Solaris for ISPs 管理ガイド

第 1 章 Solaris for ISPs の概要

Solaris for ISPs をご利用いただきありがとうございます。この Solaris オーバーパックは、Solaris オペレーティングシステムのオープンアーキテクチャとスケーラビリティを基盤として、インターネットサービスプロバイダ (ISP) とその加入者に最適な操作環境を提供します。

Solaris for ISPs のアーキテクチャ

Solaris for ISPs は 2 種類のソフトウェアで構成されています。1 つはプラットフォーム拡張機能で、Solaris 基本環境に機能を追加して ISP サービスを可能にするものです。ただし、ISP 加入者が直接プラットフォーム拡張機能にアクセスすることはありません。これに対して ISP サービスは、拡張された Solaris 環境を利用して、インターネットニュース、FTP、WWW へのアクセス機能を加入者に提供します。

図 1-1 Solaris for ISPs の基本アーキテクチャ

Graphic

Solaris for ISPs のプラットフォーム拡張機能

Solaris for ISPs は、Solaris オペレーティングシステムに次の拡張機能を追加します。

Sun Internet Administrator

Sun Internet Administrator は、分散型 ISP サービスを安全に中央管理するための次の機能を提供します。

ホスト構成ソフトウェア

Solaris for ISPs のホスト構成ソフトウェアは次の機能を提供します。

ホスト構成ソフトウェアは必須ソフトウェアコンポーネントです。すべての Solaris for ISPs ホストマシン上にインストールする必要があります。

Sun Internet Services Monitor

ISP は、このパフォーマンス監視ソフトウェアを使用して、加入者による ISP サービス利用をエミュレートする特殊なクライアントマシンを設定できます。パフォーマンス監視アプレットを設定して、目的の Web サーバー、メールサーバー、ニュースサーバー、ディレクトリサービスサーバーに接続し、加入者から見たパフォーマンス情報を収集します。こうして収集されたパフォーマンス情報を監視側ホストマシンに集めて、Web ブラウザで表示できます。

Sun Internet Services Monitor は 2 階層アプリケーションです。Sun Internet Administrator から管理できますが、簡易サインオンや管理者認証は適用されません。2 階層アーキテクチャの詳細は、「Sun Internet Administrator によるサービス管理」を参照してください。

Sun Directory Services

これは、LDAP (軽量ディレクトリアクセスプロトコル) を実装したディレクトリサービスで、ユーザー (管理者) とサービス構成に関する情報の共有レポジトリを提供します。管理者は加入者情報をレポジトリに保存することもできます。現バージョンの Sun Directory Services が提供する機能を次に示します。

Sun Directory Services は、X ベースのアプリケーションとして Sun Internet Administrator から管理できます。

Sun Directory Services は、ライセンスなしで 1000 個までのエントリをディレクトリに作成できます。Solaris for ISPs には 5000 個までのエントリ作成を可能にするライセンス証明書が付属しています。ライセンスを有効にするには、FlexLM ライセンスサーバーを使用して登録しなければなりません。ライセンス証明書をインストールして有効にする方法については、『Solaris for ISPs のインストール』を参照してください。

Solaris for ISPs における Sun Directory Services の役割については、このマニュアルの第 5 章「ディレクトリサービスの使用」第 6 章「Solaris for ISPs のディレクトリサービスのスキーマ」を参照してください。Sun Directory Services のマニュアルとしては、『Sun Directory Services 3.1 管理ガイド』と『Sun Directory Services 3.1 ユーザーズガイド』があり、どちらも AnswerBook2 パッケージとして提供されています。Sun Directory Services の Deja ツールに関しては、オンラインヘルプで詳しく説明しています。

SunScreen SKIP

SunScreen SKIP は、IP 暗号化のキー管理の標準である SKIP (インターネットプロトコル用シンプルキーマネージャ) をベースにしています。SKIP の特徴を次に示します。

完全な SKIP テクノロジを使用できるのは北米だけですが、各地域向けの輸出用バージョンも提供されています。SKIP をインストールすると、そのマニュアルページが /opt/SUNWicp/man にインストールされます。

FlexLM ライセンスサーバー

Sun Directory Services は FlexLM ライセンスサーバーを使用して、さまざまなサイズのライセンスを管理します。ネットワーク上にバージョン 4.1 以降のライセンスサーバーが存在していれば、そのサーバーを使用して Sun Directory Services のライセンスを管理できます。

