Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド |
第 11 章
Netlet の設定この章では、SunTM ONE Identity Server 管理コンソールから Netlet の属性を設定する方法について説明します。
注
Secure Remote Access のすべての属性について簡単に調べるには、Identity Server 管理コンソールの右上に表示される「ヘルプ」をクリックし、 「Secure Remote Access 管理ヘルプ」をクリックします。
組織レベルで設定できるすべての属性は、ユーザーレベルでも設定できます。組織、ロール、ユーザーの各レベルの属性については、『Sun ONE Identity Server 管理ガイド』を参照してください。
一部の追加属性は、ユーザーレベルで設定できます。管理コンソールでこれらの値を指定していない場合、最初に Netlet を通じて接続が設定されたときに、この情報の指定が要求されます。ユーザーがこの情報を要求されるのは、次の場合です。
- ユーザーが Java プラグイン (Version 1.3.1_01または1.3.1_02) を使用する Internet Explorer 4.x、5.x、または 6.x を使用し、Java プラグインコントロールパネルの「プロキシ」タブで「ブラウザ設定を使用」オプションを有効にし、Internet Explorer の「ローカルエリアネットワーク (LAN) の設定」ダイアログの「自動構成スクリプトを使用する」フィールドで追加製品または INS ファイルを指定している場合
- ユーザーが Java プラグイン (Version 1.3.1_01 または 1.3.1_02) を使用する Netscape 6.2 を使用し、Java プラグインコントロールパネルの「プロキシ」タブで「ブラウザ設定を使用」オプションを有効にしている場合。ユーザーが指定したプロキシ設定は考慮されません。
いずれの場合も、Netlet はブラウザ設定を特定できない場合があり、次の情報の指定がユーザーに求められます。
管理コンソールで再認証を有効にしている場合、Netlet を通じてアプリケーションに接続するたびに「Netlet 認証」ダイアログが表示されます。ユーザーは Netlet パスワードを指定する必要があります。管理コンソールで再認証が有効になっていない場合、ユーザーはパスワードの変更を選択することができません。
このフィールドでユーザーの認証パスワードを変更できます。ユーザーは Netlet チャネルの「編集」ボタンを使用して、このパスワードを変更することもできます。
再認証を有効にしていない場合、ユーザーのデスクトップに、Netlet が接続を確立しようとしているポートを伝えるポート警告ダイアログが表示されます。「Netlet 認証」ダイアログは表示されません。
Netlet 属性を設定するには、次の手順を実行し、組織レベルの属性を設定します。
ユーザーへの Netlet サービスの割り当て
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。
選択した組織名が、管理コンソールの左上に場所として表示されます。
- 選択した組織の「表示」ドロップダウンリストから「ユーザー」を選択します。
- 左のパネルで目的のユーザーの隣にある矢印をクリックします。
- このユーザーが使用できる Netlet サービスが割り当てられていない場合は、このユーザーの「表示」ドロップダウンリストから「サービス」を選択します。
- 「追加」をクリックします。
- 「利用可能なサービス」のリストから「Netlet」を選択します。
- 「保存」をクリックします。
- このユーザーの「表示」ドロップダウンリストから「Netlet」サービスを選択することで、Netlet 属性を変更できます。
Netlet ルールの追加Identity Server 管理コンソールの「アイデンティティ管理」タブでは、Netlet ルールをグローバルレベルで追加または作成できます。これらのルールは、新しい組織を作成すると、その組織に継承されます。
新しいルールの作成または既存のルールの修正は、組織、ロール、ユーザーレベルで行えます。
Netlet ルールを追加するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- ルールを作成する組織を選択します。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「Netlet ルール」フィールドの「追加」をクリックします。
Netlet ルールの追加ページが表示されます。ルールのすべてのフィールドに同じ値が入力されていますが、必要に応じて変更できます。
- 「ルール名」フィールドに一意の名前を入力します。
- 適切な暗号化方式を指定します。デフォルトの暗号化方式を使用する場合は、「デフォルト」を選択します。使用できる暗号化方式のリストから選択するときは、「その他」を選択します。
デフォルトの暗号化方式については、「デフォルトの暗号化方式を指定するには」を参照してください。
- 呼び出すアプリケーションの URL を「URL」フィールドに入力します。
- アプレットをダウンロードする必要がある場合は、「アプレットのダウンロード」チェックボックスにチェックマークを付けます。client port:server host:server port の形式で、関連する編集ボックスにアプレットの詳細を入力します。
アプレットの詳細を指定する必要があるのは、アプレットを Portal Server ホスト以外のホストからダウンロードする必要がある場合だけです。チェックボックスにチェックマークを付けていない場合、編集ボックスは無効になっています。
- このルールに対応する Netlet セッションの実行中は Portal Server セッション時間が延長されるようにするときは、「拡張セッション」チェックボックスにチェックマークを付けます。
- Netlet が待機するクライアントポートを「クライアントポート」フィールドに入力します。
FTP ルールでは、クライアントポートは 30021 である必要があります。
