第 3 章 Oracle Java Web Console の操作 (手順)

この章では、システムにインストールおよび登録されている Web ベースの Sun システム管理アプリケーションを管理するための Oracle Java Web Console について説明します。

この章の内容は次のとおりです。

• 「Oracle Java Web Console の管理に関する新機能」

• 「Oracle Java Web Console (概要)」

• 「Java Web Console を開始する」

• 「コンソールサービスの管理」

• 「Java Web Console を設定する」

• 「Java Web Console ソフトウェアのトラブルシューティング」

• 「Java Web Console のリファレンス情報」

Oracle Java Web Console の使用に関連する手順については、「Java Web Console を開始する (作業マップ)」および 「Java Web Console ソフトウェアのトラブルシューティング (作業マップ)」を参照してください。

Oracle Java Web Console の管理に関する新機能

この節では、この Oracle Solaris リリースの新機能について説明します。新機能の完全な一覧や各 Oracle Solaris リリースの説明については、『Oracle Solaris 10 9/10 の新機能』を参照してください。

Java Web Console サーバーの管理

Solaris 10 11/06: Java Web Console サーバーは、サービス管理機能 (SMF) によってサービスとして管理されます。SMF の詳細は、第 18 章サービスの管理 (概要)を参照してください。

Java Web Console で使用できるアプリケーション

Solaris 10 6/06: Oracle Java Web Console では、Oracle Solaris ZFS Web ベース管理ツールを使用できます。このツールでは、コマンド行インタフェース (CLI) で実行できる管理タスクの大部分を実行できます。たとえば、パラメータを設定したり、さまざまなプールやファイルシステムを表示したり、それらを更新したりできます。

次に、このツールを使って実行できる主な手順の例を示します。

• 新規ストレージプールを作成する。

• 既存のプールに容量を追加する。

• 既存のプールを別のシステムに移動 (エクスポート) する。

• 以前にエクスポートしたストレージプールをインポートして、別のシステムで使用できるようにする。

• ストレージプールに関する情報を表示する。

• ファイルシステムを作成する。

• zvol (仮想ボリューム) を作成する。

• ファイルシステムまたは zvol ボリュームのスナップショットを取る。

• ファイルシステムを以前のスナップショットにロールバックする。

Oracle Solaris ZFS Web ベース管理ツールの使用に関する詳細は、『Oracle Solaris ZFS 管理ガイド』を参照してください。

Java Enterprise System ソフトウェアには、Oracle Java Web Console 内で実行される管理アプリケーションがいくつか含まれています。

Oracle Java Web Console (概要)

Java Web Console は、ユーザーが Web ベースのシステム管理アプリケーションにアクセスするための共通の場所を提供します。Web コンソールにアクセスするには、サポートされている Web ブラウザのいずれかを使用し、安全な https ポートを介してログインします。Web コンソールが提供する単一のエントリポイントを使用すれば、複数のアプリケーションの URL を覚える必要がなくなります。また、単一のエントリポイントにより、Web コンソールに登録されているすべてのアプリケーションのユーザー認証や承認も行うことができます。

Web コンソールベースのアプリケーションはすべて、同一のユーザーインタフェースのガイドラインに準拠しているため、より使いやすくなっています。また、Web コンソールは、登録されているすべてのアプリケーションに対し、ユーザーセッションの監査およびロギングサービスも提供します。

Java Web Console について

Java Web Console とは、システムにインストールおよび登録されている Sun システム管理の Web ベースのアプリケーションを得られる Web ページのことです。登録は、自動的にアプリケーションのインストールプロセスの一環となります。したがって、登録に管理者が介入する必要はありません。

Java Web Console には、次の機能が用意されています。

• ログインと、ブラウザベースのシステム管理アプリケーションの起動用の単一のエントリポイント

  このコンソールから、各種のブラウザベース管理アプリケーションをアプリケーション名をクリックするだけで起動できるので便利です。Java Web Console と Solaris 管理コンソールとの間に互換性はありません。Java Web Console はブラウザを介して利用する Web アプリケーションで、Solaris 管理コンソールはコマンド行から起動する Java アプリケーションです。これらのコンソールは完全に独立しているため、両方のコンソールを同じシステム上で同時に実行することができます。

• 安全な https ポートを介したシングルサインオン

  ここでのシングルサインオンは、Web コンソールに対して認証を行なったあとで、管理アプリケーションごとに認証を行う必要がないことを意味します。ユーザー名とパスワードの入力は、コンソールセッションにつき一度だけ行います。

• 動的に編成および集約されたアプリケーション

  アプリケーションは、コンソールの起動ページで、もっとも適切な管理作業のカテゴリに分類されてインストールおよび表示されます。

  カテゴリには次のものがあります。

  • システム

  • ストレージ

  • サービス

  • デスクトップアプリケーション

  • その他

• 共通の外観と操作性

  Web コンソールアプリケーションはすべて、同じユーザーインタフェース (UI) コンポーネントを使用し、同じ動きをするため、管理者の習得にかかる時間が短くなります。

• 標準の拡張可能な認証、承認、および監査機構

  Java Web Console では、プラグ接続できる認証モジュール (PAM)、役割に基づくアクセス制御 (RBAC) の役割、および基本セキュリティーモジュール (BSM) の監査をサポートしています。

Java Web Console の管理コマンド

Java Web Console には、次の管理コマンドがあります。

• smcwebserver – このコマンドは、コンソールの Web サーバーを起動および停止します。

• wcadmin – Solaris 10 11/06 リリース以降では、コンソールを設定したりコンソールアプリケーションを登録および配備したりする際にこのコマンドが使用されます。詳細は、wcadmin(1M) のマニュアルページを参照してください。

• smreg – Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 OS では、すべてのコンソールアプリケーションを登録する際にこのコマンドが使用されます。

  Solaris 10 11/06 リリース以降では、このコマンドを使用するのは、Java Web Console 3.0 より前のバージョンのコンソール用に作成されたレガシーアプリケーションを登録する場合だけにしてください。

