| Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド |
第 9 章
ゲートウェイの設定この章では、SunTM ONE Identity Server 管理コンソールからゲートウェイの属性を設定する方法について説明します。
注
Secure Remote Access のすべての属性について簡単に調べるには、Identity Server 管理コンソールの右上に表示される「ヘルプ」をクリックし、 「Secure Remote Access 管理ヘルプ」をクリックします。
ゲートウェイの設定方法については、「ゲートウェイプロファイルの作成」を参照してください。
ゲートウェイプロファイルを作成したら、ゲートウェイの属性を設定する必要があります。ゲートウェイの属性を設定するには、次の手順を実行します。
次にこれらのタブと、各タブで設定できる属性について説明します。
コアタブゲートウェイサービスの「コア」タブでは、次のタスクを実行できます。
HTTP 接続と HTTPS 接続の有効化
インストール時にゲートウェイを HTTPS モードで実行するように選択している場合は、インストール後、ゲートウェイは HTTPS モードで実行されます。HTTPS モードの場合、ゲートウェイはブラウザからの SSL 接続を許可し、非 SSL 接続を拒否します。
ただし、ゲートウェイを HTTP モードで実行するように設定することもできます。HTTP モードではパフォーマンスが向上します。これは HTTPS モードで発生する、SSL セッションの管理、SSL トラフィックの暗号化と復号化に伴うオーバーヘッドが、HTTP モードでは取り除かれて、ゲートウェイが高速化するためです。
HTTP モードまたは HTTPS モードで実行するようにゲートウェイを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 管理コンソールの「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブで次の操作を行います。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
リライタプロキシリストの有効化と作成
リライタプロキシを使用して、ゲートウェイとイントラネットコンピュータの間の HTTP トラフィックをセキュリティ保護することができます。リライタプロキシを指定しない場合、いずれかのイントラネットコンピュータにアクセスしようとすると、ゲートウェイコンポーネントによりイントラネットコンピュータに直接つながります。
リライタプロキシは、インストール後に自動的に起動されません。次の手順を実行して、リライタプロキシを有効にする必要があります。
リライタプロキシを有効化し、リライタプロキシリストを作成するには
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「リライタプロキシを有効」チェックボックスにチェックマークを付けて、リライタプロキシを有効にします。
- 「リライタプロキシのリスト」編集ボックスに、hostname:port という形式で適切なホスト名とポート番号を入力します。
- 「追加」をクリックします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- サーバーで portal-server-install-root/SUNWps/bin/certadmin を実行し、リライタプロキシの証明書を作成します。
この手順が必要になるのは、リライタプロキシのインストール時に証明書の作成を選択していない場合です。
- リライタプロキシがインストールされているマシンに root としてログインし、リライタプロキシを起動します。
rewriter-proxy-install-root/SUNWps/bin/rwproxyd -n gateway-profile-name start
- ゲートウェイがインストールされているマシンに root としてログインし、ゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Netlet の有効化
Netlet を使用することで、インターネットなどのセキュリティの弱いネットワークで一般的な TCP/IP サービスを安全に実行できます。TCP/IP アプリケーション (Telnet や SMTP など)、HTTP アプリケーション、同じポートを使用するすべてのアプリケーションを実行できます。
Netlet を有効にした場合は、ゲートウェイは着信トラフィックが Netlet トラフィックであるか、または Portal Server トラフィックであるかを判断する必要があります。Netlet を無効にした場合は、ゲートウェイはすべての着信トラフィックが HTTP トラフィックと HTTPS トラフィックのいずれかであると仮定するため、オーバーヘッドが低減します。Netlet は、Portal Server でアプリケーションを全く使用しないことが確実な場合にだけ無効にしてください。
Netlet を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Netlet を有効」チェックボックスにチェックマークを付けます。デフォルトでは、このチェックボックスは選択されています。チェックマークを外すと、Netlet は無効になります。
- 「Netlet プロキシを有効」チェックボックスにチェックマークを付けて、Netlet プロキシを有効にします。
- 「Netlet Proxy Host」編集ボックスに、hostname:port という形式で適切なホスト名とポート番号を入力します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Netlet プロキシリストの有効化と作成
Netlet プロキシは、ゲートウェイを経由してイントラネット内の Netlet プロキシまでクライアントからの安全なトンネルを拡張することで、ゲートウェイとイントラネットの間の Netlet トラフィックの安全性を補強します。
Netlet プロキシを有効にすると、Netlet パケットが Netlet プロキシにより解読され、送信先サーバーに送られます。これにより、ファイアウォール内で開くポート数を減らすことができます。
Netlet プロキシを有効化し、Netlet プロキシリストを作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 左のフレームに表示される「SRA 設定」の下の「ゲートウェイ」の隣の右矢印をクリックします。
「ゲートウェイ」ページが右のパネルに表示されます。
- 適切なプロファイルの隣の「編集」をクリックします。
右のパネルに「ゲートウェイプロファイルを編集」ページが表示されます。
