Comments
Description
Transcript
SNMP - Novell
Novell exteNd Application Server 5.1 www.novell.com 管理ガイド 保証と著作権 Copyright © 2003 Novell, Inc. All rights reserved. 本書のいかなる部分についても、発行者の明確な書面による許可なしに、複 製、複写、検索システムへの格納、転送を行うことを禁じます。Novell, Inc. の明確な書面による許可なしに、本書および 本書の一部をコピーすることは禁じられています。 米国 Novell, Inc. およびノベル株式会社は、本書の内容または本書を使用した結果について、いかなる保証、表明または 約束も行っていません。また、本書の商品性、および特定の目的への適合性について、いかなる黙示の保証も否認し、排 除します。また、本書の内容は予告なく変更されることがあります。 米国 Novell, Inc. およびノベル株式会社は、すべてのソフトウェアについて、いかなる保証、表明または約束も行ってい ません。またソフトウェアの商品性、および特定の目的への適合性について、いかなる黙示の保証も否認し、排除しま す。さらに、Novell, Inc. は、いかなるときでも、予告なく、Novell ソフトウェアの一部または全体を変更する権利を有し ます。 Copyright ©1997, 1998, 1999, 2000, 2001, 2002, 2003 SilverStream Software, LLC.All rights reserved. SilverStream ソフトウェア製品は、SilverStream Software LLC により著作権とすべての権利が保留されています。 ソフトウェアとマニュアルの所有権、および特許、著作権、およびそれに関連するその他のすべての財産権は常に、単独 で排他的に SilverStream とそのライセンサーに保留され、当該所有権と矛盾するいかなる行為も行わないものとします。 本ソフトウェアは、著作権法と国際条約規定で保護されています。ソフトウェアならびにそのマニュアルからすべての著 作権に関する通知とその他の所有権に関する通知を削除してはならず、ソフトウェアとそのマニュアルのすべてのコピー または抜粋に当該通知を複写しなければなりません。本ソフトウェアのいかなる所有権も取得するものではありません。 米国 Novell, Inc. 1800 South Novell Place Provo, UT 85606 www.novell.com exteNd Application Server 管理ガイド 2003 年 12 月 オンラインマニュアル : 本製品またはその他の Novell 製品のオンラインマニュアルにアクセスしたり、アップデートを 取得したりするには、www.novell.com/documentation を参照してください。 Novell の商標 ConsoleOne は、Novell, Inc. の登録商標です。 eDirectory は、米国 Novell, Inc. の商標です。 Novell は、Novell, Inc. の登録商標です。 exteNd は、米国 Novell, Inc. の商標です。 exteNd Composer は、米国 Novell, Inc. の商標です。 exteNd Director は、米国 Novell, Inc. の商標です。 iChain は、Novell, Inc. の登録商標です。 jBroker は、米国 Novell, Inc. の商標です。 NetWare は、米国 Novell, Inc. の登録商標です。 Novell は、Novell, Inc. の登録商標です。 Novell eGuide は、米国 Novell, Inc. の商標です。 SilverStream の商標 SilverStream は SilverStream Software, LLC の登録商標です。 サードパーティ商標 Acrobat、Adaptive Server、Adobe、AIX、Autonomy、BEA、Cloudscape、DRE, Dreamweaver、EJB、HP-UX、IBM、 Informix、iPlanet、JASS、Java、JavaBeans、JavaMail、JavaServer Pages、JDBC、JNDI、JSP、J2EE、Linux、Macromedia、 Microsoft、MySQL、Navigator、Netscape、Netscape Certificate Server、Netscape Directory Server、Oracle、PowerPoint、RSA、 RSS、SPARC、SQL、SQL Server、Sun、Sybase、Symantec、UNIX、VeriSign、Windows、Windows NT すべてのサードパーティの商標は、各所有者に帰属します。 サードパーティのソフトウェアの保証と著作権 Apache Software License, Version 1.1 Copyright (c) 2000 The Apache Software Foundation.All rights reserved. ソースおよびバイナリ形式での再配布および使用は、変更のあるなしにかかわらず、以下の条件が満たされることを前提 として許可されます。1. ソースコードの再配布に上記の著作権に関する通知、条件のリスト、および以下の権利放棄に関 する通知が記載されていること。2. バイナリ形式の再配布では上記の著作権に関する通知、条件のリスト、および以下の 権利放棄に関する通知がマニュアルまたは配布の際に提供されるその他の資料、あるいはその両方に記載されているこ と。3. エンドユーザの資料には、適宜、以下の通知を再配布の際に含めてください。「この製品には、Apache Software Foundation (http://www.apache.org/) により開発されたソフトウェアが含まれています」代わりに、この謝辞をソフトウェ ア自体に表示し、当該サードパーティに対する謝辞が通常表示される場所に表示することもできます。4. 「Apache」およ び「Apache Software Foundation」という名前は、書面による事前の許可なく、このソフトウェアから派生する製品を推薦 したり、販売促進したりするのに使用してはなりません。書面による許可については、[email protected] にお問い合わせ ください。5. 本ソフトウェアから派生する製品は「Apache」と呼ばれてはならず、「Apache」は Apache Software Foundation の事前の書面による許可なくその名前に使用することはできません。 本ソフトウェアは「現状のまま」提供され、いかなる明示的、暗黙の保証も行われるものではありません。販売可能性や 特定の目的に対する適合性に対する暗黙の保証も行われません。いかなる場合でも、Apache Software Foundation またはそ の関係者はいかなる直接的、間接的、偶発的、特別な、免除的、または結果的な損害 ( 代替品やサービスの調達、使用機 会、データ、または利益の喪失、または業務の中断などを含む ) についても、理論上責任がある場合でも、契約上の責任 がある場合でも、厳密な責任、または瑕疵 ( 怠慢などを含む ) があった場合でも、ソフトウェアの使用の過程で生じ、当 該損害の可能性を助言した場合であっても、責任を持ちません。 JDOM.JAR Copyright (C) 2000-2002 Brett McLaughlin & Jason Hunter.All rights reserved. ソースおよびバイナリ形式での再配布および使用は、変更のあるなしにかかわらず、以下の条件が満たされることを前提 として許可されます。1. ソースコードの再配布に上記の著作権に関する通知、条件のリスト、および以下の権利放棄に関 する通知が記載されていること。2. バイナリ形式の再配布では上記の著作権に関する通知、条件のリスト、および以下の 権利放棄に関する通知がマニュアルまたは配布の際に提供されるその他の資料、あるいはその両方に記載されているこ と。3. 「JDOM」という名前は、書面による事前の許可なく、このソフトウェアから派生する製品を推薦したり、販売促 進したりするのに使用してはなりません。書面による許可については、[email protected] にお問い合わせください。4. 本 ソフトウェアから派生する製品は「JDOM」と呼ばれてはならず、「JDOM」は JDOM Project Management ([email protected]) の事前の書面による許可なくその名前に使用することはできません。 追加事項として、再配布の際のエンドユーザの資料またはソフトウェア自体、あるいはその両方には、適宜以下の通知を 含めることを依頼します ( 要求は致しません )。「この製品には、JDOM Project (http://www.jdom.org/) により開発されたソ フトウェアが含まれています」別の方法として、http://www.jdom.org/images/logos から入手できるロゴを使用することも できます。 本ソフトウェアは「現状のまま」提供され、いかなる明示的、暗黙の保証も行われるものではありません。販売可能性や 特定の目的に対する適合性に対する暗黙の保証も行われません。いかなる場合でも、JDOM の作成者またはプロジェクト 関係者はいかなる直接的、間接的、偶発的、特別な、免除的、または結果的な損害 ( 代替品やサービスの調達、使用機 会、データ、または利益の喪失、または業務の中断などを含む ) についても、理論上責任がある場合でも、契約上の責任 がある場合でも、厳密な責任、または瑕疵 ( 怠慢などを含む ) があった場合でも、ソフトウェアの使用の過程で生じ、当 該損害の可能性を助言した場合であっても、責任を持ちません。 Sun Sun Microsystems, Inc. Sun, Sun Microsystems, Sun Logo Sun、Sun のロゴ、Sun Microsystems、JavaBeans、Enterprise JavaBeans、JavaServer Pages、Java Naming and Directory Interface、JDK、JDBC、Java、HotJava、HotJava Views、Visual Java、 Solaris、NEO、Joe、Netra、NFS、ONC、ONC+、OpenWindows、PC-NFS、SNM、SunNet Manager、Solaris sunburst design、 Solstice、SunCore、SolarNet、SunWeb、Sun Workstation、The Network Is The Computer、ToolTalk、Ultra、Ultracomputing、 Ultraserver、Where The Network Is Going、SunWorkShop、XView、Java WorkShop、Java Coffee Cup のロゴ、Visual Java、お よび NetBeans は、米国およびその他の国の Sun Microsystems, Inc. の商標ならびに登録商標です。 Indiana University Extreme!Lab Software License Version 1.1.1 Copyright (c) 2002 Extreme!Lab, Indiana University.All rights reserved. ソースおよびバイナリ形式での再配布および使用は、変更のあるなしにかかわらず、以下の条件が満たされることを前提 として許可されます。1. ソースコードの再配布に上記の著作権に関する通知、条件のリスト、および以下の権利放棄に関 する通知が記載されていること。2. バイナリ形式の再配布では上記の著作権に関する通知、条件のリスト、および以下の 権利放棄に関する通知がマニュアルまたは配布の際に提供されるその他の資料、あるいはその両方に記載されているこ と。3. エンドユーザの資料には、適宜、以下の通知を再配布の際に含めてください。「この製品には、the Indiana University Extreme! Lab (http://www.extreme.indiana.edu/) により開発されたソフトウェアが含まれています」代わり に、この謝辞をソフトウェア自体に表示し、当該サードパーティに対する謝辞が通常表示される場所に表示することもで きます。4. 「Indiana University」および「Indiana University Extreme! Lab」という名前は、書面による事前の許可なく、こ のソフトウェアから派生する製品を推薦したり、販売促進したりするのに使用してはなりません。書面による許可につい ては、http://www.extreme.indiana.edu/ にお問い合わせください。5. 本ソフトウェアから派生する製品は「Indiana University」と呼ばれてはならず、 「Indiana University」は Indiana University の事前の書面による許可なくその名前に使用す ることはできません。 本ソフトウェアは「現状のまま」提供され、いかなる明示的、暗黙の保証も行われるものではありません。販売可能性や 特定の目的に対する適合性に対する暗黙の保証も行われません。いかなる場合でも、著者、著作権所有者、またはその関 係者はいかなる直接的、間接的、偶発的、特別な、免除的、または結果的な損害 ( 代替品やサービスの調達、使用機会、 データ、または利益の喪失、または業務の中断などを含む ) についても、理論上責任がある場合でも、契約上の責任があ る場合でも、厳密な責任、または瑕疵 ( 怠慢などを含む ) があった場合でも、ソフトウェアの使用の過程で生じ、当該損 害の可能性を助言した場合であっても、責任を持ちません。 Phaos 本ソフトウェアは、著作権を持つ SSLava™ Toolkit の一部です。Copyright ©1996-1998 by Phaos Technology Corporation.All Rights Reserved. Phaos ソフトウェアの機能にアクセスすることは禁じられています。 W3C W3C® ソフトウェアに関する通知およびライセンス この成果物 ( ソフトウェア、README などのドキュメント、またはその他の関連品目を含む ) は、以下のライセンスの 下で著作権所有者により提供されています。この成果物の取得、使用、またはコピー、あるいはそれらのすべてにより、 ライセンシーは以下の条件を読み、理解し、遵守することに合意するものとします。 本ソフトウェアとそのドキュメントのコピー、変更、および配布は、変更のあるなしにかかわらず、いかなる目的でも無 料または本契約で許可された使用料をもって許可されます。ただし、変更箇所を含む本ソフトウェアとドキュメントのす べてまたはその一部に以下のとおり記述することを前提とします。1. この通知の全文は、再配布物または派生物のユーザ が見やすい場所に掲示しなければなりません。2. すべての前もって存在する知的所有権の放棄、通知、または条件。存在 しない場合は、W3C ソフトウェアに関する簡単な通知 ( ハイパーテキストが望ましい、テキストでも良い ) を再配布ま たは派生コードの本文内で使用しなければなりません。3. ファイルに変更または修正を加えた場合はその日付を含む通 知。( コードが派生する場所への URI を示すことをお勧めします。) 本ソフトウェアは「現状のまま」提供され、いかなる明示的、暗黙の保証も行われるものではありません。販売可能性、 特定の目的に対する適合性やサードパーティの特許、著作権、商標またはその他の権利を侵害しないことに対する暗黙の 保証も行われません。 著作権の所有者は本ソフトウェアまたはマニュアルの使用の結果生じる、直接的、間接的、特殊な、または結果的な損害 に対していかなる責任も負いません。 著作権所有者の名前および商標は、特別な書面による事前の承諾なしにソフトウェアに関する広告や広報に使用してはな りません。本ソフトウェアおよび関連する資料の著作権の所有権は常に、著作権所有者に帰属するものとします。 目次 このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1 管理クイックリファレンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 SMC パネル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 環境設定オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 セキュリティオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 監視オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 展開オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 管理タスク. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 データソース設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 一般的なサーバ管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 セキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 調整およびパフォーマンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 負荷分散およびフェールオーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 パート I 2 管理の基本. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 管理の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Novell exteNd Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3 階層の通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 アプリケーションサーバ環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 アプリケーションサーバ管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 クライアント階層管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 中間階層管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 データ階層管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 SMC ( サーバ管理コンソール ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 SMC の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 SMC ユーザインタフェース. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 ログイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 ログアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 オンラインヘルプ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3 サーバ環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 サーバ環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 運用環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 ファイアウォールおよびプロキシサーバ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 ファイアウォールおよびプロキシサーバとの環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 ネットワーク環境設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 簡単なイントラネット環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 イントラネットクラスタ環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 簡単なインターネット環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 インターネットクラスタ環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 7 DMZ (Demilitarized Zone) インターネット環境設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 セッション管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Cookie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 URL 再書き込み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 セッショントラッキングの仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 4 データソース設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 データソースについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 システム管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 J2EE アーカイブの展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 企業データへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 データベースアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 展開データベースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 展開データベースの準備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 サーバへの展開データベースの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 サーバからの展開データベースの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 データベースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 接続プールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 接続プールの準備. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 JDBC 接続プールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 コネクタ接続プールの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 接続プールの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 接続プールの維持. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 接続プールの考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 パート II 5 8 サーバの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 サーバの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 アプリケーションサーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 アプリケーションサーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 起動オプションの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 使用する JVM の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 特定の IP アドレスまたはホスト名でのサーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 アプリケーションサーバのシャットダウン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 アプリケーションサーバの再起動. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 サービスとして実行されるプロセスの維持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 SilverServiceUtil の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 個別のポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 ファイアウォールでの個別ポートの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 ポートの有効化について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 ポートタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 一般的なサーバのプロパティの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 サーバのログ機能の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ORB 設定の指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 1 つのホストでの複数のサーバの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 文字セットエンコードの指定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 JMS サーバの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 exteNd アプリケーションサーバ管理ガイド JMS サーバの起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 クラスタ内の JMS サーバの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 JMS サーバデバッグメッセージの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 6 ユーザおよびグループのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 Silver Security のユーザおよびグループについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 管理者アカウントについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Silver Security のユーザおよびグループの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Silver Security ユーザの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 ユーザプロパティの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Silver Security グループの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Locksmith 権限の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 7 サーバの保守 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 アプリケーションサーバのリモート管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 AGCLASSPATH 変数の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 展開された J2EE オブジェクトの保守 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 [展開オブジェクト]パネルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 J2EE トランザクションの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 サーバの動作の監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 サーバの動作のグラフ表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 ログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 サーバ統計情報のビューの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 既存の Web サーバとの統合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 8 Web サーバ統合モジュールの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 WSI モジュールについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 WSI モジュールの動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 WSI モジュールサンプル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 WSI 設定要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 WSI 設定のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 NetWare 上の Apache WSI のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 複数アプリケーションサーバへの要求の送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 接続プール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 IIS および iPlanet のセキュリティ上の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 WSI モジュールでの IIS NTLM 認証の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 AgWSIUser ユーティリティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 9 セキュリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 セキュリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 認証に使用される暗号のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 セキュリティ機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 認証について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 サーバへの安全な接続の確立 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Java クライアントおよびアプリケーションサーバ間のセキュア (SSL) 接続の確立 . . . . . . . . . . . . . . . 162 HTML クライアントとアプリケーションサーバ間のセキュア (SSL) 接続の確立. . . . . . . . . . . . . . . . . . 162 EJB クライアントとアプリケーションサーバ間のセキュア (SSL) 接続の確立 . . . . . . . . . . . . . . . . . . . 163 セキュリティプロバイダシステムへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 セキュリティプロバイダアクセスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 目次 9 NT セキュリティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 LDAP セキュリティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 NIS+ セキュリティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 ユーザおよびグループへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 セキュリティプロバイダログイン形式の使用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 デフォルトのログイン名コンポーネントの上書き . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 証明書の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 証明書について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 SMC を使用したサーバ証明書の作成とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 ディスパッチャ用サーバ証明書の作成とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 サーバ証明書の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 RSA/DSA ポートの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 HTTP 通信のオフ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 SSL 3.0 と TLS 1.0 の許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 SSL 暗号の制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 認証局の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 クライアント証明書のインストールと管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Java クライアントの SSL サーバ証明書の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 認証の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 CHI (Cryptographic Hardware Integration) の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 信頼するクライアントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 FIPS 準拠モードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 10 セキュリティの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 認証とアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 認証とアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 許可のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 管理サーバの許可. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 データベースオブジェクトの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 アクセス権限の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 アクセスの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 許可の制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 アプリケーションオブジェクトを実行可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 サーバとオブジェクトに対するデフォルトのセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 オブジェクトに対するデフォルトのセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 グループに対するデフォルトの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 サーバ、クラスタ、およびアプリケーションのロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 サーバをロックする方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 サーバまたはアプリケーションをロックするための SMC の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 サーバ、アプリケーション、またはクラスタをロックするための SilverCmd の使用 . . . . . . . . . . . . . . 230 運用サーバの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 セキュリティチェックリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 手順 1: ファイアウォールの設計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 手順 2: 固有データベースアカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 手順 3:SSL の設定 ( オプション ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 手順 4: 固有ポートの設定 ( オプション ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 手順 5: ユーザ、グループ、およびセキュリティプロバイダの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 10 exteNd アプリケーションサーバ管理ガイド 手順 6: サーバでの認証の要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 手順 7: サーバのディレクトリリストの制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 手順 8: 管理リソースの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 手順 9:SilverMaster データベースの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 手順 10: 展開データベースの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 手順 11:J2EE のセキュリティ役割のマップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 ロボットの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 11 サーバの調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 パフォーマンスパラメータの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 クライアント接続の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 クライアントセッションおよびスレッド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 クライアント接続パラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 サーバコンテンツキャッシュの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 接続プールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 接続プールの接続について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 接続プールの接続数の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 データベース接続の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 データベース接続およびパフォーマンスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 最大および最小データベース接続数の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 12 クラスタの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 サーバクラスタリング機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 クラスタコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 キャッシュマネージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 負荷マネージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 ディスパッチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 コンポーネントフェールオーバー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 持続的な障害 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 サーバクラスタの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 クラスタリングコンポーネントの起動. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 クラスタサーバのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 クラスタの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 クラスタサーバの再起動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 サーバクラスタの管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 クラスタ環境のプロパティについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 クラスタレベルのプロパティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 クラスタでのサーバレベルのプロパティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 サーバの相対負荷ウェイトの指定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 コンポーネントフェールオーバーの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 キャッシュマネージャプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 負荷マネージャプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 クラスタの解除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 クラスタリングコンポーネントのプロパティの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 ホストの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 ポートの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 クラスタへの証明書のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 サーバ証明書について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 目次 11 実行方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 13 サーバ管理 API の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 サーバ管理 API のステータス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 サーバ管理 API の詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 14 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 エラーログ出力機能の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 低レベルのデバッグ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 JDBC トレースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 サーバのコマンドシェルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Watcher の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 サーバの起動に関する一般的な問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 システムリソースに関する問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 同期化されていないデータベース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 SilverMonitor の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 SilverMasterInit プログラムの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 コマンドラインオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 SilverMasterInit を使用した SilverMaster の再作成または更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 SilverMaster へのアクセスの再取得. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 スタックオーバフローの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 スタックについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 スタックオーバフローになった場合の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 スタックサイズの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Java スタックサイズの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 その他の問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 サーバがハングしているように見える. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 ソケット例外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 パート III 付録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 A httpd.props ファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 httpd.props ファイルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 サーバのプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 B SNMP エージェント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 SNMP について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 SNMP 実装の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 コンポーネントの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 プロセスフローおよび用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 アプリケーションサーバへの SNMP のセットアップ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 サービスとしての SNMP のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 アプリケーションサーバのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 AgSNMPGetStats サーブレットの展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 プログラムのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 SNMP 管理ノードからのアクセスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 12 exteNd アプリケーションサーバ管理ガイド C システムテーブルおよび URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 アプリケーションサーバの内部システムテーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 すべてのデータベースのテーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 SilverMaster にのみ存在するテーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 データベース URL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 D WSI ディレクティブリファレンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Apache WSI ディレクティブリファレンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 SetHandler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 WSICleanupInterval . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 WSIConnPool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 WSIHost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 WSIIdleTimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 WSIMaxConns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 WSIMaxSslConns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 WSIPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 WSISslPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 WSITraceLevel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 WSITraceMode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 WSITraceModuleWidth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 WSITraceOutputDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 WSITracePadModules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 WSITraceTimestamps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 WSIWatcherInterval . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 WSIUrl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 AgWSI.conf ファイルリファレンス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Connection.http.max . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Connection.https.max. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Connection.idle.time. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 SECTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 SilverServer.host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 SilverServer.http.port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 SilverServer.https.port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 SilverServer.urls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 WSI.auth.echo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 WSI.auth.NTLM.remove . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 WSI.auth.user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 WSI.debug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 WSI.error.url . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 WSI.host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 WSI.root.dir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 目次 13 14 exteNd アプリケーションサーバ管理ガイド このガイドについて 目的 本書では、Novell® exteNd ™ Application Server の管理方法について説明します。 対象読者 本書は、Novell exteNd Application Server 管理者を対象としています。 構成 次の表は、本書の内容について簡単に説明しています。 パートまたは章 内容 第 1 章 「管理クイックリファレ ンス」 必要な情報にできるだけすばやくアクセスできるように する相互参照のリスト パート I 23 ページの「管理の 基本」 Novell exteNd Application Server の 3 階層のアーキテク チャを紹介し、システム管理者のタスクについて説明し ます。また、多数の管理タスクを実行するために使用す るアプリケーションサーバの SMC ( サーバ管理コンソー ル ) についても紹介します。 Novell exteNd Application Server の基本的なハードウェ ア設定を示し、サーバが Web 環境でどのように動作する かについて説明します。 データソースの設定および SilverMaster データベースに ついて説明します。 15 パートまたは章 内容 パート II 87 ページの「サーバ の管理」 実行する必要のある一般的な管理タスクの手順について 説明します。 " サーバを実行する ( サーバの起動と停止方法、および サーバのアクティビティのログ方法を含む ) " Silver Security ユーザとグループを設定する " 一般的な保守タスク ( サーバへのデータベースの追加 および展開済みアプリケーションの管理など ) を実行 する " WSI (Web サーバ統合 ) モジュールを使用して、アプリ ケーションサーバを外部 Web サーバと統合する " HTTP環境とHTTPS環境の両方でセキュリティを設定 し、使用する パフォーマンスが最適になるようにアプリケーション サーバを調整する ( クライアントおよび接続プールへ の接続の管理を含む ) " パート III 315 ページの「付 録」 " 負荷分散およびフェールオーバーを提供するようにク ラスタを管理する " サーバ管理 API を使用して、アプリケーションサーバ をプログラム的に管理する " トラブルシューティング 選択したサーバプロパティを編集するために使用できる httpd.props ファイルについて説明します。 SNMP (Simple Network Management Protocol) を実装す る方法、および SNMP をアプリケーションサーバで実行 する方法について説明します。 アプリケーションサーバのシステムテーブルおよび SilverMaster データベース URL について説明します。 ディレクティブおよび WSI (Web Server Integration ) モ ジュールの設定について説明します。 追加マニュアル ! Novell exteNd マニュアルの完全なセットについては、Novell マニュアルの Web サイト (www.novell.com/documentation/exteNd.html) を参照してください。 16 exteNd Application Server 管理ガイド 1 管理クイックリファレンス 第1章 このクイックリファレンスを使用すると、次の情報にすばやくアクセスできます。 " SMC パネル " 管理タスク SMC パネル SMC は、次の領域に分かれています。 " 環境設定オプション " セキュリティオプション " 監視オプション " 展開オプション この節では、各領域のパネルについて説明します。 注記 : クラスタ環境で管理する場合、パネルは異なります。クラスタの SMC パネルへのクイッ クリファレンスについては、279 ページの「サーバクラスタの管理」を参照してください。 17 環境設定オプション 環境設定オプションは、次のパネルで構成されます。 パネル 説明 / 詳細についての参照先 一般 一般的な設定、サーバのログ設定、および ORB/RMI 設定。このパネルは、 異なるタイプのユーザや操作に対して個別のポートを設定する場合に使 用します。 ! 詳細 一般 : 106 ページの「一般的なサーバのプロパティの指定」 " ポート : 103 ページの「個別のポートの設定」 " ログ機能 : 108 ページの「サーバのログ機能の使用」 " ORB/RMI: 111 ページの「ORB 設定の指定」 デバッグ、パフォーマンス、サーバのキャッシュ、および J2EE トランザ クション ! プール デバッグ : 294 ページの「低レベルのデバッグ」 " パフォーマンス : 239 ページの「パフォーマンスパラメータの設定」 " キャッシュ : 248 ページの「サーバコンテンツキャッシュの管理」 " トランザクション : 130 ページの「J2EE トランザクションの管理」 JDBC とコネクタの接続プールの追加、削除、および維持 JDBC 接続プールの管理 : 67 ページの「接続プールの設定」 " コネクタ接続プールの管理 : 67 ページの「接続プールの設定」 データベースの追加と削除。サーバから SilverMaster データベースおよび 展開データベースにアクセスする方法の設定。このパネルを使用して、 データベーススキーマを同期化したり、アイドル接続を削除することもで きます。 参照 : " データベースの追加と削除 : 60 ページの「展開データベースの設定」 " 接続の最大数と最小数 : 253 ページの「データベース接続の管理」 " 他の設定タスクすべて : 60 ページの「展開データベースの設定」 クライアント接続設定の管理 ! 18 参照 : " ! 接続 参照 : " ! データベース 参照 : " 243 ページの「クライアント接続パラメータ」を参照してください。 exteNd Application Server 管理ガイド セキュリティオプション セキュリティオプションは、次のパネルで構成されます。 パネル 説明 / 詳細についての参照先 一般 一般的なセキュリティ設定 ! 詳細 ユーザ認証の要求、HTML ディレクトリリストの無効化、およびユー ザによるアカウントの変更許可 : 210 ページの「認証の有効化」 " セキュリティリソースのタイムアウト : 166 ページの「セキュリティ リソースタイムアウトのリセット」 " デフォルトのセキュリティレルムと認証局 : 177 ページの「デフォル トのログイン名コンポーネントの上書き」 HTTPS クライアント証明書レベル、アクセラレータ設定、および信頼す るクライアント ! 許可 参照 : " HTTPS でのクライアント証明書レベル : 202 ページの「クライアント 証明書の有効化とインストール」 " アクセラレータ設定 : 211 ページの「CHI (Cryptographic Hardware Integration) の使用」 " 信頼するクライアントのリスト : 212 ページの「信頼するクライアン トの管理」 クラスタ、サーバ、またはデータベースのレベルでアクセス制御を設定で きます。J2EE アーカイブへのアクセスを制御するには、オブジェクトの 展開先データベースの[展開オブジェクト]ディレクトリでアクセス制御 を設定します。 ! ユーザとグループ 参照 : " 217 ページの「認証とアクセス制御」を参照してください。 Silver Security ユーザと証明書ユーザの追加。Silver Security グループの 追加。外部セキュリティプロバイダでのユーザの表示。ユーザプロパティ の編集。 ! 参照 : " Silver Security のユーザとグループの追加 : 120 ページの「Silver Security のユーザおよびグループの管理」 " 証明書ユーザの追加 : 205 ページの「クライアント証明書の手動イン ストール」 " ユーザとグループの表示 : 175 ページの「ユーザおよびグループへの アクセス」 " 外部セキュリティプロバイダの使用 : 164 ページの「セキュリティプ ロバイダシステムへのアクセス」 " ユーザプロパティの編集 : 121 ページの「ユーザプロパティの編集」 管理クイックリファレンス 19 パネル 説明 / 詳細についての参照先 証明書 サーバにインストールされている証明書の表示。認識される認証局の表示。 ! セキュリティ プロバイダ 参照 : " サーバ証明書の作成とインストール : 182 ページの「SMC を使用した サーバ証明書の作成とインストール」 " サーバ証明書の表示 : 196 ページの「サーバ証明書の表示」 " 認証局の管理 : 201 ページの「認証局の管理」 " DSA および RSA ポートプロパティ: 196 ページの 「RSA/DSA ポートの 有効化」 外部セキュリティプロバイダ (Windows ディレクトリサービス、LDAP、 NIS+、および証明書発行者を含む ) を認識するアプリケーションサーバの 設定。 ! 164 ページの「セキュリティプロバイダシステムへのアクセス」を 参照してください。 監視オプション 監視オプションは、次のパネルで構成されます。 パネル 説明 / 詳細についての参照先 グラフ さまざまなサーバ統計情報のリアルタイムなグラフの表示 ! ログ 133ページの 「サーバの動作のグラフ表示」を参照してください。 ログの表示 ( サーバのログ機能を有効にした場合 ) ! 統計情報 137 ページの「ログの表示」を参照してください。 セッションやスレッドに関するサーバ統計情報の表形式ビューでの表 示、および概要統計情報の表示 ! 137 ページの「サーバ統計情報のビューの表示」を参照してくだ さい。 展開オプション 展開オプションは、次のパネルで構成されます。 パネル 説明 / 詳細についての参照先 展開オブジェ クト J2EE オブジェクトの表示および管理。このパネルは、サーバに展開されて いる J2EE アプリケーションを有効化、無効化、またはシャットダウンする 場合に使用します。 ! 127ページの「展開されたJ2EEオブジェクトの保守」 を参照してくだ さい。 20 exteNd Application Server 管理ガイド パネル 説明 / 詳細についての参照先 JNDI ツリー ! 127ページの「展開されたJ2EEオブジェクトの保守」 を参照してくだ さい。 URL の管理 ! 127ページの「展開されたJ2EEオブジェクトの保守」 を参照してくだ さい。 リソース アダプタ ! 127ページの「展開されたJ2EEオブジェクトの保守」 を参照してくだ さい。 管理タスク この節では、一般的な管理タスクへのクイックリファレンスを示します。 データソース設定 " 60 ページの「展開データベースの設定」 " 67 ページの「接続プールの設定」 一般的なサーバ管理 " 89 ページの「アプリケーションサーバの起動」 " 96 ページの「アプリケーションサーバのシャットダウン」 " 97 ページの「アプリケーションサーバの再起動」 " 103 ページの「個別のポートの設定」 " 106 ページの「一般的なサーバのプロパティの指定」 " 108 ページの「サーバのログ機能の使用」 " 111 ページの「ORB 設定の指定」 " 113 ページの「1 つのホストでの複数のサーバの実行」 " 120 ページの「Silver Security のユーザおよびグループの管理」 " 125 ページの「アプリケーションサーバのリモート管理」 " 126 ページの「AGCLASSPATH 変数の設定」 " 161 ページの「サーバへの安全な接続の確立」 " 164 ページの「セキュリティプロバイダシステムへのアクセス」 " 180 ページの「証明書の使用」 " 196 ページの「RSA/DSA ポートの有効化」 セキュリティ 管理クイックリファレンス 21 " 210 ページの「認証の有効化」 " 222 ページの「許可の制限」 " 238 ページの「ロボットの除外」 " 228 ページの「サーバ、クラスタ、およびアプリケーションのロック」 " 231 ページの「セキュリティチェックリスト」 調整およびパフォーマンス " 239 ページの「パフォーマンスパラメータの設定」 " 242 ページの「クライアント接続の管理」 " 248 ページの「サーバコンテンツキャッシュの管理」 " 250 ページの「接続プールの管理」 " 253 ページの「データベース接続の管理」 負荷分散およびフェールオーバー " 269 ページの「サーバクラスタの設定」 " 272 ページの「クラスタサーバのインストール」 " 274 ページの「クラスタの作成」 " 279 ページの「サーバクラスタの管理」 " 279 ページの「クラスタサーバの再起動」 " 284 ページの「サーバの相対負荷ウェイトの指定」 " 284 ページの「コンポーネントフェールオーバーの管理」 " 286 ページの「クラスタの解除」 " 288 ページの「クラスタへの証明書のインストール」 トラブルシューティング 22 " 293 ページの「エラーログ出力機能の使用」 " 294 ページの「低レベルのデバッグ」 " 296 ページの「JDBC トレースの設定」 " 297 ページの「Watcher の使用」 " 299 ページの「SilverMonitor の使用」 " 311 ページの「スタックオーバフローの処理」 exteNd Application Server 管理ガイド I 管理の基本 パート I このパートでは、Novell exteNd Application Server の管理の基本について説明します。 • • • 第 2 章 「管理の概要」 第 3 章 「サーバ環境設定」 第 4 章 「データソース設定」 2 管理の概要 第2章 この章では、Novell exteNd Application Server のアーキテクチャを紹介し、サーバ環境 での管理タスクについて概説します。この章には、次の節が含まれています。 " Novell exteNd Application Server " アプリケーションサーバ管理 " SMC ( サーバ管理コンソール ) Novell exteNd Application Server Novell exteNd Application Server は、Java で実装されるマルチスレッド J2EE アプリケー ションサーバです。クライアント通信は、World Wide Web の最も一般的なプロトコル である HTTP (HyperText Transfer Protocol) を通じて行われます。 注記 : アプリケーションサーバでは、異なるサーバの EJB が通信する場合、HTTP ではなく RMI (Java の Remote Method Invocation) を使用します。 アプリケーションサーバでは、ビジネス論理処理と企業データへのアクセスを提供し ます。 25 3 階層の通信 アプリケーションサーバは、 「クライアント階層」、 「中間階層」、および「データ階層」 という 3 つの階層から成るアーキテクチャをサポートしています。 階層 説明 クライアント Web ブラウザまたはスタンドアロンアプリケーションクライアント 中間 Novell exteNd Application Server を含みます。中間階層には、次の 2 つ のランタイム環境が含まれます。 データ 26 " Web コンテナ - クライアントリクエストの受信と応答に対するサポー トを提供します。 " EJB コンテナ ( またはビジネス階層 ) - ビジネス論理 ( データアクセス を含む ) が存在する場所です。 リレーショナルデータベースまたは J2EE コネクタからアクセスされる 企業データを含みます。サポートされているデータベースとコネクタの リストについては、リリースノートを参照してください。 exteNd Applicaiton Server 管理ガイド 3 階層の通信には、次の利点があります。 利点 説明 セキュリティ管理 アプリケーションサーバは、データ階層への通信をすべて実現し、 設定したセキュリティを強制します。 コード管理 ビジネス論理をサーバ側のオブジェクトにカプセル化することに よって、コードの管理と維持が ( 特に、大規模な開発環境におい て ) より簡単になります。 データ検証 ビジネス論理は 1 階層に含まれるため、アクセスと操作を 1ヶ所 から集中管理することによってデータを保護できます。 アプリケーションサーバ環境 アプリケーションサーバ管理者として、次の環境をセットアップし、サポートします。 環境 説明 運用 運用環境は、1 つまたは複数のアプリケーションサーバ、1 つまたは複 数のデータベースサーバあるいは EIS ( 企業情報システム )、およびク ライアントから構成されます。 ! 運用環境の詳細については、第 3 章 「サーバ環境設定」を参照 してください。 展開 展開環境は、1 つまたは複数のアプリケーションサーバ、1 つまたは複 数のデータベースサーバあるいは EIS システム、および展開ツールか ら構成されます。 " " 展開の責任には、セキュリティシステムのユーザとグループへの役 割参照のマッピングと、データソースへのリソース参照のマッピン グが含まれる場合があります。 展開ツールには、SilverCmd、または Novell exteNd Director™ に よって提供される展開ツールがあります。 ! 展開の詳細については、『機能ガイド』の J2EE アーカイブの展 開に関する章を参照してください。 管理の概要 27 アプリケーションサーバ管理 アプリケーションサーバ管理者として、サーバのアーキテクチャの各階層 ( クライア ント階層、中間階層、およびデータ階層 ) にはいくつかの管理責任があります。 クライアント階層管理 各クライアントタイプを実行するための要件は、次のとおりです。 クライアント 要件 Web クライアント ブラウザ要件は、実行されている HTML アプリケーションの種類 によって異なります。 注記 : ブラウザ管理については、このガイドでは取り扱ってい ません。詳細については、ブラウザのマニュアルを参照してくだ さい。 Java クライアント SilverJ2EEClient は、J2EE アプリケーションクライアントをユー ザコンピュータでホストするために使用されます。 ! 詳細については、 『機能ガイド』の SilverJ2EEClient に関す る章を参照してください。 中間階層管理 中間階層を管理する場合は、アプリケーションサーバを管理することになります。こ の章において後で説明するスタンドアロン管理ツールであるサーバの SMC ( サーバ管 理コンソール ) を使用します。 アプリケーションサーバ管理の主な分野は、次のとおりです。 管理分野 説明 詳細 インストール Novell exteNd イ ン スト ー ルプ ロ グ ラ ム を 使 用 し て、ア プ リ ケーションサーバをインストー ルします。 手順については、「 Novell exteNd のインストール」を 参照してください。 データ階層にある企業データへ のアクセスを提供するために サーバによって使用される接続 プールは、作成して維持する必 要があります。 第 4 章 「データソース設定」 を参照 企業データソースへの アクセス 28 exteNd Applicaiton Server 管理ガイド 最新のシステム要件について は、exteNd Application Server のリリースノートを参 照してください。 管理分野 説明 詳細 展開 J2EE アプリケーションは、アプ リケーションサーバに追加され ているリレーショナルデータ ベースに展開されます。サーバ にデータを追加して、接続を維 持および調整しなければならな い場合があります。 第 4 章 「データソース設定」 を参照 統計情報 運用アプリケーションサーバが 起 動 さ れ て 稼 動 中 の 場 合、パ フォーマンスを調整したり保守 アクティビティをスケジュール したりするために、統計情報を監 視できます。 第 7 章 「サーバの保守」を 参照 ログ アプリケーションサーバでは、 108 ページの「サーバのログ 機能の使用」を参照 異なるタイプのシステム情報を データベースまたはファイルに ログできます。 証明書 証明書は、サーバの SSL (Secure Sockets Laye) 接続でサーバ自体 をクライアントに対して認証し たり、クライアントの SSL 接続 でクライアント自体をサーバに 対して認証するために使用され ます。アプリケーションサーバ には、RSA 証明書および DSA 証 明書をインストールできます。 第 9 章「セキュリティの設定」 を参照 セキュリティ アプリケーションサーバでは、複数 のレベルのセキュリティが提供 されます。 第 10 章 「セキュリティの使 用」を参照 サーバのパフォーマン ス アプリケーションサーバには、 第 11 章 「サーバの調整」を 参照 高負荷または低負荷の場合の動 作を定義するいくつかの設定が あります。特定の状態にするた めにアプリケーションサーバに 必要な接続数を定義できます。 負荷分散 負荷分散により、複数のアプリ ケーションサーバ ( クラスタ ) を 大規模な運用環境で使用できる ようになります。 第 12 章 「クラスタの管理」 を参照 トラブルシューティン グ -- 第14章「トラブルシューティ ング」を参照 ! 管理タスクのクイックリファレンスについては、21 ページの「管理タスク」を 参照してください。 管理の概要 29 データ階層管理 アプリケーションサーバは、システム管理リソース (SilverMaster データベース )、展開 ターゲット ( 展開データベース )、および企業データ ( 接続プール ) のデータ階層にあ るコンポーネントに依存します。これらのリソースに対して責任のある管理者と協力 して、アプリケーションサーバから適切にアクセスできるようにする必要があります。 ! アプリケーションサーバがデータ階層のリソースを使用する方法と、管理情報 については、第 4 章 「データソース設定」を参照してください。 SMC ( サーバ管理コンソール ) アプリケーションサーバの SMC ( サーバ管理コンソール ) は、ほとんどのアプリケー ションサーバ管理タスクに対して使用するツールです。SMC を使用すると、次の操作 を実行できます。 " 環境を維持する " 環境を監視する " パフォーマンスを測定し、向上させる " セキュリティを設定し、管理する " 負荷分散用にサーバクラスタを設定し、維持する 同じ SMC からは、複数のサーバを管理できます。 SMC 設定のいくつかは、直接編集できる httpd.props ファイルのエントリに影響を与えます。ただし、サーバの設定を変更する には、可能な限り SMC を使用してください。 SMC または httpd.props ファイル ? ! httpd.props ファイルの詳細については、付録 A「httpd.props ファイル」を参照し てください。 30 exteNd Applicaiton Server 管理ガイド SMC の実行 SMC は、コマンドプロンプト ( システムコンソール ) または GUI から実行できます。 # GUI から SMC を実行する オペレーティング システム 操作 / 説明 NetWare® GUI 画面で、 [Novell]>[exteNd Application Server]>[SMC]の 順に選択します。 Windows [スタート]メニューから、[プログラム]>[Novell exteNd n.n]> [AppServer]>[サーバ管理コンソール]の順に選択します。 サーバをインストールしたポートからサーバでリッスンするポートを 変更した場合、SMC を起動するために使用されるプログラムのショー トカットを更新する必要があります。 # コマンドプロンプトまたはシステムコンソールから SMC を実行する " 次のコマンド ( サーバの \bin ディレクトリにあります ) を入力します。 smc smc コマンドでは、次のコマンドラインオプションを使用できます。 コマンドラインオプション 説明 -as_noconsole 起動時に Java コンソールを非表示にします。 -as_username username 指定したユーザ名を使用してログインします。 -as_password password 指定したパスワードを使用してログインします。 -as_nosplash SMC スプラッシュ画面を表示しません。 +Dsssw.ssl.nocacheck 自己署名サーバ証明書を検証しません。 -? または -help オプションを一覧表示します。 アプリケーションサーバは、個別の「ランタイム」ポートと「管理」 ポートをサポートします。インストール中、両方の HTTP ポートは、デフォルトとし て指定したポート番号に設定されます。デフォルトのポートは次のとおりです。 ポートの使用 オペレーティングシステム デフォルトのポート NetWare 83 UNIX 8080 Windows 80 個別のサーバポートを設定した場合は、SMC の開始時に管理ポート番号を指定する必 要があります。 管理の概要 31 ! 詳細については、105 ページの「ポートの有効化について」を参照してください。 SMC とアプリケーションサーバとの間には、安全な (SSL) 接続を 確立できます。詳細については、161 ページの「サーバへの安全な接続の確立」を参 照してください。 安全な接続の作成 SMC プロパティファイル ( サーバの \Resources ディレクト リにある smc.props) には、次に関する情報が含まれています。 SMC プロパティファイル " (SMC を使用して )SMC に追加されたサーバのリスト " グラフ作成の設定を指定するプロパティ コマンドラインで渡した場合、サーバ名はサーバのリストには追加されません。ユー ザ名とパスワードをコマンドラインで指定しても、サーバでは指定しなかった場合、 コマンドは無視されます (SMC では、パラメータが適用されるサーバを判断できない ためです )。 smc.props ファイルは、SMC を使用してこれらのプロパティを変更したり、SMC を閉 じたりした場合に更新されます。SMC が実行されている間は、smc.props を手動で編集 しないでください ( 行った変更は保存されないためです )。 SMC ユーザインタフェース SMC は、サーバを管理するために使用できる一連のパネルから構成されています。 32 exteNd Applicaiton Server 管理ガイド 注記 : クラスタ環境でサーバを実行している場合、SMC には異なるオプションが表示されま す。詳細については、第 12 章 「クラスタの管理」を参照してください。 SMC パネルについて 管理オプションは、 [一般]や[詳細]など、複数のパネルにグループ化されています。 ! SMC パネルへのクイックリファレンスについては、17 ページの「SMC パネル」 を参照してください。 ツールバーについて コンソールの上部にあるツールバーには、操作を実行できるようにするアイコンが表 示されます。 タスク アイコン 説明 環境設定 環境設定オプション ( 一般的なサーバオプション、デー タベースオプション、およびクライアント接続オプショ ン ) へのアクセスを提供します。 セキュリティ セキュリティオプション ( ユーザとグループ、ユーザ認 証の使用、証明書、およびセキュリティプロバイダ ) へ のアクセスを提供します。 監視 サーバの統計情報とログのグラフへのアクセスを提供 します。 展開 サーバに展開されている J2EE オブジェクト、サーバの JNDI (Java Naming and Directory Interface) ツリー、サー バまたはデータベースのデフォルトの URL に対する設 定、およびサーバに展開されている RAR のリストへの アクセスを提供します。 ( サーバの ) 選択 SMC を使用して管理するネットワークにサーバを追加 します。1 つの SMC コンソールからは複数のサーバを管 理できます。 (サーバの) 再起動 パラメータの変更後、選択したサーバを再起動します。 ( サーバの ) 停止 選択したサーバをシャットダウンします。 ( クラスタの ) 新規作成 負荷分散用にクラスタを作成します。 ( クラスタの ) 解除 負荷分散サーバクラスタを解除します ( サーバクラスタ リングに対してのみ適用されます )。 管理の概要 33 メニュー コンソールの上部にあるメニューを使用すると、ツールバーによって提供される機能 と同じものを多数実行できます。また、次の追加のタスクを実行することもできます。 メニューオプション 説明 ファイル > ログイン SMC にログインできるようになります。詳細については、 34 ページの「ログイン」を参照してください。 表示 > サーバコンソール サーバコンソールを表示します。 ログイン SMC にログインする前に、アプリケーションサーバを起動する必要があります。 ユーザ名またはパスワードを指定せずに SMC を開始した場合は、Anonymous として 接続されます。Anonymous として接続できるのは、アプリケーションサーバが無制限 モードでインストールされている場合のみです。制限モードでアプリケーションサー バがインストールされている場合は ( これは、インストール時のデフォルトで、運用 環境に対する推奨モードです )、すべてのユーザがログインする必要があります。 SMC は、すべてのアクションに対して管理ポートを使用します。 # ログインする 1 [ファイル]>[ログイン]の順に選択します。 [ログインアカウント情報を入力してください] というダイアログボックスが表示 されます。 注記 : アプリケーションサーバにより、最初はサーバ管理者のみが含まれる「Administrators」 という定義済みのグループがインストールされます。 2 アプリケーションサーバ管理者のユーザ名とパスワードを入力し、[OK]をク リックします。 管理用のアカウント名とパスワードは、アプリケーションサーバのインストール 時に指定したものになります。パスワードは、大文字と小文字が区別されます。 SilverMaster データベースで大文字と小文字が区別されるように設定されている 場合、ユーザ名の大文字と小文字が区別される可能性があります。詳細について は、119 ページの「管理者アカウントについて」を参照してください。 これで、すべての管理権が与えられました。SMC のウィンドウのタイトルにユー ザの名前が表示されます。 34 exteNd Applicaiton Server 管理ガイド ログアウト # ログアウトする 1 SMC の左側のパネルで、サーバを選択します。 2 [ファイル]>[ログアウト]の順に選択します。 これで、( ウィンドウのタイトルに表示されるように ) Anonymous としてサーバ に接続されました。必要な場合は、ユーザとしてログインし直すこともできます。 オンラインヘルプ アプリケーションサーバのヘルプで管理ドキュメントにアクセスする 開始する場所 操作手順 SMC <F1> キーを押すか、または[ヘルプ]>[トピックの検索]の順に選択します。 管理クイックリファレンスがブラウザに表示されます。ここからは、管理者用 ガイドとexteNd Application Serverヘルプの残りの部分にアクセスできます。 Windows ! [スタート]メニューから、 [プログラム]>[Novell exteNd n.n]>[製品マ ニュアル]の順に選択します。次に、exteNd Application Server ヘルプに移 動して、管理者用ガイドを開きます。 詳細については、「ヘルプおよびマニュアルの使用」を参照してください。 管理の概要 35 36 exteNd Applicaiton Server 管理ガイド 3 サーバ環境設定 第3章 この章では、Novell exteNd Application Server の基本的なハードウェア環境設定、およ び Web 環境でのサーバの動作について説明します。この章は、次の項目の節で構成さ れます。 " サーバ環境設定 " ファイアウォールおよびプロキシサーバ " ネットワーク環境設定 " セッション管理 サーバ環境設定 この節では、運用に推奨されるアプリケーションサーバ環境設定について説明しま す。簡略化するため、この説明では単一の ( スタンドアロン ) アプリケーションサーバ を使用します。 運用環境 運用環境では、アプリケーションサーバおよびデータベースサーバを個別のコン ピュータに設定することが最適です ( これを「複数ホストの環境設定」と呼びます )。 37 次の図は、2 つのデータベースサーバ接続があるアプリケーションサーバに推奨され る環境設定を示します。 ( アプリケーションサーバとともに図に示された )SilverMaster データベースは、シス テム全体のマスタデータベースです。SilverMaster の詳細については、54 ページの 「SilverMaster 機能」を参照してください。 この環境設定に Web サーバをもう 1 つ置いたとしても、アプリケーションサーバへの 影響はあまりありません。アプリケーションサーバのリスニングポートをデフォルト ( ポート 80) から別のポートに変更すれば、アプリケーションサーバを Web サーバと 共存させることができます。詳細については、106 ページの「一般的なサーバのプロ パティの指定」を参照してください。 アプリケーションサーバおよびデータベースサーバを個別のコンピュータに設 定すると、次の利点があります。 利点 38 " アプリケーションサーバとデータベースサーバの間では、CPU ソースが競合されません。 " 各データベースサーバをホストするコンピュータは、そのアプリケーションサーバ に必要なメモリ容量に一致するように設定できます。 " データベースサーバは、アプリケーションサーバに影響を与えることなく最適化 したり調整したりすることができます。 " アプリケーションサーバが実行されているオペレーティングシステムプラット フォーム以外のオペレーティングシステムプラットフォームで、データベース サーバを実行できます。たとえば、UNIX データベースサーバおよび Windows の アプリケーションサーバを実行できます。 exteNd Application Server 管理ガイド およびメモリリ アプリケーションサーバおよびデータベースサーバを個別のコンピュータに設 定すると、追加のコンピュータを管理しなければならないという難点があります。 難点 ! 運用アプリケーションサーバ環境に適した環境設定の詳細については、40 ペー ジの「ネットワーク環境設定」を参照してください。 ファイアウォールおよびプロキシサーバ ファイアウォールは、ネットワークアクセスの規制に重要です。ファイアウォールの 使用方法、アプリケーションサーバによるデータベースサーバとの通信方法、および ファイアウォールを通して匿名のユーザのアクセスを許可する場合について、決定し なければならない項目が多数あります。 一般的な大規模 Web 環境では、スタティックトラフィックルーティングサービスは、 ネットワークサービスプロバイダのルータと内部ネットワークの間に配置されます。 トラフィックルーティングサービスは、ルータの審査規則を使用して IP レベルで、ま たはプロキシゲートウェイおよびプロキシサービスを使用してアプリケーションレベ ルで実装できます。 プロキシサーバについて 「プロキシサーバ」は、保護されているネットワークとイン ターネットの間のトラフィックを仲介するアプリケーションです。プロキシサーバは、 主に、インターネット接続を統合し、( 通常ブラウザから Web サーバに渡される情報 を保護することによって ) ユーザに一般的なレベルの匿名性を提供し、Web トラフィッ クにおいて強化されたセキュリティを実行する ( ユーザによってアクセス可能なサイ トなど ) ために使用されます。 プロキシには、ユーザ認証の追加のログ機能またはサポートが含まれるものが多数あ ります。使用されているアプリケーションプロトコルがプロキシによって理解される 必要があるため、プロトコル固有のセキュリティを実装することもできます。プロキ シコンピュータによってより高レベルな監査およびセキュリティが提供されますが、 プロキシは必要な各マシン用に開発される必要があるため、環境設定コストは高くな りサービスのレベルは低くなります。 注記: アプリケーションサーバとともに使用するプロキシサービスソフトウェアでは、Microsoft Proxy Server または Netscape Proxy Server などの HTTP 1.1 がサポートされます。 ファイアウォールについて 「ファイアウォール」は、ネットワークへのアクセスを規 制するためのハードウェアまたはソフトウェアの機能です。ファイアウォールは、従 来、会社のイントラネットを公共のインターネットトラフィックから保護するために 使用されます。 「ポリシー」がファイアウォールに設定され、特定のトラフィックのみ が通過できるようになっています。実際に関連するメカニズムはそれぞれ異なります が、原則としてファイアウォールは、トラフィックのブロックおよびトラフィックの 許可という 2 つのメカニズムとして考えられます。管理者は、ファイアウォールを設 定して、セキュリティ侵害の通知を受けたり全体のトラフィックを監視したりするこ とができます。 