これらのコマンドを使用して、この章で説明されているさまざまな作業を実行します。

各コマンドの詳細は、smcwebserver(1M)、wcadmin(1M)、および smreg(1M) のマニュアルページを参照してください。

サポートされている Web ブラウザ

Java Web Console は、Oracle Solaris の稼働中に、次のいずれかのブラウザで使用できます。

• Mozilla (バージョン 1.4 以降)

• Netscape (バージョン 6.2 以降)

• Firefox (バージョン 1.0 以降)

Java Web Console を開始する (作業マップ)

Java Web Console を開始する

Java Web Console の起動ページには、ユーザーが使用する権限を持つ登録済みのシステム管理アプリケーションのリストと、各アプリケーションの簡単な説明が表示されます。特定のアプリケーションに接続するには、そのアプリケーション名をクリックします。アプリケーション名は実際のアプリケーションへのリンクです。デフォルトでは、選択されたアプリケーションが Web コンソールのウィンドウで開きます。「各アプリケーションを新しいウィンドウで起動する」チェックボックスをクリックすると、アプリケーションを別のブラウザウィンドウで開くことができます。アプリケーションを別のウィンドウで開くと、Web コンソールの起動ページを引き続き利用できるため、そのページに戻って 1 回のログインで複数のアプリケーションを起動できます。

コンソールの起動ページにアクセスするには、Web の場所を示すフィールドに次の形式の URL を入力します。

https://hostname.domain:6789

これらの内容は次のとおりです。

• https は Secure Socket Layer (SSL) 接続を指定します

• hostname.domain には、コンソールを提供するサーバーの名前とドメインを指定します

• 6789 は、コンソールに割り当てられているポート番号です

特定のシステムから初めて Java Web Console にアクセスしたときは、Web コンソールの起動ページが表示される前に、サーバーの証明書に同意する必要があります。

RBAC がシステム上で有効になっていて、かつユーザーの ID が役割に割り当てられている場合、ログイン成功後に役割のパスワードの入力を求められます。役割を引き受けた場合、その引き受けた役割の承認チェックが行われます。NO ROLE を選択して役割を引き受けないことも可能ですが、その場合、そのユーザーの ID に対して承認チェックが行われます。承認チェックに成功すると、Web コンソールの起動ページが表示されます。

Oracle Java Web Console の起動ページからアプリケーションを起動する方法

1. Java Web Console と互換性のある Web ブラウザ (Mozilla 1.7 または Firefox 1.0 など) を起動します。

   サポートされているブラウザの一覧は、「サポートされている Web ブラウザ」を参照してください。

2. Web ブラウザの場所を示すフィールドに、コンソールの URL を入力します。

   たとえば、管理サーバーホストの名前が sailfish、ドメインが sw である場合、URL は https://sailfish.sw:6789 となります。この URL によって Web コンソールのログインページが表示されます。

3. サーバーの証明書を受け入れます。

   サーバー証明書への同意は、ブラウザセッションにつき一度だけ行います。コンソールにログインしたりアプリケーションを起動したりするたびに行う必要はありません。

   次の図に示すようなログインページが表示されます。

   図 3–1 Oracle Java Web Console のログインページ

   
   

4. ユーザー名とパスワードを入力し、必要に応じて RBAC の役割も入力します。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

   コンソールサービスは、ユーザーを認証するために資格を調べ、ユーザーがコンソールと登録済みアプリケーションの使用を承認されていることを確認します。

5. アプリケーションを別のウィンドウで実行したいときは、「各アプリケーションを新しいウィンドウで起動する」チェックボックスをクリックします。

   このオプションを選択しないと、アプリケーションはデフォルトのウィンドウ (起動ページと置き換わる) で実行されます。

6. 実行するアプリケーションのリンクをクリックします。

   ---

   ヒント –

   個々のアプリケーションを直接起動して、起動ページを省略することもできます。その場合は、次の構文を使用します。

   https://hostname.domain:6789/app-context-name

   ここでの app-context-name は、アプリケーションが配備されるときに使われる名前です。

   アプリケーションのコンテキスト名を調べるには、次のいずれかを実行します。

   • アプリケーションのマニュアルを読みます。

   • wcadmin list -a コマンドまたは smreg list -a コマンドを実行して、配備済み Web アプリケーションとそのコンテキスト名の一覧を表示します。

   • Web コンソールの起動ページからアプリケーションを実行して、アドレスの場所を示すフィールドに表示されている URL を書き留めます。次にそのアプリケーションを使用するときは、この URL を直接入力してアクセスできます。または、この場所をブックマークに追加して、ブックマークからアプリケーションにアクセスすることができます。

   ---

コンソールサービスの管理

Solaris 10 11/06: Java Web Console サービスは、サービス管理機能 (SMF) を介して管理されます。コンソールサービスの起動、停止、有効化、および無効化は、SMF のコマンドまたは smcwebserver スクリプトを使用して行うことができます。SMF でコンソールに使用される FMRI は system/webconsole:console です。

コンソールサービスを起動する方法

この手順では、サーバーを一時的に起動します。サーバーがシステムのブート時に起動しないよう無効にされていた場合、サーバーは無効のままになります。サーバーが有効にされていた場合、サーバーは有効のままになります。

Solaris 10 11/06 リリース以降では、サーバーが無効の状態で稼働している場合、その時点の enabled の状態は true (temporary) と表示されます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. 有効状態を変更せずに、サーバーをすぐに起動します。

   # smcwebserver start

システムの起動時に実行されるようコンソールサービスを有効にする方法

この手順では、システムの起動時に実行されるようコンソールサービスを有効にします。現在のセッションではコンソールは起動されません。

Solaris 10 11/06 リリース以降では、この手順によって SMF で general/enabled プロパティーが true に設定されるため、システムのブート時にサーバーが起動されます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. システムのブート時に起動されるようサーバーを有効にします。

   # smcwebserver enable

   Solaris 10 11/06: また、サーバーをすぐに起動するとともに、システムのブート時に起動するようサーバーを有効にするには、次のコマンドを使用します。

   # svcadm enable system/webconsole:console

   ---

   注 –

   Solaris 10 11/06 リリースを実行している場合には、smcwebserver コマンドを使ってコンソールを有効にすることはできません。svcadm コマンドを使用する必要があります。