- 「Netlet プロキシを有効」チェックボックスにチェックマークを付けて、Netlet プロキシを有効にします。
- 「Netlet プロキシホスト」フィールドに、host hostname:port という形式で適切な Netlet プロキシホストの名前とポート番号を入力します。
ヒント
目的のポートが使用可能で未使用であることを確認するには、コマンド行 で次のコマンドを実行します。
netstat -a | grep port-number | wc -l
この port-number は、目的のポート番号です。
- 「追加」をクリックします。
- ページの上部または下部の「保存」をクリックし、変更内容を保存します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Cookie 管理の有効化
多くの Web サイトは、ユーザーセッションの追跡と管理に cookie を使用しています。HTTP ヘッダに cookie が設定されている Web サイトにゲートウェイが要求をルーティングする場合、ゲートウェイは次の方法でそれらの cookie を破棄するか、またはそのまま通過させます。
この設定は、Portal Server が Portal Server ユーザーセッションの追跡に使用する cookie には適用されません。これは、「Cookie を転送する URL」オプションの設定によって制御されます。「Cookie を転送する URL のリストの作成」を参照してください。
この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトの cookie を破棄し、別のサイトの cookie を保持することはできません)。
注
cookie を使用しないゲートウェイであっても、「Cookie ドメイン」リスト から URL を削除しないでください。「Cookie ドメイン」リストについて は、『Identity Server 管理ガイド』を参照してください。
cookie の管理を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Cookie 管理を有効」チェックボックスにチェックマークを付けて、cookie 管理を有効化します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
HTTP 基本認証の有効化
ゲートウェイサービスには HTTP 基本認証を設定できます。
Web サイトは、サイトを閲覧する前にユーザー名とパスワードの入力を要求する HTTP 基本認証で保護することができます (HTTP応答コードは 401、WWW 認証は BASIC)。Portal Server はユーザー名とパスワードを保存するため、ユーザーは BASIC で保護された Web サイトに再びアクセスするときに証明情報を再入力する必要はありません。これらの証明情報は、ディレクトリサーバー上のユーザープロファイルに保存されます。
BASIC で保護されたサイトをユーザーが訪問できるかどうかは、この設定によって決定するわけではありませんが、ユーザーが入力する証明情報がユーザーのプロファイルに確実に保存されます。
この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトについて HTTP 基本認証のキャッシングを有効にし、別のサイトについて無効にするということはできません)。
注
BASIC 認証ではなく、Windows NT challenge/response (HTTP 応答コー ド401、WWW 認証は TLM) で保護された Microsoft の IIS (Internet Information Server) が提供する URL のブラウズはサポートされません。
また、管理コンソールのアクセスリストサービスを使用して、シングルサインオンを有効にすることができます。シングルサインオンの有効化については、「シングルサインオンの管理」を参照してください。
HTTP 基本認証を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「HTTP 基本認証を有効」チェックボックスにチェックマークを付けて、HTTP 基本認証を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
持続的 HTTP 接続の有効化
ゲートウェイで HTTP の持続的接続を有効にし、Web ページの (イメージやスタイルシートなどの) すべてのオブジェクトにソケットが開かれないように設定することができます。
持続的 HTTP 接続を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「持続的 HTTP 接続を有効」チェックボックスにチェックマークを付けて、持続的な HTTP 接続を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
持続的接続 1 つあたりの最大要求数の指定
持続的接続 1 つあたりの最大要求数を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「持続接続ごとの最大要求数」フィールドまでスクロールし、適切な要求数を入力します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
持続的ソケットを閉じるまでのタイムアウトの指定
持続的ソケットのタイムアウトを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「持続的ソケットが閉じた後のタイムアウト」フィールドまでスクロールし、適切なタイムアウト時間を秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
回復時間に必要な正常なタイムアウトの指定
回復時間に必要な正常なタイムアウトとは次の合計です。
これは、ネットワークの状況やクライアントの接続スピードといった要因に影響を受けます。
回復時間に必要な正常なタイムアウトを指定するには
これはクライアント (ブラウザ) とゲートウェイの間でのネットワークトラフィックの往復時間です。
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「回復時間に必要な正常なタイムアウト」フィールドに、必要な猶予期間を秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Cookie を転送する URL のリストの作成
Portal Server は、ユーザーセッションの追跡に cookie を使用します。ゲートウェイがサーバーに HTTP 要求を送信すると (ユーザーのデスクトップページを生成するためにデスクトップサーブレットが呼び出される場合など)、この cookie はサーバーに転送されます。サーバー上のアプリケーションはこの cookie を使用して、ユーザーの検証と特定を行います。
