この章では、最初の章で説明したスタンドアロンTSAM Plusエージェントの構成後にOracle TSAM Plusマネージャで行う構成タスクについて説明します。
Oracle TSAM Plusマネージャは、Oracle TSAM Plusのデータ操作およびデータ表現コンポーネントです。これは、J2EEアプリケーションです。Oracle TSAM Plusマネージャには、次の機能があります。
•
|
パフォーマンス・メトリック、構成情報およびその他のユーティリティ・メッセージをOracle TSAM Plusエージェントと通信します。
|
•
|
Oracle TSAM Plusの管理、モニターしたデータの表現およびアラート管理を行うためにWebコンソールを提供します。
|
Oracle TSAM Plusデータ・サーバーの構成
Oracle TSAM Plusデータ・サーバーは、Oracle TSAM Plusへの通信インタフェースです。LMSからのリクエストとWebブラウザからのメトリック問合せリクエストを受け取ります。各LMSに対して、データ・サーバーのURLが正しく構成されている必要があります。書式は次のとおりです。
CLOPT="-A -- -l host:port/tsam"
•
|
hostは、Webアプリケーションがデプロイされているコンピュータです。
|
•
|
tsamは、Oracle TSAM PlusのURLです。
|
注意:
|
HTTPの観点から見ると、Oracle TSAM PlusエージェントLMSは、HTTPクライアントで、Oracle TSAM Plusマネージャは、HTTPサーバーです。Oracle TSAM PlusマネージャとTuxedoアプリケーションの間にファイアウォールをデプロイした場合、ファイアウォールはLMSにOracle TSAM PlusマネージャへのHTTPリクエストの発行を許可する必要があります。
|
Oracle TSAM Plusマネージャには、微調整目的で、いくつかのグローバル・パラメータが用意されています。それらは「データ管理」/「グローバル・パラメータ」ページで利用できます。詳細は、
Oracle TSAM Plusユーザー・ガイドを参照してください。
認証タイプには、
「最初にデータベース」と
「LDAPのみ」の2種類があります。ユーザー情報は、Oracle TSAM Plusデータベースまたは既存のLDAPサーバーに格納できます。認証タイプ
「最初にデータベース」はどちらもサポートします。
「LDAPのみ」はLDAP認証のみをサポートします。
次の手順に従って、Oracle TSAM Plusモニタリング・コンソールから認証タイプを指定することもできます。
1.
|
Oracle TSAM Plusコンソールにログインします。
|
2.
|
最上部のメニュー・バーで、 「管理」をクリックし、ドロップダウン・リストから 「グローバル・パラメータ」を選択します。
|
3.
|
「グローバル・パラメータ」ページで、 「TSAM Plusマネージャ・プロパティ」をクリックします。
|
インストールまたはデプロイメント中にデフォルトの管理者
adminが作成されます。
次の手順に従って、Oracle TSAM Plusモニタリング・コンソールからユーザーを追加または編集することもできます。
1.
|
Oracle TSAM Plusコンソールにログインします。
|
2.
