iPlanet Trustbase Transaction Manager 2.2.1 設定ガイド: 第 2 章アーキテクチャの構成

前へ目次 DocHome 索引次へ

iPlanet Trustbase Transaction Manager 2.2.1 設定ガイド

第 2 章 アーキテクチャの構成

iPlanet Trustbase Transaction Manager は、さまざまなハードウェア構成に配置できます。

単独もしくはクラスタ状にインストールされている iPlanet Application Server に設定できます。

DMZ 環境におけるさまざまな設定

また、ハードウェアセキュリティモジュールを使って設定することもできます。

iPlanet Application Server の構成

iPlanet Application Server は多様な構成で使用でき、次のような要素に対するさまざまな条件をサポートできます。

スケーラビリティ

スループット

フェイルオーバー
iPlanet Trustbase Transaction Manager は、これらの機能を活用できるように設計されており、次の 2 つの主な構成においてテスト済みです。

単独の iPlanet Application Server

クラスタ状の iPlanet Application Server
単独の iPlanet Application Server は、トラフィック量の少ないテスト段階の Transaction Manager 環境でよく使われる構成です。この構成は標準的な iPlanet Trustbase Transaction Manager のインストールとみなされ、『iPlanet Application Server Installation Guide』に説明されている内容以外に、特別なオプションの構成は必要ありません。次に示すのは、推奨される iPlanet Application Server の設定です。

ホストマシンの各 CPU に単独の KJS

KJS あたり最低 8、最高 64 のスレッド
iPlanet Trustbase Transaction Manager は、一般的に CPU に結合された処理環境です。つまり、CPU の数を増やしたり、高速の CPU をインストールすると、パフォーマンスが向上します。
iPlanet Trustbase Transaction Manager では、広範囲にわたって Oracle データベースが使用されます。Oracle では、CPU とディスク容量に対する負荷が大きくなります。可能であれば、Oracle を iPlanet Trustbase Transaction Manager とは別のコンピュータに配置してください。
クラスタ状にインストールされた iPlanet Application Server では、単独の iPlanet Application Server で iPlanet Trustbase Transaction Manager を実行する場合に比べ、スケーラビリティ、スループット、およびフェイルオーバーが向上します。クラスタ状の iPlanet Application Server をインストールする場合には、まず次の点を考慮する必要があります。

iPlanet Application Server を実行する各マシンに nCipher HSM を装備可能かどうか。これは Identrus に準拠するために必要

クラスタ状の iPlanet Application Server 環境では、負荷が限界状態になると応答が遅くなることがある

注パフォーマンスの調整と効率的な配置の詳細は、次を参照してください。

iTTM (このガイド)。接続の数については第 6 章、「SSL」を、キャッシュにかかる時間については「Identrus の構成」を参照

『Oracle 8i Administrators Reference Manual』の第 2 章

SQL の調整については『Oracle 8i Programmers Guide』

サーバのパフォーマンスの調整については『iPlanet Web Server 4.1 Administration Guide』

アプリケーションの配置については『iPlanet Application Server 6.0 Administration and Development Guide』

DMZ の使用

iPlanet Trustbase Transaction Manager では、2 つのファイヤウォール間のプロクシマシンを使用して作成した非武装セグメント (DMZ) 内にアプリケーションサーバを配置するのが、一般的なアーキテクチャモデルです。この構成では、外部のユーザが、認証や認証の必要要件を避けるために、アプリケーション構成ロジックに直接アクセスしたり、ロジックを変更したりすることを防止できます。
DMZ の主ファイヤウォールは、SSL アクセスと SMTP アクセスをサポートするために、2 つの非認証オープンポートを提供する必要があります。これらのポートは、一般的に次のとおりです。

SSL - ポート 443

SMTP - ポート 25
このファイヤウォールの後ろには、SSL プロクシ、SMTP リスナー、および iPlanet Web Server を実行する単独のマシンがあります。副ファイヤウォールには、DMZ マシン専用に構成したオープンポートが 3 つあります。これらの 3 つのポートは次のとおりです。

iPlanet Application Server ディレクトリポート 389

iPlanet Web Server

HTTP - ポート 80

管理者 - ポート 8888

Oracle

注 Oracle では多くのポートが使用されます。詳細は、Oracle DBA に問い合わせてください。

SSL プロクシと SMTP プロクシは、副ファイヤウォールの後ろにある iPlanet Web Server との通信に HTTP ポートを使用します。SSL リスナーと SMTP リスナーは、接続情報の格納と構成の受信に、Oracle ポートを使用します。次の図にアーキテクチャを示します。
図 2-1 DMZ アーキテクチャ