   ---

コンソールサービスを停止する方法

この手順では、サーバーを一時的に停止します。サーバーがシステムのブート時に起動しないよう無効にされていた場合、サーバーは無効のままになります。サーバーが有効にされていた場合、サーバーは有効のままになります。

Solaris 10 11/06 リリース以降では、サーバーが有効の状態で停止している場合、その時点の enabled の状態は false (temporary) と表示されます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. 有効状態を変更せずに、サーバーをすぐに停止します。

   # smcwebserver stop

コンソールサービスを無効にする方法

無効にされている場合、コンソールサーバーはシステムのブート時に起動しません。

Solaris 10 11/06 リリース以降では、この手順によって SMF でコンソールの general/enabled プロパティーが false に設定されるため、システムのブート時にコンソールサーバーは起動しません。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. システムのブート時に起動しないようサーバーを無効にします。

   # smcwebserver disable

   Solaris 10 11/06: また、サーバーをすぐに停止するとともに、システムのブート時に起動しないようサーバーを無効にするには、次のコマンドを使用します。

   # svcadm disable system/webconsole:console

   ---

   注 –

   Solaris 10 11/06 リリースを実行している場合には、smcwebserver コマンドを使ってコンソールを無効にすることはできません。svcadm コマンドを使用する必要があります。

   ---

Java Web Console を設定する

Java Web Console は、管理者が介入しなくても実行できるように事前設定されています。ただし、Web コンソールの設定プロパティーを上書きすることで、コンソールのデフォルトの動作の一部を変更することもできます。

Solaris 10 11/06 OS 以降では、これらのプロパティーを変更するには wcadmin コマンドを使用する必要があります。以前は smreg コマンドが使用されていました。wcadmin コマンドの詳細は、wcadmin(1M) のマニュアルページを参照してください。

コンソールの設定ファイル内のプロパティーは、コンソールの動作を制御します。この動作を変更するには、プロパティーに新しい値を定義して、デフォルト値を上書きします。ほとんどのプロパティーのデフォルト値は、独自のログインサービスを指定するなど、デフォルト値では満たせない特別なニーズがある場合を除き、上書きしないようにしてください。

通常、変更の対象となる可能性があるのは、次のプロパティー値です。

• コンソールのセッションタイムアウト

  Web コンソールのセッションタイムアウト時間は、session.timeout.value プロパティーによって制御されます。このプロパティーでは、セッションが時間切れになるまで、ユーザーの対話的操作がない状態で Web コンソールページを表示できる時間を制御します。タイムアウトに達すると、ユーザーは再度ログインする必要があります。デフォルト値は 15 分間です。ユーザー自身のセキュリティーポリシーに従って、新しい値を分単位で設定できます。ただし、このプロパティーはすべてのコンソールユーザーおよび登録されているすべてのアプリケーションのタイムアウト時間を制御するので注意が必要です。

  セッションタイムアウトの変更方法の例については、例 3–1 を参照してください。

• ロギングレベル

  ロギングのプロパティーは、ロギングサービスを設定するために使用します。コンソールのログファイルは /var/log/webconsole/console ディレクトリに作成されます。logging.default.level プロパティーは、どのメッセージがロギングされるかを決定します。コンソールログは、問題のトラブルシューティングに役立つ情報を提供します。

  このロギングレベルはロギングサービス経由で書き込まれるすべてのメッセージに適用されますが、ロギングサービスはデフォルトで Oracle Solaris リリースの syslog を使用します。syslog のログファイルは /var/adm/messages です。ファイル /var/log/webconsole/console/console_debug_log に含まれるログメッセージは、デバッグサービスを有効化した場合に書き込まれます。これを行うには、Using the Console Debug Trace Logの説明に従って 「コンソールのデバッグトレースログを使用する」 プロパティーを設定します。デフォルトロギングサービスとデバッグロギングサービスは別個のものですが、syslog への Java Web Console ロギングメッセージはデバッグの助けになるように console_debug_log にも書き込まれます。一般に、logging.default.level で設定されるロギングサービスは、コンソールアプリケーションによるロギング用として常に有効にしておきます。debug.trace.level で設定されるデバッグロギングを有効にするのは、問題を調査する場合だけにしてください。

  logging.default.level に使用できるプロパティー値は、次のとおりです。

  • all

  • info

  • off

  • severe

  • warning

  ロギングレベルの変更方法の例については、例 3–2 を参照してください。

• 監査実装

  監査とは、セキュリティー関連の管理イベントを生成および記録する処理です。イベントは、特定のユーザーがシステム上の管理情報を更新したことを示します。監査実装は、監査イベントを生成するサービスとアプリケーションで使用されます。

  Web コンソールでは、次の監査イベントが定義されます。

  • ログイン

  • ログアウト

  • 役割の引き受け

  監査イベントが発生すると、そのイベントのレコードが監査ログに作成されます。監査ログの場所は、使用されている監査実装によって異なります。Web コンソールの監査サービスは、基になるオペレーティングシステムによって提供される監査実装を使用します。

  Web コンソールは、次の 3 つの監査実装をサポートしています。 Solaris、Log、および None です。これらのキーワードのいずれかを audit.default.type 設定プロパティーの値として指定することで、監査実装を選択できます。一度に有効にできる監査実装は 1 つのみです。

  サポートされている監査実装の種類は次のとおりです。

  • Solaris

    Solaris はデフォルトの実装です。この実装は、BSM 監査機構に対応しています。この監査機構では、/var/audit ディレクトリのシステムファイルに監査レコードが書き込まれます。

    これらのレコードは、praudit コマンドを使って表示できます。イベントを取り込むためには、システムで BSM 監査機構を有効にする必要があります。また、/etc/security/audit_control ファイルに、どのイベントを生成するかを指示するエントリを入れておく必要があります。ユーザーごとにログインとログアウトのイベントを表示するために、lo イベントをフラグオプションとして設定する必要があります。詳細は、praudit(1M) と bsmconv(1M) のマニュアルページ、および『Solaris のシステム管理 (セキュリティサービス)』のパート VII「Solaris 監査」を参照してください。

