test

Sun Java System Portal Server Secure Remote Access 7.2 管理ガイド

パート II Secure Remote Access サーバーの設定

ほとんどの属性は、Portal Server 管理コンソールの「Secure Remote Access」タブに表示されるオプションを使って設定できます。組織またはユーザーが新規に作成されると、デフォルトでこれらの値を継承します。

Secure Remote Access に関連する属性は、組織、ロール、およびユーザーのレベルで設定できます。ただし、次のような例外があります。

組織のレベルで設定した値は、その組織に属するすべてのロールとユーザーにも継承されます。ユーザーレベルで設定された値は、組織レベルまたはロールレベルで設定された値よりも優先されます。

属性の値は「サービス設定」タブで変更できます。新しい値は、組織を新規で追加した場合にだけ適用されます。

このパートは、次の章から構成されています。

第 7 章 Secure Remote Access サーバーのアクセス制御の設定

この章では、Sun Java System Portal Server 管理コンソールから、ユーザーのアクセスを許可または拒否する方法について説明します。

アクセス制御の設定

このフィールドでは、エンドユーザーがゲートウェイ経由でアクセスできないようにする URL のリストを指定できます。ゲートウェイは、許可される URL リストをチェックする前に拒否される URL リストをチェックします。

エンドユーザーがゲートウェイ経由でアクセスできるすべての URL を指定できます。デフォルトでは、このリストには、すべての URL へのアクセスが許可されることを意味するワイルドカード (*) が入力されています。特定の URL を除くすべての URL へのアクセスを許可する場合は、アクセスを制限する URL を「拒否される URL」リストに追加します。同様に、特定の URL に対してだけアクセスを許可する場合は、「拒否される URL」フィールドを空白にし、「許可される URL」フィールドに適切な URL を指定します。

SRA ソフトウェアのアクセス制御サービスを使用して、各種ホストのシングルサインオン (SSO) 機能を制御できます。シングルサインオン機能を有効にするには、ゲートウェイサービスで「HTTP 基本認証を有効」オプションが有効になっている必要があります。

アクセス制御サービスを使用して、特定ホストのシングルサインオンを無効にすることができます。つまり、セッションごとにシングルサインオンを有効にしている場合を除き、HTTP 基本認証を必要とするホストに接続するエンドユーザーは、毎回、認証が必要となります。

特定ホストのシングルサインオンを無効にしている場合でも、エンドユーザーは Portal Server の単一セッション内であれば、そのホストに何度でも接続できます。たとえば、abc.sesta.com へのシングルサインオンを無効にすると仮定します。ユーザーがこのサイトに最初に接続するときは、認証が必要です。ユーザーがほかのページを参照してからこのページに戻った場合、同じ Portal Server セッション内のページであれば、認証は必要ありません。

Procedureアクセス制御を設定する

  1. Portal Server 管理コンソールに管理者としてログオンします。

  2. 「Secure Remote Access」タブを選択します。

  3. 「アクセス制御」タブを選択します。

  4. 次の属性を変更します。

    属性名 

    説明 

    COS 優先順位 

    属性値を継承するかどうかの決定に使用される値を指定します。この属性の詳細については、『Sun Java System Directory Server 管理ガイド』を参照してください。 

    セッションごとのシングルサインオン 

    セッションでのシングルサインオンを有効にする場合は、「有効」チェックボックスにチェックマークを付けます。 

    シングルサインオンを無効にするホスト 

    ホスト名を abc.siroe.com の形式で指定します。

    許可される認証レベル 

    許可される認証レベルを入力します。すべてのレベルを許可するときは、アスタリスク (*) を入力します。デフォルト値は * です。 

    アクセスを許可/拒否する URL 

    URL フィールドに、ゲートウェイ経由でのアクセスを許可または拒否する URL を入力します。URL の入力形式は http://abc.siroe.com です。「アクション」ドロップダウンリストで、「許可」または「拒否」オプションをクリックします。

    http://*.siroe.com のように、正規表現も使用できます。この場合、siroe.com ドメインのすべてのホストへのアクセスが拒否されます。

    ゲートウェイはアクセスが拒否された URL を最初にチェックしてから、許可されている URL リストをチェックします。 

    注 –

    デフォルトでは、「許可される URL」フィールドには、すべての URL へのアクセスが許可されることを意味するワイルドカード (*) が入力されています。

    注 –

    SRA のインストール後、デフォルトではすべてのユーザーがアクセス制御サービスを使用できるようにはなっていません。このサービスは、インストール時にデフォルトで作成された amadmin ユーザーだけが使用できます。その他のユーザーがゲートウェイを通じてデスクトップにアクセスするには、このサービスが必要です。amadmin としてログインし、このサービスをすべてのユーザーに割り当てます。

  5. 「保存」をクリックして終了します。

第 8 章 Secure Remote Access ゲートウェイの設定

この章では、Sun Java System Portal Server 管理コンソールからゲートウェイの属性を設定する方法について説明します。

この章で説明する内容は次のとおりです。

始める前に

プロファイルのコアオプションの設定

この節では、次の操作について説明します。

起動モードの設定

インストール時にゲートウェイを HTTPS モードで実行するように選択している場合は、インストール後、ゲートウェイは HTTPS モードで実行されます。HTTPS モードの場合、ゲートウェイはブラウザからの SSL 接続を許可し、非 SSL 接続を拒否します。ただし、ゲートウェイを HTTP モードで実行するように設定することもできます。HTTPS モードで発生する、SSL セッションの管理、SSL トラフィックの暗号化と復号化に伴うオーバーヘッドが取り除かれるため、ゲートウェイのパフォーマンスが向上します。

Procedure起動モードを設定する

  1. Portal Server 管理コンソールに管理者としてログオンします。

  2. 「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。

  3. 「コア」タブを選択します。

  4. 次の属性を変更します。

    HTTP 接続

    ゲートウェイでの非 SSL 接続の受け付けを許可する場合は「HTTP 接続」チェックボックスにチェックマークを付けます。

    HTTP ポート

    HTTP ポート番号を入力します。デフォルト値は 80 です。

    HTTPS 接続

    ゲートウェイでの SSL 接続の受け付けを許可する場合は「HTTPS 接続」チェックボックスにチェックマークを付けます。このオプションは、デフォルトで選択されています。

    HTTPS ポート

    HTTPS ポート番号を入力します。デフォルト値は 443 です。

    注 –

    次の属性は、『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」を使用して変更できます。

    /space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry

    • sunPortalGatewayDefaultDomainAndSubdomains=Default Domains

    • sunPortalGatewayLoggingEnabled=Enable Logging

    • sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging

    • sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging

    • sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging

    • sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing

    • sunPortalGatewayParserToURIMap=Parser to URI Mappings

    • sunPortalGatewayEnableObfuscation=Enable Masking

    • sunPortalGatewayObfuscationSecretKey=Seed String for Masking

    • sunPortalGatewayNotToObscureURIList=URIs not to Mask

    • sunPortalGatewayUseConsistentProtocolForGateway=Make

    • Gateway protocol Same as \n Original URI Protocol sunPortalGatewayEnableCookieManager=Store External Server Cookies

    • sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure

  5. 端末ウィンドウからゲートウェイを再起動します。

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway 


    
    		

    

    

    6. 



コアコンポーネントの設定


ネットレットを使用することで、インターネットなどのセキュリティーの弱いネットワークで一般的な TCP/IP サービスを安全に実行できます。TCP/IP アプリケーション (Telnet や SMTP など)、HTTP アプリケーション、同じポートを使用するすべてのアプリケーションを実行できます。ネットレットを有効にした場合は、ゲートウェイは着信トラフィックがネットレットトラフィックであるか、または Portal Server トラフィックであるかを判断する必要があります。ネットレットを無効にした場合は、ゲートウェイはすべての着信トラフィックが HTTP トラフィックと HTTPS トラフィックのいずれかであると仮定するため、オーバーヘッドが低減します。ネットレットは、Portal Server でアプリケーションをまったく使用しないことが確実な場合にだけ無効にしてください。



Procedureコンポーネントを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「コア」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    ネットレット 
    

    		

    ネットレットサービスを開始する場合は「有効」チェックボックスにチェックマークを付けます。このオプションは、デフォルトで選択されています。 
    

    		

    


    


    プロキシレット 
    

    		

    プロキシレットサービスを開始する場合は「有効」チェックボックスにチェックマークを付けます。このオプションは、デフォルトで選択されています。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    端末ウィンドウから、次のコマンドオプションを使用してゲートウェイを再起動します。
    


    
./psadmin start-sra-instance -u amadmin -f passwordfile -N  profilename -t gateway

    


    6. 



基本オプションの設定


「Cookie 管理」属性について


多くの Web サイトは、ユーザーセッションの追跡と管理に Cookie を使用しています。HTTP ヘッダーに Cookie が設定されている Web サイトにゲートウェイが要求をルーティングする場合、ゲートウェイは次の方法でそれらの Cookie を破棄するか、またはそのまま通過させます。



この設定は、Portal Server が Portal Server ユーザーセッションの追跡に使用する Cookie には適用されません。この設定は、「ユーザーセッション Cookie を転送する URL」オプションの設定によって制御されます。


この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトの Cookie を破棄し、別のサイトの Cookie を保持することはできない)。


注 – 
Cookie を使用しないゲートウェイであっても、「Cookie ドメイン」リストから URL を削除しないでください。「Cookie ドメイン」リストについては、『Access Manager 管理ガイド』を参照してください。




「HTTP 基本認証」属性について


ゲートウェイサービスには HTTP 基本認証を設定できます。


Web サイトは、サイトを閲覧する前にユーザー名とパスワードの入力を要求する HTTP 基本認証で保護することができます (HTTP 応答コードは 401、WWW 認証は BASIC)。Portal Server はユーザー名とパスワードを保存するため、ユーザーは BASIC で保護された Web サイトにふたたびアクセスするときに証明情報を再入力する必要はありません。これらの証明情報は、ディレクトリサーバー上のユーザープロファイルに保存されます。


BASIC で保護されたサイトをユーザーが訪問できるかどうかは、この設定によって決定するわけではありませんが、ユーザーが入力する証明情報がユーザーのプロファイルに確実に保存されます。


この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトについて HTTP 基本認証のキャッシングを有効にし、別のサイトについて無効にするということはできない)。


注 – 
基本認証ではなく、Windows NT challenge/response (HTTP 応答コードは 401、WWW 認証は NTLM) で保護された Microsoft の IIS (Internet Information Server) が提供する URL のブラウズはサポートされません。




また、管理コンソールのアクセス制御サービスを使用して、シングルサインオンを有効にすることができます。


「Portal Server」属性について


ゲートウェイが要求に応答するように、複数の Portal Server を設定できます。ゲートウェイのインストール時に、ゲートウェイの稼動に必要な Portal Server を指定することがあります。この Portal Server は、デフォルトでは「Portal Server」フィールドに表示されます。その他の Portal Server を http://portal-server-name:port number の形式でリストに追加することができます。ゲートウェイは要求を処理するために、リスト内の各 Portal Server に順次アクセスを試みます。


「ユーザーセッション Cookie を転送する URL」属性について


Portal Server は、ユーザーセッションの追跡に Cookie を使用します。ゲートウェイがサーバーに HTTP 要求を送信すると (ユーザーのデスクトップページを生成するためにデスクトップサーブレットが呼び出される場合など)、この Cookie はサーバーに転送されます。サーバー上のアプリケーションはこの Cookie を使用して、ユーザーの検証と特定を行います。


Portal Server の Cookie は、サーバー以外のマシンに送信された HTTP 要求には転送されませんが、それらのマシンの URL が「ユーザーセッション Cookie を転送する URL」リストに指定されている場合は転送されます。したがってこのリストに URL を追加すると、サーブレットと CGI が Portal Server の Cookie を受け取り、API を使用してユーザーを特定することができます。


URL は後続の暗黙的なワイルドカードを使って照合されます。たとえば、リストのデフォルトエントリを次のように指定するとします。


http://server:8080


この場合、http://server:8080 から始まるすべての URL に Cookie が転送されます。


次のように指定するとします。


http://newmachine.eng.siroe.com/subdir


この場合、この文字列から始まるすべての URL に、Cookie が転送されます。


たとえば、「http://newmachine.eng/subdir」で始まるすべての URL には Cookie は転送されません。これはこの文字列が転送リスト内の文字列と完全に一致する文字列から始まっていないためです。このようなマシン名の変形で始まる URL に Cookie を転送するには、転送リストにエントリを追加する必要があります。


同様に、リストに適切なエントリが追加されている場合を除き、「https://newmachine.eng.siroe.com/subdir」から始まる URL には Cookie は転送されません。


「URL からセッションを取得」属性について


「URL からセッションを取得」オプションを有効にすると、Cookie をサポートするかどうかに関係なく、セッション情報が URL の一部として符号化されます。つまりゲートウェイは、クライアントのブラウザから送信されるセッション Cookie の代わりに URL に含まれるセッション情報を使用して検証を行います。



Procedure基本オプションを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「コア」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    Cookie 管理 
    

    		

    Cookie 管理を有効にする場合は「有効」チェックボックスにチェックマークを付けます。 
    

    このオプションは、デフォルトで選択されています。 
    

    		

    


    


    HTTP 基本認証 
    

    		

    「HTTP 基本認証を有効」チェックボックスにチェックマークを付けて、HTTP 基本認証を有効にします。 
    

    		

    


    


    Portal Server 
    

    		

    Portal Server を http://portal-server-name:port-number の形式でフィールドに指定し、「追加」をクリックします。
    

    「Portal Server」リストにさらに Portal Server を追加する場合は、この手順を繰り返します。 
    

    		

    


    


    ユーザーセッション Cookie を転送する URL 
    

    		

    ユーザーセッション Cookie を転送する URL を入力し、「追加」をクリックします。 
    

    「ユーザーセッション Cookie を転送する URL」リストにさらに URL を追加する場合は、この手順を繰り返します。 
    

    		

    


    


    ゲートウェイ最小認証レベル 
    

    		

    認証レベルを入力します。 
    

    デフォルトでは、すべてのレベルの認証を許可するようにアスタリスク (*) が追加されます。 
    

    		

    


    


    URL からセッションを取得 
    

    		

    URL からセッションの情報を取得する場合は「はい」を選択します。 
    

    デフォルトでは、「いいえ」オプションが選択されています。 
    

    		

    

    

    


     

    

     

    

    5. 