この構成では、システム管理者が SSL 証明書なしで HTML ベースの構成画面を使うことができます。構成管理メカニズムはユーザ名とパスワードに基づく認証方式で保護されているため、この方法を使っても認証メカニズムが回避されることはありません。

注デフォルトの構成では、すべてが単独のマシンで実行されます。iPlanet Application Server 6.0 と iPlanet Web Server 4.1 をインストールすると、ディレクトリサーバがインストールされます。このディレクトリサーバのデフォルトポートは 389、管理者ポートは 8888 になります。

マシンのインストール

場合によっては、一部のコンポーネントソフトウェアを別のマシンにインストールしなければならないことがあります。次の表に、可能な組み合わせをまとめます。
表 2-1 可能なマシンのインストール

分離してインストールする製品の
コンポーネント

別のマシンへのインストールの可否

考慮すべき事項

iTTM を IAS から分離

Ｘ

IAS と IWS を別のマシンにインストールする場合は、iTTM と IAS が必ず同じマシンにインストールされていること

IWS を IAS から分離

○

Configurator Plug-in に関するセクションを参照
http://docs.iplanet.com/docs/manuals/ias.html

Oracle を iTTM から分離

○

「Oracle データベースの構成」を参照

SSL プロクシを iTTM から分離

○

「SSL プロクシを別に構成」を参照

SMTP プロクシを iTTM から分離

○

「SMTP プロクシを別に構成」を参照

IAS をほかの Web サーバとともにインストール

サポートなし

 SSL プロクシを別に構成

場合によっては、SSL プロクシを別のマシンに配置したほうが便利なことがあります。
図 2-2 分離した SSL プロクシの DMZ アーキテクチャ

この構成を使用する場合、システム管理者は、nCipher ボックスが nCipher の Security World を共有するように、nCipher の Security World を構成する必要があります。また、適切な iPlanet Trustbase Transaction Manager ソフトウェアを両方のマシンに確実にインストールするには、独立したスクリプトを使用する必要があります。手順は次のとおりです。

インストールディレクトリ (/app) から「tar -cvf Trustbase.tar Trustbase」と入力して、完了した単独マシンのインストールの tar を作成します。

この tar ファイルを、プロクシを実行するコンピュータに解凍します。解凍には、元のコンピュータと同じインストールディレクトリ構造 (/app) を使用します。この新しいマシンには、iPlanet Trustbase Transaction Manager、iPlanet Web Server、または iPlanet Application Server をインストールしないでください。

<新規インストールディレクトリ>/Trustbase/TTM に移動して、コンピュータのホスト名であるディレクトリの名前を変更し、この名前が新規ホストのものであることを確認します。<新規インストールディレクトリ> が異なる場合は、<新規インストールディレクトリ>/Trustbase/TTM/Scripts.setenv ファイルを編集して、TBASE_INSTALL と TBASE_HOME のディレクトリ名を <新規インストールディレクトリ> に変更します。

プロクシを独自に起動するには、この新しいホスト名のディレクトリの <新規インストールディレクトリ>/Trustbase/TTM/Scripts を使用します。./runsslproxy スクリプトを実行します。

SSL プロクシの元のホストで、<インストールディレクトリ>/Trustbase/TTM/Scripts 内の ./starttbase スクリプトを編集し、SSL プロクシへの参照を削除します。./stoptbase スクリプトに対しても、同様の作業を行います。
プロクシから iPlanet Trustbase Transaction Manager へは通信が行われますが、その逆は行われないので、管理コンソールから構成設定を変更する必要はありません。すべてのエンドユーザの、すべての証明書に対するトランザクションコーディネータの「AIA」フィールドも、SSL プロクシの新しいホストをポイントするようにします。

SMTP プロクシを別に構成

場合によっては、SMTP プロクシを別のマシンに配置したほうが便利なことがあります。
図 2-3 分離した SMTP プロクシの DMZ アーキテクチャ

この構成を使用する場合、システム管理者は nCipher ボックスが nCipher の Security World を共有するように、nCipher の Security World を設定する必要があります。また、適切な iPlanet Trustbase Transaction Manager ソフトウェアを両方のマシンに確実にインストールするには、独立したスクリプトを使用する必要があります。手順は次のとおりです。

インストールディレクトリ (/app) から「tar -cvf Trustbase.tar Trustbase」と入力して、完了した単独マシンのインストールの tar を作成します。

