Sun Desktop Manager 1.0 インストールガイド

Configuration Agent

Configuration Agent は、次の表に示す各種のパッケージに含まれています。

Solaris のパッケージ名	説明
SUNWapbas	構成共有ライブラリ
SUNWapmsc	Configuration Agent に関するその他のファイル
SUNWapoc	Configuration Agent
SUNWapdc	Configuration Agent ウィザード

上記のパッケージをインストールすると、この API に必要なファイルもインストールされます。このパッケージは手作業でも Java Desktop System インストール経由でもインストールできます。インストール後は、自分のシステム上で Configuration Agent を構成および有効にする必要があります。

注 –

Configuration Agent パッケージは、Java Desktop System インストールで Solaris の一部としてインストールされますが、Desktop Manager は、適切なレベルの機能を提供するために、インストール中にこれらのファイルにパッチをあてます。

リモートの構成データにアクセスするには、Configuration Agent に最小限のブートストラップ情報 (LDAP サーバーのホスト名やポートなど) が必要です。この情報は、policymgr.properties、apocd.properties、os.properties などのプロパティーファイルの集合として保守されます。これらの属性ファイルはローカルの /etc/apoc ディレクトリに格納されます。これらのプロパティーファイル (付録 A 「構成パラメータ」参照) は手動でも、Configuration Agent の構成ウィザードでも編集できます。

この構成ウィザードは、グラフィカルユーザーインタフェースを提供し、これに従って Configuration Agent に必要な設定ができます。このウィザードのすべてのページで、対応するヘルプ画面が利用できます。このウィザードを起動するには、スーパーユーザー (root) として /usr/bin/apoc-config スクリプトを実行します。

注 –

ウィザードはグラフィカルインタフェースを起動しなくても起動できます。たとえば、/usr/bin/apoc-config -nodisplay を実行すると、ウィザードはコンソールモードで起動します。

ブートストラップ情報

図 3–1 Configuration Agent、構成リポジトリ

注 –

対応するプロパティーファイルキーを括弧内に示しています (適切な場合)。

状態: Configuration Agent の状態。このチェックボックスを使用すると、Configuration Agent をアクティブまたは非アクティブにできます。構成リポジトリを使用するには、Configuration Agent をアクティブにしておく必要があります。アクティブにすると、Solaris 上のサービス管理機能 (smf(5)) への必要な登録も自動的に行われます。
ホスト識別子 (HostIdentifierType): 「ホスト名」または「IP アドレス」のいずれかを指定できます。ホスト固有のポリシーデータを検索するとき、Configuration Agent は、ホスト名または IP アドレスのいずれかによって現在のホストを識別します。選択した「リポジトリタイプ」でホストを識別する方法に基づいて正しい値を選択します。
リポジトリタイプ: この設定を使用して、組織階層と構成データが LDAP またはファイルベースの記憶領域、あるいはその両方に定義されているかどうかを Configuration Agent に示します。

注 –
手動で Configuration Agent を有効または無効にするには、root としてログインして、有効にする場合は /usr/lib/apoc/apocd enable コマンドを入力し、無効にする場合は /usr/lib/apoc/apocd disable コマンドを入力します。

図 3–2 Configuration Agent、LDAP 階層とファイルベースの記憶領域

注 –

図 3–2 の画面は、前の画面で選択した「リポジトリタイプ」により異なります。「LDAP」または「ハイブリッド」リポジトリタイプを選択した場合、「サーバー識別子」、「サーバーポート」、および「サフィックス」が必須です。「ファイルベース」または「ハイブリッド」リポジトリタイプを選択した場合、「構成設定 URL」が必須です。

サーバー識別子: LDAP サーバーのホスト名。
サーバーポート: LDAP サーバーのポート番号。
サフィックス: LDAP リポジトリのベース DN。
構成設定 URL: ファイルベースのリポジトリの場所を指定する URL。

URL のリストを使用して、最初の URL への接続が成功しなかった場合の代替リポジトリを指定できます。リストは、file://<filepath>、http://<host>:<port>/<filepath>、または https://<host>:<port>/<filepath> の形式の、空白文字で区切られた 1 つ以上の URL で構成できます。詳細は、付録 A 「構成パラメータ」を参照してください。