配備オプションの設定


プロキシの設定



Procedureプロキシの設定を行うには


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「配備」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		 


    

    


    


    プロキシを使用する 
    

    		

    「プロキシを使用する」チェックボックスにチェックマークを付けて、Web プロキシの使用を有効にします。 
    

    		 


    


    


    Web プロキシ URL 
    

    		

    「Web プロキシを使用する URL」編集ボックスに、適切な URL を http://host name.subdomain.com の形式で入力し、「追加」をクリックします。
    

    「Web プロキシを使用する URL」リストに URL が追加されます。 
    

    		

    「プロキシを使用する」オプションを無効にしている場合でも、ゲートウェイが「ドメインとサブドメインのプロキシ」リストの Web プロキシだけを使用して、特定の URL に接続するように指定できます。これらの URL は、「Web プロキシを使用する URL」フィールドに指定する必要があります。この値がプロキシの使用に与える影響についての詳細は、「Access Manager へアクセスするプロキシの設定」を参照してください。
    

    		

    


    


    ドメインとサブドメインのプロキシ 
    

    		

    エントリが「ドメインとサブドメインのプロキシ」リストボックスに追加されます。 
    

    プロキシ情報は次の形式で入力します。 
    

    

    


    

    domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4
    
    		

    

    

    * は特別に指定する以外のすべてのドメインとサブドメインに対して、* のあとに定義されるプロキシが適用されなければならないことを示します。 
    

    プロキシにポートを指定しない場合、デフォルトのポート 8080 が使用されます。 
    

    		

    さまざまなホストにプロキシ情報を適用する方法については、「Access Manager へアクセスするプロキシの設定」を参照してください。
    

    		

    


    


    プロキシパスワードのリスト 
    

    		

    「プロキシパスワードのリスト」に各プロキシサーバーの情報を入力し、「追加」をクリックします。 
    

    プロキシ情報は次の形式で入力します。 
    

    
proxyserver|username|password

    

    
proxyserver は、「ドメインとサブドメインのプロキシ」リストに定義したプロキシサーバーです。
    

    		

    プロキシサーバーが一部またはすべてのサイトへのアクセスに認証を要求する場合、指定されたプロキシサーバーでゲートウェイが認証されるために必要な、ユーザー名とパスワードを指定する必要があります。 
    

    		

    


    


    自動プロキシ設定サポート 
    

    		

    「自動プロキシ設定サポートを有効」チェックボックスにチェックマークを付けて、PAC サポートを有効にします。 
    

    		

    自動プロキシ設定を有効にするオプションを選択すると、「ドメインとサブドメインのプロキシ」フィールドに指定した情報が無視されます。ゲートウェイは、イントラネット設定にだけプロキシ自動設定 (PAC) ファイルを使用します。PAC ファイルについては、「自動プロキシ設定の使用」を参照してください。
    

    		

    


    


    自動プロキシ設定ファイルの位置 
    

    		

    「場所」フィールドに、PAC ファイルの名前と場所を入力します。 
    

    		 


    

    

    


     

    

     

    

    5. 



リライタプロキシおよびネットレットプロキシの設定



ネットレットプロキシについて



ネットレットプロキシは、ゲートウェイを経由してイントラネット内のネットレットプロキシまでクライアントからのセキュリティー保護されたトンネルを拡張することで、ゲートウェイとイントラネットの間のネットレットトラフィックの安全性を補強します。ネットレットプロキシを有効にすると、ネットレットパケットがネットレットプロキシにより解読され、送信先サーバーに送られます。これにより、ファイアウォール内で開くポート数を減らすことができます。



リライタプロキシについて



リライタプロキシを使用して、ゲートウェイとイントラネットの間の HTTP トラフィックをセキュリティー保護することができます。リライタプロキシを指定しない場合、イントラネット上のマシンにアクセスしようとすると、ゲートウェイコンポーネントによりイントラネットに直接つながります。リライタプロキシは、インストール後に自動的に起動されません。次の手順を実行して、リライタプロキシを有効にする必要があります。



Procedureリライタプロキシとネットレットプロキシを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    
注 – 

    リライタプロキシとゲートウェイが、同じゲートウェイプロファイルを使用していることを確認してください。
    


    


    3. 


  3. 

    「配備」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    リライタプロキシ 
    

    		

    リライタプロキシサービスを有効にする場合は、「リライタプロキシ」チェックボックスにチェックマークを付けます。 
    

    		

    


    


    リライタプロキシのリスト 
    

    		

      

    1. 

      「リライタプロキシのリスト」編集ボックスに、hostname:port という形式でホスト名とポート番号を入力します。
      


      
ヒント – 

      目的のポートが使用可能で未使用であることを確認するには、コマンド行で次のコマンドを実行します。
      


      
netstat -a | grep  port-number | wc -l

      


      
port-number は、目的のポート番号です。
      


      



      2. 

    2. 

      「追加」をクリックします。
      



      3. 

    


    		

    


    


    ネットレットプロキシ 
    

    		

    「ネットレットプロキシを有効」チェックボックスにチェックマークを付けて、ネットレットプロキシサービスを有効にします。 
    

    		

    


    


    ネットレットプロキシホスト 
    

    		

      

    1. 

      「ネットレットプロキシホスト」フィールドに、hostname:port という形式でネットレットプロキシホストの名前とポート番号を入力します。
      


      
ヒント – 

      目的のポートが使用可能で未使用であることを確認するには、コマンド行で次のコマンドを実行します。
      


      
netstat -a | grep  port-number | wc -l

      


      
port-number は、目的のポート番号です。
      


      



      2. 

    2. 

      「追加」をクリックします。
      



      3. 

    


    		

    


    


    Web プロキシ経由のネットレットトンネリング 
    

    		

    「Web プロキシ経由のネットレットトンネリングを有効」チェックボックスにチェックマークを付けて、トンネル化を有効にします。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    サーバーで portal-server-install-root/SUNWportal/bin/certadmin を実行し、リライタプロキシの証明書を作成します。
    


    この手順が必要になるのは、リライタプロキシのインストール時に証明書の作成を選択していない場合です。
    


    6. 


  6. 

    リライタプロキシがインストールされているマシンに root としてログインし、リライタプロキシを起動します。
    


    

    


    

    rewriter-proxy-install-root/SUNWportal/bin/rwproxyd -n gateway-profile-name start
    
    		

    

    

    7. 


  7. 

    ゲートウェイがインストールされているマシンに root としてログインし、ゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    
    		

    

    

    8. 



セキュリティーオプションの設定


PDC および非認証 URL の設定



ProcedurePDC および非認証 URL を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「セキュリティー」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    証明書が有効なゲートウェイホスト 
    

    		

      

    1. 

      「証明書が有効なゲートウェイホスト」リストにゲートウェイ名が追加されます。
      


      
host1.sesta.com の形式でゲートウェイを追加します。
      



      2. 

    2. 

      「追加」をクリックします。
      



      3. 

    


    		

    


    


    非認証 URL 
    

    		

    一部の URL で認証を不要にするように指定できます。通常は、イメージを含むディレクトリが該当します。 
    

    「非認証 URL」フィールドに、folder/subfolder の形式で適切なフォルダパスを入力します。
    

    URL が、/images など完全修飾名ではない場合、ポータル URL として処理されます。 
    

    非ポータル URL を追加するには、URL を完全修飾名にし、「追加」をクリックして、このエントリを「非認証 URL」リストに追加します。 
    

    		

    


    


    信頼できる SSL ドメイン 
    

    		

    「信頼できる SSL ドメイン」フィールドに、ドメイン名を入力して「追加」をクリックします。 
    

    		

    

    

    


     

    

     

    

    5. 



TLS および SSL オプションの設定



ProcedureTLS および SSL オプションを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「セキュリティー」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    40 ビット暗号化 
    

    		

    このオプションは、40 ビットの (弱い) SSL (Secure Sockets Layer) 接続を許可する場合に選択します。このオプションを選択していない場合、128 ビット接続だけがサポートされます。 
    

    このオプションを無効にするときは、ブラウザが必要な接続タイプをサポートするように設定されていることを確認する必要があります。 
    

    
注 – 

    Netscape Navigator 4.7x の場合は、次の処理が必要です。
    



      

    1. 

      「Communicator」メニューの「ツール」の「セキュリティー情報」を選択します。
      



      2. 

    2. 

      左の区画で「Navigator」リンクをクリックします。
      



      3. 

    3. 

      「詳細セキュリティー (SSL) 設定」の「SSL v2 の設定」または「SSL v3 の設定」をクリックします。
      



      4. 

    4. 

      適切な暗号化方式を有効にします。
      



      5. 

    


    


    		

    


    


    Null 暗号化方式 
    

    		

    「Null 暗号化方式を有効」チェックボックスにチェックマークを付けて、Null 暗号化方式を有効にします。 
    

    		

    


    


    SSL 暗号化方式の選択 
    

    		

    Secure Remote Access は、数多くの標準暗号化方式をサポートしています。パッケージ内のすべての暗号化方式をサポートするか、必要な暗号化方式を個別に選択するかを選択することができます。ゲートウェイインスタンスごとに、個別に SSL 暗号化方式を選択できます。選択した暗号化方式のいずれかがクライアントサイトに存在していれば、SSL ハンドシェークは正常に行われます。 
    

    		

    


    


    SSL Version 2.0 
    

    		

    「SSL Version 2.0 を有効」チェックボックスにチェックマークを付けて、Version 2.0 を有効にします。デフォルトでは、このオプションは有効に設定されています。 
    

    SSL version 2.0 を有効または無効にできます。SSL 2.0 を無効にすると、古い SSL 2.0 しかサポートしないブラウザは Secure Remote Access に対して認証ができません。これにより、セキュリティーのレベルが格段に向上します。 
    

    		

    


    


    SSL2 暗号化方式 
    

    		

    「SSL 暗号化方式の選択の有効化」チェックボックスにチェックマークを付けます。 
    

    SSL 暗号化方式のリストから、必要な暗号化方式を選択できます。 
    

    		

    


    


    SSL Version 3.0 
    

    		

    SSL version 3.0 を有効または無効にできます。SSL 3.0 を無効にすると、SSL 3.0 しかサポートしないブラウザは SRA ソフトウェアに対して認証ができません。これにより、セキュリティーのレベルが格段に向上します。 
    

    「SSL Version 3.0 を有効」チェックボックスにチェックマークを付けて、Version 3.0 を有効にします。 
    

    		

    


    


    SSL3 暗号化方式 
    

    		

    「SSL 暗号化方式の選択の有効化」チェックボックスにチェックマークを付けます。 
    

    SSL3 暗号化方式のリストから、必要な暗号化方式を選択できます。 
    

    		

    


    


    TLS 暗号化方式 
    

    		

    「SSL 暗号化方式の選択の有効化」チェックボックスにチェックマークを付けます。 
    

    TLS 暗号化方式のリストから、必要な暗号化方式を選択できます。 
    

    		

    

    

    


     

    

     

    

    5. 



パフォーマンスオプションの設定


タイムアウトおよび再試行の設定



Procedureタイムアウトおよび再試行を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「パフォーマンス」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    サーバーの再試行間隔 (秒) 
    

    		

    Portal Server、リライタプロキシ、またはネットレットプロキシがクラッシュや停止などで使用できなくなった場合に開始の試行を要求する時間間隔を秒単位で指定します。 
    

    		

    


    


    ゲートウェイタイムアウト (秒) 
    

    		

    ゲートウェイとブラウザの接続がタイムアウトになるまでの時間間隔を秒単位で指定します。 
    

    「ゲートウェイタイムアウト」フィールドに、タイムアウトまでの間隔を秒単位で指定します。 
    

    		

    


    


    キャッシュされたソケットのタイムアウト (秒) 
    

    		

    ゲートウェイと Portal Server の接続がタイムアウトになるまでの時間間隔を秒単位で指定します。 
    

    		

    

    

    


     

    

     

    

    5. 



HTTP オプションの設定



ProcedureHTTP オプションを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「パフォーマンス」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    最大スレッドプールサイズ 
    

    		

    適切なスレッド数を指定します。 
    

    ゲートウェイスレッドプールで事前に作成できる最大スレッド数を指定できます。 
    

    		

    


    


    持続 HTTP 接続 
    

    		

    「持続 HTTP 接続を有効」チェックボックスにチェックマークを付けて、持続的な HTTP 接続を有効にします。 
    

    ゲートウェイで HTTP の持続接続を有効にし、Web ページの (イメージやスタイルシートなどの) すべてのオブジェクトにソケットが開かれないように設定することができます。 
    

    		

    


    


    持続接続ごとの最大要求数 
    

    		

    最大要求数を入力します。 
    

    		

    


    


    持続ソケット接続のタイムアウト (秒) 
    

    		

    適切なタイムアウトを秒単位で入力します。 
    

    		

    


    


    回復時間に必要な正常なタイムアウト (秒) 
    

    		

    必要な猶予時間を秒単位で入力します。 
    

    これはクライアント (ブラウザ) とゲートウェイの間でのネットワークトラフィックの往復時間です。 
    


      

    • 

      ブラウザが要求を送信してから要求がゲートウェイに到達するまでにかかる時間
      



      • 

    • 

      ゲートウェイが応答を送信してからブラウザがその応答を実際に受信するまでの時間
      



      • 

    


    これは、ネットワーク状態やクライアントの接続速度などの要因によって決まります。 
    

    		

    


    


    最大接続キュー 
    

    		

    ゲートウェイが受け付ける最大同時接続数を指定します。 
    

    適切な接続数を指定します。 
    

    		

    

    

    


     

    

     

    

    5. 



Secure Remote Access のパフォーマンスの監視


管理者は Secure Remote Access の各種コンポーネントにアクセスしてパフォーマンスを監視できます。



ProcedureSecure Remote Access のパフォーマンスを監視する


    


  1. 

    Portal Server 管理コンソールにログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、サブメニューの「監視」をクリックします。
    


    3. 


  3. 

    「監視」ページで、ドロップダウンメニューからプロキシインスタンスを選択します。
    


    4. 


  4. 

    「MBeans」テーブル内で、パフォーマンス値を表示する属性を選択します。
    


    5. 



リライタオプションの設定


基本オプションの設定



Procedure基本オプションを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    すべての URI のリライト 
    

    		

    「すべての URI の書き換えを有効」チェックボックスにチェックマークを付け、ゲートウェイによるすべての URL の書き換えを有効にします。 
    

    ゲートウェイサービスで「すべての URI の書き換えを有効」オプションを有効にすると、「ドメインとサブドメインのプロキシ」リストのエントリをチェックせずに、リライタはすべての URL を書き換えます。「ドメインとサブドメインのプロキシ」リストのエントリは無視されます。 
    

    		

    


    


    書き換えない URI 
    

    		

    編集ボックスで URI を追加します。 
    

    
注 – 

    このリストに #* を追加すると、href ルールがルールセットの一部であっても、URI を書き換えできるようにできます。
    


    


    		

    

    

    


     

    

     

    

    5. 