Portal Server の cookie は、サーバー以外のマシンに送信された HTTP 要求には転送されませんが、それらのマシンの URL が「Cookie を転送する URL」リストに指定されている場合は転送されます。したがってこのリストに URL を追加すると、サーブレットと CGI が Portal Server の cookie を受け取り、API を使用してユーザーを特定することができます。
URL は後続の暗黙的なワイルドカードを使って照合されます。たとえば、リストのデフォルトエントリを次のように指定した場合、
http://server:8080
http://server:8080 から始まるすべての URL に cookie が転送されます。
次のように指定した場合は、
http://newmachine.eng.siroe.com/subdir
この文字列から始まるすべての URL に、cookie が転送されます。
たとえば、「http://newmachine.eng/subdir」で始まるすべての URL には cookie は転送されません。これはこの文字列が転送リスト内の文字列と完全に一致する文字列から始まっていないためです。このようなマシン名の変形で始まる URL に cookie を転送するには、転送リストにエントリを追加する必要があります。
同様に、リストに適切なエントリが追加されている場合を除き、「https://newmachine.eng.siroe.com/subdir」から始まる URL には cookie は転送されません。
Cookie を転送する URL を追加するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Cookie を転送する URL」編集ボックスまでスクロールし、適切な URL を入力します。
- 「追加」をクリックすると、「Cookie を転送する URL」リストにこのエントリが追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
最大接続キューの指定
ゲートウェイが受け付ける最大同時接続数を指定できます。この数を超える接続の試行は、ゲートウェイに受け付けられません。
最大接続キューを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「最大接続キュー」フィールドまでスクロールし、適切な接続数を指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ゲートウェイタイムアウトの指定
ゲートウェイがブラウザとの接続をタイムアウトするまでの時間を、ミリ秒単位で指定できます。
ゲートウェイタイムアウトを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「ゲートウェイタイムアウト (ミリ秒)」フィールドまでスクロールし、タイムアウトまでの間隔をミリ秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
最大スレッドプールサイズの指定
ゲートウェイスレッドプールで事前に作成できる最大スレッド数を指定できます。
最大スレッドプールサイズを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「最大スレッドプールサイズ」フィールドまでスクロールし、適切なスレッド数を指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
キャッシュされたソケットのタイムアウトの指定
ゲートウェイが Portal Server との接続をタイムアウトするまでの時間を、ミリ秒単位で指定できます。
キャッシュされたソケットのタイムアウトを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「キャッシュされたソケットのタイムアウト」フィールドまでスクロールし、タイムアウトまでの時間をミリ秒単位で指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Portal Server のリストの作成
ゲートウェイが要求に応答するように、複数の Portal Server を設定できます。ゲートウェイのインストール時に、ゲートウェイの稼動に必要な Portal Server を指定することがあります。この Portal Server は、デフォルトでは「Portal Server リスト」に表示されます。その他の Portal Server を http://portal server name:port number の形式でリストに追加することができます。ゲートウェイは要求を処理するために、リスト内の各 Portal Server に順次アクセスを試みます。
Portal Server を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「Portal Server のリスト」フィールドまでスクロールし、Portal Server 名を入力します。
Portal Server を http://portal server name:port number の形式で編集フィールドに指定し、「追加」をクリックします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
サーバーの再試行間隔の指定
この属性により、Portal Server、リライタプロキシ、または Netlet プロキシがクラッシュしたり、停止したりして使用不能になった場合に、これらの再起動を要求するまでの間隔を指定します。
サーバーの再試行間隔を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「サーバーの再試行間隔」フィールドまでスクロールし、適切な秒数を指定します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
外部サーバー cookie の格納の有効化
「外部サーバーの Cookie を格納」オプションを有効にすると、ゲートウェイはサードパーティ製アプリケーション、またはゲートウェイ経由でアクセスするサーバーからの cookie を格納、管理します。アプリケーションまたはサーバーが、cookie を使用しないデバイスに対応できない場合、または複数バージョンの違いを区別する状態管理を cookie に依存している場合でも、対応しているデバイスが cookie を使用しないことは、アプリケーションまたはサーバーには透過的にマスクされます。cookie を使用しないデバイスとクライアント検出については、『Sun ONE Identity Server Customization and API Guide』を参照してください。
