| Interstage Application Server Smart Repository運用ガイド |
|
目次
索引
|
| 第3章 環境構築 |
Interstage管理コンソールの設定項目について説明します。
リポジトリを識別するリポジトリ名を、8バイトまでの文字列で決定します。
使用できる文字は、半角英数字、およびアンダーライン(_)です。先頭文字は半角英字にします。半角英大文字が指定された場合は半角英小文字となります。初期値は“repnnn”(nnnは001から999の数字)です。
新規作成時のみ指定可能です。
レプリケーションを実施する場合はマスタとスレーブで[リポジトリ名]を同じ名前に指定してください。
Smart Repositoryでは、Enablerに情報を格納します。Interstageでは、以下の製品でEnablerを使用しています。以下の製品とSmart Repositoryを同一サーバ上に導入する場合、これらの製品において使用されるEnabler のデータストア名と本リポジトリ名には異なる名前を使用してください。
- Interstage Apworks
- Interstage Contentbiz
- Interstage Portalworks
作成するリポジトリを管理するための管理者のDN(識別名)をDN(識別名)形式で、512バイトまでの文字列で決定します。指定された管理者用のDN(識別名)には[公開ディレクトリ]に指定した文字列が付加されます。
DN(識別名)形式を構成する識別子として、“cn”、“ou”、“o”、“c”、“l”および“dc”が指定できます。
DN(識別名)形式を構成する識別子の値として、半角英数字、マイナス(-)、ピリオド(.)および アンダーライン(_)が指定できます。
DN(識別名)形式を構成する識別子と値の間はイコール(=)を指定します。
識別子と値を複数指定する場合は、カンマ(,)で区切って指定します。
たとえば、“cn=manager”や“cn=manager,ou=managergroup”と指定します。
新規作成時のみ指定可能です。
一組の識別子と値は複数の要素を使用して指定することはできません、必ず一つの要素で指定してください。たとえば、プラス(+)を使用して“cn=taro+sn=fujitsu”のように複数の要素を指定することはできません。
作成するリポジトリを管理するための管理者用のパスワードを、128バイトまでの文字列で決定します。使用できる文字は、半角英数字、カンマ(,)、プラス(+)、イコール(=)、マイナス(-)、ピリオド(.)および アンダーライン(_)です。初期値はありません。
リポジトリを公開するトップエントリをDN(識別名)形式で、512バイトまでの文字列で決定します。
DN(識別名)形式を構成する識別子として“cn”、“ou”、“o”、“c”、“l”および“dc”が指定できます。
DN(識別名)形式を構成する識別子の値として、半角英数字、マイナス(-)、ピリオド(.)および アンダーライン(_)が指定できます。
DN(識別名)形式を構成する識別子と値の間はイコール(=)を指定します。
識別子と値を複数指定する場合は、カンマ(,)で区切って指定します。
たとえば、“ou=interstage,o=fujitsu,dc=com” や“c=jp”と指定します。初期値は“ou=interstage,o=fujitsu,dc=com”です。
新規作成時のみ指定可能です。
レプリケーションを実施する場合はマスタとスレーブで[公開ディレクトリ]に同じディレクトリを指定してください。
一組の識別子と値は複数の要素を使用して指定することはできません、必ず一つの要素で指定してください。たとえば、プラス(+)を使用して"ou=fujitsu+st=tokyo"のように複数の要素を指定することはできません。
デフォルトツリーを作成するかどうかを決定します。各サービスで共通に使用できるデフォルトのツリー構造を作成します。デフォルトのツリー構造では以下のサービスで使用できるツリーが作成されます。デフォルトは“作成する”です。
- シングル・サインオンのリポジトリサーバ
- Interstage HTTP Serverのオンライン照会機能
- J2EEアプリケーションのセキュリティ機能
- Interstage PortalworksのLDAPサーバでの利用者管理
- 作成する
[公開ディレクトリ]に指定したトップのディレクトリ配下にデフォルトのツリーを作成します。- 作成しない
[公開ディレクトリ]に指定したトップのディレクトリのみを作成します。デフォルトのツリーを作成しません。