「URI をルールセットにマップ」の設定


ルールセットは、Portal Server 管理コンソールの「Portal Server 設定」の下のリライタサービスに作成されます。詳細については、『Portal Server 管理ガイド』を参照してください。


ルールセットを作成したら、「URI をルールセットにマップ」フィールドを使用してドメインとルールセットを関連付けます。デフォルトでは、「URI をルールセットにマップ」リストに次の 2 つのエントリが追加されます。



デフォルトドメインのすべてのページに対して、デフォルトゲートウェイのルールセットが適用されます。ほかのすべてのページには、汎用ルールセットが適用されます。デフォルトのゲートウェイルールセットと汎用ルールセットはパッケージ内のルールセットです。


注 – 
デスクトップに表示されるすべてのコンテンツについて、コンテンツが取得される場所にかかわらず、デフォルトドメインのルールセットが使用されます。


たとえば、URL yahoo.com のコンテンツを集めるようにデスクトップを設定すると仮定します。Portal Server は sesta.com 内にあります。取得されたコンテンツに sesta.com のルールセットが適用されます。




注 – 
ルールセットを指定するドメインは、「ドメインとサブドメインのプロキシ」リストに含まれている必要があります。





Procedure「URI をルールセットにマップ」を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    URI 
    

    		

    「URI をルールセットにマップ」フィールドに適切なドメイン名またはホスト名とルールセットを入力し、「追加」をクリックします。 
    

    「URI をルールセットにマップ」リストにエントリが追加されます。 
    

    ドメインまたはホスト名とルールセットは次の形式で指定します。 
    

    

    


    

    ドメイン名|ルールセット名
    
    		

    

    

    次に例を示します。 
    

    

    


    

    eng.sesta.com|default
    
    		

    

    

    
注 – 

    ルールセットを適用する優先順位は、ホスト名 - サブドメイン - ドメインです。
    


    ドメインベースのルールセットリストのエントリ例を次に示します。
    


    

    


    

    sesta.com|ruleset1
eng.sesta.com|ruleset2
host1.eng.sesta.com|ruleset3
    
    		

    

    


      

    • 

      
ruleset3host1 のすべてのページに適用されます。
      



      • 

    • 

      
ruleset2 は、host1 から取得されたページを除く eng サブドメインのすべてのページに適用されます。
      



      • 

    • 

      
ruleset1 は、eng サブドメインおよび host1 から取得されたページを除く、sesta.com ドメインのすべてのページに適用されます。
      



      • 

    


    


    		

    

    

    


     

    

     

    

    5. 



「パーサーを MIME タイプにマップ」の設定


リライタでは、コンテンツタイプ、つまり HTML、JavaScript、CSS、XML に基づいて Web ページを解析するために、4 つのパーサーが使用されます。デフォルトでは、これらのパーサーには一般的な MIME タイプが関連付けられています。新しい MIME タイプとこれらのパーサーの関連付けは、ゲートウェイサービスの「パーサーを MIME タイプにマップ」フィールドで行います。これにより、リライタ機能をほかの MIME タイプに拡張できます。


複数のエントリは、セミコロン (;) またはコンマ (,) で区切ります。


次に例を示します。


HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml


これは、これらの MIME が HTML リライタに送られ、URL の書き換えに HTML ルールを適用することを指定しています。


ヒント – 
MIME マッピングリストから不要なパーサーを削除すると、処理速度が向上します。たとえば、特定のイントラネットのコンテンツに JavaScript が含まれないことが確実な場合は、MIME マッピングリストから JavaScript エントリを削除できます。





Procedure「パーサーを MIME タイプにマップ」を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    パーサー 
    

    		

      

    1. 

      「パーサーを MIME タイプにマップ」フィールドで、編集ボックスに必要な MIME タイプを追加します。複数のエントリを区切るときは、セミコロンまたはコンマを使用します。
      


      エントリは HTML=text/html;text/htm の形式で指定します。
      



      2. 

    2. 

      「追加」をクリックし、必要なエントリをリストに追加します。
      



      3. 

    


    		

    

    

    


     

    

     

    

    5. 



PDC (Personal Digital Certificate) 認証の設定


PDC は認証局 (CA) が発行し、CA の非公開錠で署名されます。CA は証明書を発行する前に要求本文の ID を検証します。この場合 PDC が存在すると、強力な認証メカニズムとして機能します。


PDC には所有者の公開鍵、所有者名、有効期限、デジタル証明書を発行した認証局の名前、シリアル番号、その他の情報が収められています。


Portal Server での認証には、PDC とスマートカードや Java カードなどの符号化されたデバイスを使用できます。符号化されたデバイスは、カードに保存された PDC と電子的に同等のものを搬送します。ユーザーがこれらのメカニズムのいずれかを使用してログインすると、ログイン画面も認証画面も表示されません。


    

    PDC 認証プロセスには、いくつかの手順が伴います。
    


  1. 

    ブラウザから、https://my.sesta.com のような接続要求を入力します。
    


    この要求への応答は、my.sesta.com までのゲートウェイが証明書を受け付けるように設定されているかどうかによって異なります。
    


    
注 – 

    ゲートウェイが証明書を受け付けるように設定されている場合、ゲートウェイは証明書付きのログインだけを受け付け、その他のログインを拒否します。
    


    


    ゲートウェイは、証明書が既知の認証局から発行されたものであるか、有効期限内であるか、変更されていないかどうかをチェックします。証明書が有効であれば、ユーザーが認証プロセスの次の手順に進むことを許可します。
    



    2. 

  2. 

    ゲートウェイはサーバー内の PDC 認証モジュールに証明書を渡します。
    



    3. 




ProcedurePDC と符号化されたデバイスを設定する


    


  1. 

    Portal Server マシンで、/etc/opt/SUNWam/config/AMConfig.properties ファイルに次の行を追加します。com.iplanet.authentication.modules.cert.gwAuthEnable=yes
    


    2. 


  2. 

    PDC を有効にするゲートウェイの認証データベースに、適切な証明書をインポートします。証明書の設定については、「ゲートウェイマシンでルート CA 証明書をインポートする」を参照してください。
    


    3. 


  3. 

    Access Manager 管理コンソールに管理者としてログインし、次の操作を行います。
    


      


    1. 

      「アイデンティティー管理」タブを選択し、「組織」を選択します。
      


      2. 


    2. 

      「表示」ドロップダウンメニューから該当の組織に使用するサービスを選択します。
      


      3. 


    3. 

      「追加」をクリックして証明書を登録します。
      


      4. 


    

    4. 


  4. 

    Access Manager 管理コンソールで、次の操作を行います。
    


      


    1. 

      適切な組織を選択し、「証明書」の隣の矢印をクリックします。
      


      2. 


    2. 

      「信頼できるリモートホスト」リストボックスで、何も強調表示せずに「削除」をクリックします。
      


      3. 


    3. 

      テキストボックスに何らかの文字列を入力し、「追加」をクリックします。
      


      4. 


    4. 

      「保存」をクリックします。
      


      5. 


    

    5. 


  5. 

    Access Manager 管理コンソールで、次の操作を行います。
    


      


    1. 

      適切な組織を選択し、「表示」ドロップダウンメニューから「サービス」を選択します。
      


      サービスのリストが表示されます。
      


      2. 


    2. 

      「認証設定」コアサービスの隣の矢印をクリックし、「新規」をクリックします。
      


      「新規サービスインスタンス」ページが表示されます。
      


      3. 


    3. 

      サービスインスタンス名に「gatewaypdc」と入力します。
      


      4. 


    4. 

      「送信」をクリックします。
      


      「gatewaypdc」がサービスインスタンスに表示されます。
      


      5. 


    5. 

      「gatewaypdc」をクリックし、サービスを編集します。
      


      「gatewaypdc プロパティーを表示」ページが表示されます。
      


      6. 


    6. 

      「認証設定」の隣の「編集」リンクをクリックし、「追加」をクリックします。
      


      「モジュールの追加」ページが表示されます。
      


      7. 


    7. 

      「モジュール名」フィールドの「証明書」と、「適用基準」の「必須」を選択し、「了解」をクリックします。
      


      8. 


    8. 

      「了解」をクリックして終了します。
      


      9. 


    

    6. 


  6. 

    Access Manager 管理コンソールで、次の操作を行います。
    


      


    1. 

      「コア」の隣の矢印をクリックします。
      


      2. 


    2. 

      「組織認証モジュール」リストボックスで、「gatewaypdc」を選択します。
      


      3. 


    3. 

      「ユーザープロファイル」ドロップダウンメニューから「ダイナミック」を選択します。
      


      4. 


    4. 

      「保存」をクリックして終了します。
      


      5. 


    

    7. 


  7. 

    Portal Server 管理コンソールに管理者としてログインし、次の操作を行います。
    


      


    1. 

      「Secure Remote Access」タブを選択し、適切なゲートウェイプロファイルを選択します。
      


      2. 


    2. 

      「セキュリティー」タブを選択します。
      


      3. 


    3. 

      「証明書が有効なゲートウェイホスト」リストボックスで、ゲートウェイ名を追加します。
      


      4. 


    4. 

      「保存」をクリックします。
      


      5. 


    

    8. 


  8. 

    端末ウィンドウからゲートウェイプロファイルを再起動します。
    


    
 ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

    


    9. 


  9. 

    PDC を有効にしたゲートウェイへのアクセス権を必要とするブラウザに対して、CA から発行されたクライアント証明書をインストールします。
    


    10. 


  10. 

    JVM キーストアに、クライアント証明書をインストールします。Windows マシンから「スタート」 > 「設定」 > 「コントロール パネル」 > 「Java」の順にクリックして、JVM コントロールパネルにアクセスできます。
    



    アプレットランタイムパラメータに、次のパラメータを追加します。
    


      

    • 

      
Djavax.net.ssl.keyStore=Path to Keystore

      



      • 

    • 

      
Djavax.net.ssl.keyStorePassword=password

      



      • 

    • 

      
Djavax.net.ssl.keyStoreType=type

      



      • 

    


    11. 


  11. 

    次のゲートウェイプロファイルと組織にアクセスします。
    


    https://gateway:instance-port/YourOrganization
    


    ユーザー名とパスワードを要求するプロンプトが表示されずに、証明書の名前を使用してログインできます。
    


    12. 




Procedureゲートウェイマシンでルート CA 証明書をインポートする


    


  1. 

    ゲートウェイマシンでルート CA 証明書をインポートします。
    


      


    1. 

      
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      


      Certadmin メニューが表示されます。
      


      2. 


    2. 

      オプション 3 を選択し、証明書のパスを入力します。
      


      3. 


    

    詳細については、第 10 章「証明書の操作」を参照してください。
    


    2. 


  2. 

    CA に送信する証明書署名要求を生成します。
    


      


    1. 

      
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      


      Certadmin メニューが表示されます。
      


      2. 


    2. 

      オプション 2 を選択し、適切な情報を入力します。
      


      3. 


    3. 

      ファイルを保存します。
      


      4. 


    

    3. 


  3. 

    証明書署名要求を CA に送信し、承認を受けます。CA の署名後に証明書応答を保存します。
    


    4. 


  4. 

    CA による承認が得られたら、サーバー証明書をインポートします。
    


      


    1. 

      
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      


      Certadmin メニューが表示されます。
      


      2. 


    2. 

      オプション 4 を選択します。
      


      3. 


    3. 

      サーバー証明書が格納されているファイルの場所を指定します。
      


      4. 


    

    5. 


  5. 

    Portal Server マシンでルート CA 証明書をインポートします。
    


    6. 



コマンド行オプションによるゲートウェイ属性の設定


ここでは、端末ウィンドウからゲートウェイ属性を設定するためのコマンド行オプションについて説明します。次の操作について説明します。




Procedure外部サーバー Cookie の格納を管理する


「外部サーバーの Cookie を格納」オプションを有効にすると、ゲートウェイはサードパーティー製アプリケーション、またはゲートウェイ経由でアクセスするサーバーからの Cookie を格納、管理します。アプリケーションまたはサーバーが Cookie を使用しないデバイスにサービスを提供できない場合、あるいは、Cookie がないと状態管理ができないという場合でも、ゲートウェイはアプリケーションまたはサーバーに認識されることなく Cookie を使用しないデバイスにサービスを提供します。


Cookie を使用しないデバイスとクライアント検出については、『Access Manager Customization and API Guide』を参照してください。



    

    外部サーバー Cookie の格納を管理するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      有効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement true

      


      • 


    • 

      無効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement false

      


      • 


    • 

      属性値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a CookieManagement

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureセキュリティー保護された Cookie としてのマーク付けを有効にする


セキュリティー保護された Cookie としてマーク付けしておけば、ブラウザはセキュリティーを補強した Cookie として処理します。セキュリティーの実装には、ブラウザを使用します。このためには、「Cookie 管理を有効」属性を有効化しておく必要があります。



    

    セキュリティー保護された Cookie としてマーク付けをするには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      有効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure true

      


      • 


    • 

      無効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure false

      


      • 


    • 

      属性値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureプロキシを使用しない URL のリストを作成する


「Web プロキシを使用しない URL」リストに指定されている URL に対しては、ゲートウェイは直接接続を試みます。これらの URL への接続には Web プロキシは使用されません。



    

    プロキシを使用しない URL を管理するには、次のコマンドを入力して Enter キーを押します。
    


    
注 – 

    複数の URL がある場合は、各 URL をスペースで区切ります。
    


    



      


    • 

      使用しない URL を指定するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"

      


      • 


    • 

      既存のリストに URL を追加するには、次のコマンドを使用します。
      


      
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME  -a DontUseWebProxyURL -A "LIST_OF_URLS"

      


      • 


    • 

      既存のリストから URL を削除するには、次のコマンドを使用します。
      


      
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME  -a DontUseWebProxyURL -E "LIST_OF_URLS"

      


      • 


    • 

      既存の URL リストを取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureルールセットと URI のマッピングを管理する


Secure Remote Access では、OWA (Outlook Web Access) から Microsoft Exchange 2000 SP3 インストールおよび MS Exchange 2003 にアクセスする機能がサポートされます。



    

    既存のリストに URI を追加するには、次のコマンドを使用します。
    


    
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "URI|RULE_SET_NAME  URI|RULE_SET_NAME"

    


    既存のリストから URI を削除するには、次のコマンドを使用します。
    


    
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "URI|RULE_SET_NAME  URI|RULE_SET_NAME"

    


    既存のリストを取得するには、次のコマンドを使用します。
    


    
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets

    


    Outlook Web Access のルールセットを管理するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      ルールセットを追加するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "EXCHANGE2000_SERVER_NAME  exchange_2000sp3_owa_ruleset"

      


      • 


    • 

      ルールセットを削除するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile default -a DomainsAndRulesets -E "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset" 

      


      • 


    • 

      URI とルールセットのマッピングリストを設定するには、次のコマンドを使用します。
      


      
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME  -a DomainsAndRulesets "URI| RULE_SET_NAME URI|RULE_SET_NAME "