外部サーバー cookie を格納するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「外部サーバーの Cookie を格納」チェックボックスにチェックマークを付けて、外部サーバー cookie の格納を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
URL からのセッション取得の有効化
「URL からセッションを取得」オプションを有効にすると、cookie をサポートするかどうかに関係なく、セッション情報が URL の一部としてコード化されます。つまりゲートウェイは、クライアントのブラウザから送信されるセッション cookie の代わりに URL に含まれるセッション情報を使用して検証を行います。
URL からのセッションを取得するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「URL からセッションを取得」チェックボックスにチェックマークを付けて、URL からのセッションの取得を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
安全な cookie としてのマーク付けの有効化
安全な cookie としてマーク付けしておけば、ブラウザはセキュリティを補強した cookie として処理します。セキュリティの実装には、ブラウザを使用します。このためには、「Cookie 管理を有効」属性を有効化しておく必要があります。
安全な cookie としてマークするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「コア」タブをクリックします。
- 「安全な Cookie としてマークする」チェックボックスにチェックマークを付けて、安全な cookie としてマークを付けます。
「Cookie 管理を有効」属性が有効になっていることを確認します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
プロキシタブゲートウェイサービスの「プロキシ」タブでは、次のタスクを実行できます。
Web プロキシ使用の有効化
Web プロキシの使用を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「プロキシを使用する」チェックボックスにチェックマークを付けて、Web プロキシの使用を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Web プロキシを使用する URL のリストの作成
「プロキシを使用する」オプションを無効にしている場合でも、ゲートウェイが「ドメインとサブドメインのプロキシ」リストの Web プロキシだけを使用して、特定の URL に接続するように指定できます。これらの URL は、「Web プロキシを使用する URL」フィールドに指定する必要があります。この値がプロキシの使用に与える影響についての詳細は、「Web プロキシの使用」を参照してください。
Web プロキシを使用する URL を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「Web プロキシを使用する URL」編集ボックスに、http://host name.subdomain.com という形式で適切な URL を入力します。「追加」をクリックします。
「Web プロキシを使用する URL」リストに URL が追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Web プロキシを使用しない URL のリストの作成
「Web プロキシを使用しない URL」リストに指定されている URL に対しては、ゲートウェイは直接接続を試みます。これらの URL への接続には Web プロキシは使用されません。
Web プロキシを使用しない URL を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「Web プロキシを使用しない URL」編集ボックスに適切な URL を入力し、「追加」をクリックします。
「Web プロキシを使用しない URL」リストに URL が追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ドメインとサブドメインのプロキシのリストの作成
ドメインとサブドメインのプロキシを指定するには
さまざまなホストにプロキシ情報を適用する方法については、「Web プロキシの使用」を参照してください。
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の右矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「ドメインとサブドメインのプロキシ」編集ボックスまでスクロールし、適切な情報を入力して「追加」をクリックします。「ドメインとサブドメインのプロキシ」リストボックスにエントリが追加されます。
プロキシ情報は次の形式で入力します。
domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
* は特別に指定する以外のすべてのドメインとサブドメインに対して、* の後に定義されるプロキシが適用されなければならないことを示します。
プロキシにポートを指定しない場合、デフォルトのポート 8080 が使用されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
プロキシのパスワードリストの作成
プロキシサーバーが一部またはすべてのサイトへのアクセスに認証を要求する場合、指定されたプロキシサーバーでゲートウェイが認証されるために必要な、ユーザー名とパスワードを指定する必要があります。
プロキシパスワードを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「プロキシパスワードのリスト」フィールドまでスクロールし、各プロキシサーバーの情報を入力して「追加」をクリックします。
プロキシ情報は次の形式で入力します。
proxyserver|username|password
proxyserver は、「ドメインとサブドメインのプロキシ」リストに定義したプロキシサーバーです。
- 認証を必要とするすべてのプロキシについて、手順 6 を繰り返します。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
プロキシ自動設定 (PAC) サポートの有効化