公開ディレクトリに“ou=interstage,o=fujitsu,dc=com”(初期値)が指定され、“作成する”が選択された場合に作成されるデフォルトツリーは以下のようになります。[公開ディレクトリ]を初期値から変更した場合は“ou=interstage,o=fujitsu,dc=com”の部分が指定されたディレクトリとなります。
作成されるツリー(DN形式)
用途
ou=User,ou=interstage,o=fujitsu,dc=com
各サービス向けユーザ情報格納用ツリー
ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
シングル・サインオン向けアクセス制御情報格納用ツリー
ou=Resource,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
シングル・サインオン向け保護リソース格納用ツリー
ou=Role,ou=SSO ACI,ou=interstage,o=fujitsu,dc=com
シングル・サインオン向けロール定義格納用ツリー
レプリケーションを実施する場合はマスタとスレーブで[デフォルトツリーの作成]を同じ指定にしてください。
新規作成時のみ指定可能です。
非SSL通信で使用するポート番号を決定します。1から65535までを指定することができます。
指定するポート番号はサーバ上で各サービスが使用するポート番号を設計後、計画的に指定してください。初期値は“389”です。
新規作成時のみ指定可能です。
初期値以外のポート番号を使用する場合は、Well-knownポートである“1”から“1023”は、ポートの衝突の危険性があるため使用する際は注意してください。
SSL通信をするかどうかを決定します。SSL通信をすると、リポジトリと接続する各サービスとリポジトリ間の通信プロトコルをSSLのクライアント・サーバ認証と暗号化通信で行い、盗聴/改ざん/なりすましなどの危険を回避し、情報のプライバシーを守ることができます。デフォルトは“使用しない”です。
- 使用する
SSL通信をします。[SSLポート番号]に指定されたポート番号と[SSL定義]で指定されたSSL定義でSSL通信が行われます。- 使用しない
SSL通信をしません。
SSL通信を使用しない場合、[SSLポート番号]および[SSL定義]の指定内容は決定する必要はありません。
新規作成時のみ指定可能です。
[SSLの使用]で“使用する”を選択した場合でも、通常(非SSL)ポートは開設されますので、ファイアウォールによる保護が必要です。
SSL通信で使用するポート番号を決定します。1から65535までを指定することができます。
指定するポート番号はサーバ上で各サービスが使用するポート番号を設計後、計画的に指定してください。初期値は“636”です。
本項目は、SSL通信を使用する場合に指定してください。新規作成時のみ指定可能です。
初期値以外のポート番号を使用する場合は、Well-knownポートである“1”から“1023”は、ポートの衝突の危険性があるため使用する際は注意してください。
SSL通信をする場合、SSL通信で使用するSSL定義を作成後、作成したSSL定義を指定します。デフォルトのSSL定義はありません。
クライアントとのコネクションが切断されるまでの待機時間を、0から3600秒までの数値で決定します。初期値は“900”秒です。
なお、“0”を指定した場合、コネクションアイドル時間は無制限となります。
検索処理で返却する最大エントリ数を、0から10000件の数値で決定します。ただし、管理者用DNでの検索処理では最大エントリ数が無制限となります。初期値は“500”件です。
なお、“0”を指定した場合、検索可能最大エントリ数は無制限となります。
検索処理でキャッシュをするサイズをページ単位で決定します。100から65535の数値で指定します。1ページは4Kバイトになります。初期値は“1000”ページです。
検索処理で検索時間のタイムアウト時間を、0から3600秒の数値で決定します。ただし、管理者用DNでの検索処理では検索タイムアウト時間は無制限となります。初期値は“3600”秒です。
なお、“0”を指定した場合、検索タイムアウト時間は無制限となります。
検索可能最大エントリ数、および検索タイムアウト時間は、Smart Repositoryサーバ側と、クライアント側とでそれぞれ指定できます。
クライアント側とは、ldapsearchコマンド、エントリ管理ツール、Smart Repositoryサーバにアクセスするユーザアプリケーションを指します。
Smart Repositoryサーバ側の指定とクライアント側の指定との関係を下表に示します。
クライアントから
アクセスするDN
(バインドするDN)クライアント
指定値サーバ指定値と
クライアント指定値との関係動作
管理者用DN
あり
クライアント<サーバ
クライアント指定値が有効
あり