- 「ターゲットホスト」フィールドにエントリを入力します。
スタティックルールでは、Netlet 接続のターゲットマシンのホスト名を入力します。
ダイナミックルールでは、「TARGET」と入力します。
- ターゲットホストのポートを「ターゲットポート」フィールドに入力します。
- 「リストに追加」をクリックして、「ポート-ホスト-ポートのリスト」フィールドに最後の 3 つのエントリを反映させます。
- 「保存」をクリックします。
ルールが保存され、「Netlet」ページに戻ります。「Netlet ルール」リストに新しいルールが表示されます。
既存の Netlet ルールの変更管理コンソールの「アイデンティティ管理」タブでは、既存のルールを組織、ロール、ユーザーレベルで変更できます。これらのルールは、新しい組織を作成すると、その組織に継承されます。
Netlet ルールを変更するには
Netlet ルールの削除管理コンソールの「アイデンティティ管理」タブで、Netlet ルールをグローバルレベルで削除できます。
Netlet ルールを削除するには
デフォルトの暗号化方式の指定Netlet ルールにはデフォルトの暗号化方式を指定する必要があります。これはルールの一部として暗号化方式が指定されていない既存のルールを使用する場合に便利です。このフィールドの設定は必須です。「下位互換性」を参照してください。
デフォルトの暗号化方式を指定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「デフォルトのネイティブ VM 暗号化方式」フィールド、または「デフォルトの Java プラグイン暗号化方式」フィールドまでスクロールし、ドロップダウンリストから適切な暗号化方式を選択します。サポートされる暗号化方式のリストについては、「サポートされる暗号化方式」を参照してください。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
デフォルトループバックポートの割り当てこの属性は、Netlet を通じてアプレットがダウンロードされるときにクライアントで使用されるポートを指定します。Netlet ルールの設定が優先される場合を除き、デフォルトの 8000 が使用されます。
デフォルトループバックポートを割り当てるには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「デフォルトのループバックポート」フィールドまでスクロールし、適切なポート番号を入力します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
接続の再認証の有効化Netlet 接続を確立しようとするユーザーに、その都度 Netlet パスワードの入力を要求する場合は、このオプションを有効にします。このオプションを有効にすると、ユーザーのデスクトップに接続の警告ポップアップが表示されなくなります。詳細については、「接続の警告ポップアップの無効化」を参照してください。
このオプションを有効にすると、ユーザーは Netlet チャネルの編集オプションを使用して再認証パスワードを変更できるようになります。デフォルトでは、最初のパスワードは srap-Netlet です。
接続の再認証を有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「接続の再認証」フィールドまでスクロールし、オプションを選択します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
接続の警告ポップアップの無効化この属性は、ユーザーのデスクトップに、他のユーザーが待機ポートを通じて Netlet に接続しようとしていることを警告するメッセージを表示します。このメッセージが表示されるのは、ユーザーが Netlet でアプリケーションを実行する場合、または侵入者が待機ポートを通じてデスクトップにアクセスしようとしている場合です。
ユーザーのデスクトップにポップアップを表示しないようにするときは、この属性の選択を解除します。
接続の警告ポップアップを有効にするには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「接続の警告ポップアップ」チェックボックスにチェックマークを付けて、警告ポップアップを有効にします。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
ポート警告ダイアログのチェックボックス表示の有効化Netlet がローカルマシン上の自由に使用できるポートを通じて宛先ホストに接続しようとする場合に、ユーザーのデスクトップに警告ポップアップが表示されます。ユーザーのデスクトップにこの警告ポップアップが表示されるのは、管理コンソールで「接続の警告ポップアップ」オプションが有効になっている場合だけです。
管理コンソールの「ポート警告ダイアログにチェックボックスを表示」チェックボックスにチェックマークを付けると、ユーザーはこの警告ポップアップを非表示にできるようになります。
ユーザーによるポート警告ダイアログの非表示を許可するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「ポート警告ダイアログにチェックボックスを表示」フィールドまでスクロールし、チェックボックスにチェックマークを付けます。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
接続維持間隔の設定操作が行われない場合でも Netlet 接続を持続する時間を分単位で設定できます。
この属性に値を指定しない場合、Identity Server の設定の「セッション属性」セクションで指定した「最大アイドル時間 (分)」の時間が経過すると、アイドル中の Netlet 接続は、他のすべての Portal Server のアイドル接続とともにタイムアウトになります。
接続維持間隔を設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「接続維持間隔 (分)」フィールドまでスクロールし、適切な時間を入力します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