PAC を有効にするオプションを選択すると、「ドメインとサブドメインのプロキシ」フィールドに指定した情報が無視されます。ゲートウェイは、イントラネット設定にだけ PAC ファイルを使用します。PAC ファイルについては、「プロキシ自動設定の使用」を参照してください。
PAC サポートを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「PAC サポートを有効」チェックボックスにチェックマークを付けて、PAC サポートを有効にします。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
PAC ファイルの場所の指定
PAC ファイルの場所を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「PAC ファイルの場所」フィールドまでスクロールし、PAC ファイルの名前と場所を指定します。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Web プロキシ経由のトンネル Netlet の有効化
Web プロキシ経由のトンネル Netlet を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「プロキシ」タブをクリックします。
- 「Web プロキシ経由のトンネル Netlet」チェックボックスにチェックマークを付けて、トンネル化を有効にします。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
セキュリティタブゲートウェイサービスの「セキュリティ」タブでは、次のタスクを実行できます。
非認証 URL のリストの作成
一部の URL で認証を不要にするように指定できます。通常は、イメージを含むディレクトリおよびフォルダが該当します。
非認証 URL パスを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「非認証 URL」フィールドまでスクロールし、folder/subfolder の形式で適切なフォルダパスを入力します。
URL が、/images など完全修飾名ではない場合、ポータル URL として処理されます。
非ポータル URL を追加するには、URL を完全修飾名にしてください。
- 「追加」をクリックすると、「非認証 URL」リストにこのエントリが追加されます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
証明書が有効なゲートウェイホストのリストの作成
証明書が有効なゲートウェイホストのリストにゲートウェイを追加するには
40 ビットブラウザ接続の許可
このオプションは、40 ビットの (弱い) SSL (Secure Sockets Layer) 接続を許可する場合に選択します。このオプションを選択していない場合、128 ビット接続だけがサポートされます。
このオプションを無効にするときは、ブラウザが必要な接続タイプをサポートするように設定されていることを確認する必要があります。
40 ビットブラウザ接続を許可するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「40 ビットブラウザを許可」チェックボックスにチェックマークを付けて、40 ビットブラウザ接続を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
SSL Version 2.0 の有効化
SSL Version 2.0 を有効または無効にできます。SSL 2.0 を無効化すると、古い SSL 2.0 だけをサポートするブラウザが Secure Remote Access に対して認証できなくなります。これにより、セキュリティのレベルが格段に向上します。
SSL Version 2.0 を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「SSL バージョン2.0 を有効」チェックボックスにチェックマークを付けて、バージョン 2.0 を有効にします。
デフォルトでは、このオプションは有効に設定されています。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
暗号化方式選択の有効化
Secure Remote Access は、いくつかの標準暗号化方式をサポートしています。パッケージ内のすべての暗号化方式をサポートするか、必要な暗号化方式を個別に選択するかを選択することができます。ゲートウェイインスタンスごとに、個別に SSL 暗号化方式を選択できます。選択した暗号化方式のいずれかがクライアントサイトに存在していれば、SSL ハンドシェークは正常に行われます。
暗号化方式の個別選択を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「SSL 暗号化方式の選択を有効」フィールドまでスクロールし、このオプションを選択します。
このオプションを有効にすると、SSL2、SSL3、TLS の暗号化方式から、適切な暗号化方式を選択できます。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
クライアントサイトでサポートされる暗号化方式を選択することができます。「SSL 暗号化方式の選択を有効」オプションの選択を解除すると、リストに含まれるすべての暗号化方式が自動的に選択されます。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
SSL Version 3.0 の有効化
SSL Version 3.0 を有効または無効にできます。SSL 3.0 を無効化すると、SSL 3.0 だけをサポートするブラウザが Secure Remote Access に対して認証できなくなります。これにより、セキュリティのレベルが格段に向上します。
SSL Version 3.0 を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「SSL バージョン 3.0 を有効」チェックボックスにチェックマークを付けて、バージョン 3.0 を有効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Null 暗号化方式の無効化
Null 暗号化方式を無効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「Null 符号化を無効」チェックボックスにチェックマークを付けて、Null 暗号化方式を無効にします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
信頼されている SSL ドメインのリストの作成