|
最上部のメニュー・バーで、 「管理」をクリックし、ドロップダウン・リストから 「ユーザー管理」を選択します。
|
LDAP認証を使用する場合、グループIDは、LDAPサーバーの対応するユーザーのものと同じである必要があります。詳細は、
「グループ管理」を参照してください。
次のLDAPデプロイメント・ユーティリティを使用して、
<TSAM_DIR>/deployにあるtsam.earファイルのLDAP構成情報を更新することもできます。
•
|
UNIX/Linux LDAPデプロイメント: LDAPDeployer.sh
|
•
|
Windows LDAPデプロイメント: LDAPDeployer.cmd
|
リスト2-1および
リスト2-2に、それぞれUNIX/LinuxおよびWindowsのLDAPデプロイメント・ユーティリティの例を示します。
注意:
|
LDAPデプロイメント・ユーティリティを実行すると、 tsam.earファイルのLDAP情報は上書きされます。 tsam.earファイルをアプリケーション・サーバーに再デプロイする必要があります。
|
リスト2-1
UNIX/Linux LDAPデプロイメント・ユーティリティの例
cd <TSAM_DIR>/deploy
./LDAPDeployer.sh tpgauth
リスト2-2
Windows LDAPデプロイメント・ユーティリティの例
cd <TSAM_DIR>\deploy
LDAPDeployer.cmd c:\tpgauth
通常LDAP構成ファイルのためのデフォルト値で十分ですが、異なる名前を使用して構成することを選択することもできます。このため、LDAP構成ファイルについて、次の要件を認識している必要があります。
•
|
LDAP構成ファイルは、プレーン・テキスト・ファイルです。
|
•
|
キーワードは大文字/小文字が区別されますが、順序は関係ありません。キーワードの書式は、 keyword=valueです。
|
•
|
空白行または#記号で始まる行は、コメントとみなされ、無視されます。
|
•
|
1行の上限は255文字です。この上限を超えた部分は切り詰められます。
|
•
|
プリンシパルは、LDAPデータベースにアクセスする権限を持つ必要があります(通常はLDAP管理者)。
|
表2-1は、LDAP構成ファイルのキーワードのリストです。
|
|
|
|
|
LDAPサーバーのホスト名またはIPアドレス。デフォルト値は、 localhostです。
|
|
|
LDAPサーバーがリスニングしているポート番号。デフォルト値は、 389です。
|
|
|
LDAPサーバーへの接続に使用するLDAPユーザーの識別名(DN)。
|
|
|
LDAPユーザーの認証に使用する資格証明(通常はパスワード)。Principal属性で定義します。
|
|
|
ユーザーを格納するLDAPオブジェクト・クラス。デフォルトは、 personです。
|
|
|
ユーザーを格納するLDAPディレクトリ内のツリーの基本識別名(DN)。デフォルトは ou=people, o=example.comです。
|
|
|
ユーザー名でユーザーを見つけるためのLDAP検索フィルタ。デフォルトは (&(cn=%u)(objectclass=person))です。
|
|
|
ユーザーのUID (またはUIDとGID)を一定の形式で示すLDAPユーザー・オブジェクトの属性名。デフォルト値は useridです。
|
|
|
ユーザーが属すグループを示すLDAPユーザー・オブジェクトの属性名。この属性には、値型としてGID、グループCN、またはグループDNを指定できます。指定できる値型は、構成ごとに1つのみです。名前が複数ある場合はカンマで区切ります。デフォルト値は usergroupsです。
|
|
|
|
|
|
|
|
|
LDAPサーバーがz/OS RACF LDAPサーバーであるかどうかを指定します。デフォルトは falseです。
|
|
|
LDAPサーバーへの接続にSSLを使用することを指定します
|
|
|
LDAP接続の確立を待機する最長時間(秒)。 0に設定する場合、最大時間の制限はありません。 デフォルト値は 0です。
|
|
|
Tuxedo UIDを識別するために使用されます。
|
|
|
Tuxedo GIDを識別するために使用されます。
|
Weblogic組込みLDAPサーバーLDAP構成ファイル例
リスト2-3に、Weblogic組込みLDAPサーバーのLDAP構成ファイル例を示します。
リスト2-3
Weblogic組込みLDAPサーバーのLDAP構成ファイル例
Host = localhost
Port = 7001
Principal = cn=Admin
Credential = aaa
UserObjectClass = person
UserBaseDN = ou=people,ou=myrealm,dc=base_domain
UserFromNameFilter = (&(uid=%u)(objectclass=person))
UserUIDAttrName = description
UserGroupAttrNames=wlsMemberOf
RetrieveUIDAndGID = true
UIDAttrValueType = UIDAndGID
UseZOSRACF=false
SSLEnabled=false
ConnectTimeout=5
tpmigldifを使用したユーザー・インタフェースの移行