「ポータルのログアウト時に Netlet を終了」オプションの設定ユーザーが Portal Server をログアウトしたときにすべての接続を終了させるときは、このオプションを有効にします。これにより、セキュリティが向上します。デフォルトでは、このオプションは有効に設定されています。
このオプションを無効にすると、ユーザーが Portal Server デスクトップからログアウトした後も、有効な Netlet 接続が持続します。
「ポータルのログアウト時に Netlet を終了」オプションを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「ポータルのログアウト時に Netlet を終了」フィールドまでスクロールし、必要に応じてオプションを選択または選択解除します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
「ログアウト時の Netlet の終了」も参照してください。
Netlet ルールへのアクセスの定義特定の組織、ロール、ユーザーに対して特定の Netlet ルールへのアクセスを定義できます。
Netlet ルールへのアクセスを定義するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「Netlet ルールへのアクセス」フィールドまでスクロールします。
- 「Netlet ルールへのアクセス」フィールドで、選択している組織が使用できるようにするルールの名前を入力します。
このフィールドにアスタリスク (*) を指定すると、選択している組織は、定義されているすべての Netlet ルールを使用できるようになります。
- 「追加」をクリックします。
指定したルールが「Netlet ルールへのアクセス」リストに追加されます。
- 使用可能にする各 Netlet ルールについて、手順 7、8、9 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
Netlet ルールへのアクセスの拒否特定の組織、ロール、ユーザーに対して特定の Netlet ルールへのアクセスを拒否できます。
Netlet ルールへのアクセスを拒否するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「Netlet ルールの拒否」フィールドまでスクロールします。
- 「Netlet ルールの拒否」フィールドで、選択している組織がアクセスを拒否されるルールの名前を入力します。
このフィールドにアスタリスク (*) を指定すると、選択している組織は、定義されているすべての Netlet ルールへのアクセスが拒否されるようになります。
- 「追加」をクリックします。
指定したルールが「Netletl ルールの拒否」リストに追加されます。
- アクセスを拒否する各 Netlet ルールについて、手順 7、8、9 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
ホストへのアクセスの許可特定の組織、ロール、ユーザーに対して特定のホストへのアクセスを定義できます。この定義により、特定のホストへのアクセスを制限できます。たとえば、ユーザーが telnet 接続する 5 つのホストを「許可」リストに設定できます。
ホストへのアクセスを許可するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「許可されたホスト」フィールドまでスクロールします。
- 「許可されたホスト」フィールドに、アクセスを許可するホストの名前を入力します。
このフィールドにアスタリスク (*) を指定すると、指定されたドメインのすべてのホストへのアクセスが可能になります。たとえば、*.sesta.com と指定した場合、ユーザーは sesta.com ドメイン内のすべての Netlet ターゲットを実行できます。また、xxx.xxx.xxx.* のように、ワイルドカードを含む IP アドレスも指定できます。
- 「追加」をクリックします。
指定したホストが「許可されたホスト」リストに追加されます。
- アクセス可能にする各ホストについて、手順 7 と 8 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。
ホストへのアクセスの拒否組織内の特定のホストへのアクセスを拒否することができます。アクセスを拒否するホストを「拒否されたホスト」リストに指定します。
ホストへのアクセスを拒否するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「アイデンティティ管理」タブを選択します。
- 「表示」ドロップダウンリストから「組織」を選択します。
- 目的の組織名をクリックします。選択した組織名が、管理コンソールの左上に場所として表示されます。
- 「表示」ドロップダウンリストから「サービス」を選択します。
- 「SRA 設定」の下の「Netlet」の隣にある矢印をクリックします。
右のパネルに「Netlet」ページが表示されます。
- 「拒否されたホスト」フィールドまでスクロールします。
- アクセスを拒否するホストの名前を「拒否されたホスト」フィールドに入力します。
このフィールドにアスタリスク (*) を指定すると、ユーザーは選択している組織内のすべてのホストにアクセスできなくなります。たとえば、組織 sesta のすべてのホストへのアクセスを拒否するには、「拒否されたホスト」フィールドに *.sesta.com と入力します。
特定のホストへのアクセスを拒否するには、完全修飾名を指定します。たとえば、ホスト abc へのアクセスを拒否する場合は、abc.sesta.com と入力します。
- 「追加」をクリックします。
指定したドメインが「拒否されたホスト」リストに追加されます。
- アクセス可能にする各ドメインについて、手順 7 と 8 を繰り返します。
- Netlet の上部または下部にある「保存」をクリックし、変更内容を記録します。