サーバ環境設定 39 ファイアウォールおよびプロキシサーバとの環境設定 アプリケーションサーバは、エクストラネットの顧客からアプリケーションサーバへ の、ファイアウォールを通じて許可されるまたはプロキシされる HTTP 要求とともに、 サイトにあるファイアウォールの中で実行されます。これによって、データベース接 続はファイアウォールを通過する必要がなくなります。次の図は、アプリケーション サーバのファイアウォールおよびプロキシサーバとの設定方法について示します。 ネットワーク環境設定 この節では、アプリケーションの必要条件に基づいてネットワークを設定する複数の 方法について説明します。構成内容は次のとおりです。 40 " 簡単なイントラネット環境設定 " イントラネットクラスタ環境設定 " 簡単なインターネット環境設定 " インターネットクラスタ環境設定 " DMZ (Demilitarized Zone) インターネット環境設定 exteNd Application Server 管理ガイド 簡単なイントラネット環境設定 小規模企業、部署、および少人数の開発者チームには、単一のアプリケーションサー バを使用できます。次の図は、LAN ( ローカルエリアネットワーク ) のユーザに提供 される簡単な Web アプリケーションをホストするアプリケーションサーバ (agsrv1) を 使用した簡単なネットワーク環境設定の様子を示します。アプリケーションサーバは、 ユーザ認証 / アクセス制御および電子メールを通じたユーザへのアプリケーション データの送信のために、既存の Windows セキュリティドメイン (pdc1 上 ) および電子 メールサーバ (mailsrv1) を利用します。 サーバの SilverMaster は、ラインオブビジネスのデータベースが置かれているデータ ベースサーバコンピュータ (dbsrv1) 上に置かれています。アプリケーションは SilverMaster に展開されます。 この環境設定に適した状況 このタイプの環境設定は、次の場合に適しています。 " ユーザ数が比較的少ない (50 未満 ) 場合 " クライアントに返されるデータ量が少ない場合 ( 標準の部門アプリケーションなど ) " フェールオーバー機能は必要はありません。場合によっては、ハードウェアアッ プグレードまたはテープバックアップなどの不定期的な管理業務のためにサーバ ダウンできます。クラスタ化されたサーバ装置は必要ありません。 " すべてのユーザは単一の既存のセキュリティモデルに対して認証されます。部署 またはサイトには、ユーザおよびグループ ( たとえば Windows ドメイン ) の以前 から存在するサーバリストがある場合があり、アプリケーションサーバはこの ディレクトリを利用できます。 サーバ環境設定 41 この環境設定の利点 この環境設定には、次のようないくつかの利点があります。 利点 説明 簡単な管理 単一のアプリケーションサーバマシンの管理は、サーバのクラ スタをホストするコンピュータのグループを保持するよりも簡 単です。 簡単なネットワークト ポロジ ユーザ数が少なくアプリケーションが複雑ではないため、適切 な TCP/IP のコネクティビティ以外に余分なネットワーク環境 設定が必要ありません。 この環境設定は小規模企業または部門アプリケーションに 適していますが、この方法には次のような制限事項があります。 この環境設定の制限事項 42 領域 制限事項 負荷分散およびフェール オーバー このソリューションでは、サーバのダウンタイムの場合にアプリ ケーションの可用性を維持する設備は提供されません。たとえ ば、agsrv1 にハードウェアエラーが発生すると、問題が解決す るまでユーザはアプリケーションにアクセスできなくなります。 インターネットの使用 このシナリオは小規模のイントラネットアプリケーションに適 していますが、インターネットユーザによる外部の使用にはセ キュリティメカニズムは提供されません。保護なしの LAN リ ソースへの不正アクセスを防止するファイアウォールは提供さ れません。また、イントラネットセキュリティサーバ (pdc1) は、 外部のインターネットユーザおよびエクストラネットユーザの 認証には使用されません。 exteNd Application Server 管理ガイド イントラネットクラスタ環境設定 基本的な負荷分散およびフェールオーバーの機能を提供するため、アプリケーション サーバによって、ディスパッチャ、負荷マネージャ、およびキャッシュマネージャが 提供されます。次の図は、アプリケーションサーバのソフトウェアディスパッチャ (dispatch1) により管理されるトラフィックがあるクラスタの、複数のアプリケーショ ンサーバ (agsrv1、agsrv2、および agsrv3) の一般的なネットワーク図を示します。 キャッシュマネージャおよび負荷マネージャは、アプリケーションサーバのクラスタ として同じ物理的サブネット上に置くことがお勧めしますが、ネットワークの任意の マシンに置くことができます。 このシナリオでは、企業ワークステーションのブラウザは、SilverJ2EEClient コンテナ で実行中のブラウザまたは Java アプリケーションを使用するアプリケーションサーバ のソフトウェアディスパッチャ (dispatch1) に接続することによって、アプリケーショ ンにアクセスします。負荷計画に応じて、ディスパッチャによって、クラスタ内の使 用可能なサーバへの HTTP リダイレクションが返されます。 接続を確立するには、クライアントは標準の方法を使用してターゲットサーバの TCP/IP ホスト名を解決する必要があります。たとえば、Windows のワークステーショ ンでは、クライアントは、ターゲットサーバの TCP/IP アドレスを WINS (Windows Internet Naming Service) サーバまたは DNS (Domain Naming Service) サーバから要求す るか、または NBT (NetBIOS over TCP/IP) ブロードキャストを実行して名前およびアド レスを解決します。解決したら、クライアントはサーバに直接アクセスします。それ 以降はディスパッチャにはアクセスしません。 サーバ環境設定 43 企業ユーザは、ブラウザで http://dispatch1/Accounting/ default.html を開くと、会社のアカウント HTML アプリケーションにログインできま す。ソフトウェアディスパッチャ(dispatch1) は HTTP リダイレクト信号をクライア ントに返し、クライアントは http://agsrv2/Accounting/default.html への直接接続を確 立します。ブラウザがアプリケーションサーバ (agsrv2) にリダイレクトされるだけで なく、完全な URL アドレス情報 ( データベース名、アカウント、およびページ名 ) も 渡されます。 HTML アプリケーションの例 負荷計画に従って、次にアプリケーションにアクセスするユーザは、次に使用可能な サーバにラウンドロビン式に転送されます。たとえば、http://dispatch1/Accounting/ default.html は http://agsrv3/Accounting/default.html にリダイレクトされます。 この環境設定の利点 この環境設定には、次のようないくつかの利点があります。 利点 説明 サーバ冗長 この負荷分散シナリオでは、他のサーバに負荷を受け入れる容量 があれば着信要求に対応できるため、管理者は 1 つまたは 2 つの アプリケーションサーバを、管理用に自由に作動停止させること ができます。 簡単な管理 初期の環境設定はウィザードベースであり、サーバ管理はすべ て SMC を使用して実行するため、クラスタの設定は非常に簡 単です。 この環境設定のインストールおよび管理には、余分なハードウェ アまたはソフトウェア ( サードパーティのディスパッチャまたは ファイアウォールなど ) は必要ありません。 負荷分散 この環境設定の制限事項 ユーザ数が増加すると、それに応じてサーバ数を拡張できるな ど、この環境設定は柔軟です。サーバ間の負荷分散により、ひと りのユーザによって企業内の他のユーザにサーバのボトルネッ クが発生することが防止されます。 この環境設定には、次のような制限事項があります。 " 保護なしの LAN リソースへの不正アクセスを防止する、ファイアウォールおよび 追加のセキュリティメカニズムは提供されません。 " この環境設定はインターネットアプリケーションに使用できますが、より高度な ディスパッチャを使用する場合などに必要なDNSのマスキングに対する設備はあ りません。これに関しては、すべてのアプリケーションサーバおよびディスパッ チャがインターネットで DNS 登録されている必要があります。 詳細情報 クラスタおよび負荷分散の詳細については、第 12 章 「クラスタの管理」を 参照してください。 44 exteNd Application Server 管理ガイド 簡単なインターネット環境設定 次の図は、(SilverJ2EEClient を使用して Java アプリケーションを実行する ) 内部ユー ザおよび ( インターネット上で HTML アプリケーションにアクセスする ) 外部ビジネ スパートナーの両方に、エクストラネット Web アプリケーション機能を提供するため に単一のアプリケーションサーバを使用する方法を示します。 このシナリオでは、アプリケーションサーバ (agsrv1) によって、企業の Web サイト サービス (www1 および www2) から提供される既存のスタティックコンテンツととも に、Web アプリケーションサービスが提供されます。このアプリケーションサーバ (agsrv1) は DNS 登録されているため、エクストラネットユーザが Web サイトから ( ア プリケーションサーバでホストされる ) アプリケーションログオンページに転送され ると、ブラウザによって、アプリケーションサーバに接続するルートが認識されます。 この場合、インターネットのクライアントは、アプリケーションサーバにアクセスす るためには、ファイアウォール (gatekeeper1) を通過する必要があります。 この接続を容易にするため、ファイアウォール (gatekeeper1) は、TCP/IP ポート 80 の HTTP トラフィックのみがアプリケーションサーバへ通過できるように設定されてい ます。これによって、アプリケーションに応じたデータがエンドユーザ以外のユーザ によって遮断されないこと、および受信トラフィックによって企業リソースがアクセ スされるないことが、システム管理者に保証されます。 ユーザは、企業 Web サイト (www1 および www2) のリンクからアプリケーションにア クセスします。Web サービス統合 (WSI) モジュールは、両方の Web サーバにインス トールおよび設定され、agsrv1 のログオンページへのリダイレクション機能を提供し ます。リダイレクトされると、ブラウザによってアプリケーションサーバへの接続が 確立されます。 サーバ環境設定 45 このプロセスは、次のように要約できます。 1 ユーザは、ファイアウォールの外の Web サーバの 1 つからアプリケーションサー バ URL にアクセスします。 2 WSI モジュールによって、アプリケーションサーバへの HTTP リダイレクション がブラウザに返信されます。 3 ファイアウォールを通じて、ブラウザによって自動的に URL がアプリケーション サーバに直接要求されます。 4 ファイアウォールを通じてアプリケーションサーバ (agsrv1) に接続すると、ユー ザ認証のため、ユーザはアプリケーションにログオンするように要求されます。 エクストラネットユーザのリストは、サーバの SilverMaster データベースに維持 されます。このデータベースは、e コマースアプリケーションが提供されるデー タベースと同様に、dbsrv1 で維持されます。ユーザは、ログオンのアカウント情 報を入力してログオンし、アプリケーションを使用してビジネスを行うことがで きます。 会社の内部では、企業ユーザは、(SilverJ2EEClient コンテナを使用する )Java アプリ ケーションを使用するエクストラネットユーザと通信します。管理のため、企業 IT に よって HTTP ポート 80 の SMC が使用されます。 この環境設定の利点 この環境設定には、次のようないくつかの利点があります。 利点 説明 セキュア e コマース アプリケーション エクストラネットユーザとアプリケーションの間の HTTP トラ フィックは、ファイアウォールを通じて安全にインターネット 上を移動できます。管理者は、ファイアウォールを使用してす べてのログインアクティビティをログ記録できます。 簡単な管理 既存のネットワークとともに使用できるようにアプリケーショ ンサーバを設定して、ファイアウォール環境設定にポリシーを 簡単に追加しました ( たとえば、HTTP トラフィックが TCP/IP 80 の agsrv1 に渡されることを許可し、すべてのアクティビティ をログ記録します )。 この環境設定の制限事項 " この環境設定には次のような制限事項があります。 「負荷分散」および「フェールオーバー」 会社内のユーザおよび外部のビジネス パートナーの両方がこのアプリケーションを使用する場合、負荷分散および フェールオーバー機能なしでは、サーバのダウンタイムによってユーザがアプリ ケーションにアクセスできなくなります。 詳細情報 WSI モジュールの詳細については、第 8 章 「Web サーバ統合モジュールの 使用」を参照してください。 46 exteNd Application Server 管理ガイド インターネットクラスタ環境設定 大規模な e コマースアプリケーションには、通常、高度な機能、スループット、およ び可用性が必要とされます。これには、すでに説明したものよりも強固で複雑な、基 盤となるシステムアーキテクチャが必要です。 アプリケーションサーバのクラスタから提供される大規模インターネットアプリケー ションの例は、次のようになります。インターネットユーザは、ファイアウォール (gatekeeper1) の外に配置されている 2 つの Web サーバ (www1 および www2) からのリ ンクを使用してアプリケーションにアクセスします。 トランスペアレントのセッションレベルフェールオーバーを実装し、全体的な DNS お よびファイアウォール管理を削減するため、システム管理者は、アプリケーションサー バのソフトウェアディスパッチャではなく、サードパーティのハードウェアディス パッチャをインストールします。これによって、すべてのアプリケーションサーバへ のトラフィックは、イントラネット (www3) 上の単一の TCP/IP アドレスおよびホスト 名にローカライズされます。それに加えて、このタイプのデバイスでは、アプリケー シ ョ ン サ ー バ の ソ フ ト ウ ェアディスパッチャを使用した場合の 4 つのマシン (dispatch1、agsrv1、agsrv2、および agsrv3) とは異なり、TCP/IP アドレスおよびホス ト名を 1 つだけ DNS 登録する必要があります。 サーバ環境設定 47 着信要求が Web アプリケーション自体 (www3 上 ) にリンクされている場合、ブラウ ザによって、ファイアウォールを通じて Web ディスパッチャへの接続が確立されま す。ハードウェアディスパッチャによって、独自の負荷計画に基づいて、クラスタ内 の使用可能なサーバにブラウザが接続されます。アプリケーションサーバのソフト ウェアディスパッチャとは異なり、すべての HTTP トラフィックはハードウェアディ スパッチャによって制御されます。サーバがダウンした場合には、ディスパッチャに よって、自動的にクラスタ内の異なるサーバにブラウザセッションが転送されます。 ディスパッチャによって DNS マスキングが使用されるため、エラーはエンドユーザに 完全にトランスペアレントです。 詳細情報 クラスタおよび負荷分散の詳細については、第 12 章 「クラスタの管理」を 参照してください。 DMZ (Demilitarized Zone) インターネット環境設定 インターネットセキュリティおよびネットワークインフラストラクチャの複雑さは、 会社のサイズに関係していることがよくあります。たとえば、複雑な e コマースのイ ンターネットアプリケーションおよびエクストラネットアプリケーションを持つ大規 模企業では、ファイアウォールセキュリティには 2 階層の方法が使用される場合があ ります。 次の図は、この例を示します。すべてのインターネットトラフィックは、インターネッ トファイアウォール (gatekeeper1) を通じて転送されます。このファイアウォールに よって、Web トラフィックおよびインターネットメールのみが、2 つのファイアウォー ル間の領域であるDMZ (Demilitarized Zone)まで許可されます。セキュリティのために、 すべての Web サーバおよびアプリケーションサーバは、DMZ に置かれています。 48 exteNd Application Server 管理ガイド 3 つ目のネットワークカードをファイアウォールに追加して、インターネットトラ フィックを保護することも可能でしたが、セキュリティ上の理由から、この会社では 個別のデバイスを使用することが決定されました。 DNS マスキングハードウェアディスパッチャ (www および apps) は、トラフィックを 負荷分散式に転送するために使用されます。また、複数の TCP/IP アドレスに対して設 定された 1 つのデバイスを使用して、両方のクラスタにトラフィックを転送すること も可能ですが、冗長のため、2 つの個別のデバイスが使用されています。 イントラネットファイアウォール (gatekeeper2) によって、アプリケーションサーバ (agsrv1 および agsrv2) からの電子メールトラフィックおよびデータベース接続の通過 が許可されます。これによって、システム管理者は、保護されている DMZ( アプリ ケーションサーバ ) からの電子メールトラフィックおよびデータベース呼び出しのみ が企業情報にアクセスできることを確認できます。 外部ユーザは、証明書サーバ (cert1) からブラウザ証明書を取得することによって認証 できます。アプリケーションサーバによって、証明書に基づいてこれらのユーザが認 証され、ブラウザからアプリケーションサーバへのネットワークトラフィックが暗号 化されます。 サーバ環境設定 49 この環境設定の利点 この設定は、次のような必要条件がある場合に適しています。 利点 説明 セキュリティ システム管理者は、外界のトラフィックが DMZ 内にのみ通過できるよ うにこのアーキテクチャを設計しました。たとえば、このセキュリティ の複数階層方法を使用すると、データベースアクセスの開始をより厳し く制御できるようになります。 可用性 サーバクラスタは、 スタティック Web コンテンツおよびアプリケーショ ンサーバの両方に使用されます。ハードウェアディスパッチャによっ て、ディスパッチャ間で冗長が提供されます。 セッションレベルの フェールオーバー ハードウェアディスパッチャの DNS マスキング機能により、サーバエ ラーの場合でもこの e コマースアプリケーションは継続して実行できま す ( ユーザは別のサーバに自動的に転送されます )。 高ボリューム 複数クラスタサーバ装置のスケーラビリティによって、ユーザ負荷を多 数のサーバ間で分配できます。これは、アプリケーション使用量のピーク 期間に特に便利です。 このアーキテクチャは複雑で、一般的なイントラネットサイトよりも維持することが 困難です。しかし、説明したような利点を確保するには、このタイプのアーキテクチャ を設定する必要があります。ダウンタイムはビジネスの損失となることがよくありま す。適切に設計されたネットワークインフラストラクチャを維持することにより、す ぐに相当の成果を得ることができます。 詳細情報 クラスタおよび負荷分散の詳細については、第 12 章 「クラスタの管理」を 参照してください。 セッション管理 アプリケーションサーバは、各クライアント接続についての情報を「セッションオブ ジェクト」に保存します。セッションは、クライアントがサーバに最初に接続する際 に開始します。セッションオブジェクトの情報には、ユーザ認証などの情報が含まれ ます。また、アプリケーションはアプリケーション固有のデータもセッションオブジェ クトに保存します。サーブレットまたは JSP ページを含むセッションは、アイドル状 態が 5 分 ( デフォルト ) を超えると終了します。SMC を使用すると、このセッション タイムアウト値を変更できます ([サーバ要求のタイムアウト]の値を設定します )。 ! [サーバ要求のタイムアウト]の値を設定する詳細については、239 ページの「パ フォーマンスパラメータの設定」を参照してください。 アプリケーションサーバは Cookie または URL の再書き込みを使用して、複数の Web ブラウザクライアントの状態を追跡できます。Cookie および URL 再書き込みの両方に よって、セッション ID が使用されます。ブラウザセッション内のサーバへのすべての コールは、同じセッション ID の下で動作します。セキュアデータの場合、認証はユー ザ認証が必要とされるセッションのアクティブセッションにつき 1 回実行されます。 50 exteNd Application Server 管理ガイド 「認証」とは、サーバおよびクライアントが互いの識別情報を検証するプロセスです。 認証については、210 ページの「認証の有効化」で説明されています。 Cookie ユーザのブラウザによってクッキーがサポートされている場合は、アプリケーション サーバによってクッキーが使用され、セッションが追跡されます。 「cookie」は、Web サーバから Web ブラウザに送信される情報です。ブラウザクライアントは cookie を保 存し、サーバに追加の要求が出されるたびにcookieをサーバに返信します。アプリケー ションサーバは、クッキーをセッション ID として使用します。サーバが Cookie を含 む要求をクライアントから受信すると、cookie に保存されている情報を使用してセッ ションに再接続できます。 重要 : アプリケーションサーバの cookie はメモリに保存され、ディスクには書き込まれませ ん。Cookie には、ユーザの個人情報および追跡情報は含まれていません。 Cookie のコンテンツが懸念される場合は、ブラウザによって cookie を使用できないよ うに設定するか、または cookie がある場合に警告が表示されるように設定できます。 Cookie の詳細については、ブラウザのマニュアルを参照してください。 URL 再書き込み Cookie の使用が許可されていないブラウザをサポートするため、アプリケーション サーバは (jsessionid パラメータを追加することによって )URL が要求をセッションに 正しく関連付けるように再書き込みします。サーブレットまたは JSP ページを作成す るアプリケーション開発者は、URL 再書き込みを使用してクッキーを使用できないク ライアントをサポートする方法を理解する必要があります。 ! サーブレットおよび JSP ページの URL 再書き込みの詳細については、次の「セッ ショントラッキングの仕組み」を参照してください。 セッショントラッキングの仕組み ユーザのブラウザで cookie がサポートされている場合は、アプリケーションサーバは cookie を使用し、サポートされていない場合は URL 再書き込みを使用します。これ は、各ユーザのランタイム時に決定されます。アプリケーションサーバが要求を初め て受信すると、cookie を設定し、URL に「jsessionid」を追加します ( クライアントが cookie をサポートしているかどうか不明であるため )。 クライアントがクッキーをサポートしている場合、アプリケーションサーバは、( 最 初の要求受信時に URL は再書き込みされますが ) セッショントラッキングに cookie を 使用します。クライアントが cookie を返すと、サーバはこのセッションのクライアン トに対する URL 再書き込みを停止します。 サーバ環境設定 51 注記 : Cookie では値「JSESSIONID」( すべて大文字 ) が使用され、URL 再書き込みによっ て「jsessionid」( すべて小文字 ) が使用されます。 クライアントが cookie をサポートしないことが判断された場合、ユー ザがページ内のリンクをクリックするたびに、サーバはセショントラッキングのため に URL に「jsessionid」を追加します。 管理者のメモ クライアントが初めてセッションを確立すると、URL「jsessionid」は URL に追加さ れ、クライアントユーザに対して表示されます。サーバとクライアント間のそれ以降 の通信では、URL 再書き込みによってセッション ID が追跡され、「jsessionid」は、 ユーザのマウスがページ内のリンク上に置かれているときにのみ表示されます。 ブラウザクライアントが cookie をサポートしない場合、HTML リンクを使用するサー ブレットおよび JSP ページで 2 つの標準エンコード方法のいずれかを呼び出す必要が あります ( 次の「開発者のメモ」を参照 )。 開発者のメモ 次のエンコード方法によって、サーバによる cookie または「jsessionid」 の存在をチェックできます。 " HttpServletResponse.encodeURL() " HttpServletResponse.encodeRedirectURL() これらのエンコード方法の 1 つは、サーブレットまたは JSP ページによって、明示的 に URL が応答に作成されるまたは埋め込まれるときに必要です。 URL の「jsessionid」はパスパラメータであり、クエリパラメータではありません。 「クエ リパラメータ」は、通常 URL の最後にあり、 「?」で区切られます。 「パスパラメータ」 は、URL のコンポーネントの最後にあり、クエリパラメータより前にあります。次の例 を参照してください。 http://server/db/foo;pparam=foo?qparam=bar&rparam=bar この例では、 「pparam」はパスパラメータで、 「qparam」および「rparam」は両方と もクエリパラメータです。 52 exteNd Application Server 管理ガイド 4 データソース設定 第4章 この章では、Novell exteNd Application Server がデータ階層にあるリレーショナルデー タベースと EIS ( 企業情報システム ) にアクセスして使用する方法について説明しま す。また、これらのデータソースへのアクセスを設定する方法についても説明します。 トピックは次のとおりです。 " データソースについて " 展開データベースの設定 " 接続プールの設定 データソースについて この節では、データ階層に保存されているデータベースと他のコンポーネントがアプ リケーションサーバによって使用されるさまざまな方法について説明します。 タスク 説明 システム管理 アプリケーションサーバでは、システム管理全体に対して SilverMaster というリレーショナルデータベースを使用 します。 サーバのインストールプロセスにより、SilverMaster デー タベースが作成および設定されます。 J2EE アーカイブの展開 アプリケーションサーバでは、J2EE 生成物を「展開デー タベース」に保存します。展開データベースは、サーバに 追加されたリレーショナルデータベースです。生成物は、 サーバによって作成および管理される特別なシステム テーブルに追加されます。データベースをサーバに追加す るには、SMC または SilverCmd を使用します。 53 タスク 説明 企業データへのアクセス アプリケーションサーバでは、EIS またはリレーショナル データベースに保存された企業データに、「接続プール」 からアクセスできます。接続プールを作成、設定、および 管理するには、SMC を使用します。接続プールをサーバ に追加するには、SMC または SilverCmd を使用します。 システム管理 アプリケーションサーバでは、システム管理全体に対して SilverMaster というマスタ データベースカタログを使用します。SilverMaster データベースは、サーバのインス トール中に作成され、サーバに自動的に追加されます。SilverMaster は、カラムの自動 増分が可能な「サポートされている」タイプのデータベースであれば、どのデータベー スでもかまいません。 ! サポートされているデータベースタイプの完全なリストについては、リリース ノートを参照してください。 SilverMaster 機能 SilverMaster データベースには、次のシステム管理機能があります。 " すべてのデータベースに関わる情報を保存する " サーバによって管理されるデータベースのカタログを維持する " ユーザおよびグループの認証情報を追跡する " クラスタ情報を保存する " 展開された J2EE アーカイブを保存する ( オプション ) SilverMaster カタログには、システム管理用にアプリケーションサーバで使用される内 部テーブルが含まれます。これらのテーブルは、アプリケーションサーバによる使用 のために予約されています。これらのテーブルのリストについては、付録 C 「システ ムテーブルおよび URL」を参照してください。 デフォルトのインストール後、ユーザには、 SilverMaster データベースとディレクトリのトップレベルに対する読み込みアクセス が与えられます。これにより、ユーザは、既存の展開データベースにログインしてア クセスできるようになります。 SilverMaster に対するデフォルトの許可 ユーザは、許可が与えられるまで、データベースを追加または削除したり、展開され た JAR にアクセスしたりすることはできません。異なるタイプの操作に対して別個の ポートを設定した場合は、管理ポートを使用してデータベース設定を更新する必要が あります。 ! SilverMaster データベースのトラブルシュートの詳細については、301 ページの 「SilverMasterInit プログラムの使用」を参照してください。 54 exteNd Application Server 管理ガイド SilverMaster データベースを、最初にインストール されたホストから移動する場合、アプリケーションサーバでは、新しい接続場所を把 握する必要があります。SilverMaster の接続場所情報を更新する最も簡単な方法は、 SilverMaster データベースを移動した後でサーバのインストールプログラムを再実行 することです。 SilverMaster データベースの移動 注記 : データベースによっては、接続パラメータを更新する必要があります ( たとえば、ODBC、 JDBC、または Oracle TNS を使用します )。 サーバのインストールプログラムでは、画面の指示に従って、移動した SilverMaster データベースを指定します。SilverMasterInit を実行するオプションである[新規サー バ環境設定ファイルのインストール]を画面で必ず選択してください。SilverMasterInit を実行する必要はありません。 SilverMasterInit を実行して SilverMaster プロパティを初期化する場合は、Silver Security ユーザとグループを再作成し、展開データベースを手動で追加する必要があります。 アプリケーションサーバを再起動する前に、SilverMaster への接続を ( 別のアプリケー ションを使用して ) テストすることは常に推奨されます。 J2EE アーカイブの展開 J2EE アプリケーションは、アーカイブファイルに保存されます。アプリケーション サーバでは、SilverMaster、またはアプリケーションサーバに「追加」されているリ レーショナルデータベースに J2EE アーカイブを展開します。データベースは、SMC または SilverCmd を使用して (60 ページの「展開データベースの設定」を参照 )、アプ リケーションサーバに追加します。 追加できるデータベースは、アプリケーションサーバによってサポートされているタ イプのみです。サポートされているデータベースタイプの完全なリストについては、 リリースノートを参照してください。 サーバにデータベースを追加すると行われること サーバにデータベースを追加する と、データベースへの接続方法とデータベースの使用方法をアプリケーションサーバ で判断できるように、エントリが SilverMaster に作成され、システムテーブルもデー タベースに追加されます。システムテーブルは通常のデータベーステーブルですが、 アプリケーションサーバによる使用のために予約されています。サーバでは、これら のシステムテーブルにアーカイブと関連メタデータを保存します。 ( 企業データを含む ) 既存のデータベースにアプリケーションを展開したり、アプリ ケーション展開の対象として作成したデータベースを追加したりできます。 注記 : UNIX プラットフォームに展開データベースを追加する場合は、データベースの場所を AGCLASSPATH 環境変数に追加して、サーバを再起動してからデータベースを追加する必要が あります。AGCLASSPATH の詳細については、126 ページの「AGCLASSPATH 変数の設定」を 参照してください。 データソース設定 55 制限された環境におけるデータベースの追加 制限された運用環境でアプリケーション サーバが実行されている場合、データベースを追加 ( または削除 ) する前に、自分自 身を認証する必要があります。制限された環境では、ユーザ ( サーバ管理者以外 ) は、 許可が与えられない限り、データを追加することはできません。 データへのアクセス アプリケーションサーバでは、追加されたデータベースとしてで はなく、接続プールから企業データにアクセスします。アクセスする企業データも含 んでいるデータベースに J2EE アーカイブを展開する場合は、このデータベースに対 して接続プールを作成する必要があります。 ! 接続プールの追加の詳細については、67 ページの「接続プールの設定」を参照 してください。 展開データベースの選択 J2EE アプリケーションは、サポートされているリレーショ ナルデータベース、または SilverMaster データベースに展開できます。次の表は、 SilverMaster または別の展開データベースを選択するいくつかの理由について説明し ています。 展開データベース 説明 SilverMaster すべての J2EE アーカイブを SilverMaster データベースに展開する ことを選択できます。次のような利点があります。 " アプリケーションの URL に、データベース名が含まれない。 " アプリケーションサーバに対して他のデータベースを追加し たり管理したりする必要がない。 次のような不利な点があります。 " SilverMaster データベース以外 SilverMasterInit を実行した場合、アーカイブが削除され、再 度展開しなければならないことがある (SilverMasterInit の機 能を確認してください )。 1 つまたは複数のリレーショナルデータベースをサーバに追加し て、J2EE アーカイブをこのリレーショナルデータベースに展開 することを選択できます。次のような利点があります。 " アプリケーションの URL に、データベース名が含まれる。 " SilverMasterInit を実行した場合、アーカイブはそのまま残り、 再度展開する必要はない。 " アプリケーションが個別のデータベース内にある場合、デー タベース接続を簡単に設定してパフォーマンスを管理できる。 次のような不利な点があります。 " 56 exteNd Application Server 管理ガイド 複数のデータベースを管理しなければならない。 企業データへのアクセス J2EE アプリケーション (WAR、EAR、EJB JAR など ) では、 「リソース参照」としてア クセスするデータソースを展開記述子で定義します。アーカイブをサーバに展開する 場合は、展開ツールを使用して、サーバに対して使用可能なデータソースにリソース 参照をマップします。 管理者として、データソースがサーバに対して使用可能であり、そのデータソースへ の適切な許可がサーバにあることを確認しなければなりません。データソースを J2EE アプリケーションに対して使用できるようにするには、「接続プール」を作成します。 接続プールは、SMC または SilverCmd を使用して作成できます (67 ページの「接続 プールの設定」を参照 )。 データベースアクセス アプリケーションサーバでは、ネイティブ JDBC ドライバまたは JDBC-ODBC ブリッ ジドライバを使用してリレーショナルデータベースにアクセスします。 JDBC (Java Database Connectivity) JDBC は標準の API (Application Program Interface) であり、アプリケーションサーバな どの Java アプリケーションに対しリレーショナルデータベースへの SQL アクセスを 許可します。アプリケーションでは、JDBC ドライバに対して JDBC コールを実行し ます。このドライバは、このコールを基盤となるデータベースの API に変換します。 Java ランタイムシステムには、サポートされているデータベースへの ODBC ドライバ を使用した接続を JDBC に許可する ODBC ブリッジが用意されています。 JDBC アクセス JDBC ドライバには、次の 4 つのタイプがあります。 JDBC ドライバ 説明 タイプ 1: JDBC と ODBC 間のブリッジ ODBC をサポートするデータベース用 タイプ2: JDBCからデータベースベンダ への DLL ベンダまたはサードパーティによって提供され ます。 タイプ 3: JDBC からミドルウェアソフト ウェアを通してデータベースへ アプリケーションサーバでの使用は推奨されて いません。 タイプ 4: 純粋な Java からネットワーク プロトコルへ これらのドライバは、ネットワークプロトコルと 直接動作するため、アプリケーションサーバでの 使用に最も適しています。 データソース設定 57 次の図は、サポートされている各 JDBC ドライバタイプのコンポーネントを示します。 サーバクラスパスへの JDBC ドライバ JAR の追加 JDBC を通してデータベースにアクセスするには、アプリケーションサーバで適切な JDBC ドライバの JAR ファイルを検出する必要があります。つまり、これらの JAR を、 サーバのクラスパスに追加する必要があります。これを実行する方法は、セットアッ プするデータベースアクセスの種類によって異なります。 " SilverMaster の場合 " 他のデータベースアクセスの場合 この節では、これらの設定タスクに関する一般的なガイドラインについて説明します。 DBMS の詳細については、アプリケーションサーバの『データベース設定ガイド』で 対応するデータベース設定の章を参照してください。 SilverMaster データベースへのアクセスを設定する場合、サーバ のクラスパスへの JDBC ドライバ JAR を追加するには、次の操作を実行します。 SilverMaster の場合 58 プラットフォーム サーバのクラスパスに JAR を追加する方法 NetWare サーバに対してデフォルトではないデータベースドライバを使用する には、setenv を使用して、そのドライバを含むように AGCLASSPATH 環境変数を設定する必要があります。 Windows アプリケーションサーバをインストールする前に、必要な JDBC ドライバ JAR ファイルが一覧表示されるようにシステム環境変数 AGCLASSPATH を手動で設定する必要があります。 exteNd Application Server 管理ガイド プラットフォーム サーバのクラスパスに JAR を追加する方法 UNIX アプリケーションサーバのインストールプログラムを実行すると、 JDBC ドライバ JARファイルの場所を入力するよう自動的に指示されま す。その後、AGCLASSPATH 変数がこの JAR 情報で設定されるように、 .agprofile ファイル ( サーバのルートディレクトリにあります ) が編集さ れます。 他のデータベースアクセス (SilverMaster 以外 ) を設 定する場合に、異なるデータベースドライバが必要なときは、アプリケーションサー バのクラスパスにこれらの JDBC ドライバ JAR ファイルを手動で追加する必要があり ます。たとえば、SilverMaster の DB2 にアクセスする際に、Oracle に対する接続プー ルも作成する必要がある場合に、このような状況が発生します。 他のデータベースアクセスの場合 この操作を実行する一般的な方法は、次のとおりです。 オペレーティング システム 説明 NetWare setenvを使用して、 JDBCドライバファイルを含むようにAGCLASSPATH 環境変数を設定する UNIX .agprofile ファイル ( サーバのルートディレクトリにあります ) を編集 し、AGCLASSPATH 変数がこの JAR 情報で設定されるようにする Windows システム環境変数 AGCLASSPATH を編集し、必要な JAR を追加する データベース接続のテスト アプリケーションサーバに対するデータベースアクセスを設定する場合は、データ ベースベンダによって提供されたツールをまず使用して、各接続をテストすることが 推奨されます。これらの接続が有効であることを把握しておくと、後にアプリケーショ ンサーバからのアクセスをトラブルシュートする必要性が生じた場合に時間を節約で きます。 データソース設定 59 展開データベースの設定 リレーショナルデータベースは、J2EEアーカイブの展開レポジトリとして使用したり、 アプリケーションサーバの SilverMaster として使用したりできます。使用するデータ ベースには既存のデータを含むことができます。または、展開用としてのみデータベー スを作成することもできます。この節では、展開データベースをサーバで使用できる ようにする方法について説明します。この節には、次のトピックが含まれています。 " 展開データベースの準備 " サーバへの展開データベースの追加 " サーバからの展開データベースの削除 " データベースの設定 ! 展開データベースを設定する詳細については、『データベース設定ガイド』の DBMS に関する章を参照してください。 展開データベースの準備 次の表は、アプリケーションサーバでデータベースを使用できるようにするために一 般的に実行しなければならない内容について説明しています。 タスク 説明 アプリケーションサーバに対し てデータベースユーザアカウン トを設定する データベースアカウント許可を追加および変更するため の DBMS ユ ーテ ィ リテ ィ (Sybase Central、Microsoft Enterprise Manager、Oracle Server Manager、Informix Control Center など ) を使用します。 アプリケーションサーバには、各データベースへの接続時 に使用するデータベースアカウントが必要です。ユーザア カウント (Agsmith など ) には、CREATE TABLE、 INSERT、 UPDATE、および DELETE の許可が必要です。 データベースが使用される方法を簡単に判断できるよう に、SilverMaster および各展開データベースに対して異な るアカウントを設定することをお勧めします。この方法を 使用すると、パフォーマンスに関する問題を容易に識別し てトラブルシュートできるようになります。 ! 他のタイプのアカウントの詳細については、301ペー ジの「管理アカウント」を参照してください。 60 データベース に対して ODBC データソースを設定する ODBC コントロールパネル (Windows の場合のみ。ODBC 接 続は、UNIX で現在サポートされていません )。 アプリケーションサーバマシン 上の DBMS クライアントソフト ウェアを設定する ネイティブデータベースソフトウェア (Oracle SQL-Net、 Microsoft SQL Server クライアント、Informix CLI など ) を 使用します。 JDBC ドライバをインストール する ネイティブ DBMS インストーラを使用して、JDBC ドラ イバをアプリケーションサーバマシン (jConnect など ) に インストールします。 exteNd Application Server 管理ガイド ! SilverMasterまたは展開データベースとして使用するために特定のデータベース タイプを設定する方法の詳細については、 『データベース設定ガイド』で該当する環境 設定に関する章を参照してください。 注記 : データベースに「SilverStream」という名前を付けることはできません。 サーバへの展開データベースの追加 J2EE アーカイブをサーバに展開する前に、ターゲット展開データベースを追加する必 要があります (SilverMaster に展開しない限り )。 # データベースをアプリケーションサーバに追加する 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [データベース]を選択します。 データソース設定 61 6 [データベースの追加]をクリックします。 データベースに関する情報を入力するように指示されます。 7 次の表を使用して、データベースに関する情報を入力します。ヘルプが必要な場 合は、『データベース設定ガイド』の DBMS に関する章を参照してください。 フィールド 指定する内容 データベース名 データベースの名前を入力します。ODBC データベースの場 合、データベース名は、既存の ODBC データソース名でなけ ればなりません。 ユーザ名および パスワード ネイティブデータベースへのデータベースユーザ接続に対し てアプリケーションサーバで使用できる、ユーザ名とパス ワードのペアを入力します。これらの値を null にすることは できません。 このユーザ名はネイティブデータベースで認識されており、 適切な読み込み / 書き込み許可が必要です。 注記 : 管理者は、各展開データベースに対して固有なユーザ を定義する必要があります。 データベースプラット フォーム サポートされているデータベースプラットフォームのリスト から選択します。 ドライバセット リストからドライバセットを選択します。 ドライバセットは、選択したデータベースプラットフォームに 固有です。データベースタイプに対して推奨されるドライバ セットは、デフォルトで表示されます。 ドライバセットによっては、追加のパラメータを指定する必 要があります。このようなドライバセット ( 名前が「Novell exteNd」で開始しないドライバセット ) の 1 つを選択した場 合は、63 ページの「別の会社のドライバセットの使用」を参 照してください。 62 exteNd Application Server 管理ガイド フィールド 指定する内容 データテーブルとは別 にシステムテーブルを 保存する 他のアプリケーションによってアクセスされる運用データ ベースを使用する場合は、アプリケーションサーバのシステ ムテーブルをこのデータベースに追加することはお勧めでき ません。 システムテーブルは、アプリケーションサーバによって使用 されます。 このオプションを使用すると、アプリケーションサーバのシ ステムテーブルを別のデータベースに保存できます。このオ プションをオンにして[次へ]をクリックした場合、システ ムテーブルデータベースに名前を付けるように指示するパネ ルが表示されます ( このデータベースはすでに存在していな ければなりません )。 テーブルのサブセット のみを含める 追加するデータベースに使用しないテーブルが含まれている 場合があります。このオプションをオンにすると、サーバで 使用可能にするテーブルのサブセットを指定できます。 このオプションをオンにして[次へ]をクリックすると、リ ストボックスが 2 つあるパネルが表示されます。上のボック スでは、使用する各テーブルに手動で名前を付けることがで きます。下のボックスでは、テーブルのセットを示すパター ンを指定できます。たとえば、「cust」で開始するすべての テーブルを使用するには、「cust%」のように指定できます。 8 [完了]をクリックします。 データベースがサーバに追加されます。 アプリケーションサーバに付属しているドライバ セットを使用しない場合は、追加の情報を入力する必要があります。 別の会社のドライバセットの使用 データソース設定 63 次の表は、このパネルの各フィールドについて説明しています。 フィールド 指定する内容 JDBC ドライバ ( 読み込み専用 ) JDBC ドライバクラスの完全修飾名。 例: com.sybase.jdbc.SybDriver 注記 : すべての Java 名などのパッケージ名では、大文字と小文 字が区別されます。 JDBC の URL データベースに接続するためにドライバベンダによって定義さ れた URL 文字列。