クライアント≧サーバ
クライアント指定値が有効
なし
-
無制限
0
-
無制限
その他
あり
クライアント<サーバ
クライアント指定値が有効
あり
クライアント≧サーバ
サーバ指定値有効
なし
-
サーバ指定値有効
0
-
サーバ指定値有効
検索可能最大エントリ数と検索タイムアウト時間のクライアント側での指定方法は、以下を参照してください。
- ldapsearchコマンド
“リファレンスマニュアル(コマンド編)”の“ldapsearch”の-lオプション(検索のタイムリミット)、-zオプション(検索のサイズリミット)- エントリ管理ツール
エントリ管理ツールのヘルプの“検索オプションを指定する”- ユーザアプリケーション(C API)
“エントリの検索”、“セションハンドルオプション”のLDAP_OPT_SIZELIMIT、LDAP_OPT_TIMELIMIT
ユーザパスワード属性を格納する際の暗号化方式を決定します。デフォルトは“SHA”です。
- SHA
パスワードを不可逆なSHA-1暗号化アルゴリズムで暗号化します。クライアントにパスワードを通知する場合は、暗号化されたパスワードで通知します。- 独自暗号化
パスワードを独自暗号化方式で暗号化します。クライアントにパスワードを通知する場合は、復号化して通知します。- MD5
パスワードを不可逆なMD5暗号化アルゴリズムで暗号化します。クライアントにパスワードを通知する場合は、暗号化されたパスワードで通知します。- SMD5
パスワードを不可逆なMD5暗号化アルゴリズムで暗号化します。クライアントにパスワードを通知する場合は暗号化されたパスワードで通知します。
なお、本方式はMD5方式とは異なり、クライアントから指定された同じパスワードに対して、暗号化ごとに異なる(暗号化された)パスワードが生成されます。- SSHA
パスワードを不可逆なSHA-1暗号化アルゴリズムで暗号化します。クライアントにパスワードを通知する場合は、暗号化されたパスワードで通知します。
本方式は、SHA方式とは異なり、クライアントから指定された同じパスワードに対して、暗号化ごとに異なる(暗号化された)パスワードが生成されます。- Crypt
パスワードを不可逆なCrypt暗号化アルゴリズムで暗号化します。クライアントにパスワードを通知する場合は、暗号化されたパスワードで通知します。- 暗号化しない
パスワードは暗号化されません。クライアントにパスワードを通知する場合は、暗号化されていないパスワードを通知します。
各暗号化方式における機能説明については、“ユーザパスワード暗号化方式”を参照してください。
新規作成時のみ指定可能です。
レプリケーションを実施する場合はマスタとスレーブで[ユーザパスワード暗号化方式]を同じ指定にしてください。
データベースの格納先を242バイト以内の文字列で完全パスで決定します。指定できる文字は半角英数字、スラッシュ(/)、マイナス(-)、アンダーライン(_) およびチルダ(~)です。全角文字などのマルチバイトコード系は使用できません。初期値を以下に示します。
C:\Interstage\Enabler\EnablerDStores\IREP
/var/opt/FJSVena/EnablerDStores/FJSVirep
/var/opt/FJSVena/DStores/FJSVirep
事前に作成したディレクトリを格納先のディレクトリとして指定してください。
実際のデータベースの格納先は指定された格納先に“\リポジトリ名\data”が付加された格納先となります。
実際のデータベースの格納先は指定された格納先に“/リポジトリ名/data”が付加された格納先となります。
デフォルトで表示されるデータベース格納先以外を指定する場合、格納先に指定するすべてのディレクトリ(最上位のディレクトリから最下位のディレクトリ)の所有者を“oms”に設定し、かつ、所有者に“読み取り”、“書き込み”および“実行”を許可するように設定してください。
初期値で表示されるデータベース格納先以外を指定する場合の設定手順例を以下に示します。データベース格納先を“/data/user”としています。
- データベース格納先を作成します。-p引数を指定することで存在しない親ディレクトリも作成されます。当手順は格納先が未作成の場合に実施します。
mkdir -p /data/user- ディレクトリに“読み取り”、“書き込み”および“実行”の権限を設定します。-R引数を指定することでサブディレクトリも含めて再帰的に権限の設定が行われます。
chmod -R 700 /data- ディレクトリに所有者として“oms”を設定します。-R引数を指定することでサブディレクトリも含めて再帰的に所有者の設定が行われます。
chown -R oms /data
新規作成時のみ指定可能です。
