20-6. シンクライアントで安全安心 `2a/01〜 (1) シンクライアントの導入へ * シンクライアントの社内展開の方針 検討すべき事はシンクライアントのシステム構成、ネットワ−クの階層構造、無線LAN 設置の実際、ファイルサ−バの設置とバックアップ、ファイルの情報共有、それにユ−ザ 認証である。会社全部のパソコンを一挙に変えることができる訳でない。シンクライアン トの使用で無理のない部署から導入を始めていく。シンクライアントを総務、経理などか ら展開していってはどうか。モバイルシンクライアントは営業マンなど外出時にパソコン を紛失しても安全安心を約束する。必要な機器構成はいかに。一部の部署からにしても大 きなファイルサ−バがいるぞ。シンクライアント導入の単位はいかに、20台か50台か。 ブレ−ドサ−バで、仮想サ−バで、めんどうみれるパソコン台数があるはずだ。 従来のハ−ドディスク付きパソコンもある。一挙にはおきかえない。それだけのお金も出 ないし。この際、既存のディスク付きパソコンを流用してシンクライアントもどきにする のはやめる。やるとしたら部署毎に一挙にシンクライアントにして、他の部署のディスク 付きパソコンの予備にする。ハ−ドディスクなど稼働部品がないことにより故障しにくい というのもシンクライアントの大きなアドバンテ−ジである。ユ−ザには安心安全なコン ピュ−ティング環境を整備提供していくこと。それがIT部門の仕事のはずである。ただ し、シンクライアントはそんなに簡単に導入して使っていけるものではない。きちんと考 えておかないと、楽になるどころかまたまたハマル。 シンクライアントにして使えないソフトがあるとか、動作がおかしいとか。はたまた遅い とか言わせないようにしたい。多少お金がかかっても、この際ちゃんとしたものを構築し たい。シンクライアントの名称を知っているIT管理者はほとんどだが、仕組みを知って いる理解している人はあまりいないという調査結果があった。どんどん増加するパソコン のお守りTCO、それを軽減させる意味でシンクライアントを使う。外出時のノ−トパソ コンのことから考えてみるか。たとえハ−ドディスクを暗号化したとしても、未だにマス コミ沙汰になっている。やはり外に持ち出すノ−トパソコンには、デ−タが残らないよう にしたい。いつか暗号化は破られるのでしょ、いいんですかという言い方がされている。 * モバイルシンクライアントのテスト モバイルシンクライアントを一度試してみたいだけなら、HP社のシンクライアント用の ノ−トパソコン1台買えば試すことはできる。Windows XP Embedded が載ったパソコンで ある。これで SSL-VPN の FirePass で中継して、社内の Windows パソコンで RDPを有効 にしておきさえすればいい。Windows XP Embedded には FirePass で必要とする ActiveX を入れる。パソコンのフラッシュメモリに書き込みできるようにして、ActiveX をダウン ロ−ドしたら書き込みができないようにする。通常使用では書き込みできない、これでウ ィルスが入り込むのを防ぐ。シンクライアントの安全性確保がこの仕組みである。そして ユ−ザ認証として指紋認証の PUPPY かDDSを試してみる、という順序になる。 社内でのパソコンもシンクライアントを利用したいとなると、シンクライアントをシステ ムとしてテスト環境を作る必要がある。サ−バ側の仮想化をどうするかという、いきなり 検討は難しいものになる。うまくいけば、この拡張で全社に展開していける。そういう装 置を選定する必要がある。社内では無線LANでのネットワ−ク接続、社外ではモバイル 接続。指紋認証で便利にパソコンを利用する、スクリ−ンロックの解除やブラウザでのサ イトのログイン。ユ−ザはパスワ−ドを知らなくてもいい。これでパスワ−ドを忘れたと かパスワ−ドが漏れるという心配がなくなる。Active Directory のサ−バ、 NASなど ストレ−ジやファイルサ−バはまた別ということで。 パソコン個体認証はしない。指紋認証でパソコンを使用するユ−ザを特定できればそれで 十分である。SSL-VPN 装置をユ−ザ認証のゲ−トウェイとして用いるのがいい。DDSの 指紋認証は FirePassとアカウントで連携できる。PUPPY も FirePassとアカウントかデジ タルIDで連携できる。デジタルIDは PUPPY内に保管され、利用する際に指紋認証を必 要とする。指紋認証ができるならデジタルIDを更に用いるまでもない、ユ−ザIDとパ スワ−ドだけでいい。UBF-blue や UBF-neo は指紋の認証デ−タはUSBキ−内には保持 してない。別途管理サ−バにある。指紋情報を取られるのが嫌で個人持ちのUSBキ−内 に入れたい訳で。管理サ−バに入れるなら別にUSBキ−でなくても、どう考えるかだ。 * シンクライアントの装置選定の検討 シンクライアントと無線LANのことなど実際やってみた話にする。とりあえずユ−ザ認 証などには Active Directory は利用しない。 基本的なテストが確認できてから Active Directory のテストをやるならやってみる。2010年2月の気分的にはシンクライアン トのパソコンはHPがいいような気がする。仮想PC方式とか仮想デスクトップ方式とか 仮想クライアント方式とか言われているのがどうかと思っている。どうやら8割型が仮想 PC方式になっていくみたいな感じがする。ブレ−ドPC型は、パソコン1台につきブレ −ド1個を使う訳で集約率がどうしても低くなる。ブレ−ドPCは基本的にパソコンがた くさん集まっているだけ。電源ユニットが共通ぐらいの話か。一括してパッチを当てると かは別に有償の管理ソフトがいる。SI業者さんもブレ−ドPCはあまり勧めてこない。 Citrix のソフトを使う場合、XenServer と Desktop を使う。これは Windows Server は 使わない。これは Citrix の仮想PC方式というのが新たにでてきたということ。これが いいのでないか、仮想デスクトップ方式とも仮想クライアント方式ともいわれる。VMware のソフトを使う場合。Windows のOSにはできるだけ依存しないようにしよう。そうなる と Windows Server のタ−ミナルサ−ビスをベ−スにする Citrix XenAppは止めておこう ということになる。Windows サ−バのOSががたがたなのに仮想化ソフトはちゃんと動い ていた、そんな話も聞いた。ユ−ザのホ−ムディレクトリはどこにあるわけ?、UNIX 的に表現して。どうも移動プロファイラとかいうみたいだぞ。 いろいろ聞いているが、どうも RDP ではレスポンスがあまりよろしくない、 少々モバイ ル通信が速くなったからといって、気持ちよく使えるものではない。だいたいそんな感じ の意見である。日本仮想化技術(株)が速度を検証した "Virtual Desktop Infrastructure 検証動画" を見るとよい。Microsoft RDP 7.0 と Citrix ICA の実際の動作を比較検証し た動画を見ることができる。 PowerPoint のスライドショ−を一斉に実行するものである。 見てみると帯域 10Mbps で遅延 0ms でも相当違う、 1つの同じマシン内で動かしている 状況に相当する。帯域 10Mbps で遅延 10ms がLAN環境に相当する。しかし RDPはこん なに遅いのか。この結果からは社内では RDP でいいのでないかと思ったが、 社内でも外 からでも ICA を使うしかないということになる。`2a/04 * シンクライアントのクラウドサ−ビス 社内のパソコンもクラウドを利用するというのが DaaS( Desktop as a Service ) 仮想デ スクトップのASPサ−ビス。パソコン1台、月1万円から1万5千円ぐらいが想定され ている。画面転送型シンクライアントで、OSやアプリの実行はデ−タセンタ−の仮想サ −バで行なう。シンクライアントにすればインタ−ネットやWANでの帯域は小さくても 構わない。2009年の秋ぐらいからSI業者からも各社、出てきている。2010年5 月時点、実際に DaaS を利用して社内のパソコンを置き換えたという話は聞こえてこない。 2010年1月の思い。もはや Citrix によるシンクライアントでもないかも。パソコン はOSとアプリケ−ションは動かす。でもデ−タはNASにおく。プライベ−トクラウド でNASのファイルサ−バを借りる。遠州の方にある大学の話でパソコンをそうして行こ うというプランを話ていた。十分太い足周り回線がすでに用意されているので、できるこ とである。プロトコルは特に言ってなかった、どうも RDP を使うのでないか。 しかしク ラウドのサ−ビスは世界中から安いのを自前で探して利用するという。 INTEROP 2010 でソフトバンクのホワイトクラウドのデモを見た。 シンクライアントのク ラウドサ−ビスで RDP 接続していた。PowerPoint の表示はまったくストレスを感じなか った。内んとこの社内のパソコンよりも速いのでないか。Excel で日本語をいれて漢字変 換、これもスム−ス。RDP でこれだけできるのなら、これでいいぞ。VMware の PCoIP に わざわざするまでもないし、Citrix の ICA とか HDX とかでなくても構わない。 社内へ の回線接続はどうしていたのか、詳しい担当者がその時いなかったので聞けなかった。 * シンクライアントの社内ヘの実展開 社内に実際に導入していくのはどうするか。多分パソコン50台前後が1つのセットにな るのでないか。全社で500台あれば10セットという話である。仮想PC方式のサ−バ を本社に集中させるか分散させるか。仮想PCのバックアップをもつかどうか。各自のデ −タのストレ−ジとバックアップはどうするか、仮想PCのサ−バはHPとしてストレ− ジもHPにするか、あるいはEMCにするか。仮想化のバックアップは難しいみたい。仮 想化ではプリンタが使えないことがままあるとも聞いた。ともかく最初の1セットで半年 ぐらいはノウハウを習得していかなくてはならない。全社展開はその後だ。 サ−バは拠点毎に設置することにする。本社ヘのネットが途切れてもシンクライアントが 利用できないということにならないようにする。仮想PCサ−バを本社に集中するという のはやらないということ。拠点のパソコン10台、20台にはブレ−ドサ−バでなく縦置 きのマシンでいいだろう。奥行きのあるラックがすでにあれば2Uのマシンでもいい。