test

Sun Java System Portal Server Secure Remote Access 7.2 管理ガイド

プロファイルのコアオプションの設定

この節では、次の操作について説明します。

起動モードの設定

インストール時にゲートウェイを HTTPS モードで実行するように選択している場合は、インストール後、ゲートウェイは HTTPS モードで実行されます。HTTPS モードの場合、ゲートウェイはブラウザからの SSL 接続を許可し、非 SSL 接続を拒否します。ただし、ゲートウェイを HTTP モードで実行するように設定することもできます。HTTPS モードで発生する、SSL セッションの管理、SSL トラフィックの暗号化と復号化に伴うオーバーヘッドが取り除かれるため、ゲートウェイのパフォーマンスが向上します。

Procedure起動モードを設定する

  1. Portal Server 管理コンソールに管理者としてログオンします。

  2. 「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。

  3. 「コア」タブを選択します。

  4. 次の属性を変更します。

    HTTP 接続

    ゲートウェイでの非 SSL 接続の受け付けを許可する場合は「HTTP 接続」チェックボックスにチェックマークを付けます。

    HTTP ポート

    HTTP ポート番号を入力します。デフォルト値は 80 です。

    HTTPS 接続

    ゲートウェイでの SSL 接続の受け付けを許可する場合は「HTTPS 接続」チェックボックスにチェックマークを付けます。このオプションは、デフォルトで選択されています。

    HTTPS ポート

    HTTPS ポート番号を入力します。デフォルト値は 443 です。

    注 –

    次の属性は、『Sun Java System Portal Server 7.2 Command-Line Reference』「psadmin set-attribute」を使用して変更できます。

    /space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry

    • sunPortalGatewayDefaultDomainAndSubdomains=Default Domains

    • sunPortalGatewayLoggingEnabled=Enable Logging

    • sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging

    • sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging

    • sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging

    • sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing

    • sunPortalGatewayParserToURIMap=Parser to URI Mappings

    • sunPortalGatewayEnableObfuscation=Enable Masking

    • sunPortalGatewayObfuscationSecretKey=Seed String for Masking

    • sunPortalGatewayNotToObscureURIList=URIs not to Mask

    • sunPortalGatewayUseConsistentProtocolForGateway=Make

    • Gateway protocol Same as \n Original URI Protocol sunPortalGatewayEnableCookieManager=Store External Server Cookies

    • sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure

  5. 端末ウィンドウからゲートウェイを再起動します。

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway 


    
    		

    

    

    6. 



コアコンポーネントの設定


ネットレットを使用することで、インターネットなどのセキュリティーの弱いネットワークで一般的な TCP/IP サービスを安全に実行できます。TCP/IP アプリケーション (Telnet や SMTP など)、HTTP アプリケーション、同じポートを使用するすべてのアプリケーションを実行できます。ネットレットを有効にした場合は、ゲートウェイは着信トラフィックがネットレットトラフィックであるか、または Portal Server トラフィックであるかを判断する必要があります。ネットレットを無効にした場合は、ゲートウェイはすべての着信トラフィックが HTTP トラフィックと HTTPS トラフィックのいずれかであると仮定するため、オーバーヘッドが低減します。ネットレットは、Portal Server でアプリケーションをまったく使用しないことが確実な場合にだけ無効にしてください。



Procedureコンポーネントを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「コア」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    ネットレット 
    

    		

    ネットレットサービスを開始する場合は「有効」チェックボックスにチェックマークを付けます。このオプションは、デフォルトで選択されています。 
    

    		

    


    


    プロキシレット 
    

    		

    プロキシレットサービスを開始する場合は「有効」チェックボックスにチェックマークを付けます。このオプションは、デフォルトで選択されています。 
    

    		

    

    

    


     

    

     

    

    5. 


  5. 

    端末ウィンドウから、次のコマンドオプションを使用してゲートウェイを再起動します。
    


    
./psadmin start-sra-instance -u amadmin -f passwordfile -N  profilename -t gateway

    


    6. 



基本オプションの設定


「Cookie 管理」属性について


多くの Web サイトは、ユーザーセッションの追跡と管理に Cookie を使用しています。HTTP ヘッダーに Cookie が設定されている Web サイトにゲートウェイが要求をルーティングする場合、ゲートウェイは次の方法でそれらの Cookie を破棄するか、またはそのまま通過させます。



この設定は、Portal Server が Portal Server ユーザーセッションの追跡に使用する Cookie には適用されません。この設定は、「ユーザーセッション Cookie を転送する URL」オプションの設定によって制御されます。


この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトの Cookie を破棄し、別のサイトの Cookie を保持することはできない)。


注 – 
Cookie を使用しないゲートウェイであっても、「Cookie ドメイン」リストから URL を削除しないでください。「Cookie ドメイン」リストについては、『Access Manager 管理ガイド』を参照してください。




「HTTP 基本認証」属性について


ゲートウェイサービスには HTTP 基本認証を設定できます。


Web サイトは、サイトを閲覧する前にユーザー名とパスワードの入力を要求する HTTP 基本認証で保護することができます (HTTP 応答コードは 401、WWW 認証は BASIC)。Portal Server はユーザー名とパスワードを保存するため、ユーザーは BASIC で保護された Web サイトにふたたびアクセスするときに証明情報を再入力する必要はありません。これらの証明情報は、ディレクトリサーバー上のユーザープロファイルに保存されます。