注 –
エージェントは、最初に SSL 接続を使用して、LDAP サーバーにアクセスしようとします。接続に失敗すると、エージェントはプレーン SSL 接続を試みます。

SSL 接続に成功するためには、適切な証明書が Java 実行環境のキーストアにある必要があります。キーストアは、標準 JRE 向けは <installation directory>/lib/security/cacerts に置かれ、標準 JDK 向けは <installation directory>/jre/lib/security/cacerts に置かれています。認証局または LDAP サーバー証明書のいずれかが、keytool -import -file <certificate file> -keystore <cacerts file location> コマンドを使用して、そのストアに追加される必要があります。そのキーストアのデフォルトのパスワードは changeit です。

図 3–3 Configuration Agent、認証機構

Configuration Agent の認証タイプ: 「匿名」または「簡易」のいずれかを指定できます。「匿名」を選択した場合、「認証ユーザー名」と「パスワード」フィールドは自動的に無効になります。
認証ユーザー名 (AuthDn): リポジトリに対する読み取り権および検索権を持つユーザーの完全な DN。
パスワード (Password): 登録された LDAP ユーザーのパスワード。

注 –
ディレクトリ内で匿名アクセスが有効である場合、「認証ユーザー名」と「パスワード」の設定は空白のままで構いません。
アプリケーションの認証タイプ (AuthType): LDAP サーバーによるユーザーの認証方法に応じて、「匿名」または「GSSAPI」のいずれかを指定できます。

注 –
詳細については、「データアクセス/ユーザー認証」を参照してください。

ポートの設定

Configuration Agent は、次の 2 つのポートを使用します。

エージェントポート (DaemonPort): エージェントがクライアントアプリケーションと通信するときに使用します。デフォルトは 38900 です。
管理ポート (DaemonAdminPort): エージェントコントローラプログラム apocd が、エージェントと通信するときに使用します。デフォルトは 38901 です。

図 3–4 Configuration Agent、ポートの設定

変更検出間隔

Configuration Agent は、次の 2 つの間隔を使用して、構成データに変更があるかどうかを定期的にチェックします。

一般的な検出間隔 (ChangeDetectionInterval): デスクトップアプリケーション (クライアント) の構成データの変更検出サイクルの間隔 (分)。

注 –
-1 を指定すると、変更検出がオフになります。
エージェント設定用の検出間隔 (DaemonChangeDetectionInterval): エージェントに固有な構成設定の変更検出サイクルの間隔 (分)。

注 –
-1 を指定すると、変更検出がオフになります。

汎用の検出間隔を使用すると、リモートの構成データの変更をクライアント側のアプリケーションに伝播する間隔を調整できます。この設定で指定する値は、リモートに加えられた変更の内容がクライアントアプリケーションに反映されるまでの最大期間（分）です。

この値が小さくなるほど、Configuration Agent と LDAP サーバーの活動が増えます。したがって、この設定値を調整する場合は注意が必要です。たとえば、最初の配備段階でこの値を 1 分に設定すれば、クライアントアプリケーションに対するリモート構成の影響を簡単にテストできます。テストが完了したら、この設定を初期値に戻します。

操作設定

図 3–5 Configuration Agent、データディレクトリ

次の設定が構成できます。

データディレクトリ (DataDir): 実行時データを格納するために使用されるディレクトリ。デフォルトは /var/opt/apoc です。
キャッシュしたデータの寿命 (TimeToLive): ローカルデータベース内にオフラインでない構成データが留まる間隔 (分)。