文字列には、パーセント記号 (%) で囲まれた 置換可能なパラメータ ( 例 : %HOST%) が含まれます。 例: jdbc:sybase:Tds:%HOST%:%PORT%/%DATABASE% これらのパラメータを、データベースに適切な値に置き換えます。 JDBC URL 属性 ドライバ接続をカスタマイズするために使用できる、ベンダに よって定義された追加の URL 属性。例 : cache=100 このフィールドは、DB2 データベースに対しては空白のままにし ます。 ! 詳細については、JDBC ドライバのマニュアルを参照してください。 結果 データベースを追加すると、 サーバによってエントリが SilverMaster データベー スに追加され、アプリケーションサーバのシステムテーブルもデータベースに追加さ れます ( これは、システムテーブルを個別に維持することを指定しない場合です。こ のように指定した場合は、システムテーブルが他のデータベースに追加されます )。 サーバへのデータベースの追加は、コマン ドラインから、または AddDatabase SilverCmd を使用してバッチファイルから実行でき ます。 コマンドラインからのデータベースの追加 J2EEアプリケーションを展開する準備が整ったら、 『機 能ガイド』の J2EE アーカイブ展開に関する章を参照してください。 J2EE アプリケーションの展開 追加されたデータベースの移動 アプリケーションサーバに追加したデータベースを移動した場合は、そのデータベー スをサーバから削除して、サーバに再度追加します。 64 " ODBC を使用している場合は、データベースの ODBC 設定を更新しなければなら ない可能性があります。 " JDBC ドライバ (jConnect など ) を使用している場合は、 データベースをサーバに追 加し直すときに JDBC URL を更新する必要があります。 exteNd Application Server 管理ガイド サーバからの展開データベースの削除 データベースとアプリケーションサーバの間の接続を維持する必要がない場合は、 データベースをサーバから削除できます。 # サーバからデータベースを削除する 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [データベース]を選択します。 6 [データベース設定]フィールドでデータベースを選択します。 7 [データベースの削除]をクリックします。 8 [OK]をクリックします。 サーバからデータベース接続を削除すると、アプリケーションサーバによって エントリが SilverMaster から削除されますが、データベース自体は完全にそのままの 状態で残されます ( アプリケーションサーバのシステムテーブルも含まれます )。 結果 サーバからのデータベースの削除は、コマ ンドラインから、または RemoveDatabase SilverCmd を使用してバッチファイルから実 行できます。 コマンドラインからのデータベースの削除 データベースの設定 サーバに追加されているデータベースを設定するには、SMC を使用します。たとえ ば、SMC を使用すると、データベース情報を同期化したり、アイドル接続を削除した りすることができます。異なるタイプの操作に対して個別のポートを設定した場合は、 管理ポートを使用してデータベース設定を更新する必要があります。 # データベースを設定する 1 SMC を開始します。 注記 : 異なるタイプのユーザや操作に対して個別のポートを設定した場合、SMC を開始 するには「管理」ポートを指定する必要があります。 2 ツールバーから[環境設定]アイコンを選択します。 3 [データベース]を選択します。 データソース設定 65 4 ドロップダウンリストからデータベース名を選択します。 5 データベースに対する情報を入力します ( 次を参照 )。 フィールド 説明 ユーザ名および パスワード データベースへのデータベースユーザ接続に対してアプリケー ションサーバで使用できる、ユーザ名とパスワードのペア。 ユーザ名はデータベースで認識され、適切な読み込み / 書き込み 権が与えられている必要があります。 最小接続 このデータベースに対するサーバ接続の最小数。 最大接続数 このデータベースに対するサーバ接続の最大数。 データベースの削除 選択したデータベースをサーバから削除するボタン。65 ページの 「サーバからの展開データベースの削除」を参照してください。 データベース スキーマの同期化 アプリケーションサーバのデータベースイメージをデータベー ス構造への変更に同期させることができるようにするボタン。 アプリケーションサーバでは、データベーススキーマの独自の イメージを維持します。データベースの構造を変更した場合は、 このボタンをクリックして、サーバのデータベースイメージを 更新します。 ! このオプションの詳細については、67 ページの「データ ベーススキーマの同期化」を参照してください。 アイドル接続の 削除 現在使用されていないデータベース接続を解放するボタン。 サーバによって接続がさらに必要とされる場合は、接続プール が、定義した最大接続数の範囲内で、必要に応じて自動的に再拡 張されます。アイドル接続を削除すると、サーバを再起動せず に、他のアプリケーションで使用するデータベース接続を ( 少な くとも一時的に ) いくつか解放できます。 ! 恒久的なプールサイズの変更の詳細については、 254ペー ジの「最大および最小データベース接続数の設定」を参照してく ださい。 66 exteNd Application Server 管理ガイド フィールド 説明 システムデータ ベースプロパティ 選択したデータベースによってそのアプリケーションサーバシ ステムテーブルが別のデータベースに保存される場合 ( このプロ パティは、データベースをサーバに追加するときに指定します ) にのみ表示されるボタン。 選択したデータベースに対するアプリケーションサーバのシス テムテーブルを保存するデータベースに関する情報を表示する には、このボタンをクリックします。 ! システムテーブルを個別に保存する詳細については、『機 能ガイド』の「SilverCmd リファレンス」の「AddDatabase」を 参照してください。 データベーススキーマの同期化 サーバでキャッシュされたテーブル、ビュー、および キーの定義が現在のデータベース構造に一致するように、サーバメタデータと現在の データベーススキーマを同期化しなければならない場合があります。この処理は、デ フォルトでは確認されません。強制的に確認するには、-dbcheck コマンドラインオプ ションを使用します。 注記 : また、-noexitondbcheck コマンドラインオプションを使用すると、サーバの起動中に エラーを表示できます。エラーが発生した場合は、データベースを同期化する必要があります。 詳細については、298 ページの「同期化されていないデータベース」を参照してください。 データベースを同期化する要求が受信されると、サーバでは次の操作が実行されます。 " 現在のデータベーススキーマを生成する " 生成されたスキーマをキャッシュされたスキーマに同期させる " 成功した場合は応答をクライアントに返し、失敗した場合は例外を送信する 接続プールの設定 リレーショナルデータベースまたは EIS システムの企業データは、接続プールを介 してアプリケーションサーバで使用できるようにします。この節では、接続プール を作成して維持する方法について説明します。この節には、次のトピックが含まれ ています。 " 接続プールの準備 " JDBC 接続プールの追加 " コネクタ接続プールの追加 " 接続プールの削除 " 接続プールの維持 " 接続プールの考慮事項 データソース設定 67 接続プールの準備 接続プールを作成する前に、次の表で概説されている管理タスクを実行しておく必要 があります。 データソースタイプ 管理タスク リレーショナル データベース JDBC ドライバをサーバにインストールする アプリケーションで使用するユーザ ID とパスワードを作成する 「JDBC 接続プール」を作成する EIS RAR (Resource Adapter Archive) をサーバに展開する アプリケーションで使用するユーザ ID とパスワードを作成する 「コネクタ接続プール」を作成する アプリケーションサーバでは、接続プールを使用して、JDBC からリレーショナルデー タベースの企業データへ、あるいはサーバに展開された RAR から 1 つまたは複数の EIS の企業データへアクセスできます。 JDBC 接続プールの追加 この節では、SMC の JDBC 接続プールの追加ウィザードを使用して JDBC 接続プール を追加する方法について説明します。JDBC 接続プールを作成する場合は、JDBC ドラ イバがシステムにインストールされている必要があります(これによって、アプリケー ションサーバで JDBC 1.0 および JDBC 2.0 ドライバが両方ともサポートされます )。 この節は、次のトピックで構成されています。 " パネルの順序 " JDBC 接続プールの追加ウィザードの開始 " パネルの参照 JDBC 接続はコマンドラインから追加することもできま す。77 ページの「コマンドラインからの接続プールの追加」を参照してください。 コマンドラインからの追加 68 exteNd Application Server 管理ガイド パネルの順序 ウィザードパネルと、これらのパネルが表示される順序は、データベースへのアクセ スに使用する JDBC ドライバのタイプによって異なります。次の表は、ウィザードで 作成する JDBC 接続プールのタイプに基づいたウィザードでの手順を示します。各パ ネルで入力しなければならない値の詳細については、リンクをクリックしてください。 作成する JDBC 接続プールの対象 実行する操作 exteNd * に対して事前設定されている JDBC ドライバ 1 JDBC 接続プールの追加ウィザードの開始 2 事前設定済みドライバまたはユーザ定義ドラ イバの指定 3 プール名の指定 4 JDBC ドライバと URL の指定 5 データソース設定プロパティの指定 6 接続およびタイムアウトのプロパティの指定 JDBC 1.0 ユーザ定義のドライバ 1 JDBC 接続プールの追加ウィザードの開始 2 事前設定済みドライバまたはユーザ定義ドラ イバの指定 3 JDBC バージョンの指定 4 プール名の指定 5 JDBC ドライバと URL の指定 6 データソース設定プロパティの指定 7 接続およびタイムアウトのプロパティの指定 JDBC 2.0 ユーザ定義のドライバ 1 JDBC 接続プールの追加ウィザードの開始 2 事前設定済みドライバまたはユーザ定義ドラ イバの指定 3 JDBC バージョンの指定 4 データソース情報の指定 5 プール名の指定 6 データソース設定プロパティの指定 7 接続およびタイムアウトのプロパティの指定 * 事前設定済みのドライバとは、さらに高レベルのサービスを提供するアプリ ケーションサーバ用のドライバです。事前設定済みのドライバの場合、アプリ ケーションサーバでは、ドライバによって返されたエラーコードを処理する方 法を認識しており、ドライバのバグを対処することもできます。 JDBC 接続プールの追加ウィザードの開始 # JDBC 接続プールの追加 l ウィザードを開始する 1 サーバを起動します。 データソース設定 69 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [プール]を選択します。 6 [JDBC]を選択して、[追加]をクリックします。 ! 操作を続行する方法の詳細については、69 ページの「パネルの順序」を参照し てください。 パネルの参照 この節では、次のタスクの参照情報について説明します。 70 " 事前設定済みドライバまたはユーザ定義ドライバの指定 " プール名の指定 " JDBC ドライバと URL の指定 " データソース設定プロパティの指定 " 接続およびタイムアウトのプロパティの指定 " JDBC バージョンの指定 " データソース情報の指定 exteNd Application Server 管理ガイド 事前設定済みドライバまたはユーザ定義ドライバの指定 このパネルは、事前設定済みドライバまたはユーザ定義ドライバのどちらを使用して いるのかを指定するために使用されます。 1 次のとおりにパネルを入力します。 フィールド 指定する内容 事前に設定済みの exteNd 設定 使用している JDBC ドライバが[データベースプラットフォー ム]および[ドライバセット]のドロップダウンに一覧表示さ れている場合はこのオプションをオンにします。 ユーザ指定のドライバ 事前に設定されていない JDBC の接続プールを作成する場合は このオプションをオンにします。 2 [ユーザ指定のドライバ]をオンにした場合は、[次へ]をクリックします。 3 事前設定済みの exteNd 設定を選択した場合、残りのフィールドを次のように入力 します。 フィールド 指定する内容 データベースプラット フォーム サポートされているデータベースプラットフォームのリスト から選択します。 ドライバセット リストからドライバセットを選択します ( ドライバセットは、 JDBC ドライバ、または場合によっては JDBC ドライバとア プリケーションサーバ固有のファイルの組み合わせです )。 一覧表示されているドライバセットは、選択したデータベー スプラットフォームに固有です。データベースタイプに対し て推奨されるドライバセットは、デフォルトで表示されます。 データソース設定 71 フィールド 指定する内容 LDS キー 関係のあるデータベースプラットフォームとドライバセット に関連付けられている実際のキーを表示する、読み込み専用 フィールド。 バージョン 選択したドライバのサポートされている JDBC バージョンを表 示する、読み込み専用フィールド。 4 [次へ]をクリックします。 プール名の指定 このパネルは、ターゲットデータベースへの接続にサーバで使用するプールの名前お よびユーザ名とパスワードの組み合わせを指定するために使用されます。 1 次のとおりにパネルを入力します。 フィールド 指定する内容 プール名 接続プールの名前を入力します。これは、サーバ固有の名前でな ければなりません。この名前は、データベースに接続するために J2EE リソース参照によって使用されます。 プール名は 32 文字に制限されています。 [ユ ー ザ 名]お よ び [パスワード] 72 exteNd Application Server 管理ガイド ネイティブデータベースへのユーザ接続に対してサーバで使用 できる、ユーザ名とパスワードのペアを入力します。これらの 値を null にすることはできません。このユーザ名はネイティブ データベースで認識され、適切な読み込み / 書き込み権が与えら れている必要があります。 フィールド 指定する内容 グローバルトランザ クション (XA) オンになっている場合 ( デフォルト )、このプールによって返さ れた接続はグローバルトランザクションに登録されます。一般 的に、J2EE アプリケーションでは、トランザクション接続プー ルを使用する必要があります。 非トランザクション接続プールによって返された接続は、要求 時にアクティブであっても、グロバールトランザクションには 登録されません。 接続プールの最適化 このオプションをオンにすると、トランザクションで共有され る接続をさらに効果的に処理できます。 このオプションは、XA 標準をサポートしている JDBC ドライバ を表すプールを対象としており、トランザクションへの再登録 からリソースをアクティブに登録解除する処理を JDBC ドライ バで適切に実行できる場合にのみ適用されます。 2 [次へ]をクリックします。 JDBC ドライバと URL の指定 このパネルでは、入力する JDBC ドライバに関する情報を指定できます。 1 次のとおりにパネルを入力します。 フィールド 指定する内容 JDBC ドライバ ( 読み込み専用 ) JDBC ドライバクラスの完全修飾名を表示します。 次に例を示します。 com.sybase.jdbc.SybDriver データソース設定 73 フィールド 指定する内容 JDBC URL データベースに接続するためにドライバベンダによって定義され た URL 文字列。文字列には、パーセント記号 (%) で囲まれた置 換可能なパラメータ ( 例 : %HOST%) が含まれます。例は次のと おりです。 jdbc:sybase:Tds:%HOST%:%PORT%/%DATABASE% これらのパラメータは、データベースに適した値に置き換えます。 JDBC URL 属性 ドライバ接続をカスタマイズするために使用できる、ベンダに よって定義された追加の URL 属性。例は次のとおりです。 cache=100 2 [次へ]をクリックします。 データソース設定プロパティの指定 このパネルでは、JDBC ドライバでサポートできる接続プールに対して追加のプロパ ティを指定できます。 1 プロパティを入力するには、[追加]を選択し、次の表を使用してパネルを完了 します。 フィールド 指定する内容 プロパティ名 ManagedConnectionFactory プロパティの名前 プロパティ値 ManagedConnectionFactory プロパティの値 注記 : これらの値は、使用するドライバによって決定されます。これらのプロパティの詳細に ついては、ベンダのマニュアルを参照してください。 2 [次へ]をクリックします。 74 exteNd Application Server 管理ガイド 接続およびタイムアウトのプロパティの指定 このパネルでは、接続プールの接続値とタイムアウト値を指定できます。 1 次のとおりにパネルを入力します。 フィールド 指定する内容 最小接続数 最小接続数。プールマネージャは、この最小接続数を維持しようと します ( この制限は厳しくありません )。 最大接続数 プールで許可される最大接続数。デフォルトは 10 です。制限無 しのプールを作成するには「- 1」と指定します。 アイドル接続 タイムアウト ( 秒 ) アプリケーションサーバによって閉じられる前に、接続 ( 接続 プール内 ) がアイドル状態になる時間 ( 秒単位 )。デフォルトは 60 秒です。 「- 1」と設定すると、アイドルタイムアウトが無効に なり、アイドル接続は閉じられなくなります。 接続待機 タイムアウト ( 秒 ) プールからの接続をアプリケーションコンポーネントで待機す る時間 ( 秒単位 )。デフォルトは 30 秒です。 「- 1」と設定すると、 クライアントは接続が使用可能になるまで待機しなければなり ません。 ログレベル レベルは次のとおりです。 0 - ログ機能がオフになっている 1 - 基本的な接続プール操作をログ記録する 2 - レベル 1 + より詳細な操作とエラーメッセージ 3 - レベル 2 + JDBC ドライバまたはコネクタリソースアダプタ によって生成された例外スタックトレースとトレース出力 メッセージは、サーバコンソールに書き込まれます。 データソース設定 75 JDBC バージョンの指定 このパネルでは、JDBC ドライバのバージョンを指定できます。 1 次のとおりにパネルを入力します。 フィールド 指定する内容 JDBC 1.0 JDBC ドライバで JDBC 1.0 をサポートしている場合にこのオプション をオンにします。 JDBC 2.0 JDBC ドライバで JDBC 2.0 をサポートしている場合にこのオプション をオンにします。 2 [次へ]をクリックします。 データソース情報の指定 このパネルでは、データソースクラス名または接続プールクラス名、あるいはその両 方を JDBC 2.0 ドライバに対して指定できます。 76 exteNd Application Server 管理ガイド 1 次の表を使用してパネルを完了します ( 少なくとも 1 つのフィールドに対して値 を入力する必要があります )。 フィールド 指定する内容 XADataSource クラス名 XADataSource クラスの完全修飾名を指定します。 ConnectionPoolDataSource クラス名 ConnectionPoolDataSourceクラスの完全修飾名を指 定します。 ConnectionPoolDataSource クラス名と XADataSource クラス名の両方を指定した場 合、1 つだけが使用されます。使用されるクラス名は、パネルで指定した設定プ ロパティ全体によって異なります (74 ページの「データソース設定プロパティの 指定」を参照 )。設定プロパティは、その後、データソースクラスのインスタン スに適用されます。 2 [次へ]をクリックします。 行われること 接続プールを追加すると、アプリケーションサーバでは、指定したユーザ名のデータ ベースへの接続を作成し、指定した接続の最小数をあらかじめ割り当てます。 コマンドラインからの接続プールの追加 接続プールの追加は、コマンドラインから、または AddCP SilverCmd を使用してバッ チファイルから実行できます。 コネクタ接続プールの追加 コネクタ接続プールを作成する場合、最初にサーバで RAR を展開して、有効にして おく必要があります。RAR の展開の詳細については、 『機能ガイド』の「J2EE アーカ イブ展開」を参照してください。 この節では、SMC のコネクタ接続プールの追加ウィザードを使用して接続プールを追 加する方法について説明します。 # コネクタ接続プールを追加する 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 データソース設定 77 5 [プール]を選択します。 6 [コネクタ]を選択して、[追加]をクリックします。ターゲットデータベースへ の接続にサーバで使用するプールの名前およびユーザ名とパスワードの組み合わ せを指定するように指示されます。 78 exteNd Application Server 管理ガイド 7 接続プール情報を次のとおりに指定します。 フィールド 指定する内容 プール名 接続プールの名前を入力します。この名前は、サーバで固有で なければなりません。これは、リソース参照を含む J2EE アプ リケーションによってデータソースへの接続に使用される名 前です。 32 文字に制限されています。 リソースアダプタ名 RAR の展開に使用された名前を入力します。展開済みの RAR の名前がわからない場合は、SMC の[リソースアダプタ]パ ネル ( ツールバーの[展開]アイコンを使用するとアクセス可 能 ) を参照してください。 [ユーザ名]および [パスワード] EIS へのユーザ接続に対してアプリケーションサーバで使用で きる、ユーザ名とパスワードのペアを入力します。これらの値 を null にすることはできません。このユーザ名は EIS で認識さ れており、適切な読み込み / 書き込み権が必要です。 グローバルトランザ クション (XA) オンになっている場合 ( デフォルト )、このプールによって返 された接続はグローバルトランザクションに登録されます。 一般的に、J2EE アプリケーションでは、トランザクション接 続プールを使用する必要があります。 非トランザクション接続プールによって返された接続は、要求 時にアクティブであっても、グロバールトランザクションには 登録されません。 接続が XA トランザクションに登録され (XA が true)、使用す るドライバが LDS キーによって識別されるように指定すると、 サーバでは、XA のサポートに最適な接続ファクトリのタイプ が決定されます。 XADataSource の実装を提供する 2.0 ドライバに対しては、 XADataSource が最適なオプションです。 XADataSource は JavaBean で、単一の URL ではなくプロパ ティのセットが必要とされます。このため、SMC では[JDBC の URL]フィールドが有効にならず、XADataSource の設定プ ロパティのセットを入力するよう代わりに指示されます。 接続プールの最適化 このオプションをオンにすると、トランザクションで共有される 接続をさらに効果的に処理できます。 このオプションは、次をサポートするコネクタを表すプールに のみ適用されます。 " XA 標準 " トランザクションへの再登録からのリソースの効率的な登 録解除 データソース設定 79 8 [次へ]をクリックします。 プールによってサポートされるベンダ固有のプロパティを入力するように指示さ れます。 9 プロパティを入力するには、[追加]をクリックします。 10 次のとおりにパネルを入力します。 フィールド 指定する内容 プロパティ名 ManagedConnectionFactory プロパティの名前 プロパティの値 ManagedConnectionFactory プロパティの値 プール接続および接続タイムアウトの値についての情報を入力するように指示さ れます。 80 exteNd Application Server 管理ガイド 11 次のとおりにパネルを入力します。 フィールド 指定する内容 最小接続 最小接続数。プールマネージャは、この最小トランザクション数 を維持しようとします ( この制限は厳しくありません )。 最大接続数 プールで許可される最大接続数。デフォルトは 10 です。制限無 しのプールを作成するには「-1」と指定します。 アイドル接続 タイムアウト ( 秒 ) アプリケーションサーバによって閉じられる前に、接続 ( 接続 プール内 ) がアイドル状態になる時間 ( 秒単位 )。デフォルトは 60 秒です。このフィールドを「-1」と設定すると、アイドルタイ ムアウトが無効になり、アイドル接続は閉じられなくなります。 接続待機 タイムアウト ( 秒 ) プールからの接続をアプリケーションコンポーネントで待機す る時間 ( 秒単位 )。デフォルトは 30 秒です。 「-1」に設定すると、 クライアントは、接続が使用できるようになるまで待機しなけ ればなりません。 ログレベル レベルは次のとおりです。 0 - ログ機能がオフになっている 1 - 基本的な接続プール操作をログ記録する 2 - レベル 1 + より詳細な操作とエラーメッセージ 3 - レベル 2 + JDBC ドライバまたはコネクタリソースアダプタに よって生成された例外スタックトレースとトレース出力 メッセージは、サーバコンソールに書き込まれます。 12 [完了]をクリックします。 行われること 接続プールを追加すると、アプリケーションサーバでは、指定したユー ザ名の EIS への接続を作成し、指定した接続の最小数をあらかじめ割り当てます。 接続プールを追加しても、サーバを再起動する必要はありません。サーバの再起動が 必要となるのは、接続プールを削除して、同じ名前の ( 同じタイプの ) プールを追加 した場合です。元の接続プール ( 削除されたもの ) が実行中のアプリケーションによっ て使用されていた場合、アクティブなコンポーネント ( プール内の EJB オブジェクト など ) の 1 つによって java.sql.DataSource オブジェクトへの参照がキャッシュされてい る可能性があります。この参照では、無効な接続プールを参照していることがありま す。サーバを再起動すると、キャッシュされた参照はクリアされます。 コマンドラインからの接続プールの追加 接続プールの追加は、コマンドラインから、 または AddCP SilverCmd を使用してバッチファイルから実行できます。 データソース設定 81 接続プールの削除 データベースまたは EIS とアプリケーションサーバの間の接続を維持する必要がない 場合は、接続プールをサーバから削除できます。 # サーバから接続プールを削除する 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [プール]を選択します。 6 リストから接続プールを選択します。 7 [削除]をクリックします。 8 [OK]をクリックします。 コマンドラインからの接続プールの削除 サーバからのデータベースの削除は、コマン ドラインから、または RemoveCP SilverCmd を使用してバッチファイルから実行でき ます。 接続プールの維持 接続プールのプロパティのサブセットを編集したり、プールをシャットダウンしたり、 プールを再起動したりできます。 # 接続プールのプロパティを編集する 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [プール]を選択します。 6 リストから接続プールを選択します。 7 [編集]をクリックします。 接続プールの編集ウィザードが表示されます。タイプに応じて、接続プールの異 なるプロパティを変更できます。JDBC 接続プールのパネルの詳細については 70 ページの「パネルの参照」、コネクタ接続プールのパネルの詳細については 77 ペー ジの「コネクタ接続プールの追加」を参照してください。 82 exteNd Application Server 管理ガイド 8 [次へ]をクリックして接続プールの編集ウィザードを移動し、プロパティを変更 します。 9 [完了]をクリックして、ウィザードを完了します。変更を有効にするために接続 プールやサーバを再起動する必要はありません。 接続プールのシャットダウン 接続プールは、シャットダウンすると、サービスクライアント接続要求に対して使用 できなくなります。 接続プールは、基盤となるデータベースや EIS を一時的にオフラインにする場合に シャットダウンすることが推奨されます。これは、シャットダウンすることによって、 プールではユーザ接続要求が処理されないように保証できるためです。 接続プールをシャットダウンすると、すべてのデータベース接続が閉じられ、接続に 関連付けられているリソースもすべて解放されます。接続プールを再び使用できるよ うにするには、[再起動]( 次の説明を参照 ) を使用します。サーバを再起動しても、 シャットダウンした接続プールは再起動されません。 # プールをシャットダウンする 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [プール]を選択します。 6 リストから接続プールを選択します。 7 [シャットダウン]をクリックします。 この操作を確認するように指示されます。 8 [はい]をクリックして、プールをシャットダウンします。 シャットダウンしたプールの名前は、斜体で表示されます。 プール名が太字で表示されている場合、そのプールは無効で す。サーバの初期化時に接続プールを起動できなかった場合、このプールは無効にな ることがあります。このような状況は、データベースがダウンしている場合や、何ら かのネットワーク問題が発生して接続を作成できなかった場合に見られる可能性があ ります。無効なプールを削除するには、次の「接続プールの削除」を参照してください。 無効な接続プールの認識 データソース設定 83 接続プールの再起動 SMC の[シャットダウン]ボタンを使用して停止された接続プールは、再起動するこ とができます。 プールは、シャットダウンされる前にそのプールによって使用されていた設定プロパティ ( 最小 / 最大接続数やタイムアウトなど ) を使用して再起動されます。 # プールを再起動する 1 サーバを起動します。 2 SMC を開始します。 3 SMC の左側のペインでサーバを選択します。サーバが一覧表示されていない場合 は、SMC に追加します (125 ページの「アプリケーションサーバのリモート管理」 を参照 )。 4 ツールバーから[環境設定]アイコンを選択します。 5 [プール]を選択します。 6 リストから接続プールを選択します。 7 [再起動]をクリックします。 8 [はい]をクリックします。 接続プールの考慮事項 この節では、接続プールの作成と管理に関連するその他の考慮事項について説明します。 この節には次のトピックが含まれています。 " アプリケーションサーバによって接続が確保される方法の指定 " JTA/XA をサポートしている JDBC ドライバおよびコネクタの使用 " グローバルトランザクションに登録するように設定された接続プールの使用 " コンテナ管理のサインオンの使用 アプリケーションサーバによって接続が確保される方法の指定 アプリケーションサーバでは、アプリケーションコンポーネントで使用される接続を、 コンポーネントのタイプ ( ステートフルまたはステートレス ) によって異なる方法で 確保します。 84 " 「ステートレス」コンポーネントに対しては、サーブレットやステートレスセッ ション Bean の場合と同様に、メソッド呼び出しの後で接続がアプリケーション サーバによって確保されます。 " 「ステートフル」コンポーネントに対しては、ステートフルセッション Bean の場 合と同様に、クライアントで Bean がアクティブに使用されている限り、接続は アプリケーションサーバによって確保されません。 exteNd Application Server 管理ガイド ステートレスコンポーネントによって開かれる接続がアプリケーションサーバで確保 される方法は、httpd.props ファイルで http-server.com.sssw.srv.invctx.releaseRes プロパティ を使用することによって設定できます。このプロパティには、次の値があります。 値 説明 True ( デフォルト ) アプリケーションサーバでは、サーブレットまたはステートレス セッション Bean のサーバによる各呼び出しの後で、自動的に接続プールへの接 続を返します。 これにより、アプリケーションによって正しく閉じられていない接続がアプリ ケーションで確保され、接続プールで使用できる接続がすべて使用されていると いう状況を防ぐことができます。 False 接続は、サーブレットまたはステートレスセッション Bean の各呼び出しの後で、 自動的に接続プールに返されません。 JTA/XA をサポートしている JDBC ドライバおよびコネクタの使用 トランザクション処理を実行するアプリケーションやコンポーネントでは特に、 JTA/XA サポートを提供している JDBC ドライバおよびリソースアダプタを使用する 必要があります。 JTA/XA プロトコルをサポートしない JDBC ドライバや、ローカルトランザクション のみをサポートするコネクタリソースアダプタに対して接続プールを作成する場合、 アプリケーションサーバでは、これらのプールによって作成された接続を有効にして グローバルトランザクションに登録します ( ただし、トランザクションに登録できる 接続は 1 つだけです )。デフォルトでは、トランザクションの範囲内で取得された接 続の共有がアプリケーションサーバによって試行されます ( 展開記述子によって指定 されていない限り )。これは、次のことを意味しています。 " コンポーネントが共有されていない複数の接続をプールから取得しようとする と、プールマネージャによって、2 回目の接続要求が行われたときに例外がスロー されます。 " 異なるセキュリティ資格情報 ( ユーザ名やパスワードなど ) を使用して、同じトラ ンザクション内の 1 つまたは複数のコンポーネントがプールから 2 つの接続を取 得しようとすると、接続プールによって、2 回目の要求が行われたときに例外が スローされます。 これらのタイプの接続を使用して実行された作業は、復元できません。 グローバルトランザクションに登録するように設定された接続プールの使用 JDBC ベースおよびコネクタベースの接続プールは、デフォルトにより、グローバル トランザクションに接続を登録するように設定されます。次のようなトランザクショ ンの場合は、グローバルトランザクションに接続が登録されないように接続プールを 作成できます。 " 接続要求が行われた時点でアクティブである データソース設定 85 " UserTransaction インタフェースを介して開始された J2EE アプリケーションまたはスタンドアロンのコンポーネントで、このような方法で 設定された接続プールが使用されないようにしてください。アプリケーションまたは コンポーネントのトランザクションセマンティックが違反されます。 コンテナ管理のサインオンの使用 可能な場合は、 「コンテナ」管理のサインオンを使用してください。 「コンポーネント」 管理のサインオンを使用するアプリケーションは、移植性と効率性に欠けます。 86 exteNd Application Server 管理ガイド II サーバの管理 パート II このパートでは、Novell exteNd Application Server を管理するために実行するタスク について説明します。 • • • • • • • • • • 第 5 章 「サーバの実行」 第 6 章 「ユーザおよびグループのセットアップ」 第 7 章 「サーバの保守」 第 8 章 「Web サーバ統合モジュールの使用」 第 9 章 「セキュリティの設定」 第 10 章 「セキュリティの使用」 第 11 章 「サーバの調整」 第 12 章 「クラスタの管理」 第 13 章 「サーバ管理 API の使用」 第 14 章 「トラブルシューティング」 5 サーバの実行 第5章 この章では、Novell exteNd Application Server を実行する方法について説明します。 この章は、次の項目の節で構成されます。 " アプリケーションサーバの起動 " アプリケーションサーバのシャットダウン " アプリケーションサーバの再起動 " サービスとして実行されるプロセスの維持 " 個別のポートの設定 " 一般的なサーバのプロパティの指定 " サーバのログ機能の使用 " ORB 設定の指定 " 1 つのホストでの複数のサーバの実行 " 文字セットエンコードの指定 " JMS サーバの実行 アプリケーションサーバの起動 この節では、アプリケーションサーバを手動で起動するためのプラットフォーム固有 の情報について説明します。 注記 : アプリケーションサーバは、Windows ではサービスとして、また UNIX ではデーモンと して、バックグラウンドで実行することもできます。詳細については、 「Novell exteNd のインス トール」を参照してください。 89 この節は、次のトピックで構成されています。 " アプリケーションサーバの起動 " 起動オプションの使用 " 使用する JVM の指定 " 特定の IP アドレスまたはホスト名でのサーバの起動 アプリケーションサーバの起動 # Windows でアプリケーションサーバを起動する " 次のいずれか 1 つを実行します。 " " [スタート]>[プログラム]>[Novell exteNd n.n]>[AppServer]の順に選 択し、[Application Server]を選択します。 SilverServer コマンドを 1 つまたは複数の起動オプションとともに発行して、 アプリケーションサーバを DOS コマンドラインから実行します。 ! 詳細については、次の「起動オプションの使用」および 94 ページの「使用する JVM の指定」を参照してください。 # UNIX または Linux でアプリケーションサーバを起動する 1 コマンドラインから、サーバの \bin ディレクトリに変更します。 2 「./SilverServer」と起動オプションを入力します。使用可能なオプションのリスト を出力するには、次を入力します。 ./SilverServer -? ! 詳細については、次の「起動オプションの使用」および 94 ページの「使用する JVM の指定」を参照してください。 # NetWare でアプリケーションサーバを起動する 1 システムコンソールから、「silverserver」と起動オプションを入力します。使用 可能なオプションのリストを出力するには、次を入力します。 silverserver -? または silverserver -help オプションを表示するには、ロガー画面に移動します。 2 <Ctrl>+<Esc> キーを押します。アプリケーションサーバが、exteNd Application Server としてメニューに表示されます。 ! 詳細については、次の「起動オプションの使用」および 94 ページの「使用する JVM の指定」を参照してください。 90 exteNd Application Server 管理ガイド 起動オプションの使用 コマンドラインに入力できる起動オプションには、次の 2 種類があります。 起動オプションのタイプ 指定方法 JVM (Java 仮想マシン ) に直接渡されるオプション、または JVM を起動するために SilverServer 実行可能ファイルに よって処理されるオプション プラス (+) 記号の使用 サーバを起動するクラスに渡される、アプリケーション サーバ固有のオプション マイナス (-) 記号の使用 サーバの動作 JVM に対してプラス (+) 記号で指定されたオプションを渡すと、アプリケーションサーバ では、JVM によって処理されるために、プラスをマイナスに変更します。たとえば、 次のコマンドラインを指定したとします。 SilverServer +verbose -dbcheck これに対応するコマンドラインは、次のようになります。 java -verbose ServerStartupClass -dbcheck + オプションの表示 JVM に対して使用可能なオプションのリストを表示するには、次のコマンドを入力し ます。 コマンド 説明 java -? 標準のオプションを一覧表示します。 java -X 標準ではないオプションを一覧表示します。これらのオプションは、予告なし に変更される可能性があります。 注記 : アプリケーションサーバは、次の -Djava.class.path オプションを適切な値とともにコ マンドラインに自動的に追加します。このオプションは、コマンドラインで指定した該当オプ ションを上書きします。 オプションの表 サーバ起動オプションは、次のとおりです。 サーバ起動オプション 説明 サポートされる Java オプション : +<x> ( これらのオプションは、JVM に渡されます。Java + オプションの詳細については、Java の マニュアルを参照してください )。 サーバの実行 91 サーバ起動オプション 説明 +client (Windows の場合のみ ) アプリケーションサーバ固有のオプ ション。 クライアント HotSpot JVM を使用します。 ! 詳細については、94 ページの「使用する JVM の指定」 を参照してください。 +cp:a path 指定した path をクラスパスに追加します。このオプション は、指定したパスをクラスパスに追加することによって、ア プリケーションで追加のJavaクラスが使用できるようにしま す。 注記 : Java クラスを拡張するには、AGCLASSPATH 環境変 数を使用します。詳細については、126 ペ ージ の 「AGCLASSPATH 変数の設定」を参照してください。 +cp:p path +debug 指定した path をクラスパスに追加します。このデバッグ オプションを使用する前に、必ず Novell exteNd テクニカル サポートに連絡してください。代わりに、AGCLASSPATH を使用して、追加の Java クラスをアプリケーションで使用 で き る よ う に し ま す。詳 細 に つ い て は、126 ペ ージ の 「AGCLASSPATH 変数の設定」を参照してください。 アプリケーションサーバ固有のオプション。 このオプションは、サーバ側オブジェクトをデバッグするた めに設定する必要があります。 +Djava.compiler=none アプリケーションサーバ固有のオプション。 このオプションは、サーバ側アプリケーションをプロファ イルするために設定する必要があります。 +profile アプリケーションサーバ固有のオプション。 このオプションは、サーバ側アプリケーションをプロファ イルするために設定する必要があります。 +server (Windows の場合のみ ) アプリケーションサーバ固有のオプ ション。 サーバ HotSpot JVM を使用します。 ! 詳細については、94 ページの「使用する JVM の指定」 を参照してください。 +verbose[:class | gc | jni | vmopts] JVM を詳細に実行します。 +verboseに対するアプリケーションサーバ固有のオプション は、次のとおりです。 +verbose:vmopts このオプションを指定すると、詳細モードで生成された他の すべての出力を含めることなく、起動オプションをコンソー ルに出力するようにサーバに対して通知されます。 +Xms size JVM内の初期 Javaヒープサイズ。デフォルト値は16MB です。 注記 : 次の行の上書き情報を参照してください。 92 exteNd Application Server 管理ガイド サーバ起動オプション 説明 +Xmx size JVM 内の最大 Java ヒープサイズ。 デフォルト値は 256MB です。 +Xms と +Xmx は上書きできます。たとえば、1 人のユーザ だけにサービスを提供する開発サーバを実行している場合 は、次のコマンドラインを使用して、小さなメモリフットプ リントでサーバを実行することができます。 SilverServer +Xms2m +Xmx16m これは、初期 Java ヒープサイズを 2MB に、最大ヒープサイ ズを 16MB に設定します。 アプリケーションサーバオプション :-<x> ( これらのオプションは、アプリケーションサーバに渡されます。) -? -? または -help SilverServer.exe の使用状況を出力します。 --a サーバ起動プロパティを出力した後、サーバを起動せずに終 了します。 このデバッグオプションは、サーバの起動に失敗した場合に 便利です。起動プロパティが何であるかを確認できます。 -host hostname サーバを実行しているホストの完全な名前。ホスト名解決 に関する問題がない限り必要ありません。 -jvmversion JVM に関する情報を出力します。 -minspan number -retry number とともに使用します ( 次の項目を参照 )。再試 行が行われなければならない期間 ( 分単位 )。SilverMonitor は、 すべての再試行が行われていなくても、minspan で指定され た分数後に動作しなくなります。デフォルト値は 10 です。 ! 詳細については、299 ページの「SilverMonitor の使用」 を参照してください。 -dbcheck サーバの起動時にデータベースの整合性をチェックします。 -noexitondbcheck データベースの整合性チェックに失敗した場合に終了しま せん。 このオプションは、データベースチェックに失敗した場合に 整合性をチェックし、SMC へのアクセスを許可するために使 用します。 -nomonitor SilverMonitor バックグラウンドプログラムなしで実行します。 このオプションは、サーバの起動に失敗した場合にサーバを デバッグするために便利です。このオプションが使用されな いと、サーバでは、起動を試行し続けます。 ! 詳細については、299 ページの「SilverMonitor の使用」 を参照してください。 注記 : -nomonitor を使用してサーバを起動した場合、SMC か ら ( または、API を使用して ) サーバを再起動することはでき ません。この場合、サーバをシャットダウンして、手動で再 起動する必要があります。 サーバの実行 93 サーバ起動オプション 説明 -p file 指定したファイルから起動プロパティを読み込みます。 デフォルトは、 サーバの\Resources\httpd.propsファイルです。 -retry number 動作しなくなる前に SilverMonitor でサーバの再起動または処 理 が 試行 さ れる 回 数。 デ フ ォル ト 値は 3 です。- minspan number ( 前の項目 ) を参照してください。 ! 詳細については、299 ページの「SilverMonitor の使用」 を参照してください。 -trace トレースをオンにします。トレース情報は、デフォルトまた は指定したログ出力にダンプされます。 使用する JVM の指定 アプリケーションサーバに付属の HotSpot JVM には、ほとんどのプラットフォーム用 に 2 つのバージョン、クライアントバージョンとサーババージョンが用意されていま す。この節では、サーバ側プロセス ( サーバ、キャッシュマネージャ、負荷マネー ジャ、およびディスパッチャ ) とクライアント (SilverJ2EEClient や SMC など ) でこれ らの JVM を使用する方法について説明します。 Windows の場合 Windows では、デフォルトにより、サーバ側プロセスとクライアントのすべてで HotSpot JVM のサーババージョンを使用します。 Windows でのこの動作を無効にするには、次の起動オプションを、JVM を起動するア プリケーションサーバの実行可能ファイルとともに使用します。 実行可能 ファイル 使用される JVM +server サーバ HotSpot JVM +client クライアント HotSpot JVM UNIX および Linux の場合 UNIX および Linux の場合、JVM の使用状況は異なります。デフォルトは次のとおり です。 