[タイトル]
公開アプリケーションに対するSmart Accessの設定
[概要]
この文書では、Access Gateway、Advanced Access Control、およびWeb Interfaceを使用しているCitrix Presentation Serverサーバーファーム内の公開アプリケーションに対してSmart Accessを設定する方法について、次の環境での設定手順を説明します。
Smart Accessを設定すると、エンドユーザーのユーザーインターフェイスにWeb Interface経由で公開されているCitrix Presentation Serverアプリケーションが表示されます。これは、次の図のようにAdvanced Access Control のデフォルトのユーザーインターフェイスに表示できます。公開アプリケーションだけが表示されるように設定することもできます。
[必要な製品とコンポーネント]
• Citrix Presentation Server 4.0
この製品は2005年7月にリリースされました。
• Web Interface v 4.2
このバージョンは、MyCitrix(https://secureportal.citrix.com)の「Downloads」セクションからダウンロードできます。Web Interface version 4.2をインストールするために古いバージョンのWeb Interfaceをインストールする必要はありません。また、古いバージョンのWeb Interfaceがインストールされているサーバーに、古いバージョンを残したままWeb Interface 4.2をインストールすることもできます。
• Access Suite管理コンソールHotfix ASC400W004
このHotfixはCTX108248 - ASC400W004 For Access Suite Console for MetaFrame Presentation Server 4.0 for Windows 2000 and 2003 から入手できます。このHotfixは、MetaFrame Access Suite管理コンソール(Presentation Server)がインストールされているコンピュータにインストールします。
• Access Gateway 4.2およびAdvanced Access Control 4.2
この製品は2005年12月にリリースされました。Subscription Advantageと共にAccess Gateway およびAdvanced Access Controlをご購入いただいた場合は、新しいバージョンをMyCitrix(https://secureportal.citrix.com)からダウンロードできます。
[Smart Access]
Smart Accessは、Access GatewayおよびAdvanced Access Controlを介して接続するクライアントコンピュータに関する特定の条件に基づいて、Presentation Serverアプリケーションやアプリケーションの各種機能を提供または制限する技術です。
Smart Access の実際の機能を設定する場所は、2つの範囲に限られています。チェックする条件はAdvanced Access Controlで設定し、それらの条件をPresentation Serverから、許可または拒否するリソースに適用します。その他の設定場所では、簡単な方法でSmart Accessの広範なフロントエンドを実現することができます。
Advanced Access Controlでは、ログオンポイント、認証強度、エンドポイント解析出力、クライアント証明書によって条件を表します。各フィルタは、これらの条件によって特徴付けられます。Advanced Access Controlでフィルタを作成することで、「そのフィルタの条件が満たされていたら、そのフィルタが適用されているすべてのポリシーまたはリソースを呼び出す」という、特定の種類の「アクセスシナリオ」を指定します。
たとえば、ログオンポイントXに対するフィルタを作成し、電子メールの使用を許可するポリシーにそのフィルタを適用した場合、これによって、ログオンポイントXにログオンしたユーザーには電子メールの使用が許可されます。一方、ログオンポイントYにログオンしたユーザーには電子メールの使用が許可されません。
Smart Accessも、これとほぼ同様に機能します。ただし、Presentation Serverでは、Advanced Access ControlのフィルタはPresentation Serverアプリケーションやアプリケーションポリシーの[アクセス制御]で適用されます。
たとえば、Advanced Access Controlのサーバーファームと上で作成したフィルタを、メモ帳などの公開アプリケーションに適用すると、ログオンポイントXにログオンしたユーザーには電子メールが届き、埋め込みのWeb Interfaceにメモ帳が表示されます。一方、ログオンポイントYにログオンしたユーザーには電子メールが届かず、Web Interfaceにメモ帳が表示されません。
Smart Accessは、以上のような機能です。
[設定手順]
関連する製品とコンポーネントをすべてインストールしたら、次の手順に従って設定します。
Presentation Server