  • Log

    この実装を設定すると、システムの syslog サービスに書き込むことができます。ロギングサービスが info レベルで有効になっている場合は、監査メッセージがコンソールログに書き込まれます。詳細は、例 3–2 を参照してください。

  • None

    監査イベントは生成されません。監査メッセージは、デバッグトレースログ (有効な場合) に書き込まれます。

監査実装の指定方法の例については、例 3–5 を参照してください。

Java Web Console のプロパティーを変更する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. 実行している Oracle Solaris リリースに応じて、選択したプロパティーの値を次のように変更します。

   • Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドを使用します。

     # wcadmin add -p -a console name=value

     -p

     オブジェクトタイプがプロパティーであることを指定します。

     -a console

     console というアプリケーションに対するプロパティー変更であることを指定します。コンソールのプロパティーを変更する場合は、常に -a console オプションを使用する必要があります。

     name=value

     プロパティー名とそのプロパティーの新しい値を指定します。

   • Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

     # smreg add -p -c name

3. (省略可能) コンソールのプロパティーをそのデフォルト値にリセットします。

   • Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドを使用します。

     # wcadmin remove -p -a console name=value

   • Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

     # smreg remove -p -c name

     -p

     オブジェクトタイプがプロパティーであることを指定します。

     -c

     コンソールアプリケーションに対するプロパティー変更であることを指定します。コンソールのプロパティーを変更する場合は、常に -c オプションを使用する必要があります。

     name

     プロパティー名とそのプロパティーの新しい値を指定します。

例 3–1 Java Web Console のセッションタイムアウトプロパティーを変更する

この例では、セッションタイムアウトの値を 5 分に設定する方法を示します。

# wcadmin add -p -a console session.timeout.value=5

例 3–2 Java Web Console のロギングレベルを設定する

この例では、ロギングレベルを all に設定する方法を示します。

# wcadmin add -p -a console logging.default.level=all

例 3–3 Java Web Console のロギングレベルをデフォルト値にリセットする

この例では、ロギングレベルをデフォルトにリセットする方法を示します。

# wcadmin remove -p -a console logging.default.level

例 3–4 Java Web Console の Java バージョンを指定する

この例では、コンソールの Java バージョンを設定する方法を示します。

# wcadmin add -p -a console java.home=/usr/java

例 3–5 Oracle Java Web Console の監査実装を選択する

この例では、監査実装を None に設定する方法を示します。

# wcadmin add -p -a console audit.default.type=None

有効な監査タイプは次のとおりです。

None

監査なし

Log

syslog への監査メッセージの格納

Solaris

BSM への監査メッセージの格納

Oracle Java Web Console のユーザー ID

デフォルトでは、Web コンソールは noaccess というユーザー ID のもとで実行されます。ただし、システム構成によっては、noaccess ユーザーが無効にされていたり、noaccess ユーザーのログインシェルが無効なエントリに設定されてこのユーザー ID が使用できなくされていたりすることがあります。

noaccess ユーザーが使用できない場合は Web コンソールサーバーの起動や設定を行うことができないため、代わりのユーザー ID を指定する必要があります。最初の起動でコンソールサーバーが設定される前に、ユーザー ID を 1 回だけ変更することが理想的です。

コンソールを起動する前に次のいずれかのコマンドを使用して、root 以外の代替ユーザー ID のもとで実行されるように Web コンソールを設定できます。

# smcwebserver start -u username

このコマンドを実行すると、Web コンソールサーバーが指定のユーザー ID のもとで起動されます。コンソールの初回起動時にこのコマンドが発行された場合には、Web コンソールサーバーはそれ以降起動されるたびにこの ID で実行されます。

Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドも使用できます。

# wcadmin add -p -a console com.sun.web.console.user=
username

Solaris 10 11/06 リリース以降では、システムの初回起動時にコンソールも起動し、noaccess の下で実行するように自動的に設定されます。その結果、ユーザー ID は、変更する機会が得られないまま noaccess に設定されてしまいます。その場合は、まず次のコマンドを使ってコンソールを初期の未設定状態にリセットしてください。続いて、コンソールの再起動時に別のユーザー ID を指定します。

# smcwebserver stop
# /usr/share/webconsole/private/bin/wcremove -i console
# smcwebserver start -u new_user_identity

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

# smreg add -p -c com.sun.web.console.user=username

このコマンドを実行すると、次回以降サーバーが起動されるたびに、Web コンソールサーバーが指定のユーザー ID のもとで起動されます。

コンソールのデバッグトレースログを使用する

デフォルトでは、コンソールはデバッグメッセージを記録しません。デバッグのロギングをオンにして、コンソールサービスの問題のトラブルシューティングに利用することができます。

デバッグのロギングをオンにするには、debug.trace.level プロパティーを 0 以外の値に設定します。

可能な選択肢は次のとおりです。

• 1 - 重大エラーの可能性があるエラーを記録する場合は、この設定を使用します。

• 2 - 重要なメッセージやレベル 1 のエラーメッセージを記録する場合は、この設定を使用します。

• 3 - 考えられるすべてのメッセージを詳細な情報とともに記録するには、この設定を使用します。

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合、デバッグトレースログはデフォルトで /var/log/webconsole ディレクトリ内に作成されます。Solaris 10 11/06 リリース以降では、/var/log/webconsole/console ディレクトリ内にログが作成されます。ログファイルの名前は console_debug_log です。console_debug_log.1 や console_debug_log.2 などの履歴ログがこのディレクトリに格納されている場合もあります。このディレクトリには最高 5 つ (デフォルトの設定) の履歴ログを格納しておくことができ、そのあとはもっとも古いログが削除され、新しいログが作成されます。

