Secure Global Desktop 4.31 管理者ガイド > ユーザーと認証 > Web サーバー認証で PKI クライアント証明書を使用できますか。

Web サーバー認証で PKI クライアント証明書を使用できますか。

はい。Web サーバー認証のセキュリティーを強化するために、有効な公開鍵インフラストラクチャー (PKI) がクライアントデバイスにインストールされているユーザーだけが認証されるようにすることができます。

Secure Global Desktop Web サーバー認証では、Web サーバーの REMOTE_USER 変数の設定に基づいて、ユーザーが識別されます。ただし、クライアント証明書を使用してユーザーを認証する場合には、この変数は設定されていません。次の設定を行うことにより、Apache Web サーバーに固有の SSL_CLIENT_S_DN_CN 変数を REMOTE_USER 変数にエクスポートすることができます。クライアント証明書を使用するときに Web サーバーに別の変数が設定されている場合は、Secure Global Desktop で他の Web 認証方式を使用する方法を確認してください。

クライアント証明書を有効にするには、次の手順でアレイの各メンバーを設定します。

1. /tarantella/cgi-bin/secure/ ディレクトリ (旧 Webtop) または /sgd URL (ブラウザベース Webtop) にアクセスするときにクライアント証明書を要求するように、Web サーバーの Web 認証を設定します。その方法は、使用する Web サーバーによって異なります。Secure Global Desktop Web Server には、mod_ssl モジュールが組み込まれています。
2. クライアント証明書を持っているユーザーだけが Web サーバーで認証されることをテストします。
3. 旧 Webtop の場合は、次のコマンドを実行してクライアント証明書のサポートを有効にします。

   tarantella config edit --tarantella-config-server-cgibin-bootscript secure/ttaauthclientcert.cgi

4. ブラウザベース Webtop の場合は、SSL_CLIENT_S_DN_CN 変数をエクスポートして Secure Global Desktop Web Server の Tomcat コンポーネントがそれらを利用できるように、Web サーバーを設定します。Secure Global Desktop Web Server の Apache コンポーネントに対しては、次の手順を行ないます。
   1. /opt/tarantella/webserver/apache/version/conf/httpd.conf ファイルを編集します。
   2. 次の行のコメントを解除します。
      JkEnvVar SSL_CLIENT_S_DN_CN " "
   3. 次の行のコメントを解除します。
      <Location "/sgd">
SSLOptions +StdEnvVars +ExportCertData
</Location>
5. Secure Global Desktop Web Server と Secure Global Desktop サーバーを再起動します。

この設定が完了したら、Array Manager の Web サーバー認証を有効にします。

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.