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureデフォルトドメインを指定する


デフォルトのドメインは、URL にホスト名だけが含まれ、ドメインとサブドメインが指定されていない場合に便利です。この場合、ゲートウェイはホスト名がデフォルトのドメインリストにあるものと仮定し、そのように処理を進めます。


たとえば、URL のホスト名が host1、デフォルトのドメインとサブドメインが red.sesta.com のように指定されている場合、ホスト名は host1.red.sesta.com として解決されます。



    

    デフォルトドメインを指定するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      デフォルトドメインを設定するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains "DOMAIN_NAME"

      


      • 


    • 

      デフォルトドメインを取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




ProcedureMIME 推測を管理する


リライタは、パーサーの選択にページの MIME タイプを使用します。WebLogic や Oracle などの一部の Web サーバーは MIME タイプを送信しません。これに対応するには、「パーサーと URI のマッピング」リストボックスにデータを追加して、MIME 推測機能を有効にします。



    

    MIME 推測を管理するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      MIME 推測を有効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing true

      


      • 


    • 

      MIME 推測を無効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing false

      


      • 


    • 

      値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedure解析する URI マッピングのリストを作成する


MIME 推測機能が有効で、サーバーが MIME タイプを送信しない場合は、このリストを使用してパーサーと URI がマッピングされます。


複数の URI はセミコロンで区切られます。


たとえば、HTML=*.html; *.htm;*Servlet のように指定します。この例の設定では、HTML リライタは拡張子が html、htm、Servlet のすべてのページのコンテンツを書き換えます。



    

    解析する URI マッピングのリストを作成するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      解析する URI マッピングのリストを設定するには、次のコマンドを使用します。
      


      
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME  -a MIMEMap

      


      • 


    • 

      既存のリストに追加するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -A LIST

      


      • 


    • 

      既存のリストから削除するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -E LIST

      


      • 


    • 

      既存のリストを取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME-a MIMEMap

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」




Procedureマスキングを管理する


マスキングを有効にすることで、リライタはページのイントラネット URL が判読されないように URI を書き換えます。



    

    マスキングを管理するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      マスキングを有効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation true

      


      • 


    • 

      マスキングを無効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation false

      


      • 


    • 

      値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureマスキングのためのシード文字列を指定する


URI のマスキングには、シード文字列が使用されます。マスキングアルゴリズムにより文字列が生成されます。


注 – 
マスクされた URI をブックマークしても、このシード文字列が変更されたり、ゲートウェイが再起動された場合は機能しなくなります。





    

    マスキングのシード文字列を指定するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      マスキングのシード文字列を設定するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey SECRET_KEY

      


      • 


    • 

      値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey 

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureマスクしない URI のリストを作成する


アプレットなどの一部のアプリケーションはインターネット URI を必要とし、マスクすることができません。これらのアプリケーションを指定するには、リストボックスに URI を追加します。


たとえば、リストボックスに */Applet/Param* を追加すると、この URL は、コンテンツの URI http://abc.com/Applet/Param1.html  がルールセット内のルールと一致する場合はマスクされません。


注 – 
複数の URI がある場合は、各 URI をスペースで区切ります。





    

    マスクしない URI のリストを作成するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      マスクしない URI のリストを作成するには、次のコマンドを使用します。
      


      
 PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f  PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME  -a NotToObscureURIList LIST_OF_URI

      


      • 


    • 

      既存のリストに追加するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -A LIST_OF_URI

      


      • 


    • 

      既存のリストから削除するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -E LIST_OF_URI

      


      • 


    • 

      既存の値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE  -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」




Procedureゲートウェイプロトコルと元の URI プロトコルを同一化する


ゲートウェイが HTTP と HTTPS の両方のモードで稼動する場合、HTML コンテンツ内で参照されるリソースへのアクセスに同じプロトコルを使用するようにリライタを設定できます。


たとえば、元の URL が http://intranet.com/Public.html であれば、HTTP ゲートウェイが追加されます。元の URL が https://intranet.com/Public.html であれば、HTTPS ゲートウェイが追加されます。


注 – 
これは、スタティックな URI だけに適用され、JavaScript によって生成されるダイナミック URI には適用されません。





    

    ゲートウェイプロトコルと元の URI プロトコルを同一化するには、次のコマンドを入力して Enter キーを押します。
    



      


    • 

      有効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway true

      


      • 


    • 

      無効にするには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway false

      


      • 


    • 

      値を取得するには、次のコマンドを使用します。
      


      
PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway 

      


      • 

    




関連項目

『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」および『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin get-attribute」



第 9 章 ゲートウェイサービスのリライタの設定


この章で説明する内容は、次のとおりです。



リライタルールの詳細については、「言語ベースのルールの定義」を参照してください。


リライタに関する問題の詳細については、「デバッグログを使用したトラブルシューティング」を参照してください。


リライタの例については、「サンプルの操作」を参照してください。



URI とルールセットのマッピングリストの作成


ルールセットを作成したら、「URI をルールセットにマップ」フィールドを使用してドメインとルールセットを関連付けます。デフォルトでは、「URI をルールセットにマップ」リストに次の 2 つのエントリが追加されます。



これは、ドメインが sun.com のポータルディレクトリのすべてのページに default_gateway_ruleset を適用することを指定しています。ほかのすべてのページには、汎用ルールセットが適用されます。default_gateway_rulesetgeneric_ruleset はパッケージ内のルールセットです。


注 – 
標準のポータルデスクトップに表示されるすべてのコンテンツには、それがどこから取得されたかに関係なく default_gateway_ruleset のルールセットが適用されます。



たとえば、URL が yahoo.com のコンテンツを集めるように標準のポータルデスクトップを設定すると仮定します。Portal Server は sesta.com 内にあります。取得されたコンテンツに sesta.com のルールセットが適用されます。




注 – 
ルールセットを指定するドメインは、「ドメインとサブドメインのプロキシ」リストに含まれている必要があります。




構文内でのワイルドカードの使用


ルールセット内でアスタリスクを使用して、完全修飾 URI または部分 URI をマッピングできます。


たとえば、次のように指定することで、index.html ページに java_index_page_ruleset を適用できます。



www.sun.com/java/index.html/java_index_page_ruleset



または、次のように指定することで、java ディレクトリのすべてのページを java_directory_ruleset に適用できます。



www.sun.com/java/* /java_directory_ruleset



ゲートウェイサービスのリライタの設定


「リライタ」タブでゲートウェイサービスを使用することで、次の基本タスクと高度なタスクを実行できます。


基本タスク




Procedureゲートウェイによるすべての URL の書き換えを有効にする


ゲートウェイサービスで「すべての URI の書き換えを有効」オプションを有効にすると、「ドメインとサブドメインのプロキシ」リストのエントリをチェックせずに、リライタはすべての URL を書き換えます。「ドメインとサブドメインのプロキシ」リストのエントリは無視されます。



    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するゲートウェイプロファイルを選択します。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    「基本オプション」の「すべての URI の書き換えを有効」チェックボックスにチェックマークを付け、ゲートウェイによるすべての URL の書き換えを有効にします。
    


    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 


  6. 

    端末ウィンドウからゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

    
    		

    

    

    7. 




Procedure書き換えない URI を指定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を設定するゲートウェイプロファイルを選択します。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    「基本オプション」の「追加」テキストフィールドに URI を入力し、「追加」をクリックします。
    


    「リライトしない URI」ボックスに URI 値が表示されます。
    


    
注 – 

    このリストに #* を追加すると、href ルールがルールセットの一部であっても、URI を書き換えできるようにできます。
    


    


    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 


  6. 

    端末ウィンドウからゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

    
    		

    

    

    7. 




ProcedureURI をルールセットにマッピングする


    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を設定するゲートウェイプロファイルを選択します。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    「リライタオプション」の「URI をルールセットにマップ」をクリックし、「行を追加」をクリックします。
    


    5. 


  5. 

    「URI」フィールドに、適切なドメインまたはホスト名を入力し、「ルールセット」フィールドに、そのドメインに適したルールセットを入力します。
    


    「URI をルールセットにマップ」リストにエントリが追加されます。ドメインまたはホスト名とルールセットは次の形式で指定します。
    


    

    


    

    ドメイン名|ルールセット名
    
    		

    

    

    次に例を示します。
    


    

    


    

    eng.sesta.com|default
    
    		

    

    

    6. 


  6. 

    「保存」をクリックして終了します。
    


    7. 


  7. 

    端末ウィンドウからゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

    
    		

    

    

    8. 




ProcedureMIME のマッピングを指定する


リライタには、コンテンツタイプ (HTML、JAVASCRIPT、CSS、および XML) に基づいて Web ページを解析するための 4 種類のパーサーがあります。デフォルトでは、これらのパーサーには一般的な MIME タイプが関連付けられています。新しい MIME タイプとこれらのパーサーの関連付けは、ゲートウェイサービスの「パーサーを MIME タイプにマップ」フィールドで行います。これにより、リライタ機能をほかの MIME タイプに拡張できます。


複数のエントリは、セミコロン (;) またはコンマ (,) で区切ります。次に例を示します。



HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml 



これは、これらの MIME が HTML リライタに送られ、URL の書き換えに HTML ルールを適用することを指定しています。


ヒント – 
MIME マッピングリストから不要なパーサーを削除すると、処理速度が向上します。たとえば、特定のイントラネットのコンテンツに JavaScript が含まれないことが確実な場合は、MIME マッピングリストから JavaScript エントリを削除できます。





    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を設定するゲートウェイプロファイルを選択します。
    


    3. 


  3. 

    「リライタ」タブを選択します。
    


    4. 


  4. 

    「リライタオプション」の「パーサーを MIME タイプにマップ」をクリックします。
    


    エントリは HTML=text/html;text/htm の形式で指定します。
    


    5. 


  5. 

    「行を追加」をクリックして、リストにエントリを追加します。「MIME タイプ」フィールドに、パーサー値およびマップ先の対応する MIME 値を入力します。
    


    6. 


  6. 

    「保存」をクリックして終了します。
    


    7. 


  7. 

    端末ウィンドウからゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

    
    		

    

    

    8. 




Procedureデフォルトドメインを指定する


デフォルトのドメインとサブドメインは、URL にホスト名だけが含まれ、ドメインとサブドメインが指定されていない場合に便利です。この場合、ゲートウェイはホスト名がデフォルトのドメインとサブドメイン内にあると仮定し、そのように処理を進めます。


たとえば、URL のホスト名が host1、デフォルトのドメインとサブドメインが red.sesta.com のように指定されている場合、ホスト名は host1.red.sesta.com として解決されます。



    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を設定するゲートウェイプロファイルを選択します。
    


    3. 


  3. 

    「配備」タブを選択します。
    


    4. 


  4. 

    「ドメインとサブドメインのプロキシ」フィールドに、必須ドメイン名をプロキシなしで入力します。
    


    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 


  6. 

    端末ウィンドウからゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

    
    		

    

    

    7. 



第 10 章 証明書の操作


この章では、証明書の管理、および自己署名証明書または認証局からの証明書をインストールする方法について説明します。


この章の内容は、次のとおりです。




SSL 証明書の概要


Sun Java System Portal Server Secure Remote Access ソフトウェアは、証明書ベースのリモートユーザー認証を提供します。SRA では、通信の安全を確保するために SSL (Secure Sockets Layer) を使用します。SSL プロトコルを使用することで、2 つのマシン間の通信がセキュリティー保護されます。


SSL 証明書は、公開鍵と秘密鍵のペアを使用した暗号化と複合化の機能を提供します。


証明書には、次の 2 種類があります。



ゲートウェイのインストール時に、デフォルトでは自己署名証明書が生成およびインストールされます。


証明書は、インストール後にいつでも生成、取得、または交換することができます。


SRA は PDC (Personal Digital Certificates) によるクライアント認証をサポートします。PDC は SSL クライアント認証を通じてユーザーを認証するメカニズムです。SSL クライアント認証を使用して、SSL ハンドシェークがゲートウェイで終了します。ゲートウェイはユーザーの PDC を抽出し、認証されたサーバーにこれを渡します。このサーバーは、この PDC を使用してユーザーを認証します。認証連鎖における PDC の設定については、「認証連鎖の使用」を参照してください。


SRA には、SSL 証明書を管理するための certadmin というツールが用意されています。「certadmin スクリプト」を参照してください。


注 – 
「証明書」ポップアップウィンドウは、SSL アプリケーションに共通のものです。警告を受け入れて処理を進めるように、ユーザーに通知してください。




証明書ファイル


証明書関連のファイルは /etc/opt/SUNWportal/cert/gateway-profile-name 内にあります。このディレクトリには、デフォルトで 5 つのファイルが格納されています。



「証明書ファイル」は、これらのファイルの説明を示しています。

表 10–1  証明書ファイル









ファイル名 




タイプ 




説明 













cert8.dbkey3.dbsecmod.db





バイナリ 




証明書、キー、および暗号化モジュールのデータが含まれます。 



certadmin スクリプトを使用して操作できます。


必要に応じて、Portal Server ホストとゲートウェイコンポーネントまたはゲートウェイの間でこれらのファイルを共有できます。 











.jsspass





非表示テキストファイル 




SRA 鍵データベースの暗号化されたパスワードを格納します。 











.nickname





非表示テキストファイル 




ゲートウェイが使用する必要のあるトークン名と証明書名を token-name:certificate-name の形式で格納します。


デフォルトのトークン (デフォルトの内部ソフトウェア暗号化モジュールのトークン) を使用している場合は、トークン名は省略されます。ほとんどの場合、.nickname ファイルには証明書名だけが格納されます。


管理者はこのファイルの証明書名を変更できます。ゲートウェイでは、指定した証明書が使用されます。 










 

証明書の信頼属性


証明書の信頼属性が示す情報は、次のとおりです。



各証明書には 3 つの利用可能な信頼カテゴリがあり、SSL、電子メール、オブジェクト署名の順に表されています。ゲートウェイコンポーネントの場合、最初のカテゴリだけが使用されます。各カテゴリの位置に、信頼属性コードが設定されます (カテゴリにコードが設定されない場合もある)。


カテゴリの属性コードはコンマ (,) で区切られ、属性のセット全体は引用符 (") で囲まれます。たとえば、ゲートウェイのインストール時に生成、インストールされた自己署名証明書には、"u,u,u" が設定されます。これは、証明書がルート CA 証明書ではなくサーバー証明書 (ユーザー証明書) であることを示します。



「証明書の信頼属性」は、属性値のリストとそれぞれの意味を示しています。

表 10–2  証明書の信頼属性









属性 




説明 
















有効なピア 














認証されたピア (p のサブセット) 














有効な CA 














クライアント証明書の発行が認証された CA (c のサブセット) 














サーバー証明書の発行が認証された CA (c のサブセット) (SSL のみ) 














認証または署名に証明書を使用できます。 














警告を送信 (ほかの属性とともに使用され、そのコンテキストでの証明書の使用について警告を追加する) 