例 3–6 コンソールのデバッグトレースログレベルを設定する

次のコマンドを使用して、デバッグトレースログレベルを 3 に設定します。

Solaris 10 11/06 リリースの場合は、次のコマンドを使用します。

# wcadmin add -p -a console debug.trace.level=3

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

# smreg add -p -c debug.trace.level=3

例 3–7 debug.trace.level プロパティーの状態を確認する

debug.trace.level プロパティーの状態を確認する場合は、wcadmin list コマンドまたは smreg list コマンドを使用します。

Solaris 10 11/06:

# wcadmin list -p | grep "debug.trace.level"

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

# smreg list -p | grep "debug.trace.level"

Java Web Console ソフトウェアのトラブルシューティング (作業マップ)

Java Web Console ソフトウェアのトラブルシューティング

次の情報は、Java Web Console ソフトウェアの使用時に検出される可能性がある問題のトラブルシューティングに役立ちます。

コンソールの状態とプロパティーの確認

smcwebserver、wcadmin、および svcs の各コマンドを使用して、各種の情報を取得できます。これらの情報は問題のトラブルシューティングに役立つ場合があります。

コンソールが稼働しているか、および有効かどうかを確認する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. サーバーの状態を確認します。

   # smcwebserver status Sun Java(TM) Web Console is running

3. Solaris 10 11/06: コンソールの SMF 状態と有効状態を確認します。

   # svcs -l system/webconsole:console

   smcwebserver コマンドを使用して、サーバーの有効または無効の状態を変更せずにサーバーを起動または停止すると、enabled プロパティーは false (temporary) または true (temporary) と表示されます。

コンソールのリソースとプロパティーを一覧表示する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. コンソールのリソースとプロパティーを一覧表示します。

   Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドを使用します。

   # wcadmin list Deployed web applications (application name, context name, status): console ROOT [running] console com_sun_web_ui [running] console console [running] console manager [running] legacy myapp [running] Registered jar files (application name, identifier, path): console audit_jar /usr/lib/audit/Audit.jar console console_jars /usr/share/webconsole/lib/*.jar console jato_jar /usr/share/lib/jato/jato.jar console javahelp_jar /usr/jdk/packages/javax.help-2.0/lib/*.jar console shared_jars /usr/share/webconsole/private/container/shared/lib/*.jar Registered login modules (application name, service name, identifier): console ConsoleLogin userlogin console ConsoleLogin rolelogin Shared service properties (name, value): ENABLE yes java.home /usr/jdk/jdk1.5.0_06

   ---

   注 –

   SMF は前の手順で示した独自の enabled プロパティーを使用するため、この ENABLE プロパティーは無視されます。ENABLE プロパティーは、コンソールサーバーが SMF によって管理されない、以前の システムで使用されます。

   ---

   Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

   # smreg list The list of registered plugin applications: com.sun.web.console_2.2.4 /usr/share/webconsole/console com.sun.web.ui_2.2.4 /usr/share/webconsole/com_sun_web_ui com.sun.web.admin.example_2.2.4 /usr/share/webconsole/example The list of registered jar files: com_sun_management_services_api.jar scoped to ALL com_sun_management_services_impl.jar scoped to ALL com_sun_management_console_impl.jar scoped to ALL com_sun_management_cc.jar scoped to ALL com_sun_management_webcommon.jar scoped to ALL com_iplanet_jato_jato.jar scoped to ALL com_sun_management_solaris_impl.jar scoped to ALL com_sun_management_solaris_implx.jar scoped to ALL The list of registered login modules for service ConsoleLogin: com.sun.management.services.authentication.PamLoginModule optional use_first_pass="true" commandPath="/usr/lib/webconsole"; com.sun.management.services.authentication.RbacRoleLoginModule requisite force_role_check="true" commandPath="/usr/lib/webconsole"; The list of registered server configuration properties: session.timeout.value=15 authentication.login.cliservice=ConsoleLogin logging.default.handler=com.sun.management.services.logging.ConsoleSyslogHandler logging.default.level=info logging.default.resource=com.sun.management.services.logging.resources.Resources logging.default.filter=none logging.debug.level=off audit.default.type=None audit.None.class=com.sun.management.services.audit.LogAuditSession audit.Log.class=com.sun.management.services.audit.LogAuditSession audit.class.fail=none authorization.default.type=SolarisRbac authorization.SolarisRbac.class= com.sun.management.services.authorization.SolarisRbacAuthorizationService authorization.PrincipalType.class= com.sun.management.services.authorization.PrincipalTypeAuthorizationService debug.trace.level=0 . . . No environment properties have been registered.

コンソールへのアクセスに関連する問題

コンソールへのアクセスに問題がある場合は、コンソールサーバーが有効になっていないか、セキュリティー設定の制限が厳しいことを示している可能性があります。詳細は、「コンソールの状態とプロパティーの確認」および 「Java Web Console のセキュリティーに関する注意事項」を参照してください。

アプリケーションの登録に関連する問題

この節では、コンソールアプリケーションの登録で発生する可能性のある問題の解決方法について説明します。特定のコンソールアプリケーションの詳細は、そのアプリケーションのマニュアルを参照してください。

通常、コンソールアプリケーションはインストールプロセスの一環として登録されるため、通常はユーザー自身がアプリケーションを登録する必要はありません。

Solaris 10 11/06 リリース以降では、Web コンソールでのアプリケーション登録の方法が変更されましたが、以前のバージョンのコンソール用に開発されたアプリケーションも引き続きサポートされます。現行アプリケーションの登録と配備は、コンソールサーバーの稼働中に単一のコマンドで実行されます。以前のバージョンのコンソール用に開発されたアプリケーションは「レガシー」アプリケーションと呼ばれ、その登録時にはコンソールサーバーを停止する必要があります。アプリケーションの登録や登録解除を行うときは、次の手順に従って、まずアプリケーションがレガシーアプリケーションかどうかを判定する必要があります。

アプリケーションがレガシーアプリケーションかどうかを判定する方法

1. アプリケーションの app.xml ファイルを表示します。

   app.xml ファイルは、アプリケーションの WEB-INF ディレクトリにあります。

2. app.xml ファイル内の registrationInfo タグを調べます。

   レガシーアプリケーションの場合、registrationInfo タグのバージョンは 2.x です。たとえば、registrationInfo version="2.2.4" となります。

