、 NetFile、 Netlet 機能によりリソースをインターネットに露出させることなく安全にアクセスできます。 すべてのイントラネット URL、ファイルシステム、アプリケーションへの単一のセキュアアクセスポイントとして機能するのは、非武装ゾーン (DMZ) に常駐するゲートウェイです。 その他のセッション、認証、およびデスクトップなどの Secure Remote Access 以外のサービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。 クライアントのブラウザからゲートウェイへの通信は、 HTTPS を使って暗号化されます。 ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP または HTTPS が使用されます。

Netlet と NetFile アプレットは、サポートファイルがゲートウェイまたは Sun ONE Portal Server サーバーに存在すればクライアントのマシンにダウンロードされます。

Sun ONE Portal Server と Secure Remote Access との関連性

Sun ONE Portal Server はオープンモードとセキュアモードいずれかで機能します。

オープンモード

オープンモードの場合、 Sun ONE Portal Server のインストール時に Secure Remote Access はインストールされません。 このモードでの HTTPS 通信は可能ですが、セキュアリモートアクセスは使用できません。 つまり、リモートファイルシステムとアプリケーションにはアクセスできません。

オープンポータルとセキュアポータルの主な違いは、オープンポータルを通じて提供されるサービスは、通常は保護されたイントラネット内ではなく非武装ゾーン (DMZ) 内に存在する点にあります。 DMZ は一般のインターネットと私的なイントラネットの間に存在する保護付きの小規模ネットワークで、通常は両端のファイヤウォールで境界が定められます。

ポータルに機密情報が含まれていない場合 (公開情報の配布や無償アプリケーションへのアクセス許可) 、大量のアクセス要求への応答は、セキュアモードに比べて速くなります。

図 1-1 にオープンモードの Sun ONE Portal Server を示します。 この例では、 Sun ONE Portal Server はファイヤウォールの背後にある単一のサーバーにインストールされています。 複数のクライアントが単一のファイヤウォールを経由して、インターネットの Portal Server にアクセスしています。

図 1-1    オープンモードの Sun ONE Portal Server


この図は、オープンモードの Sun ONE Portal Server を示しています。詳細は、図の上の説明を参照してください。

セキュアモード

セキュアモードは、必要とされるイントラネットファイルシステムとアプリケーションへのセキュアリモートアクセスを可能にします。

ゲートウェイは非武装ゾーン (DMZ) に常駐します。 ゲートウェイはすべてのイントラネット URL とアプリケーションへの単一のセキュアアクセスポイントとして機能し、ファイヤウォールに開かれるポートの数は減ります。 その他のセッション、認証、およびデスクトップなどの Sun ONE Portal Server サービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。 クライアントブラウザからゲートウェイへの通信は、 SSL (Secure Socket Layer) を使ったHTTP を使って暗号化されます。 ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP か HTTPS が使用されます。

図 1-2 に、 Secure Remote Access を使用した Sun ONE Portal Server を示します。 SSL はクライアントと Sun ONE Portal Server ゲートウェイの接続をインターネット上で暗号化するために使用されます。 また SSL はゲートウェイとサーバー間の接続の暗号化にも使用されます。 イントラネットとインターネット間にゲートウェイが存在することで、クライアントと Portal Server 間のパスの安全性が強化されます。

図 1-2    セキュアモードの Sun ONE Portal Server (Secure Remote Access を使用)


この図は、セキュアモードの Sun ONE Portal Server (Secure Remote Access を使用) を示しています。詳細は、図の上の説明を参照してください。

サーバーとゲートウェイを追加して、サイトを拡張することができます。Secure Remote Access のコンポーネントは、業務上の要求に応じてさまざまな形で構成できます。


Sun ONE Portal Server, Secure Remote Access の管理

Secure Remote Access は 2 つのインターフェイスで管理します。

  • iPlanet Directory Server Access Management Edition 管理コンソール

  • コマンド行ユーティリティ

管理作業の大半は、Web ベースの管理コンソールを通じて行います。 管理コンソールにはローカルにアクセスできます。または Web ブラウザからのリモートアクセスも可能です。 ただし、ファイルの修正などの作業は UNX コマンド行インターフェイスを使って管理します。


