Java Web Console を設定する

Java Web Console は、管理者が介入しなくても実行できるように事前設定されています。ただし、Web コンソールの設定プロパティーを上書きすることで、コンソールのデフォルトの動作の一部を変更することもできます。

Solaris 10 11/06 OS 以降では、これらのプロパティーを変更するには wcadmin コマンドを使用する必要があります。以前は smreg コマンドが使用されていました。wcadmin コマンドの詳細は、wcadmin(1M) のマニュアルページを参照してください。

コンソールの設定ファイル内のプロパティーは、コンソールの動作を制御します。この動作を変更するには、プロパティーに新しい値を定義して、デフォルト値を上書きします。ほとんどのプロパティーのデフォルト値は、独自のログインサービスを指定するなど、デフォルト値では満たせない特別なニーズがある場合を除き、上書きしないようにしてください。

通常、変更の対象となる可能性があるのは、次のプロパティー値です。

• コンソールのセッションタイムアウト

  Web コンソールのセッションタイムアウト時間は、session.timeout.value プロパティーによって制御されます。このプロパティーでは、セッションが時間切れになるまで、ユーザーの対話的操作がない状態で Web コンソールページを表示できる時間を制御します。タイムアウトに達すると、ユーザーは再度ログインする必要があります。デフォルト値は 15 分間です。ユーザー自身のセキュリティーポリシーに従って、新しい値を分単位で設定できます。ただし、このプロパティーはすべてのコンソールユーザーおよび登録されているすべてのアプリケーションのタイムアウト時間を制御するので注意が必要です。

  セッションタイムアウトの変更方法の例については、例 3–1 を参照してください。

• ロギングレベル

  ロギングのプロパティーは、ロギングサービスを設定するために使用します。コンソールのログファイルは /var/log/webconsole/console ディレクトリに作成されます。logging.default.level プロパティーは、どのメッセージがロギングされるかを決定します。コンソールログは、問題のトラブルシューティングに役立つ情報を提供します。

  このロギングレベルはロギングサービス経由で書き込まれるすべてのメッセージに適用されますが、ロギングサービスはデフォルトで Oracle Solaris リリースの syslog を使用します。syslog のログファイルは /var/adm/messages です。ファイル /var/log/webconsole/console/console_debug_log に含まれるログメッセージは、デバッグサービスを有効化した場合に書き込まれます。これを行うには、Using the Console Debug Trace Logの説明に従って 「コンソールのデバッグトレースログを使用する」 プロパティーを設定します。デフォルトロギングサービスとデバッグロギングサービスは別個のものですが、syslog への Java Web Console ロギングメッセージはデバッグの助けになるように console_debug_log にも書き込まれます。一般に、logging.default.level で設定されるロギングサービスは、コンソールアプリケーションによるロギング用として常に有効にしておきます。debug.trace.level で設定されるデバッグロギングを有効にするのは、問題を調査する場合だけにしてください。

  logging.default.level に使用できるプロパティー値は、次のとおりです。

  • all

  • info

  • off

  • severe

  • warning

  ロギングレベルの変更方法の例については、例 3–2 を参照してください。

• 監査実装

  監査とは、セキュリティー関連の管理イベントを生成および記録する処理です。イベントは、特定のユーザーがシステム上の管理情報を更新したことを示します。監査実装は、監査イベントを生成するサービスとアプリケーションで使用されます。

  Web コンソールでは、次の監査イベントが定義されます。

  • ログイン

  • ログアウト

  • 役割の引き受け

  監査イベントが発生すると、そのイベントのレコードが監査ログに作成されます。監査ログの場所は、使用されている監査実装によって異なります。Web コンソールの監査サービスは、基になるオペレーティングシステムによって提供される監査実装を使用します。

  Web コンソールは、次の 3 つの監査実装をサポートしています。 Solaris、Log、および None です。これらのキーワードのいずれかを audit.default.type 設定プロパティーの値として指定することで、監査実装を選択できます。一度に有効にできる監査実装は 1 つのみです。

  サポートされている監査実装の種類は次のとおりです。

  • Solaris

    Solaris はデフォルトの実装です。この実装は、BSM 監査機構に対応しています。この監査機構では、/var/audit ディレクトリのシステムファイルに監査レコードが書き込まれます。

    これらのレコードは、praudit コマンドを使って表示できます。イベントを取り込むためには、システムで BSM 監査機構を有効にする必要があります。また、/etc/security/audit_control ファイルに、どのイベントを生成するかを指示するエントリを入れておく必要があります。ユーザーごとにログインとログアウトのイベントを表示するために、lo イベントをフラグオプションとして設定する必要があります。詳細は、praudit(1M) と bsmconv(1M) のマニュアルページ、および『Solaris のシステム管理 (セキュリティサービス)』のパート VII「Solaris 監査」を参照してください。

  • Log

    この実装を設定すると、システムの syslog サービスに書き込むことができます。ロギングサービスが info レベルで有効になっている場合は、監査メッセージがコンソールログに書き込まれます。詳細は、例 3–2 を参照してください。

  • None

    監査イベントは生成されません。監査メッセージは、デバッグトレースログ (有効な場合) に書き込まれます。

監査実装の指定方法の例については、例 3–5 を参照してください。

Java Web Console のプロパティーを変更する方法

1. スーパーユーザーになるか、同等の役割を引き受けます。

   役割には、認証と特権コマンドが含まれます。役割の詳細については、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」を参照してください。