問 題は音である。HPのブレ−ドサ−バはかなりうるさくて、現実的には狭い営業所なんか には置けないだろう。しかし VMWare で何らかの2重化をやろうとするとマシンは複数台、 外付けのディスクも必要となる。そこでクラウドの利用も考えたい。 自社内で2重化するのではなく、プライベ−トクラウドも利用して、バックアップをクラ ウド側におくのである。シンクライアントの自分の仮想PCは社内のマシンとクラウド上 のマシンにあるということ。社内のマシンがダウンした場合、クラウド上のマシンの自分 の仮想PCにアクセスすればパソコンが使える。デ−タのバックアップもクラウドのサ− ビスを利用すればいい。KDDIの WVS内のデ−タセンタ−でファイル共有サ−バをクラ ウドで提供している。シンクライアント用のサ−バなども提供していく考えはあるようで ある。あるいはKDDIの提携業者が提供するクラウドもある。実現できそうである。 * シンクライアントのクラウドと併用 シンクライアントのサ−バは予備をクラウドにもつ。そのうち1年ぐらいの間にサ−ビス として出てくるのでないか。予備サ−バの方でしっかりとデ−タを保持することにしたい。 デ−タというのはシンクライアントのユ−ザ個々のパソコンとしてのファイルである。多 分 VMotion で筐体2台にライセンスも2つの見積りは超えないのでないか。 ブレ−ドサ −バを導入しデ−タ用ディスクも入れる。RAID 5 でいい。 特にEMCのディスクまでは 入れない。VMotion などで筐体を冗長化することはしない。筐体が故障しても電源ユニッ トとかCPUボ−ドの交換と言うことでマシンの停止時間は半日ないし1日で済むだろう。 クラウドでのサ−ビスが出てくるまで、社内設置のマシンだけで予備なしで割り切る。ク ラウド利用がどういうことになるのか?。デ−タだけクラウド側にコピ−出来ていればシ ンクライアントが使えるのか。1ユ−ザ月1,500 円ぐらいの利用料が昨今、設定されてい る。500ユ−ザで月7万5千円、しれたものである。お決まりのワ−ド、エクセル、メ −ルは使えるだろう。自社設置のパソコンでは他にもアプリケ−ションを使っているだろ う。それはクラウド利用では使えない。これも一つ割り切りだろう。あるいはアプリケ− ションを入れることができるクラウドサ−ビスというのも出てくるかも知れない。 KDDIは VMware のゴ−ルドパ−トナ−の契約を結んだ。2010年7月に知った。と もかく今後、KDDIは VMware と密接に連携していく気配を感じる。多分 VMware によ るシンクライアントのサ−ビス、DaaSをやっていくつもりだと推測する。KDDIの新し いWANである WVS 内にあるデ−タセンタ−で DaaSを展開すれば、セキュリティも確保 できるし、ネットワ−クの遅延も小さく押えることができる。`2a/05/28 のセミナ−資料 でBCPの観点で作られた、VMware vCenter Site Recovery ManagerとEMCレプリケ− ション技術との連携でフェ−ルオ−バ−動作を自動化する。これで何か実現できそう。 * シンクライアントへの移行プロセス `2a/11/10 東京で開催された VMware フォ−ラムに行った。正確にはクラウドEXPOに行き寄った。 ここで Wise のシンクライアント用のモデムみたいな箱をみた。Linux ベ−スの独自OS が載ったの、Windows Embedded が載ったの。独自OSのはつまり RDP が動けばそれでい いということ。別に Windows XP Embeddedでなくても構わない。そのことに気付かされた。 かなり前から Wise の製品は知っていたが、見たのは初めてだった。ということはつまり 社内にある古いパソコン、Windows 2000 でも Windows XP でも RDP が動けばシンクライ アントとして使える。サ−バの方で仮想的に Windows 7 を動かせば、Windows 2000 パソ コンで Windows 7 が使えるということである。これまで考えてもいなかった。 Windows OSをこれからも使うとなれば、最新の Windows OSである Windows 7 に変え ていかなければならない。その移行プロセスを考える上で大きなメリットである。社内の パソコン全部を仮想化技術によるシンクライアントに置き換えるには、相当な費用がかか る。そこそこの企業でも数百台のパソコンはあるだろう。上の話なら、端末側であるパソ コンの新規購入代金を基本的になくすことができる。まあどっちにせよ古いパソコンなの で、いずれ新たにシンクライアントを買っていかなければならないのだが。こうしたこと でかかる費用を算出してみる。へたすると仮想化用サ−バの導入費用が相殺されてゼロに なるかもしれない。SI業者さん!、売り込みのセ−ルスト−クになるのでは。 問題はハ−ドディスク搭載のパソコンの情報漏洩に対することになる。情報漏洩が嫌でそ れにパソコンのTCOを減らすためにシンクライアントを導入しようと、そもそも考えた のである。RDP 接続している間、ロ−カルのディスクにキャッシュが作られたり、ロ−カ ルのディスクにファイルをコピ−したりできるかという。その逆にロ−カルのディスクの ファイルをアップロ−ドできるかという。多分それはないと思うのだが。そこのところが 一番肝心な点である。これらのことが自由にできると情報漏洩の可能性がでてくる。ロ− カルのディスクにファイルをコピ−するかはやってみれば分かる。ロ−カルのディスクに キャッシュができるか、残るかの確認はやっかいである。 (2) シンクライアントを調べる * 合言葉はシンクライアント 各パソコンでやっていたウィルスチェックとか、資産管理ソフトはもういらなくなるのか。 答えはブレ−ドPCであろうがブレ−ドサ−バであろうが、仮想化であろうが最終的に1 つのパソコンという勘定になる。これらをまとめて制御する何らかの管理ソフトがあれば、 それで個々のパソコンになった中身を把握することができるということ。仮想化したサ− バの安全性はいかに。あまり雑誌で取り上げられることはないが、結構危ないのでないか。 一括してやられる可能性がある。セキュリティ対策は考えておかないといけない。 シンクライアントのパソコンは安い訳でない。 OSは Windows XP Embedded を載せてい るし、フラシュメモリも 1GB とか 2GB とか載せている。ハ−ドディスクよりフラシュメ モリの方が高いぞ。またシンクライアントは簡単かといえばそうではない。パソコンを集 中制御するためにいろいろ覚えないけないことがたくさんある。ディスク領域の割り当て の変更とかも制御画面でできる。ざっと見たところ画面は全部英語。日本語画面はないみ たい。ブレ−ドサ−バを使うとなると、これの扱いも覚えないといけない。 ブレ−ドPC型はHPと日立が持っている、`28/06のNECのシンクライアントのセミナ −資料にて。`2a/05末頃、SI業者のエンジニアに聞いたところ。HPのブレ−ドPCは 今後なくなるかも知れないとのこと。Windows 7 のライセンスがネックになっているよう である。ブレ−ドPC型の方が仮想PC型より分かりやすいかも知れない。仮想PC方式 では一箇所でパッチあてやバ−ジョアップ等の作業ができるのは大きなメリットだが、パ ソコンのメンテナンスの手間自体は同じで減ることはない。 `2a/05末頃に聞いたところではシンクライアントなど仮想化の案件は7割方、VMwareとの ことである。Citrix の仮想化は元もとフリ−ソフトだった Xen を使っている。Xen より VMware の方が実際の実績や情報が豊富である。 Xen は情報収集にたらい回し的な感じが 残る。VMware はシンクライアントのプロトコルはどうしてたって RDP になる。しかしど こかの会社を買収して RDP に代わる速いプロトコル PC over IP、というのも出してきて いる。それに負けじと Citrix の方も HDX とか言うテクノロジを投入してきている。 * シンクライアントの安全性 シンクライアントが安全であると言っているのは、そのノ−トパソコンにハ−ドディスク が無く情報を置いておくことができない。それゆえ情報漏洩がそもそも起きないというこ と。しかしハ−ドディスクに代わる記憶装置は入っている。フラッシュメモリが入ってい る。フラッシュメモリに Windows XP Embedded か Windows CE が、 パソコンOSとして 入っている。他にも必要なアプリケ−ションが入っている、IEブラウザとか。それで本 当に安全といえるのか。Windows XP Embedded のパッチとかバ−ジョンアップとかはどう なのか、セキュリティ的にクリティカルなのがこれまであったのか。 Windows XP Embedded ではOSの起動時にフラシュメモリに書き込み禁止/許可ができる。 書き込みのできないメモリに最小限の Windows OSが入っている。ここには RDP や ICA のクライアント用ソフトも入っている。RDP プロトコルでサ−バにアクセスしてまるで自 分のパソコンのように利用ができる。実行はサ−バ側で行なわれ、一時ファイルも設定も サ−バ側のディスクにできる。ここにおかしなのが入るのでないのか。フラシュメモリで なくただのメモリにはおかしなのが入り込まないのか。入ってもパソコンの電源を切った ら消えるので安全ということなのか。でもパソコンが動いている間は危険だと思うが。 フラシュメモリと SSD( Solid State Drive ) の違いは。はたまたハ−ドディスクとの違 いは。フラシュメモリと SSD はパソコンの電源を切ったら、 書き込みされたのが消えて 電源を入れる前の記録内容に戻るということ、保証されるということ。重要な情報もこれ により媒体に残ることがない、だから安全という理屈だ。ならばハ−ドディスクでもそう いうようにすればいいじゃないかということで、そうしたソフトウェアが出ている。その ソフトがきちんと動作しさえすれば、フラシュメモリと SSDと遜色ないと思うが。フラシ ュメモリと SSD は同じものでした。SSD は Flash SSD の略だそうです。 Sun Ray はCPUもディスクもメモリも持たない。 2010年6月に改めて Sun Ray の 仕様を見てみた。Windows XP Embedded はその点、ウィルス感染は起きる。Sun Ray の方 が安全であるといっていた。シンクライアントとしてはパ−フェクトだ。モバイルはどう なんだ。