Secure Remote Access のコンポーネント

Secure Remote Access の主要なコンポーネントは次のとおりです。

ゲートウェイ

Secure Remote Access のゲートウェイは、インターネットから送信されるリモートユーザーセッションと企業イントラネットの間のインターフェイスおよびセキュリティバリアとして機能します。 ゲートウェイはリモートユーザーとの単一のインターフェイスを通じて、内部 Web サーバーとアプリケーションサーバーのコンテンツを安全に提供します。

詳細については、第2章 「ゲートウェイの管理」 を参照してください。

Netlet

Netlet は一般的なアプリケーション、または企業独自のアプリケーションをリモートデスクトップで安全に、効率的に実行できるようにします。 サイトに Netlet を実装すると、Telnet や SMTP などの共通の TCP/IP サービスや、pcANYWHERE または Lotus Notes などの HTTP ベースのアプリケーションを安全に実行できます。

詳細については、第3章 「Netlet の設定」 を参照してください。

NetFile

NetFile はファイルシステムとディレクトリのリモートアクセスおよびリモート操作を可能にする、ファイルマネージャアプリケーションです。NetFile は Java ベースのユーザーインターフェイス、 NetFile Java を使用します。 Java1 と Java2 で使用できます。

詳細については、第4章 「NetFile の設定」 を参照してください。

リライタ

リライタは、エンドユーザーのイントラネット参照を可能にし、またそのページ上のリンクや URL へのリンクが正しく参照されるようにします。 リライタは Web ブラウザのロケーションフィールドにゲートウェイ URL を追加して、コンテンツ要求をゲートウェイを通じてリダイレクトします。

詳細については、第5章 「リライタの設定」 を参照してください。


Secure Remote Access の設定

Secure Remote Access に関連した属性は、さまざまなレベルで設定できます。 詳細については、iPlanet Directory Server Access Management Edition 管理者ガイド を参照してください。

Secure Remote Access のコンポーネントは、4 つのサービスを使用することで有効になります。

  • アクセスリスト

    特定の URL へのアクセスを許可または制限し、シングルサインオン機能を管理する場合に使用します。 詳細については、「URL アクセス制御の設定」「シングルサインオンの管理」を参照してください。

  • ゲートウェイ

    プロキシ管理、Cookie 管理、ロギング、リライタ管理、暗号化などのゲートウェイに関連したすべての属性を設定する場合に使用します。 詳細については、第2章 「ゲートウェイの管理」を参照してください。

  • NetFile

    共通のホスト、MIME タイプ、異なる種類のホストへのアクセスなど、NetFile 関連のすべての属性を設定する場合に使用します。 詳細については、第4章 「NetFile の設定」を参照してください。

  • Netlet

    Netlet ルール、必須ルールへのアクセス、組織およびホスト、デフォルトアルゴリズムなどの Netlet に関連したすべての属性を設定する場合に使用します。 詳細については、第3章 「Netlet の設定」を参照してください。


    注意

    		実行中に行われた属性変更については、ゲートウェイに通知されません。

    更新された (ゲートウェイまたはその他のサービスに属する) プロファイル属性をゲートウェイで確実に使用するようにするには、ゲートウェイを再起動します。 第2章 「ゲートウェイの管理」「ゲートウェイの再起動」を参照してください。



URL アクセス制御の設定

Secure Remote Access 管理者は、特定の URL がゲートウェイを通じてエンドユーザーにアクセスするのを制御できます。


Secure Remote Access をインストールしたとき、デフォルトではすべてのユーザーがアクセスリストサービスを使用できるようにはなっていません。 このサービスは、インストール時にデフォルトで作成されたamadmin ユーザーのみが使用できます。 その他のユーザーがゲートウェイを通じてデスクトップにアクセスするには、このサービスが必要です。amadmin でログインし、このサービスをすべてのユーザーに割り当てます。


URL 拒否リストの設定

エンドユーザーがゲートウェイを通じたアクセスをできないようにする URL のリストを、このフィールドで指定できます。

ゲートウェイで URL 許可リストの前に URL 拒否リストがチェックされます。

この属性は組織、ロール、ユーザーの各レベルで設定できます。

URL 拒否リストの設定手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「アクセスリスト」の横の矢印をクリックします。