tpmigldifコマンド・ユーティリティを使用すると、TSAM Plusのユーザーおよびグループ情報をLDAPデータ交換形式(LDIF)でLDAPサーバーに移行できます。
tpmigldifを使用するには、移行テンプレートを作成する必要があります。
表2-2は、
tpmigldifユーティリティのコマンド行オプションのリストです。コマンド行オプションの順序は関係ありません。
|
|
|
|
|
|
|
|
|
|
tpusr-template (タイプがユーザーの場合)、またはtpgrp-template(タイプがグループの場合)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
リスト2-4に、5つのフィールドがコロンで区切られた
tpusrファイルを示します。
name:password(encrypted)
:user id:group id:client name::
user1:EI4xxxjrCc:16668:601:TPCLTNM,client::
user2:EI4xxxjrCc:16669:602:TPCLTNM,client::
リスト2-5に、3つのフィールドがコロンで区切られた
tpgrpファイルを示します。
tpusrファイルの新しいパスワードを割り当てる(オプション)
管理者は、ユーザーおよびグループの情報を移行する前に、各ユーザーに新しいパスワードを割り当てることができます。これにより、生成されるLDIF出力に、各ユーザーの正しいパスワードを含めることができます。この手順が必要なのは、tpusrファイル内のパスワードが一方向暗号化で暗号化されているため、このファイルから元のパスワードを取り出すことができないためです。
テキスト・エディタを使用して、次の2つの方法で
tpusrファイルのパスワードを変更できます。
•
|
tpusrファイルのパスワード・フィールドを修正して、ファイル内の各ユーザーのユーザー・パスワードを変更します。このパスワード・フィールドは、 tpusrファイル内の 2番目のフィールドです。各ユーザーは、 tpusrファイル内の個別の行に入力します。元の tpusrファイルの例は、 リスト2-4を参照してください。
|
user1:pwd1:16668:601:TPCLTNM,client::
user2:pwd2:16669:602:TPCLTNM,client:
•
|
新しいパスワードを tpusrファイルの最後のフィールドに追加します。
|
user1:EI4xxxjrCc:16668:601:TPCLTNM,client::pwd1:
user2:EI4xxxjrCc:16669:602:TPCLTNM,client::pwd2:
移行テンプレートは、
tpusrまたは
tpgrpファイルをLDIF出力ファイルに変換するために
tpmigldifコマンド・ユーティリティで使用されるテキスト・ファイルです。
リスト2-6に、
tpusr-template移行ファイルの例を示します。
<%n>は
tpusrファイルのフィールドを表し、nは1から始まります。
注意:
|
<%gn>は、所定のユーザーの tpgrpファイル内のグループ・フィールドに使用します。
|
dn: CN=<%1>,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: <%1>
description: Tuxedo User, TUXEDO_UID=<%3> TUXEDO_GID=<%4>
password: <%7>
リスト2-7に、
tpusr-templateから生成されたLDIF出力を示します。
dn: CN=user1,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: user1
description: Tuxedo User, TUXEDO_UID=16668 TUXEDO_GID=601
password: pwd1
dn: CN=user2,CN=Users,DC=tuxdev,DC=bea,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: user
cn: user2
description: Tuxedo User, TUXEDO_UID=16669 TUXEDO_GID=602
password: pwd2
サポートされるLDAPサーバーのサンプル・テンプレート
Oracle Tuxedoには、サポートされるLDAPサーバーのサンプル・テンプレートが用意されています。これらのファイルを
表2-3にまとめます。
表2-3
サポートされるLDAPサーバーのサンプル・テンプレート
1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
TSAM Plusは、ロール・ベースの認可をサポートしています。
次の手順に従って、Oracle TSAM Plusモニタリング・コンソールからグループを追加、編集または削除することもできます。
1.
|
Oracle TSAM Plusコンソールにログインします。
|
2.
|
最上部のメニュー・バーで、 「管理」をクリックし、ドロップダウン・リストから 「ユーザー管理」を選択します。
|
3.
|
「グループ・リスト」ボタンをクリックして、「グループ・リスト」メニュー・バーに入ります。
|