 

CA の信頼属性


公開されている既知の CA のほとんどは、すでに認証データベースに含まれています。公開 CA の信頼属性の変更については、「証明書の信頼属性の変更」を参照してください。



「CA の信頼属性」は、代表的な認証局とその信頼属性を示しています。

表 10–3  公開されている認証局









認証局名 




信頼属性 










Verisign/RSA Secure Server CA 




CPp,CPp,CPp 










VeriSign Class 4 Primary CA 




CPp,CPp,CPp 










GTE CyberTrust Root CA 




CPp,CPp,CPp 










GTE CyberTrust Global Root 




CPp,CPp,CPp 










GTE CyberTrust Root 5 




CPp,CPp,CPp 










GTE CyberTrust Japan Root CA 




CPp,CPp,CPp 










GTE CyberTrust Japan Secure Server CA 




CPp,CPp,CPp 










Thawte Personal Basic CA 




CPp,CPp,CPp 










Thawte Personal Premium CA 




CPp,CPp,CPp 










Thawte Personal Freemail CA 




CPp,CPp,CPp 










Thawte Server CA 




CPp,CPp,CPp 










Thawte Premium Server CA 




CPp,CPp,CPp 










American Express CA 




CPp,CPp,CPp 










American Express Global CA 




CPp,CPp,CPp 










Equifax Premium CA 




CPp,CPp,CPp 










Equifax Secure CA 




CPp,CPp,CPp 










BelSign Object Publishing CA 




CPp,CPp,CPp 










BelSign Secure Server CA 




CPp,CPp,CPp 










TC TrustCenter, Germany, Class 0 CA 




CPp,CPp,CPp 










TC TrustCenter, Germany, Class 1 CA 




CPp,CPp,CPp 










TC TrustCenter, Germany, Class 2 CA 




CPp,CPp,CPp 










TC TrustCenter, Germany, Class 3 CA 




CPp,CPp,CPp 










TC TrustCenter, Germany, Class 4 CA 




CPp,CPp,CPp 










ABAecom (sub., Am. Bankers Assn.) Root CA 




CPp,CPp,CPp 










Digital Signature Trust Co. Global CA 1 




CPp,CPp,CPp 










Digital Signature Trust Co. Global CA 3 




CPp,CPp,CPp 










Digital Signature Trust Co. Global CA 2 




CPp,CPp,CPp 










Digital Signature Trust Co. Global CA 4 




CPp,CPp,CPp 










Deutsche Telekom AG Root CA 




CPp,CPp,CPp 










Verisign Class 1 Public Primary Certification Authority 




CPp,CPp,CPp 










Verisign Class 2 Public Primary Certification Authority 




CPp,CPp,CPp 










Verisign Class 3 Public Primary Certification Authority 




CPp,CPp,CPp 










Verisign Class 1 Public Primary Certification Authority - G2 




CPp,CPp,CPp 










Verisign Class 2 Public Primary Certification Authority - G2 




CPp,CPp,CPp 










Verisign Class 3 Public Primary Certification Authority - G2 




CPp,CPp,CPp 










Verisign Class 4 Public Primary Certification Authority - G2 




CPp,CPp,CPp 










GlobalSign Root CA 




CPp,CPp,CPp 










GlobalSign Partners CA 




CPp,CPp,CPp 










GlobalSign Primary Class 1 CA 




CPp,CPp,CPp 










GlobalSign Primary Class 2 CA 




CPp,CPp,CPp 










GlobalSign Primary Class 3 CA 




CPp,CPp,CPp 










ValiCert Class 1 VA 




CPp,CPp,CPp 










ValiCert Class 2 VA 




CPp,CPp,CPp 










ValiCert Class 3 VA 




CPp,CPp,CPp 










Thawte Universal CA Root 




CPp,CPp,CPp 










Verisign Class 1 Public Primary Certification Authority - G3 




CPp,CPp,CPp 










Verisign Class 2 Public Primary Certification Authority - G3 




CPp,CPp,CPp 










Verisign Class 3 Public Primary Certification Authority - G3 




CPp,CPp,CPp 










Verisign Class 4 Public Primary Certification Authority - G3 




CPp,CPp,CPp 










Entrust.net Secure Server CA 




CPp,CPp,CPp 










Entrust.net Secure Personal CA 




CPp,CPp,CPp 










Entrust.net Premium 2048 Secure Server CA 




CPp,CPp,CPp 










ValiCert OCSP Responder 




CPp,CPp,CPp 










Baltimore CyberTrust Code Signing Root 




CPp,CPp,CPp 










Baltimore CyberTrust Root 




CPp,CPp,CPp 










Baltimore CyberTrust Mobile Commerce Root 




CPp,CPp,CPp 










Equifax Secure Global eBusiness CA 




CPp,CPp,CPp 










Equifax Secure eBusiness CA 1 




CPp,CPp,CPp 










Equifax Secure eBusiness CA 2 




CPp,CPp,CPp 










Visa International Global Root 1 




CPp,CPp,CPp 










Visa International Global Root 2 




CPp,CPp,CPp 










Visa International Global Root 3 




CPp,CPp,CPp 










Visa International Global Root 4 




CPp,CPp,CPp 










Visa International Global Root 5 




CPp,CPp,CPp 










beTRUSTed Root CA 




CPp,CPp,CPp 










Xcert Root CA 




CPp,CPp,CPp 










Xcert Root CA 1024 




CPp,CPp,CPp 










Xcert Root CA v1 




CPp,CPp,CPp 










Xcert Root CA v1 1024 




CPp,CPp,CPp 










Xcert EZ 




CPp,CPp,CPp 










CertEngine CA 




CPp,CPp,CPp 










BankEngine CA 




CPp,CPp,CPp 










FortEngine CA 




CPp,CPp,CPp 










MailEngine CA 




CPp,CPp,CPp 










TraderEngine CA 




CPp,CPp,CPp 










USPS Root 




CPp,CPp,CPp 










USPS Production 1 




CPp,CPp,CPp 










AddTrust Non-Validated Services Root 




CPp,CPp,CPp 










AddTrust External Root 




CPp,CPp,CPp 










AddTrust Public Services Root 




CPp,CPp,CPp 










AddTrust Qualified Certificates Root 




CPp,CPp,CPp 










Verisign Class 1 Public Primary OCSP Responder 




CPp,CPp,CPp 










Verisign Class 2 Public Primary OCSP Responder 




CPp,CPp,CPp 










Verisign Class 3 Public Primary OCSP Responder 




CPp,CPp,CPp 










Verisign Secure Server OCSP Responder 




CPp,CPp,CPp 










Verisign Time Stamping Authority CA 




CPp,CPp,CPp 










Thawte Time Stamping CA 




CPp,CPp,CPp 










E-Certify CA 




CPp,CPp,CPp 










E-Certify RA 




CPp,CPp,CPp 










Entrust.net Global Secure Server CA 




CPp,CPp,CPp 










Entrust.net Global Secure Personal CA 




CPp,CPp,CPp 










 

certadmin スクリプト



certadmin スクリプトを使用して、次のような証明書管理タスクを実行できます。



自己署名証明書の生成


各サーバーとゲートウェイの間で SSL 通信を行うには、証明書を生成する必要があります。



Procedureインストール後に自己署名証明書を生成する


    


  1. 

    証明書を生成するゲートウェイマシンで、root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    
    		

    

    

    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
1

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 1 を選択します。
    


    既存のデータベースファイルを維持するかどうかを確認するメッセージが表示されます。
    


    3. 


  3. 

    組織に固有の情報、トークン名、証明書名を入力します。
    


    
注 – 

    ワイルドカード証明の場合は、ホストの完全修飾 DNS 名にアスタリスク (*) を含めます。たとえば、完全修飾ホスト名が abc.sesta.com の場合、*.sesta.com のように指定します。生成される証明書は、sesta.com ドメインのすべてのホストで有効になります。
    


    


    

    


    

    このホストの完全修飾 DNS 名を指定してください [host_name.domain_name]
組織 (企業など) の名前を指定してください []
組織単位 (部門など) の名前を指定してください []
所在地の都市名を指定してください []
所在地の都道府県を指定してください []
2 桁の国コードを指定してください []
トークン名は、デフォルトの内部 (ソフトウェア) 暗号化モジュールを 
使用する場合 (暗号化カードを使用する場合など) にだけ必要です。
トークン名は、modutil -dbdir /etc/opt/SUNWportal/cert/gateway-profile-name -list
を実行してリスト表示できます。
必要がない場合は、次でリターンキーを押します。
トークン名を入力してください []
この証明書の名前を自由に入力してください
証明書の有効期間を入力してください (月単位) [6]
自己署名証明書が生成され、プロンプトに戻ります。
    
    		

    

    

    トークン名 (デフォルトトークンの場合は指定されない) と証明書名は、/etc/opt/SUNWportal/cert/gateway-profile-name.nickname ファイルに格納されます。
    


    4. 


  4. 

    ゲートウェイを再起動して証明書を適用します。
    


    

    


    

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    
    		

    

    

    5. 



証明書署名要求 (CSR) の生成


CA に証明書を要求する前に、その CA が要求する情報を含む証明書署名要求 (CSR) を生成する必要があります。



ProcedureCSR を生成する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    
    		

    

    

    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
2

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 2 を選択します。
    


    組織に固有の情報、トークン名、Web マスターの電子メールアドレスと電話番号を要求するプロンプトが表示されます。
    


    ホスト名は、完全修飾 DNS 名で指定する必要があります。
    


    

    


    

    このホストの完全修飾 DNS 名を指定してください [snape.sesta.com]
組織 (企業など) の名前を指定してください []
組織単位 (部門など) の名前を指定してください []
所在地の都市名を指定してください []
所在地の都道府県を指定してください []
2 桁の国コードを指定してください []
トークン名は、デフォルトの内部 (ソフトウェア)  
暗号化モジュールを使用する場合  
(暗号化カードを使用する場合など) にだけ必要です。
トークン名は、modutil -dbdir /etc/opt/SUNWportal/cert -list 
を実行してリストを表示できます。
必要がない場合は、次でリターンキーを押します。
トークン名を入力してください []
次に、証明書の生成の対象であるコンピュータの 
Web マスターへの連絡先情報を 
入力します。
このサーバーの管理者または Web マスターの電子メールアドレスを指定してください []
このサーバーの管理者または Web マスターの電話番号を指定してください []
    
    		

    

    

    3. 


  3. 

    要求されるすべての情報を入力します。
    


    
注 – 

    Web マスターの電子メールアドレスと電話番号を省略することはできません。有効な CSR を取得するには、この情報が必要です。
    


    


    CSR が生成され、portal-server-install-root/SUNWportal/bin/csr.hostname.datetimestamp ファイルに格納されます。CSR は画面にも出力されます。CA に証明書を要求するときは、CSR をコピーして直接貼り付けることができます。
    


    4. 



ルート CA 証明書の追加


ゲートウェイの証明書データベースに登録されていない CA が署名した証明書をクライアントサイトが提示した場合、SSL ハンドシェークは失敗します。


これを防ぐには、証明書データベースにルート CA 証明書を追加する必要があります。これにより、ゲートウェイはその CA を認識できるようになります。


ブラウザで CA の Web サイトにアクセスし、その CA のルート証明書を取得します。certadmin スクリプトを使用するときは、ルート CA 証明書のファイル名とパスを指定します。



Procedureルート CA 証明書を追加する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    
    		

    

    

    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
3

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 3 を選択します。
    


    3. 


  3. 

    ルート証明書を格納したファイルの名前と証明書名を入力します。
    


    証明書データベースにルート CA 証明書を追加します。
    


    4. 



証明書認証局から届いた SSL 証明書のインストール


ゲートウェイのインストール時に、自己署名証明書がデフォルトで作成およびインストールされます。インストール後はいつでも、正式な認証局 (CA) サービスを提供するベンダーまたは自社の CA が署名した SSL 証明書をインストールすることができます。


この作業は、次の 3 段階で実行されます。



CA への証明書の要求


証明書署名要求 (CSR) を生成したら、その CSR を使用して CA に証明書を要求します。



ProcedureCA に証明書を要求する
    


  1. 

    認証局の Web サイトにアクセスし、証明書を要求します。
    


    2. 


  2. 

    CA が必要とする場合は、CSR を提示します。CA によっては、その他の情報の提供も必要です。
    


    CA から証明書が届きます。これをファイルに保存します。ファイルには、証明書の内容だけでなく、「BEGIN CERTIFICATE」および「END CERTIFICATE」という行も含めます。
    


    次の例には、実際の証明書データは含まれていません。
    


    

    


    

    -----BEGIN CERTIFICATE-----
証明書の内容
----END CERTIFICATE-----
    
    		

    

    

    3. 




CA から届いた証明書のインストール



certadmin スクリプトを使用して、CA から届いた証明書を /etc/opt/SUNWportal/cert/gateway-profile-name 内のローカルデータベースファイルにインストールできます。



ProcedureCA から届いた証明書をインストールする
    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

    
    		

    

    

    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
4

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 4 を選択します。
    


    証明書ファイル名、証明書名、トークン名の入力を求められます。
    


    

    


    

    証明書が含まれているファイルの名前 (パスを含む) を指定してください
この証明書の証明書署名要求 (CSR) の作成時に使用したトークン名を入力してください []
    
    		

    

    

    3. 


  3. 

    要求されるすべての情報を入力します。
    


    証明書が /etc/opt/SUNWportal/cert/gateway-profile-name にインストールされ、画面はプロンプトに戻ります。
    


    4. 


  4. 

    ゲートウェイを再起動して証明書を適用します。
    


    

    


    

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    
    		

    

    

    5. 




証明書の削除


証明書管理スクリプトを使用して、証明書を削除することができます。



Procedure証明書を削除する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n
    
    		

    

    

    
gateway-profile-name は、ゲートウェイのインスタンス名です。
    


    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
5

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 5 を選択します。
    


    3. 


  3. 

    削除する証明書の名前を入力します。
    


    4. 



証明書の信頼属性の変更


証明書の信頼属性の変更が必要となる理由の 1 つに、ゲートウェイでのクライアント認証の使用が挙げられます。クライアント認証には、PDC (Personal Digital Certificate) などがあります。ゲートウェイは、PDC を発行する CA を信頼する必要があり、証明書の信頼属性は、SSL 用に「T」に設定する必要があります。


ゲートウェイが HTTPS サイトとの通信を設定されている場合、ゲートウェイは、HTTPS サイトのサーバー証明書を発行する CA を信頼する必要があり、証明書の信頼属性は SSL 用に「C」に設定する必要があります。



Procedure証明書の信頼属性を変更する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    gateway-install-root/SUNWportal/bin/certadmin -n
gateway-profile-name

    
    		

    

    

    
gateway-profile-name は、ゲートウェイのインスタンス名です。
    


    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
6

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 6 を選択します。
    


    3. 