Sun Ray のノ−トパソコンとか情報携帯端末ってあるのか。ないんじゃないのか。 Sun Ray の大口ユ−ザであるCTC、 会社に訪問すると商談室にそれぞれ Sun Ray 端末 が置かれている。ICカ−ドを差し込みアカウントを入れて、パソコン操作するのをいつ も見ている。ノ−トパソコンは普通の Windows みたい、持ち出しは極めて厳しいと聞く。 * シンクライアント用OSについて 例えばシンクライアント端末は買わない。既存の社内のパソコンに Windows XP Embedded をインスト−ルして流用する。パソコンを自作したり、パソコンにちょっと詳しい人なら できると思う。しかしこれはできない。テストに使うだけならマイクロソフトのサイトか らダウンロ−ドすることはできる。Windows XP Embedded はあくまでも装置への組み込み 用OSとしてマイクロソフトは提供している。だからパソコンショップの店頭では販売し てないし、SI業者でも企業向けに販売してない。ということで Windows XP Embeddedを 手にいれて、手元のデスクトップパソコンに入れるということはできない。2010年9 月、国内の大手パソコン家電系業者にこのこと確認した。 * シンクライアントの仮想化技術 Citrix サ−バとは XenApp のこと、旧 Citrix Presentation Server と言った。ICAプロ トコルは3種類ある。ICA( Independent Computing Architecture )。 ICA が専用で使用するポ−ト番号のこと。1604/UDP と 1494/TCP、80番ポ−トの HTTP と 1494/TCP、443 番ポ−トの HTTPS である。 画面転送型ではだめなアプリがある。試してみないと分からないでは困る。仮想PC型で も RDP 対応してないアプリケ−ションもある?。 仮想デスクトップは Citrix XenDesktop, Microsoft VDI, VMware View。アプリケ−ショ ン仮想化の画面転送型は Citrix XenApp, Microsoft RDS。 VMware のライセンス代はいくら。XenApp のライセンス代は最近いくら。 VMware の方が Citrix の ICA が無い分だけ安いかと思えばそうではない。そんなに変わらないらしい。 Citrix XenDesktop ソフトはどこで使うのか。XenDesktop をやるには Windows サ−バが いるみたい。RDBMS もいるみたい。コネクションブロ−カ−の Citrix Desktop Delivery Controller( DDC ) とは。 Citrix XenDesktop 4 と VMware View 4 は 2009/11 に出た。Microsoft VDI は Windows Server 2008 R2 (2009/09出荷開始) に搭載された新機能。 XenDesktop のサ−バ側は XenServer, Microsoft Hyper-V, VMWare ESX が使える。 仮想 インフラストラクチャという。 XenDesktop のクライアント。 Desktop Receiver Embedded Edition の全画面で実行する、 ユ−ザにはこれが分かりやすいのでないか。 Desktop Receiver ソフトはいろいろできる、 Web Interface とやらが窓口になる、ブラウザからも接続できる。 2009/11/20 発売 Enterprise Edition 1.8万円、Premier Edition 3.1万円。Premier は VMWare ThinApp 4 と VMWare View Composer が追加されている。 * VMware のシンクライアント技術 社内へのアクセス > VMWare View 4 に含まれる Security Server を経由する。 ソフトなので適当なマシン に入れてDMZに設置する。または FirePass などの SSL-VPN 装置を経由する。 画面転送プロトコル > RDP と PCoIP をサポ−トする。VMWare View Client ソフトの中でどちらかを選択する のだと思う。RDP のバ−ジョンには 5.x と 6.x がある。 VMWare View バ−ジョン4からシンクライアント用プロトコル PC over IP が搭載された。 略して PCoIP という。かなりCPUパワ−が必要だという話である。 5年ぐらい前のパ ソコンではもはや動かないらしい。VMWare View Client は View Connection Serverにア クセスする。シンクライアントの仕様をみると、最初から入っているのもある。シンクラ イアントにするパソコンには VMware View Client をインスト−ルしておく。 持ち出しパソコンの場合は、そのパソコンの VMware View Client からDMZ上においた VMware View Security Server に SSL 接続する。 基本的にユ−ザIDとパスワ−ドでユ −ザ認証をする。オプションでワンタイムパスワ−ドの SecureID だけ使うことができる。 これは SSL-VPN 装置がなくても VMware のソフトで社内接続できるようにする話である。 SSL-VPN 装置が既に設置してあれば、敢えてこのソフトは使う理由はないと思う。 1) Windows RDP シンクライアントに最初から入っている。Windows XP などに入っている。 2) VMWare View Client シンクライアント用でのログイン画面。Embedded OSにインスト−ルしておく。 3) FirePass の RDP エミュレ−ション IE画面をだして。FirePass にアクセスして HTTPS で通信。 4) FirePass の PCoIP エミュレ−ション サポ−トを始めているかどうか。展示会などで確認すること。 * Windows XP Embedded から Windows Embedded へ `2a/10 Windows XP Embedded はいつの間にか Windows Embedded に変わった。2010年に入っ てからか、HP社のカタログを見ていくと、いつからかよく見ると Windows Embedded と いう XP がない仕様が記載されていた。Windows XP Embedded が販売収束したと2010 年7月末に雑誌記事で知った。Windows Embedded OSの種類は幾つかあり、 シンクライ アントのパソコン用OSは Windows Embedded Standard 7 という。 Windows 7 を元にし ている。RDP 7 を搭載し、動画が滑らかである。Windows XP Embedded 搭載の市販パソコ ンは2010年10月にひっそりと無くなった模様。 今後 Windows XP Embedded のノ−トパソコンが手に入らなくなる。 となると Windows 7 と Windows Embedded を扱っていかざるを得ない。SSL-VPN 環境もそれに対応していかな いけない。FirePass の Windows 7 の対応は。 バ−ジョン 6.02 が Windows Vista に対 応する。6.1 が Windows 7 に対応する。FirePassが来たのは Windows 7 が出る以前だか ら、そもそも対応しているはずがない。バ−ジョンアップしていかないことには。パソコ ン個体認証 の ROUD はいかに。最新モデルの ROUD5000 でも、 Windows 7 は別途相談と 製品ホ−ムペ−ジに書かれてあった。ともかく問い合わせてみるか。 ※Windows XP Professional は 2010/7/13 SP2サポ−ト終了、2014/4/8延長サポ−ト終了。 ※Windows 7 は IE8。IE6 へのダウングレ−ドはできない。IE7 とは互換性は一応はある。 * 仮想化技術でこんなことができないか 手元のパソコン、とりあえず SuSE が入っているHPのマシンに VMware Playerを載せて みるか。さらにこれに Windows XP Embedded の評価版をのせ、 これでシンクライアント のテストをやってみるというのはどうだ。 VMware Player 上で Windows XP Embedded を 動かした例がネットにないか調べてみたがない。 そもそも VMware Player 上で Windows XP 等を動かした例もあまりでてなかった。Windows OSのライセンス規約、 違反うんぬ んで、仮想化するのはやりにくいようである。Windows XP Embedded というOS特有の難 しさもある。普通の Windows OSのようなインスト−ルの仕方ではないということ。 社 内の既存のパソコンをシンクライアント化するのに、Windows XP Embedded をインスト− ルする。少々厄介でもできれば、やってみたたいのだが。`2a/10いやできそうにないです。 SuSE が入っているマシンは HP ProLiant ML115 G5、自宅に置いてあるものです。 * 参考 HPが毎月送って来るセミナ−の案内冊子にらしいセミナ−はなし。シンクライアントの 情報は思った程少ない。本も全然ない。あってもただのお話し的な本が数冊あるだけ。下 記の "できる PROシンクライアント" という本をまず一冊、買って読んでみるか。HPの シンクライアントを紹介している。Windows XP Embedded の本、会社で頼んだら絶版にな っていた。ネットオ−クションでならある、でも高い、社内で手配する部署の人がみた時 は 4,600円ぐらいだった。オ−クションだから、もっと値段は上がるかも。この本は個人 で買うようなものではない。企業などで探している人は手に入れたいのだろう。2010 年3月、名古屋の栄地区など4ヶ所の本屋を探したけどなかった。 Windows XP Embedded の本は他に全然出版されていない。そもそも工場で組み込んで出荷するOSだから、一般 には流通してない、そのため本もなければ雑誌の記事もないのだろう。 「NETWORK MAGAZINE」2007/11, P.97〜109,"大手企業はこうして導入した 事例で学ぶシン > クライアント"。シンクライアントのスタンダ−ド Citrix、画面転送方式の Sun Ray活 用法、ネットワ−クブ−ト方式の Ardence。