1. Presentation Server管理コンソールで、Access Controlのアプリケーションのプロパティを以下の図のように設定します。Access Controlの設定を有効にするには、[MetaFrame Secure Access Manager 4.0以降を使用した接続を許可する]チェックボックスをオンにする必要があります。[以下のフィルタのいずれかに一致する接続]を選択すると、Advanced Access Control 4.0以降から接続したユーザーが一覧の条件を満たしていない場合に、そのユーザーに対してアプリケーションが表示されなくなります。以下の例は、公開アプリケーションの一覧を要求したときに「MyAAC」というAdvanced Access Controlサーバーファームから「External」というフィルタが送信された場合に限り、Wordを公開アプリケーションとして表示するという設定を示しています。
[ほかのすべての接続]チェックボックスをオンにすると、旧バージョンのAdvanced Access Controlから接続したユーザーが、アプリケーションへのアクセス方法にかかわらずこのアプリケーションを実行できるようになります。
Advanced Access Controlのフィルタに基づいてPresentation Serverのポリシーを設定する場合は、手順2.と3.を実行します。
2. Advanced Access Controlのフィルタに基づいて適用するPresentation Serverのポリシーを作成します。以下の例は、このアプリケーションが外部ネットワークからアクセスされた場合にクライアント側ドライブのマッピングを無効にするという設定を示しています。disableclientdriveというPresentation Serverポリシーによって、このポリシーの適用先アプリケーションに対してクライアント側ドライブのマッピングが無効になります。
3. Access Controlのフィルタに基づいて、このポリシーを適用します。これにより、「MyAAC」というAdvanced Access Controlサーバーファームから「External」という条件が送信された場合に常にこのポリシーが適用されます。
注:Advanced Access Controlフィルタは大文字と小文字を区別します。Access Contorolに作成されたものとまったく同じに入力する必要があります。
Web Interface
1. MetaFrame Access Suite管理コンソール(Presentation Server)で、Web Interfaceサイトを作成します。
2. アクセス方法として[Advanced Access Controlの使用]を選択し、Advanced Access Controlサーバーを指定します。サイトが作成済みである場合は、[アクセス方法の管理]からアクセスします。
3. Presentation Serverファームを指定してサーバーを設定します。また、XML Serviceが動作しているポートを正しく指定します。
4. サイトを作成したら、DMZ設定を指定します。新しいクライアントルートを作成し、Access Gatewayの外部(WAN側)IPアドレスを指定します。[マスク]には「255.255.255.255」を指定し、[アクセス方法]としては[Secure Gateway(直接)]を選択します。
5. Secure Gatewayの設定を指定します。
a [Secure Gatewayアドレスの完全修飾ドメイン名]ボックスには、Access Gatewayへのアクセスに使用する完全修飾ドメイン名を設定します。
b Secure Ticket AuthorityのURLを追加し、リスンするポート(XML Serviceがリスンするポートと同じポート)を指定します。たとえば、スタンドアロンモードのXML Serviceを使用している場合はhttp://<cpsserver>:8080/scripts/ctxsta.dll、XML ServiceとIISでポートを共有している場合はhttp://<cpsserver>:80/scripts/ctxsta.dllと設定します。<cpsserver>は、Presentation Server上でXML Serviceを実行しているサーバーの名前です。
Advanced Access Control
1. (MetaFrame Access Suite管理コンソール(Presentation Server)ではなく)Access Suite管理コンソールで、[ネットワークリソース]の[Webリソース]ノードをマウスの右ボタンでクリックし、[Webリソースの作成]タスクを選択してWebリソースを新規作成します。
a. [URL]に、作成したWeb Interfaceサイトの新しいURLを設定します。
b. [アプリケーションの種類]の一覧から[Citrix Web Interface 4.2以降]を選択します。
c. [統合Windows認証]チェックボックスをオンにします。
d. URLを作成したら、[ホームページ]にこのWeb Interfaceサイトを設定します。
2. 新しいアクセスポリシーを作成するか、既存のアクセスポリシーを編集します。
a. 手順1.で作成したWeb Interface Webリソースを選択します。
b. Webリソースの[アクセス]というポリシー設定を選択し、[許可]に設定します。
3. [ゲートウェイアプライアンス]ノードを選択し、[ゲートウェイアプライアンスのプロパティの編集]を選択します。
4. Secure Ticket Authorityを指定します。ここには、Web Interfaceの設定の手順5b.と同じSecure Ticket Authorityを設定する必要があります。
a. Presentation Server上でSecure Ticket AuthorityとXML Serviceを実行しているサーバーの名前を指定します。
b. STAおよびXML Serviceに対して設定されているポートを指定します。
c. [STAパス]の設定はそのままにします。