Sun Directory Services は、ライセンスなしで 1000 個までのエントリをディレクトリに作成できます。これはディレクトリのインストールと初期化には十分な個数ですが、使用する ISP アプリケーションによっては、より多くのエントリが必要になります。ライセンスキーの取得とサーバーの再構成については、『Solaris for ISPs のインストール』を参照してください。

FlexLM ライセンスサーバーをインストールすると、FlexLM マニュアルページが /opt/SUNWste/license_tools/man にインストールされます。

HotJava ブラウザ

Solaris for ISPs で提供される HotJava ブラウザは、Sun Internet Administrator などさまざまな管理ツールのユーザーインタフェースとして必要となります。HotJava ブラウザがサポートしているインターネット標準とプロトコルを次に示します。

Java 開発キット

Solaris for ISPs で提供される Java 開発キット (JDK) は、Solaris for ISPs コンポーネントからの Java 使用をサポートします。JDK バージョン 1.1.5 が提供する新機能を次に示します。

ISP サービス

現バージョンの Solaris for ISPs が提供するサービスを次に示します。

どの ISP サービスも、グラフィカルユーザーインタフェース (GUI) はもちろん、コマンド行からも全機能にアクセスできるので、さまざまなスクリプトを自由に作成できます。

Sun WebServer (SWS)

Sun WebServer (SWS) は信頼性が高く、安全で、標準に準拠した Web サーバーであり、インターネット、エクストラネット、イントラネット上で情報へのアクセス、管理、配布を可能にします。最新バージョンの SWS に追加された新機能を次に示します。

SWS は 2 階層アプリケーションです。Sun Internet Administrator から管理できますが、簡易サインオンは適用されません。SWS は Sun Internet Administrator と管理データを共有するように構成されます。構成方法の詳細は第 7 章「既存サービスアプリケーションの統合」、2 階層アーキテクチャの詳細は、「Sun Internet Administrator によるサービス管理」を参照してください。

Sun Internet News Server

Sun Internet News Server は、性能とスケーラビリティに優れたニュースサーバーです。主な機能を次に示します。

Sun Internet FTP Server

これは高い性能とスケーラビリティを備えた FTP サーバーで、次のような拡張機能を提供します。

Solaris for ISPs のインストール方法

一般の UNIX サーバーは多種多様なアプリケーションを実行しなければならないため、デフォルト設定で Solaris をインストールすると、ほとんどの UNIX サービスがインストールされます。それに対して ISP の Solaris 使用環境は、公共環境における特定サービスの提供に限定されています。そのような環境では、厳しいパフォーマンス要件とセキュリティ要件を満たす必要があります。

そのために、ISP の管理者は、Solaris 環境を ISP 向けに強化、調整する大変な作業を行わなければなりません。たとえば、不要な Solaris サービスを停止し、セキュリティ上の弱点をなくすためにファイルのアクセス権を変更するなどの作業が必要になります。そのような作業を行うには、大変な時間がかかります。

Solaris for ISPs に付属しているホスト構成ソフトウェアを使用すると、これらの強化、調整作業を自動化できます。ホスト構成ソフトウェアは、必要なソフトウェアパッケージを適切な場所にコピーするだけでなく、Solaris 2.6 基本環境を強化し、必要に応じてファイルの所有者とアクセスモードを変更して、Solaris のセキュリティとログメカニズムを再構成します。そして最後に、各ホストマシンの目的に合わない Solaris 標準サービス (たとえば、fingerrlogin) を選択的に無効にします。

Solaris for ISPs のホスト構成は、GUI を使用して対話的に行うことも、JumpStart を使用して同じホスト構成を非対話的に実行することもできます。

ホスト構成モデル

構成作業では現在のシステム構成に基づいて、インストール可能なソフトウェアコンポーネントはどれか、またインストールまたはインストール解除の対象としてユーザーが選択したコンポーネントはどれかというシナリオを作成します。

図 1-2 Solaris for ISPs のホスト構成作業

Graphic

ホスト構成ソフトウェアは、インストール後にホストを再構成したり、必要に応じてサービスの追加または削除を行なったりする場合にも使用できます。

再利用可能な構成シナリオ

GUI を使用して対話的にホスト構成を行うと、構成シナリオを一連のファイル (バイナリ形式ファイルとその関連ファイル) に保存するオプションを選択できます。ISP 管理者は、インストールと構成のシナリオを作成して保存しておき、JumpStart の finish スクリプトでそのシナリオを使用すればインストールから構成までを非対話形式で自動的に実行できます。このような JumpStart によるインストールでは、同じ構成シナリオを何度も利用できます。

