この章では、管理サーバーを使用した管理の詳細設定方法について説明します。サーバーの設定に必要な CGI プログラムを起動できるように、ブラウザの cookie を有効にする必要があります。
この章の内容は次のとおりです。
サーバーで要求を処理するには、待機ソケットを使用して要求を受け入れてから、適切なサーバーにその要求を送信する必要があります。Proxy Server をインストールすると、待機ソケット ls1 が自動的に作成されます。この待機ソケットには、0.0.0.0 の IP アドレスと、インストール時に管理サーバーのポート番号として指定したポート番号が割り当てられます。
待機ソケットの追加、編集、および削除は、管理サーバーの「Edit Listen Sockets」ページを使用して実行できます。サーバーにアクセスする待機ソケットは、少なくとも 1 つ必要です。待機ソケットが 1 つしかない場合は、削除できません。
この節では、待機ソケットの追加、編集、および削除について説明します。
管理サーバーにアクセスして、「Preferences」タブを選択します。
「Edit Listen Sockets」リンクをクリックします。
「新規」ボタンをクリックします。
設定を指定し、「了解」をクリックします。
特定のフィールドについては、オンラインヘルプを参照してください。
管理サーバーにアクセスして、「Preferences」タブを選択します。
「Edit Listen Sockets」リンクをクリックします。
編集する待機ソケットのリンクをクリックします。
変更を行い、「了解」をクリックします。
管理サーバーにアクセスして、「Preferences」タブを選択します。
「Edit Listen Sockets」リンクをクリックします。
削除する待機ソケットの隣のチェックボックスを選択し、「了解」をクリックします。
削除を確認するプロンプトが表示されたら「了解」をクリックします。
サーバーにアクセスする待機ソケットは、少なくとも 1 つ必要です。待機ソケットが 1 つしかない場合は、その待機ソケットを削除できません。
管理サーバーにスーパーユーザーのアクセスを設定できます。この設定は、スーパーユーザーアカウントにのみ影響します。管理サーバーが分散管理方式を採用している場合には、許可する管理者に対して、別のアクセス制御を設定する必要があります。
ユーザーやグループを管理するために Sun Java System Directory Server を使用する場合、スーパーユーザー名やパスワードを変更する前に、ディレクトリ内のスーパーユーザーエントリを更新する必要があります。先にディレクトリを更新しないと、管理サーバーの「Users and Groups」インタフェースにアクセスできません。これに対処するには、このディレクトリにアクセスできる管理者アカウントを使用して管理サーバーにアクセスするか、または Directory Server のコンソールや設定ファイルを使用してディレクトリを更新する必要があります。
管理サーバーにアクセスして、「Preferences」タブを選択します。
「Control Superuser Access」リンクをクリックします。
変更を行い、「了解」をクリックします。
特定のフィールドについては、オンラインヘルプを参照してください。
スーパーユーザーのユーザー名とパスワードは、server-root /proxy-admserv/config 内の admpw ファイルに格納されています。このファイルは、username :password の書式になっています。このファイルを開いてユーザー名を確認できますが、パスワードは暗号化されているため読み取ることはできません。パスワードを忘れた場合は、新しいパスワードに変更できます。
admpw ファイルを編集して、暗号化されているパスワードを削除します。
ユーザー名を使用して、パスワードを指定せずに管理サーバーにアクセスします。
「Preferences」タブをクリックします。
「Control Superuser Access」リンクをクリックします。
新しいパスワードを入力し、「了解」をクリックします。
admpw ファイルは編集可能なため、サーバーコンピュータを安全な場所に保管し、そのファイルシステムへのアクセスを制限することが非常に重要です。
UNIX と Linux システムでは、ファイルの書き込みは root のみに限定するようにファイルの所有権を変更することを検討してください。そうしないと、どのシステムユーザーでも管理サーバーデーモンを実行できるようになってしまいます。Windows システムでは、ファイル所有権は、管理サーバーが使用するユーザーアカウントに限定します。
分散管理により、複数の管理者がサーバーの特定の部分を変更することができます。分散管理を有効にするには、事前にディレクトリサーバーをインストールしておく必要があります。デフォルトのディレクトリサービスは、LDAP ベースにする必要があります。
分散管理には、2 つのレベルのユーザーがあります。スーパーユーザーと管理者です。
スーパーユーザーとは、server-root /proxy-admserv/config/admpw 内のリストにあるユーザーです。これは、インストール時に指定したユーザー名とパスワードになります。このユーザーは、管理サーバーのすべてのフォーム ( ただし、「Users and Groups」フォームは除く) へのすべてのアクセス権を持っています。「Users and Groups」フォームへは、LDAP サーバーで有効なアカウントを持つスーパーユーザーがアクセスできます。
管理者は、管理サーバーを含む、特定のサーバーの「Server Manager」フォームへ直接、アクセスできます。フォームの内容は、設定されているアクセス制御規則 (通常はスーパーユーザーにより設定される) により変わります。管理者は、限定された管理業務を実行でき、また、ユーザーの追加、アクセス制御の変更などその他のユーザーに影響する項目を変更できます。
アクセス制御については、第 8 章サーバーへのアクセス制御を参照してください。