信頼されている SSL ドメインのリストを作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「信頼されている SSL ドメインのリスト」までスクロールし、ドメイン名を入力して「追加」をクリックします。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
PDC (Personal Digital Certificate) 認証の設定
PDC は認証局 (CA) が発行し、CA の非公開錠で署名されます。CA は証明書を発行する前に要求本文の ID を検証します。この場合 PDC が存在すると、非常に強力な認証メカニズムとして機能します。
PDC には所有者の公開鍵、所有者名、有効期限、デジタル証明書を発行した認証局の名前、シリアル番号、その他の情報が収められています。
Portal Server での認証には、PDC とスマートカードや Java カードなどのコード化されたデバイスを使用できます。コード化されたデバイスは、カードに保存された PDC と電子的に同等のものを搬送します。ユーザーがこれらのメカニズムのいずれかを使用してログインすると、ログイン画面も認証画面も表示されません。
PDC 認証プロセスには、いくつかの手順が伴います。
PDC とコード化されたデバイスを設定するには
PDC とコード化されたデバイスを設定するには、次の手順を実行します。
- Portal Server マシンで、portal-server-install-root/SUNWam/lib/AMConfig.properties ファイルに次の行を追加します。
com.iplanet.authentication.modules.cert.gwAuthEnable=yes
- PDC を有効にするゲートウェイの認証データベースに、適切な証明書をインポートします。
詳細については、第 7 章「証明書」を参照してください。
- 次の操作を行います。
必要なサービスを登録するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンメニューから「サービス」を選択します。
すでに登録されている場合は、ナビゲーションパネルにコアサービスが表示されます。コアサービスがまだ登録されていない場合は、証明書サービスと同時に登録できます。
- ナビゲーションパネルで「登録」をクリックします。
使用できるサービスのリストがデータパネルに表示されます。
- 証明書のチェックボックスにチェックマークを付けます。
ナビゲーションパネルに、証明書サービスが表示され、サービスが登録されたことがわかります。
- [登録] をクリックします。
必要な属性を変更するには
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンメニューから「サービス」を選択します。
- 左のパネルの「認証」の下にある「コア」の隣の矢印をクリックします。
「コア」ページが表示されます。
- 「証明書」の隣の矢印をクリックします。
「現在このサービスにはテンプレートが存在しません。新規に作成しますか?」というメッセージが表示されます。
- 「作成」をクリックします。
右のパネルに「証明書」ページが表示されます。
- 必要に応じて属性を変更します。
ページの上部にある「保存」をクリックし、変更内容を記録します。
- 「コア」の隣の矢印をクリックします。
- 「ユーザープロファイル」ドロップダウンメニューから「ダイナミックに作成」を選択します。
- 「保存」をクリックします。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
信頼されているリモートホストを追加するには
プロファイルを持たないユーザーのログインを有効にするには (ログイン時のプロファイルのダイナミックな作成)
証明書モジュールを持つゲートウェイインスタンスを作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 適切な組織を選択します。
- 「表示」ドロップダウンメニューから「サービス」を選択します。
左のパネルにサービスが表示されます。
- 「認証設定」コアサービスの隣の矢印をクリックします。
「サービスインスタンスリスト」が表示されます。
- 「新規」をクリックします。
「新規サービスインスタンス」ページが表示されます。
- サービスインスタンス名に「gatewaypdc」と入力します。
注 : この名前を使用する必要があります。
- 「送信」をクリックします。
「サービスインスタンスリスト」が表示されます。
- 「gatewaypdc」をクリックし、サービスを編集します。
「gatewaypdc プロパティの表示」ページが表示されます。
- 「編集」をクリックします。
組織のモジュールリストが表示されます。
- 「追加」をクリックします。
「モジュールを追加」ページが表示されます。
- 「モジュール名」の「証明書」と、「フラグ」オプションを選択します。
- 「了解」をクリックします。
- 認証局からのルート CA をゲートウェイマシンに追加します。
詳細については、『Sun ONE Portal Server, Secure Remote Access Installation Guide』の第 4 章「Installing SSL Certificates」に記載されている「Installing Certificates From a Certificate Authority」を参照してください。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
リライタタブゲートウェイサービスの「リライタ」タブでは、次のタスクを実行できます。
すべての URL のリライトの有効化
ゲートウェイサービスで「すべての URL のリライトを有効」オプションを有効にすると、「ドメインとサブドメインのプロキシ」リストのエントリをチェックせずに、リライタはすべての URL をリライトします。「ドメインとサブドメインのプロキシ」リストのエントリは無視されます。
ゲートウェイによるすべてのURLのリライトを有効にするには
- SunTM ONE Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「すべての URL のリライトを有効」チェックボックスにチェックマークを付け、ゲートウェイによるすべての URL のリライトを有効にします。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
URI とルールセットのマッピングリストの作成
ルールセットは、Identity Server 管理コンソールの「Portal Server 設定」の下のリライタサービスに作成されます。詳細については、『Sun ONE Portal Server 管理者ガイド』を参照してください。
