クライアント認証をサポートするクライアント (Sun Ray クライアントまたは Oracle Virtual Desktop Client) は、クライアント認証用の公開 - 非公開鍵ペアを持っています。クライアント用の鍵ペアは、クライアントが適切なファームウェアで最初にブートするときに生成されます。

クライアントがサーバーに接続されていて、クライアント認証が有効になっているときは、クライアントはその公開鍵とクライアント識別子をサーバーに送信します。Sun Ray クライアントの場合、クライアント識別子は MAC アドレスです。サーバーが最初に確認できるのはクライアントが送信された鍵の所有者であることだけで、クライアントが送信されたクライアント ID を正規に使用しているかどうかは確認できません。

Sun Ray サーバーは、既知のクライアントとそれらの公開鍵のリストを Sun Ray データストアに格納します。格納された鍵は、特定のクライアントの鍵の真正性が人間の介入によって確認されたことを示すために、確認済みとマークできます。確認済みとマークされたクライアントの鍵がない場合には、クライアント認証機能が保証できるのは、クライアント識別子が異なる鍵を持つ複数の異なるクライアントによって使用されていないことだけです。鍵が確認されて確認済みとしてマークされたときにのみ、クライアント認証は実際にクライアントの識別情報を認証できます。

デフォルトでは、確認されていない鍵を持つクライアントは、クライアントの識別情報が異なる鍵で使用されていない限り、セッションが付与されます。クライアントに送信された複数の鍵がこのクライアントのセッションでの攻撃を示している場合があり、その場合このクライアントのセッションアクセスは拒否されます。ユーザーがクライアントへのアクセスを再度有効にするには、いずれかの鍵が真正であることを明示的に確認する必要があります。

認証済みクライアント識別情報を要求し、utpolicy コマンドまたは管理 GUI を使用して鍵が検証および確認されていないクライアントへのアクセスを拒否するという、より厳格なポリシーを選択できます。このポリシーを使用することを選択した場合、新しいクライアントを使用する前にそれぞれのクライアントの鍵を「確認済み」として明示的にマークする必要があります。このポリシーを十分に活用するために、セキュリティー構成内でクライアント認証モードを「ハード」に設定することもお勧めします。

クライアント識別情報とそれらに関連付けられた鍵を管理するために、utkeyadm コマンドを使用できます。クライアントに使用されるすべての鍵は、鍵管理ツールで一覧表示されます。

utkeyadm コマンドで、次の操作を実行できます。

クライアントの管理 GUI の「デスクトッププロパティー」ページで、クライアントに関連付けられている鍵を表示、確認、または削除することもできます。