ん−、お話しであまり参考にならないか。 「MetaFrame XP 実践ガイド」 OpenDesign BOOKS, CQ出版社, 3,000円+税, 2002/06/15 > 初版。サ−バベ−スコンピュ−ティングの実現。2009年夏に病院でじっくり読んで みた。名称は MetaFrame が変わったが、仕組みの基本は変わってないと見た。 「できるPROシンクライアント Windows XP Embedded 編」2008/01/10,2380円+税、Impress > Japan。「できるPROシンクライアント モバイル編」特別版 PDF 68ペ−ジ, 2008/09 初 版発行。本の一部がHP社のサイトでダウンロ−ドできる 11.6 MB 分。 「日経コンピュ−タ」2010/07/21, P.82〜89, Close Up 仮想デスクトップ "元年" ワ−ク > スタイル変革の基礎に。日立ソフト SecureOnline デスクトップサ−ビス 1,500円1人。 VMware vSphere + Intramart グル−プウェア機能を提供。2009/10 開始。 (3) シンクライアントのテスト * モバイルでの接続テスト まずは使えることを確認すること。使い勝手はどうか、速度はどうか。そして ICA かRDP か、SSL-VPN か IPSec VPN か。 使い勝手は実際に社内に展開して行くのに見過ごせない ファクタ−である。シンクライアントのセミナ−でデモを見ると、 日常使う Windows の 画面を出すまで、かなり繁雑な手順をやっている。見ていて、今どこにいるのと何をやっ ているのと思ってしまう。こんな手順を素人さんにやって頂くのはちょっとどうかなと正 直感じた。そして速度も大事である。多分速度と言うより画面の反応が問題である。次の 画面がちっとも出てこない、これは体感的に遅く感じる。 SSL-VPN よりも IPSec VPN の 方がオ−バヘッドが小さいらしい。FortiGate で IPSec VPN のテストもしてみるか。 こ の場合は専用ソフト FortiClient をパソコンに入れる、フラッシュメモリに入れる?。 * テスト環境はできそうだ `2a/05 HP360 1U。そこそこ静か。起動時は少し大きな音が出るが。これならオフフィスにおく ことができるレベルだと思う。これ1台でシンクライアントのテストはできる。4、5台 分のシンクライアントをめんどうみれる。 AD も入れてユ−ザのプロファイルもこの中に 作る。SSL-VPN がすでにあればモバイルシンクライアントのテストもできる。テストでな く本番稼働させたいとなると VMotion を使いディスクを外付けにして、 2台のサ−バで 共有する。テストにはマイクロソフト社のテックネットの会員になること。これで好きな Windows OSをダウンロ−ドしてきて、検証用の Windows OSのライセンス。 テックネ ットのサブスクリプション初年度 3.9万円、次年度以降 2.9万円。 VMware のライセンス はちゃんとしたのがいる、30万円ぐらい。2010年5月頃の感触です。 * 急遽 HP 2533t を手配 `2a/10 `2a/10/21 SI業者の人と話していて、HPの 2533tが10月25日か末で販売終了する らしいと聞いた。マイクロソフトの Windows XP の終了に伴い Windows XP Embeddedモデ ルも終わるということらしい。翌日急遽1台頼んだ。 Windows XP でシンクライアントを 展開している所も、これはいかんということで駆けこみで一挙に百台とか発注していると のことである。22日、ネットを見たけど販売終了と言うのは見当たらなかった。パニッ クになるのを恐れて、ネットには情報を載せていないのかも知れない。8万円ぐらいで購 入。仕様は Windows XP Embedded Service Pack 3、メモリ:1GB(1024MBx1)PC2-5300 DDR2 -SDRAM(最大2GB)、フラッシュメモリディスク:1GB PATA Flash Module。 指紋認証センサ −なし、CD-ROMドライブなし。ソフトは RDP,ICA,IE,PDF Viewer,Windows Media Player。 * 来た HP 2533t の内容 `2a/10 発注して2週間で11月初めに物がきた。思ったよりも小さくて軽い。さすがハ−ドディ スが無いだけあって軽い。HP社以外のシンクライアントのノ−トパソコンはあるが、軽 いタイプはいきなり20万円近くするという。HPのモデルは価格も手頃でなかなかいい とSI業者の人が話していた。箱に入っていた資料で「=安心してお使いいただくために =」10ペ−ジ。6ペ−ジにシステムリカバリディスクの作成方法について、Windows XP モデルの場合、Vista の場合とある。2533t では関係ないんじゃないの。もう1つ「コン ピュ−タの準備 HP 2533t Mobile Thin Client 2008年5月」55ペ−ジ、いろんな言語で 書かれている、正味10ペ−ジ。動作電圧は 18.5V DC (3.50 A、65 Wの場合)、動作電流 3.50 A。詳しくはWebサイトでと書かれている。ドキュメントの CD-ROM もなし。 * やってみること `2a/10 Windows XP のノ−トパソコンを親にして、HP 2533t を子にしてシンクライアントである というのをやってみよう。USBの指紋認証キ−は PUPPY の方を試してみよう。 USB 指紋クライアントソフトを HP 2533t に入れ込むことができるか、先ずはその確認からだ。 その次にやることは FirePass に SSL-VPN 接続してログインして、 ファイル共有やメ− ルを利用してみること。それができたら SSL-VPN 接続して自分のパソコンに RDP でリモ −トアクセスする。ここまでは確認できる。そしてできれば購入予定しているHPのマシ ンに仮想化技術でもって Windows サ−バを稼働させる。 そこに自分用の仮想パソコンを 設定してみる、シンクライアントである 2533t からアクセスしてみる、FirePass 経由で もアクセスしてみる。Windows サ−バはお試しのをインスト−ルしてみるか。 * その前にやること `2a/11 今一度 FirePass と ROUD で普通のディスク付きパソコンで SSL-VPNアクセスをやってみ る。これらしばらく動かしていないので、ちゃんと動作して機能するか確認する。さらに 両者の設定も確認しておくこと。そして両者を Windows 7 に対応させる。 それには自分 でファ−ムウェアをバ−ジョンアップしないといけない。 二つ共 Windows 7 が出る前に 買った製品である。その頃から Windows OS が立て続けに出てきそうな気配を感じてい た。へたに実稼働させると装置をバ−ジョンアップできなくなる。いったん運用を始めた らおいそれと装置を止めることはできないし、動作確認のための時間も取れない。これま で運用を開始しないでおいて正解だった。 FirePass は購入業者に聞いたらF5社にマニ ュアルがあるので自分でやってということだった。ROUD は対応は別途と書いてあった。 * 先ずは電源を入れた `2b/01 電源入れたら Windows の画面まで何もせずに立ち上がった。ディスク付きの Windows パ ソコンって、最初いろいろやったような気がしたが。それで気付いたのはマウスがないと 言うこと。東京の展示会でもらった小振りなマウスがあったな。画面をざっと見て、そこ そこある資料を見て、案外簡単に設定できそうだという感触を持った。よ−し、一挙にや ってしまうか。いやその前に、もう一度めぼしい情報を拾ってみるか。2010年の秋頃、 ユニダックス(株)という会社のサイトに "Windows XP Embedded 技術情報" というのがあ るを見ていた。ちょっと難しそう。PDF 分の "できる PROシンクライアント" も読み返し てみた。最初にやらないかんことがその分にあった、有難い。取り上げているシンクライ アントの機種は、買ったのと同じ HP 2533t。 60ペ−ジのUSBキ−へのバックアップ の取り方、48ペ−ジは Juniper による SSL-VPN 接続。52ペ−ジは RDP 接続のこと。 * モバイルシンクライアントについて閃いた `2b/01 FirePass と ROUD と PUPPY。それに FortiGate で何がテストできるか。FortiGate にア クセスするのにユ−ザのアカウント認証をするか。それが通れば、社内の自分のパソコン にリモ−ト接続させる。これまで考えたことだとファイアウォ−ルでは外から使いたい社 内のパソコンへ、1台1台リモ−ト接続用するパケットを許可する設定をしないといけな かった。それが繁雑な話という認識で、やりたくない、やっても10台か20台までだよ ねということだった。それを外から内への RDPは全部許可にして、パスワ−ド制限をかけ るのである。外からというのは SSL-VPN 装置からということでいいはずである。 外から SSL-VPN 装置にアクセスするのに認証がいる、それで大きな安全性は確保されている。こ れならどんどんモバイルシンクライアントやってもらって構わない。いいんじゃないの。 * ここからは実践編です `2b/01 作業を始める前に手付かずの状態をバックアップ取っておくことにする。"できる PRO シ ンクライアント" の61ペ−ジ目に HP 2533t 1GBバイトモデルでは、2Gバイト以上 のUSBメモリを目安として用意と書かれてあった。バックアップのことは製品に付いて いた小冊子には出てなかった。"できる" は必須だな、PDF分以外の所は何が書かれている のか気になる。それで 4GB のUSBメモリを用意してやってみた。 パソコンの初期状態 では User で自動で立ち上がるようになっている。Administrator でログオンするのに癖 があった。USBメモリは暗号化とかパスワ−ド保護とかもないシンプルな奴。 Generic Flash Disk (4096 MB)(D:\) と認識された。手順通り作業をしていって15分で終わった かのように見えた。これでUSBメモリを抜かないこと。 後3分程して "Please remove the USB Flash ... と出てくる。これで本当にバックアップ完了である。 * HPサイトの参考資料は `2b/01 HPサポ−トセンタ− 法人向け http://www.hp.com/go/hpsc でHP製品の検索の画面で [ 2533t ] と入れてクリックしたら出てくる。 "HP 2533t モバイル シンクライアントサ ポ−ト" という画面が出てくる。ドライバ−、ソフトウェア、ファ−ムウェア、パッチ管 理、マニュアル、問題のトラブルシュ−ト、メンテナンスの実施、など結構たくさん情報 がある。マニュアルの所に3つの PDFファイルがある。ざっと見たが先の本の60ペ−ジ 分を読めばいらんか。"HP 2533t Mobile Thin Client 管理者向けリファレンス ガイド - Windows XP 更新日 2009/04/07 117ペ−ジ PDF"。もう1つ 2008/05/12 付けのPDFもある がこれは古いマニュアル。"エンドユ−ザ向けリファレンス ガイド - Windows XP 更新日 2008/05/12 84ペ−ジ PDF"、これもざっと目を通すだけでよろしい。 * テスト及び確認の手順 `2b/01 0) バックアップを取ること USBキ−に取ってみた。テスト準備OK。 1) マシンの初期状態の確認 DOS窓がない、netstat -an はできない。 2) 2台での RDP 動作の確認 クロスケ−ブルでつないで、すぐにできた。 3) FortiGate でユ−ザ認証 RDP パケット対象にユ−ザ認証できない?。 4) PUPPY でのユ−ザ認証 "(4)シンクライアントのユ−ザ認証" にて。 7) FirePassでRDP動作の確認 RDP ができたら PUPPYの指紋認証も使って。 8) ROUD の 2533t の登録 ディスクの無いパソコンが登録できるのか。 9) FirePass と ROUD で確認 SSL-VPN と RDPアクセス等いろいろテスト。 * HP 2533t をいじり始めた `2b/01 **** 急がば回れ、ともかく確実に1個1個確認していくのみ **** USBにバックアップを取った翌日、電源入れたらFBResealと言う画面がでて3分 First Boot Agent 画面で1分、それから Windows が立ち上がった。時折り何かパケットを止め ていると言うメッセ−ジが画面右下に出てくる。Windows のファイアウォ−ルは 2533tの 初期設定では動いてはない。無線LANの機能で何かチェックしているのでないか。 何もマシンの設定をやってない状態のプロセスを確認。DOS窓がないので netstatコマ ンド打てない。XP 用の Tcpview.exe を PUPPY のUSBメモリに入れて 2533t に差した。 実行してみたらエラ−になったがプロセスは見れた。上から ACInyUs 何とか hpusbvir何 とか、lsass.exe 2つ、mqsvc.exe 2つ、Smc.exe3つ、svchost.exe2つ、System2つ。 User ログオンでネットワ−クの設定をしてみた。IPアドレスなんかを入れた。 シャッ トダウンしたら設定は消えてしまった。シャットダウンせずにIEを起動して FortiGate の管理画面にアクセスできた。プロキシサ−バを介してインタ−ネットのサイトも見れた。 ネットワ−クの設定をしたのは、Admin 権限で EWFを更新しないと保存されないとのこと。 シャットダウンせずにとりあえず、いろいろ試してみるか。Windows XP を RDP サ−バに して、2533t をクロスケ−ブルで接続する。2533t は User で、XP は rootで立ち上げて いる。2533t の画面左に {Remote Desktop} というアイコンがある、クリックして XP の IPアドレスを入れた。root のアカウントを入れたら、一発で RDP 接続できた。 XP の設定は。画面アイコンの [マイコンピュ−タ] をマウス右クリック、 {プロパティ} クリックして [システムのプロパティ] 画面を出す。 [リモ−ト] をクリックして {リモ −ト デスクトップ} のところで、{このコンピュ−タにユ−ザがリモ−トで接続すること を許可する} に〆する。[リモ−トユ−ザの選択] の中はとりあえず空のまま。 マウスが付くかも確認。1つしかないUSBポ−トを使ってしまうぞ。展示会のおまけで もらって来ていた小ぶりなマウスを付けてみた。何もインスト−ルとかせず、すぐに使え た。USBハブ付きマウス、USB1.1、何とUSBポ−トが2個あるのだ。これに PUPPYを つないでみた。すぐに認識して使えた。Admin でログオンしたらドライブD:が出てくる。 IEの画面がえらくシンプルだ。右端の方の [ツ−ル] をクリックするとオプションの設 定メニュ−が出てくる。[インタ−ネット オプション] を選ぶと、ここは見慣れたメニュ −がでてくる。[セキュリティ] は中高、[プライバシ−]は中になっていた。早速 [接続] の {LANの設定} の {プロキシサ−バ−} を設定しインタ−ネットのサイトに行ってみた。 User でログオンすると {マイコンピュ−タ} には RAMDrive(Z:) だけ見える。 Admin で ログオンすると {マイコンピュ−タ} には、Local(C:)/RAMDrive(Z:)/共有ドキュメント/ Administratorのドキュメント/Userのドキュメント が出てくる。 Cドライブには見慣れ たフォルダやファイルが入っていた。 (4) シンクライアントのユ−ザ認証 `2a/01〜 * ソニ−の生体認証装置 PUUPY はシンクライアントに対応しているのだろうか。"Windows XP Embedded PUPPY"で 検索してみたがまるで記事はない。そうこうする内に指静脈認証ユニット FVA-U1 という のをソニ−は出してきた。2009/12/18 発売。技術は mofiria という。対応するソフトウ ェアが別途必要である。DDS社は EVE MA で利用可能にする、FVA-U1用のプラグインソ フトウェアを2010年第一四半期に計画している。DDS社以外にも数社がソフトを作 成している。FVA-U1 は四角いマッチ箱みたいな奴。 指静脈認証は極めて高いセキュリテ ィ要件を満たす必要がある場合に利用されている。これからも多分そうで、指紋認証と場 面に応じて使い分けられていくだろうと思われる。 PUPPY 関連で一つ紹介。(株)ロムウィンのROM化クライアントT4 という物。 PUPPY に Windows OSも入れて、パソコンをUSBキ−から起動させるという。便利そうだがなん かややこしい。6つのモデルがある。モバイル用途の RDP(画面転送型)モデル、USBデ バイスモデル。オフィス用途の Active Directory モデル、NAS移動プロファイルモデ ルなど。パンフレットに結構、誤字があるのだが。展示会で名刺を出してから、たまにメ −ルが来ている。`2b/01 のセミナ−の案内では T4 と PUPPY のセットを、えらいお得な 値段で購入できるとか。今度東京の展示会に行ったら、ブ−スがあればよく見てみるか。 ソニ−のノ−トパソコンを会社と自宅でほぼ同時期に買った。会社のは Type BX、これに 付いていた指紋認証ソフト Protector Suite QL 5.3、画面右下のアイコンは {青い右手} が出ていた。自宅のは Type SZ で、指紋認証のソフトは Protector Suite QL 5.6、画面 右下のアイコンは {赤い左手} が出ていた。これらのソフトを使おうとするとUPEK社 ソフトウェア製品エンドユ−ザ−ライセンス契約、うんぬんと出た。どうやら PUPPYの指 紋認証とは装置もソフトウェアも別物のようである。ノ−トパソコンに着いていた指紋認 証はそもそも指をスライドする方式のだから別物。2011年早々、ソニ−のサイトを見 たらまだ PUPPY ちゃんとありました。息の長い製品である。 * 認証のことを再度確認 USBキ−に指紋情報があると、別なパソコンに指紋認証ソフトを入れれば、そのパソコ ンでも指紋認証はできて使えることにはなる。 PUPPY ならUSBキ−にファイル共有サ−バなどにアクセスする画面のアカウント情報を 入れることができる。DDSでは UBF-mini ならできるが、mini は使うつもりはない。 ユ−ザのアカウントはパソコンに登録したもの、SSL-VPN に登録したもの、ファイル共有 サ−バに登録したもの、メ−ルサ−バに登録したもの。AD や LDAP に登録したもの。 SSL-VPN 装置と連携して指紋認証装置も働く。SSL-VPN 装置とは別で指紋認証装置は働く。 指紋照合デ−タはどこにあるかは問題、USBキ−内か管理サ−バか AD 管理内か。 シンクライアントの場合、パソコンに指紋認証ソフトはどこにあるか、入れるか。シンク ライアントのパソコン内かサ−バ側の仮想PC内かブレ−ドPC内か。 指紋認証で今アクセスしている人が本人であるかを判別する。MACアドレスで今アクセ スしているマシンが、そのものであるか判別する。 指紋認証するところ。SSL-VPN 接続する際に連携して社内の自分のパソコンにログオンす るところ。そしてアプリケ−ションを使う時のログイン。 ソニ−もDDSもこの1年に2009年に新しい認証ユニットを出してきた。シンクライ アントの Windows XP Embedded にソフトが入るかが、どちらを選ぶかの決め手になった。 また最初の方に戻るが、今一度何を認証するのか考えてみたい。どこで指紋認証のユ−ザ 認証を使うか。Windows のログオンでどうしても使わないといけない、そんなことはない。 * 指紋認証の PUPPY を 2533t にインスト−ルする `2b/01 PUPPY をへたにインスト−ルして、指紋認証でしかログオンできない設定になっていたり すると、とてもまずい。PUPPY の設定を復習しないとだめだ。PUPPY のクライアント用の CD-ROM をパソコンにセットして、PUPPY もパソコンに差して PUPPY のUSBメモリ領域 に CD-ROM の内容をそのままコピ−した。それで 2533t にインスト−ルしてみた。EWF緑 で作業してみた。おかしくなっても再起動したらインスト−ルしたのは全部、消えてしま うから大丈夫だ。注意すべき点が一つだけ。ちゃんと指紋を認識した。OK、使えるばい。 特に問題なさそう。いや {アカウントマネージャの起動} が入らなかった。パソコンのロ グオンとロック機構。パソコンのログイン画面はそのままだった。