    「アクセスリスト」ページが表示されます。

  4. ゲートウェイを通じたアクセスを拒否する URL を「URL 拒否リスト」フィールドで指定し、「追加」をクリックします。URL は次の形式で入力します。

    http://abc.siroe.com

    URL が「URL 拒否リスト」に追加されます。

    http://*.siroe.comなどの正規表現も使用できます。 この場合、 siroe.comドメインのすべてのホストへのアクセスが拒否されます。

  5. 「保存」をクリックし、変更内容を記録します。

URL 許可リストの設定

エンドユーザーがゲートウェイを通じてアクセスできるすべての URL を指定できます。 デフォルトでは、すべての URL にアクセスできることを表すワイルドカード (*) が、このリストに入力されています。 特定の URL を除くすべての URL へのアクセスを許可する場合は、「URL 拒否リスト」に制限する URL を追加します。 同様に、特定の URL のみへのアクセスを許可する場合は、「URL 拒否リスト」を空白にし、「URL 許可リスト」に許可する URL を指定します。

ゲートウェイで URL 許可リストの前に URL 拒否リストがチェックされます。

この属性は組織、ロール、ユーザーの各レベルで設定できます。

URL 許可リストの設定手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「アクセスリスト」の横の矢印をクリックします。

    「アクセスリスト」 ページが表示されます。

  4. ゲートウェイを通じたアクセスを許可する URL を「URL 許可リスト」フィールドに指定し、「追加」をクリックします。URL は次の形式で入力します。

    http://abc.siroe.com

    URL が「URL 許可リスト」に追加されます。


    「URL 許可リスト」には、デフォルトで、ゲートウェイを通じてすべての URL にアクセスできることを示すアスタリスク (*) がエントリされています。


  5. 「保存」をクリックし、変更内容を記録します。


シングルサインオンの管理

Secure Remote Access のアクセスリストサービスを使用すると、各種のホストのシングルサインオン機能を制御できます。 ただし、シングルサインオン機能を有効にするには、ゲートウェイ管理コンソールで「HTTP 基本認証を有効 (Enable HTTP Basic Authentication)」オプションを選択している必要があります。 第2章 「ゲートウェイの管理」「HTTP 基本認証の有効化」を参照してください。

アクセスリストサービスでは、特定のホストのシングルサインオンを無効にできます。 つまり、セッションごとにシングルサインオンを有効にしている場合を除き、 HTTP 基本認証を必要とするホストに接続するエンドユーザーは、毎回、認証が必要となります。

特定のホストのシングルサインオンを無効にしている場合、エンドユーザーは Portal Server の単一セッション内で、そのホストに何度でも接続できます。 例えば、abc.sesta.com のシングルサインオンを無効にした場合、 ユーザーが最初にこのサイトに接続する場合に認証が要求されます。 ユーザーが他のページを参照してから、元のページに戻った場合、同じ Portal Serer セッション内のページであれば認証は不要です。

これらの属性は組織、ロール、ユーザーの各レベルで設定できます。 またユーザーも制限付き管理コンソールでこれらの属性を設定できます。

ホストの SSO を無効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「アクセスリスト」の横の矢印をクリックします。

    「アクセスリスト」ページが表示されます。

  4. SSO を無効にするホストを「SSO のホストが無効です」フィールドに指定し、「追加」をクリックします。

    ホスト名は abc.siroe.com の形式で指定します。

    ホスト名がリストに追加されます。

  5. 「保存」をクリックし、変更内容を記録します。

セッションごとに SSO を有効にする手順

  1. iPlanet Directory Server Access Management Edition の管理コンソールに administrator としてログインします。

  2. 「サービス管理」を選択します。

  3. 「SRAP 設定 (SRAP Configuration)」の「アクセスリスト」の横の矢印をクリックします。

    「アクセスリスト」ページが表示されます。

  4. 「セッションの SSO の有効化」チェックボックスを選択します。

  5. 「保存」をクリックし、変更内容を記録します。


アクセスリストインターフェイスのカスタマイズ

アクセスリストユーザーインターフェイスのラベルを変更する場合は、iPlanet Directory Server Access Management Edition 管理コンソールでアクセスリストのプロパティファイルを編集します。 次のファイルを編集します。

InstallDir/SUNWam/locale/srapGatewayAccess.properties

次のサンプルに、カスタマイズする行を示します。

d02=URL Allow List
d05=Policy to Enable/Disable SSO
d04=Enable SSO per Session
d03=Hosts for Which SSO is Disabled
d01= URL Deny List

ラベルテキストは変更できますが、テキスト内の数値は変更できません。


前へ     目次     索引     次へ     
Copyright 2002 Sun Microsystems, Inc. All rights reserved.

最終更新日 2002 年 9 月 26 日