  3. 

    出力する証明書の名前を入力します。たとえば、Thawte Personal Freemail CA などです。
    


    

    


    

    証明書の名前を入力してください
Thawte Personal Freemail CA
    
    		

    

    

    4. 


  4. 

    証明書の信頼属性を入力します。
    


    

    


    

    証明書に持たせる信頼属性を入力してください [CT,CR,CT]
    
    		

    

    

    証明書の信頼属性が変更されます。
    


    5. 



ルート CA 証明書のリスト表示


証明書管理スクリプトを使用して、すべての CA 証明書をリスト表示することができます。



Procedureルート CA 証明書をリスト表示する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n
gateway-profile-name

    
    		

    

    

    
gateway-profile-name は、ゲートウェイのインスタンス名です。
    


    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
7

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 7 を選択します。
    


    すべてのルート CA 証明書が表示されます。
    


    3. 



すべての証明書のリスト表示


証明書管理スクリプトを使用して、すべての証明書とその信頼属性を表示することができます。



Procedureすべての証明書をリスト表示する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root
/SUNWportal/bin/certadmin -n
gateway-profile-name

    
    		

    

    

    
gateway-profile-name は、ゲートウェイのインスタンス名です。
    


    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
8

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 8 を選択します。
    


    すべての CA 証明書が表示されます。
    


    3. 



証明書の出力


証明書管理スクリプトを使用して、証明書を出力することができます。



Procedure証明書を出力する


    


  1. 

    root として certadmin スクリプトを実行します。
    


    

    


    

    portal-server-install-root/SUNWportal/bin/certadmin -n
 gateway-profile-name

    
    		

    

    

    
gateway-profile-name は、ゲートウェイのインスタンス名です。
    


    証明書管理メニューが表示されます。
    


    

    


    

    1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
選択: [10]
9

    
    		

    

    

    2. 


  2. 

    証明書管理メニューのオプション 9 を選択します。
    


    3. 


  3. 

    出力する証明書の名前を入力します。
    


    4. 



第 11 章 ネットレットの設定


この章では、Sun Java System Portal Server 管理コンソールでのネットレット属性の設定について説明します。組織レベルで設定できるすべての属性は、ユーザーレベルでも設定できます。組織、ロール、およびユーザーの各レベルの属性については、『Access Manager 管理ガイド』を参照してください。


この章で説明する内容は、次のとおりです。




ネットレット属性の設定


次のタスクを実行することで、ネットレットを設定できます。




Procedure基本属性を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットレット」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    COS 優先順位 
    

    		

    属性値を継承するかどうかの決定に使用される値を指定します。この属性の詳細については、『Sun Java System Directory Server 管理ガイド』を参照してください。
    

    		

    


    


    以下を使用してネットレットを起動します。 
    

    		

    ネットレットサービスの起動モードとして「Java Web Start」または「アプレット」のいずれかのオプションを選択します。 
    

    		

    


    


    デフォルトのループバックポート 
    

    		

    ネットレットを通じてアプレットがダウンロードされるときにローカルマシンで使用されるポートを指定します。ネットレットルールの設定値が優先される場合を除き、デフォルト値の 58000 が使用されます。 
    

    適切なポート番号を入力します。 
    

    		

    


    


    キープアライブ間隔 (秒) 
    

    		

    クライアントが Web プロキシを通じてゲートウェイに接続している場合は、アイドル状態のネットレット接続はプロキシタイムアウトによって切断されます。切断されないようにするには、プロキシタイムアウトより小さい値を指定してください。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 




Procedure詳細属性の設定


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットレット」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    ポータルのログアウト時にネットレットを終了 
    

    		

    ユーザーが Portal Server からログアウトしたときにすべての接続を終了する場合は、「はい」を選択します。これにより、セキュリティーが向上します。このオプションは、デフォルトで選択されています。 
    

    ユーザーが Portal Server デスクトップからログアウトしたあともネットレット接続を維持する場合は、「いいえ」を選択します。 
    

    
注 – 

    「いいえ」を選択した場合でも、Portal Server からログアウトしたユーザーはネットレット接続を新たに確立できません。既存の接続だけが保持されます。
    


    


    		

    


    


    接続の再認証 
    

    		

    ネットレットを通じてアプレットがダウンロードされるときにローカルマシンで使用されるポートを指定する場合は、「はい」を選択します。ネットレットルールの設定値が優先される場合を除き、デフォルト値の 58000 が使用されます。デフォルトでは、「いいえ」オプションが選択されています。 
    

    		

    


    


    接続の警告ポップアップを表示 
    

    		

    ネットレットを使用したアプリケーションの実行中、ほかのユーザーが待機ポートを通じてネットレットに接続しようとしたときに、デスクトップに警告ポップアップダイアログボックスを表示する場合は、「はい」を選択します。デフォルトでは、「はい」オプションが選択されています。 
    

    		

    


    


    ポート警告ダイアログにチェックボックスを表示 
    

    		

    この属性が管理コンソールで有効になっている場合にネットレットがローカルマシン上の使用可能なポートを通じて接続先ホストに接続しようとしたときに、ユーザーのデスクトップの警告ポップアップにチェックボックスを表示する場合は、「はい」を選択します。デフォルトでは、「はい」オプションが選択されています。 
    

    		

    


    


    ネットレットルール 
    

    		

    ネットレットルールをグローバルレベルで作成します。これらのルールは、新しい組織を作成すると、その組織に継承されます。ネットレットルールの作成、変更、および削除の詳細については、「ネットレットルールを作成、変更、削除する」を参照してください。
    

    		

    


    


    デフォルトのネイティブ VM 暗号化方式 
    

    		

    ドロップダウンボックスから、ネットレットルールのデフォルトの暗号化方式を選択します。これはルールの一部として暗号化方式が指定されていない既存のルールを使用する場合に便利です。詳細については、「下位互換性」を参照してください。
    

    		

    


    


    デフォルトの Java プラグイン暗号化方式 
    

    		

    ドロップダウンボックスから、デフォルトの Java プラグイン暗号化方式を選択します。サポートされる暗号化方式のリストについては、「サポートされる暗号化方式」を参照してください。
    

    		

    


    


    許可/拒否されたホスト 
    

    		

    ホストアドレスのチェックボックスにチェックマークを付けて、ユーザーまたは組織のタイプに基づいてアクセスを許可または拒否するホストを選択し、ドロップダウンボックスから「許可」または「拒否」を選択します。 
    


      

      新しいホストを追加するには、次の手順に従います。
      


    1. 

      「行を追加」をクリックします。
      



      2. 

    2. 

      完全指定のホストアドレスを入力します。たとえば、abc の場合は abc.sesta.com のように入力します。
      



      3. 

    


    
注 – 

    既存のホストを削除するには、「ホスト」リストからホストを選択し、「削除」をクリックします。
    


    


    特定の組織、ロール、またはユーザーに対して特定のホストへのアクセスの許可または拒否を定義できます。たとえば、ユーザーが telnet 接続する 5 つのホストを「許可」リストに設定できます。組織内の特定のホストへのアクセスを拒否できます。各ルールに一意の local port を指定します。
    

    
注 – 

    このフィールドにアスタリスク (*) を指定すると、指定されたドメインのすべてのホストへのアクセスが可能になります。たとえば、*.sesta.com と指定した場合、ユーザーは sesta.com ドメイン内のすべてのネットレットターゲットを実行できます。また、xxx.xxx.xxx.* のように、ワイルドカードを含む IP アドレスも指定できます。
    


    


    		

    


    


    ネットレットルールのアクセス/拒否 
    

    		

    Nelet ルールを選択し、ドロップダウンリストから「許可」または「拒否」オプションを選択します。 
    

    特定の組織、ロール、ユーザーに対して特定のネットレットルールへのアクセスを定義できます。 
    

    特定の組織、ロール、ユーザーに対して特定のネットレットルールへのアクセスを拒否できます。 
    

    
注 – 

    このフィールドにアスタリスク (*) を指定すると、選択している組織は、定義されているすべてのネットレットルールを使用できるようになります。
    


    


    		

    

    

    


     

    

     

    

    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 




Procedureネットレットルールを作成、変更、削除する


新しいルールの作成または既存のルールの修正は、組織、ロール、ユーザーレベルで行えます。これらのルールは、新しい組織を作成すると、その組織に継承されます。



    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットレット」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    「拡張」 > 「ネットレットルール」の「新規ルール」をクリックします。
    



      


    • 

      ルールを削除する場合は、ルールを選択し、「削除」をクリックします。
      


      • 


    • 

      ルールを変更する場合は、ルール名をクリックします。
      


      「ネットレット」ページで、次の手順で説明されているようにパラメータを変更します。
      


      • 

    


    5. 


  5. 

    「ルール名」フィールドにルール名を入力します。
    


    6. 


  6. 

    使用できる暗号化方式のリストから「その他」を選択し、「暗号化方式」リストで 1 つ以上の暗号化方式を選択します。デフォルトの暗号化方式のままにする場合は「デフォルト」を選択します。
    


    これはルールの一部として暗号化方式が指定されていない既存のルールを使用する場合に便利です。詳細は「下位互換性」の節を参照してください。暗号化方式の詳細については、「デフォルトの暗号化方式の指定」を参照してください。
    


    7. 


  7. 

    「リモートアプリケーション URL」フィールドに、呼び出すアプリケーションの URL を入力します。
    


    8. 


  8. 

    アプレットをダウンロードする必要がある場合は、「クライアントポート」チェックボックスにチェックマークを付けます。「クライアントポート」、「サーバーホスト」、および「サーバーポート」の各フィールドに、クライアントポート番号、サーバーホストアドレス、およびサーバーポート番号を入力します。各ルールに一意の local port を指定します。
    


    デフォルトでは、「アプレットのダウンロードを有効」は無効になっています。アプレットの詳細は、アプレットを Portal Server ホスト以外のホストからダウンロードする必要がある場合にのみ指定してください。詳細については、「リモートホストからのアプレットのダウンロード」を参照してください。
    


    9. 


  9. 

    このルールに対応するネットレットセッションの実行中に Portal Server セッション時間が延長されるようにするときは、「拡張セッションを有効」チェックボックスにチェックマークを付けます。
    


    10. 


  10. 

    「ローカルポートと宛先サーバーポートのマップ」で、次の操作を行います。
    


      


    1. 

      ネットレットが待機するローカルポートを「ローカルポート」フィールドに入力します。
      


      FTP ルールでは、ローカルポートは 30021 である必要があります。
      


      2. 


    2. 

      「接続先ホスト」フィールドにエントリを入力します。
      


      スタティックルールでは、ネットレット接続のターゲットマシンのホスト名を入力します。ダイナミックルールでは、「TARGET」と入力します。
      


      3. 


    3. 

      「接続先ポート」フィールドに、ターゲットホストのポートを入力します。
      


      4. 


    

    11. 


  11. 

    「保存」をクリックして終了します。
    


    ルール名がネットレットのホームページに表示されます。
    


    12. 



ネットレットのプロキシ設定


次の属性は、ユーザーレベルで設定できます。



管理コンソールでこれらの値を指定していないため、ネットレットがブラウザのプロキシ設定を判断できない場合は、最初にネットレットを通じて接続が確立されるときに、この情報の入力を要求するプロンプトが表示されます。入力した情報は格納され、そのユーザーが次回以降に接続するときに使用されます。


次の場合には、ネットレットはブラウザのプロキシ設定を判断できません。



いずれの場合も、ネットレットはブラウザ設定を特定できない場合があり、次の情報の指定がユーザーに求められます。



第 12 章 PDC (Private Domain Certificates) を使用する場合のネットレットの設定


この章では、ネットレットで PDC を使用できるようにするための、クライアントブラウザの Java プラグインの設定について説明します。


注 – 
ネットレットでの PDC の使用は、JSSE をサポートしているクライアント仮想マシン (VM) だけでサポートされます。





PDC 用のネットレットの設定



Procedureネットレットを PDC 用に設定する


    


  1. 

    Portal Server マシン上の /ect/opt/SUNWam/config/AMConfig.properties ファイル内の任意の場所に、com.iplanet.authentication.modules.cert.gwAuthEnable=yes を追加します。
    


    2. 


  2. 

    PDC を有効にするゲートウェイの認証データベースに、適切な証明書をインポートします。
    


    3. 


  3. 

    ゲートウェイマシンでルート CA 証明書をインポートします。
    


    4. 


  4. 

    ゲートウェイプロファイルに CA 証明書を追加します。
    


    
ヒント – 

    PDC をテストするには、独自のゲートウェイプロファイルを作成してください。
    


    


    ゲートウェイプロファイルに証明書を追加するには、次の手順を実行します。
    


      


    1. 

      
Gateway Install Directory/SUNWportal/bin/certadmin -n gateway profile name を実行します。
      


      Certadmin メニューが表示されます。
      


      2. 


    2. 

      オプション 3 を選択します。
      


      3. 


    3. 

      証明書のパスを入力します。
      


      証明書が追加されたことを示すメッセージが表示されます。
      


      4. 


    

    5. 


  5. 

    CA に送信する証明書署名要求を生成します。
    


    証明書署名要求を生成するには、次の手順を実行します。
    


      


    1. 

      
Gateway Install Directory/SUNWportal/bin/certadmin -n gateway profile name を実行します。
      


      Certadmin メニューが表示されます。
      


      2. 


    2. 

      オプション 2 を選択します。
      


      3. 


    3. 

      各質問に対して、適切な答えを入力します。
      


      4. 


    4. 

      要求をファイルに保存します。
      


      5. 


    

    6. 


  6. 

    証明書署名要求を CA に送信し、承認を受けます。
    


    
ヒント – 

    CA の署名後に証明書応答を保存します。
    


    


    7. 


  7. 

    CA で承認されたサーバー証明書をインポートします。
    


    サーバー証明書をインポートするには、次の手順を実行します。
    


      


    1. 

      
Gateway Install Directory/SUNWportal/bin/certadmin -n gateway profile name を実行します。
      


      Certadmin メニューが表示されます。
      


      2. 


    2. 

      オプション 4 を選択します。
      


      3. 


    3. 

      サーバー証明書が格納されているファイルの場所を入力します。
      


      4. 


    

    8. 


  8. 

    Portal Server マシンにルート CA 証明書をインポートします。
    



      


    • 

      Application Server では、次のコマンドを使用して root-ca を追加します。
      


      
./certutil -A -n rootca -t "TCu,TCu,TCuw" -d /var/opt/SUNWappserver/domains/domain1/config -a -i path to root-ca

      


      • 

    


    9. 