Windows ログオンの制 御が効かないということ。これぐらいは何とかできそうな気がする。 [スタ−ト]->[すべてのプログラム]->[Puppy Suite 810 Enterprise Edition クライント  -> Password Provider の起動 用]  -> Puppy Suite 810 ヘルプ -> ユ−ザマネ−ジャの起動  -> 証明書マネージャの起動 {アカウントマネージャの起動}が入らなかったのは今回だけではない。以前、会社のノ− トパソコンの Windows XP Professional にインスト−ルした際にも、 同様のことが起き ていた。デスクトップパソコンの Windows 2000 Professional では、{アカウントマネー ジャの起動} は入った。 念押しで自宅のノ−トパソコンの Windows XP Professional で もやってみた。PUPPY も UBF-mini も指紋認証のクライアント用ソフトは全部入った。 * RDP 接続時のログオンで指紋認証が使えないか `2b/01 単純に 2533t と Windows XP Professional のパソコンを、クロスケ−ブルでネットワ− ク接続した。2533t に入れた PUPPY の Password Provider をテストしてみる。XP にRDP 接続する、相手パソコンの {Windowsヘのログオン} 画面が出てくる。ユ−ザ名 root、パ スワ−ドを入れる。そこで Alt+"タッチパッドのクリック" して {デ−タの登録} 画面が 出てくるので [登録] する。その後 Shift キ−を押して {PUPPYの認識} 画面をだし指紋 認証する。"照合に成功しました"と出るが反応なし。相手先パソコンにログオンできない。 {Windowsヘのログオン} 画面がでた時点では 2533t の画面下アイコンは出てない、PUPPY もでてなかった。Shift キ−を押して {PUPPYの認識} 画面が出た時点では 2533t の画面 下のアイコンは出た、PUPPY もでた。Password Provider は使えないのかと思ったが、ご ちゃごちゃしている内にできるようになった。そうスマ−トではないということ。 * ユ−ザ認証の場面を幾つかテストしました `2b/01 TC(Thin Client) から社内の自分のパソコンに RDP アクセスするという想定にて。 以下 の環境は全部小生の手元で作りました。SSL-VPN 装置の FirePass は実際にDMZに設置。 FireWall の FireWall-1 では FirePass から社内の XP パソコンへだけ RDP を許可。シ ンクライアントの 2533t は実は XP と同じセグメントにあります。2533t から FirePass のバリアセグメントのIPアドレスにアクセスします。 これで 2533t はあたかも外にあ るのと同じことでテストができるのです。[a][b]のテストでは2台のパソコンをクロスケ −ブルで接続してもできます。自分でネットワ−クの絵を描いてみて下さい。 [a] TC にログオンする時 ( PUPPY のログオン制御のソフトが入らない ) [b] RDP で XP にログオンする時 ( PUPPY の Password Provider が使えない ) [a] 2533t [b] Windows XP [b] はあくまでもパソコンのログオンという ------- RDP ------- ことなので、そもそもPUPPY のログオン制御 | TC | -----> | XP | ソフトが入らないので、できないということ。 ------- ------- [c] FirePass に接続する時 ( PUPPY の Password Provider が使えた) [d] FireWall を通過する時 ( RDP に対してユ−ザ認証できない ) [a] [c] [d] [b] ------- HTTPS ---------- RDP ---------- RDP ------- | TC | ----> |FirePass| ----> |FireWall| -----> | XP | ------- ---------- ---------- ------- 認証の [c] が肝心である。PUPPY の Password Provider は使えたが、アカウント画面で PUPPY から代わりにパスワ−ドを送っているに過ぎない。より強力には PUPPYの指紋認証 と FirePass で連携認証できるといい。 FirePass でデジタルIDを発行して内部で管理 し、そのデジタルIDを PUPPY に入れて認証させることはできる。FirePass を設定にき たエンジニアと一緒にその時に動作を確認してみた。しかしデジタルIDうんぬんまでは 必要ないだろう。デジタルIDをやろうとすると管理の手間は半端でなくなる。 Password Provider を使えばキ−ロ−ガ−からはアカウントを盗まれることは防止できる。 しかし思うに、PUPPY のプログラムから FirePass のプログラムに文字列が流れることは 流れている訳で、これを傍受されはしないかその懸念が自分にはある。しかしそこまで危 惧する必要はないのかも知れない。ここのところ安全であるかないかは、Windows OSの プログラミングもちょいと勉強しないと分からない。どなたか分かる方、コメントをお寄 せ下さい。単に大丈夫というのでなく、こうこうだからと説明もできれば欲しい。 Password Provider を最初テストした際は便利でなくうっとうしいだけと思った。その時 は mixi のログインでやってみた。http://mixi.jp/home.pl というURLである。 これ でログインしてもURLは変わらず。そのためかまた認証画面が出てくる。ログアウトし てもまた出てくる。認証するとまたログインしてしまう。何か知らんがなんべんでも認証 画面が出てくる。そんなことで使えるのかと半信半疑でいたが、 FirePass のログインに 関しては何も問題ない。たま〜に Finger Click うんぬんで認識しないことがあるが。 (5) シンクライアント環境構築 `2b/01 * 2533t の要の機能 EWF EWF( Enhanced Write Filter ) を触ってみた。画面下の鍵の小さなアイコンは EWF が有 効だと緑、無効は赤、更新は黄色。通常は赤。EWF は有効になっていると書き込みがされ る。IPアドレスを設定して再起動しても設定がなくなっていないか確認した。Admin 権 限でログオンしてないとIPアドレスの設定はできない。 また Admin でフォルダを作っ てみた、C:\Documents and Settings\User\My Documnets\ に。 フォルダは再起動しても そのままあった、これっていかんのじゃないかな。 おかしいぞ。違う違う。通常は緑。緑だとEWFは有効で保存されないのだ。赤だと EWF は 無効で保存される。緑の状態の時でも更新をやると保存される。緑でC:\ ドライブに作っ たフォルダ、Z:\ に作ったフォルダも再起動したら消えていた。いかん、どうも鍵が赤に なっていると書込みが禁止になっているような気がして。EWF 無効でIEに FirePass の インスト−ルプログラムが入った、2533t には Adminでログオンしてのこと、一般ユ−ザ ではインスト−ルできなかった。一般ユ−ザで赤のまましばらく使った、大丈夫かや。 * いろいろ検討しました FirePass も内容が変わるので、FirePass のクライアントソフトをシンクライアントに入 れ直さないといけない。 クライアントソフトというのは ActiveX のコントロ−ルのこと になる。2533t に Admin でログオンして、 IEから FirePass にアクセスする。通常の ハ−ドディスク付き XP と変わらず、ダウンロ−ドしていた。 シンクライアントを SSL-VPN装置を介する意味は?。メリットは?。考えるまでもないか、 安全じゃないということに尽きる。FireWall は FireWall-1 から FortiGate に変えるつ もりでいるので FortiGate の SSL-VPN 機能を利用することも考えてもいい。FirePassに 固執することはない。まあ今さらそんな訳にはいかないけど。 シンクライアントでは FirePass のPWS機能は不要である。シンクライアントにはハ− ドディスクがないので。PWSは逆にハ−ドディスクがないように見せかける機能という ことがはっきり分かる。PWSのモ−ドに入ったら PUPPY は効かなくなった。 パソコン 個体認証の ROUD はPWSモ−ドでは効かない。 FireWall では FirePass から内側への RDPパケットはそのまま通してしまえばいい。RDP パケットの通過に対して特にユ−ザ認証するまでもない。 UTMの FortiGate では RDP パケットに対してユ−ザ認証はきかない。 FireWall-1 でもできるか確認したいところだ が、だいぶ前に FireWall-1 のユ−ザ認証を試して動作が不安定で閉口したことがある。 社内の自分のパソコンに RDP アクセスする。あるいは SSL-VPN らしく社内のメ−ルサ− バやファイル共有サ−バにアクセスする。指紋認証の場合は RDP 利用。 個体認証の場合 は指定サ−バのみ利用にするか。RDP アクセスの方が便利だよと誘導していく。最終的に は指紋認証だけ利用して個体認証はやめにする。 指紋認証装置であるUSBキ−の PUPPY は 2533t にずっと差しっぱなしにはしたくない。 2553t をログオン認証をするとなると、差しっぱなしになるのでないか。コンピュ−タの ロックをやるようにしているとそうなる。PUPPY を抜くと警告がでる。PUPPY を差してな いことにはパソコンのログオフもできなくなってしまう。最初から差さないかである。 FirePass 久しぶりに触ってみた。何となくできたぞ。PWSをやらない設定にして2533t に RDP アクセスしてみた。指紋も FirePass にログインする時に、 アカウントを PUPPY から流し込んでみた。PUPPY の Password Provider で。指紋がだめなら PUPPY のこの画 面でパスワ−ドを入れれば、それでもアカウントを流し込んでくれる。 PWSをやらない設定にするには。 