STAとXML Serviceによって、起動されるICAコネクションの検証とSmart Access機能に関するあらゆる情報の処理が行われるため、STAは必ず上記の指示に従って設定してください。
Access Gateway
1. Access Gateway Administration Toolで[Access Gateway Cluster]を選択し、[Advanced Options]タブで[Advanced Access Control]オプションを選択します。
2. Advanced Access Controlサーバーの完全修飾ドメイン名を指定します。[Name Service Providers]タブに、Advanced Access Controlサーバーの完全修飾ドメイン名を解決可能なDNSサーバーが既に設定されていることを確認します。
3. 証明書をインストールします。
a. ルート証明書:[Manage trusted root CA Certificates]をクリックし、[Administration]タブで、証明機関から入手したルート証明書をアップロードします。
b. サーバー証明書:
i. Access Gateway で[Generate CSR]タブをクリックし、1024ビットのキー長でCSRを作成します。[Common Name ]ボックスに、Access Gatewayへのアクセスに使用する完全修飾ドメインが設定されていることを確認します。
ii. 作成したCSRファイルを使って、証明書の発行要求を認証機関に送信します。証明書がbase64形式でエンコードされていることを確認します。
iii. Access Gateway Administration Toolで[Access Gateway Cluster]タブをクリックし、[Administration]タブの[Upload a signed Certificate]で証明書をアップロードします。
クライアント
1. ルートCA証明書が、クライアントデバイスの[信頼されたルート証明機関]の証明書ストアにインストールされていることを確認します。
[FAQ(Frequently Asked Questions)]
質問1:
Web Interface 4.2をインストールすると、Web Interface 4.0や4.1がアップグレードされますか?
答え:
いいえ、アップグレードされません。Web Interfaceの新しいバージョンは、古いバージョンを残したままインストールされます。異なるバージョンを共存させても問題はありません。ただし、4.0や4.1で作成したサイトは、4.2に移行する必要があります。詳しくは、以下の「質問3」を参照してください。
質問2:
Advanced Access ControlとWeb Interfaceを同じサーバーにインストールできますか?
答え:
はい、サーバーコンポーネントとコンソールコンポーネントの両方を同じサーバーにインストールできます。ただし、Advanced Access Controlの設定にはAccess Suite管理コンソールを、Web Interfaceの設定にはMetaFrame Access Suite管理コンソール(Presentation Server)を使用することに注意してください。
質問3:
どのようにしてWeb Interface 4.0サイトからWeb Interface 4.2へ設定を移行するのですか?
答え:
以下の手順で移行します。
1. Web Interface 4.0サイトで[設定のエクスポート]を選択し、生成された設定ファイルを保存します。
2. Web Interface 4.0サイトを削除します。
3. Web Interface 4.2サイトを新規作成します(ウィザードのデフォルト設定をそのまま使用します)。
4. [設定のインポート]タスクを選択し、手順1.で作成した設定ファイルを指定します。
5. このサイトでSmart Accessを有効にするには、[アクセス方法]の設定を、特定のAdvanced Access Controlサーバーを使用するように変更します。
質問4:
Citrix XML Serviceのポート共有モードとスタンドアロンモードの違いは何ですか?
答え:
スタンドアロンモードでは、XML Serviceは単独のサービスとして動作します。ポート共有モードでは、XML ServiceはIISのISAPI DLLとして動作します。XML Serviceとの通信でSSLを使用する場合は、ポート共有モードを使用してIISを保護する必要があります。スタンドアロンモードを使用する場合は、Advanced Access ControlがサポートしていないXML Relayを使用する必要があります(Web InterfaceはXML Relayをサポートしています)。
質問5:
XML ServiceはSTAの処理も実行するのですか?
答え:
Presentation Server 4.0の場合、スタンドアロンモードではSTAがXML Serviceの一部となります。ポート共有モードでは、別のISAPI拡張が使用されます。
質問6:
どのような場合に、[ゲートウェイアプライアンスのプロパティの編集]の[Secure Ticket Authority]ページの[STAパス]を変更する必要がありますか?
ポート共有モードを使用している場合は、スクリプトのパスを変更したら[STAパス]の設定も変更する必要があります。
[関連情報]
この資料は米国のCitrix Knowledge Baseで提供している情報をもとに作成したものです。
Document ID: CTX108638
Configuring Smart Access for Published Applications
