第 5 章 Linux および Solaris^TM へのデスクトップコンポーネントのインストール

この章では、Solaris および Linux オペレーティングシステムに固有の情報を提供します。

Configuration Manager から設定データにアクセスするためには、デスクトップクライアントに Java^TM Desktop System Configuration Agent が必要です。Configuration Agent は、リモートの設定データリポジトリおよびアダプタと通信すると同時に、データを特定の設定システムに統合します。現在サポートされている設定システムは、GConf、Java Preferences、Mozilla Preferences、および StarSuite Registry です。

Configuration Agent

Configuration Agent は、次の表に示す各種のパッケージに含まれています。

上記のパッケージをインストールすると、この API に必要なファイルもインストールされます。このパッケージは手作業でも Java Desktop System インストール経由でもインストールできます。インストール後は、自分のシステム上で Configuration Agent を設定および有効にする必要があります。

リモートの設定ファイルにアクセスするには、Configuration Agent に最小限のブートストラップ情報 (LDAP サーバーのホスト名やポートなど) が必要です。この情報は、policymgr.properties、apocd.properties、os.properties などのプロパティファイルの集合として保守されます。これらの属性ファイルはローカルの /etc/apoc ディレクトリに格納されます。これらのプロパティファイルは手作業でも、Configuration Agent の設定ウィザードでも編集できます。

この設定ウィザードは、グラフィカルユーザーインタフェースを提供し、これに従って Configuration Agent に必要な設定ができます。このウィザードのすべてのページで、対応するヘルプ画面が利用できます。このウィザードを起動するには、スーパーユーザー (root) として /usr/bin/apoc-config スクリプトを実行します。また、対応するデスクトップメニューエントリは、 設定/システムの設定/ネットワークの設定、あるいは、Nautilus ファイルマネージャの system-settings:///Network Settings より利用できます。

ウィザードはグラフィカルインタフェースを起動しなくても起動できます。たとえば、/usr/bin/apoc-config -nodisplay を実行すると、ウィザードはコンソールモードで起動します。

ブートストラップ情報

図 5–1 Configuration Agent、設定リポジトリ

対応するプロパティファイルキーを括弧内に示しています (適切な場合)。

• サーバー識別子 (Server): LDAP サーバーのホスト名。

• サーバーポート (Port): LDAP サーバーのポート番号。

• サフィックス (BaseDn): LDAP リポジトリのベース DN。

• 状態: Configuration Agent の状態。このチェックボックスを使用すると、Configuration Agent をアクティブまたは非アクティブにできます。設定リポジトリを使用するには、Configuration Agent をアクティブにしておく必要があります。アクティブにすると、inetd への必要な登録も自動的に行われます。

  ---

  注 –

  Configuration Agent を手作業で有効または無効にするには、root としてログインして、それぞれ、コマンド /usr/lib/apocd enable または /usr/lib/apocd disable を入力します。

  ---

図 5–2 Configuration Agent、認証機構

• ホスト識別子 (HostIdentifier): 「HostName」または「IPAddress」のいずれかを指定できます。この識別子は、ホストを識別するときに使用する LDAP 属性の内容に一致するように設定する必要があります。この属性は、マッピングファイル内では Host/UniqueIdAttribute として指定されます。

• Configuration Agent の 認証タイプ: 「匿名」または「Simple」のいずれかを指定できます。「匿名」を選択した場合、「認証ユーザー名」と「パスワード」フィールドは自動的に無効になります。

• 認証ユーザー名 (AuthDn): リポジトリに対する読み取り権および検索権を持つユーザーの完全な DN。

• パスワード (Password): 登録された LDAP ユーザーのパスワード。

  ---

  注 –

  ディレクトリ内で匿名アクセスが有効である場合、「認証ユーザー名」と「パスワード」の設定は空白のままで構いません。

  ---

• アプリケーションの 認証タイプ (AuthType): LDAP サーバーによるユーザーの認証方法に応じて、「匿名」または「GSSAPI」のいずれかを指定できます。

  ---

  注 –

  詳細については、「データアクセス/ユーザー認証」を参照してください。

  ---

ポートの設定

Configuration Agent は、次の 2 つのポートを使用します。

• エージェントポート (DaemonPort): エージェントがクライアントアプリケーションと通信するときに使用します。デフォルトは 38900 です。

• 管理ポート (DaemonAdminPort): エージェントコントローラプログラム apocd が、エージェントと通信するときに使用します。デフォルトは 38901 です。

図 5–3 Configuration Agent、ポートの設定

変更検出間隔

Configuration Agent は、次の 2 つの間隔を使用して、設定データに変更があるかどうかを定期的にチェックします。

• 一般的な検出間隔 (ChangeDetectionInterval): デスクトップアプリケーション (クライアント) の設定データの変更検出間隔 (分)。

  ---

  注 –

  -1 を指定すると、変更検出がオフになります。

  ---

• エージェント設定用の検出間隔 (DaemonChangeDetectionInterval): エージェントに固有な設定データの変更検出間隔 (分)。

  ---

  注 –

  -1 を指定すると、変更検出がオフになります。

  ---

汎用の検出間隔を使用すると、リモートの設定データの変更をクライアント側のアプリケーションに伝播する間隔を調整できます。この設定で指定する値は、リモートに加えられた変更の内容がクライアントアプリケーションに反映されるまでの最大期間（分）です。

この値が小さくなるほど、Configuration Agent と LDAP サーバーの活動が増えます。したがって、この設定値を調整する場合は注意が必要です。たとえば、最初の配備段階でこの値を 1 分に設定するれば、クライアントアプリケーションに対するリモート設定の影響を簡単にテストできます。テストが完了したら、この設定を初期値に戻します。