FirePass で [エンドポイントセキュリティ]->[ログ オン前シ−ケンス] の { ログオン前シ−ケンス } で "◎pws_test" を "◎ログオン前イ ンスペクションなし" にした。FirePass には2つの利用ができるようにしてある。 ROUD を使うのとPWSでの RDP 接続である。後者の設定のまま上記の指定変更をしただけ。 * 指紋認証する場合の運用 指紋認証は上の [c] のところでやることにする。 PUPPY はそもそもここでしか指紋認証 を使うことができないようである、小生がテストしたところでは。 Windowsログオン/ロ ックを制御する PUPPY の {アカウントマネージャの起動}ソフトをインスト−ルすること ができなかったので。しかしこのことによりメリットもある。指紋認証装置をこの時だけ 差して認証に使えば後は抜いていいということ。2533t にはUSBポ−トは1つしかない。 PUPPY を抜いてマウスを差すことができるということである。下の方でUSBは訂正あり。 シンクライアントにログオンするのは共通の User 権限でのアカウントとする。FirePass に https://xxx.xxx.xxx アクセスして、FirePass のログイン画面が出るところで、自動 的に PUPPY の認証画面を出すことにする。指紋認証すると FirePassのログインのアカウ ントを流し込む、これも共通アカウントである。指紋をどうしても認識しない場合は、管 理者に問い合わせて PUPPY のパスワ−ドを教えてもらう。 これでアカウントを流し込む。 運用の話で、こういう事態になったら速やかに全部の PUPPY のパスワ−ドを変えるとか、 FirePassのログインのアカウントは絶対に教えないこととする。社内の自分のパソコンは 外出時には電源を入れておく。1年前、新型インフルエンザへのBCP対策を検討した際 に、FirePassにログインしたら患者各自の社内パソコンに RDP接続のメニュ−を出すよう にした。そのメニュ−はそのまま使った。社内のパソコンのIPアドレスをこれで入れな くても済む。この RDP接続は FirePass の機能であることに注意したい。そして社内の自 分のパソコンにログオンする画面が出たら、自分のアカウントを入れればいい。 2533t の液晶画面 ------------------------------------------------------------------------ | | アイコン Internet Explorer をクリックして | □ -------------------------------------------------------- | Internet |https://FirePass のバリアセグメント上のIPアドレス | Explorer |------------------------------------------------------- | | f5 NETWORKS ◇NEXT REMOTE ACEESS | |------------------------------------------------------- | □ | | Program |F5 Networks に -------------------------------------- | Neighborhood |リモ−トアクセ |PUPPYの認証 | | |スログオン |------------------------------------| | | |PUPPYに指を置いてください | | □ |ユ−ザ−名 | ------------ | | Remote | [ ] |ユ−ザ−名 [ PUPPY ] | | | | Desktop |パスワ−ド |認証方法 [ 指紋 ▼] | | | | Connection | [ ] |パスワ−ド [ ] | | | | | | [OK][キャンセル] ------------ | | | [ログオン] -------------------------------------- ↑ 登録した指を PUPPY に当てて照合に成功すると、ここにユ−ザ名 とパスワ−ドが PUPPY から流し込まれる。ユ−ザ名はそのまま表 示され、パスワ−ドは *** と表示される。そして次の画面がでる。 ------------------------------------------------------------------------ | | □ -------------------------------------------------------- | Internet |https://xxx ▼| 証明書のエラ− | | Explorer |------------------------------------------------------- | | f5 NETWORKS FirePass ◇ | □ |------------------------------------------------------- | Program | |タ−ミナルサ−バ [X]ログアウト | Neighborhood | |------------------------------------------------- | | | かとう君の会社のパソコン | □ | | | Remote | | よいこ君の会社のパソコン << これらは FirePassに備 | Desktop | | わっている RDP 機能に | Connection | | さえさんの会社のパソコン よるRDPアクセスである。 ↑ こちらは 2533t 自体からの RDP アクセスであることに注意。 PUPPY の暗号化機能の有効利用を考えてもいい。PUPPY は暗号化する領域としない領域を 自由に決められる。パソコンのハ−ドディスクはファイル単位で暗号化できる、フォルダ では暗号化できない。手元の PUPPY のUSBメモリとしては 1GBタイプ。{マイコンピュ −タ} で見るとリム−バル記憶領域があるデバイス FIU-850 (D:) として、普通に使える。 2533t の PDFビュ−ワなんかで、ただのパソコンとしてファイルを見ることができる。暗 号化したファイルを PUPPY に入れて、お客さん所で 2533t でそのままプレゼンするとか。 情報漏洩対策で社内のパソコンを操作ログをとっている場合、SSL-VPN 経由の RDP接続で あればシンクライアントであっても、そのまま操作ログを取ることができる。RDP アクセ スというのは、つまりは自分の社内のパソコンを使っていることになるので。シンクライ アントでも通常の SSL-VPN装置利用での指定サ−バへだけのアクセスだと、これではサ− バでログを取るしかない。社内の自分のパソコンはこの場合は使わないし、ログうんぬん も関係ない。情報漏洩対策においても、利便性においても RDP 接続を今後は勧めたい。 シンクライアントは指紋認証の装置は付いてないのを選ぶこととする。ハ−ドディスク付 きノ−トパソコンであったことで、同じメ−カのソニ−で同じ時期に購入した物でも、指 紋認証のソフトウェアのバ−ジョンが違い、操作もだいぶ異なっていた。指紋をとるテス トでは一方はすっと指紋画像が出てくっきりとれた。もう一方は指紋画像が何かすぐに出 てこない、やっと出たかと思いきや一部しかとれてなくて鮮明でない。また指紋認証のソ フトがデフォルトで動いていて、へたに触ると微妙にログオン周りが変わってくる。 こんな事ではとてもやめんどうみれない。ましてやメ−カがばらばらとかだと、もっと事 態は酷くなる。例えばHPなら全部HPのシンクライアントにするということ。しかし今 時点 PUPPY はHPでは使えることは分かったが、富士通はどうなのか。 ましてや Linux ベ−スの Wise とかは PUPPY は Windowsベ−スなので入らない。PUPPYはシンクライアン トを使用する人数分を一括して買う。 その前に Windows 7 ベ−スでの確認が必要である。 新規に PUPPYの管理用/クライアント用ソフト、指紋認証装置1つか2つ買って試すこと。 * 今後やること確認すること RDP アクセスができるユ−ザ権限を確認すること。User、PowerUser、Admin とか。2533t でIEのいろいろ証明書うんぬんと出てくる警告を出さないようにすること。 Windows 7 ベ−スで、シンクライアントと FirePass と PUPPYを確認すること。KDDIの営業さん に言ってモバイル WiMAX のカ−ドを借りて装着してみること。 そしてどう社内に展開し ていくか考えること。テスト用で購入した 2533t や PUPPY を、適当な人物にもたせて啓 蒙?活動をしてもらう。1台だけなら何とでもなる。すぐにでも動くことができる。 そしてそれ便利だね、自分も使いたい、順々に台数を増やしていく。多分95%これでう まく展開できていくと思う。しかしそれを全体費用を算出して計画を作り、関連部署にも 交えてモバイル環境の今後の在り方とか会議を開いて合意形成をして。まあそれが通常の アプロ−チなのだが、そんなことをやっていたら進まない。業者も交えてモバイル環境の 提案、構築プランを出してもらうと、それだけで百から2百万円は必要だろう。シンクラ アイント8万円、PUPPY2万円、WiMAXカ−ド2万円?。30台で5百万円位は先ずかかる。 しかし本来ならば、一連の動作を確認できた時点でイントラネットの管理者の役目は終わ りである。テスト環境を作って周囲の人等にデモを見せて、その後は運用する若手に作業 を移管するのが本筋だ。細々した検討はもはや本質的な仕事ではない。ミレ−の落ち穂拾 いみたいなことを貴方が手を下す必要はない。開発者が運用までやっていたんではもった いないということである。実際に運用を起動に乗せるのは大変なことである。内部統制上、 いろいろユ−ザ用の申請書類を整備する。そのための運用ル−ルを取り決めるとか。 指紋認証は上の [c] ということで部内で他の人にもデモってみせた。2533tのUSBポ− トは1つだけでなかったと分かった。右側面に1つあるのを見ていたが、左にも2つあっ た。社内のパソコンに RDP接続する時のユ−ザアカウント、これはその社内のパソコンの ログオンのアカウントである。ユ−ザ認証は Active Directory を見るようになっていれ ば多分そのままみる。PUPPY の指紋認証には Active Directory は関係ない。