クライアント認証を無効にする理由は次のとおりです。
管理オーバーヘッドを減らす: セキュリティーは低下しますが、クライアント認証を無効にすることで、サーバー上のクライアント鍵の管理に必要な時間が節約されます。
アップグレード中のログメッセージをなくす: 古いサーバーを含むフェイルオーバーグループ内で Sun Ray サーバーをアップグレードすると、アップグレードされたサーバーは、鍵データを格納できず、サーバーがすべての鍵を未確認として扱うことを示すログメッセージを繰り返し生成します。クライアント認証は、グループ全体がアップグレードされたらすぐに有効にするようにしてください。
クライアント認証を無効にすると、セキュリティーリスクが発生します。クライアント認証を無効にする前に、結果を理解していることを確認してください。
クライアント認証を無効にすることは、Sun Ray サーバーを再起動しなくてもそれ以降のすべての接続に適用されます。
次のコマンドを使用してクライアント認証を無効にします。
# utcrypto -a auth_up_type=none
デフォルト以外のセキュリティーポリシーがすでに存在する場合は、-a
の代わりに -m
を使用します。
クライアント認証を有効にするには、auth_up_type
値に default
を設定します。
「詳細」->「セキュリティー」ページで、「クライアント認証」を選択解除し、「保存」をクリックします。
古いバージョンのファームウェアを実行しているクライアントへのアクセスを許可する必要がない場合、すべてのクライアントからクライアント認証を要求することでセキュリティーを高めることができます。
次のコマンドを使用してクライアント認証を強制します。
# utcrypto -m auth_up_type=DSA auth_mode=hard
デフォルト以外のセキュリティーポリシーがすでに存在する場合は、-m
の代わりに -a
を使用します。
「詳細」->「セキュリティー」ページに移動します。
「クライアント認証」オプションで、「セキュリティーモード」として「ハード」を選択します。
「保存」をクリックします。
Sun Ray クライアント鍵は、最初は未確認とみなされ、人間の介入によって特定のクライアントに対して真正として確認済みにする必要があります。Oracle Virtual Desktop Client 鍵は、Desktop Access Client が識別される ID がその鍵から一意に派生されるため、常に自動的に確認済み (自動確認) とみなされます。
次の手順は、クライアントへのアクセスが許可される前に確認済み鍵が必要というポリシーを設定します。より強力なポリシーを設定するには、Section 11.8.2, “すべてのクライアントからクライアント認証を強制する方法”で説明しているように、すべてのクライアントからクライアント認証を要求するセキュリティーポリシーを設定することをお勧めします。
現在のポリシーを表示します。
# utpolicy Current Policy: -a -g -z both -k pseudo -u pseudo
-c
オプションでクライアント認証ポリシーを設定します。
# utpolicy -a -g -z both -k pseudo -u pseudo -c
Sun Ray サービスを再起動します。
# utstart
「詳細」->「システムポリシー」タブページで、「クライアント認証」セクションの「クライアント鍵確認が必要」オプションを選択します。
サーバーグループ内のすべてのサーバーを再起動します。