プラットフォーム JVM の使用状況 Solaris および Linux サーバプロセスはサーバ HotSpot JVM を使用します。 クライアントはクライアント HotSpot JVM を使用します。 AIX 94 サーバプロセスとクライアントはクラシック JVM を使用します。 exteNd Application Server 管理ガイド プラットフォーム JVM の使用状況 HP-UX サーバプロセスとクライアントは HotSpot JVM を使用します (HP-UX の場合、HotSpot のバージョンは 1 つだけです )。 UNIX および Linux サーバ側プロセスでこの動作を無効にするには、 サーバの .agprofile ファイルを編集します。ケースステートメントを検索し、目的の JVM をポイントする ようにプラットフォームのネイティブ検索パス (LD_LIBRARY_PATH、SHLIB_PATH、 または LIBPATH) の定義を更新します。 NetWare の場合 NetWare は、デフォルトで、サーバ側プロセスとクライアントのすべてでクライアント HotSpot JVM を使用します。 # JVM を変更する 1 実行中の Java アプリケーションをすべて停止します。 2 次を入力して、JVM をシャットダウンします。 java -exit 3 サーバ JVM に変更するための方法を次から 1 つ選択します。 " " 「load java -server」と入力する JAVA_COMPILER 環境変数を次のように設定する env JAVA_COMPILER=server " JAVA_COMPILER を sys:\etc\java.cfg ファイルで次のように設定する JAVA_COMPILER=server 4 次を入力して、Java を再起動します。 load java.nlm 5 アプリケーションサーバを再起動します。 6 必要に応じて、他の Java アプリケーションを再起動します。 特定の IP アドレスまたはホスト名でのサーバの起動 http-server.com.sssw.srv.host プロパティを httpd.props ファイル ( サーバの \Resources ディレクトリにあります ) で設定して、特定の IP アドレスまたはホスト名で起動する ようにアプリケーションサーバに命令することができます。この機能は、複数のネッ トワークカードや複数の IP アドレスが存在する (「マルチホーム」) コンピュータで 特に役立ちます。これは、Windows および UNIX でも同様に機能します。 例: http-server.com.sssw.srv.host=192.101.1.10 サーバの実行 95 アプリケーションサーバのシャットダウン コンピュータを取り外したり、ソフトウェアパッチをインストールしなければならな い場合は、SMC の[停止]ボタンを使用して ( 次の手順を参照 )、常駐サーバまたは 選択したサーバをシャットダウンします。 注記 : 変更したプロパティを有効にするためにサーバを停止して再起動する場合は、[再起動] ボタンを使用します (97 ページの「アプリケーションサーバの再起動」を参照 )。 # サーバをシャットダウンする 1 SMC を開始します。 2 左側のパネルから、停止するサーバを選択します。 3 [停止]をクリックします。 次の確認メッセージが表示されます。 4 ( オプション ) シャットダウンまたは再起動される前にサーバを無効にする場合 は、 [最初にサーバを無効にする]をオンにします ( 詳細については、次の表を参 照してください )。 5 [OK]を選択します。 次に行われる内容は、 [最初にサーバを無効にする]をオンにしたかどうかによって異 なります。 状況 [最初にサーバを無効にする]が オフの場合 96 exteNd Application Server 管理ガイド 結果 サーバはただちにシャットダウンまたは再起動されます。 状況 結果 [最初にサーバを無効にする]が オンの場合 新しいクライアントセッションを確立することはでき ませんが、既存のクライアントセッションは通常どおり に動作し続けます。クラスタでは、新しいセッションが サーバに送信されないように、無効にしたサーバが負荷 マネージャから登録解除されます ( サードパーティ製の 負荷マネージャを使用している場合、サーバが無効に なったことを通知する方法はありません )。 最後のクライアントセッションが閉じられると ( 通常は、 最後のクライアント接続が閉じられてから 5 分後に )、 サーバは無効な状態であることが宣言され、シャットダ ウンまたは再起動されます。 注記 : SMC はサーバへのクライアント接続であるため、 サーバをシャットダウンする前に SMC を終了するか、 または SMC からサーバを削除する必要があります。 アプリケーションサーバの再起動 SMC を使用して行ったサーバのプロパティ変更を更新するためにサーバを停止して 再起動するには、[再起動]ボタンの使用をお勧めします。 サーバは、SilverMonitor ( デフォルト ) で起動された場合にのみ再起動できます。詳細 については、299 ページの「SilverMonitor の使用」を参照してください。 # アプリケーションサーバを再起動する 1 SMC を開始します。 2 左側のパネルから、アプリケーションサーバを選択します。 3 [再起動]をクリックします。再起動を確認するように指示されます。 4 ( オプション ) 再起動される前にサーバを無効にする場合は、[最初にサーバを無 効にする]をオンにします ( 詳細については、次の表を参照してください )。 5 [OK]を選択します。 次に行われる内容は、 [最初にサーバを無効にする]をオンにしたかどうかによっ て異なります。 状況 [最初にサーバを無効にする] がオフの場合 結果 サーバはただちに再起動されます。 サーバの実行 97 状況 [最初にサーバを無効にする] がオンの場合 結果 新しいクライアントセッションを確立することはできま せんが、既存のクライアントセッションは通常どおりに動 作し続けます。クラスタでは、新しいセッションがサーバ に送信されないように、再起動したサーバが負荷マネー ジャから登録解除されます ( サードパーティ製の負荷マ ネージャを使用している場合、サーバが無効になったこと を通知する方法はありません )。 最後のクライアントセッションが閉じられると ( 通常は、 最後のクライアント接続が閉じられてから5分後に)、 サー バは無効な状態であることが宣言され、再起動されます。 注記 : SMC はサーバへのクライアント接続であるため、 サーバを再起動する前に SMC を終了するか、または SMC からサーバを削除する必要があります。 アプリケーションサーバは、最初に起動されたときと同じ起動パラメータを使用 して再起動され、サーバのプロパティの変更もすべて取得されます。 サービスとして実行されるプロセスの維持 アプリケーションサーバを手動で起動する代わりに、サーバマシンが再起動されると 自動的に起動されるように、サーバをサービスとして ( または、UNIX ではデーモン として ) 実行することができます。サービスとして実行するサーバのインストールの 詳細については、「 Novell exteNd のインストール」を参照してください。 サービスとしてサーバを実行するだけでなく、サービスとして次のサーバ側プロセス を実行することもできます。 " 負荷マネージャ " ディスパッチャ " キャッシュマネージャ Windows サービスとして実行するプロセスの管理を簡潔にするために、サーバは次の 操作を実行できる Windows ユーティリティ、SilverServiceUtil を提供しています。 98 " アプリケーションサーバおよび非アプリケーションサーバサービスを作成、一覧 表示、削除、および停止する " アプリケーションサーバプロセスに対する追加の Windows サービスを定義する " アプリケーションサーバサービスが再開されるたびに新しいコンソールログファ イルを作成する " Windows サービスとして起動されるとアプリケーションサーバプロセスに自動的 に渡されるコマンドライン引数を定義する " サービスとして実行されている場合に既存のアプリケーションサーバプロセスを 再設定する exteNd Application Server 管理ガイド 注記 : サービスとして実行するサーバを初めて設定するには、インストールプログラムを使用 する必要があります ( Novell exteNd のインストールを参照 )。サービスとして実行するようにサー バを設定したら、SilverServiceUtil を使用してサービス環境を維持できます ( 同じコンピュータ での追加のサービスの作成などの処理も実行できます )。 SilverServiceUtil の使用 SilverServiceUtil は、サーバの \bin ディレクトリにあるコマンドラインユーティリティ です。 # SilverServiceUtil を呼び出す \bin ディレクトリに変更して、次を入力します。 " SilverServiceUtil 使用状況に関する注記が表示されます。 ユーティリティのアクションは、次のとおりです。 アクション 説明 addDepend サービスに従属関係を追加します ( たとえば、サービスが別のサービスに 依存している場合、Windows サービスマネージャは別のサービスが開始さ れるまでこのサービスを開始しません )。 create 新しいサービスを作成します。 delete 既存のサービスを削除します。 list 現在のコンピュータで定義されているサービスをすべて一覧表示します。 stop 実行中のサービスを停止します。 update 既存のアプリケーションサーバサービスの環境設定を更新します。 これらのアクションについては、次に説明します。SilverServiceUtil アクションのそれ ぞれの使用に関して完全な情報を取得するには、次のように入力します。 SilverServiceUtil -action -help サーバの実行 99 従属サービスの定義 # サービスを別のサービスに依存させる " 次のように入力します。 SilverServiceUtil -addDepend -service serviceName -prereq prereqServiceName 各パラメータの説明は、次のとおりです。 オプション 説明 serviceName prereqServiceName に依存するサービスの名前 prereqServiceName serviceName が依存するサービスの名前 この従属関係が定義されると、Windows サービスマネージャは prereqServiceName が開 始されるまで serviceName を開始しません。 サービスの作成 SilverServiceUtil を使用して、アプリケーションサーバサービスまたは非アプリケー ションサーバサービスを作成できます。 アプリケーションサーバサービスの作成 SilverServiceUtil を使用すると、すべてのインス トール済みアプリケーションサーバがサービスとして実行されるように設定できます。 # アプリケーションサーバサービスを作成する " 次のように入力します。 SilverServiceUtil -create -service serviceName -display displayName -program pathToExecutable [-outputDir outputDirectory -maxOutputFiles numFiles -startupOptions options] 100 exteNd Application Server 管理ガイド 各パラメータの説明は、次のとおりです。 オプション 説明 serviceName 作成するサービスの名前。名前は任意に付けることができます が、固有でなければなりません。 displayName サービスの表示名。名前は任意に付けることができますが、固有 でなければなりません。 pathToExecutable サービスに対して呼び出す実行可能ファイルへのパス。次の実 行可能ファイル ( すべては、サーバの \bin ディレクトリにあり ます ) の中から 1 つを指定します。 " SilverAppServerService.exe: サービスとしてサーバを実行 する場合 " SilverCacheManagerService.exe: サービスとしてキャッ シュマネージャを実行する場合 " SilverDispatcherService.exe: サービスとしてディスパッ チャを実行する場合 " SilverLoadManagerService.exe: サービスとして負荷マネー ジャを実行する場合 単一のホストで複数のサーバをサービスとして実行するように設 定する場合は、SilverServiceUtil を実行するたびに固有の実行可能 ファイルをポイントするようにしてください。 outputDirectory ( オプション ) ログファイルを保存するディレクトリへのパス。 指定しなかった場合、ログファイルはサーバの一時ディレクトリ に保存されます。 numFiles ( オプション ) outputDirectory に作成するログファイルの最 大数。 「0」と指定した場合、または値を指定しなかった場合、ログファ イルは、サービスが再起動されるたびに上書きされます。ログファ イルには、次のような名前が付けられます。 nameOfService.out たとえば、SilverAppServerService4 というサービスとして Version 4 サーバを実行しており、 numFiles に対して「0」と指定した場 合、唯一のログファイルには、次のような名前が付けられます。 SilverAppServerService4.out サーバの実行 101 オプション 説明 numFiles 0 より大きい数値を指定した場合、サービスが再起動されるたび に、指定した数値以内で新しいファイルが作成され、指定した数 値に達すると、番号付けが始めから行われます。ログファイルに は、次のような名前が付けられます。 nameOfService.nnn.out 前の例を使用すると、最初のログファイルには、次のような名前 が付けられます。 SilverAppServerService4.000.out 次回サービスが開始されると、次のようなログファイルが作成さ れます。 SilverAppServerService4.001.out numFiles の 80 パーセントに到達すると、警告メッセージがサー バコンソールに送信されます。 numFiles 自体に到達すると、 サービスは、出力ファイルが削除されるまで、numFiles が「0」 として定義されている場合と同じように動作します。 options 汎用サービスの作成 ( オプション ) 開始時に実行可能ファイルに渡されるコマンドライ ンオプション。オプションは、二重引用符で囲みます。特定のオ プションは、実行ファイルに依存します。 このオプションを使用して、汎用 Windows サービスを作成する こともできます。 # 汎用サービスを作成する 次のように入力します。 " SilverServiceUtil -create -service serviceName -display displayName -program pathToExecutable -generic サービスの一覧表示と削除 現在のコンピュータで定義されているすべてのサービスを一覧表示するだけでなく、 既存のサービスを削除することもできます。 # すべてのサービスを一覧表示する " 次のように入力します。 SilverServiceUtil -list [-d] 「-d」と指定した場合、表示名はサービス名とともに一覧表示されます。 # サービスを削除する " 次のように入力します。 SilverServiceUtil -delete -service serviceName 表示名ではなく、サービス名を指定します (削除の確認メッセージは表示されません)。 102 exteNd Application Server 管理ガイド サービスの停止 # サービスを停止する " 次のように入力します。 SilverServiceUtil -stop -service serviceName [-retries numRetries -delay retryDelay] 各パラメータの説明は、次のとおりです。 オプション 説明 serviceName 停止するサービスの名前 numRetries ( オプション ) サーバが停止したかどうかを判断するためにサービスマネー ジャを照会する回数。指定しなかった場合、サービスマネージャは照会さ れません。 retryDelay ( オプション ) 再試行の間隔 ( 秒数 ) サービスの再設定 # 既存のアプリケーションサーバサービスを再設定する " 次のように入力します。 SilverServiceUtil -update -service serviceName [-outputDir outputDirectory -maxOutputFiles numFiles -startupOptions options] -outputDir、-maxOutputFiles、および -startupOptions という引数は、create アクションで 使用されるものと同じです。 update アクションは、対応するサービスに対して Windows レジストリエントリを変更 します。変更は、サービスが再開されるまで有効になりません。サービスの開始と停 止は、Windows コントロールパネルの[サービス]から実行できます ( コンピュータ を再起動する必要はありません )。 個別のポートの設定 特定のタイプのアプリケーションサーバ操作へのアクセスを制限するには、次のポー トを定義できます。 ポート 説明 ランタイム HTTP、HTTPS、または RMI を使用して J2EE アプリケーションをユーザ が実行できるようにします。 サーバの実行 103 ポート 説明 管理 サーバ設定、セキュリティ、証明書などを読み書きする機能など、管理 設定を管理者が設定または変更できるようにします。 管理ポートでは、次の操作を実行する必要があります。 " SMC を実行する " SilverCmd を使用する " サーバ管理 API コールを行う 各ポートタイプでは、関連付けられていない URL と操作は除外されます。たとえば、 管理ポートは、管理 URL のみを渡します。個別のポートは、サーバの許可の設定と組 み合わせて機能するように設計されています。 たとえば、管理ポートとランタイムポー トがそれぞれ固有である場合、ランタイムポートで管理 URL を実行しようとすると、 失敗します。ユーザが管理ポートに正常にアクセスすると、サーバでは、ユーザのグ ループの許可をチェックして、アクセスのレベルをさらに判断します。 パブリックサイトの設定方法は、クレジットカードトランザクションを使用する E コ マースサイトの設定方法とは異なる場合があります。特にエクストラネット環境では、 アプリケーションデータを変更するような管理操作をユーザが実行できないようにす る必要があります。複数のサーバポートを企業ファイアウォールと組み合わせて設定 すると、アプリケーションへの内部および外部のアクセスを管理できます。 ファイアウォールでの個別ポートの使用 異なるタイプのユーザや操作に対して別個のアプリケーションサーバポートを定義す ると、セキュリティ上の利点がいくつか得られます。 104 " 組織外のユーザに対して、単一のランタイムポートをファイアウォールを通して 開くことにより、セキュリティ上のリスクを抑える " 管理ポートとランタイムポートのアクセスを個別にすることにより、権限のない ユーザがサーバを管理できないようにする。アプリケーションに接続している ユーザはランタイムポート番号を知ることができますが、管理ポートに関しては、 管理者だけが把握している必要があります。 " ファイアウォール内部からのみアクセスできる管理ポートを定義することによっ て、このポートに対して行われるコールを制限できる exteNd Application Server 管理ガイド ポートの有効化について サーバは、次のプロトコルのそれぞれに対して、管理ポートとランタイムポートをサ ポートしています。 プロトコル デフォルトのポート HTTP 83 (NetWare の場合 ) 8080 (UNIX の場合 ) 80 (Windows の場合 ) HTTPS (RSA) 443 HTTPS (DSA) 443 デフォルトでは、HTTP ポートのみが有効になります。DSA ポートおよび RSA ポート は、デフォルト値に設定されますが、有効にはなりません。サーバは、DSA ポートお よび RSA ポートが有効にされるまで、これらのポートでリッスンしません。 アプリケーションサーバを起動すると、設定して有効にした固有のポート値それぞれ に対してソケットがバインドされます。アプリケーションサーバは、異なるタイプの アクセスに対して固有なポート値を必要としません。同じ値を持つポートは同じソ ケットを共有し、複数の操作を許可します。たとえば、HTTP ランタイムポートと HTTP 管理ポートを 8080 に設定した場合、アプリケーションサーバは、両方に対する 要求を受け付ける 1 つのソケットだけを使用します。 ヒント : アプリケーションサーバをインストールすると、HTTP ランタイムポートと HTTP 管 理ポートは、デフォルトとして指定したポート番号に設定されます。アプリケーションサーバ をインストールした後で個別の管理ポートを設定した場合は、SMC を起動するために使用する プログラムのショートカットを更新する必要があります。 ! SMC を開始する別の方法については、31 ページの「SMC の実行」を参照してく ださい。 管理ポートに接続しているクライアントでは、このポートに関連付けられている操作 のみを実行できます。管理に関連している多くのオブジェクトではランタイムサポー トが必要なため、ランタイム操作はどのポートでも実行できます。ただし、ランタイ ムポートではランタイム操作しか許可されません。 ! HTTP ポートを有効にする方法については、106 ページの「一般的なサーバのプ ロパティの指定」を参照してください。HTTPS ポートの有効化の詳細については、196 ページの「RSA/DSA ポートの有効化」を参照してください。 サーバの実行 105 ポートタイプ アプリケーションサーバは、HTTP/HTTPS 通信用に、最大 6 つの固有なポート番号に 設定できます。ポートで許可される操作のタイプと、それに関連するセキュリティプ ロトコルは、個別に設定できます。つまり、3 つのセキュリティプロトコルのうちの 1 つと、3 つのポートタイプのうちの 1 つを混在させることができます。 接続アクセスタイプ 接続ポートタイプ ポートプロパティ名 デフォルトのポート HTTP を使用する 非暗号化ポート ランタイム com.sssw.srv.port_rt 83 (NetWare の場合 ) 管理 com.sssw.srv.port_admin 8080 (UNIXの場合) 80 (Windowsの場合) RSA 暗号化を使用する SSL ポート ランタイム com.sssw.srv.https.port_rsa_rt 管理 com.sssw.srv.https.port_rsa_admin DSA 暗号化を使用する SSL ポート ランタイム com.sssw.srv.https.port_dsa_rt 管理 com.sssw.srv.https.port_dsa_admin 443 すべてのポートプロパティ名 (https.props ファイルで定義されます ) は、http-server で 始まります。詳細については、付録 A 「httpd.props ファイル」を参照してください。 一般的なサーバのプロパティの指定 一般的なサーバのプロパティには、次の内容が含まれます。 # 106 " HTTP リスナポート " SilverMaster データベースの名前 " UNIX でサーバを起動するユーザアカウント 一般的なサーバのプロパティを指定する 1 SMC を開始します。 2 サーバを選択します。 3 ツールバーから[環境設定]アイコンを選択します。 exteNd Application Server 管理ガイド 4 [一般]を選択します。 5 必要に応じて、これらのフィールドを編集します。 フィールド 指定する内容 ランタイムポートを有効にする およびポート番号 HTTP リスナポートを有効にするには、 [HTTP ポート] のオプションを一部またはすべてオンにし、対応す るポート番号を指定します。 管理ポートを有効にするおよび ポート番号 すべての HTTP ポートタイプに対するデフォルトに より、アプリケーションサーバは、次のポートでリッ スンします。 " 83 (NetWare の場合 ) " 8080 (UNIX の場合 ) " 80 (Windows の場合 ) HTTPS (RSA) と HTTPS (DSA) に対するデフォルト のポートは 443 です。 ! 詳細については、103 ページの「個別のポート の設定」を参照してください。 ! HTTP 通信を無効にするには、197 ページの 「HTTP 通信のオフ設定」を参照してください。 サーバのユーザ名 (UNIX のみ ) UNIX でサーバを起動するアカウントのユーザを指 定します。デフォルトは root です。 サーバの実行 107 フィールド 指定する内容 SilverMaster データベース名 サーバが使用する SilverMaster データベースを変更 します。 たとえば、 負荷分散クラスタを設定する際、 SilverMaster データベースの名前変更が必要となる場合がありま す。クラスタ内のすべてのサーバは、同じ SilverMaste データベ ー スを 使 用す る 必 要が あ りま す。 この フィールドを使用して SilverMaster データベース名 を指定します。 6 [更新]をクリックします。 7 変更を有効にするには、[再起動]をクリックします。 ! 詳細については、97 ページの「アプリケーションサーバの再起動」を参照 してください。 サーバのログ機能の使用 アプリケーションサーバには、サーバのデバッグ、サーバの監視、およびセキュリティ の監査などに対するログ機能が備えられています。情報をファイルまたはデータベー スにログ記録したり、ログ機能を実行する独自のカスタムクラスを指定したりするこ とができます。 # 108 ログ機能をオンにする 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 exteNd Application Server 管理ガイド 3 [一般]を選択します。 4 オンまたはオフにするログ出力オプションを次のとおりに選択します。 フィールド 説明 用途 データベース のログ メッセージをSilverMasterにログ記 これはデフォルトの設定です。 録します。メッセージは、AgLog、 AgErrorLog、および AgTraceLog システムテーブルに保存されます。 ファイルのログ 指定したファイルにメッセージ をログ記録します。 ユーザ定義 ログ機能を実行するカスタム Java クラスを使用します。 [ファイルのログ]または[ユー ザ定義]をオンにした場合に有 効となるオプションの隣のテキ ストフィールドに、有効にした 各オプションに対するファイル 名を指定します。 デ フ ォ ル ト で は、ア プ リ ケ ー ションサーバはログ機能を実行 する独自の内部クラスを使用し ます。ログ出力をカスタマイズ する場合は ( たとえば、拡張さ れたログファイル形式を指定す るために )、独自のログクラス を記述して、ここで指定します。 ! カスタムログクラスを作 成して使用する方法について は、第 13 章 「サーバ管理 API の使用」を参照してください。 サーバの実行 109 フィールド 説明 用途 HTTP ログを 有効にする サーバへの各クライアント要求 および各サーバ応答に対する 1 ラインを、AgLog テーブル ( また は、指定したファイル ) に記述し ます。 エラーログ機能と組み合わせて 実行します。サーバへのクライ ア ン ト 要 求 を 表 示 し、さ ら に サーバのアクティビティを監視 する場合は、標準の HTTP ログ 機能を使用します。 SMC の[統計情報 / 概要 / 要求 時間]オプションと組み合わせ て使用します (141 ページの「要 約統計情報」を参照 )。 ! 詳細については、110ペー ジの「HTTP ログ機能について」 を参照してください。 エラーログを 有効にする エラーおよびさまざまなステー タス情報を AgErrorLog テーブル ( または、指定したファイル ) に 記録します。このタイプのログ機 能を有効にすると、サーバのエ ラーやステータスに関するさら に詳しい情報を取得できます。 このオプションをオンにします。 トレースログを 有効にする サーバのアクションを記録しま す。HTTP ログ機能やエラーログ 機能とは異なり、トレースログ機 能は、サーバイベントの追跡だけ でなく、エラーメッセージの追跡 も集中的に行います。オンにする と、AgTraceLog テーブル ( また は、指定したファイル ) に、サー バに関する問題を追跡するため にテクニカルサポートで使用さ れる追加のトレース情報が含ま れます。 このオプションは、テクニカル サポートによって要求された場 合にのみオンにしてください。 5 [更新]をクリックします。 アプリケーションサーバは、指定した情報のログを開始します。 HTTP ログ機能について デフォルトでは、HTTP ログ機能を有効にすると、サーバによって、HTTP メッセージ が標準の W3C 一般ログファイル形式 (www.w3.org を参照 ) でデータベースにログされ ます。ログは、ファイルにリダイレクトすることができます ( 前の説明を参照 )。 110 exteNd Application Server 管理ガイド また、複合ログファイル形式もあります。これは、各 HTTP 要求から[Referrer]フィー ルド ( クリックトレースを許可する ) と[User-Agent]フィールド ( ブラウザタイプを ログする ) もログするという点を除いては、一般ログファイル形式と類似しています。 アプリケーションサーバは、複合ログファイル形式に対する組み込みのサポートを備 えています。 # この形式を使用してログする 1 SMC の[サーバのログ]で、[ユーザ定義]をオンにします。 2 [Java クラス]フィールドで、次のように指定します。 com.sssw.srv.http.CompoundLogger 3 HTTP 要求をログする先のファイル ( オプションとして、CompoundLogger クラス によりサポートされるエラーログ機能とトレースログ機能用のファイル ) を指定 します。 4 サーバを再起動します。 ヒント : SMC を使用する代わりに、httpd.props で次の値を設定し、サーバを再起動すること によって、複合ログを指定することもできます。 http-server.com.sssw.srv.logger=com.sssw.srv.http.CompoundLogger http-server.com.sssw.srv.logger.logname=fileName ログの表示 組み込みログクラスを使用する場合は、SMC でログを表示できます (137 ページの「ロ グの表示」を参照 )。また、SilverCmd PrintLog を使用して、SilverCmd コンソールウィ ンドウまたはファイルでログを表示することもできます。PrintLog を使用すると、組 み込みログクラスまたはデータベースのどちらを使用している場合でも、データを表 示できます。 ログテーブルとファイルの維持 ログ情報は、すぐに蓄積される可能性があります。ログテーブルやログファイルは、 管理可能な状態を維持するためにクリーンアウトします。レコードを削除するには、 SilverCmd ClearLog を使用できます。これらのテーブルを維持するには、ネイティブ データベースユーティリティを使用できます。ログファイルから無関係な情報を減ら したり削除したりするには、任意のエディタを使用できます。 ORB 設定の指定 SMC を使用すると、RMI を使用するかどうか ( 使用する場合は、そのネームサービス ポート )、リモートオブジェクトに対して SSL を使用するかどうか、および IIOP SSL に対して使用するポートを指定できます。 サーバの実行 111 # ORB 設定を指定する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [一般]を選択します。 4 RMI オプションを指定します。 フィールド 説明 ネームサービスポート アプリケーションサーバが RMI ネームサービスを開始する ポート ( たとえば、EJB を検出する必要のあるすべてのクラ イアントは、このサービスを使用します )。デフォルトは 54890 です。 RMI サーバを有効にする 非暗号化クライアント通信に対してRMIの使用を有効にする かどうかを指定します。RMI は、個別に有効にするか、HTTP と一緒に有効にすることができます。 オンにすると、非 HTTP クライアントでサーバ上の HTTP セッションが必要とされないように、アプリケーションサー バは、RMI/IIOP を使用してリモートサーバオブジェクトをエ クスポートし、RMI セッションを受け付けます。 このオプションがオフの場合、RMI サーバは作成されず、RMI セッションも受け付けられません。 注記 : リモートトランザクションを暗号化するには、[リ モートオブジェクトに SSL を使用する]オプションをオン します。 112 exteNd Application Server 管理ガイド フィールド 説明 リモートオブジェクト に SSL を使用する RMI サーバ ( 有効な場合 )、リモートセッション、およびリ モートユーザトランザクションを安全にするためにSSL暗号 化を使用するかどうかを指定します。 オンにすると、リモートオブジェクト (EJB など ) を暗号化し、 RMI/IIOPを使用して非HTTPクライアントによりエクスポー トできます。 IIOP SSL 最小ポート IIOP SSL 通信に対する下限 ( 範囲内 ) を指定します。範囲を 指定しなかった場合、ORB では、使用できる最初のポート を選択します。範囲を指定する必要がない場合は、 「-1」を使 用します。 次の場合は、IIOP SSL ポート範囲を作成する必要があります。 " ネットワークファイアウォールとの相互運用を許可する 場合 IIOP SSL 通信によって使用される範囲を制御すると、 ファイアウォール管理者は、これらのポートを開いて、 トラフィックを適切に設定できるようになります。 " IIOP SSL通信を使用したEJBに対するセッションレベルの フェールオーバーを環境でサポートする場合 範囲は、システムに展開された bean で使用される EJB セキュリティ属性の固有な組み合わせそれぞれに対して 1 つのポートを許可するために十分な大きさでなければ なりません。セキュリティ属性の組み合わせの最大数 ( つ まり、最大範囲 ) は、暗号の標準セットを使用する場合、 64 です。ほとんどの一般的なインストールに対しては、 16 という範囲が適切な数のポートです。 IIOP SSL 最大ポート IIOP SSL 通信に対する上限 ( 範囲内 ) を指定します。 「-1」と 指定した場合、範囲に上限はありません。 5 [更新]をクリックします。 6 変更を有効にするには、[再起動]をクリックします。詳細については、97 ペー ジの「アプリケーションサーバの再起動」を参照してください。 1 つのホストでの複数のサーバの実行 1 つのホストの 1 つの IP アドレスでは、複数のアプリケーションサーバを実行できま す。( アプリケーションサーバは、1 つのホストで複数のネットワークカードを通じた 複数の IP アドレスを使用する「マルチホーム」もサポートしています。詳細について は、95 ページの「特定の IP アドレスまたはホスト名でのサーバの起動」を参照して ください )。 サーバの実行 113 固有なポートの指定 1 つのホストで実行される複数のサーバは、固有なポートを使用 するように設定する必要があります。SMC では、ランタイムポートと管理ポートを指 定できます。 ポート デフォルト 設定に関する情報 HTTP 80 105 ページの「ポートの有効化について」 RSA 443 196 ページの「RSA/DSA ポートの有効化」 RMI ネームサービス 54890 111 ページの「ORB 設定の指定」 SSL IIOP ポート -1 DSA 文字セットエンコードの指定 アプリケーションサーバは、フォームコンテンツを URL エンコードおよび URL デコー ドする場合に、次のサーバのプロパティを使用します。 com.sssw.srv.international.UrlEncoding このエンコードプロパティは、AgUserIni.props 環境設定ファイル ( サーバの \Resources ディレクトリにあります ) に格納されています。 デフォルトにより、アプリケーションサーバは、URL エンコードおよび URL デコー ドに対して UTF-8 (Universal Character Set Transfer Format) を使用します。UTF-8 では、 変更を必要とせずに ASCII 文字をエンコードできるため、UTF-8 は、英語およびその 他のほとんどの西欧言語に対して最適に機能します。マルチバイトエンコードを使用 する言語は UTF-8 のサブセットではないため、文字のエンコードとデコードは、この ような言語において適切に機能しません。 エンコードスキームを変更する場合 エンコードスキームは、環境におけるクライアントブラウザの大部分で、ISO 8859-1 (Latin 1) ではない文字エンコードを使用する場合にのみ、通常は変更する必要があり ます。たとえば、ShiftJIS エンコードを使用して従業員にコンテンツを提供する日本語 の Web サイトでは、エンコードプロパティを SJIS に変更することが推奨されます。 # デフォルトの UTF-8 から別のエンコードに変更する 1 AgUserIni.props ファイル ( アプリケーションサーバのルートディレクトリの下の \Resources ディレクトリにあります ) に次のラインを追加します。 com.sssw.srv.international.UrlEncoding=NewEncoding 2 114 NewEncoding 変数の箇所に、サイトで必要な言語マッピングを入力します。言語 用の Java 文字列マッピングがわからない場合は、Sun の Web サイトを参照してく ださい。 exteNd Application Server 管理ガイド 3 アプリケーションサーバを再起動します。 URL コンテンツは、サーバを再起動した後で、新しいエンコードスキームを使用 してエンコードされます。 JMS サーバの実行 アプリケーションサーバには、JMS (Java Message Service) 実装用に Novell exteNd JMS サーバが含まれています。つまり、exteNd JMS サーバは、J2EE アプリケーションで メッセージングをサポートするためにアプリケーションサーバで実行するJMSサーバ を提供します。 この節では、Novell exteNd JMS サーバをアプリケーションサーバで使用する場合に必 要な情報の一部について説明します。 " JMS サーバの起動 " クラスタ内の JMS サーバの使用 " JMS サーバデバッグメッセージの表示 ! JMSサーバの詳細については、Novell exteNdメッセージングプラットフォームヘ ルプを参照してください。 JMS サーバの起動 JMS サーバは、次のいずれかの方法で起動できます。 方法 動作 自動 アプリケーションサーバの起動時に、アプリケーションサーバで JMS サー バをチェックし、必要な場合は自動的に JMS サーバを起動することができ ます。この方法を使用するには、アプリケーションサーバの httpd.props ファ イルでこのプロパティ設定が次のように指定されていることを確認する必 要があります。 http-server.com.sssw.srv.jmsServerLaunch=true アプリケーションサーバのインストール時に、インストールプログラムに よって、JMS サーバを設定するかどうかが尋ねられ、その選択に基づいてこ のプロパティが設定されます。後で選択を変更する場合は、httpd.props ファ イルを編集して、 true または false と指定できます。 デフォルトにより、インストールプログラムによって、jmsServerLaunch プ ロパティは true に設定されます。ただし、このプロパティは、httpd.props ファイルから削除した場合、デフォルトで false になります。 自動的な方法では、アプリケーションサーバは JMS サーバを「チャイルド プロセス」として起動します。結果として、JMS サーバは、アプリケーショ ンサーバが終了すると終了します。 サーバの実行 115 方法 動作 手動 Novell exteNd メッセージングプラットフォームヘルプの説明に従って、 ユー ザ自身で JMS サーバを起動できます。 アプリケーションサーバを起動する前に JMS サーバを手動で起動した場合、 アプリケーションサーバは JMS サーバを起動しようとしません (jmsServerLaunch プロパティの設定には関係ありません )。 クラスタ内の JMS サーバの使用 ご使用の環境における JMS サーバの信頼性は、クラスタの使用によって高めることが できます。一般的な環境設定のいくつかを次に示します。 環境設定 手順 クラスタアプリケーションサーバ と個々の JMS サーバ 第 12 章 「クラスタの管理」の指示に従って、アプリケー ションサーバのクラスタを設定します。デフォルトでは、 クラスタ内の各アプリケーションサーバに独自のロー カル JMS サーバが含まれます。 クラスタ JMS サーバにアクセス するクラスタアプリケーション サーバ 1 第 12 章 「クラスタの管理」の指示に従って、アプ リケーションサーバのクラスタを設定します。 2 Novell exteNd メッセージングプラットフォームヘ ルプの指示に従って、JMS サーバのクラスタを設定 します。各アプリケーションサーバに対してインス トールされた msgsvc.properties ファイル (JMS サーバ \lib ディレクトリ内を検索 ) を手動で編集す る必要があります。 JMS サーバデバッグメッセージの表示 ランタイム時における JMS サーバ関連の問題は、アプリケーションサーバコンソール にデバッグメッセージを表示することによってトラブルシュートできます。基本的な JMSサーバデバッグ機能をオンにするには、アプリケーションサーバのhttpd.propsファ イルを編集して次のプロパティを指定します。 http-server.com.sssw.srv.jms.debug=1 詳細な JMS サーバデバッグ機能を設定する場合は、このプロパティに 1 より大きな数 値を指定します。JMS サーバデバッグ機能を無効にするには、0 ( デフォルト ) と指定 します。 116 exteNd Application Server 管理ガイド 6 ユーザおよびグループのセットアップ 第6章 この章では、Silver Security のユーザおよびグループ (Novell exteNd Application Server でのみ認識されるユーザとグループ ) を定義する方法について説明します。この章の 節は次のとおりです。 " Silver Security のユーザおよびグループについて " Silver Security のユーザおよびグループの管理 " Locksmith 権限の使用 注記 : アプリケーションサーバでは、外部セキュリティプロバイダ (Windows、LDAP、NIS+、 および証明書発行者を含む ) へのアクセスも提供されます。これらのプロバイダからユーザおよ びグループへのアクセスのセットアップの詳細については、164 ページの「セキュリティプロバ イダシステムへのアクセス」を参照してください。 Silver Security のユーザおよびグループについて Silver Security のユーザおよびグループは、多数の方法で定義できます。たとえば、サ イトの組織に基づいてグループ (Accounting、Sales など ) を定義し、それらのグループ にユーザを割り当てることができます。これらのグループには、Silver Security ユーザ だけでなく、外部セキュリティレルムで定義されたユーザを含めることもできます。 ユーザは、複数のグループに属することができます。 Silver Security ユーザおよびグループを定義したら、定義した Silver Security のユーザ とグループに基づいて、システムの任意のディレクトリまたはオブジェクトへのアク セスを定義できます。たとえば、Accounting グループのメンバーには特定の許可を設 定し、Developers グループのメンバーには別の許可を設定できます。 ! ユーザとグループを使用したデータ許可の設定の詳細については、217ページの 「認証とアクセス制御」を参照してください。 117 インストール後、アプリケーションサーバには、 Administrators および Developers という 2 つの定義済みのグループが存在します。両 方のグループには、当初、サーバ管理者のみが含まれています。これらのグループ は、独自のユーザやグループを作成するための開始点として使用します。定義済みの グループ名とは異なる名前を使用する場合は、名前を変更した後、削除できます。詳 細については、120 ページの「Silver Security のユーザおよびグループの管理」を参照 してください。 2 つの定義済みのグループ グループ 説明 Administrators インストール後、サーバ管理者は、このグループの唯一のメンバーで す。このユーザは、Locksmith 権限 ( 新しいユーザやグループを追加で きる機能が含まれます ) が与えられている、当初の唯一のメンバーです。 124 ページの「Locksmith 権限の使用」を参照してください。 管理タスクを実行する必要があるユーザは、すべてこのグループに追加 します。このグループのユーザには、管理許可をすべて割り当てたり、 そのサブセットを割り当てたりすることができます。サーバを管理する には、ユーザに「サーバ環境設定の変更」アクセスを割り当てる必要が あります。218 ページの「管理サーバの許可」を参照してください。 Developers インストール後、(Administrators グループのメンバーではないユーザと 比較して ) このグループの権限ユーザのみがディレクトリリストを参照 できます。 Silver Security のユーザ名およびパスワードでは、大文字と小 文字が区別されます ( 次を参照 )。 大文字と小文字の区別 " ユーザ名 : SilverMaster データベースに従います。つまり、SilverMaster データベー スで大文字と小文字が区別されない場合、ユーザ名の大文字と小文字は区別され ません ( たとえば、administrator と Administrator は同じものとみなされます )。 SilverMaster で大文字と小文字が区別される場合は、ユーザ名の大文字と小文字が 区別されます。 " パスワード : 大文字と小文字が区別されます。たとえば、admin と Admin は、常に 異なるパスワードとみなされます。 ! 詳細については、227 ページの「グループに対するデフォルトの許可」を参照し てください。 118 exteNd Application Server 管理ガイド 管理者アカウントについて 管理者アカウントは、アプリケーションサーバによって認識されるユーザ (Silver Security、Windows、LDAP、NIS+、または証明書ユーザ ) に割り当てることができます。 アプリケーションサーバをインストールした際に、アプリケーションサーバの管理者 アカウントに対してユーザ名とパスワードを指定しました。このアカウントは、新し い SilverMaster データベースカタログが作成されたときに使用されたものです。 サーバ管理者アカウントは、SMC にログインしてアプリケーションサーバを管理する ために使用します。また、SilverMasterInit コマンドラインオプションの一部を実行す る場合にも、サーバ管理者アカウントを指定する必要があります。 サーバ管理者ユーザアカウントの保持者は、定義済みの Administrators グループのメン バーで、Locksmith 権限が与えられています。Locksmith 権限によって、サーバのオブ ジェクトに「許可の設定」権限が与えられます。Locksmith 権限が与えられているア カウントの保持者のみが、Locksmith 権限を別のアカウントに割り当てることができ ます。 ! 詳細については、124 ページの「Locksmith 権限の使用」を参照してください。 注記 : アプリケーションサーバにログインして管理できるユーザを制限する「サーバ」管理者 アカウントは、 「データベース」管理者アカウントとは異なります。アプリケーションサーバで は、SilverMaster データベースに接続するときにデータベース管理者アカウントを使用します。 SilverMaster デー タ ベー ス アカ ウ ント を 指定 す る必 要 があ る のは、コ マン ド ライ ン で SilverMasterInit を実行する場合のみです。 # 新しい管理アカウントを作成する 1 既存の管理者アカウントを使用して、SMC にログインします。 2 新しい管理者アカウントを作成するか、またはセキュリティレルムの 1 つから既 存のユーザを選択して管理者にします。 3 [プロパティ]をクリックし、新しいアカウントに Locksmith 権限を割り当てます。 4 新しい管理者アカウントを Administrators グループに追加します。 5 SMC を閉じます。 6 SMC を再開し、新しい管理者としてログインします。 7 [プロパティ]ダイアログボックスを使用して、新しいアカウントに Locksmith 権 限が割り当てられていることを確認します。 8 ( オプション ) 古い管理者アカウントを削除します。 ユーザおよびグループのセットアップ 119 Silver Security のユーザおよびグループの管理 SMC を使用すると、Silver Security ユーザを追加したり、ユーザプロパティを編集し たり、Silver Security グループを追加したりすることができます。 注記 : これらのタスクは、SilverCmd を使用して実行することもできます。詳細については、 『機能ガイド』の章「SilverCmd リファレンス」の SetUserGroupInfo を参照してください。 Silver Security ユーザの追加 # ユーザを追加する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 [Silver Security]を展開して、[ユーザ]を選択します。 5 右側のペインの下部にある[新規ユーザを追加する]アイコンを選択します。 Silver ユーザまたは証明書ユーザを定義するかどうかを尋ねるメッセージが表示 されます。 6 [Silver ユーザ]を選択して、[次へ]をクリックします。 ! 証明書ユーザの定義の詳細については、205 ページの「クライアント証明書 の手動インストール」を参照してください。 [新規ユーザ]パネルが表示されます。 7 各フィールドに適切な情報を入力します。 [名前]フィールドでは、ユーザの短い名前を指定します。これは、 [ログイン] ボックスにユーザが入力する名前です。 8 120 パネルを完了したら、[完了]をクリックします。 exteNd Application Server 管理ガイド ユーザプロパティの編集 SMC を使用すると、ユーザプロパティを変更できます ( 外部セキュリティプロバイダ で定義されたユーザに対して編集可能なプロパティは、Locksmith 権限のみです。詳 細については、124 ページの「Locksmith 権限の使用」を参照してください )。 デフォルトでは、ユーザは、自分のユーザプロパ ティを変更できます。この権限は、オフにできます。この権限の詳細については、210 ページの「認証の有効化」を参照してください。 ユーザによるプロパティの変更禁止 # ユーザプロパティを編集する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 ユーザの[Silver Security]リストを展開します。 5 ユーザ名を選択し、続けて[プロパティ]を選択します。 次のようなパネルが表示されます。 6 編集可能な 4 つのフィールドのうち、任意のものを変更します。 [完全修飾名]フィールドは、ユーザの作成に使用した[名前]フィールドに対応 しており、このフィールドは編集できません。 Locksmith 権限がある場合、変更中のユーザに Locksmith 権限を与えるかどうかを 変更することもできます。 ! 詳細については、124 ページの「Locksmith 権限の使用」を参照してください。 7 [OK]をクリックします。 ユーザおよびグループのセットアップ 121 Silver Security グループの追加 グループを作成すると、ビジネス組織単位 ( 部門 ) や作業役割 ( 職種 ) など、さらに大 きな前後関係内でユーザを分類できるようになり、セキュリティ管理が簡単になりま す。ユーザは、1 つまたは複数のユーザグループに属することができます。また、ユー ザには、グループまたは個人のステータスごとに、オブジェクトへのアクセスを与え ることができます。 # グループを作成する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 [Silver Security]を展開して、[グループ]を選択します。 5 [新しい Silver Security グループを追加する]アイコンを選択します。 次のようなパネルが表示されます。 6 グループの名前と説明を入力します。 7 [OK]をクリックします。 # グループにユーザを追加する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 [Silver Security]を展開し、続けて[グループ]を展開します。 5 122 ユーザを追加する先の Silver Security グループを選択します。 exteNd Application Server 管理ガイド 6 [ユーザをグループに追加する]アイコンを選択します。 次のようなパネルが表示されます。 注記 : 表示されるパネルは、設定した外部セキュリティプロバイダと、アプリケーション サーバで使用されるオペレーティングシステムによって異なる場合があります。詳細につい ては、164 ページの「セキュリティプロバイダシステムへのアクセス」を参照してください。 7 グループにユーザを追加するには、左側のパネルでユーザを選択し、 [追加]を選 択します。 外部セキュリティプロバイダによって定義されたユーザをSilver Securityグループ に追加できます。 8 " 選択したユーザを削除するには、[クリア]を選択します。 " グループ内のすべてのユーザを削除するには、 [すべてクリア]を選択します。 終了したら、[閉じる]をクリックします。 ユーザおよびグループのセットアップ 123 Locksmith 権限の使用 管理者ユーザには、デフォルトで Locksmith 権限が与えられています。Locksmith 権限 を使用すると、ユーザは次の操作を実行できます。 タスク データアクセス許可を取得および設定す る ( 設定許可が与えられているグループに ユーザが属していないような状況で、シス テムの別の場所ではこれらの許可が拒否 される場合でも )。 SilverMaster データベースからサーバの プロパティ設定を読み込む(この許可がシス テムの別の場所では拒否される場合でも )。 詳細 ! サーバおよびサーバのオブジェクトに対 するセキュリティの定義の詳細については、 217 ページの「認証とアクセス制御」を参照し てください。 Locksmith 権限を使用すると、許可を設定する こともできるため、Locksmith 権限の保持者は、 サーバ管理許可を自分自身に与えることもで きます。 注記 : Locksmith 権限の保持者には、Locksmith 権限の保持者であるという理由だけに基づい てすべての許可が与えられているわけではあ りません。ただし、Locksmith 権限の保持者と して、希望の許可を自分自身に与えることはで きます。 他のユーザに対して Locksmith 権限を付 与および無効にする。 121 ページの「ユーザプロパティの編集」を参 照してください。 注記 : Locksmith 権限によってサーバの機能やプロパティへの強力なアクセスが与えられるため、 Locksmith 権限は、信頼するユーザだけに与えるようにしてください。 Locksmith 権限が与えられているユーザ をすべて削除しないように注意してください。Locksmith 権限を他のユーザに与える には、1 人のユーザが Locksmith 権限を持っている必要があります。このため、Locksmith 権限を誰も持っていない場合、Locksmith 権限を与えることはできません。 Locksmith 権限の保持者 1 人 ( 最低 ) の確保 Locksmith 権限を誰も持っていない状況では、SilverMasterInit を僕コマンドラインオプ ションとともに実行して、Locksmith アカウントを定義することができます。 ! 詳細については、301 ページの「SilverMasterInit プログラムの使用」を参照して ください。 124 exteNd Application Server 管理ガイド 7 サーバの保守 第7章 この章では、Novell exteNd Application Server で一般的な保守タスクのいくつかを実行 する方法について説明します。この章には、次の節が含まれています。 " アプリケーションサーバのリモート管理 " AGCLASSPATH 変数の設定 " 展開された J2EE オブジェクトの保守 " J2EE トランザクションの管理 " サーバの動作の監視 " 既存の Web サーバとの統合 アプリケーションサーバのリモート管理 SMC を使用すると、サーバをリモートで管理することができます。1 つの SMC コン ソールからは、サーバをいくつでも管理できます。クラスタ内のサーバを実行してい る場合は、管理するサーバクラスタをさらに選択できます。 ! サーバクラスタの詳細については、260 ページの「サーバクラスタリング機能」 を参照してください。 125 # サーバを管理する 1 管理するサーバが実行されていることを確認します。 2 SMC を開始します。 3 [選択]( サーバ ) アイコンを選択します。 [サーバの追加]ダイアログボックスが表示されます。 4 server:port を指定します。各パラメータの説明は、次のとおりです。 パラメータ 説明 server サーバの名前 (localhost や http:// ホスト名など )。 port 管理ポート。ポートは、オペレーティングシステムに対するデフォルト のポートではない場合にのみ指定する必要があります。 ! サーバによって使用されるポートの詳細については、103 ページ の「個別のポートの設定」を参照してください。 5 [OK]をクリックします。 6 SMC を使用して、サーバを管理します。 AGCLASSPATH 変数の設定 アプリケーションサーバでは、Java クラスをアプリケーションで使用できるように拡 張する AGCLASSPATH と呼ばれる環境変数をサポートしています。AGCLASSPATH は、たとえば、データベースドライバなどのサードパーティ製要素をアプリケーショ ンに含める場合に使用できます。この変数は、+cp Java クラスパスオプション (89 ペー ジの「アプリケーションサーバの起動」の説明を参照 ) の代わりに使用してください。 アプリケーションサーバでは、CLASSPATH 変数を上書きします。 オペレーティング システム NetWare 説明 アプリケーションサーバは NLM によって起動されるため、コンポーネ ントをセミコロンで区切った「setenv」環境を使用して、AGCLASSPATH を設定する必要があります。次に例を示します。 setenv AGCLASSPATH=path1;path2;path3;...;pathx 126 exteNd Application Server 管理ガイド オペレーティング システム 説明 UNIX 使用するシェルに適切なプロシージャに従って、 環境変数 AGCLASSPATH を設定します。 Windows コントロールパネルからアクセスできる[システム]設定ツールを使 用して、AGCLASSPATH 環境変数を設定します。 展開された J2EE オブジェクトの保守 SMC の展開オプションセクションでは、サーバに展開されている J2EE オブジェクト に関する情報にアクセスできます。 各パネルの機能の説明は、次の表のとおりです。 使用するパネル 機能 展開オブジェクト 展開された J2EE アプリケーション (EAR、WAR、EJB JAR、アプリ ケーションクライアント JAR、RAR など ) を管理します。 JNDI ツリー SMC によって現在管理されているアプリケーションサーバの RMI JNDI (Java Naming and Directory Interface) ツリー、またはネット ワークを通じて SMC で使用できるサーバの InitialContext を表示し ます。 URL の管理 データベースまたはサーバに対するデフォルトのページを指定す る場合に、このパネルを使用します。 [データベースURL]- データベースのURL (http://localhost/MyApp/ など ) をユーザが要求すると表示されるページ。デフォルトのデー タベースページが定義されていない場合、データベースのディレク トリリストがユーザに表示されます ( 管理者によって許可されてい る場合 )。 [サーバ URL]- サーバの URL (http://localhost/ など ) をユーザが要 求すると表示されるページ。デフォルトのサーバページが定義され ていない場合、サーバのディレクトリリストがユーザに表示されま す ( 管理者によって許可されている場合 )。 リソースアダプタ 展開されているリソースアダプタとそれらの設定に関する情報を 表示します。 サーバの保守 127 [展開オブジェクト]パネルの使用 [展開オブジェクト]パネルには、次の内容が一覧表示されます。 " EJB が含まれている EJB JAR ファイル " JSP ページとサーブレットが含まれている WAR ファイル " 他のアーカイブファイルを 1 つの完全なアプリケーションにパッケージ化する EAR ファイル " J2EE アプリケーションクライアント展開 ! # 詳細については、『機能ガイド』の「J2EE 展開」を参照してください。 展開された J2EE オブジェクトを管理する 1 SMC を開始します。 2 ツールバーから[展開]アイコンを選択します。 3 [展開オブジェクト]を選択します。 4 管理する展開済みのオブジェクトが含まれているデータベースを展開します。 WAR、EAR、CAR、および RAR は、「展開解除」することができます。 EJB JAR は、[有効]、[無効]、[シャットダウン]、および[展開解除]に設定す ることができます。 128 exteNd Application Server 管理ガイド 5 展開されたオブジェクトを選択し、次のアクションのいずれかを実行します。 アクション 説明 有効 EJB JAR に対してのみ。 無効になっている EJB JAR を有効にします。 JAR を有効にすると、 JAR の Bean が使用可能になります。 無効 EJB JAR に対してのみ。 有効になっている EJB JAR を無効にします。 JAR を無効にすると、 JAR の Bean は使用できなくなります。 JAR を無効にすると、JAR で実行中の EJB はすべて停止します。無効 にした JAR は、明示的に有効にするまで、無効の状態のままになります。 シャットダウン EJB JAR に対してのみ。 現在のサーバセッションの JAR とそのすべての Bean をシャットダウ ンします。JAR をシャットダウンすると、JAR の Bean は使用できな くなります。 サーバを再起動すると、前のサーバセッションでシャットダウンした 有効な JAR は、再び使用できるようになります。 展開解除 # 展開されたオブジェクトをシャットダウンし、サーバから削除します。 展開された RAR を表示する 1 SMC を開始します。 2 ツールバーから[展開]アイコンを選択します。 3 [リソースアダプタ]を選択します。 展開されているリソースアダプタがドロップダウンリストに表示されます。 4 # リストからリソースアダプタを選択し、アダプタの設定を表示します。 JNDI ツリーを表示する 1 SMC を開始します。 2 ツールバーから[展開]アイコンを選択します。 3 [JNDI ツリー]を選択します。 4 実行する機能のラジオボタンをオンにします。 ラジオボタン 説明 RMI 選択したサーバの RMI JNDI ツリーを表示します。 URL の指定 ネットワークを通じて SMC で使用できるサーバの InitialContext を表示 します。 「beetle」という名前の LDAP サーバの InitialContext を表示 するには、次のように入力します。 ldap://beetle/dc=novell.com 5 [URL の指定]をオンにした場合は、[送信]をクリックします。 サーバの保守 129 # デフォルトのデータベース URL を指定する 1 SMC を開始します。 2 ツールバーから[展開]アイコンを選択します。 3 [URL の管理]を選択します。 4 [データベース URL]ラジオボタンをオンにします。 5 デフォルトのページを設定するデータベースを、 [データベース]ドロップダウン リストから選択します。 6 [URL]テキストボックスに URL を入力し、 [デフォルト URL の設定]をクリッ クします。 URL は、データベースに相対的な URL でなければなりません。 # デフォルトのサーバ URL を指定する 1 SMC を開始します。 2 ツールバーから[展開]アイコンを選択します。 3 [URL の管理]を選択します。 4 [サーバ URL]ラジオボタンをオンにします ( このラジオボタンは、デフォルト でオンになっています )。 5 [URL]テキストボックスに URL を入力し、 [デフォルト URL の設定]をクリッ クします。 URL は、サーバに相対的な URL でなければなりません。また、データベース名 ( 前の手順で[データベース]ドロップダウンリストから選択したデータベース ) が含まれている必要もあります。 アプリケーションを SilverMaster データベースに展開する場合は、データベース 名を含める必要はありません。 J2EE トランザクションの管理 アプリケーションサーバでは、Novell exteNd メッセージングプラットフォームの一部 である Novell exteNd TM ( トランザクションマネージャ ) を介して J2EE トランザク ションがサポートされています。TM は、ORB のトランザクションサービスです。こ れにより、JTA TransactionManager インタフェースおよび UserTransaction インタフェー スが実装されます。これらのインタフェースは、トランザクションマネージャとアプ リケーションサーバ間のコントラクト、およびトランザクションマネージャとユーザ アプリケーション間のコントラクトを表します。 TM トランザクションログの設定や、トランザクションを回復するために TM によっ て使用されるリソースなどを指定する場合は、SMC を使用できます。 130 exteNd Application Server 管理ガイド サーバで重大なエラーが発生し、再起 動の必要性が生じた場合は、トランザクションを回復しなければなりません。サーバ の再起動時に TM で実行されるプロセスは、次のとおりです。 TM によってトランザクションが回復される方法 # 1 TM によって、トランザクションログファイルが読み込まれます。 2 ログファイルの項目がトランザクション用に準備されていても、トランザクション が完了しなかった場合 ( つまり、トランザクションがコミットまたはロールバック されなかった場合 )、TM ではこのトランザクションは回復の必要があると判断さ れます。 3 TM によって、多数のスレッドが作成されます ( この数は、次の手順の説明に従っ て、SMC で指定します )。これらのワーカスレッドは、不完全なトランザクショ ンを回復するために使用されます。 4 リモートリソース (CORBA リソースなど ) へのアクセスがトランザクションに含 まれている場合、ワーカスレッドでは、これらと同じリソースにアクセスしよう とします。リモートリソースを検出できない場合、ワーカスレッドは、リソース に再びアクセスを試みるまで、指定した期間中 (SMC で指定した[リソース回復 再試行の時間制限]) スリープ状態になります。同時に、他の回復ワーカスレッ ドでは、ログ内にあるその他の不完全なトランザクションを回復しようとします。 トランザクションマネージャ設定を指定する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [詳細]を選択します。 4 [トランザクション]タブを選択します。 サーバの保守 131 5 次のように設定を指定します。 フィールド 説明 作成時にログファイルを事前に 割り当てる トランザクションログファイルを事前に割り当て るかどうかを指定します。 ログファイル最大サイズ (kb) トランザクションログファイルの最大サイズ (KB 単位 )。最大ファイルサイズに達すると、TM では、 新しいログファイルの作成を試みます。 トランザクションタイムアウト ( 秒 ) TM によって管理されるすべてのトランザクション が完了するまでに許可されている時間。タイマは、 トランザクションが開始すると動き出します。 トランザクションタイムアウト期間が終了するま でにトランザクションが完了しなかった場合、TM はそのトランザクションをロールバックします。 開発者は、UserTransaction インタフェースを使用 して、特定のトランザクションに対するこの値を上 書きできます。 リソース回復再試行の時間制限(分) トランザクション回復中にワーカスレッドでリ モートリソースを取得できなかった後、リモートリ ソースへのアクセスを再び試みるまでにワーカス レッドがスリープ状態となる期間を指定します。 回復ワーカスレッド 回復中にログファイルを処理するためにTMによっ て作成される必要のあるスレッドの数。回復ワーカ スレッドの数が大きいほど、トランザクションは速 く回復します。ただし、回復するトランザクション が多数になることはまれなため、回復にはあまり時 間がかかりません。これらのスレッドは、回復が完 了した後で破棄されます。 JTS ログファイルディレクトリ ディスク内でのトランザクションログファイルの 場所 6 [更新]をクリックします。 7 132 新しい設定を有効にするには、[再起動]ボタンをクリックします。 exteNd Application Server 管理ガイド サーバの動作の監視 SMC には、サーバの動作を簡単に監視できるオプションがいくつかあります。これら のオプションについては、次の節で説明します。 " サーバの動作のグラフ表示 " ログの表示 " サーバ統計情報のビューの表示 サーバの動作のグラフ表示 さまざまなサーバ統計情報のリアルタイムのグラフを表示することができます。 # サーバの動作のグラフを表示する 1 管理しているサーバまたはクラスタを選択します。 2 ツールバーから[監視]アイコンを選択します。 3 [グラフ]を選択します。 空のグラフが表示されます。 4 [ プロットの追加 ] をクリックします。 グラフを作成する統計情報を選択できる[プロットの追加]ダイアログボックス が表示されます。統計情報は、複数のカテゴリに分けられます。 サーバの保守 133 5 グラフを作成する統計情報を 1 つ選択し、 [追加]をクリックします。 でマーク 付けされている統計情報は数の値で、 でマーク付けされている統計情報はレ コード変更の値です。 統計情報は、グラフの下の表に追加されます。統計情報の現在の値は、生成され るプロット行の色のまま表示されます。 6 ( オプション ) 他の統計情報を選択し、そのたびに[追加]をクリックします。 7 希望の統計情報をすべて選択したら、[閉じる]をクリックします。 アプリケーションサーバでは、指定した統計情報をすべてプロットし、グラフ の下の表に値を正確に表示します。デフォルトでは、値は 5 秒ごとに更新されます ( これを変更するには、 [リフレッシュ間隔]ボックスに新しい数値を入力します )。 結果 自動再ロードのための統計情報設定の保存 デフォルトでは、プロットする統計情報は、SMC のセッション間で保存および再ロード されません。 # 統計情報設定を保存する 1 [グラフ]パネルの下部にある[開始時に現在のグラフを再ロード]ボタンを クリックします。 [統計情報の再ロード]ダイアログボックスが表示されます。 2 [開始時にグラフを再ロードする]チェックボックスをオンにします。 3 ファイル名を指定するか、または省略記号をクリックしてファイルシステムから ファイルを選択します。 4 [OK]をクリックします。 グラフ作成データは、SMC を再起動するたびに読み込まれる XML ファイルに保存さ れます。 134 exteNd Application Server 管理ガイド グラフデータの保存 デフォルトでは、グラフを作成する統計情報は保存されません。 # グラフデータを保存する 1 [グラフ]パネルの下部にある[グラフデータをファイルにログ]ボタンをクリック します。 [グラフデータのログ]ダイアログボックスが表示されます。 2 [グラフデータをファイルにログ]チェックボックスをオンにします。 3 ファイル名を指定するか、または省略記号をクリックしてファイルシステムから ファイルを選択します。 4 ログファイルサイズを指定するか、または「0」と指定します。 ログファイルサイズを指定した場合 : 指定したファイルサイズに達すると、データ は同じ名前のファイルにダンプされますが、タイムスタンプが追加されます ( ファイルを固有にするため )。 「0」と指定した場合 : このファイルのサイズに制限はありません ( ただし、ファイル システムによる制限はあります )。 5 [OK]をクリックします。 データは、タブ区切りのファイルに保存されます。 スケールおよびリフレッシュレートの変更 Y 軸のスケールは、 [スケール]フィールドに新しい値を指定することによって変更で きます ( デフォルトは 100 です )。また、アプリケーションサーバによって値が更新さ れる間隔は、 [リフレッシュ間隔]フィールドの値を変更することによって変更できます ( デフォルトは 5 秒ごとです )。 サーバの保守 135 プロットの削除 # プロットを削除する " プロットを選択し、[プロットの削除]をクリックします。 プロットの編集 スケールがそれぞれ異るさまざまな統計情報をプロットする場合に、そのすべてがグ ラフで明確に表示されるようにする場合、特定のプロットの乗数を変更して値を等し くし、グラフを読みやすくします。 # プロットを編集する 1 編集する統計情報の行で、「乗数カラム」を選択します。 2 ドロップダウンリストから「乗数の値」を選択します。 統計情報セットの保存 希望の統計情報セットのグラフを作成したら、後でこの統計情報セットを簡単に表示 できるように、統計情報セットの仕様をファイルに保存することができます。 注記 : ファイルには、プロットする統計情報のリストは保存されますが、統計情報の値は保存 されません。 # 統計情報セットを保存する 1 セットとして保存する統計情報を表示します。 2 [保存]をクリックします。 [保存]ダイアログボックスが表示されます。 3 統計情報セットを保存するファイルを指定します。デフォルトの拡張子は XML です。 4 [保存]をクリックします。 統計情報セットは、[ロード]をクリックすると後で表示できます ( 次の説明を 参照 )。 統計情報セットの表示 # 保存した統計情報セットを表示する 1 [ロード]をクリックします。 [開く]ダイアログボックスが表示されます。 2 136 表示する統計情報セットを定義するファイルを選択し、 [開く]をクリックします。 exteNd Application Server 管理ガイド ログの表示 サーバのログ機能を有効にし、組み込みログクラスを使用してデータベースにログす る場合は、SMC でログをリアルタイムに表示できます ( ファイルにログする場合、ま たはカスタムクラスを使用してログを行う場合は、SMC でログを表示することはでき ません )。別の方法として、PrintLog SilverCmd を使用することもできます。 ! サーバのログ機能の詳細については、108 ページの「サーバのログ機能の使用」 を参照してください。 # ログを表示する 1 管理しているサーバまたはクラスタを選択します。 2 [監視]オプションを選択します。 3 [ログ]パネルを選択します。 4 有効にしたログ機能で、表示するログに対応するタブを選択します。 実行できる操作 " 次の操作を実行できます。 [リフレッシュ]をクリックして、ログを更新する ( ログは自動的には更新されません ) " カラムヘッダをクリックして、ログをソートする " カラムの右側の境界線にマウスポインタを置き、マウスをドラッグして、カラム のサイズを変更する " 行をダブルクリックするか、または[ログ詳細]をクリックし、メッセージを表示する サーバ統計情報のビューの表示 個々のセッションやスレッドに関するサーバ統計情報を SMC 表形式ビューで表示し たり、サーバ動作の概要を表示したりすることができます。 # 特定のビューでのサーバ統計情報にアクセスする 1 管理しているサーバまたはクラスタを選択します。 2 ツールバーから[監視]アイコンを選択します。 3 [統計情報]を選択します。 4 希望のカテゴリのタブを選択します。 統計情報は、自動的に更新されます。 実行できる操作 " " 次の操作を実行できます。 [リフレッシュ]をクリックして、強制更新する カラムの右側の境界線にマウスポインタを置き、マウスをドラッグして、カラム のサイズを変更する 統計情報について 後続の節では、表示される統計情報について説明します。 サーバの保守 137 セッション統計情報 このタブには、現在の各クライアントセッションの統計情報が表示されます。 セッション統計情報 説明 ID AgiSession 内部システムテーブルへのコールによって返されたセッ ション ID を表示します。 ユーザ名 このセッションにログオンしている人またはエンティティのユーザ名 を表示します。不明な場合は、 「匿名」と表示されます。 状態 接続の状態を表示します。 ログイン ユーザがログインしている場合 ( たとえば、ブラウザのログインから )、 true ( チェックされた状態 ) を表示します。そうでない場合は、false ( チェック解除された状態 ) を表示します。 ホスト クライアントソースのホストを表示します ( 認識している場合 )。 アイドル時間 このセッションの最後のクライアント接続が終了してから経過した 時間 ( 秒単位 ) を表示します。 プロトコルバージョン セッションに対して使用されたアプリケーションサーバプロトコル を表示します。 ブラウザでの統計情報の表示 統計情報は、ブラウザで表示することもできます。ブラ ウザで、「http://server/SilverStream/Sessions」と指定します。 138 exteNd Application Server 管理ガイド スレッド統計情報 このタブには、各サーバスレッドの統計情報が表示されます。 各フィールドの説明は、次のとおりです。 スレッド統計情報 名前 説明 「非クライアント」スレッドは、さまざまな内部タスク ( サーバのデータ構 造のクリーンアップなど ) に対して使用されます。 「クライアント」ス レッドでは、着信要求を処理します。SMC の[接続]パネルに一覧 表示される[クライアント接続の最大数]の値 243 ページの「クライ アント接続パラメータ」を参照 ) と同じ数のクライアントスレッドが 少なくとも存在します。 状態 スレッドの現在の状態についての簡単な説明。 開始日 スレッドの開始日。多くの場合、この日付は、サーバが起動された日と 同じになります。ただし、ダイナミックに割り当てられたスレッドに対 しては、この値は異なります。 ビジー時間 待機中とは対照的に、スレッドがアクティブに動作し始めてから経過し た時間 ( 秒単位 )。この値は、一般的にサーバがどれくらいビジー状態 であるかを反映しています。 セッション このスレッドの内部セッション ID。ユーザ / ホスト情報を判断するには、 [セッション]タブを参照してください。 サーバの保守 139 トランザクション統計情報 このタブには、Novell exteNd TM ( トランザクションマネージャ) によって管理される トランザクションの統計情報が表示されます。 各フィールドの説明は、次のとおりです。 140 トランザクション統計情報 説明 アクティブ このサーバで管理しなければならないアクティブなトランザク ションの数。 完了 完了したトランザクションの数。 コミット済み コミットされたトランザクションの数。 ロールバック済み ロールバックされたトランザクションの数。 タイムアウト タイムアウトしたトランザクションの数。 合計 アクティブなトランザクション、ロールバックされたトランザク ション、および完了したトランザクションの合計 ( 外部トランザク ションは除く )。 アクティブ外部 アクティブな外部トランザクションの数。 「外部トランザクション」 は、EJB へのコールによってこのサーバに伝達された別のプロセス ( 異なるサーバやクライアントアプリケーションなど ) で開始され たトランザクションです。外部トランザクションは、他のプロセス によって制御されます。 exteNd Application Server 管理ガイド トランザクション統計情報 説明 外部合計 アクティブなトランザクション、ロールバックされたトランザク ション、および外部トランザクションの合計。 要約統計情報 このタブでは、異なるタイプのカテゴリ要約にアクセスできます。各タブを選択した 場合の項目の説明は、次のとおりです。 " " " サーバ統計情報 サーバ統計情報 説明 サーバ負荷 全体的なサーバの動作に基づいてスケールされた 値を表示します。 サーバ起動以後のヒット数合計 サーバが起動されてから受信したHTTPメッセージ 要求の数。 サーバの起動日時 サーバが起動された日時。 サーバからの発信バイト数 サーバが起動されてからサーバによって返された バイトの数。 要求時間統計情報 このタブの統計情報は、HTTPログ機能が有効になっている場 合にのみ表示されます。HTTP ログ機能の詳細については、108 ページの「サーバ のログ機能の使用」を参照してください。 要求時間統計情報 説明 要求の最小処理時間 サーバでヘッダを受信してから返信を転送するまで、HTTP 要求を処理する際に経過した最小時間。 最小要求の URL 処理にかかった時間が最小の要求の URL。 要求の最大処理時間 サーバでヘッダを受信してから返信を転送するまで、HTTP 要求を処理する際に経過した最大時間。 最大要求の URL 処理にかかった時間が最大の要求の URL ( 前の行を参照 )。 要求の平均処理時間 サーバによって受信されたすべての要求の処理にかかった 時間の平均。 メモリ統計情報 ます。 このオプションの統計情報は、Java仮想マシン(JVM)に適用され メモリ統計情報 説明 空きメモリ Java コールの Runtime.freeMemory() の結果。 全メモリ Java コールの RunTime.totalMemory() の結果。 サーバの保守 141 メモリ統計情報 説明 GC カウント サーバが起動されてからJava Garbage Collectorが実行された回 数の合計。 この数は、サーバにヒットする難度、割り当てられているオブ ジェクトの数、およびサーバに必要なメモリ量を示します。 " スレッド統計情報 このオプションでは、着信クライアント接続を処理するクラ イアントスレッドについての統計情報が表示されます。 スレッド統計情報 説明 空きスレッドカウント クライアント接続に関連付けられておらず、すぐに使用できる スレッドの現在の数。 アイドルスレッド カウント クライアント接続に関連付けられているが、ユーザ要求を現在 は処理していないスレッドの数。 スレッドカウント合計 許可されているクライアントスレッドの合計数。 この数は、SMC の[接続]パネルの[クライアント接続の最 大数]の値 (243 ページの「クライアント接続パラメータ」を 参照 ) に等しくなければなりません。 ブラウザでの統計情報の表示 要約統計情報のほとんどは、ブラウザで表示することも できます。ブラウザで、 「http://server:port/SilverStream/Statistics」と指定します。ページは、 5 秒ごとに自動的に更新されます。 既存の Web サーバとの統合 アプリケーションサーバには、Web サーバによって提供されるページの中から選択し たものの要求をアプリケーションサーバにリダイレクトできるようにする「Web サー バ統合 (WSI) モジュール」が用意されています。これらの WSI モジュールを使用する と、Novell exteNd Application Server を Web サーバに統合できます。 ! 詳細については、第 8 章「Web サーバ統合モジュールの使用」を参照してくだ さい。 142 exteNd Application Server 管理ガイド 8 Web サーバ統合モジュールの使用 第8章 Novell exteNd Application Server は、既存の Web サーバフレームワーク内のアプリケー ションサーバを統合できる WSI(Web サーバ統合 ) モジュールを提供します。この章 には、次のトピックが含まれています。 " WSI モジュールについて " WSI 設定のカスタマイズ " IIS および iPlanet のセキュリティ上の考慮事項 WSI モジュールについて WSI モジュールは、Novell exteNd Application Server の拡張機能として提供されます。 製品 CD から Novell exteNd Application Server をインストールした場合、WSI モジュー ルは含まれていません。WSI モジュールを使用する場合は、Novell 開発者 Web サイト developer.novell.com/ndk/wsi.htm からこれらのモジュールをダウンロードする必要があ ります。指示に従ってモジュールをインストールおよび設定します。 NetWare ユーザの場合 NetWare のインストール中に、Apache WSI が自動的にインス トールされて設定されます。NetWare をインストールすることで、基本的な Apache WSI 設定が含まれる AgWSI.conf という名前の設定ファイルが生成されます。したがって、 開発者 Web サイトから WSI モジュールをダウンロードする必要はありません。 143 WSI モジュールの動作方法 WSI モジュールは、要求を処理するアプリケーションサーバに特定の URL ( または複 数の URL のセット ) に対する要求を転送して、既存の Web サーバディレクトリ構造 の URL ネームスペースを拡張します。この動作は、次のとおりです。 1 指定された URL への要求を受け取ると、WSI モジュールは、アプリケーションサー バとの HTTP 接続を開いて要求を転送します。 2 アプリケーションサーバは要求を処理して、WSI に応答を返します。 3 WSI は応答を Web サーバに返します。 ブラウザとアプリケーションサーバは直接通信しません。すべてのコールは WSI を介 して渡されます。応答時間を向上させるには、アプリケーションサーバへの接続をプール するよう WSI を設定できます。 WSI モジュールサンプル設定 次の 5 つの例は、企業ネットワークでの WSI 使用方法を示します。 144 " 最初の4つの例で、 WSIモジュールはURL http://www.ABC.com/daytime/schedule.html へのクライアント要求を http://sssw.ABC.com/daytime/schedule.html( クライアントの URL アドレスは変わりません ) へ転送します。 " 最後の例は、異なるアプリケーションサーバに異なるクライアント要求が転送さ れる設定を示します。 exteNd Application Server 管理ガイド 例 1: Web サーバと 1 つのアプリケーションサーバ この単純な例では、WSI モジュール は Web サーバから単一のアプリケーションサーバに要求を転送します。 注記 : 環境のセットアップには、さまざまな方法があります。たとえば、次の 4 つの各例では、 内部ファイアウォールの後方にデータベースを配置できます。企業データベースを DMZ 外に配 置すると、データベースを保護することができます。 例 2: Web サーバとクラスタ化アプリケーションサーバ この例では、WSI モジュールは 単一の Web サーバからアプリケーションサーバのクラスタに要求を転送します。この 方法は、データベースアクセスを向上させ、アプリケーションサーバが単一点障害に なるリスクを低減します。 Web サーバ統合モジュールの使用 145 この例では、複数の WSI モジュール が複数のアプリケーションサーバに要求を転送するように設定されています。この方法 では、大量の要求を処理する場合の信頼性が向上します。 例 3: 複数の Web サーバとアプリケーションサーバ 146 exteNd Application Server 管理ガイド この例でも、複数の WSI が、複数の Web サーバからの要求を複数のアプリケーションサーバに転送します。フロントエンド とバックエンドに複数のサーバがあり、両エンドでディスパッチャによる負荷分散が 使用されているため、最大量の要求をより信頼性の高い方法で処理できます。 例 4: 負荷を分散するハードウェアディスパッチャ 例 5: Web サーバと複数のアプリケーションサーバ この例では、WSI モジュールは複 数の設定でセットアップされており、着信 URL に応じて異なるアプリケーションサーバ に要求をルーティングできます。abc.com への要求は serv1.myco.com に送信され、 xyz.com への要求は serv2.myco.com に送信されます。詳細については、150 ページの 「複数アプリケーションサーバへの要求の送信」を参照してください。 Web サーバ統合モジュールの使用 147 WSI 設定要件 WSI モジュールをインストール、設定、および有効にする前に、次の点に注意してく ださい。 " WSI は、認証にクライアント証明書を要求するよう設定されたアプリケーション サーバとは使用できません。 WSI モジュールは、ブラウザからアプリケーションサーバにクライアント証明書 を転送できません。WSI はアプリケーションサーバとの新しい HTTPS 接続を開 くので、この接続にクライアント証明書を使用するために、クライアント証明書 のプライベートキーにアクセスする必要があります。しかし、プライベートキー はクライアントコンピュータのブラウザによって安全に保存されているため、使 用できません。アプリケーションサーバにクライアント証明書を送信できないた め、WSI は、認証にクライアント証明書を要求するよう設定されたアプリケー ションサーバとは使用できません。 " WSI モジュールは、Web サーバと同じコンピュータにインストールする必要があ ります。 " クラスタ化アプリケーションサーバに対しては、WSI では、ファイアウォールの 1 つのポートを介してアプリケーションサーバに要求を安全にリダイレクトする ため、サードパーティのハードウェアディスパッチャが必要です。 アプリケーションサーバのソフトウェアディスパッチャ(SilverDispatcher) は、URL をマスキングするのではなくリダイレクトすることでサーバクラスタを負荷分散 するため、アプリケーションサーバに付属の WSI モジュールは、SilverDispatcher とは使用できません。 " IIS および iPlanet では、次の点に注意してください。 " WSIはWebサーバの起動時に設定を読み込むため、 WSI設定ファイル(AgWSI.conf) は、WSI モジュールと同じディレクトリに存在する必要があります。 " WSI モジュールを実行し、IIS と iPlanet の両方に対して個別のログファイルを 維持するには、WSI DLL および共有ライブラリファイルを、関連付けられて いる AgWSI.conf ファイルとともに保存するための個別のディレクトリを作 成する必要があります。 " IIS および iPlanet WSI モジュールを同じコンピュータで実行しない場合は、個 別のディレクトリを作成する必要はありません。 アプリケーションサーバはリモートで実行できます。Web サーバコンピュータから実 行する必要はありません。 148 exteNd Application Server 管理ガイド WSI 設定のカスタマイズ Novell 開発者 Web サイトからダウンロードした WSI モジュールには、基本的な WSI 設定の作成方法を説明した readme ファイルが含まれています。 NetWare ユーザの場合 NetWare ユーザの場合、Apache WSI は、デフォルトのディレ クィブのセットを使用してインストール、設定、および有効化されます。 この節では、WSI 設定ファイルに他のディレクティブを追加することによってデフォ ルト設定をカスタマイズする方法について説明します。この節には、次のトピックが 含まれます。 " NetWare 上の Apache WSI のカスタマイズ " 複数アプリケーションサーバへの要求の送信 " 接続プール NetWare 上の Apache WSI のカスタマイズ Apache WSI モジュールを設定して有効にするには、Apache サーバの httpd.conf ファイ ルにディレクティブのセットを追加するか、または httpd.conf ファイルを含む個別の 設定フィルディレクティブを追加します。どのディレクティブを選択するかによって、 WSI が処理する URL、URL を処理するアプリケーションサーバ ( およびポート )、WSI が接続プール、SSL などを使用するかどうかといった WSI の機能が決まります。 NetWare ユーザの場合 NetWare ユーザがインストール済みの設定を使用する場合、特 に必要なアクションはありません。他のディレクティブの詳細については、付録 D 「WSI ディレクティブリファレンス」を参照してください。 # Apache WSI を設定する 1 httpd.conf ファイルを開きます。 2 Apache LocationMatch ディレクティブを追加して、WSI で管理する URL を指定しま す。次のようになります。 <LocationMatch /Root_URL_to_Forward> ここで、/Root_URL_to_Forward は、WSI がアプリケーションサーバに転送する URL です。 すべてのURLをアプリケーションサーバに転送するには、次のように指定します。 <LocationMatch /> 3 LocationMatch の要素 ( 次の行 ) 内に、Apache SetHandler ディレクティブを追加し て、wsi-handler を指定します。例は次のとおりです。 <LocationMatch /myURL> SetHandler wsi-handler Web サーバ統合モジュールの使用 149 4 WSIのアプリケーションサーバ接続タイプ(プールまたは非プール)を指定します。 ! 詳細については、152 ページの「Apache WSI の接続プール」を参照してく ださい。 5 httpd.conf ファイルを保存します。 複数アプリケーションサーバへの要求の送信 WSI モジュールでは、異なるクライアント要求を異なるアプリケーションサーバに送 信できます。 " Apache Web サーバの場合 " IIS および iPlanet Web サーバの場合 Apache Web サーバの場合 Apache WSI の異なるアプリケーションサーバに異なるクライアント要求を送信する には、複数の LocationMatch セクションを定義します。各 LocationMatch セクションに は、要求と、要求のリダイレクト先のアプリケーションサーバを定義するディレクティブ が含まれます。例は次のとおりです。 <LocationMatch URL1> WSIHost host1 WSIPort port1 </LocationMatch> <LocationMatch URL2> WSIHost host2 WSIPort port2 </LocationMatch> URL1 で始まるすべての URL は、host1:port1 に送信されます。URL2 で始まるすべての URL は、host2:port2 に送信されます。 IIS および iPlanet Web サーバの場合 IIS または iPlanet WSI の異なるアプリケーションサーバに異なるクライアント要求を 送信するには、AgWSI.conf ファイルに複数のセクションを定義します。