Secure Global Desktop 4.40 管理者ガイド > はじめに > ユーザーと信頼されている SGD サーバー

ユーザーと信頼されている SGD サーバー

SGD を最初にインストールしたときは、SGD Client と SGD サーバー間の最初の接続は SSL によって保護されます。ただし、この接続は、ユーザーがログインしたあとに標準接続にダウングレードします。常に SSL を使って SGD に接続できるようにするには、SGD セキュリティーサービスを有効にする必要があります。

SGD では、SSL を使用する以外に、信頼されているサーバーだけに接続できるように、SGD に接続するユーザーを認証する必要があります。SGD サーバーに最初に接続すると、ユーザーがサーバーにはじめて接続していることがわかるように、「信頼されない初期接続」メッセージが表示されます。

注 サーバーのセキュリティー証明書に問題がある場合は、「信頼されない初期接続」メッセージよりも前にセキュリティー警告が表示されます。

ユーザーは、これらの詳細を確認してから、「はい」をクリックする必要があります。次の手順で詳細を確認するようにユーザーに指示してください。

1. メッセージに表示されたサーバーの名前が、接続しようとしているサーバーの名前と一致していることを確認します。
2. 証明書が正しいことを確認します。「証明書の表示」をクリックします。「証明書の詳細」ダイアログが表示されます。

   

3. 有効期間とサブジェクトの詳細が正しいことを確認します。
4. 「閉じる」をクリックします。

詳細が正しければ、「はい」をクリックして接続に同意します。

ユーザーが接続に同意すると、証明書のホスト名およびフィンガプリントがクライアントデバイス上の hostsvisited ファイルに追加されます。hostsvisited ファイルは、ユーザーのクライアントプロファイルキャッシュと同じ場所に保存されます。

問題が発生しないかぎり、接続に関するプロンプトがユーザーに表示されることはありません。

サーバー証明書のフィンガプリントが変更されたなどの理由で接続に問題が発生した場合は、「安全でない可能性のある接続」メッセージが表示されます。

ユーザーが信頼されている SGD サーバーだけに接続できるように、Secure Global Desktop 管理者 は次のことを行うことができます。

• 信頼されているサーバーのホスト名とフィンガプリントのリストをユーザーに提供します。アレイの各 SGD サーバーに tarantella security fingerprint コマンドを使用して、フィンガプリントのリストを取得します。
• サーバーに接続することに同意するとセキュリティー上どのように影響があるかをユーザーに説明します。

追加セキュリティー用の hostsvisited ファイルの使用

設定済みの hostsvisited ファイルを使用して、Sun Secure Global Desktop Client が接続可能な SGD サーバーを制限できます。これには、設定済みの hostsvisited ファイルをクライアントデバイスにインストールする必要があります。設定済みの hostsvisited ファイルを作成するもっとも簡単な方法は、既存の hostsvisited ファイルをコピーして編集することです。次の例に示すように、hostsvisited ファイルに <allowhostoverride> 行を手動で追加する必要もあります。

<?xml version="1.0" encoding="UTF-8" ?>
<array>
  <allowhostoverride>0</allowhostoverride>
  <server peername="boston.indigo-insurance.com">
    <certfingerprint>51:B7:6D:FA:6E:3B:BE:ED:37:73:D4:9D:5B:C5:71:F6</certfingerprint>
  </server>
</array>

<allowhostoverride> 行を省略した場合の影響は、hostsvisited ファイルに記載されているいずれかの SGD サーバーへの接続時に、確認を要求する画面がユーザーに表示されなくなることだけです。SGD Client がその他のサーバーに接続できなくなることはありません。

Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.