操作設定

図 5–4 Configuration Agent、データディレクトリ

次の設定が設定できます。

• データディレクトリ (DataDir): 実行時データを格納するために使用されるディレクトリ。デフォルトは /var/opt/apoc です。

• キャッシュしたデータの寿命 (TimeToLive): ローカルデータベース内にオフラインでない設定データが留まる間隔 (分)。

図 5–5 Configuration Agent、要求の処理とロギング

• ガベージコレクションの周期 (GarbageCollectionInterval): ローカル設定データベースのガベージコレクション周期 (分)。

• クライアントスレッドの最大数 (MaxClientThreads): 同時に処理できるクライアント要求の最大数。

• クライアント接続の最大数 (MaxClientConnections): クライアント接続の最大数。

• 要求の最大サイズ (MaxRequestSize): クライアント要求の最大サイズ。

• 接続タイムアウト (ConnectTimeout): LDAP サーバーが接続要求に応答できる間隔 (秒)。デフォルトは 1 秒です。

• ログのレベル (LogLevel): エージェントのログファイルの詳細レベル。ロギングレベルは Java Logger のレベルに一致します。次に、これらのレベルを重要度の降順に示します。

  • SEVERE

  • WARNING

  • INFO

  • CONFIG

  • FINE

  • FINER

  • FINEST

ほとんどの操作設定 (「データディレクトリ」と「接続タイムアウト」の設定を除く) は、LDAP サーバーに格納された対応するポリシー経由で集中的に保守できます。この機能を使用する場合は、対応する設定をウィザードで変更しないでください。代わりに、Configuration Manager 内の Configuration Agent ポリシーを使用して、操作設定を集中的に指定します。

エージェント設定の適用

Configuration Manager を使用して LDAP サーバーに格納した操作設定 (「データディレクトリ」と「接続タイムアウト」の設定を除く) は、エージェント設定の次回の変更検出時に自動的に適用されます (DaemonChangeDetectionInterval を参照)。

図 5–6 Configuration Agent、設定の要約ページ

ローカルで変更したその他の設定については、Configuration Agent を再読み込みまたは再起動する必要があります。設定ウィザードを使用する場合、再読み込みまたは再起動は自動的に実行されます。

Configuration Agent を手作業で再起動するには、 関連するクライアントアプリケーションが動作していないことを確認し、root としてログインして、コマンド /usr/lib/apoc/apocd restart を入力します。

データアクセス/ユーザー認証

Configuration Agent は、デスクトップユーザーのログイン ID に基づいて LDAP サーバーから情報を取得します。組織のマッピングファイルの User/UniqueIdAttribute 設定により、ログイン ID と、LDAP サーバー内のユーザーエンティティがマッピングされます。Configuration Agent はまた、ホストについての情報 (ホストの名前と IP アドレスなど) を取得します。この情報は、組織のマッピングファイルの Host/UniqueIdAttribute 設定により、LDAP サーバー内のホストエンティティにマッピングされます。

LDAP サーバーにアクセスする場合、匿名または GSSAPI の 2 つの方法があります。匿名アクセスでは、デスクトップ上での処理は必要ありません。GSSAPI 方式では、デスクトップ上で Kerberos 資格情報を取得する必要があります。Kerberos 資格情報とユーザーログインの取得を統合するには、pam_krb5 モジュールを Java Desktop System ホストにインストールおよび設定する必要があります。

gdm を使用して Kerberos とユーザーログインを統合できます。たとえば、次のように /etc/pam.d/gdm ファイルを使用します。

#%PAM-1.0
auth   required    pam_unix2.so  nullok #set_secrpc
auth   optional  pam_krb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct
account required    pam_unix2.so 
password required    pam_unix2.so  #strict=false
session required    pam_unix2.so  # trace or none
session required    pam_devperm.so 
session optional    pam_console.so 

このように Kerberos をユーザーログインに統合する場合は、スクリーンセーバーの Kerberos サポートを有効にするとよいでしょう。たとえば、次のように /etc/pam.d/xscreensaver ファイルを使用します。

auth required pamkrb5.so use_first_pass missing_keytab_ok 
ccache=SAFE putenv_direct

GConf アダプタ

GConf アダプタは、Solaris の場合は SUNWapoc-adapter-gconf パッケージの一部であり、Linux の場合は apoc-adapter-gconf RPM の一部です。該当するパッケージまたは RPM からアダプタをインストールすると、/etc/gconf/2/path にある GConf データソースパスは Configuration Manager ソースを含むように更新されます。アダプタから提供される 2 つのデータソースは、次のとおりです。

• "apoc:readonly:": ポリシーの非保護設定へのアクセスを可能にします。ユーザー設定のあと、ローカルのデフォルト設定の前にこのデータソースを挿入します。

• "apoc:readonly:mandatory@": ポリシーの保護設定へのアクセスを可能にします。ローカルの必須設定のあと、ユーザー設定の前にこのデータソースを挿入します。

Java Preferences アダプタ

Java Preferences アダプタは、Solaris の場合は SUNWapcj パッケージの一部であり、Linux の場合は apoc-adapter-java RPM の一部です。該当するパッケージまたは RPM からアダプタをインストールすると、Solaris の /opt/SUNWapcj ディレクトリまたは Linux の /opt/apocjava ディレクトリに必要なファイルが追加されます。

Mozilla アダプタ

Mozilla アダプタは、Solaris の場合は SUNWmozapoc-adapter パッケージの一部であり、Linux の場合は mozilla-apoc-integration RPM の一部です。該当するパッケージまたは RPM からアダプタをインストールすると、必要なファイルが Mozilla の既存インストールに追加され、自動的に登録されます。

StarSuite アダプタ

StarSuite アダプタは標準の StarSuite インストールに含まれています。これにより、特殊な変更を加えることなく、ポリシー設定データにアクセスできます。