うまい使い 分けと思うがいかが。USBメモリを 2533t に着けたらコピ−できるか確認のこと。 VMware View ServerのUSBリダイレクト機能は。シ ------------ ------------ ンクライアントにUSBキ−を差す、このパソコンで |Windows XP| |サ−バ内の| の管轄ではなくサ−バ内の仮想マシンにUSBキ−が |Embedded | |taroの仮想| 差されたことになる。taroの仮想マシンのディスクに |taro 使用 | |マシン | taroの指紋デ−タがある、シンクライアント内にはな ------------ ------------ い。指紋クライアント用ソフトは仮想マシンに入れる。 | | ----------------------------- * 指紋認証装置のシンクライアント対応とは PUUPY やDDSの指紋認証装置はシンクライアントに対応しているのか。そもそもシンク ライアントに対応しているかとは、どういうことか。シンクライアント用のOSである例 えば Windows XP Embedded に PUPPY のクライアント用ソフトを、先ずはインスト−ルす ることができるということ、そして使えるかということ。通常のインスト−ルのやり方で はないみたい。 いやOSに密接に関係するドライバソフトでなければ EWF を開けておけ ば、普通にインスト−ルできるみたい。シンクライアントのパソコンと管理ソフトのマシ ンとは、RDP ないし ICA で通信する。 PUPPY のソフトが RDP ないし ICA に対応してい るかということではない。少なくともDDSでは、シンクライアントのノ−トパソコンに インスト−ルできた機種というのがリストアップされている、要問い合わせだが。 `26/11/7, atmarkit の「組み込みOS技術解説 いまさら聞けない Windows XP Embedded 入門」。Windows XP Embedded は XP Professional の全ての機能を備え、 組み込み特有 の機能も追加されている。ソフトはバイナリ互換なので、アプリケ−ションやドライバソ フトは基本的には動作する、ドライバのコンポ−ネント化をしてソフトを追加する。 EWF (Enhanced Writer Filter) は XP Professional にはない。EWF はフラッシュメモリやデ ィスクの保護を行なう機能で、通常は書き込み禁止になっている。何かソフトをインスト −ルする時のみ書き込みを許可する。Windows XP Embedded Standard 2009 はWindows XP Service Pack3 をベ−スにした組み込みOS、Internet Explorer 7 搭載。Embeddedでは Windows Update はスケジュ−ル実行はできない、EWF は普段は書き込みできないから。 ※実際に試した様子は付録を参照のこと。なかなか厄介な代物でうまく行かなかった。 ------------------------------------------------------------------------------------ [ 付録 ] 指紋認証をシンクライアントで利用するには * PUPPY で HP 2533t でいよいよ試してみる `2b/01 PUPPY の Client 用のインスト−ル CD-ROM がある。2533t のUSBポ−トにUSB接続 の CD-ROM ドライブをつないで、そのままインスト−ルすればいいのかな。CD-ROMドライ ブがなければ CD-ROM に入っているのを、そのままUSBにコピ−してやってみるのはど うか。その前にもっと単純なアプリケ−ションをインスト−ルしてみて使えるかどうか確 かめてみてもいい。ひょっとすると atmarkit のいまさら聞けない Windows XP Embedded 入門に書かれている Windows Embedded Studioという開発ツ−ルを用いないといけないの か。どうもOSのカ−ネルに関係するようなドライバやアプリケ−ションの組込みを必要 とする場合の話のような気がする。OSへの機能追加など構築を行なう場合のことでない か。Windows Embedded Studio はソフト Target Analyzer, Target Designer, Component Designer という3つで構成されるという。何かややこしそうだ。 PUPPY のソフトをそのまま 2533t にインスト−ルしていいものかどうか。`2b/01/27外出 したついでに愛知県図書館に行ってみた。"できる PROシンクライアント"は本棚になかっ た。その代わり「Windows Embedded Standard 組み込みOS構築技法入門」2009/12/12初 版、日経BPソフトプレス、3千円+税があった。最初のペ−ジの方に2008年11月 にマイクロソフトは、Windows XP Professional をベ−スにした最後の組み込み機器向け の汎用OSとして Windows Embedded Standard 2009をリリ−スした、とあった。Windows XP Professional SP1/SP2 までは Windows XP Embedded といい、SP3はWindows Embedded Standard 2009 という。Target Analyzer などはOSランタイムイメ−ジを作成するため のツ−ル群であるとも書かれてあった。1センチもない薄い本だが内容はなかなか難しい。 やはり「できるPROシンクライアント Windows XP Embedded 編」があるといいな。 * HP 2533t 用のダウンロ−ドできるソフト `2b/01 http://h50146.www5.hp.com/products/desktops/thinclient/2533t/mobile/card_soft.ht ml、にモバイル環境に求められるクライアント環境。動作検証済みのデ−タ通信カ−ドと VPN機器が出ている。通信デバイスの追加方法ではウィザ−ドにしたがってやればよし。 SSL VPN は FirePass1200 機器バ−ジョン6.02 が、接続自動インスト−ルOKとあった。 http://h20000.www2.hp.com/bizsupport/TechSupport/SoftwareIndex.jsp?lang=en&cc=us 何たらというサイト。HP 2533t Mobile Thin Client の Download drivers and software ということで BIOS,Dreiver-Graphics,Operating System, Software などダウンロ−ドで きる。Citrix ICA もある、Current version は 10.200.2650 A 25 Jul 2008 である。 * DDS社の生体認証装置はどうだったか `2a/11 UBF-blue も指紋デ−タはUSBキ−内にはない、 キャッシュは利用するパソコン内に置 くこともできる、サ−バに保管される。UBF-neo も同様である。 UBF-mini は指紋デ−タ はUSBキ−内にある。シンクライアントに対応している EVE MA、EVE FA。Windows RDP や Citrix XenApp などに対応とパンフレットに書かれてある。UBF-mini はシンクライア ントでの利用はできないと書かれてある。EVE FAは大規模環境に対応可能な指紋認証シス テム。EVE MA は多要素認証統合プラットホ−ム、MA Server は Windows サ−バだけでい いみたい。MA Client は Windows XP と Vista 対応。Active Directory は必須ではない。 ミドルウェアプラットホ−ムとして提供されるので、実際に使えるよう開発が必要である。 EVE FA はオ−プン価格。 100ユ−ザ規模で200万円ぐらいからと発表報道資料に出 ていた。200万円に加えて保守料金が初年度から必要である。ずっとライセンス代だと 思っていた。なのでずっと使い続けるには毎年、ライセンス料金を払わないといけないと 思っていた。保守費用なので特にトラブルもなく安定して利用できているのであれば、保 守料を払うのを次やめても構わない。それを聞いてコスト面でちょっとばかりほっとした。 しかし相手が Windows のクライアントでありサ−バのOSだからな。 セキュリティのパ ッチを当てたら、指紋認証がうまく機能しなくなるとか。う−ん、有り得る話だ。 UBF-blue はスタンドアロ−ンとサ−バ利用がある。 EVE FA Standalone はサ−バ不要の スタンドアロ−ンだけ利用できる、指紋情報はパソコンに保存される、1個ソフトやライ センスなど全部で 1.5 万円ぐらいから、UBF-neo が使える。 これから試しに買ってみよ うという人には UBF-neo での EVE FA Standalone がいい。因み UBF-mini-S はUBF-mini のファ−ムウェアを書き換えて UBF-blue に換えた物。USBメモリ機能を無くしている ので、指紋デ−タはここには持てない。UBF-mini を既に大量に導入した所が UBF-blueに 変えたいという場合ヘの対応。ただし UBF-mini は2010年内ぐらいで無くなるだろう ということ。在庫がある分だけ売って新たには生産はしないということみたい。 * DDSの指紋認証を HP 2533t で試したかったが `2a/11 改めて問い合わせたら、試しに買ったDDSの製品はシンクライアントのパソコンでは使 えないことが分かった。DDS社で指紋認証を検証したパソコンの機種のことばかり気に 掛けていた。DDS社シはンクライアントに入れることができた機種のリストを作ってい る。HPの他にも日立や東芝の製品も確認しているようである。なんてこった。ともかく スタンドアロン版は使えない。サ−バ&クライアントでの EVE FA か EVE MA が必要であ る。Windows サ−バも立てて、サ−バ用の EVEソフトを入れないといけない。そしてシン クライアント端末のパソコンにソフトを入れること。 Active Directory はなくてもでき ると、これまで自分の書いたのを読み返したらそう書いていた。 PUPPY を 2533t に入れ た感触からして、多分 UBF-mini も 2533t にインスト−ルして使えるような気がする。