Configuration Manager から設定データにアクセスするためには、デスクトップクライアントに Sun JavaTM Desktop System Configuration Agent が必要です。 Configuration Agent は、リモートの設定データリポジトリおよびアダプタと通信すると同時に、データを特定の設定システムに統合します。 現在サポートされている設定システムは、GConf、Mozilla Preferences、および StarSuite Registry です。
これらのコンポーネントはすべて、Java Desktop System の一部として出荷およびインストールされます。
Configuration Agent は、デスクトップユーザーのログイン ID に基づいて LDAP サーバーから情報を取得します。 組織のマッピングファイルの User/UniqueIdAttribute 設定により、ログイン ID と、LDAP サーバー内のユーザーエンティティがマッピングされます。 Configuration Agent はまた、ホストについての情報 (ホストの名前と IP アドレスなど) を取得します。 この情報は、組織のマッピングファイルの Host/UniqueIdAttribute 設定により、LDAP サーバー内のホストエンティティにマッピングされます。
LDAP サーバーにアクセスする場合、匿名または GSSAPI の 2 つの方法があります。 匿名アクセスでは、デスクトップ上での処理は必要ありません。 GSSAPI 方式では、デスクトップ上で Kerberos 資格情報を取得する必要があります。 Kerberos 資格情報とユーザーログインの取得を統合するには、pam_krb5() モジュールを Java Desktop System ホストにインストールおよび設定する必要があります。 Java Desktop System CD の /usr/share/doc/packages/pam_krb5/README.SuSE には、pam() モジュール用のサンプル設定があります。 また、gdm を使って Kerberos をユーザーログインに統合できます。たとえば、次の /etc/pam.d/gdm ファイルを使用できます。
#%PAM-1.0 auth required pam_unix2.so nullok #set_secrpc auth optional pam_krb5.so use_first_pass missing_keytab_ok ccache=SAFE putenv_direct account required pam_unix2.so password required pam_unix2.so #strict=false session required pam_unix2.so # trace or none session required pam_devperm.so session optional pam_console.so |
Configuration Agent は apoc パッケージの一部です。 対応する RPM をインストールすると、この API で必要になるファイルがインストールされ inetd に登録されます。 この RPM は手作業でも Java Desktop System インストール経由でもインストールできます。
リモートの設定データにアクセスするには、Configuration Agent に LDAP サーバーの位置を提供する必要があります。 この位置は、YaST2 設定ツールや autoYaST を使用しても、/opt/apoc/lib ディレクトリにある policymgr.properties プロパティを手作業で編集しても追加できます。 YaST2 の場合、このデータはネットワーク/詳細設定セクションに追加できます。
Configuration Agent を実行するには、次の情報が必要です。
対応するプロパティファイルキーを括弧内に示しています (適切な場合)。
ホスト名 (Server): LDAP サーバーのホスト名。
ポート (Port): LDAP サーバーのポート番号。
メタ設定アクセスユーザー名 (AuthDn): リポジトリに対する読み取り権および検索権を持つユーザーの完全な DN。
このディレクトリで匿名アクセスが有効である場合、この設定は空のままにしておくことができます。
メタ設定アクセスパスワード (Password): 登録された LDAP ユーザーのパスワード。
このディレクトリで匿名アクセスが有効である場合、この設定は空のままにしておくことができます。
ポリシーデータアクセス認証機構 (AuthType): LDAP サーバーによるユーザーの認証方法に応じて、GSSAPI または匿名のいずれかを指定できます。
ルートの位置 (BaseDn): LDAP リポジトリのベース DN。
ホスト識別子 (HostIdentifier): HostName または IPAddress を指定できます。また、ホストの確認に使用される LDAP 属性の内容と一致する設定が必要です。 この属性は、マッピングファイル内では Host/UniqueIdAttribute として指定されます。
接続タイムアウト (Connect Timeout): 接続を試みる時間 (秒)。この後、LDAP サーバーはタイムアウトします。 デフォルトは 1 秒です。
ブートストラップ設定と操作設定を変更する場合は、必ず、 Configuration Agent を再起動する必要があります。
