第 1 章 Portal Server Secure Remote Access サーバーの概要

この章では、Sun Java^TM System Portal Server Secure Remote Access について、および Sun Java System Portal Server と Sun Java System Portal Server Secure Remote Access コンポーネントの関係について説明します。

この章の内容は次のとおりです。

• 「Secure Remote Access の概要」

• 「Secure Remote Access サービス」

• 「サポートされるアプリケーション」

Secure Remote Access の概要

Secure Remote Access を使えば、リモートエンドユーザーは所属する組織のネットワークとサービスに、インターネット経由で安全にアクセスできます。また、セキュリティー保護されたインターネットポータルを組織に提供し、従業員、ビジネスパートナー、一般ユーザーなど、ターゲットとするユーザーがコンテンツ、アプリケーション、およびデータを利用できるようにします。

リモートデバイスからポータルコンテンツおよびサービスにアクセスする場合、Secure Remote Access ではブラウザによる、セキュリティー保護されたリモートアクセスが提供されます。Secure Remote Access は、Java™ テクノロジに対応したブラウザを使用するすべてのデバイスからユーザーへのアクセスが可能な、セキュリティー保護されたアクセスソリューションであり、クライアントソフトウェアを使用する必要はありません。Portal Server に統合すると、アクセス権のあるコンテンツおよびサービスへの暗号化されたセキュリティー保護されたアクセスが、ユーザーに対して保証されます。

Secure Remote Access ソフトウェアは、安全性の高いリモートアクセスポータルを提供する企業を対象に設計されています。このようなポータルは、イントラネットリソースのセキュリティー、保護、およびプライバシに重点が置かれています。Secure Remote Access のアーキテクチャーは、これらのタイプのポータルに適しています。ユーザーは Secure Remote Access ソフトウェアを利用することで、イントラネットリソースをインターネットに公開しなくても、これらのリソースにインターネットを通じて安全にアクセスできます。

Portal Server は、次の節で説明するオープンモードとセキュリティー保護されたモードの 2 つのモードで動作します。

オープンモード

オープンモードの場合、Portal Server のインストール時に Secure Remote Access ソフトウェアはインストールされません。このモードでの HTTPS 通信は可能ですが、セキュリティー保護されたリモートアクセスは使用できません。したがって、ユーザーはセキュリティー保護されたリモートファイルシステムとアプリケーションにはアクセスできません。

オープンポータルとセキュリティー保護されたポータルの主な違いは、オープンポータルを通じて提供されるサービスは、通常は保護されたイントラネット内ではなく非武装ゾーン (DMZ) 内に存在する点にあります。DMZ は一般のインターネットと私的なイントラネットの間に存在する保護付きの小規模ネットワークで、通常は両端のファイアウォールで境界が定められます。

公開情報の配布、無償アプリケーションへのアクセス許可について、ポータルに機密情報が含まれていない場合、大量のアクセス要求への応答は、セキュリティー保護されたモードに比べて速くなります。

オープンモードでは、Portal Server はファイアウォールの背後にある単一のサーバーにインストールされています。複数のクライアントが単一のファイアウォールを経由して、インターネット上の Portal Server にアクセスしています。

図 1–1 Secure Remote Access を使用するオープンモードの Portal Server

セキュリティー保護されたモード

セキュリティー保護されたモードは、必要とされるイントラネットファイルシステムとアプリケーションへのセキュリティー保護されたリモートアクセスを可能にします。

ゲートウェイは非武装ゾーン (DMZ) に常駐します。ゲートウェイはすべてのイントラネット URL とアプリケーションへの単一のセキュリティー保護されたアクセスポイントとして機能し、ファイアウォールに開かれるポートの数は減ります。その他のセッション、認証、および標準のポータルデスクトップなどの Portal Server サービスはすべて、保護されたイントラネットの DMZ の背後で実行されます。クライアントブラウザからゲートウェイへの通信は、SSL (Secure Socket Layer) を使った HTTP を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP または HTTPS が使用されます。

セキュリティー保護されたモードでは、SSL を使用してクライアントとゲートウェイ間のインターネット上の接続を暗号化しています。また、SSL はゲートウェイとサーバー間の接続の暗号化にも使用されます。イントラネットとインターネット間にゲートウェイが存在することで、クライアントと Portal Server 間のパスの安全性が強化されます。

図 1–2 Secure Remote Access を使用するセキュリティー保護されたモードの Portal Server

サーバーとゲートウェイをさらに追加して、サイトを拡張することができます。Secure Remote Access ソフトウェアは、ビジネスの要件に基づいてさまざまな方法で構成することができます。ビジネス要件への対応方法の詳細については、『Sun Java System Portal Server 7.2 Deployment Planning Guide 』を参照してください。

Secure Remote Access サービス

Secure Remote Access ソフトウェアには、次に示す 5 つの主要なコンポーネントがあります。

• ゲートウェイ

  SRA のゲートウェイは、インターネットから送信されるリモートユーザーセッションと企業イントラネットの間のインタフェースおよびセキュリティーバリアとして機能します。ゲートウェイはリモートユーザーとの単一のインタフェースを通じて、内部 Web サーバーとアプリケーションサーバーのコンテンツを安全に提供します。