ルールセットを作成したら、「URI とルールセットのマッピング」リストを使用してドメインとルールセットを関連付けます。デフォルトでは、「URI とルールセットのマッピング」リストに次の2つのエントリが追加されます。
デフォルトドメインのすべてのページに対して、デフォルトゲートウェイのルールセットが適用されます。他のすべてのページには、汎用ルールセットが適用されます。デフォルトのゲートウェイルールセットと汎用ルールセットはパッケージ内のルールセットです。
URI をルールセットにマッピングするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「URI とルールセットのマッピング」フィールドまでスクロールします。
- 「URI とルールセットのマッピング」フィールドに適切なドメイン名またはホスト名とルールセットを入力し、「追加」をクリックします。
「URI とルールセットのマッピング」リストにエントリが追加されます。
ドメインまたはホスト名とルールセットは次の形式で指定します。
ドメイン名|ルールセット名
例
eng.sesta.com|default
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Outlook Web Access 用のルールセット
Secure Remote Access は、OWA (Outlook Web Access) の MS Exchange 2000 SP3 をサポートします。
OWA のルールセットを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「URI とルールセットのマッピング」フィールドで、Exchange 2000 がインストールされているサーバー名を入力し、それに続けて Exchange 2000 Service Pack 3 OWA ルールセットを入力します。
例
exchange.domain.com|exchange_2000sp3_owa_ruleset.
パーサーと MIME のマッピングリストの作成
リライタでは、コンテンツタイプ、つまり HTML、JavaScript、CSS、XML に基づいて Web ページをパースするために、4 つのパーサーが使用されます。デフォルトでは、これらのパーサーには一般的な MIME タイプが関連付けられています。新しい MIME タイプとこれらのパーサーの関連付けは、ゲートウェイサービスの「パーサーと MIME のマッピング」フィールドで行います。これにより、リライタ機能を他の MIME タイプに拡張できます。
複数のエントリは、セミコロン (;) またはカンマ (,) で区切ります。
例
HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml
これは、これらの MIME が HTML リライタに送られ、URL のリライトに HTML ルールを適用することを指定しています。
ヒント
MIME マッピングリストから不要なパーサーを削除すると、処理速度が向 上します。たとえば、特定のイントラネットのコンテンツに JavaScript が 含まれないことが確実な場合は、MIME マッピングリストから JavaScript エントリを削除できます。
MIME のマッピングを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「パーサーと MIME のマッピング」フィールドまでスクロールし、編集ボックスに必要な MIME タイプを追加します。複数のエントリを区切るときは、セミコロンまたはカンマを使用します。
エントリは HTML=text/html;text/htm の形式で指定します。
- 「追加」をクリックし、必要なエントリをリストに追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
デフォルトのドメインとサブドメインの指定
デフォルトのドメインとサブドメインは、URL にホスト名だけが含まれ、ドメインとサブドメインが指定されていない場合に便利です。この場合、ゲートウェイはホスト名がデフォルトのドメインとサブドメイン内にあると仮定し、そのように処理を進めます。
たとえば、URL のホスト名が host1、デフォルトのドメインとサブドメインが red.sesta.com のように指定されている場合、ホスト名は host1.red.sesta.com として解決されます。
デフォルトのドメインとサブドメインを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブをクリックします。
- 「SRA 設定」の「ゲートウェイ」の隣の右矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「リライタ」タブをクリックし、「基本」サブセクションを表示します。
- 「デフォルトのドメインとサブドメイン」フィールドまでスクロールし、必要なデフォルト値を subdomain.domain の形式で入力します。
- 「ゲートウェイプロファイルを編集」ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
リライトしない URI のリストの作成
デフォルトのドメインとサブドメインを指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「リライトしない URI のリスト」フィールドまでスクロールし、編集ボックスに URI を追加します。
注 : このリストに #* を追加することで、href ルールがルールセットの一部である場合でも URI をリライトできます。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
MIME 推測の有効化
リライタは、パーサーの選択にページの MIME タイプを使用します。WebLogic や Oracle などの一部の Web サーバーは MIME タイプを送信しません。これに対応するには、「パーサーと URI のマッピング」リストボックスにデータを追加して、MIME 推測機能を有効にします。
MIME 推測を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「MIME 推測を有効」チェックボックスにチェックマークを付け、MIME 推測を有効にします。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
パーサーと URI のマッピングリストの作成
MIME 推測機能が有効で、サーバーが MIME タイプを送信しない場合は、このリストを使用してパーサーと URI がマッピングされます。
複数の URI はセミコロンで区切られます。