第 13 章 プロキシレットの設定


この章では、Sun Java System Portal Server 管理コンソールでのプロキシレットの設定について説明します。


この章で説明する内容は次のとおりです。




プロキシレット属性の設定


ユーザーがログインしたときにプロキシレットが自動的に起動するようにプロキシレットを設定するには、「配備」オプションの「プロキシレットアプレットを自動的にダウンロード」チェックボックスにチェックマークを付けます。「プロキシレットアプレットを自動的にダウンロード」チェックボックスにチェックマークが付いていない場合には、標準のポータルデスクトップのプロキシレットチャネルの「プロキシレットの起動」をクリックすれば、必要に応じてプロキシレットを取得できます。



Procedureプロキシレットの属性を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「プロキシレット」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストボックスから適切な DN を選択するか、または特定のユーザーまたは組織の既存の DN を追加します。
    


    4. 


  4. 

    「プロキシレット」ページで、次の属性を設定します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    COS 優先順位 
    

    		

    オプションのリストからプロキシレットトラフィックのサービスクラスを選択します。 
    

    		

    


    


    プロキシレットアプレットを自動的にダウンロード 
    

    		

    プロキシアプレットをクライアントマシンに自動的にダウンロードする場合は、「はい」をクリックします。プロキシレットアプレットをダウンロードするための基本的な要件は次のとおりです。 
    

    		

    


    
 


    クライアントマシンでサーバーアプリケーションを実行できる 
    

    		

    


    
 


    クライアントマシンの Java バージョンが 1.4 以降である 
    

    		

    


    
 


    ブラウザが IE 6.0 SP2 または Firefox 2.0 である 
    

    		

    


    
 


    正しいブラウザ権限 
    

    		

    


    


    プロキシレット経由でポータルを更新 
    

    		

    プロキシレットの起動後にポータルデスクトップを更新し、トラフィックがプロキシレットを経由するようにする場合は、「はい」をクリックします。「プロキシレットの起動後にポータルを更新」と「プロキシレットアプレットを自動的にダウンロード」の両方が有効になっている場合、「App Urls」は機能しません。 
    

    		

    


    


    起動モード 
    

    		

    「Java Web Start」または「アプレット」を選択します。 
    

    		

    


    


    プロキシレットアプレットのデフォルトのバインド IP 
    

    		

    プロキシレットがブラウザからの要求をバインドおよび待機する IP アドレスを入力します。 
    

    		

    


    


    プロキシレットアプレットのデフォルトのポート 
    

    		

    プロキシレットがブラウザからの要求を待機するポート番号を入力します。 
    

    		

    


    


    自動プロキシ設定ファイルの位置 
    

    		

    プロキシ自動設定 (PAC) ファイルから、またはプロキシ設定リストからのプロキシ設定が格納された設定ファイルの場所を入力します。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    「プロキシレットルール」オプションで、次の操作を行います。
    


      


    1. 

      プロキシレットサービスから起動するアプリケーションのルールを指定します。
      


      2. 


    2. 

      「追加」をクリックします。
      


      3. 


    3. 

      「ドメイン」フィールドに、www.google.com のようなドメイン名を入力します。
      


      4. 


    4. 

      プロキシレットで処理するドメインのホストおよび対応するポート番号を入力します。これにより、プロキシレットで HTTP 要求を解決し、要求がゲートウェイを経由しないようにします。
      


      5. 


    

    6. 


  6. 

    「保存」をクリックして終了します。
    


    7. 



ポータルデスクトップのアプリケーションの設定


HTTP、FTP などの要求はプロキシレットサービスを経由します。管理者はプロキシレットルールにより、プロトコル、ホスト、またはドメインへのポートに基づいてマッピングを指定できます。プロキシレットルールにより、プロキシ自動設定 (PAC) ファイルのドメインとプロキシの設定値を指定できます。たとえば、すべての FTP トラフィックがネットレットを経由したり、すべての HTTP トラフィックがプロキシレットを経由するように経路ルールを作成することが可能です。プロキシレットサービスでレンダリングする必要がある定義済みアプリケーションを設定できます。これは、ユーザーまたは組織の設定に基づいて行うことができます。プロキシレットで処理するようにアプリケーションを追加すると、ユーザーデスクトップが管理しやすくなり、パフォーマンスも向上します。



Procedureポータルデスクトップのアプリケーションを設定する


始める前に


    


  1. 

    Portal Server 管理コンソールに管理者としてログインします。
    


    2. 


  2. 

    「ポータル」タブを選択し、変更するポータルインスタンスを選択します。
    


    「デスクトップ」ページが表示されます。
    


    3. 


  3. 

    「DN を選択」リストボックスから適切な DN を選択するか、または特定のユーザーまたは組織の既存の DN を追加します。
    


    4. 


  4. 

    「コンテナとチャネルを管理」リンクをクリックします。
    


    「コンテナとチャネルを管理」ページが表示されます。
    


    5. 


  5. 

    左の区画で、「プロキシレット」を選択します。
    


    6. 


  6. 

    右の区画で、appurl リンクを選択します。
    


    7. 


  7. 

    プロパティーウィザードで、アプリケーション名と値を入力します。必要に応じてアプリケーションのプロパティーを変更します。たとえば、アプリケーションの名前と、「http://www.example.com」を入力します。
    


    8. 


  8. 

    「閉じる」をクリックして完了します。
    


    これで、ユーザーまたは組織のレベルでポータルデスクトップにアプリケーションリンクを表示できるようになりました。
    


    9. 



Java Web Start モードまたはアプレットモードでのプロキシレットの起動


ポータルデスクトップから、Java Web Start モードかアプレットモードのどちらかでプロキシレットを起動できます。



ProcedureJava Web Start モードまたはアプレットモードでプロキシレットを起動する


    


  1. 

    ポータルデスクトップにプロキシレットユーザーとしてログオンします。
    


    2. 


  2. 

    フロントページで、プロキシレットチャネルに移動し、「編集」アイコンをクリックします。
    


    3. 


  3. 

    「起動モード」リストボックスで、「Java Web Start」または「アプレット」オプションを選択します。
    


    4. 


  4. 

    「完了」をクリックします。
    


    プロキシレットを起動するには、「プロキシレットチャネル」からアプリケーションを選択します。これで、そのアプリケーションが Java Web Start モードまたはアプレットモードで起動します。
    



      

    • 

      「自動ダウンロード」が選択されている場合は、プロキシレットチャネルの下のアプリケーションをクリックします。
      



      • 

    • 

      ユーザー設定に基づいて、プロキシレットコンソールが Java Web Start モードまたはアプレットモードの選択に応じて表示されます。すべての証明書を受け入れて、アプリケーションでの作業を続けます。
      



      • 

    


    5. 



第 14 章 ネットファイルの設定


この章では、Sun Java System Portal Server 管理コンソールでのネットファイルの設定について説明します。


この章は、次の節で構成されています。




ネットファイルのタスクの設定


この節では、次のタスクについて説明します。




Procedure基本オプションを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットファイル」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    COS 優先順位 
    

    		

    属性値を継承するかどうかの決定に使用される値を指定します。この属性の詳細については、『Sun Java System Directory Server 管理ガイド』を参照してください。
    

    		

    


    


    ドメイン/ホストの設定 
    

    		

    ネットファイルが許可されたホストにアクセスするために必要なデフォルトドメインを入力します。 
    

    このデフォルト値が適用されるのは、ユーザーがネットファイルを使用してホストを追加するときに、完全修飾ホスト名を指定していない場合です。 
    

    
注 – 

    「デフォルトドメイン」フィールドが空ではなく、有効なドメイン名が指定されていることを確認してください。
    


    


    		

    


    


    デフォルトの WINS/DNS サーバー 
    

    		

    Microsoft Windows ホストへのアクセスでネットファイルが使用する WINS/DNS サーバーホストアドレスを入力します。 
    

    
注 – 

    ユーザーはマシンを追加するときに別の値を指定し、この値を上書きできます。
    


    


    		

    


    


    ホスト検出順序 
    

    		

    「上に移動」ボタンと「下に移動」ボタンを使用して、ホストの検出順序を指定します。 
    

    		

    


    


    共通ホスト 
    

    		

    ホスト名または完全修飾名を入力して、「追加」をクリックします。 
    

    指定したホスト名がユーザーの設定したホスト名と一致する場合、両方の情報が統合され、指定した値がユーザーの指定した値に上書きされます。 
    

    ネットファイルを使用してすべてのリモートネットファイルユーザーが利用できるホストのリストを設定します。 
    

    		

    

    

    


     

    

     

    

    
注 – 

    たとえば、共通の 4 つのホスト sestasiroeflorizon、および abc を設定しているとします。ユーザーはそのうち 2 つのホスト、sestasiroe を設定します。この場合、ユーザーが指定した値は管理者が指定した値よりも優先されます。ユーザーのネットファイルには、florizonabc もリストされ、ユーザーは 2 つのホストでさまざまな処理を実行できます。「拒否されたホスト」リストに florizon を指定している場合、ユーザーのネットファイルに florizon がリストされますが、florizon については処理が実行できません。
    


    
ホストのタイプ: ユーザーが「共通ホスト」リスト内にあるマシンをすでに追加している場合、ユーザーの設定が優先されます。タイプが競合する場合、管理者が追加した共有はそのユーザーには追加されません。ユーザーと管理者が同じ共通を追加した場合、その共有は追加されますがユーザーが設定したパスワードが優先されます。
    


    


    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 




Procedureアクセス権限を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットファイル」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    「アクセス権限」をクリックし、次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    Windows ホストへのアクセス 
    

    		

    ユーザーが Windows ホストにアクセスできるようにする場合は、「許可」チェックボックスにチェックマークを付けます。 
    

    デフォルトでは、「許可」チェックボックスにチェックマークが付いています。 
    

    		

    


    


    FTP ホストへのアクセス 
    

    		

    ユーザーが FTP ホストにアクセスできるようにする場合は、「許可」チェックボックスにチェックマークを付けます。 
    

    		

    


    


    NFS ホストへのアクセス 
    

    		

    ユーザーが NFS ホストにアクセスできるようにする場合は、「許可」チェックボックスにチェックマークを付けます。 
    

    		

    


    


    Netware ホストへのアクセス 
    

    		

    ユーザーが Netware ホストにアクセスできるようにする場合は、「許可」チェックボックスにチェックマークを付けます。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 




Procedure「ホストの設定」を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットファイル」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    デフォルトでは、「ホストの許可/拒否」リストに * が指定されているため、ユーザーはネットファイルを通じてすべてのホストにアクセスできます。この設定を変更する場合、* を削除し、ユーザーがネットファイルを通じてアクセスする必要のあるホストだけをこのリストに指定します。または、この * エントリを残し、「拒否されたホスト」リストでアクセスを拒否するホストを指定します。その場合、「拒否されたホスト」リストで指定したホストを除きすべてのホストへのアクセスが許可されます。
    


    
注 – 

    ホストへのアクセスを拒否し、ユーザーがすでにネットファイルウィンドウでこのホストを追加している場合、ユーザーのネットファイルウィンドウには、その後も拒否されたホストが表示されます。ただし、ユーザーはこのホストでは操作を行えません。ネットファイル Java2 では、アプリケーションに拒否されたホストが表示されるときに、そのホストに赤の十字がマークされ、アクセスできないことを示します。「許可されたホスト」と「拒否されたホスト」リストがいずれも空白の場合、どのホストにもアクセスできません。
    


    


    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 




Procedure「処理の設定」を設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットファイル」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    デフォルトの圧縮タイプ 
    

    		

    デフォルトのファイル圧縮形式として、ドロップダウンボックスから ZIP または GZ を選択します。 
    

    		

    


    


    デフォルトの圧縮レベル 
    

    		

    ドロップダウンボックスからデフォルトの圧縮レベルを選択します。デフォルトは 6 です。 
    

    		

    


    


    一時ディレクトリの場所 
    

    		

    一時ファイル用のディレクトリの場所を入力します。指定された一時ディレクトリがサーバー上に存在しない場合は作成されます。 
    

    一時ディレクトリは、ファイルのメール送信など、いくつかのファイル操作で必要とされます。デフォルトの一時ディレクトリは /tmp です。一時ファイルは、必要な操作の完了後に削除されます。
    

    
注 – 

    Web サーバーが実行時に使用する ID (nobody または noaccess) に、指定されたディレクトリに対するアクセス権 rwx が割り当てられていることを確認します。また、要求される一時ディレクトリへの完全パスに対するアクセス権 rx が ID に割り当てられていることを確認します。
    


    


    
ヒント – 

    ネットファイルの一時ディレクトリを個別に作成する場合があります。Portal Server のすべてのモジュールに共通な一時ディレクトリを指定すると、ディスクの容量がすぐに足りなくなります。ファイルのメール送信など、ネットファイルの一部の操作は、一時ディレクトリの容量がなくなると機能しません。
    


    


    		

    


    


    ファイルのアップロード制限 (M バイト) 
    

    		

    このフィールドでアップロードできるファイルの最大サイズを入力します。デフォルト値は 5M バイトです。 
    

    アップロードされるファイルのサイズがここで指定した制限を超える場合は、エラーメッセージが表示され、ファイルはアップロードされません。無効な値を入力すると、ネットファイルは値をデフォルト値にリセットします。ユーザーごとに異なるファイルアップロードサイズ制限を指定できます。 
    

    		

    


    


    検索ディレクトリ制限 
    

    		

    1 回の検索操作で検索できるディレクトリの最大数を入力します。この制限は、ネットワークの渋滞を緩和するのに役立ち、多数のユーザーが同時にログインする場合のアクセス速度が向上します。デフォルト値は 100 です。 
    

    ユーザーが A というディレクトリを使用しているとします。A には 100 のサブディレクトリがあります。検索するディレクトリの最大数を 100 に指定した場合、ディレクトリ A 全体の検索が行われ処理が停止します。ディレクトリ A で検索の制限数 100 に達したため、ほかのディレクトリの検索は行われません。検索の制限数を超えるまでに累積された検索結果と、検索の制限数を超えたことを示すエラーメッセージが表示されます。検索を続けるためには、ユーザーは次のディレクトリで手動で検索を再開する必要があります。検索操作は、深度優先で行われます。つまり、検索の処理はユーザーが選択したディレクトリのすべてのサブディレクトリを実行し、その後に次のディレクトリに移動します。
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 




Procedure処理権限を設定する


ユーザーがリモートホストから次のタスクを実行する権限を許可または拒否できます。



    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、「ネットファイル」タブを選択します。
    


    3. 


  3. 