Configuration Agent を Java Desktop System で再起動するには、関連するクライアントアプリケーションが動作していないことを確認し、root としてログインして、コマンド /opt/apoc/bin/apocd restart を入力します。
Configuration Agent の操作設定は、ローカルでもリモートでも設定できます。 この設定をローカルで設定するには、/opt/apoc/lib ディレクトリにある apocd.properties ファイルを編集します。 この設定をリモートで設定するには、Configuration Manager の Configuration Agent ポリシーを使用します。 このプロパティファイル内で、次の設定を指定できます。
DaemonPort: Configuration Agent がデスクトップ上の自分のクライアントからの通信を待機するポート。
MaxClientThreads: 同時に処理できるクライアント要求の最大数
MaxClientConnections: クライアント接続の最大数。
MaxRequestSize: クライアント要求の最大サイズ。
DaemonChangeDetectionInterval: この設定リストの変更検出周期 (分)。
ChangeDetectionInterval: クライアント設定データの変更検出周期 (分)。
GarbageCollectionInterval: ローカル設定データベースのガベージコレクション周期 (分)。
TimeToLive: ローカルデータベース内に非オフラインの設定データが留まる間隔 (分)。
LogLevel: エージェントのログファイルの詳細レベル
DaemonPort の設定はローカルでのみ変更できます。変更内容を有効にするには、エージェントを再起動する必要があります。 その他の設定はすべて、エージェント設定の次回の変更検出周期で有効になります。 LogLevel で指定するログレベルは、Java Logger レベルに一致する値であることが必要です。 このレベルは、重要度の降順に、 SEVERE、WARNING、INFO、CONFIG、FINE、FINER、および FINEST です。
リモート設定データの変更内容をクライアント側アプリケーションに伝播する処理を調整するために、「操作設定」で説明した ChangeDetectionInterval 設定を使用できます。 この設定で指定する値は、リモートに加えられた変更の内容がクライアントアプリケーションに反映されるまでの最大期間 (分) です。 ChangeDetectionInterval の値が小さくなるほど、Configuration Agent と LDAP サーバーの活動が増えます。 したがって、この設定値を調整する場合は注意が必要です。 たとえば、最初の配備段階でこの値を 1 分に設定するれば、クライアントアプリケーションに対するリモート設定の影響を簡単にテストできます。 テストが完了したら、この設定を初期値に戻します。
Configuration Agent は、次の 2 つのポートを使用します。
デーモンポート (デフォルトは 38900) は、デーモンがクライアントアプリケーションと通信するときに使用します。
デーモン管理ポート (デフォルトは 38901) は、デーモンコントローラプログラム apocdct1 がデーモンと通信するときに使用します。
デーモンポートを変更する:
デーモンポートを変更するには、デーモンの apocd.properties ファイルにある DaemonPort プロパティと、/etc/services ファイルと /etc/inetd.conf ファイルにある apocd エントリを変更する必要があります。 その後、デーモンを再起動して、inetd を再ロードします。
デーモン管理ポートを変更する:
デーモン管理ポートを変更するには、デーモンの apocd.properties ファイルにある DaemonAdminPort プロパティを変更する必要があります。 その後、デーモンを再起動します。
GConf アダプタは apoc-adapter-gconf パッケージの一部です。 このアダプタを対応する RPM からインストールすると、/etc/gconf/2/path にある GConf データソースパスは Configuration Manager ソースを含むように更新されます。 古いパスのバックアップは /etc/gconf/2/path.apocBackup に格納されます。 以前のパスがカスタムデータソースを参照している場合、デフォルトパスからの変更部分を新しくインストールされた Configuration Manager パスに結合することにより、パスを更新する必要があります。 アダプタから提供される 2 つのデータソースは、次のとおりです。
"apoc:readonly:": ポリシーの非保護設定へのアクセスを可能にします。 ユーザー設定の後、ローカルのデフォルト設定の前にこのデータソースを挿入します。
"apoc:readonly:mandatory@": ポリシーの保護設定へのアクセスを可能にします。 ローカルの必須設定の後、ユーザー設定の前にこのデータソースを挿入します。
Mozilla アダプタは mozilla-apoc-integration パッケージの一部です。 対応する RPM からアダプタをインストールすると、必要なファイルが Mozilla の既存インストールに追加され、自動的に登録されます。
StarSuite アダプタは標準の StarSuite インストールに含まれています。これにより、特殊な変更を加えることなく、ポリシー設定データにアクセスできます。