   現行アプリケーションの場合、registrationInfo タグのバージョンは 3.0 以上です。たとえば、registrationInfo version="3.0" となります。

配備済みのアプリケーションを一覧表示する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. 配備済みのアプリケーションを一覧表示します。

   Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドを使用します。

   # wcadmin list -a Deployed web applications (application name, context name, status): console ROOT [running] console com_sun_web_ui [running] console console [running] console manager [running] legacy myapp [running]

   このコマンドは、登録済みかつ配備済みのアプリケーションをすべて表示します。レガシーアプリケーションは legacy というアプリケーション名で表示されます。詳細は、「アプリケーションがレガシーアプリケーションかどうかを判定する方法」を参照してください。一覧に表示されるその他のアプリケーションはすべて現行アプリケーションであり、「現行アプリケーションを Oracle Java Web Console に登録する方法」に説明されている方法で登録されます。

   通常、アプリケーションに対して表示される状態には running、stopped のいずれかが含まれます。状態が running の場合、アプリケーションはその時点で読み込まれており、使用可能な状態になっています。状態が stopped の場合、アプリケーションはその時点で読み込まれておらず、使用不可能な状態になっています。アプリケーションのなかには、登録と配備は成功したが、アプリケーション内の問題により読み込まれないものもあります。その場合、アプリケーションの状態は stopped になります。console_debug_log をチェックし、そのアプリケーションの読み込み時にコンソールの背後の Web コンテナである Tomcat からのトレースバックを含むエラーが発生していないか確認してください。console_debug_log の詳細については、「コンソールのデバッグトレースログを使用する」を参照してください。

   コンソールアプリケーションを含むすべてのアプリケーションの表示が stopped になっている場合、それは通常、コンソールの Web コンテナが動作していないことを意味します。この場合、その Web コンテナに登録された静的な context.xml ファイルからアプリケーションの一覧が取得されます。

   Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

   # smreg list -a The list of registered plugin applications: com.sun.web.console_2.2.4 /usr/share/webconsole/console com.sun.web.ui_2.2.4 /usr/share/webconsole/com_sun_web_ui com.sun.web.admin.yourapp_2.2.4 /usr/share/webconsole/yourapp

レガシーアプリケーションを Oracle Java Web Console に登録する方法

この手順は、Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースのすべてのコンソールアプリケーションに適用されます。Solaris 10 11/06 リリース以降では、この手順はレガシーアプリケーションと識別されるアプリケーションだけに適用されます。現行アプリケーションの登録手順については、「現行アプリケーションを Oracle Java Web Console に登録する方法」を参照してください。「アプリケーションがレガシーアプリケーションかどうかを判定する方法」も参照してください。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. Web サーバーを停止します。

   # smcwebserver stop

3. アプリケーションを登録します。

   # smreg add -a /directory/containing/application-files

   smreg コマンドは、Oracle Java Web Console の登録テーブル内の情報を管理します。さらに、このスクリプトはアプリケーションを配備するための作業も行います。このコマンドのその他のオプションについては、smreg(1M) のマニュアルページを参照してください。

4. Web サーバーを再起動します。

   # smcwebserver start

例 3–8 レガシーアプリケーションを登録する

この例では、/usr/share/webconsole/example ディレクトリにファイルが置かれているレガシーアプリケーションを登録する方法を示します。レガシーアプリケーションの場合は、アプリケーションを登録する前にコンソールサーバーを停止し、アプリケーションの登録後に起動する必要があります。smreg はレガシーコンソールアプリケーションなので、これによって表示される警告は無視してかまいません。

# smcwebserver stop
# smreg add -a /usr/share/webconsole/example

    Warning: smreg is obsolete and is preserved only for
    compatibility with legacy console applications. Use wcadmin instead.

    Type "man wcadmin" or "wcadmin --help" for more information.

Registering com.sun.web.admin.example_version.

# smcwebserver start

Oracle Java Web Console からレガシーアプリケーションを登録解除する方法

この手順は、Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースのすべてのコンソールアプリケーションに適用されます。Solaris 10 11/06 リリース以降では、この手順はレガシーアプリケーションと識別されるアプリケーションだけに適用されます。現行アプリケーションの登録解除手順については、「Oracle Java Web Console から現行アプリケーションを登録解除する方法」を参照してください。

特定のレガシーアプリケーションを Web コンソールの起動ページに表示させたくないが、ソフトウェアのアンインストールは行いたくない場合、smreg コマンドを使用してアプリケーションの登録を解除できます。詳細は、「アプリケーションがレガシーアプリケーションかどうかを判定する方法」を参照してください。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. アプリケーションの登録を解除します。

   # smreg remove -a app-name

例 3–9 Oracle Java Web Console からレガシーアプリケーションを登録解除する

この例では、app-name として com.sun.web.admin.example を持つレガシーアプリケーションを登録解除する方法を示します。

# smreg remove -a com.sun.web.admin.example

 Unregistering com.sun.web.admin.example_version.

現行アプリケーションを Oracle Java Web Console に登録する方法

Solaris 10 11/06: この手順は、コンソールサーバーの停止や起動を行わずに登録および配備できる更新されたコンソールアプリケーション用です。レガシーアプリケーションと、Oracle Solaris 10、Solaris 10 1/06、Solaris 10 6/06 の各リリースで実行されるすべてのコンソールアプリケーションの登録手順については、「レガシーアプリケーションを Oracle Java Web Console に登録する方法」を参照してください。「アプリケーションがレガシーアプリケーションかどうかを判定する方法」も参照してください。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. アプリケーションの登録と配備を行います。

   wcadmin deploy -a app-name -x app-context-name /full path/to/app-name

例 3–10 現行アプリケーションを登録する

この例では、現在の Web コンソール用に開発または更新されたアプリケーションの登録と配備を行う方法を示します。

# wcadmin deploy -a newexample_1.0 -x newexample /apps/webconsole/newexample

Oracle Java Web Console から現行アプリケーションを登録解除する方法

Solaris 10 11/06: この手順は、コンソールサーバーの停止や起動を行わずに登録解除および配備解除できる更新されたコンソールアプリケーション用です。レガシーアプリケーションと、Oracle Solaris 10、Solaris 10 1/06、Solaris 10 6/06 の各リリースで実行されるすべてのコンソールアプリケーションの登録解除手順については、「Oracle Java Web Console からレガシーアプリケーションを登録解除する方法」を参照してください。アプリケーションがレガシーアプリケーションか更新されたアプリケーションかを判定する方法については、「配備済みのアプリケーションを一覧表示する方法」および 「アプリケーションがレガシーアプリケーションかどうかを判定する方法」を参照してください。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. アプリケーションの配備解除と登録解除を行います。