図 3–6 Configuration Agent、要求の処理とロギング

ガベージコレクションのサイクル (GarbageCollectionInterval): ローカル構成データベースのガベージコレクションサイクルの間隔 (分)。
クライアントスレッドの最大数 (MaxClientThreads): 同時に処理できるクライアント要求の最大数。
クライアント接続の最大数 (MaxClientConnections): クライアント接続の最大数。
要求の最大サイズ (MaxRequestSize): クライアント要求の最大サイズ。
接続タイムアウト (ConnectTimeout): LDAP サーバーが接続要求へ応答するのに許可される間隔 (秒)。デフォルトは 1 秒です。
ログのレベル (LogLevel): エージェントのログファイルの詳細レベル。ロギングレベルは Java Logger のレベルに一致します。次に、これらのレベルを重要度の降順に示します。
- 簡潔
- 警告
- 標準
- 構成
- 詳細
- より詳細
- かなり詳細

注 –

ほとんどの操作設定 (「データディレクトリ」と「接続タイムアウト」の設定を除く) は、LDAP サーバーに格納された対応するポリシー経由で集中的に保守できます。この機能を使用する場合は、対応する設定をウィザードで変更しないでください。代わりに、Desktop Manager 内の Configuration Agent ポリシーを使用して、操作設定を集中的に指定します。

エージェント設定の適用

Desktop Manager を使用して LDAP サーバーに格納した操作設定 (「データディレクトリ」と「接続タイムアウト」の設定を除く) は、エージェント構成の次回の変更検出サイクルで自動的に適用されます (DaemonChangeDetectionInterval を参照)。

図 3–7 Configuration Agent、設定の要約ページ

ローカルで変更したその他の設定については、Configuration Agent を再読み込みまたは再起動する必要があります。構成ウィザードを使用する場合、再読み込みまたは再起動は自動的に実行されます。

注 –

Configuration Agent を手作業で再起動するには、関連するクライアントアプリケーションが動作していないことを確認し、root としてログインして、コマンド /usr/lib/apoc/apocd restart を入力します。

エージェントの追加設定

注 –

次の設定は、構成ウィザードでは設定できません。

ローカルポリシーの適用 (ApplyLocalPolicy): この設定を使用して、ローカルホスト上で使用可能なポリシーデータをクライアントアプリケーションで使用可能にする必要があるかどうかを指定します。「true」の値は、ローカルのポリシーデータを使用可能にする必要があることを示しています。「false」の値は、ローカルのポリシーデータを使用可能にするべきではないことを示しています。詳細は、「ローカルポリシーの使用」を参照してください。

ローカルポリシーの使用

Configuration Agent を構成して、全体的なポリシーに加えてまたは代替として、ローカルで配備されたポリシーから構成設定を適用することができます。次の手順に従って、このようなローカルポリシーを配置します。

ローカルポリシーを配置する

手順

Desktop Manager を使用して、必要なポリシー設定でプロファイルを作成します。

Desktop Manager を使用して、zip ファイルにプロファイルをエクスポートします。

クライアントホスト上で、${DataDir}/Policies/profiles/PROFILE_REPOSITORY_default ディレクトリをまだ存在していない場合は、作成します。

${DataDir} は、デフォルトで /var/opt/apoc になる Configuration Agent のデータディレクトリの値を表します。

前にエクスポートした zip ファイルを ${DataDir}/Policies/profiles/PROFILE_REPOSITORY_default にコピーします。

使用可能なローカルポリシーを適用するように Configuration Agent が構成されていることを確認します。詳細は、「エージェントの追加設定」を参照してください。

注 –
Configuration Agent の「ApplyLocalPolicy」設定を変更した場合、root としてログインし、/usr/lib/apoc/apocd reload コマンドを入力して、Configuration Agent を再起動する必要があります。

この方法で配置されたローカルポリシーは、Configuration Agent による次の変更検出サイクル中にクライアントが使用できるようになります。

Configuration Agent の自動起動

障害の発生時に、Configuration Agent は自動的に再起動されます。サービス管理機能 (smf(5)) により、この決定がなされます。すでに数多くの障害が発生している場合など、再起動が不適切であるとサービス管理機能が判断すると、Configuration Agent は保守モードになります。

Configuration Agent が再起動しない場合は、root としてログインし /usr/lib/apoc/apocd disable コマンドを実行してエージェントを一時的に無効にして、エージェントに障害を発生させた問題を修正し、/usr/lib/apoc/apocd enable コマンドを実行してエージェントを再度有効にしてください。