  Web サーバーでは、クライアントとゲートウェイの間の通信に HTML、JavaScript、XML などの Web ベースのリソースが使用されます。リライタは、Web コンテンツを使用できるようにするためのゲートウェイコンポーネントです。

  アプリケーションサーバーは、クライアントとゲートウェイの間の通信に telnet や FTP などのバイナリプロトコルを使用します。ゲートウェイに常駐するネットレットは、この目的で使用されます。詳細については、第 2 章「ゲートウェイの操作」を参照してください。

• リライタ

  リライタは、エンドユーザーのイントラネット参照を可能にし、またそのページ上のリンクや URL へのリンクが正しく機能するようにします。リライタは Web ブラウザのロケーションフィールドにゲートウェイ URL を追加して、ゲートウェイを通じてコンテンツ要求をリダイレクトします。詳細については、第 4 章「リライタの操作」を参照してください。

• ネットファイル

  ネットファイルは、ファイルシステムとディレクトリのリモートアクセスおよびリモート操作を可能にするファイルマネージャーアプリケーションです。ネットファイルには Java ベースのユーザーインタフェースが含まれます。詳細については、第 5 章「ネットファイルの操作」を参照してください。

• ネットレット

  ネットレットは、一般的なアプリケーションまたは企業独自のアプリケーションをリモートデスクトップで安全かつ効率的に実行できるようにします。サイトにネットレットを実装すると、Telnet や SMTP などの共通の TCP/IP サービスや、pcANYWHERE または Lotus Notes などの HTTP ベースのアプリケーションを安全に実行できます。詳細については、第 6 章「ネットレットの操作」を参照してください。

• プロキシレット

  プロキシレットは、クライアントマシン上で稼動する動的なプロキシサーバーです。プロキシレットは URL をゲートウェイにリダイレクトするために、クライアントマシン上のブラウザのプロキシ設定を読み込み、ローカルプロキシサーバー (プロキシレット) をポイントするように変更します。

Secure Remote Access 属性の設定

Secure Remote Access の属性は、Portal Server 管理コンソールで次のサービスを使用して設定します。

• アクセス制御

  特定の URL へのアクセスを許可または制限し、シングルサインオン機能を管理する場合に使用します。詳細については、第 7 章「Secure Remote Access サーバーのアクセス制御の設定」を参照してください。

• ゲートウェイ

  コンポーネントの有効化、Cookie 管理、プロキシ管理、セキュリティー設定、パフォーマンスチューニング、リライタのマッピング管理など、ゲートウェイに関連したすべての属性を設定する場合に使用します。詳細については、第 8 章「Secure Remote Access ゲートウェイの設定」を参照してください。

• ネットファイル

  共通ホスト、MIME タイプ、および異なる種類のホストへのアクセスなど、ネットファイル関連のすべての属性を設定する場合に使用します。詳細については、第 14 章「ネットファイルの設定」を参照してください。

• ネットレット

  ネットレットルール、必須ルールへのアクセス、組織とホスト、およびデフォルトアルゴリズムなど、ネットレットに関連したすべての属性を設定する場合に使用します。詳細については、第 11 章「ネットレットの設定」を参照してください。

• リライタ

  すべてのリライタルールセットのダウンロード、アップロード、および削除を行う場合に使用します。

• プロキシレット

  「プロキシレットアプレットのバインド IP」アドレスやポート番号など、プロキシレットに関連する属性を設定する場合に使用します。詳細については、第 13 章「プロキシレットの設定」を参照してください。

ゲートウェイの実行中に行われた属性変更は、ゲートウェイに通知されません。更新された (ゲートウェイまたはその他のサービスに属する) プロファイル属性を有効にするには、ゲートウェイを再起動します。詳細については、「コマンド行オプションによるゲートウェイ属性の設定」を参照してください。

競合解決の設定

競合の解決レベルを設定する

1. 『Sun Java System Portal Server 7.2 管理ガイド』の「管理コンソールにログインする」

2. 「Secure Remote Access」タブを選択し、適切なサービスタブ (「ネットレット」、「ネットファイル」、または「プロキシレット」) をクリックします。

3. 「DN を選択」ドロップダウンメニューから「組織」または「ロール」を選択します。

4. 「COS 優先順位」ドロップダウンボックスで適切な競合解決レベルを選択します。

5. 「保存」をクリックして終了します。

サポートされるアプリケーション

SRA は、次のアプリケーションをサポートします。

• Sun Java System Calendar Server Release 5.1.1 以降

• Sun Java System Messenger Express 6 2005Q1 - Sun Java System Messaging Server 5.2 以降

• Sun Java System Communications Express 6 2005Q1

準備

ポータル用の SRA を有効にする

1. PortalServer_base/bin/psadmin switch-sra-status -u amadmin -f <passwordfile> on コマンドを使用して、SRA の状態を切り替えます。

2. PortalServer_base/bin/psadmin provision-sra -u amadmin -f <passwordfile> -p <portal-id> --gateway-profile <profile-name> --enable コマンドを使用して、SRA の状態をプロビジョニングします。