レプリケーションを実施する場合はマスタとスレーブで[データベース格納先]に同じ格納先を指定してください。
データベース格納先については、十分なディスク容量が確保されていることを確認したうえで設定してください。
アクセスログ出力をするかどうかを決定します。デフォルトは“出力する”です。
- 出力する
アクセスログを出力します。- 出力しない
アクセスログを出力しません。
アクセスログを出力しない場合、[出力レベル]、[格納先]、[ローテーションタイプ]、[サイズ]および[世代管理数]の指定内容は決定する必要はありません。
出力するアクセスログの出力内容を決定します。アクセスログを出力する場合は一つ以上の出力レベルを決定する必要があります。デフォルトでは“クライアントのリクエスト情報を出力”および“サーバのエラー応答を出力”が出力されるレベルです。
- クライアントのリクエスト情報を出力
クライアントのリクエスト情報を出力します。- サーバのエラー応答を出力
サーバのエラー応答を出力します。- サーバの正常応答を出力
サーバの正常応答を出力します。- サーバの検索結果応答を出力
サーバの検索結果応答を出力します。
アクセスログの格納先を960バイト以内の文字列で完全パスで決定します。指定できる文字は半角英数字、スラッシュ(/)、マイナス(-)、アンダーライン(_) およびチルダ(~)です。全角文字などのマルチバイトコード系は使用できません。初期値を以下に示します。
C:\Interstage\IREP\var
/var/opt/FJSVirep
事前に作成したディレクトリを格納先のディレクトリとして指定してください。実際のアクセスログの格納先は指定された格納先に“/リポジトリ名/log”が付加された格納先となります。
アクセスログの分割方法を決定します。ログが最大サイズになった場合は世代管理数分保存されます。デフォルトは“サイズ”です。
- サイズ
ファイルサイズ単位でローテーションをします。- 日付
日単位でローテーションをします。- 月
月単位でローテーションをします。
アクセスログの最大サイズを、1から1024Mバイトの数値で決定します。ログが最大サイズになった場合は世代管理数分保存されます。初期値は“5”Mバイトです。
アクセスログの世代管理数を、1から99の数値で決定します。世代管理数を超えた場合、古い順に削除されます。初期値は“2”世代です。
レプリケーション運用の運用形態を指定します。事前にホストごとに決定した運用形態を指定してください。デフォルトは“スタンドアロンで運用する”です。
同一マシン内に、マスタとスレーブを作成することはできません。
- スタンドアロンで運用する
スタンドアロンで運用します。レプリケーションをしません。- スレーブで運用する
スレーブで運用します。- マスタで運用する
マスタで運用します。
“スレーブで運用する”、または“マスタで運用する”に変更した場合、あとで他の運用形態へ変更することはできません。
事前に決定したマスタとなるホストのホスト名を106バイトまでの文字列で指定します。指定するホスト名はアドレス解決できるホスト名を指定してください。アドレス解決できないホスト名は指定できません。使用できる文字は、半角英数字、マイナス(-)、ピリオド(.)、およびアンダーライン(_)です。初期値はありません。
クラスタ運用をする場合はカンマ(,)で区切って運用ノードと待機ノードのホスト名を106バイトまでの文字列で指定してください。たとえば、“cluster01,cluster02”と指定します。運用ノードと待機ノードに同一のホスト名は指定できません。
[運用形態の指定]で“スレーブで運用する”に指定した場合にのみ指定可能です。
Interstage管理コンソール起動中にサーバマシンのネットワーク環境を変更した場合は、Interstage管理コンソールを再起動後に環境設定を実施するようにしてください。Interstage管理コンソールの実行環境としてJDK1.3またはJRE1.3を使用している場合は必ず再起動してください。JDK1.4、またはJRE1.4使用時においても再起動するようにしてください。再起動しない場合、一時的にネットワークアドレスの解決に失敗する場合があります。
Interstage管理コンソールの再起動については、“Interstage運用ガイド”の“Interstage管理コンソールの起動・停止”を参照してください。
事前に決定したスレーブのホスト名を106バイトまでの文字列で指定します。指定するホスト名はアドレス解決できるホスト名を指定してください。アドレス解決できないホスト名は指定できません。使用できる文字は、半角英数字、マイナス(-)、ピリオド(.)、およびアンダーライン(_)です。初期値はありません。