    「DN を選択」リストからユーザーまたは組織の DN を選択するか、または DN を追加します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    ファイル名の変更 
    

    		

    ユーザーがファイル名を変更できるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ファイル/フォルダの削除 
    

    		

    ユーザーがファイルおよびディレクトリを削除できるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ファイルのアップロード 
    

    		

    ユーザーがファイルをアップロードできるようにするには、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ファイル/フォルダのダウンロード 
    

    		

    ユーザーがファイルまたはディレクトリをダウンロードできるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ファイル検索 
    

    		

    ユーサーがファイル検索操作を実行できるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ファイルのメール送信 
    

    		

    ユーザーがメールにアクセスできるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ファイルの圧縮 
    

    		

    ユーザーが圧縮タイプを選択できるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    		

    


    


    ユーザー ID の変更 
    

    		

    ユーザーが自分のユーザー ID を変更できるようにする場合は、「許可」チェックボックスにチェックマークを付けます。ユーザーは、ネットファイルを使用してホストに接続する場合に、異なる ID を使用できます。 
    

    大規模な組織では、ユーザーは複数のユーザー ID を持つ場合があります。ユーザーが単一のユーザー ID を使用するように制限する場合は、「ユーザー ID の変更を許可」オプションを無効にします。これにより、特定の組織のすべてのユーザーがユーザー ID を変更できなくなり、ネットファイルを使用してホストに接続するときに使用する ID が単一の ID (デスクトップログイン ID) に制限されます。また、ユーザーがマシンごとに異なるログイン ID を持つことがありますが、この場合、必要に応じてユーザーによる ID の変更を許可することができます。 
    

    		

    


    


    Microsoft Windows ドメインの変更 
    

    		

    ユーザーがデフォルトの Microsoft Windows ドメインホストを変更できるようにする場合は、「許可」チェックボックスにチェックマークを付けます。このオプションはデフォルトで選択されています。 
    

    ユーザーがドメイン名を指定するときは、そのドメインのユーザー名とパスワードも指定する必要があります。ホストのユーザー名とパスワードを使用する必要がある場合、ユーザーは「ユーザーのドメイン名」フィールドからドメインを削除しなければなりません。 
    

    		

    

    

    


     

    

     

    

    
注 – 

    これらのオプションのいずれかの選択を解除した場合、ユーザーが Portal Server デスクトップに再度ログオンするまで変更は有効になりません。
    


    


    5. 


  5. 

    「保存」をクリックして終了します。
    


    6. 



第 15 章 Secure Socket Layer アクセラレータの設定


この章では、Sun Java System Portal Server Secure Remote Access の各種アクセラレータの設定方法について説明します。


この章で説明する内容は次のとおりです。




アクセラレータの概要


外部アクセラレータは、Secure Socket Layer (SSL) 機能をサーバーの CPU からオフロードする専用のハードウェアコプロセッサです。これを使用することで、CPU は別のタスクを実行できるようになるので、SSL トランザクションの処理速度が向上します。


Sun Crypto Accelerator 1000


Sun™ Crypto Accelerator 1000 (Sun CA1000) ボードは、公開鍵と対称暗号化を加速する暗号化コプロセッサとして機能するショート PCI ボードです。この製品には外部インタフェースがありません。ボードは、内部 PCI バスインタフェースを通じてホストと対話します。このボードの目的は、電子商取引アプリケーションのセキュリティープロトコルのために、計算を中心とするさまざまな暗号化アルゴリズムを高速化することです。


RSA [7] や Triple-DES (3DES) [8] など、多くの重要暗号化機能がアプリケーションから Sun CA1000 にオフロードされ、並行処理されます。これにより、CPU をほかのタスクに振り分けられるようになり、SSL トランザクションの処理速度が向上します。


手順については、「Crypto Accelerator 1000 を設定する」を参照してください。


Crypto Accelerator 1000 の有効化


Portal Server Secure Remote Access がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。詳細については、第 10 章「証明書の操作」を参照してください。



「Crypto Accelerator 1000 の有効化」は、SSL アクセラレータをインストールする前に、必要な情報を確認するためのチェックリストです。このリストには、Crypto Accelerator 1000 のパラメータと値が示されています。

表 15–1  Crypto Accelerator 1000 のインストールチェックリスト









パラメータ 




値 












SRA インストールのベースディレクトリ 




/opt 










SRA の証明書データベースへのパス 




/etc/opt/SUNWportal/cert/default 










SRA サーバー証明書のニックネーム 




server-cert 










レルム 




sra-keystore 










レルムユーザー 




crypta 










 


ProcedureCrypto Accelerator 1000 を設定する


    


  1. 

    ユーザーガイドの指示に従って、ハードウェアをインストールします。次の情報を参照してください。
    


    
http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf 

    


    2. 


  2. 

    CD から次のパッケージをインストールします。
    


    
SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

    


    3. 


  3. 

    次のパッチをインストールします。これらのパッチは http://sunsolve.sun.com から入手できます。
    


    110383-01、108528-05、112438-01
    


    4. 


  4. 

    
pk12util および modutil というツールがインストールされていることを確認します。
    


    これらのツールは /usr/sfw/bin の下にインストールされます。ツールが /usf/sfw/bin ディレクトリにない場合は、Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。
    


    
Solaris_[sparc/x86]/Product/shared_components/

    


    5. 


  5. 

    スロットファイルを作成します。
    


    
vi /etc/opt/SUNWconn/crypto/slots 

    


    このファイルの唯一の行として、「crypta@sra」を入力します。
    


    6. 


  6. 

    レルムを作成し、設定します。
    


      


    1. 

      root としてログインします。
      


      2. 


    2. 

      
次のコマンドを入力します。

      


      
cd /opt/SUNWconn/bin/secadm

      


      
secadm> create realm=sra

      


      Realm sra created successfully.
      


      3. 


    

    7. 


  7. 

    ユーザーを作成します。
    


      


    1. 

      次のコマンドを入力し、問い合わせに応答します。
      


      secadm> set realm=sra

      


      secadm{srap}> su

      


      secadm{root@sra}> create user=crypta

      


      Initial password:
      


      Confirm password:
      


      User crypta created successfully.
      


      2. 


    

    8. 


  8. 

    作成したユーザーとしてログインします。
    


    secadm{root@sra}>  login user=crypta

    


    Password:
    


    secadm{crypta@sra}>  show key

    


    No keys exist for this user.
    


    9. 


  9. 

    Sun Crypto モジュールをロードします。
    


    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。
    


    次のように入力します。
    


    
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

    


    次のコマンドを実行して、このモジュールがロードされたことを確認します。
    


    
modutil -list -dbdir /etc/opt/SUNWportal/cert /default

    


    10. 


  10. 

    次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。
    


    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。
    


    次のように入力します。
    


    
 pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    


    
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

    


    次に、show key コマンドを実行します。
    


    secadm{crypta@sra}>  show key

    


    このユーザーの 2 つの鍵が表示されます。
    


    11. 


  11. 

    /etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。
    


    
vi /etc/opt/SUNWportal/cert/default/.nickname

    


    
server-certcrypta@sra:server-cert に置き換えます。
    


    12. 


  12. 

    高速化する暗号化方式を有効化します。
    


    Sun CA1000 は RSA 機能をアクセラレートしますが、アクセラレーションがサポートされる暗号化方式は DES と 3DES だけです。
    


    13. 


  13. 

    
/etc/opt/SUNWportal/platform.conf.gateway-profile-name を変更してアクセラレータを有効化します。
    


    
 gateway.enable.accelerator=true

    


    14. 


  14. 

    端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    
    		

    

    

    
注 – 

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。
    


    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。
    


    このモードでは、PDC は機能しません。
    


    


    15. 



Sun Crypto Accelerator 4000


Sun™ Crypto Accelerator 4000 ボードは、ギガビット Ethernet ベースのネットワークインタフェースカードで、Sun サーバーでの IPsec および SSL (どちらも対象および非対称) の暗号化ハードウェアアクセラレーションをサポートします。


暗号化されていないネットワークトラフィックの標準ギガビットイーサネットネットワークインタフェースカードとして機能するほかに、このボードには、暗号化された IPsec トラフィックのスループット向上をサポートする暗号化ハードウェアも含まれます。


Crypto Accelerator 4000 ボードは、ハードウェアとソフトウェアの両方の暗号化アルゴリズムをアクセラレートします。また、DES および 3DES 暗号化方式の一括暗号化もサポートします。


手順については、「Sun Crypto Accelerator 4000 を設定する」を参照してください。


Sun Crypto Accelerator 4000 の有効化


SRA がインストールされていること、およびゲートウェイサーバー証明書 (自己署名した、または任意の CA が発行した証明書) がインストールされていることを確認します。SSL アクセラレータをインストールする前に、次のチェックリストに基づいて必要な情報を入手してください。



「Crypto Accelerator 1000 の有効化」は、Crypto Accelerator 4000 のパラメータと値を示しています。

表 15–2  Crypto Accelerator 4000 のインストールチェックリスト









パラメータ 




値 












Portal Server Secure Remote Access インストールのベースディレクトリ 




/opt 










SRA インスタンス 




デフォルト 










SRA の証明書データベースへのパス 




/etc/opt/SUNWportal/cert/default 










SRA サーバー証明書のニックネーム 




server-cert 










CA4000 キーストア 




srap 










CA4000 キーストアユーザー 




crypta 










 


ProcedureSun Crypto Accelerator 4000 を設定する


    


  1. 

    ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。次の情報を参照してください。
    


    http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf
    


    2. 


  2. 

    次のパッチをインストールします。このパッチは http://sunsolve.sun.com から入手できます。114795

    


    3. 


  3. 

    
certutil、pk12util および modutil というツールがインストールされていることを確認します。
    


    これらのツールは /usr/sfw/bin の下にインストールされます。
    


    ツールが /usf/sfw/bin ディレクトリにない場合は、
    


    Sun Java System の配布メディアから SUNWtlsu パッケージを手動で追加する必要があります。
    


    
Solaris_[sparc/x86]/Product/shared_components/ 

    


    4. 


  4. 

    ボードを初期化します。
    


    
/opt/SUNWconn/bin/vcadm ツールを実行して Crypto ボードを初期化し、次の値を設定します。
    


    Initial Security Officer Name: sec_officer

    


    Keystore name: sra-keystore

    


    Run in FIPS 140-2 Mode: No

    


    5. 


  5. 

    ユーザーを作成します。
    


    vcaadm{vca0@localhost, sec_officer}>  create user

    


    New user name: crypta

    


    Enter new user password:
    


    Confirm password:
    


    User crypta created successfully.
    


    6. 


  6. 

    キーストアにトークンをマッピングします。
    


    
vi /opt/SUNWconn/cryptov2/tokens 

    


    次に、このファイルに sra-keystore を追加します。
    


    7. 


  7. 

    一括暗号化を有効にします。
    


    
touch /opt/SUNWconn/cryptov2/sslreg

    


    8. 


  8. 

    Sun Crypto モジュールをロードします。
    


    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。
    


    次のように入力します。
    


    
modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

    


    次のコマンドを実行することで、このモジュールがロードされたことを確認できます。
    


    
modutil -list -dbdir /etc/opt/SUNWportal/cert/default

    


    9. 


  9. 

    次のコマンドを実行し、ゲートウェイ証明書と鍵を「Sun Crypto モジュール」にエクスポートします。
    


    環境変数 LD_LIBRARY_PATH/usr/lib/mps/secv1/ をポイントする必要があります。
    


    
 pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

    


    
pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

    


    次のコマンドを実行することで、鍵がエクスポートされたことを確認できます。
    


    
certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

    


    10. 


  10. 

    
/etc/opt/SUNWportal/cert/default/.nickname ファイルでニックネームを変更します。
    


    
vi /etc/opt/SUNWportal/cert/default/.nickname 

    


    
server-certsra-keystore:server-cert に置き換えます。
    


    11. 


  11. 

    高速化する暗号化方式を有効化します。
    


    12. 


  12. 

    端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    
    		

    

    

    ゲートウェイは、キーストアのパスワードを要求します。
    


    
"sra-keystore":crypta:crytpa-password のパスワードまたは Pin を入力します。
    


    
注 – 

    ゲートウェイは、ゲートウェイプロファイルの HTTPS ポートとして指定されているポートで、プレーンサーバーソケット (非 SSL) にバインドします。
    


    着信するクライアントトラフィックに対して、非 SSL 暗号化または復号化が行われます。この処理は、アクセラレータ側で行われます。
    


    このモードでは、PDC は機能しません。
    


    


    13. 



外部 SSL デバイスとプロキシアクセラレータ


オープンモードの Portal Server Secure Remote Access (SRA) の前段で外部 SSL デバイスを実行できます。これは、クライアントと SRA の間に SSL リンクを提供します。


次のタスクを実行できます。




Procedure外部 SSL デバイスアクセラレータを有効化する


    


  1. 

    SRA がインストールされ、ゲートウェイがオープンモード (HTTP モード) で稼動していることを確認します。
    


    2. 


  2. 

    HTTP 接続を有効にします。
    


    次の表は、外部 SSL デバイスとプロキシアクセラレータのパラメータと値を示しています。
    



    


    


    パラメータ 
    

    		

    値 
    

    		

    

    


    


    SRA インスタンス 
    

    		

    デフォルト 
    

    		

    


    


    ゲートウェイのモード 
    

    		

    http 
    

    		

    


    


    ゲートウェイポート 
    

    		

    880 
    

    		

    


    


    外部デバイス/プロキシのポート 
    

    		

    443 
    

    		

    

    

    


     

    

     

    

    3. 




Procedure外部 SSL デバイスアクセラレータを設定する


    


  1. 

    ユーザーガイドの指示に従って、ハードウェアとソフトウェアパッケージをインストールします。
    


    2. 


  2. 

    必須のパッチがあれば、それをインストールします。
    


    3. 


  3. 

    HTTP を使用するために、ゲートウェイインスタンスを設定します。
    


    4. 


  4. 

    
platform.conf ファイルに次の値を入力します。
    


    
gateway.enable.customurl=true

    


    
 gateway.enable.accelerator=true

    


    
gateway.httpurl=https:// external-device-URL:port-number 

    


    5. 


  5. 

    ゲートウェイ通知は、次の 2 つの方法で設定できます。
    



      

    • 

      Access Manager がポート 880 でゲートウェイマシンにアクセスできる場合 (セッション通知の形式は HTTP) は、platform.conf ファイルに次の値を入力します。
      


      
vi /etc/opt/SUNWportal/platform.conf.default 

      


      
gateway.protocol=http

      


      
 gateway.port=880

      



        

      • 

        Access Manager がポート 443 で外部デバイス/プロキシにアクセスできる場合 (セッション通知の形式は HTTPS) は、platform.conf ファイルに次の値を入力します。
        


        
vi /etc/opt/SUNWportal/platform.conf.default 

        


        
gateway.host=External Device/Proxy Host Name

        


        
gateway.protocol=https

        


        
gateway.port=443 

        



        • 

      



      • 

    


    6. 


  6. 

    SSL デバイス、プロキシが稼動し、トラフィックがゲートウェイポートにトンネルされるように設定されたことを確認します。
    


    7. 


  7. 

    端末ウィンドウから、次のコマンドを指定してゲートウェイを再起動します。
    


    

    


    

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
    
    		

    

    

    8.