たとえば、HTML=*.html; *.htm;*Servlet のように指定します。
この例の設定では、HTML リライタは拡張子が html、htm、Servlet のすべてのページのコンテンツをリライトします。
パーサーを URI にマッピングするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「パーサーと MIME のマッピング」フィールドまでスクロールし、編集ボックスにデータを追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
難読化の有効化
難読化を有効にすることで、リライタはページのイントラネット URL が判読されないように URI をリライトします。
難読化を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「難読化を有効」チェックボックスにチェックマークを付け、難読化を有効にします。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
難読化のためのシード文字列の指定
URI の難読化には、シード文字列が使用されます。これは、難読化アルゴリズムによって生成されるランダムな文字列です。
難読化のためのシード文字列を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「難読化のためのシード文字列」フィールドまでスクロールし、編集ボックスに文字列を追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
あいまいにしない URI のリストの作成
アプレットなどの一部のアプリケーションはインターネット URI を必要とし、難読化することができません。これらのアプリケーションを指定するには、リストボックスに URI を追加します。
たとえば、次のように追加します。
*/Applet/Param*
リストボックスに追加した URL は、コンテンツの URI http://abc.com/Applet/Param1.html がルールセット内のルールと一致する場合に難読化されません。
あいまいにしない URI のリストを作成するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「あいまいにしない URI のリスト」フィールドまでスクロールし、編集ボックスに URI を追加します。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ゲートウェイプロトコルと元の URI プロトコルの同一化
ゲートウェイが HTTP と HTTPS の両方のモードで稼動する場合、HTML コンテンツ内で参照されるリソースへのアクセスに同じプロトコルを使用するようにリライタを設定できます。
たとえば、元の URL が http://intranet.com/Public.html であれば、HTTP ゲートウェイが追加されます。元の URL が https://intranet.com/Public.html であれば、HTTPS ゲートウェイが追加されます。
ゲートウェイプロトコルと元の URI プロトコルを同一化するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」の「プロファイル」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイ - (ゲートウェイプロファイル名)」ページが表示されます。
- 「リライタ」タブをクリックし、「拡張プロパティ」サブセクションを表示します。
- 「ゲートウェイプロトコルを元の URI プロトコルと同じにする」チェックボックスにチェックマークを付けます。
- ページの上部または下部で「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
ロギングタブゲートウェイサービスの「ロギング」タブでは、次のタスクを実行できます。
ロギングの有効化
ゲートウェイログファイルが、各セッションの最少情報または詳細情報のどちらを取り込むか指定できます。このログ情報は、Identity Server 設定属性の「ロギング」セクションに含まれる「ログの場所」属性で指定されたディレクトリに保存されます。このログは、Portal Server マシン上に置かれます。
ログ名には次の命名ルールがあります。
srapGateway_gatewayhostname_gateway-profile-name
ログ情報は Identity Server の設定に基づいて、ファイルまたはデータベースとして保存されます。ログのフィールドはカンマ区切りの ASCII 値で、他のデータ分析ツールにエクスポートできます。
ゲートウェイのロギングを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルをクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「ロギングを有効」チェックボックスにチェックマークを付けて、ゲートウェイのロギングを有効にします。
- クライアントアドレス、要求タイプ、宛先ホストなどの最低限のログ情報を取り込むには、「セッション単位のロギングを有効」チェックボックスにチェックマークを付けます。
- ゲートウェイがクライアント、要求型、宛先ホスト、要求のタイプ、クライアント要求 URL、クライアントポート、データサイズ、セッション ID、応答結果コード、完全応答サイズなどの詳細情報を取り込むようにするには、「セッション単位の詳細なロギングを有効」を選択します。
- ページの上部または下部の「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
Netlet ロギングの有効化
このオプションを選択すると、Netlet に関連するアクティビティのロギングを有効にできます。Netlet ログには、Netlet セッションに関する次の詳細事項が収められます。
Netlet ロギングを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の「ゲートウェイ」の隣の矢印をクリックします。
「ゲートウェイ」ページが表示されます。
- 編集する属性が含まれるゲートウェイプロファイルの隣の「編集」をクリックします。
「ゲートウェイプロファイルを編集」ページが表示されます。
- 「Netlet ロギングを有効」チェックボックスにチェックマークを付けて、Netlet ロギングを有効にします。
- ページの下部にある「保存」をクリックし、変更内容を記録します。
- 端末ウィンドウからゲートウェイを再起動します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