BASIC で保護されたサイトをユーザーが訪問できるかどうかは、この設定によって決定するわけではありませんが、ユーザーが入力する証明情報がユーザーのプロファイルに確実に保存されます。


この設定は、ユーザーがアクセスを許可されたすべての Web サイトに適用されます (つまり、一部のサイトについて HTTP 基本認証のキャッシングを有効にし、別のサイトについて無効にするということはできない)。


注 – 
基本認証ではなく、Windows NT challenge/response (HTTP 応答コードは 401、WWW 認証は NTLM) で保護された Microsoft の IIS (Internet Information Server) が提供する URL のブラウズはサポートされません。




また、管理コンソールのアクセス制御サービスを使用して、シングルサインオンを有効にすることができます。


「Portal Server」属性について


ゲートウェイが要求に応答するように、複数の Portal Server を設定できます。ゲートウェイのインストール時に、ゲートウェイの稼動に必要な Portal Server を指定することがあります。この Portal Server は、デフォルトでは「Portal Server」フィールドに表示されます。その他の Portal Server を http://portal-server-name:port number の形式でリストに追加することができます。ゲートウェイは要求を処理するために、リスト内の各 Portal Server に順次アクセスを試みます。


「ユーザーセッション Cookie を転送する URL」属性について


Portal Server は、ユーザーセッションの追跡に Cookie を使用します。ゲートウェイがサーバーに HTTP 要求を送信すると (ユーザーのデスクトップページを生成するためにデスクトップサーブレットが呼び出される場合など)、この Cookie はサーバーに転送されます。サーバー上のアプリケーションはこの Cookie を使用して、ユーザーの検証と特定を行います。


Portal Server の Cookie は、サーバー以外のマシンに送信された HTTP 要求には転送されませんが、それらのマシンの URL が「ユーザーセッション Cookie を転送する URL」リストに指定されている場合は転送されます。したがってこのリストに URL を追加すると、サーブレットと CGI が Portal Server の Cookie を受け取り、API を使用してユーザーを特定することができます。


URL は後続の暗黙的なワイルドカードを使って照合されます。たとえば、リストのデフォルトエントリを次のように指定するとします。


http://server:8080


この場合、http://server:8080 から始まるすべての URL に Cookie が転送されます。


次のように指定するとします。


http://newmachine.eng.siroe.com/subdir


この場合、この文字列から始まるすべての URL に、Cookie が転送されます。


たとえば、「http://newmachine.eng/subdir」で始まるすべての URL には Cookie は転送されません。これはこの文字列が転送リスト内の文字列と完全に一致する文字列から始まっていないためです。このようなマシン名の変形で始まる URL に Cookie を転送するには、転送リストにエントリを追加する必要があります。


同様に、リストに適切なエントリが追加されている場合を除き、「https://newmachine.eng.siroe.com/subdir」から始まる URL には Cookie は転送されません。


「URL からセッションを取得」属性について


「URL からセッションを取得」オプションを有効にすると、Cookie をサポートするかどうかに関係なく、セッション情報が URL の一部として符号化されます。つまりゲートウェイは、クライアントのブラウザから送信されるセッション Cookie の代わりに URL に含まれるセッション情報を使用して検証を行います。



Procedure基本オプションを設定する


    


  1. 

    Portal Server 管理コンソールに管理者としてログオンします。
    


    2. 


  2. 

    「Secure Remote Access」タブを選択し、属性を変更するプロファイル名をクリックします。
    


    3. 


  3. 

    「コア」タブを選択します。
    


    4. 


  4. 

    次の属性を変更します。
    



    


    


    属性名 
    

    		

    説明 
    

    		

    

    


    


    Cookie 管理 
    

    		

    Cookie 管理を有効にする場合は「有効」チェックボックスにチェックマークを付けます。 
    

    このオプションは、デフォルトで選択されています。 
    

    		

    


    


    HTTP 基本認証 
    

    		

    「HTTP 基本認証を有効」チェックボックスにチェックマークを付けて、HTTP 基本認証を有効にします。 
    

    		

    


    


    Portal Server 
    

    		

    Portal Server を http://portal-server-name:port-number の形式でフィールドに指定し、「追加」をクリックします。
    

    「Portal Server」リストにさらに Portal Server を追加する場合は、この手順を繰り返します。 
    

    		

    


    


    ユーザーセッション Cookie を転送する URL 
    

    		

    ユーザーセッション Cookie を転送する URL を入力し、「追加」をクリックします。 
    

    「ユーザーセッション Cookie を転送する URL」リストにさらに URL を追加する場合は、この手順を繰り返します。 
    

    		

    


    


    ゲートウェイ最小認証レベル 
    

    		

    認証レベルを入力します。 
    

    デフォルトでは、すべてのレベルの認証を許可するようにアスタリスク (*) が追加されます。 
    

    		

    


    


    URL からセッションを取得 
    

    		

    URL からセッションの情報を取得する場合は「はい」を選択します。 
    

    デフォルトでは、「いいえ」オプションが選択されています。 
    

    		

    

    

    


     

    

     

    

    5.