各設定セク ションには、SECTION ステートメントのラベルが付けられ、どの要求がどのアプリ ケーションサーバにリダイレクトされるかを指定するステートメントが含まれます。 各セクションには、344 ページの「AgWSI.conf ファイルリファレンス」に必須として リストされているステートメントをすべて含める必要があります。 さらに、Web サーバは、複数のホスト名をホストする「マルチホーム」にすることも できます。WSI.host ステートメントを使用して、ホスト名 ( およびオプションのポート ) に基づいて要求を転送するように WSI を設定できます。セクションに WSI.host ステー トメントがない場合、要求のホストヘッダは無視され、一致する URL のみがフィルタ として使用されます。詳細については、338 ページの「WSIHost」を参照してください。 150 exteNd Application Server 管理ガイド Web サーバへの各着信要求に対し、WSI は、要求ヘッダ (WSI.host で指定されている 場合 ) のホスト名とポート、および要求の URL に基づいて一致するものが見つかるま で、すべての設定セクションを検索します。要求は、そのセクションで指定されたア プリケーションサーバに転送されます。 異なるアプリケーションサーバに送信するサンプル設定ファイル 次の設定ファイルに は、2 つの異なる Web サーバホスト名を指定して、2 つの異なるアプリケーションサー バに要求を送信する 3 つのセクションがあります。このサンプルには、指定された URL に安全な (HTTPS) 接続によってのみアクセスできるように WSI を設定する方法 も示されています。 SECTION=WWW_ABC_COM # www.abc.com のすべての URL を serv1.myco.com にリダイレクトします # HTTP 要求はアプリケーションサーバのポート 80 に転送されます # HTTPS 要求はアプリケーションサーバのポート 443 に転送されます WSI.host=www.abc.com WSI.root.dir=/AgISAPI SilverServer.host=serv1.myco.com SilverServer.http.port=80 SilverServer.https.port=443 SilverServer.urls=/ Connection.http.max=100 Connection.https.max=100 Connection.idle.time=25 SECTION=WWW_XYZ_COM_SECURE # www.xyz.com の /db1/approot/secure で始まる URL を # serv2.myco.com にリダイレクトします # HTTPS( 安全なポート ) からのみ (SilverServer.http. ポートは 0 に設定されます ) WSI.host=www.xyz.com WSI.root.dir=/AgISAPI SilverServer.host=serv2.myco.com SilverServer.http.port=0 SilverServer.https.port=443 SilverServer.urls=/db1/approot/secure Connection.http.max=100 Connection.https.max=100 Connection.idle.time=25 SECTION=WWW_XYZ_COM_HTTP # www.xyz.com の他のすべての URL を # すべてのポートで serv2.myco.com にリダイレクトします Web サーバ統合モジュールの使用 151 WSI.host=www.xyz.com WSI.root.dir=/AgISAPI SilverServer.host=serv2.myco.com SilverServer.http.port=80 SilverServer.https.port=443 SilverServer.urls=/ Connection.http.max=100 Connection.https.max=100 Connection.idle.time=25 接続プール WSI モジュールは、接続プールを使用して応答時間を向上させます。Web サーバに接 続される各クライアントにアプリケーションサーバへの接続を作成および管理する代 わりに、WSI は、アプリケーションサーバへの接続を複数クライアントの接続に再使 用します。WSI は、リクエストを同時に処理するために、必要に応じてアプリケーショ ンサーバとの新しい接続を開きます。この節には、次のトピックが含まれています。 " Apache WSI の接続プール " IIS および iPlanet WSI の接続プール Apache WSI の接続プール 非プール接続を使用する Apache WSI の基本設定では、WSI は、各要求に対して新し い接続を作成し、要求を実行した後、サーバから切断します。アプリケーションサー バのホスト (WSIHost) およびアプリケーションサーバポートのディレクティブ (HTTP 要求には WSIPort、HTTPS 要求には WSISslPort) を指定します。プールされていない 接続の LocationMatch ディレクティブは次のようになります。 <LocationMatch /myApp> SetHandler wsi-handler WSIHost alaska WSIPort 10080 WSISslPort 10043 </LocationMatch> 接続プールを定義すると、WSI は各要求に対して接続プールから接続を取得し、要求 を実行してからプールに接続を返します。WSI を使用することで、接続を作成して閉 じる際のオーバーヘッドが軽減されます。 接続プールを定義するには、WSIConnectionPool コンテナ要素を使用して接続プール 属性を指定してから、LocationMatch ディレクティブ内で接続プール名 (WSIConnPool) を指定します。 まず、WSIConnPool コンテナを作成する必要があります ( 対応する LocationMatch コ ンテナの直前に作成します )。例は次のとおりです。 152 exteNd Application Server 管理ガイド <WSIConnPool cp01> WSIHost alaska WSIPort 10080 WSISslPort 10443 WSIMaxConns 100 WSIMaxSslConn 50 </WSIConnPool> <LocationMatch /SilverStream40> SetHandler wsi-handler WSIConnPool cp01 </LocationMatch> WSIIdleTimeout ディレクティブを使用して、接続プールの接続にアイドルタイムアウ トを指定できます。指定しない場合、アイドルタイムアウトは 10 分に設定されます。 WSI は、WSICleanupInterval ディレクティブに指定された間隔で、アイドル接続を チェックします。これらのディレクティブは接続プールごとに指定し、指定されてい ない場合はデフォルト値が使用されます。 IIS および iPlanet WSI の接続プール IIS および iPlanet WSI モジュールは、HTTP および HTTPS プロトコルに対して個別の 接続プールを維持します。接続プールがシステムリソースを使いすぎないようにする ために、WSI は定期的にプールをスキャンして、スキャンサイクル間に使用されな かった接続を閉じます。 接続の状況は次のうちいずれかです。 状態 説明 Connected 接続中でアクティブです Inactive 接続されていますが、時間制限は切れていません Idle アクティブでなく、アイドル制限が切れています Not connected - 接続されていても使用されていない接続を見つけるため、WSI は定期的にバックグラ ンドスレッドを実行して、接続プールの非アクティブなアイドル接続をチェックしま す。WSI スレッドは、すべての非アクティブなスレッドにアイドルのマークを付け、 すでにアイドルとしてマークされた接続を閉じます。アイドルとしてマークされると、 接続は設定したアイドル時間制限 ( またはデフォルトの 25 分 ) に基づいて閉じられま す。この間隔は、接続が作成されたときではなく、WSI モジュールがロードされたと きから開始されます。 Web サーバ統合モジュールの使用 153 接続は、切断される前に 2 つのスキャンサイクルの間非アクティブのままであること が必要です。たとえば、指定された接続アイドル時間制限が 15 分に設定されている場 合、非アクティブ接続は、非アクティブになってから 15 分から 30 分の間に切断され ます ( 既存間隔の途中で WSI がプールを開始することがあるため )。スキャンサイク ルの間隔中にアイドル接続が使用された場合、接続は非アクティブとマークされて接 続プールに戻ります。 接続プール値は、AgWSI.conf ファイルの 3 つのディレクティブ Connection.http.max、Connection.https.max、および Connection.idle.time を使用して 指定できます。 接続プール値の指定 IIS および iPlanet のセキュリティ上の考慮事項 サーバプラットフォーム、アーキテクチャ、およびサードパーティセキュリティプロ バイダによって違いがあるため、WSI を使用する際には、次のセキュリティ上の考慮 事項に注意する必要があります。 " WSI モジュールでの IIS NTLM 認証の使用 " AgWSIUser ユーティリティの使用 WSI モジュールでの IIS NTLM 認証の使用 Microsoft Windows の NTLM (NT LAN Manager) 認証を使用して Web サイトを保護する と、WSI のデフォルトヘッダ設定が機能しなくなります。着信要求の認証後、IIS は 各要求に NTLM HTTP 認証ヘッダを追加します。NTLM HTTP 認証ヘッダはアプリケー ションサーバによってサポートされていないため、次のいずれかの方法で IIS の WSI モジュールを設定しない限り、着信要求は拒否されます。 " すべての認証ヘッダを、AgWSIUser ユーティリティで設定された認証ヘッダに置 換します。 " アプリケーションサーバに送信されたすべての要求から NTLM HTTP 認証 ヘッダを削除します。NTLM ヘッダが削除されたら、AgWSI.conf ファイルの WSI.auth.NTLM.remove を true に設定することで、アプリケーションサー バ に ユ ー ザ の 要 求 を 正 常 に 転 送 で き ま す。詳 細 に つ い て は、348 ページの 「WSI.auth.NTLM.remove」を参照してください。 AgWSIUser ユーティリティの使用 AgWSIUser は、WSI ユーザおよびパスワードを定義するために AgWSI.conf に必要な WSI.auth.user ス テ ー ト メ ン トを生成するコマンドラインユーティリティです。 AgWSIUser ユーティリティは、WSI で読み込むことができる形式でユーザ名とパス ワードを暗号化します。 ! 154 詳細については、348 ページの「WSI.auth.user」を参照してください。 exteNd Application Server 管理ガイド # AgWSIUser ユーティリティを使用する 1 コマンドラインから、WSI のルートディレクトリに移動します。 2 次のコマンドを入力します。 AgWSIUser username password パスワードが空白の場合は、ユーザ名のみ入力します。任意の有効なユーザを入 力できます。AgWSIUser ユーティリティによって、対応する WSI.auth.user ステー トメントがコマンドウィンドウに出力されます。 3 生成されたステートメントを AgWSI.conf ファイルの適切なセクションに貼り付 けます ( セクションを使用していない場合は、ファイルの任意の場所に貼り付け ます )。 WSI モジュールは、起動時にユーザ名とパスワードを復号化して、アプリケー ションサーバに転送するすべての要求に追加するHTTP認証ヘッダを生成します。 Web サーバ統合モジュールの使用 155 156 exteNd Application Server 管理ガイド 9 セキュリティの設定 第9章 この章では、Novell exteNd Application Server のセキュリティを設定する方法について 説明します。この章は、次の項目の節で構成されます。 " セキュリティの設定 " 認証について " サーバへの安全な接続の確立 " セキュリティプロバイダシステムへのアクセス " セキュリティプロバイダログイン形式の使用 " 証明書の使用 " 認証の有効化 " CHI (Cryptographic Hardware Integration) の使用 " 信頼するクライアントの管理 " FIPS 準拠モードの設定 ! Silver Security のユーザとグループの設定については、第 6 章 「ユーザおよびグ ループのセットアップ」を参照してください。 157 セキュリティの設定 アプリケーションサーバの 3 階層のアーキテクチャで、セキュリティはサーバ階層に 設定されます。 アプリケーションサーバは、データベース ( アプリケーションの展開先 ) または接続 プール ( データの取得元 ) に複数の接続を持つ単一のユーザとして機能します。アプ リケーションサーバはこのように機能して、データソースの追加ユーザとオブジェク トセキュリティを追加します。したがって、アプリケーションサーバはアクセス権を 持つユーザとして扱われます。ネイティブデータソースアクティビティとセキュリ ティ手段は失われません。 アプリケーションサーバは、通常の HTTP、SSL 3.0 プロトコルを使用する HTTP、ま たは TLS (Transport Layer Security) 1.0 プロトコルを使用する HTTPS をサポートします。 HTTPS はクライアントとアプリケーションサーバ間のデータを暗号化し、プライバ シーとデータの整合性を確保します。 アプリケーションサーバで実行する EJB は IIOP over SSL プロトコルを使用し、プラ イバシーとデータの整合性を確保します。IIOP over SSL サポートは ORB によって提供 されます。アプリケーションサーバは、EJB の RSA 認証のみをサポートします。 ! ORBのIIOP over SSLサポートの詳細については、Novell exteNdメッセージングプ ラットフォームヘルプを参照してください。 158 exteNd Application Server 管理ガイド Netscape が開発した SSL 3.0 は、インターネットにセキュリティとプラ イバシーを提供します。IEFT (Internet Engineering Task Force) によって定義された SSL 3.0 に基づく TLS (Transport Layer Security) 1.0 プロトコルは、最終的には SSL 3.0 に置 き換わるものとなります。HTTPS はクライアントとサーバ間のデータを暗号化し、プ ライバシーとデータの整合性を確保します。SSL プロトコルはアプリケーションに依 存せず、HTTP や FRP などのプロトコルを重ねることができます。SSL プロトコルは 暗号化キーをネゴシエートでき、データがより高いレベルのアプリケーションに交換 される前にサーバを認証できます。SSL プロトコルは、暗号化、認証、およびメッセー ジ認証コードを使用して、転送チャネルのセキュリティと整合性を維持します。 SSL について SSL をアプリケーションにアクセスさせるよう選択できます。SSL はパフォーマンス に影響するため、特定のデータ依存サイト部分のみに SSL を使用することを決定でき ます。または、アプリケーションサーバ SSL の暗号化 / 解読パフォーマンスを向上さ せる CHI (Cryptographic Hardware Integration) の使用を考慮できます。アプリケーション サーバに CHI をインストールする方法とその使用方法については、211 ページの「CHI (Cryptographic Hardware Integration) の使用」を参照してください。 HTTPS について HTTPS を使用して、プライバシー、ユーザ認証、およびメッセージ 整合性を提供する通信チャネルを取得します。アプリケーションサーバは、次のよう に SSL および TLS を実装します。 " SSL接続またはTLS接続を確立するには、アプリケーションサーバには認証証明書 ( パブリックキー証明書、デジタル ID、またはデジタル証明書とも呼ばれます ) が必要です。証明書は、偽造不可能なデジタルの「ID カード £ です。証明書はサー バを記述し、認証チェーンを含みます。 " クライアントとサーバは、所有する証明書と先方の証明書 ( クライアントに証明 書がある場合 ) の情報を使用して、送信内容を暗号化します。これは、意図した 受信者のみがデータを解読できることを送信者が確認でき、データが請求場所か ら来たことおよび改ざんされていないことを受信者が確認できることを意味し ます。 アプリケーションサーバを使用できるユーザと グループ (Silver Security ユーザ、または外部セキュリティシステムのユーザとグルー プ ) に、J2EE アーカイブ展開計画で定義された役割をマップできます。この機能の詳 細については、164 ページの「セキュリティプロバイダシステムへのアクセス」を参 照してください。 既存ユーザへ J2EE 役割をマッピング セキュリティの設定 159 認証に使用される暗号のタイプ 認 証 は、ク ラ イ ア ン ト セ ッションで開始および終了します。RSA (Rivest-ShamirAdleman) および DSA (Diffie-Hellman) 暗号化アルゴリズムは、パブリックキーとプラ イベートキーに基づきます。SSL プロトコルおよび TLS プロトコルは、ID、パブリッ クキー、および証明書を発行した CA ( 認証局 ) の ID と署名を含む X.509 証明書をサー バが持っていることを要求します。クライアントは、受信した証明書に基づいてサー バを認証します。クライアントは、さらにデータ転送の暗号化に使用するため、パブ リックキーを暗号化し、サーバに返送します。通常使用される暗号化アルゴリズムは、 RC4、DES、および 3DES です。 クライアントセッションは、次の 3 モードのうちいずれかで動作します。 モード 説明 RSA (Rivest-ShamirAdleman) 暗号化は、Java クライアント、HTML クライアント、およびア プリケーションサーバ間に安全な通信を提供します。 DSA (Diffie-Hellman) 暗号化は、Java クライアントと通信するアプリケーションサー バに安全なチャネルを提供します。 Base64 エンコード ユーザ名およびパスワード情報をクライアントからサーバに送 信するために、HTTP プロトコルで使用される暗号化方法 (SSL または TLS が実装されていない場合 )。この暗号化方法は簡単に 解読できます。ユーザ名およびパスワードの安全な交換を確保 するため、SSL または TLS 接続を使用します。SilverMaster は Silver Securityユーザ名を暗号化されたパスワードとともに保存 します。またはユーザはサポートされている外部セキュリティ プロバイダを使用することもできます。外部セキュリティシス テムを使用する場合、アプリケーションサーバは、外部セキュ リティシステムプロバイダでパスワード情報を検証します。 セキュリティ機能 アプリケーションサーバのセキュリティシステムは、次の 4 つの主要なセキュリティ 機能を提供します。 160 機能 説明 認証 HTTP を使用する場合はユーザ ID/ パスワードのペアを要求する、また はHTTPSを使用する場合は認証証明書を使用するなど、 認証処理はチャ レンジを通して行われます。 アクセス制御 ユーザの ID を検証すると、アプリケーションサーバはそのユーザが要 求されたオブジェクトで、要求された操作を実行できるかどうかを チェックします。 デ ータ の 整合 性 アプリケーションサーバは、ネットワークから受信したデータが送信 されたデータと同じであることを確認します。 exteNd Application Server 管理ガイド 機能 説明 データのプライ バシー アプリケーションサーバは、データの転送中に不正なユーザがそのデー タを表示できないようにします。 アプリケーションサーバのセキュリティシステムは、管理者を介在せずにすべての データ整合性およびデータプライバシーの機能を処理します。 この章の残りの部分では、アプリケーションサーバ環境に認証を実装する方法につい て説明します。 認証について 「認証」は、ユーザ ID を判断するプロセスです。アプリケーションによっては、ユー ザ ID/ パスワードのペアを要求する、または認証証明書を使用するなど、チャレンジ を通してユーザを識別します。Anonymous ユーザがサイトのオブジェクトにアクセス しようとすると、ログインを要求するかまたはエラーを返信できます。ログインを要 求する場合、サーバレベルまたはオブジェクトレベルで実行できます。SMC を使用す ると、特定のオブジェクトでアクセス時にログインが要求されるように設定できます。 または、サーバレベルの[ユーザの認証を必須にする]設定を使用して、ユーザがサー バに最初に接続したときにログインすることを強制できます。 ! 詳細については、210 ページの「認証の有効化」を参照してください。 サーバへの安全な接続の確立 SSL または TLS 通信を使用する場合は、次の操作を実行する必要があります。 " サーバ証明書を取得し、これをサーバにインストールする " RSA または DSA ポート、あるいはその両方を有効にする " HTTP を無効にする (SSL のみが必要である場合 ) " TLS 1.0 または SSL 3.0、あるいはその両方を有効にする サーバへのユーザおよびデータベース追加などの管理作業を行うときは、すべての通 信が暗号化されるように、サーバと使用しているクライアント (SMC またはブラウザ など ) の間にセキュア (SSL) 接続が必要です。 この後に続く 3 つの節では、次の内容について説明します。 " Java クライアントおよびアプリケーションサーバ間のセキュア (SSL) 接続の確立 " HTML クライアントとアプリケーションサーバ間のセキュア (SSL) 接続の確立 " EJB クライアントとアプリケーションサーバ間のセキュア (SSL) 接続の確立 セキュリティの設定 161 Java クライアントおよびアプリケーションサーバ間のセキュア (SSL) 接続の確立 アプリケーションサーバおよび Java クライアント間のセキュア通信には、RSA または DSA プロトコルを使用できます。 各プロトコルに固有なポートを設定できるため、指定するポートは、ユーザのランタ イムポートまたは管理ポートを意図するかどうかによって異なります。 ! # 詳細については、103 ページの「個別のポートの設定」を参照してください。 Java クライアントとアプリケーションサーバ間にセキュア (SSL) 接続を確立する 1 RSA または DSA 証明書をアプリケーションサーバにインストールします。 ! 2 詳細については、180 ページの「証明書の使用」を参照してください。 SMC の RSA または DSA ポートを有効にします。 ! 詳細については、196 ページの「RSA/DSA ポートの有効化」を参照してくだ さい。 3 DSAまたはRSAポートのHTTPSを使用して、クライアントをサーバに接続します。 4 表示されるダイアログボックスでサーバを指定し、その後に使用するランタイム または管理ポート番号を指定します。 " RSA ポートの場合、「https://server:RSA_port」と指定します。 例: https://tara:port " DSA ポートの場合、ホスト名のコマンドラインに「https://server:DSA_port」 と指定します。 例: https://tara:443 注記 : RSA ポートデフォルトを使用する場合、コマンドラインには「https://hostname 」だ けを指定します。443 以外の番号のポートに RSA を接続する場合、コマンドラインにポート値 を指定する必要があります。 HTML クライアントとアプリケーションサーバ間のセキュア (SSL) 接続の確立 アプリケーションサーバと HTML クライアント ( ブラウザ ) 間のセキュア通信には、 RSA プロトコルを使用します。 # HTML クライアントとアプリケーションサーバ間にセキュア (SSL) 接続を確立する 1 RSA 証明書をアプリケーションサーバにインストールします。 ! 2 詳細については、180 ページの「証明書の使用」を参照してください。 SMC の RSA ポートを有効にします。 ! 詳細については、196 ページの「RSA/DSA ポートの有効化」を参照してくだ さい。 162 exteNd Application Server 管理ガイド 3 RSA ポートの HTTPS を使用して、サーバにブラウザを開きます。 指定する RSA ポートは、実行する操作のタイプによって異なります。 " アプリケーションを実行するには、ランタイムポートを指定します。 " カスタムHTML管理ツールを使用している場合は、管理ポートを指定します。 サーバを指定し、その後に RSA ランタイムまたは管理ポートの番号 ( オプション ) を指定します。 https://server[:port] 例: https://tara:443 注記 : RSA ポートのデフォルトを使用する場合、コマンドラインには「https://hostname」 だけを指定します。443 以外の番号のポートに RSA を接続する場合、コマンドラインにポート 値を指定する必要があります。 EJB クライアントとアプリケーションサーバ間のセキュア (SSL) 接続の確立 アプリケーションサーバと EJB クライアント間のセキュア通信は、ORB の IIOP over SSL 機能を使用して確立されます。起動時に、アプリケーションサーバは RSA 証明書 を ORB にエクスポートします。EJB の展開計画が暗号を指定し、アプリケーション サーバに RSA 証明書がインストールされている場合、ORB は通信がセキュアである ことを確認します。 セキュア通信に参加するには、Java クライアントは agrootca.jar ファイルへのアクセス が必要です。このファイルは、\Common\lib ディレクトリにインストールされていま す。このファイルは、SilverJ2EEClient クライアントに自動的にインストールされます。 通信障害 通信障害は次の場合に起こります。 " サーバに RSA 証明書がインストールされていない " SilverJ2EEClient がサーバ証明書に一致する CA 証明書を持っていない " SilverJ2EEClient に agrootca.jar ファイルがインストールされていない ! 展開された EJB に暗号を指定する方法については、 『機能ガイド』の J2EE アーカ イブ展開に関する章を参照してください。 # EJB クライアントとアプリケーションサーバ間にセキュア (SSL) 接続を確立する 1 RSA 証明書をアプリケーションサーバにインストールします。 ! 2 詳細については、180 ページの「証明書の使用」を参照してください。 SMC の RSA ランタイムポートを有効にします。 ! 詳細については、196 ページの「RSA/DSA ポートの有効化」を参照してくだ さい。 セキュリティの設定 163 3 HTML または Java クライアントの場合、RSA ランタイムポートの HTTPS を使用 して、ブラウザをサーバに接続します。 https://server:RSA_port_rt 例: https://tara:443 または https://tara 注記 : RSA ランタイムポートがポート 443( デフォルト ) を使用する場合、コマンドラインに は「https://hostname」だけを指定します。443 以外の番号のポートに RSA を接続する場合、 ポート値を指定する必要があります。 セッションレベルフェールオーバーが指定されているステートフルセッション bean を含む EJB アプリケーションには、IIOP SSL 通信のポート範囲を作成する必要もあ ります。 ! IIOP SSL ポート範囲作成の詳細については、111 ページの「ORB 設定の指定」を 参照してください。 セキュリティプロバイダシステムへのアクセス システムは、提供したグループおよびユーザのリストに従って、ユーザおよび許可レ ベルを検証します。ユーザおよびグループ情報は、Silver Security と呼ばれるアプリ ケーションサーバのネイティブセキュリティシステムを使用して定義できます。また は、外部セキュリティシステムから取得できます。Silver Security 情報は、すべて SilverMaster データベースに保存されます。外部セキュリティの場合、情報はすべて外 部システムより取得されます。 アプリケーションサーバは、次のシステムからユーザおよびグループを認識します。 164 セキュリティプロバイダ 説明 Silver Security SilverMaster データベースの有効なユーザおよびグループリス トを維持するネイティブセキュリティ Windows NT ディレクトリ サービス アプリケーションサーバを NT ドメインネームレジストリに接 続する機能 LDAP (Lightweight Directory Access Protocol) アプリケーションサーバを定義された LDAP ディレクトリに接 続するディレクトリサービス NIS+ SunOS 5.x以降のオペレーティングシステムで使用できるネー ムサービスである Network Information Services Plus X.509 証明書 ア プリ ケ ーシ ョ ンサ ー バは、VeriSign、Netscape Certificate Server、および Microsoft Certificate Server などの認証局サー バから生成されたクライアント証明書をサポートします。詳細 については、180 ページの「証明書の使用」 を参照してください。 exteNd Application Server 管理ガイド アプリケーションサーバは、ネイティブの UNIX セキュリティと Windows NT および LDAP ディレクトリに接続する JNDI (Java Naming and Directory Interface) を実装します。 セキュリティプロバイダアクセスの追加 SMC を使用して、セキュリティプロバイダシステムへのアクセスを設定できます。プ ロバイダディレクトリへのアクセスを設定すると、外部システムからのユーザおよび グループにアクセス制御を定義できます。 Silver Security から新しいセキュリティプロバイダに変更する場合は、管理者アカウ ントが新しいプロバイダアカウントへのアクセス権を持っていることを確認してく ださい。 警告 : 管理者アカウントに新しいセキュリティプロバイダへのアクセスを与える前に Silver Security を無効にした場合は、SilverMasterInit -l を実行してアプリケーション サーバへのアクセスを回復する必要があります。 ! Silver Security のユーザとグループの設定については、第 6 章 「ユーザおよびグ ループのセットアップ」を参照してください。アクセス制御については、217 ページ の「認証とアクセス制御」を参照してください。 # セキュリティプロバイダアクセスを追加する 1 SMC を開始します。 2 ツールバーの[セキュリティ]アイコンを選択します。 セキュリティの設定 165 3 [セキュリティプロバイダ]を選択します。 アプリケーションサーバに認識されている LDAP および NIS+ サーバがすべて一 覧表示されます。 4 5 登録するプロバイダのタイプを選択します ( デフォルトではすべてのプロバイダ が選択されます )。 " NT は Windows NT を実行している場合のみに有効です。NT を選択した場合、 NT ドメインを追加する必要はありません。NT は、アプリケーションサーバ がプライマリおよび信頼するドメインを検出するために使用するシステム コールを提供します。ただし、ユーザが NT 名でログインできるようにサー バを設定する必要はあります。167 ページの「NT セキュリティの使用」を参 照してください。 " NIS+ は Solaris を実行している場合のみに有効です。 LDAP または NIS+ サーバ接続を追加するには、適切な項目を選択し、 [追加]を クリックします。 ! LDAP セキュリティプロバイダ追加の詳細については、168 ページの「LDAP セキュリティの使用」を参照してください。 ! NIS+セキュリティプロバイダ追加の詳細については、174ページの「NIS+セ キュリティの使用」を参照してください。 セキュリティリソースタイムアウトのリセット SMC では、セキュリティリソースタイムアウト時間を設定することもできます。この 時間は、定義されたセキュリティプロバイダから、使用できるユーザおよびグループ リストをアプリケーションサーバが再ロードする頻度を定義します。デフォルト値は、 15 分です。 外部システムの情報が頻繁に変わらない場合または接続が遅い場合は、この値を増や すことができます。 # 166 セキュリティリソースタイムアウトをリセットする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 exteNd Application Server 管理ガイド 3 [一般]を選択します。 4 必要に応じて[セキュリティリソースタイムアウト]値を編集します。 NT セキュリティの使用 さまざまな NT ディレクトリサービスを使用して、NT ユーザおよびグループを管理で きます。たとえば、NT ユーザ名およびパスワードを使用してログインするユーザは、 セッションごとにこの作業を 1 回しか行う必要がありません ( サーバまたはクラスタ レベルに追加セキュリティを設定していない場合 )。 ローカルおよびグローバルグループ NT ユーザおよびグループを使用すると、セキュリティ管理を簡潔にできます。たと えば、ローカルグループを定義すると、複数ドメインのユーザおよびグローバルグルー プを単一グループにまとめられます。 「ローカルグループ」は、作成されたドメインでのみ使用できます。 「グローバルグルー プ」は、独自のドメインと信頼するドメインでのみ使用できます。 サーバコンピュータで定義されたローカルグループには、ローカルユーザのほか、プ ライマリドメインまたは信頼するドメインのグローバルグループおよびユーザを含め ることができます。ただし、NT ローカルグループに他のローカルグループを含める ことはできません。 セキュリティの設定 167 ! NTユーザグループの詳細については、 Windows NTのマニュアルを参照してくだ さい。 NT 認証の高速化 信頼する大きなドメインを多数持つ場合、ローカルグループをサ ポートすると、NT 認証が低速化する可能性があります。これが問題になる場合は、次 のうちいずれかの方法でローカルグループサポートを無効にして、認証を高速化でき ます。 " httpd.propsファイル(アプリケーションサーバの\Resourcesディレクトリにあります) に次のラインを追加します。 http-server.com.sssw.srv.SupportNTLocalGroups=false " Boolean.FALSE にプロパティ PROP_SUPPORT_NT_LOCAL_GROUPS(AgiAdmServer および AgiAdmCluster にあります ) をプログラムによって設定します。 サービスとしてのサーバ実行に必要な NT 権限 NT ユーザおよびグループをサポートするには、アプリケーションサーバに[オペレー ティングシステムの一部として機能]および[サービスとしてログオン]のオペレー ティングシステム権限が必要です。これらの権限は、デフォルト NT システムアカウ ントで実行するサービスとしてアプリケーションサーバが設定される場合に設定され ます。ただし、ユーザアカウントで実行するサービスに変更した場合、またはサービ スとしてサーバを実行することを停止する場合は、2 つの NT システム権限が設定さ れていることを確認する必要があります。 ユーザアカウントで実行するサービスに変更した場合、NT コントロールパネルは [サービスとしてログオン]特権をアカウントに自動的に与えますが、[オペレーティ ングシステムの一部として機能]特権は手動で設定する必要があります。信頼するド メインからユーザがログインできるようにするには、サービスとしてアプリケーショ ンサーバを実行しているかどうかに関係なく、 [ローカルログオン]権限を設定する必 要があります。 ! Windowsセキュリティ設定の詳細については、Windowsのマニュアルを参照して ください。 LDAP セキュリティの使用 LDAP (Lightweight Directory Access Protocol) は、インターネットクライアントが TCP/IP 接続で任意の階層型属性 / 値ペアのデータベースを照会および管理できるようにする ディレクトリサービスです。LDAP は、アプリケーションが LDAP と通信できる仕様 を提供します。アプリケーションサーバでは、LDAP ユーザおよびグループの指定、 LDAP 属性の表示、およびアクセス制御式での LDAP ユーザやグループの使用などを 行えます。アプリケーションサーバは、LDAP プロトコルバージョン 2 およびバージョ ン 3 を両方サポートする LDAP サーバ (NovelleDirectory™、Microsoft Active Directory、 および Sun One Directory Server など ) へのアクセスをサポートします。 168 exteNd Application Server 管理ガイド LDAP 情報へのアクセス アプリケーションサーバは、次のように LDAP サーバと通信します。 アプリケーションサーバが LDAP サーバと通信する場合 詳細 ログイン中にユーザの資格情 報を検証する必要がある場合 この場合、アプリケーションサーバは、「特定ユーザ」のロ グイン情報を LDAP サーバへ渡します。 ユーザおよびグループリスト などの一般情報を表示する必 要がある場合 アプリケーションサーバが一般情報にどのようにアクセス するか ( またはアクセスするかどうか ) は、LDAP サーバの 設定方法によって異なります。 " LDAP サーバが Anonymous アクセスを許可していない場 合、システムログイン資格情報を LDAP サーバに渡すよ うにアプリケーションサーバを設定できます。手順 5 で システム資格情報を指定する必要があります。 " LDAP サーバが anonymous アクセスを許可している場 合、システムログイン資格情報を渡す必要はありませ ん。手順 5 で LDAP にシステムアカウントを指定する必 要はありません。 SSL を使用した LDAP サーバへの接続 LDAP グループおよびユーザについての情報 ( クライアント資格情報を含みます ) が クリアテキストとして転送されることを防ぐには、アプリケーションサーバと LDAP サーバ間で SSL または TLS 接続を使用します。 アプリケーションサーバで SSL または TLS 通信を使用するには、SSL または TLS を サポートするように LDAP サーバをすでに設定済みであり、LDAP サーバに証明書を インストール済みである必要があります。 ! 詳細については、LDAP サーバのマニュアルを参照してください。 注記 : LDAP で SSL または TLS 通信を使用すると、要求された場合に LDAP サーバに送信す るアプリケーションサーバ証明書を設定できます。LDAP サーバは、証明書を必要とするまたは 要求するよう設定されると、送信されてきたすべての証明書を検証しようとします。 LDAP バージョン 2 のみサポートする LDAP サーバへの接続 LDAP バージョン 2 プロトコルのみ使用するように、アプリケーションサーバ接続を 設定できます。デフォルトでは、アプリケーションサーバは最初に LDAP バージョン 3 を使用して LDAP サーバに接続しようとします。接続に失敗すると LDAP サーバは エラーを報告し、アプリケーションサーバはバージョン 2 プロトコルを使用して接続 しようとします。 セキュリティの設定 169 LDAP バージョン 3 がサポートされていない場合 このアプローチは、LDAP バージョ ン 3 を使用する場合に必ずしもエラーを報告しない LDAP サーバ (Microsoft Site Server など ) では使用できません。LDAP バージョン 3 がサポートされていない場合は、設 定手順の手順 6 の SMC で[LDAP バージョン 2 の強制使用]オプションを設定する 必要があります。 # LDAP セキュリティを設定する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [セキュリティプロバイダ]を選択します。 4 プロバイダリストで[LDAP]を選択し、[追加]をクリックします。 ウィザードが表示されます。 5 [LDAP]を選択して、[次へ]をクリックします。 次のようなパネルが表示されます。 6 サーバ、( オプション ) ログイン属性、およびユーザ名 / パスワードを次のように 指定します。 フィールド 指定 サーバ LDAP サーバの名前。サーバ名はネットワークで認識される必要が あります。LDAP サーバがデフォルト以外のポートを使用する場合、 サーバ名の一部として指定する必要があります。 例 : localhost:636 SSL の使用 指定した LDAP サーバおよびポートが SSL 通信を使用するように設 定されている場合、このオプションを使用します。 ! 詳細については、169 ページの「SSL を使用した LDAP サー バへの接続」を参照してください。 170 exteNd Application Server 管理ガイド フィールド 指定 サーバへの証明 書の送信 このオプションで、アプリケーションサーバの証明書を LDAP サーバ に送信できます。LDAP サーバは、証明書を必要とするまたは要求す るよう設定されると、送信されてきたすべての証明書を検証しようと します。 LDAP サーバが証明書を要求するまたは必要とするように設定さ れ、このオプションが有効になっている場合、アプリケーションサー バの証明書は LDAP サーバに送信され、信頼する CA 証明書リスト に対して検証できます。LDAP サーバが証明書を要求するまたは必 要とするように設定され、アプリケーションサーバが証明書を持っ ていない場合、アプリケーションサーバは証明書要求の[サーバへ の証明書の送信]コマンドを無視します - LDAP サーバが証明書を 必要とする場合、接続は失敗します。 [SSL の使用]( 前の項目 ) も選択している場合は、 [サーバへの証 明書の送信]チェックボックスのみオンにできます。 LDAPバージョン2 の強制使用 このオプションを設定して、LDAP バージョン 3 をサポートしない LDAP サーバ (Microsoft Site Server など ) で使用します。 ! 詳細については、170 ページの「LDAP バージョン 3 がサポー トされていない場合」を参照してください。 ユーザログイン 属性 ( オプション ) このプロパティの値を指定すると、特定のユーザを識 別するために使用できる LDAP 属性を定義できます。すべてのユー ザに固有の属性を選択する必要があります。 ヒント : 値を指定すると、LDAP ユーザのログインを簡素化できま す。詳細については、178 ページの「LDAP ユーザの簡易ログイ ン」を参照してください。 ユーザ名および パスワード 適切な場合には、ユーザ名およびパスワードを入力して、アプリケー ションサーバが LDAP 情報にアクセスできるようにします。アプリ ケーションサーバは、必要な場合にシステムログイン資格情報を使 用して、一般 LDAP サーバ情報にアクセスします。 LDAP サーバが匿名アクセスを許可する場合、アカウント値は必要 ありません。 ! 詳細については、169 ページの「LDAP 情報へのアクセス」を 参照してください。 セキュリティの設定 171 7 [次へ]をクリックします。 次のようなパネルが表示されます。 このパネルを使用して、LDAP サーバのグループを指定します。 項目 説明 グループ場所 ( 必須 ) グループエントリの検索を開始する階層でレベルを識別する 識別名。たとえば、myco という組織に存在する employees という 部門で開始するには、次のように入力します。 ou=employees,o=myco 階層で employees を含め、下のすべてのグループが含まれます。 ! 識別名の詳細については、178 ページの「LDAP ユーザの簡 易ログイン」を参照してください。 グループフィルタ ( 必須 ) LDAP 検索フィルタは、LDAP サーバのグループを構成する ものを決定するために使用されます。一般的使用法は、グループを 識別するオブジェクトクラス属性値の指定です。フィルタの定義は、 すべての有効な LDAP 検索フィルタです。例 : (objectclass=groupofuniquenames) グループの属性 グループオブジェクトの属性を使用してグループメンバーシップを 定義する LDAP サーバ (Netscape Directory Server など ) に必要です。 ユーザの属性 ユーザオブジェクトの属性を使用してグループメンバーシップを定 義する LDAP サーバ (Microsoft Site Server など ) に必要です。 注記 : Microsoft の Active Directory は、グループメンバーシップを 定 義 す る グ ル ー プ 属 性 お よ び ユ ー ザ 属 性 を サ ポ ー ト し ま す。 memberOf のユーザの属性およびユーザ / グループの属性の指定は、 最も効率的な設定です。 グループ / ユーザ属性 ( 必須 ) SMC でグループのすべてのメンバー( ユーザ ) を表示するた めに使用する属性。 入力する名前は、グループメンバーシップを定義する LDAP グルー プまたはユーザ属性です。例 : uniquemember 172 exteNd Application Server 管理ガイド 項目 説明 グループ説明 属性 ( オプション ) SMC でグループ説明を識別するために使用する属性。 入力する名前は、説明をマップする LDAP 属性です。例 : メモ グループ追加 属性 指定した LDAP グループ属性をすべて SMC に一覧表示する場合は、 [すべて]を選択します。追加属性を表示しない場合は、 [なし]を 選択します。 指定した属性は、[ユーザとグループ]パネルでグループを選択し て、プロパティインスペクタを開くと、タブに表示されます。 ! 詳細については、175 ページの「ユーザおよびグループへの アクセス」を参照してください。 8 グループの指定が終了したら、[次へ]をクリックします。 このパネルは、LDAP サーバのユーザ指定を要求します。 9 次のようにユーザを指定します。 項目 説明 ユーザの場所 ( 必須 ) ユーザ検索を開始する階層でポイントを識別する識別名。た とえば、software に存在する developers というポイント ( または ノード ) で開始するには、次のように入力します。 ou=developers,o=software 階層で developers を含め、下のすべてのユーザが含まれます。 ユーザフィルタ ( 必須 ) LDAP 検索フィルタは、LDAP サーバのユーザを構成するも のを決定するために使用されます。一般的使用法は、ユーザを識別 するオブジェクトクラス属性値の指定です。フィルタの定義は、す べての有効な LDAP 検索フィルタです。例 : (objectclass=person) ユーザ説明属性 ( オプション ) SMC でユーザ説明を識別するために使用する属性。入 力する名前は、説明をマップする LDAP 属性です。例 : title セキュリティの設定 173 項目 説明 フルネーム ( オプション ) 使用できる場合、フルネーム属性を指定します。例 : cn 追加属性 指定した LDAP ユーザ属性をすべて SMC に一覧表示する場合は、 [すべて]を選択します。追加属性を表示しない場合は、[なし]を 選択します。 