JumpStart は、Solaris オペレーティングシステムに組み込まれています。JumpStart を使用すると、再利用可能なカスタマイズ済みの Solaris インストール手順をローカルまたはリモートに実行できます。JumpStart によるカスタムインストールの作成方法については、『Solaris のインストール (上級編)』を参照してください。JumpStart によるカスタムインストールの finish スクリプトでシナリオファイルを使用する方法については、このマニュアルの第 2 章を参照してください。

Sun Internet Administrator によるサービス管理

Sun Internet Administrator を使用すると、あらゆる ISP サービスをローカルに、またはネットワーク経由で安全に中央管理できます。Sun Internet Administrator は、認証された管理者からの要求に応じて各サービスの管理 GUI を呼び出します (要求されたサービスに管理 GUI がある場合)。必要に応じて、Sun Internet Administrator のコマンド行インタフェースも使用できます。

安全な環境を提供するための機能

Sun Internet Administrator が提供するセキュリティ機能を次に示します。

Sun Internet Administrator は、2 階層と 3 階層の 2 種類のアーキテクチャのサービスをサポートします。上記のセキュリティ機能がすべて適用されるのは、3 階層アーキテクチャだけです。次の 4 種類のサービス UI がサポートされています。

3 階層アプリケーションのアーキテクチャ

ブラウザベースの 3 階層アプリケーションには、Sun Internet Administrator が提供するセキュリティ上の利点がすべて適用されます。

図 1-3 ISP サービスの 3 階層アーキテクチャ

Graphic

図 1-3 に示すように、管理者は次の手順でサービスの管理機能にアクセスします。

  1. 管理者は、ブラウザで特定の URL (Sun Internet Administrator の GUI メインページが入っている場所) を要求します。

    クライアントブラウザに AWC がダウンロードされるので、管理対象とするサービスを選択します。

  2. 管理者のユーザー名とパスワードを要求するプロンプトが表示されます。このとき、コンソール GUI にアクセスできる UNIX アカウントを使用する必要はありません。Sun Internet Administrator の管理者情報は、ディレクトリサービスのレポジトリ (Sun Directory Services) が管理しているからです。この接続プロセスは、secure HTTP を使用して保護できます。

    選択されたサービスは、そのサービスの ASCA の URL を要求し、それに対してサーバーエージェントの GUI がダウンロードされます。この時点で、サービスの管理プログラムに制御が渡されます。

  3. 以降のアクセスは、クライアントブラウザと、AWS 上にあるコンポーネントのサーバーエージェントの間で直接行われます。

    AWS はディレクトリサービスに対する管理者認証を行い、管理者の要求をすべてログに記録します。管理者が適切なアクセス権を持っていれば、その要求を ASRA に渡します。

  4. ASCA と ASRA の通信は、サービスの開発者が選択したプロトコルで行われます。この接続プロセスとその関連トラフィックは、適切な IP レベルのセキュリティ対策で保護できます。

    ASRA も管理者による各操作を認証して記録します。ネットワーク通信を保護するために、SKIP を使用して IP レベルを暗号化できます。

Solaris for ISPs では、ASCA および ASRA モジュールがコマンド行プログラムと X ベースプログラムの両方に提供されています。アプリケーションを登録すると、Sun Internet Administrator はそれらのアプリケーションを自動的に使用します。

2 階層アプリケーションのアーキテクチャ

アプリケーションによっては、特に既存のサービスでは Sun Internet Administrator からアクセスするのに 2 階層アーキテクチャを使用する方が実用的なことがあります。このようなサービスは Sun Internet Administrator から管理できますが、セキュリティ上の利点のうち簡易サインオンとログ機能は使用できません。

図 1-4 ISP サービスの 2 階層アーキテクチャ

Graphic

図 1-4 に示すように、管理者は次の手順でサービスの管理機能にアクセスします。

  1. 管理者はブラウザで特定の URL (コンソールの GUI メインページが入っている場所) を要求します。

    この手順は 3 階層アーキテクチャの場合と同じです。クライアントブラウザに AWC がダウンロードされるので、管理対象とするサービスを選択します。

  2. 選択されたサービスは、そのサービスの ASRA の URL を要求します。そのサービスの管理 GUI がブラウザベースでなければ、開発者が選択した別のプロトコルが使用されます。

  3. 以降のアクセスは、クライアントブラウザと、サービスの遠隔エージェントの間で直接行われます。この接続プロセスとその関連トラフィックは、適切な IP レベルのセキュリティ対策で保護されなければなりません。

    2 階層アーキテクチャを使用するサービスは、簡易サインオン機能を利用できません。