   # wcadmin undeploy -a newexample_1.0 -x newexample

Java Web Console のリファレンス情報

このリファレンスの節では、次の内容について説明します。

• 「Java Web Console のセキュリティーに関する注意事項」

• 「authTypes タグを使って承認を指定する」

Java Web Console のセキュリティーに関する注意事項

Java Web Console に含まれているアプリケーションを使用するときは、セキュリティーに関して注意しなければならないことがいくつかあります。

セキュリティーに関する注意事項は、次のとおりです。

• Java Web Console へのアクセス – ブラウザを介してコンソールに接続できるかどうか。

• アプリケーションへのアクセス – Java Web Console の起動ページに特定のアプリケーションを表示できるかどうか。

• アプリケーションのアクセス権 – アプリケーションの一部またはすべてを実行するために必要なアクセス権のレベル。

• リモートシステムへのアプリケーションのアクセス – セキュリティーの資格がリモートシステムにどのように関連しているか。

• コンソールで使用される内部パスワード - Solaris 10 11/06 リリース以降、コンソールの内部で使用されるデフォルトパスワードの変更。

Java Web Console へのアクセス

通常、有効なユーザーはすべてログインできるように、Web コンソールの起動アプリケーションに対するアクセス権は開放されています。ただし、Web コンソールの app.xml ファイル内の authTypes タグに権利を指定することで、コンソールへのアクセスを制限できます。このファイルは /usr/share/webconsole/webapps/console/WEB-INF ディレクトリにあります。詳細は、「authTypes タグを使って承認を指定する」を参照してください。

非常に高いセキュリティーで保護されるようシステム構成が設定され、コンソールや登録済みアプリケーションの URL に対するリモートシステムからの接続が拒否される場合もあります。システムがリモートアクセスを防止するように設定されている場合は、https://hostname.domain:6789 としてコンソールにアクセスしようとすると、ブラウザに次のようなメッセージが表示されます。

Connect to hostname.domain:6789 failed (Connection refused)

システムで有効になっている SMF プロファイルがアクセスを制限している場合もあります。プロファイルの詳細は、「SMF プロファイル」を参照してください。リモートシステムからコンソールへのアクセスを許可する手順については、「Java Web Console へのリモートアクセスを使用可能にする」を参照してください。

Java Web Console のアプリケーションへのアクセス

Web コンソールに正常にログインしたあとで、そのコンソールに登録されているすべてのアプリケーションに自動的にアクセスできるようになるとは限りません。通常、アプリケーションはすべてのユーザーがコンソールの起動ページでそれを表示できるようにインストールされます。管理者は、アプリケーションに対するアクセスを付与および制限できます。

アプリケーションへのアクセスを制限するには、アプリケーションの app.xml ファイルに含まれている authTypes タグに権利を指定します。アプリケーションの app.xml ファイルは、installation-location/WEB-INF/ サブディレクトリにあります。通常、このディレクトリは /usr/share/webconsole/webapps/app-context-name /WEB-INF になります。

アプリケーションのファイルが通常の場所に存在しない場合にそれらの格納場所を見つけるには、次のコマンドを使用します。

wcadmin list --detail -a

このコマンドは配備済みのすべてのアプリケーションを一覧表示しますが、その際、各アプリケーションの配備時刻とベースディレクトリへのパスが表示されます。app.xml ファイルはそのベースディレクトリ内のサブディレクトリ WEB-INF に格納されています。

詳細は、「authTypes タグを使って承認を指定する」を参照してください。

アプリケーションの特権

アプリケーションのリンクが Java Web Console の起動ページに表示される場合は、そのアプリケーションを実行できます。ただし、アプリケーションが認証ユーザーや役割の識別情報に基づいて承認チェックを別に行うことがあります。これらのチェックは、authTypes タグで制御されるのではなく、アプリケーション自体に明示的にコード化されます。たとえば、アプリケーションによって、読み取りアクセスはすべての認証ユーザーに付与されるが、更新アクセスは一部のユーザーまたは一部の役割に制限されるようにすることができます。

リモートシステムへのアプリケーションのアクセス

適切な資格をすべて持っているからといって、アプリケーションの操作の範囲内にあるすべてのシステムをそのアプリケーションで管理できるとは限りません。Oracle Java Web Console アプリケーションを使用して管理する各システムには、専用のセキュリティードメインがあります。Web コンソールシステムに対する読み取り/書き込み権を持っていても、それらの資格がほかのリモートシステムを管理するのに十分であるとは限りません。

一般に、リモートシステムへのアクセスは、セキュリティーが Web アプリケーションにどのように実装されるかによって変わります。通常、Web アプリケーションは、アプリケーションに代わって処理を実行する「エージェント」を呼び出します。 これらのアプリケーションはその Web コンソールの資格とアプリケーションがエージェントシステムで認識されるときに使われる資格に基づいて認証される必要があります。このエージェントによる認証がどのように行われるかによって、エージェントでもこの認証された識別情報に基づいて承認チェックが行われることがあります。

たとえば、リモート WBEM エージェントを使用する Web アプリケーションでは通常、最初に Java Web Console に対して認証されたユーザーや役割の識別情報を使って認証が行われます。エージェントシステムでこの認証に失敗すると、そのシステムへのアクセスは Web アプリケーションで拒否されます。エージェントシステムで認証に成功しても、エージェントがアクセス制御チェックを行なってアクセスを拒否した場合は、引き続きアクセスが拒否されます。ほとんどのアプリケーションは、ユーザーが Web コンソールでの認証に成功し、正しい役割を引き受けた場合はエージェントでの認証や承認のチェックが失敗することのないように作成されます。

