過去のナビゲーションリンクのスキップSecure Global Desktop 4.31 管理者ガイド > セキュリティー > Secure Global Desktop での SSH のインストールと使用

Secure Global Desktop での SSH のインストールと使用

SSH (Secure SHell) はネットワークに接続しているホストで安全にコマンドを実行できるようにするパッケージです。この用途の標準の UNIX コマンドの代わりに、より高いセキュリティーを提供します。

SSH は、標準の UNIX コマンドに比べて次の点が優れています。

Secure Global Desktop は SSH を使って、Secure Global Desktop サーバーとアプリケーションサーバーの間のセキュア接続を提供できます。

Secure Global Desktop では、version 2.x 以降の SSH を使用できます。

Secure Global Desktop は、SSH が次のいずれかのディレクトリにインストールされている場合には、そのことを自動的に検出します。

SSH が別の場所にインストールされている場合は、SSH クライアントの場所を設定できます。

SSH をインストールする

SSH がまだインストールされていない場合は、SSH をダウンロードし、上記のディレクトリのいずれかにインストールします。

  1. SSH を入手します。使用しているオペレーティングシステムに対応するパッケージをダウンロードするか、OpenSSH をダウンロードします。Secure Global Desktop では、version 2.x 以降の SSH を使用できます。
  2. セキュアアクセスを提供するすべての UNIX アプリケーションサーバーと、すべての Secure Global Desktop ホストに SSH をインストールします。

    SSH にはバージョン間の互換性の問題があるので、すべての Secure Global Desktop ホストとアプリケーションサーバーが安全に通信できるように、メジャー番号が同じ SSH (version 2 か version 3) を使用してください。

  3. X11 転送を有効にします
  4. SSH デーモンを起動します。
  5. tarantella restart コマンドを使って Secure Global Desktop サーバーを再起動します。

X11 の転送を有効にする

SSH を使って X アプリケーションをサポートするには、X11 転送を有効にする必要があります。各 Secure Global Desktop ホストで次の手順を実行します。

  1. SSH デーモンの構成ファイル (sshd_config) を編集して、次の行を追加します。 
    過去のコマンド構文またはプログラムコードのスキップX11Forwarding yes

    SSH デーモンがすでに稼働している場合は、sshd_config ファイルを変更したあとで再起動する必要があります。

  2. 次のいずれかの操作を行ないます。

SSH クライアントを設定する

Secure Global Desktop で SSH を使用する場合は、SSH クライアントで使用するコマンド行引数を設定できます。引数はグローバルに設定するか、個々のアプリケーションに対して設定するか、またはその両方を組み合わせて設定することができます。

SSH クライアントのグローバル設定

SSH クライアントのグローバル設定は、次の場合に使用します。

SSH クライアントのグローバルオプションを設定するには、TTASSHCLIENT 環境変数を次の手順で設定します。

  1. Secure Global Desktop サーバーを停止します。 
    過去のコマンド構文またはプログラムコードのスキップtarantella stop
  2. 環境変数 TTASSHCLIENT に SSH プログラムのフルパスと必要なコマンド行引数を設定します。たとえば、次のように指定します。 
    過去のコマンド構文またはプログラムコードのスキップTTASSHCLIENT="/usr/local/bin/ssh -q -X"; export TTASSHCLIENT

    SSH クライアントのコマンド行引数だけを設定する場合にも、SSH プログラムへのフルパスを含める必要があります。これは、SSH プログラムが自動的に検出される場所にある場合でも同様です。

  3. Secure Global Desktop サーバーを再起動します。 
    過去のコマンド構文またはプログラムコードのスキップtarantella start

SSH クライアントのアプリケーション設定

アプリケーションオブジェクトの SSH 引数 (--ssharguments) 属性を使用して、使用する SSH コマンド行引数を指定できます。

SSH クライアントのグローバル設定とアプリケーション設定を併用する

SSH クライアントのグローバル設定とアプリケーション設定を組み合わせて、SSH クライアントのパスとコマンド行引数を設定できます。

この場合、グローバルなコマンド行引数はすべて無視されます。

次の表は、使用される ssh コマンドがグローバル設定とアプリケーション設定によってどのように影響されるかを示しています。

グローバル設定 アプリケーション設定 使用される SSH コマンド
[なし] [なし] ssh -l user@host
[なし] -X ssh -X -l user@host
/usr/ssh -X [なし] /usr/ssh -X -l user@host
/usr/ssh -X -p port /usr/ssh -p port -l user@host

SSH および X セキュリティー拡張機能

Secure Global Desktop は X セキュリティー拡張機能をサポートします。-Y オプションをサポートする SSH のバージョンでのみ、X セキュリティー拡張機能は動作します。OpenSSH の場合、これは 3.8 以降のバージョンです。

アプリケーションの X セキュリティーサポートを有効にするには、「Enable X Security Extension」属性を使用します。

SSH の使用と X 認証

X 認証が有効になっているときに SSH 接続に失敗する場合は、IPv4 だけを使用するモードで SSH デーモンを実行してみてください。これは、サーバーで使用している Xsecurity 拡張が Secure Global Desktop でサポートされていないことがあるためです。IPv4 だけを使用するモードを有効にするには、システムの SSH 構成ファイルを編集します。たとえば、次のように編集します。

システムに SSH 構成ファイルがない場合は、作成することができます。

この変更を加えたら、SSH デーモンを再起動する必要があります。

高度な SSH 機能を使用する

クライアントキーなどの一部の SSH 機能では、SSH クライアントプロセスを特定の決まったユーザーとして実行する必要があります。以前のリリースの Secure Global Desktop では、サーバープロセスを UNIX root ユーザーとして実行したので、サーバーへのアクセスに制限はありませんでした。しかし、version 4.0 以降では、Secure Global Desktop サーバープロセスおよび SSH クライアントプロセスを、非特権ユーザーとして実行します。これは、セキュリティー上の理由です。以前の動作を復元するには、次のようにして Secure Global Desktop ttasshhelper アプリケーションを setuid root プロセスにする必要があります。

  1. Secure Global Desktop ホストに root としてログインします。
  2. 次のコマンドを実行します。 
    過去のコマンド構文またはプログラムコードのスキップchmod 4510 /opt/tarantella/bin/bin/ttasshhelper
chown root /opt/tarantella/bin/bin/ttasshhelper

こうした変更を行う場合は、承認されていないアクセスから Secure Global Desktop サーバーを保護することに十分に配慮してください。

SSH を使用するようにアプリケーションを設定する

アプリケーションを SSH プロトコルを使うように設定します。Object Manager を使って、セキュア接続が必要な各文字型アプリケーションオブジェクトまたは X アプリケーションオブジェクトの「Connection Method」属性を「SSH」と設定します。

関連トピック

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.