Secure Global Desktop 4.31 管理者ガイド > セキュリティー > Secure Global Desktop セキュリティーサービスを使用してクライアントの接続を保護する

Secure Global Desktop セキュリティーサービスを使用してクライアントの接続を保護する

このトピックの内容
Secure Global Desktop セキュリティーサービスの要点を理解します。セキュア接続を可能にする方法を習得します。

Secure Global Desktop セキュリティーサービスを使用すると、Secure Global Desktop クライアントと Secure Global Desktop サーバー間の接続を保護できます。接続の安全性は、SSL (Secure Sockets Layer) を使って実現されます。

セキュア接続には、次の利点があります。

利点	説明
盗聴されない	SSL は送信前にすべての情報を暗号化します。
改ざんされない	SSL はメッセージがクライアントと Secure Global Desktop サーバー間で変更されていないことを検査できます。
メッセージが偽造されない	SSL は、通信を実行する前にサーバーがその識別情報をクライアントに証明することを要求します。また、繰り返しの攻撃に対しても防護します。

インターネットのトランザクションは、たとえば、パケットスニフィング、DNS の偽装、および侵入者の攻撃など、多様な形態の攻撃にさらされています。SSL を使用していても、接続の安全性を保持できるのは、SSL を正しく設定した場合に限られるという点を認識することが重要です。

Secure Global Desktop セキュリティーサービスで可能なことは、進行中のセキュリティー戦略の一部としてセキュリティーレベルの向上を補助することだけです。既存のイントラネット自体を、安全性の高いイントラネットに変えることはできません。

Secure Global Desktop を最初にインストールした時点で、Secure Global Desktop クライアントと Secure Global Desktop サーバーとの初期接続は SSL でセキュリティー保護されます。しかしユーザーがログインしたあとは、セキュリティー保護されない、標準の接続になってしまいます。Secure Global Desktop との接続を恒久的にセキュリティー保護されたものにするには、Secure Global Desktop セキュリティーサービスを有効にしなければなりません。

Secure Global Desktop セキュリティーサービスを使用可能にする

Secure Global Desktop セキュリティーサービスを使用可能にする手順を次に示します。

Secure Global Desktopサーバー用の X.509 証明書を取得してインストールします。X.509 証明書は、Secure Global Desktop サーバーがクライアントデバイスにそのサーバー自体を識別させることを可能にします。使用できる X.509 証明書のタイプに関する重要なセキュリティー上の注意事項があります。
tarantella security start コマンドを使って、サーバーでセキュリティーサービスを使用可能にします。これにより、セキュア接続を使用できるように設定したユーザーのセキュア接続が有効になります。

クライアントと Secure Global Desktop サーバー間のセキュア接続にポート 5307/tcp を使用します。必要に応じ、このポートに対するネットワークトラフィックを許可するよう、ファイアウォールを設定してください。あるいはファイアウォール転送を使う方法もあります。

セキュリティーサービスとセキュア (HTTPS) Web サーバー

Secure Global Desktop セキュリティーサービスで保護されるのは、Secure Global Desktop クライアントと Secure Global Desktop サーバー間の接続だけです。Secure Global Desktop Web Server への接続を含む、その他の接続タイプはセキュリティー保護の対象になりません。Secure Global Desktop Web Server への接続を保護する場合は、ここに記述された手順を実行してください。

ブラウザベース Webtop を使用する場合や、ユーザー独自の Web アプリケーションを開発した場合は、必要に応じ、Secure Global Desktop サーバーへの SOAP 接続も保護してください。

ユーザーに別のタイプの接続を提供する

SSL ベースのセキュア接続を使うユーザーと、暗号化なしの標準接続を使うユーザーを決定できます。ユーザーに提供する接続を変えるには、人物オブジェクト、組織単位オブジェクト、または組織オブジェクトの「Connections」属性を設定します。

次の要因に基づいて接続のタイプを設定できます。

ユーザーの立場。セキュア接続が必要なのは、おそらく、経理部に所属するメンバーに限られます。
ユーザーのクライアントデバイスの DNS 名 (または IP アドレス)。Secure Global Desktop にアクセスする際にセキュア接続が必要なのは、おそらく、ユーザーがインターネットを使ってアクセスする場合に限られます。
Secure Global Desktop サーバーの DNS 名 (または IP アドレス)。ユーザーにセキュア接続が必要なのは、おそらく、ある特定の Secure Global Desktop サーバーにアクセスする場合に限られます。

ユーザーがユーザー名とパスワードを入力する前の、Secure Global Desktop サーバーへの初期接続は、常にセキュリティ保護されています。これは、ユーザー名とパスワードは常に安全に送信できるということです。ユーザーを識別したあとで、設定に従って接続を標準接続にダウングレードすることができます。

接続タイプをカスタマイズする例を次に示します。