2. 実行している Oracle Solaris リリースに応じて、選択したプロパティーの値を次のように変更します。

   • Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドを使用します。

     # wcadmin add -p -a console name=value

     -p

     オブジェクトタイプがプロパティーであることを指定します。

     -a console

     console というアプリケーションに対するプロパティー変更であることを指定します。コンソールのプロパティーを変更する場合は、常に -a console オプションを使用する必要があります。

     name=value

     プロパティー名とそのプロパティーの新しい値を指定します。

   • Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

     # smreg add -p -c name

3. (省略可能) コンソールのプロパティーをそのデフォルト値にリセットします。

   • Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドを使用します。

     # wcadmin remove -p -a console name=value

   • Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

     # smreg remove -p -c name

     -p

     オブジェクトタイプがプロパティーであることを指定します。

     -c

     コンソールアプリケーションに対するプロパティー変更であることを指定します。コンソールのプロパティーを変更する場合は、常に -c オプションを使用する必要があります。

     name

     プロパティー名とそのプロパティーの新しい値を指定します。

例 3–1 Java Web Console のセッションタイムアウトプロパティーを変更する

この例では、セッションタイムアウトの値を 5 分に設定する方法を示します。

# wcadmin add -p -a console session.timeout.value=5

例 3–2 Java Web Console のロギングレベルを設定する

この例では、ロギングレベルを all に設定する方法を示します。

# wcadmin add -p -a console logging.default.level=all

例 3–3 Java Web Console のロギングレベルをデフォルト値にリセットする

この例では、ロギングレベルをデフォルトにリセットする方法を示します。

# wcadmin remove -p -a console logging.default.level

例 3–4 Java Web Console の Java バージョンを指定する

この例では、コンソールの Java バージョンを設定する方法を示します。

# wcadmin add -p -a console java.home=/usr/java

例 3–5 Oracle Java Web Console の監査実装を選択する

この例では、監査実装を None に設定する方法を示します。

# wcadmin add -p -a console audit.default.type=None

有効な監査タイプは次のとおりです。

None

監査なし

Log

syslog への監査メッセージの格納

Solaris

BSM への監査メッセージの格納

Oracle Java Web Console のユーザー ID

デフォルトでは、Web コンソールは noaccess というユーザー ID のもとで実行されます。ただし、システム構成によっては、noaccess ユーザーが無効にされていたり、noaccess ユーザーのログインシェルが無効なエントリに設定されてこのユーザー ID が使用できなくされていたりすることがあります。

noaccess ユーザーが使用できない場合は Web コンソールサーバーの起動や設定を行うことができないため、代わりのユーザー ID を指定する必要があります。最初の起動でコンソールサーバーが設定される前に、ユーザー ID を 1 回だけ変更することが理想的です。

コンソールを起動する前に次のいずれかのコマンドを使用して、root 以外の代替ユーザー ID のもとで実行されるように Web コンソールを設定できます。

# smcwebserver start -u username

このコマンドを実行すると、Web コンソールサーバーが指定のユーザー ID のもとで起動されます。コンソールの初回起動時にこのコマンドが発行された場合には、Web コンソールサーバーはそれ以降起動されるたびにこの ID で実行されます。

Solaris 10 11/06 以降のリリースを実行している場合は、次のコマンドも使用できます。

# wcadmin add -p -a console com.sun.web.console.user=
username

Solaris 10 11/06 リリース以降では、システムの初回起動時にコンソールも起動し、noaccess の下で実行するように自動的に設定されます。その結果、ユーザー ID は、変更する機会が得られないまま noaccess に設定されてしまいます。その場合は、まず次のコマンドを使ってコンソールを初期の未設定状態にリセットしてください。続いて、コンソールの再起動時に別のユーザー ID を指定します。

# smcwebserver stop
# /usr/share/webconsole/private/bin/wcremove -i console
# smcwebserver start -u new_user_identity

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

# smreg add -p -c com.sun.web.console.user=username

このコマンドを実行すると、次回以降サーバーが起動されるたびに、Web コンソールサーバーが指定のユーザー ID のもとで起動されます。

コンソールのデバッグトレースログを使用する

デフォルトでは、コンソールはデバッグメッセージを記録しません。デバッグのロギングをオンにして、コンソールサービスの問題のトラブルシューティングに利用することができます。

デバッグのロギングをオンにするには、debug.trace.level プロパティーを 0 以外の値に設定します。

可能な選択肢は次のとおりです。

• 1 - 重大エラーの可能性があるエラーを記録する場合は、この設定を使用します。

• 2 - 重要なメッセージやレベル 1 のエラーメッセージを記録する場合は、この設定を使用します。

• 3 - 考えられるすべてのメッセージを詳細な情報とともに記録するには、この設定を使用します。

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合、デバッグトレースログはデフォルトで /var/log/webconsole ディレクトリ内に作成されます。Solaris 10 11/06 リリース以降では、/var/log/webconsole/console ディレクトリ内にログが作成されます。ログファイルの名前は console_debug_log です。console_debug_log.1 や console_debug_log.2 などの履歴ログがこのディレクトリに格納されている場合もあります。このディレクトリには最高 5 つ (デフォルトの設定) の履歴ログを格納しておくことができ、そのあとはもっとも古いログが削除され、新しいログが作成されます。

例 3–6 コンソールのデバッグトレースログレベルを設定する

次のコマンドを使用して、デバッグトレースログレベルを 3 に設定します。

Solaris 10 11/06 リリースの場合は、次のコマンドを使用します。

# wcadmin add -p -a console debug.trace.level=3

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

# smreg add -p -c debug.trace.level=3

例 3–7 debug.trace.level プロパティーの状態を確認する

debug.trace.level プロパティーの状態を確認する場合は、wcadmin list コマンドまたは smreg list コマンドを使用します。

Solaris 10 11/06:

# wcadmin list -p | grep "debug.trace.level"

Oracle Solaris 10、Solaris 10 1/06、および Solaris 10 6/06 リリースの場合は、次のコマンドを使用します。

# smreg list -p | grep "debug.trace.level"