ディレクトリサーバーがインストールされていることを確認します。
管理サーバーへアクセスします。
(オプション) ディレクトリサーバーをインストールした後で、管理グループをまだ作成していない場合は管理グループを作成する必要があります。グループを作成するには、次の手順を実行します。
「Users and Groups」タブをクリックします。
「Create Group」リンクをクリックします。
LDAP ディレクトリに管理者グループを作成し、管理サーバー (または、サーバー root にインストールされたその他のサーバー) の設定アクセス権を付与するユーザーの名前を追加します。
特定のフィールドについては、オンラインヘルプを参照してください。
管理者グループ内のすべてのユーザーは、管理サーバーへのすべてのアクセス権を保持していますが、アクセス制御を使用して、それらのユーザーが設定できるサーバーやフォームを制限することもできます。
アクセス制御リストを作成すると、このリストに分散管理グループが追加されます。管理者グループの名前を変更する場合は、参照先のグループを変更するため、アクセス制御リストを手動で編集する必要があります。
「Preferences」タブをクリックします。
「Configure Distributed Administration」リンクをクリックします。
「Yes」を選択し、管理者グループを指定し、「了解」をクリックします。
管理サーバーのログファイルには、管理サーバーに関するデータが記録されます。これには、検出したエラーのタイプやサーバーアクセスに関する情報が記録されます。これらのログを確認することで、サーバーのアクティビティーを監視したり、障害追跡に役立てたりすることができます。「Log Preferences」ページのさまざまなオプションを使用して、管理サーバーログに記録されるデータのタイプや形式を指定できます。サーバーについて決まった量の情報を提供する共通ログファイル形式を選択したり、必要に応じてカスタムログファイル形式を作成したりすることもできます。
管理サーバーの「Log Preferences」ページにアクセスするには、「Preferences」タブをクリックし、次に「Access Log Preferences」または「Error Log Preferences」リンクをクリックします。ログファイルとログファイルオプションの設定については、第 9 章ログファイルの使用を参照してください。オンラインヘルプも参照してください。
管理サーバーのログファイルは、server-root /proxy-admserv/logs にあります。エラーログとアクセスログについては、両方とも、Proxy Server の管理コンソールから表示したり、テキストエディタを使用して表示したりすることができます。
アクセスログファイルには、サーバーへの要求やサーバーからの応答に関する情報が記録されます。
管理サーバーにアクセスして、「Preferences」タブをクリックします。
「View Access Log」リンクをクリックします。
特定のフィールドについては、オンラインヘルプを参照してください。第 9 章ログファイルの使用も参照してください。
エラーログには、ログファイル作成以降にサーバーが検出したエラーすべてが記録されます。このファイルには、サーバーの起動時刻や、ログインに失敗したユーザー名などのサーバーに関する情報メッセージも記録されます。
管理サーバーにアクセスして、「Preferences」タブをクリックします。
「View Error Log」リンクをクリックします。
特定のフィールドについては、オンラインヘルプを参照してください。第 9 章ログファイルの使用も参照してください。
ユーザーの名前やパスワードなどの情報は、LDAP を使用して 1 つのディレクトリサーバーで保管し、管理することができます。また、サーバーを設定して、簡単にアクセスできる複数のネットワークロケーションからユーザーがディレクトリ情報を引き出せるようにすることもできます。ディレクトリサービスの使用については、第 4 章ユーザーとグループの管理を参照してください。
Proxy Server が受信した要求を評価する場合、アクセス制御エントリ (Access Control Entry、ACE) と呼ばれる規則の階層に基づいてアクセス権を決定し、一致するエントリを使用して、要求を許可するか、拒否するかを決定します。各 ACE は、サーバーが階層内の次の ACE に進むべきかどうかを指定します。ACE の集合は、アクセス制御リスト (ACL) と呼ばれます。
管理サーバーや、サーバーインスタンス内の特定リソース (ファイル、ディレクトリ、ファイルタイプなど) へのアクセスに対して、アクセス制御を設定できます。管理サーバーへのアクセス制御は、管理サーバーの「Global Settings」タブで設定します。サーバーインスタンス内のリソースへのアクセス制御は、サーバーマネージャーの「Preferences」タブで設定します。アクセス制御の設定については、第 8 章サーバーへのアクセス制御を参照してください。
サーバーアクセスを制限する前に、分散管理を有効にする必要があります。詳細は、「複数の管理者の許可」を参照してください。
SNMP (Simple Network Management Protocol) は、ネットワークアクティビティーに関するデータをやり取りするために使用されるプロトコルです。この情報は、サブエージェントとマスターエージェントを使用して、ネットワーク管理ステーションとサーバーの間で転送されます。
SNMP マスターエージェントの設定は、管理サーバーの「Global Settings」タブで設定します。マスターエージェントは、管理サーバーとともにインストールされます。SNMP およびエージェントの設定については、第 10 章サーバーの監視を参照してください。また、管理サーバーの「Global Settings」タブ上のマスターエージェントページと、サーバーマネージャーの「Server Status」タブ上のサブエージェントページについては、オンラインヘルプも参照してください。