Secure Global Desktop 4.31 管理者ガイド > アプリケーション、ドキュメント、ホスト > Windows アプリケーションでのスマートカードの使用

Windows アプリケーションでのスマートカードの使用

Secure Global Desktop では、Windows Server 2003 アプリケーションサーバー上で動作するアプリケーションから、クライアントデバイスに取り付けられたスマートカードリーダーにアクセスできます。次の操作を行うことができます。

• スマートカードを使用して Windows Server 2003 サーバーにログオンする。
• Windows 2003 Server 上で動作するアプリケーションを使用しながら、スマートカード上のデータにアクセスする。たとえば、証明書を使用して電子メールの署名や暗号化を行う。

注 Windows 2000 Server アプリケーションサーバーは、スマートカードデバイスのリダイレクトをサポートしていません。

サポートしているクライアント

次のクライアントはスマートカードをサポートしています。

• サポートされている Windows、Linux、および Solaris クライアントプラットフォーム上の Sun Secure Global Desktop Client (ブラウザベース Webtop)
• サポートされている Linux および Solaris クライアントプラットフォーム上の Native Client for UNIX/Linux (旧 Webtop)
• サポートされている Windows クライアントプラットフォーム上の Microsoft Windows 対応 Native Client (旧 Webtop)

スマートカードのサポートを有効にする

スマートカードのサポートを有効にするには、次の手順を実行します。

1. Windows Server 2003 ドメインにスマートカードを配備します。
   • 主な設定手順については、「Smart card deployment checklist」を参照してください。
   • Windows Server 2003 のターミナルサービスで、スマートカードデバイスのリダイレクトが有効になっていることを確認します (デフォルトは有効)。
   • Secure Global Desktop を導入する前に、スマートカードが動作することを確認します。
2. クライアントデバイスにスマートカードリーダーを設定します。
3. Array Manager の「Array properties」パネルで、Secure Global Desktop スマートカードサービスが有効になっていることを確認します (デフォルトは有効)。
4. スマートカードを必要とする Windows アプリケーションが Microsoft RDP を Windows プロトコル (--winproto) として使用するように設定されていることを確認します。
5. Array Manager の「Application Launch properties」パネルで、「Allow smart card authentication」ボックスにチェックマークが付いている (デフォルト) ことを確認し、必要に応じて「Always use smart card box」の設定を変更します。

アプリケーションサーバーの認証ダイアログの設定

Array Manager の「Application Launch properties」パネル内のいくつかの属性は、Secure Global Desktop スマートカードサービスを使用するときのアプリケーションサーバー認証ダイアログの動作を制御しています。

「Allow smart card authentication」ボックスでは、スマートカードを使用してログインすることをユーザーに許可するか、またはユーザー名とパスワードを使用するログインのみを許可するかを制御します。

「Always use smart card Box」属性では、スマートカードを使用したログインをユーザーが選択した場合に、その選択を記憶 (キャッシュ) して同じアプリケーションサーバーへの次回のログイン時に利用するかどうか、およびユーザーがその設定を変更できるかどうかを制御します。このボックスに (ユーザーまたはシステムにより) チェックマークが付いている場合は、その決定がアプリケーションサーバーのパスワードキャッシュにキャッシュされます。

注 認証方法を選択できるかどうかや、スマートカードに関する決定をキャッシュできるかどうかは、アプリケーションサーバーの認証ダイアログにユーザーがアクセスできるかどうかによって決まります。Shift キーを押しながらクリックする機能をユーザーに対して無効にした場合、ユーザーはこのダイアログにアクセスできません。

クライアントデバイス上のスマートカードリーダーを設定する

Secure Global Desktop は、PC/SC (Personal Computer/Smart Card) 準拠のカードおよびリーダーに対応しています。詳細については、「PC/SC Workgroup」を参照してください。

Windows クライアント

Windows クライアントデバイスにリーダーと必要なドライバをインストールすると、Secure Global Desktop から実行するターミナルサービスセッションでスマートカードを利用できるようになります。

Linux および Solaris クライアント

Linux および Solaris クライアント上の Secure Global Desktop がスマートカードリーダーと対話できるようにするには、PCSC-Lite ライブラリをインストールする必要があります。PCSC-Lite は、UNIX/Linux 上の PC/SC フレームワークへのインタフェースを提供します。

Linux クライアントの場合は、次の場所から PCSC-Lite を入手できます。

• Linux ベンダー。たとえば、Fedora の場合は、Fedora Extras サイトからパッケージをダウンロードできます。
• MUSCLE プロジェクト (http://www.musclecard.com)

PCSC-Lite version 1.2.0 以降が必要です。

Solaris クライアントの場合は、次の場所から PCSC-Lite 互換ライブラリを入手できます。

• PC/SC Shim for SCF パッケージ
• Sun Ray PC/SC Bypass パッケージ

PC/SC Shim for SCF パッケージ (PCSCshim) を適用すると、PC/SC アプリケーションを Solaris Card Framework (SCF) で使用できます。このパッケージは、Sun の内部リーダーおよび Sun Ray のリーダーで動作するようになっています。Version 1.1.1 以降が必要です。PC/SC Shim は Solaris 10 に付属しています。その他の Solaris バージョン用の Shim は、MUSCLE プロジェクト (http://www.musclecard.com) から入手できます。

Sun Ray PC/SC Bypass パッケージ (SUNWsrcbp) には、Sun Ray リーダー用の PCSC-Lite インタフェースが用意されています。Sun Ray Server Software 用の最新パッチおよび最新の SUNWsrcbp パッケージが必要です。

Secure Global Desktop クライアントには、PCSC-Lite libpcsclite.so ライブラリファイルが必要です。通常は /usr/lib にインストールされていますが、動的リンカーに設定されているパスによって異なります。動的リンカーパス以外の場所にインストールされている場合、または別のライブラリファイルを使用する場合は、TTA_LIB_PCSCLITE 環境変数を使ってその場所を指定してください。この変数は、ユーザーの環境またはログインスクリプトに設定できます。

スマートカードを使用して Windows Server 2003 にログインする

1. Secure Global Desktop にログインします。
2. Webtop 上のリンクをクリックして、Windows アプリケーション/デスクトップを起動します。
3. アプリケーションサーバー認証ダイアログが表示されたら、「Use smart card」をクリックします。
4. 常にスマートカードを使用してログインする場合は、「Always use smart card」ボックスをクリックします。
5. 「Windows セキュリティー」ダイアログが表示されたら、スマートカードを挿入します。
6. PIN の入力を要求されたら、PIN を入力します。

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.