この tar ファイルを、プロクシを実行するコンピュータに解凍します。解凍には、元のコンピュータと同じインストールディレクトリ構造 (/app) を使用します。この新しいマシンには、iPlanet Trustbase Transaction Manager、iPlanet Web Server、または iPlanet Application Server をインストールしないでください。

<新規インストールディレクトリ>/Trustbase/TTM に移動して、コンピュータのホスト名であるディレクトリの名前を変更し、この名前が新規ホストのものであることを確認します。<新規インストールディレクトリ> が異なる場合は、<新規インストールディレクトリ>/Trustbase/TTM/Scripts.setenv ファイルを編集して、TBASE_INSTALL と TBASE_HOME のディレクトリ名を <新規インストールディレクトリ> に変更します。

<新規インストールディレクトリ>/Trustbase/TTM/Scripts/runsmtpproxy スクリプトを編集して、ローカルホストを iPlanet Trustbase Transaction Manager をインストールしたマシンのホスト名に変更します。次に例を示します。

#!/bin/sh
. ./setcp
ulimit -n 128
echo $$ > pids/runsmtpproxy.pid
cd $TBASE_INSTALL
exec java uk.co.jcp.tbaseimpl.smtp.server.SmtpServer -debug 6 -url http://hailstorm.uk.sun.com/NASApp/TbaseSmime/SmimeServlet -timeout 120000

プロクシを独自に起動するには、この新しいホスト名のディレクトリの <新規インストールディレクトリ>/Trustbase/TTM/Scripts を使用します。./runsmtpproxy スクリプトを実行します。

SMTP プロクシの元のホストで、<インストールディレクトリ>/Trustbase/TTM/Scripts 内の ./starttbase スクリプトを編集し、SMTP プロクシへの参照を削除します。./stoptbase スクリプトに対しても、同様の作業を行います。

HSM サポート

Identrus を使用するには、iPlanet Trustbase Transaction Manager が共有鍵の暗号化ができる nCipher HSM の使用に依存しています。iPlanet Trustbase Transaction Manager と nCipher ハードサーバ処理の通信は、TCP/IP ソケットを使って行われます。nCipher セキュリティ機能の一部として、ハードサーバはローカルマシンからの接続だけを受け入れます。つまり、iPlanet Trustbase Transaction Manager 処理を実行する各ローカルマシンで nCipher HSM を使用できなくてはなりません。iPlanet Trustbase Transaction Manager で nCipher HSM を使用する場合のデフォルト設定は次のとおりです。

HSM がソケットモードであること。nCipher のマニュアルを参照

ハードサーバの構成と Trustbase.properties ファイルで、ポート 9000 が構成されていること。第 1 章、「インストールワークシート」を参照
iPlanet Trustbase Transaction Manager の各インストール (プロクシと iPlanet Application Server の処理) では、鍵マテリアルは暗号化されて共有 Oracle レポジトリに格納されます。デフォルトでは、nCipher HSM でこの鍵マテリアルを共有することはできません。したがって、nCipher の Security World ソフトウェアを使って、共有できるように構成する必要があります。スマートカードにあるモジュールキーを使って鍵を共有する処理については、『iPlanet Trustbase Transaction Manager インストールガイド』を参照してください。
nCipher の Security World 構成では、インストールの HSM デバイスを追加または置き換えることができます。iPlanet Trustbase Transaction Manager の鍵マテリアルを使用できる HSM を装備した新しいマシンを構成するには、次の手順に従います。

新しい HSM デバイスが新しいマシンに接続されていることを確認します。

元のインストールからの Security World ファイルを、新しいマシンにコピーします。

元の HSM インストールからのスマートカードを使って、新しいインストールにモジュールキーを生成します。
この作業の詳細は、nCipher KeySafe 製品のユーザーズマニュアルを参照してください。

分離してインストールする製品のコンポーネント	別のマシンへのインストールの可否	考慮すべき事項
iTTM を IAS から分離	Ｘ	IAS と IWS を別のマシンにインストールする場合は、iTTM と IAS が必ず同じマシンにインストールされていること
IWS を IAS から分離	○	Configurator Plug-in に関するセクションを参照 http://docs.iplanet.com/docs/manuals/ias.html
Oracle を iTTM から分離	○	「Oracle データベースの構成」を参照
SSL プロクシを iTTM から分離	○	「SSL プロクシを別に構成」を参照
SMTP プロクシを iTTM から分離	○	「SMTP プロクシを別に構成」を参照
IAS をほかの Web サーバとともにインストール	サポートなし

前へ目次 DocHome 索引次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.

最終更新日 2001 年 3 月 14 日