スレーブがクラスタ運用の場合、クラスタ環境の論理ホスト名を指定してください。
[レプリケーション先ホスト情報]の追加時のみ指定可能です。
Interstage管理コンソール起動中にサーバマシンのネットワーク環境を変更した場合は、Interstage管理コンソールを再起動後に環境設定を実施するようにしてください。Interstage管理コンソールの実行環境としてJDK1.3またはJRE1.3を使用している場合は必ず再起動してください。JDK1.4、またはJRE1.4使用時においても再起動するようにしてください。再起動しない場合、一時的にネットワークアドレスの解決に失敗する場合があります。
Interstage管理コンソールの再起動については、“Interstage運用ガイド”の“Interstage管理コンソールの起動・停止”を参照してください。
スレーブでレプリケーション用に事前に決定したポート番号を指定します。1から65535までを指定することができます。初期値は“389”です。[レプリケーション先ホスト情報]の追加時のみ指定可能です。
スレーブでレプリケーション用に事前に決定したポート番号のSSLの使用状態を指定します。デフォルトは“使用しない”です。
[レプリケーション先ホスト情報]の追加時のみ指定可能です。
- 使用する
SSL通信をします。クライアント証明書の提示の指定は[クライアント証明書の提示]で指定します。- 使用しない
SSL通信をしません。
SSL通信を使用しない場合、 [SSL定義]、および[クライアント証明書の提示]の指定内容は決定する必要はありません。
スレーブでレプリケーション用に事前に決定したポート番号でSSL通信を使用する場合、必ず“使用する”を指定する必要があります。
スレーブでレプリケーション用に事前に決定したポート番号でSSL通信を使用する場合、クライアント証明書の提示を選択します。デフォルトは“提示しない”です。
- 提示する
SSL通信をする際にクライアント証明書を提示します。提示するクライアント証明書は[SSL定義]で指定します。- 提示しない
SSL通信をする際にクライアント証明書を提示しません。
“提示しない”を選択した場合、 [SSL定義]の指定内容は無効となります。
スレーブで指定したSSL定義の環境設定の [クライアント認証]において、“する(クライアント証明書を必ず認証する)”を指定している場合、“提示する”を必ず指定する必要があります
なお、当設定は[レプリケーション先ホスト情報]の追加時に[SSLの使用]で“使用する”を指定した場合に指定する必要があります。
“提示しない”を選択した場合でも、Interstage証明書環境にクライアント証明書をインストールしている場合は、クライアント証明書が提示されます。
クライアント証明書を提示するSSL通信をする場合、クライアント証明書を指定したSSL定義を作成後、作成したSSL定義を指定します。
スレーブで指定したSSL定義の環境設定の [クライアント認証]において、“する(クライアント証明書を必ず認証する)”を指定している場合、SSL定義を必ず指定する必要があります。
なお、当設定は[レプリケーション先ホスト情報]の追加時に[SSLの使用]で“使用する”、[クライアント証明書]で“提示する”を指定した場合に指定する必要があります。
スレーブに接続する接続用DN(識別名)として事前に決定したスレーブの管理者用DN(識別名)を512バイトまでの文字列で指定します。指定された接続用DN(識別名)には公開ディレクトリが付加されます。
DN(識別名)形式を構成する識別子として、“cn”、“ou”、“o”、“c”、“l”および“dc”が指定できます。
DN(識別名) 形式を構成する識別子の値として、半角英数字、マイナス(-)、ピリオド(.)および アンダーライン(_)が指定できます。
DN(識別名) 形式を構成する識別子と値の間はイコール(=)を指定します。
識別子と値を複数指定する場合は、カンマ(,)で区切って指定します。
たとえば、“cn=manager”や“cn=manager,ou=managergroup”と指定します。初期値は“cn=manager”です。
[レプリケーション先ホスト情報]の追加時のみ指定可能です。
一組の識別子と値は複数の要素を使用して指定することはできません、必ず一つの要素で指定してください。たとえば、プラス(+)を使用して“cn=taro+sn=fujitsu”のように複数の要素を指定することはできません。
スレーブに接続する接続用パスワードとしてスレーブの管理者用DN(識別名)のパスワードを128バイトまでの文字列で指定します。使用できる文字は、半角英数字、カンマ(,)、プラス(+)、イコール(=)、マイナス(-)、ピリオド(.)および アンダーライン(_)です。初期値はありません。
|
目次
索引
|