コンソールで使用される内部パスワード

Solaris 10 11/06 リリース以降、Oracle Java Web Console は、パスワードで保護された内部ユーザー名を使用して、基になる Web サーバーに対する管理タスクを実行したり、キーストアファイルやトラストストアファイルを暗号化したりします。コンソールをインストールできるよう、パスワードは初期値に設定されます。セキュリティー侵入の可能性を低減するために、インストール後はパスワードを変更するようにしてください。詳細は、「Java Web Console の内部パスワードを変更する」を参照してください。

authTypes タグを使って承認を指定する

ほとんどのシステム管理用の Web アプリケーションでは authTypes タグの使用に管理者が介入する必要はありませんが、場合によってはシステム管理者がこのタグの値を変更する必要があります。authTypes タグには、ユーザーが Java Web Console でアプリケーションを表示するのに必要な承認レベルが記述された情報の組が含まれています。Web コンソールでは、アプリケーション app.xml ファイル内の承認要件に基づいて、特定のアプリケーションを表示する権限がユーザーにあるかどうかを判定します。各アプリケーションでは、ユーザーがアプリケーションを実行するための適切な承認を受ける必要があるかどうかを判定できます。この判定は、アプリケーションのインストールプロセスの一環として行われることがあります。あるいは、ユーザーが独自のセキュリティー要件に応じて情報を提供する必要がある場合もあります。アプリケーションの製品マニュアルには、特定のアクセス権を指定する必要があるかどうかを判断するのに必要な情報が記載されています。

authTypes タグの内部にいくつかの authType タグを入れ子にすることができます。

authTypes タグには、次の必要事項が指定された authType タグが少なくとも 1 つ含まれている必要があります。

• 実行する承認チェックのタイプ

• Permission サブクラス名

• Permission サブクラスのインスタンスの作成に必要なパラメータ

次の例では、authType タグに属性 name が指定されています。必要となる name 属性は、承認サービスタイプの名前です。それぞれの承認タイプでは、classType と permissionParam の各タグに異なる値が必要となる場合があります。

<authTypes>
	<authType name="SolarisRbac">
	    <classType>
	      com.sun.management.solaris.RbacPermission
	    </classType>
	    <permissionParam name="permission">
	      solaris.admin.serialmgr.read
	    </permissionParam>
	</authType>
</authTypes>

次の表に、authType タグの内部で入れ子にできるタグを示します。

authTypes タグと入れ子の authType タグは、app.xml ファイルに必ず含まれる要素です。だれでも使用できるアプリケーションを登録する場合は、次の例に示すように、空の authType タグを指定します。

<authTypes>
        <authType name="">
            <classType></classType>
            <permissionParam name=""></permissionParam>
        </authType>
</authTypes>

Java Web Console へのリモートアクセスを使用可能にする

コンソールが実行されているシステムにログインして https://localhost:6789 の URL を使用する方法でしかコンソールに接続できない場合、そのシステムではリモートアクセスを防止する設定が使用されています。Solaris 10 11/06 リリース以降では、次の手順を使用して、ほかのアクセス制限はそのままで、コンソールへのリモートアクセスだけを使用可能にすることができます。

Java Web Console へのリモートアクセスを使用可能にする方法

1. コンソールが実行されているシステムで、スーパーユーザーになるか、同等の役割になります。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. コンソールサーバーがネットワーク要求に応答できるようにするためのプロパティーを設定し、コンソールサーバーを再起動します。

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = true # smcwebserver restart

Java Web Console へのリモートアクセスを使用不可能にする

ユーザーがリモートシステムからコンソールに接続できないようにすることが可能です。Solaris 10 11/06 リリース以降では、次の手順を使用して、ほかのアクセス権はそのままで、コンソールへのリモートアクセスだけを使用不可能にすることができます。

Java Web Console へのリモートアクセスを使用不可能にする方法

1. コンソールが実行されているシステムで、スーパーユーザーになるか、同等の役割になります。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. コンソールサーバーがネットワーク要求に応答しないようにするためのプロパティーを設定し、コンソールサーバーを再起動します。

   # svccfg -s svc:/system/webconsole setprop options/tcp_listen = false # smcwebserver restart

   再起動後、コンソールは、コンソールサーバープロセスと同じシステム上のブラウザにしか応答しなくなります。ブラウザでプロキシを使用することはできません。使用できるのは直接接続のみです。また、https://localhost:6789/ URL を使ってコンソールにアクセスすることもできます。

Java Web Console の内部パスワードを変更する

Solaris 10 11/06 リリース以降、コンソールではいくつかの内部ユーザー名とパスワードが使用されます。コンソールの内部ユーザー名とパスワードは、コンソールのフレームワークでのみ使用され、ユーザーやシステム管理者が直接使用することはありません。ただし、パスワードが知られると、悪意のあるユーザーがコンソールアプリケーションに干渉する可能性があります。そのようなセキュリティー侵入の可能性を低減するために、パスワードを変更するようにしてください。新しいパスワードはソフトウェアの内部で使用されるため、ユーザーがパスワードを覚える必要はありません。

コンソールの内部パスワードを変更する方法

パスワードは、管理パスワード、キーストアパスワード、およびトラストストアパスワードと呼ばれます。デフォルトの初期値を知らなくてもパスワードを変更することができます。この手順では、3 つのパスワードすべてを個別のコマンドで変更する方法について説明します。

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. 管理パスワードを変更します。

   # wcadmin password -a

   新しいパスワードを 2 回入力するよう求められます。パスワードは 8 文字から 32 文字で指定してください。

3. キーストアパスワードを変更します。

   # wcadmin password -k

   新しいパスワードを 2 回入力するよう求められます。パスワードは 8 文字から 32 文字で指定してください。

4. トラストストアパスワードを変更します。

   # wcadmin password -t

   新しいパスワードを 2 回入力するよう求められます。パスワードは 8 文字から 32 文字で指定してください。