指定した属性は、 [ユーザとグループ]パネルでユーザを選択して、 プロパティインスペクタを開くと、タブに表示されます。 ! 詳細については、175 ページの「ユーザおよびグループへの アクセス」を参照してください。 10 [完了]をクリックします。 SMC は LDAP ディレクトリに設定を表示します。SMC のセキュリティオプショ ンで[ユーザとグループ]を選択すると、いつでも新しい設定を表示できます。 NIS+ セキュリティの使用 NIS+ (Network Information Services Plus) は、SunOS 5.x 以上のオペレーティングシステ ムで使用できるネームサービスです。ユーザは passwd.org_dir、グループは group.org_dir によって識別され、NIS+ テーブルに表示されます。ユーザおよびグループを追加する と、アクセス制御のセキュリティの式で使用できます。 # NIS+ セキュリティを設定する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [セキュリティプロバイダ]を選択します。 4 プロバイダリストで[NIS+]を選択し、[ 追加]をクリックします。 ウィザードが表示されます。 5 [ NIS+]を選択して、 [次へ]をクリックします。 6 次の形式で NIS+ サーバの名前をタイプします。 servername/nisDomain.com\username サーバ名はネットワークで認識される必要があります。 174 exteNd Application Server 管理ガイド ユーザおよびグループへのアクセス SMC を使用して、セキュリティプロバイダに定義したユーザおよびグループを参照で きます。 # ユーザおよびグループを参照する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 アイコンを選択して、サーバに認識されているユーザおよびグループを参照し ます。 選択した項目を展開して、特定のユーザおよびグループを表示できます。 セキュリティプロバイダログイン形式の使用 アプリケーションサーバは、Silver Security、NT セキュリティ、LDAP セキュリティ、 NIS+ セキュリティ、および Certificate Security を含む多くのセキュリティレルムをサ ポートします。Certificate Security を除くすべてのセキュリティでは、ユーザ名情報お よびパスワードなどを指定することによって識別作業を行います。 ユーザがログインすると、次のようなダイアログボックスが表示されます。 認証ダイアログボックスがブラウザによって表示される場合、ブラウザで定義された ダイアログはここで示したダイアログと多少異なって見えますが、同じフィールドか ら構成されます。 セキュリティの設定 175 ユーザ名またはパスワードにコロンを使用することはできません。 HTTP のユーザ認証は、コロン (:) で区切られたユーザ名およびパスワードを使用する ことで機能します。ユーザ名およびパスワードがコロンを含んでいないことを確認し てください。特に、長い LDAP 識別名の場合は、名前のコンポーネントにコロンが含 まれていないことを確認してください。 ユーザ名のパート ユーザ名は、円マークで区切られた 3 つのパートで構成されます。レルム \ 認証局 \ 名前 パート 説明 レルム アプリケーションサーバは、ログイン用に次のセキュリティプロバイダレル ムをサポートします。 認証局 " SSSW (Silver Security ユーザ用 ) " NT " LDAP " NIS+ 認証局については、次を参照してください。 名前 " Silver Security には認証局がありません " NT の場合、認証局は NT ドメインです " LDAP の場合、認証局はサーバです " NIS+ の場合、認証局はスラッシュ (/) で区切られたサーバ名およびドメイ ン名です ユーザ名 ユーザ名ショートカット形式 デフォルトで、アプリケーションサーバは次のように完 全なユーザログイン名のショートカット形式を許可しています。 " Silver Security ユーザがユーザ名の一部を入力した場合、 Silver Security のユーザ 名であると見なされます。例 : emilyh は SSSW\\emilyh に変換されます 注記 : Silver Security の場合、認証局は 2 つの円記号の間の空白の文字列となります。外 部セキュリティシステムが使用されないため、認証局は必要ありません。 " Windows NT ユーザがユーザ名の 2 つの部分を入力した場合、 domain\userName 形式の NT ユーザ名と見なされます。例 : mydomain\craigh は NT\mydomain\craigh に変換されます 176 exteNd Application Server 管理ガイド デフォルトでは、LDAP および NIS+ 名は、次のように完全に識別される必要があり ます。 " ユーザ名の LDAP ログイン構文 :LDAP\serverName\distinguishedName ユーザは、パス名全体を入力する必要があります。例 : LDAP\myServer\cn=Nancy Smith,ou=My Company " ユーザ名の NIS+ ログイン構文 :NisPlus\server/nisDomain\username ユーザは、パス名全体を入力する必要があります。認証局は、スラッシュで区切 られた 2 つのコンポーネントを持つことに注意してください。例 : NisPlus\myServer/domain1.com\jeanw デフォルトのログイン仕様は、次に説明するように変更できます。 デフォルトのログイン名コンポーネントの上書き デフォルトのログイン名コンポーネントを上書きできます。使用する外部セキュリ ティシステムが 1 つのみ(および外部セキュリティ認証局が 1 つのみ)の場合、ユー ザに短縮名を許可して、ログイン手順を簡潔にできます。 # デフォルトのログイン名コンポーネントを上書きする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [一般]を選択します。 4 デフォルトのレルムとデフォルトの認証局 ( オプション )、さらにレルムの表示名 を指定します。 フィールド 説明 デフォルトのセキュリティ レルム レルムを明示的に定義していないログイン名に、セキュ リティレルムを定義します。 Silver Security、NT、LDAP、NIS+、またはデフォル トの指定なしを値として選択できます。 デフ ォルト のセキ ュリ ティ 認証 ( デフォルトのセキュリティレルムが定義されている場 合のみに有効 ) 認証局を明示的に定義していないログイ ン名に認証局を定義します。 アプリケーションサーバは、選択されたデフォルト領域 に基づいて、有効な認証局のリストを提供します。 セキュリティレルム表示名 サーバログインダイアログボックスにセキュリティレ ルムとして表示する文字列。この値は、クライアントに 送信される[WWW-Authenticate]応答ヘッダに渡され ます。 常に完全なログイン名を指定でき、その場合はデフォルトは無視されます。 セキュリティの設定 177 例 サイトが、単一の LDAP サーバからセキュリティ名を使用するとします。次のデ フォルトを設定できます。 オプション 指定 デフォルトのセキュリティ レルム LDAP デフォルトのセキュリティ 認証 ServerName LDAP サーバに存在するユーザは、LDAP ユーザ名およびパスワードを使用するだけ で、アプリケーションサーバにログインできます。 同じ例で、Silver Security セキュリティレルムの一部として存在するユーザは、完全な ログイン名を指定する必要があります。 SSSW\\SilverName LDAP ユーザの簡易ログイン LDAP では、LDAP ネーミング階層に関連し、ユーザ名は「DN ( 識別名 )」として指 定されます。DN はカンマ区切りのノードのリストで、ユーザがルートノードに戻る リーフノードからの属性 / 名前ペアを含みます。 デフォルトでは、アプリケーションサーバにログインする LDAP ユーザは、長い DN 全体を入力する必要があります。セキュリティプロバイダとして LDAP サーバを追加 するときに、ユーザログイン属性プロパティを指定することで、LDAP ユーザのログ インを簡潔にできます。プロパティの詳細については、168 ページの「LDAP セキュ リティの使用」を参照してください。 ユーザログイン属性を指定した場合、ログインシーケンス中にユーザ資格情報が検証 される際に、ログインユーザ名の名前部分に一致した値を使用して、指定したユーザ ログイン属性が検索されます。LDAP サーバをアプリケーションサーバに定義すると、 検索はユーザの場所として識別された LDAP 階層のポイントから開始されます (168 ページの「LDAP セキュリティの使用」を参照 )。 検索に成功すると、対応するユーザの DN( 複数ヒットした場合は最初のもの ) を使用 して完全修飾ログイン名が構成され、ログイン動作を続行します。検索に失敗すると、 [名前]フィールドの値を LDAP ユーザの識別名として操作を続行します。これによっ て、属性が設定されている場合に LDAP ログインはいずれかの形式を使用できます。 178 exteNd Application Server 管理ガイド 例1 次のサーバプロパティが指定されているとします。 フィールド 指定 デフォルトのセキュリティレルム (SMC の[サーバセキュリ ティ]パネルで指定 ) LDAP ユーザログイン属性 (LDAP サーバをアプリケーションサーバ に定義する際に指定 ) メール ユーザの場所 (LDAP サーバをアプリケーションサーバに定義 する際に指定 ) o=My Company,c=US この例で、デフォルトのセキュリティレルムが定義され、ログイン属性は mail に設定 されます。このサイトで、各ユーザの mail 属性はユーザの完全なメールアドレスです。 DN が uid=ecraig,ou=Development,ou=Billerica,o=My Company,c=US、メールアドレス が [email protected](mail 属性が [email protected] のユーザ ) であり、 myServer という LDAP サーバで定義されたユーザは、次のいずれかのログイン名を使用 できます。 myServer\uid=ecraig,ou=Development,ou=Billerica,o=My Company,c=US または myServer\[email protected] 例2 次のサーバプロパティが指定されているとします。 フィールド 値 デフォルトのセキュリティレルム (SMC の[サーバセキュリ ティ]パネルで指定 ) LDAP デフォルトのセキュリティ認証 (SMC の[サーバセキュリティ] パネルで指定 ) myServer ユーザログイン属性 (LDAP サーバをアプリケーションサーバ に定義する際に指定 ) uid ユーザの場所 (LDAP サーバをアプリケーションサーバに定義 する際に指定 ) o=My Company,c=US この例では、デフォルトのセキュリティレルムに加え、デフォルトのセキュリティ認 証局が指定されています。ログイン属性は uid に設定されています。 同じユーザ (uid は ecraig) は、次のうちいずれかのログイン名を使用できます。 uid=ecraig,ou=Development,ou=Billerica,o=My Company,c=US または ecraig セキュリティの設定 179 証明書の使用 証明書は、SSL 3.0 プロトコル および TLS 1.0 プロトコル (HTTPS) で HTTP を使用す る際に必要です。HTTPS はクライアントとサーバ間のデータを暗号化し、プライバ シーとデータの整合性を確保します。証明書は、ユーザの認証にも使用できます。 この節では、次のトピックについて説明します。 " 証明書について " SMC を使用したサーバ証明書の作成とインストール " ディスパッチャ用サーバ証明書の作成とインストール " サーバ証明書の表示 " RSA/DSA ポートの有効化 " HTTP 通信のオフ設定 " SSL 3.0 と TLS 1.0 の許可 " SSL 暗号の制限 " 認証局の管理 " クライアント証明書のインストールと管理 " Java クライアントの SSL サーバ証明書の検証 証明書について 「証明書」( パブリックキー証明書、デジタル ID、またはデジタル証明書とも呼ばれま す ) は、ユーザまたはグループの ID を認証するファイルです。証明書は、認証局 (CA) と呼ばれる信頼する組織によって発行されるライセンスです。CA は、証明書サービ スを提供する外部企業 (VeriSign など ) または企業 MIS 部署などの内部組織である場合 があります。 インターネットアプリケーションには、一般的に、広く認識され信頼する保証人が署 名したサーバ証明書をお勧めします。インターネットアプリケーションでは、保証人 をアプリケーション実行企業とすることで十分です。 ユーザおよびサーバは、ID を証明する証明書を持てます。プライバシーために SSL ま たは TLS を使用する場合、アプリケーションサーバには、サーバ証明書が必要です。 有効になると、サーバはユーザ ID を証明するブラウザのクライアント証明書を要求 します。 180 exteNd Application Server 管理ガイド 証明書の利点 証明書は、次のような重要なセキュリティサービスを提供します。 サービス 説明 認証お よびセキ ュリ ティの強化 クライアントは、正しい相手と通信していることを確認できます。 同様に、アプリケーションはユーザが誰か確認できます。証明書ベー スの認証は、ユーザ名 / パスワードなど従来のユーザ認証方法より 安全です。 SSL のリアルタイム 暗号化 SSL 暗号化方法は、SSL ハンドシェークの一部として、クライアン トに対するデジタル証明書提示をサーバに要求します。サーバ証明 書の検証は、サーバ ID の信頼レベルをクライアントに与えます。 利便性 証明書によってユーザは 1 回ログインできます ( たとえば、ブラウザ にログインするなどのローカル操作 )。その他のすべてのログインに ついては、必要に応じてブラウザがクライアント証明書をサーバに提 示します。 証明書サポート 次の表は、アプリケーションサーバの証明書サポートについて説明しています。 サポート項目 説明 サーバ証明書 サーバ証明書は、SSL または TLS/HTTPS に必要です。これによ り、クライアントはサーバを認証できます。クライアントのタイプ により、証明書には次の 2 つのタイプがあります。 " 「RSA エンコード形式のサーバ証明書」は、アプリケーション サーバ、Java クライアント、および HTML クライアント間の HTTPS/SSL 通信でサポートされます。 " 「DSA サーバ証明書」は、アプリケーションサーバおよび Java クライアント間の HTTPS/SSL 通信でサポートされます。 注記 : Java クライアントは、アプリケーションサーバへの SSL 接 続を確立する際に、JAR ファイルに保存された信頼する CA 証明書 リストに対してサーバ証明書を検証します。208 ページの「Java クライアントの SSL サーバ証明書の検証」を参照してください。 クライアント証明書 クライアント証明書はオプションで、サーバによるユーザ認証に使 用されます。ブラウザにインストールされます。VeriSign を含め、 多数の認証局からクライアント証明書を取得できます。各クライア ント証明書は、証明書を生成した CA 証明書を含みます。サーバに は対応する CA 証明書が必要です。 注記 : アプリケーションサーバは、DSA クライアント証明書をサ ポートしません。 サーバの CA 証明書 CA 証明書は、署名した CA に基づき信頼するクライアントを表し ます。CA 証明書は、対応する HTML クライアント証明書を検証す るためにサーバで要求されます。サーバは、インストールされた CA 証明書により生成または署名されたクライアント証明書のみを 認証します。 セキュリティの設定 181 グローバル証明書について 一般的に、「グローバル証明書」と呼ばれるものは、VeriSign の Global Secure Site ID です。世界中で 128 ビット暗号化を許可するデジタル ID 形式です (Secure Site ID と呼 ばれる標準 VeriSign デジタル ID は、米国ベースの企業が米国外で 128 ビット暗号化 を使用することを禁止しています )。 Global Secure Site ID をサポートするサーバとして認証するかどうかは、VeriSign が決 定します。Global Secure Site ID のサポートを宣言するのは、Novell などのサーバベン ダではありません。 ! 詳細については、http://digitalid.verisign.com/server/global/help/globalFAQ.htm を参 照してください。 SMC を使用したサーバ証明書の作成とインストール 次のタスクに SMC を使用できます。 " RSA サーバ証明書の作成とインストール " DSA サーバ証明書の作成とインストール RSA サーバ証明書の作成とインストール SMC は、RSA サーバ証明書に次の機能を提供します。 機能 説明 要求の生成 RSA 証明書に CSR ( 証明書署名要求 ) を生成します。 CSR は、アプリケーションサーバを実行する組織の識別情報を含 む暗号化ファイルです。CSR は、情報を使用して発行者が署名し た証明書を作成する証明書発行者 (VeriSign など ) に送信されます。 パブリック / プライベートキーの組み合わせを生成して、プライ ベートキー情報をデータベースに保存します。プライベートキー 情報はサーバから SMC に渡されないため、安全です。 証明書のインストール 発行者から返信された証明書情報を尋ね、証明書をアプリケーショ ンサーバに ( プライベートキー情報なしで ) インストールします。 プライベートキー情報は、「要求の生成」プロセスによりサーバ にすでに存在するためインストールされません。 サーバが同じ DNS 名に対して RSA 証明書をすでに持っている場 合、同じ DNS 名に別の証明書をインストールすると既存の証明 書は上書きされます。 この機能は、AgDigitalIDStep2 ユーティリティの実行に似ています。 182 exteNd Application Server 管理ガイド 機能 証明書のインポート / エクスポート 説明 「エクスポート」により、インストールした証明書およびプライ ベートキーをサーバの指定ファイルにエクスポートできます。証 明書およびプライベートキーは、標準 PKCS12 形式でエクスポー トされます。バックアップに使用されます。 エクスポートしたファイルのパスワードを指定するように求め るメッセージが表示されます。 「インポート」により、エクスポートした証明書およびプライベー トキーをインポートできます。インポート処理では、証明書が サーバにインストールされ、同じ DNS 名が指定されると既存の 証明書は上書きされます。 エクスポートされた証明書をインポートする場合、パスワードの 入力を求められます。このパスワードは、エクスポートで使用し たパスワードと同じです。 プライベートキーの エクスポート サーバコンピュータの指定したファイルに、PKCS8 形式でプラ イベートキーを書き込みます。プライベートキーを保護するた め、パスワードの入力を求められます。 「要求の生成」機能を使用した後、この機能を使用してプライベー トキーをバックアップします。 プライベートキーの インストール 発行者から返信された証明書情報およびプライベートキーファ イル (「プライベートキーのエクスポート」機能で生成 ) の入力を求 め、証明書をアプリケーションサーバに ( プライベートキー情報 とともに ) インストールします。 CSR を生成し、 「要求の生成」機能でインストールしたプライベー トキーを使用できない場合 ( たとえば、CA から証明書を受信す る前にサーバベータベースが破損された場合 ) に、この機能を使 用します。 注記 : ディスパッチャに対して証明書を生成するには、190 ページの「ディスパッチャ用サー バ証明書の作成とインストール」で説明するコマンドラインツールを使用する必要があります。 # RSA サーバ CSR を生成する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [RSA]タブを選択します。 5 [要求の生成]を選択します。 6 表示されるパネルの項目に次のように入力します。 セキュリティの設定 183 フィールド 指定する内容 サーバの DNS 名 TCP/IP ホスト名。 コンピュータ名とは異なる場合があります ( コ マンドラインから ping localhost を発行して、ローカルホストの TCP/IP 名を決定できます )。 組織 法律上の完全な社名 部門 ( オプション ) 社内部署 都市 / ロケール ( オプション ) 会社が事業を運営する都市または場所 州 / 都道府県 / 地域 会社が事業を運営する都道府県、州、または地域のフルネーム。 省略しないでください。 国 会社が事業を運営する国。2 文字の ISO 国コードを使用してく ださい。たとえば、米国の ISO コードは US です。 7 [次へ]をクリックします。 このパネルでは、生成するキーペアのサイズを指定できます。 通常、1024 ビットオプションは許容レベルのセキュリティを提供します。より高 いレベルを選択すると、最初の接続速度が低下します。512 ビットオプションは、 低レベルのセキュリティを提供します。 8 184 画面の指示に従って、生成するキーペアのサイズを指定します。 exteNd Application Server 管理ガイド 9 [次へ]をクリックします。 次のようなパネルが表示されます。 パネルは CSR のパスを示します。パスは編集できます。後で証明書をインストー ルする際に、この情報を使用します。 10 [次へ]をクリックします。 11 [CSR をクリップボードへコピー]をクリックして、CSR のコンテンツをクリッ プボードにコピーし、次の手順で使用します。 12 指示に従って、アプリケーションサーバに証明書を要求します ( たとえば、VeriSign Web サイト http://digitalid.verisign.com を使用 )。要求が承認されると、証明書認証 局から新しい証明書がメールで送信されます。 13 [完了]をクリックします。 セキュリティの設定 185 # プライベートキーをバックアップする CSR を生成した後、証明書発行者から CSR を取得する前に SilverMaster データベース が破損された場合に備えて、プライベートキー情報をバックアップできます。プライ ベートキーを保存しても、証明書をインストールすることはできます。 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [RSA]タブを選択します。 5 [プライベートキーのエクスポート]を選択します。HTTPS の使用を指示するメッ セージボックスが表示されます。 次のようなパネルが表示されます。 6 RSA プライベートキーを保存する場所のパスおよびファイル名を入力します。 7 ファイルのパスワードを入力します。このパスワードに管理者のパスワードを指 定する必要はありません。プライベートキー情報を含むファイルに適用されるだ けです。 8 [完了]をクリックします。 # 証明書を ( プライベートキーなしでまたはプライベートキーとともに ) インストールする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [RSA]タブを選択します。 186 exteNd Application Server 管理ガイド 5 [証明書のインストール]または[プライベートキーと共にインストール]を選択 します。 [プライベートキーと共にインストール]を選択すると、メッセージボックスが表 示され、この手順に HTTPS を使用するよう指示されます。 次のようなパネルが表示されます。 6 署名認証をテキスト領域に貼り付け、[完了]をクリックします。 [プライベートキーと共にインストール]を選択すると、プライベートキーを含む ファイルおよびファイルに関連するパスワードを尋ねられます。 6a ファイルの場所にブラウズします。 6b パスワードを入力して、 [完了]をクリックします。 SMC は、更新が正常に行われたことを示すメッセージを表示します。 7 [OK]をクリックします。 8 [再起動]を選択して、変更内容を有効にします。 # RSA 証明書をバックアップする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [RSA]タブを選択します。 5 [証明書のエクスポート]を選択します。HTTPS モードで実行するよう指示されます。 6 バックアップファイルの名前および場所を指定します。 7 ファイルを保護するパスワードを指定します。 8 [完了]をクリックします。 セキュリティの設定 187 # RSA 証明書をインポート ( インストール ) する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [RSA]タブを選択します。 5 [証明書のインポート]を選択します。HTTPS モードで実行するよう指示されます。 次のようなパネルが表示されます。 6 証明書ファイルの名前および場所を指定します。 7 ファイル保護に使用するパスワードを指定します ( 証明書のエクスポートに使用 したものと同じパスワードです )。 8 [完了]をクリックします。 DSA サーバ証明書の作成とインストール SMC を使用すると、DSR サーバ証明書を生成してインストールできます。 # DSA サーバ証明書を生成してインストールする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [DSA]タブを選択します。 188 exteNd Application Server 管理ガイド 5 [証明書の追加]を選択します。 次のようなパネルが表示されます。 6 パネルの項目を次のように入力します。 フィールド 入力する内容 サーバの DNS 名 TCP/IP ホスト名。コンピュータ名とは異なる場合があります ( コマンドラインから ping localhost を発行して、ローカルホス トの TCP/IP 名を決定できます )。 組織 法律上の完全な社名 部門 ( オプション ) 社内部署 都市 / ロケール ( オプション ) 会社が事業を運営する都市または場所 州 / 都道府県 / 地域 会社が事業を運営する都道府県、州、または地域のフルネーム ( 省略しないでください )。 国 会社が事業を運営する国。2 文字の ISO 国コードを使用してく ださい。たとえば、米国の ISO コードは US です。 7 [次へ]をクリックします。 セキュリティの設定 189 8 次のパネルでは、生成するキーペアのサイズを指定できます。 通常、1024 ビットオプションは許容レベルのセキュリティを提供します。より高 いレベルを選択すると、最初の接続速度が低下します。512 ビットオプションは、 低レベルのセキュリティを提供します。 9 画面の指示に従って、生成するキーペアのサイズを指定します。 10 [次へ]をクリックします。 既存の証明書はすべて上書きされるという警告が表示されます。 11 証明書の追加を続行するには、[完了]をクリックします。 ディスパッチャ用サーバ証明書の作成とインストール アプリケーションサーバのディスパッチャ ( クラスタリングで使用 ) にサーバ証明書 を作成してインストールするには、次のコマンドラインユーティリティを使用する必 要があります。 ユーティリティ 説明 AgDigitalIDStep1 次のうちいずれかを準備するために使用します。 AgDigitalIDStep2 190 " RSA 証明書の CSR。CSR は、アプリケーションサーバを実行する 組織の識別情報を含む暗号化ファイルです。CSR は、情報を使用 して発行者が署名した証明書を作成する証明書発行者 (VeriSign な ど ) に送信されます。 " アプリケーションサーバを実行する組織を識別する自己署名 DSA 証明書 発行者から送信された証明書情報およびデータ保護に使用されるプラ イベートキーの入力を求め、証明書をアプリケーションサーバに ( プ ライベートキー情報なしで ) インストールします。 exteNd Application Server 管理ガイド 次の節では、以下の項目について説明します。 " AgDigitalIDStep1 の使用 " AgDigitalIDStep2 の使用 AgDigitalIDStep1 の使用 クラスタ環境でアプリケーションサーバおよびクライアント間の HTTPS/SSL または TLS 通信を有効にするには、アプリケーションサーバのディスパッチャに RSA または DSA 証明書をインストールします。 # RSA または DSA サーバ証明書を生成する 1 作業ディレクトリをサーバの \bin ディレクトリに変更します。 2 コマンドラインで、次のいずれかのコマンドを指定します。 証明書のタイプ コマンド RSA 証明書 AgDigitalIDStep1 DSA 証明書 AgDigitalIDStep1 dsa ヒント : DSA 証明書を生成する場合は、タイトルおよびヘルプテキストが多少異なり ます。 次のようなパネルが表示されます。 ヒント : UNIX では、このユーティリティは GUI を使用して実行し、文字端末ウィンド ウでは実行できません。UNIX コンピュータにリモートでログインする場合は、DISPLAY 環境変数が適切に設定されていることを確認してください。 セキュリティの設定 191 3 パネルの項目を次のように入力します。 フィールド 指定する内容 サーバの DNS 名 TCP/IP ホスト名。コンピュータ名とは異なる場合があります ( コマンドラインから ping localhost を発行して、ローカルホ ストの TCP/IP 名を決定できます )。 組織 法律上の完全な社名 部門 ( オプション ) 社内部署 都市 / ロケール ( オプション ) 会社が事業を運営する都市または場所 州 / 都道府県 / 地域 会社が事業を運営する都道府県、州、または地域のフルネー ム。省略しないでください。 国 会社が事業を運営する国。2 文字の ISO 国コードを使用してく ださい。たとえば、米国の ISO コードは US です。 4 [次へ]をクリックします。 次のパネルが表示され、生成するキーペアのサイズを指定できます。 通常、1024 ビットオプションは許容レベルのセキュリティを提供します。より高 いレベルを選択すると、最初の接続速度が低下します。512 ビットオプションは、 低レベルのセキュリティを提供します。 5 画面の指示に従って、生成するキーペアのサイズを指定します。 6 [次へ]をクリックします。 6a RSA 証明書を生成する場合は、パスワードを入力して確認します。 このパスワードは、プライベートキーの暗号化に使用されます。 ヒント : このパスワードを記録してください。証明書のインストールに必 要です。 6b [次へ]をクリックします。 192 exteNd Application Server 管理ガイド 7 「RSA 証明書」の場合、パネルは CSR のパスおよびパスワードで保護されたプラ イベートキーを示します。 「DSA 証明書」の場合、パネルは証明書のパスおよびプライベートキーファイル を示します。パスは編集できます。後で証明書をインストールする際に、この情 報を使用します。 重要 : プライベートキーを含むファイルは、物理的に安全に保護する必要があ ります。サーバ証明書を取得したユーザがサーバを装う可能性があります。 8 [次へ]をクリックします。 ウィザードがキープレスとマウス移動から暗号的に適切なキーを生成できるラン ダムな情報を収集できない場合、次のパネルが表示されます。 9 画面の指示に従って、編集ボックスにランダムな文字を入力し、マウスを移動さ せて暗号化されたプライベートキーを作成します。ウィザードにランダムな情報 が十分あれば、[OK]ボタンが有効になります。 「RSA 証明書」の場合、ウィザードは証明書署名要求およびプライベートキーを 生成します。 「DSA 証明書」の場合、ウィザードは証明書を生成します。 セキュリティの設定 193 10 [OK]をクリックします。 次のようなパネルが表示されます。 11 「RSA 証明書」の場合、 [ CSR をクリップボードへコピー]をクリックして、CSR のコンテンツをクリップボードにコピーし、次の手順で使用します。 「DSA 証明書」の場合、 [デジタル ID をクリップボードへコピー]をクリックし て、証明書をインストールする際に使用します。 12 「RSA 証明書」の場合、指示に従って、アプリケーションサーバに証明書を要求 します ( たとえば、VeriSign Web サイト http://digitalidverisign.com を使用 )。要求 が承認されると、証明書認証局から新しい証明書がメールで送信されます。 13 [完了]をクリックします。 AgDigitalIDStep2 を使用して証明書をインストールします。次の「AgDigitalIDStep2 の 使用」を参照してください。 AgDigitalIDStep2 の使用 CA から RSA 証明書を受信、または AgDigitalIDStep1 を使用して DSA 証明書を生成す ると、AgDigitalIDStep2 を使用して証明書をインストールできます。 # 194 RSA または DSA 証明書をインストールする 1 -c( アップロード証明書 ) オプションを使用して、ディスパッチャを開始します。 2 作業ディレクトリをサーバの bin ディレクトリに変更します。 exteNd Application Server 管理ガイド 3 コマンドラインで、次のコマンドを指定します。 AgDigitalIDStep2 次のようなパネルが表示されます。 4 証明書をパネルに貼り付けます。 5 [次へ]をクリックします。 6 パネルは、プライベートキー (RSA と DSA 証明書では名前が異なるため、プライ ベートキーの名前を編集する必要があります ) のパスを尋ね、パスワードの確認 を指示します (DSA プライベートキーにはパスワードがありません )。 7 [次へ]をクリックします。 次のようなパネルが表示されます。 8 ディスパッチャの名前 ( サーバ名のテキストフィールド ) および HTTP ポート番 号を入力します。 異なるタイプの操作に個別のポートを設定している場合は、 「管理」ポートを指定 します。デフォルトでは、アプリケーションサーバはポート 80 をリッスンします。 セキュリティの設定 195 9 [完了]をクリックします。 確認メッセージが表示されます。 10 証明書を有効にするには、SMC の[再起動]( サーバ ) ボタンをクリックします。 再起動後、サーバが設定され、次のようにリッスンします。 " HTTP ポートで HTTP 要求 " RSAまたはDSAポートでHTTPS要求(インストールした証明書の種類によります)。 ! 詳細については、196 ページの「RSA/DSA ポートの有効化」および 106 ページの 「一般的なサーバのプロパティの指定」を参照してください。 運用の準備ができたら、SMC を使用して認証を有効にします。210 ページの「認証の 有効化」を参照してください。 サーバ証明書の表示 # サーバにインストールされている証明書を表示する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [証明書リスト]タブを選択します。 5 ドロップダウンから証明書を選択します。 RSA/DSA ポートの有効化 デフォルトでは、アプリケーションサーバは、RSA および DSA 通信にポート 443 を 指定します。3つの各セキュリティプロトコルのランタイムおよび管理アクセスのポー トを有効にしたり、変更したりします。3 つのセキュリティプロトコルとは、HTTP、 HTTPS-RSA、および HTTPS-DSA を指します。サーバでは、異なるタイプのアクセス に対して固有なポート値を設定する必要はありません。同じ値を持つポートでは、同 じソケットが共有され、複数の操作が許可されます。 ! # 196 詳細については、103 ページの「個別のポートの設定」を参照してください。 RSA/DSA ポートを有効化および変更する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 exteNd Application Server 管理ガイド 3 [証明書]を選択して、[DSA]タブまたは[RSA]タブを選択します。 4 [ポートの設定]の下の、タブの[ポートの設定]セクションで、いずれかのチェッ クボックスをオンにして、DSA または RSA の[ランタイム]または[管理]ポー トを有効にします。 " VeriSignなどのプロバイダからのRSAサーバ証明書をインストールした後で、 RSA を有効にします。 " サーバに DSA 証明書をインストールした場合に限り、DSA を有効にします。 ヒント : サーバ証明書をインストールした後、ポートはサーバが再起動すると自動的に 有効になります。 ! 詳細については、190 ページの「ディスパッチャ用サーバ証明書の作成とイ ンストール」を参照してください。 5 必要に応じて、[ランタイム]および / または[管理]ポートの RSA および DSA ポート番号を変更します。 UNIX サーバで、サーバがルートアクセスで実行されていない場合は、1024 より 上のポート番号を指定します (1024 より下のポート番号はルートアクセスに予約 されています )。 ! 暗号の詳細については、199ページの「SSL暗号の制限」を参照してください。 6 [更新]を選択します。 7 変更を有効にするには、 [再起動]( サーバ ) をクリックします。 ポートが有効になると、Java クライアントは、アプリケーションサーバに SSL 接 続を確立した際にサーバ証明書を検証します。 ! 詳細については、208 ページの「Java クライアントの SSL サーバ証明書の検 証」を参照してください。 HTTP 通信のオフ設定 HTTP 通信をオフにして、HTTPS または RMI のみ使用する通信をクライアントに許可 できます。 ! 詳細については、111 ページの「ORB 設定の指定」を参照してください。 SMC の実行を防ぐポートを誤って無効にした場合 ( たとえば、すべての管理ポートを 無効にした場合 )、httpd.props ファイルを編集して管理ポートを再度有効にする必要が あります。SMC を使用して、ランタイムポートを有効および無効にできます。 # HTTP 通信を無効にする 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [一般]を選択します。 セキュリティの設定 197 4 [HTTP ポート]セクションで、 [HTTP ランタイムポートを有効にする]( または HTTP 管理ポート ) チェックボックスをオフにして、無効にします。 すべてのランタイムポートを無効にしても、サーバは実行されます。ランタイム ポートを無効にするには、注意が必要です。HTTP ランタイムポートを無効にす ると、サーバは、DSA または RSA ランタムポートが有効かどうかチェックしま す。HTTP ランタイムポートの無効化を進めると、警告が表示されます。 5 [更新]をクリックします。 6 変更を有効にするには、 [再起動]ボタンをクリックします。詳細については、97 ページの「アプリケーションサーバの再起動」を参照してください。 サーバは HTTP サーバポートでリッスンしなくなります。 SSL 3.0 と TLS 1.0 の許可 アプリケーションサーバは、SSL (Secure Sockets Layer) 3.0 および TLS (Transport Layer Security) 1.0 をサポートします。TLS 1.0 プロトコルは SSL 3.0 プロトコルに基づいてお り、SSL 3.1 として参照される場合もあります。 デフォルトでは、SSL 3.0 および TLS 1.0 の両方が許可されます。 # SSL 3.0 を許可または禁止する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [一般]を選択します。 4 [SSL 3.0]チェックボックスをオンにし、SSL 3.0 を有効にします。 FIPS モードで実行するには、TLS 1.0 を有効にし SSL 3.0 を無効にする必要があり ます。 5 [更新]をクリックします。 6 # サーバを再起動します。 TLS 1.0 を許可または禁止する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [一般]を選択します。 4 [TLS 1.0]チェックボックスをオンにし、TLS1.0 を有効にします。 FIPS モードで実行するには、TLS 1.0 を有効にし、SSL 3.0 を無効にする必要があ ります。 5 [更新]をクリックします。 6 198 サーバを再起動します。 exteNd Application Server 管理ガイド SSL 暗号の制限 SSL 接続が初期化されると、ブラウザクライアントおよびサーバは、キー交換および 暗号化に使用される共通の暗号値を決定します。さまざまな暗号値が、異なるタイプ の暗号化アルゴリズムおよびセキュリティレベルを提供します。アプリケーション サーバは、低、中、および高レベルの暗号化を提供することにより、一定の範囲のク ライアントにサービスできるフルセットの暗号を備えています。 RSA および DSA ランタイムポートで HTTPS に通信する際にサーバで使用する暗号化 レベル ( 暗号値 ) を制限できます。これにより、低レベルセキュリティのクライアン トからの接続を防ぎながら、高レベルの暗号化ができるサーバを持つことができます。 起動時に、アプリケーションサーバは許可された暗号のリストを読み込みます。デ フォルトにより有効にされた暗号のリストについては、199 ページの「SSL 暗号の制 限」を参照してください。SMC を使用すると、有効 / 無効な暗号を変更できます。選 択された暗号のみが、適切な SSL ソケットの初期化に使用されます。 # 許可される暗号を指定する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [RSA]タブまたは[DSA]タブを選択します ( インストールした証明書の種類に より異なります )。 5 [ランタイムポートを有効にする]チェックボックスをオンにして、安全な DSA(Java クライアント ) および / または RSA(HTML および Java クライアント ) 通信を有効にします。 6 [暗号]をクリックし、表示されるパネルで暗号を選択または選択解除して、どの 暗号が許可されるかを指定します ( 次の表を参照 )。暗号を選択すると、パネルに 説明が表示されます。 7 [OK]をクリックして[暗号]ダイアログボックスを終了し、変更を受け入れます。 8 [更新]をクリックします。 9 変更を有効にするには、[再起動]( サーバ ) をクリックします。 セキュリティの設定 199 暗号表 次の表は、安全な通信 (HTTPS) を使用するときにアプリケーションサーバに サポートされる暗号 ( およびセキュリティレベル ) の一覧です。 証明書の タイプ AES 暗号化の 強度 ( ビット ) 暗号 DSA N 40 SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA* 56 TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA* TLS_DHE_DSS_EXPORT1024_WITH_RC4_56_SHA* SSL_DHE_DSS_WITH_DES_CBC_SHA* Y RSA N 128 TLS_DHE_DSS_WITH_RC4_128_SHA* 168 SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA* 128 TLS_DHE_DSS_WITH_AES_128_CBC_SHA* 256 TLS_DHE_DSS_WITH_AES_256_CBC_SHA * 0 SSL_RSA_WITH_NULL_MD5 SSL_RSA_WITH_NULL_SHA 40 SSL_RSA_EXPORT_WITH_RC4_40_MD5 * SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5* SSL_RSA_EXPORT_WITH_DES_40_CBC_SHA* SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA* 56 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA* TLS_RSA_EXPORT1024_WITH_RC4_56_SHA* SSL_RSA_WITH_DES_CBC_SHA* SSL_DHE_RSA_WITH_DES_CBC_SHA* 128 SSL_RSA_WITH_RC4_128_MD5* SSL_RSA_WITH_RC4_128_SHA* 168 SSL_RSA_WITH_3DES_EDE_CBC_SHA* SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA* Y 128 TLS_RSA_WITH_AES_128_CBC_SHA* TLS_DHE_RSA_WITH_AES_128_CBC_SHA* 256 TLS_RSA_WITH_AES_256_CBC_SHA * TLS_DHE_RSA_WITH_AES_256_CBC_SHA * 200 exteNd Application Server 管理ガイド 証明書の タイプ AES 暗号化の 強度 ( ビット ) 暗号 なし N 40 SSL_DH_anon_EXPORT_WITH_DES_40_CBC_SHA SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 Y 128 SSL_DH_anon_WITH_RC4_128_MD5 168 SSL_DH_anon_WITH_3DES_EDE_CBC_SHA 128 TLS_DH_anon_WITH_AES_128_CBC_SHA 256 TLS_DH_anon_WITH_AES_256_CBC_SHA * サーバの起動時に、デフォルトにより有効となる暗号 認証局の管理 アプリケーションサーバは、クライアント証明書を検証する CA ( 認証局 ) のリストを 管理します。これはサーバが信頼する保証人のリストを表します。サーバが最初に設 定されるときにインストールされる共通の CA が 3 つあります。これらは VeriSign, Inc の CA で、次の異なる信頼レベルを表します。クラス 1 は、信頼が最小の証明書を表 します。クラス 3 は最高レベルの信頼を表します。 クライアント証明書を持つユーザがサーバにアクセスしようとすると、サーバはまず CA リストをチェックして、証明書が既知のパーティに承認されていることを検証し てから、有効なタイムスタンプをチェックして、証明書の期限が切れていないことを 検証します。検証完了後、サーバはクライアント証明レベルパラメータ (SMC を使用 して設定できます。202 ページの「クライアント証明書のインストールと管理」を参 照 ) に従って接続要求を処理します。 アプリケーションサーバは、認識されないクライアント証明書からも CA を抽出でき ます。詳細については、202 ページの「クライアント証明書のインストールと管理」を 参照してください。 # CA 証明書をインストールまたは削除する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]を選択します。 4 [認証局]タブを選択します。 このタブは各 CA に関する情報を含み、新しい CA を追加して広範囲のクライア ントを信頼させたり、CA を削除してサーバのセキュリティレベルを強化したり できます。 5 CA を追加するには、[認証局の追加]をクリックして、ファイルを選択します。 CA を削除するには、対象の CA を選択して[認証局の削除]をクリックします。 セキュリティの設定 201 クライアント証明書のインストールと管理 HTTPS 環境で、クライアント証明書は、サーバとの通信時にユーザ ID を確立します。 クライアント証明書はさまざまなソースから取得できますが、有益にするにはサーバ から信頼されている保証人 ( 認証局、CA) が証明書に署名する必要があります。 アプリケーションサーバは、RSA 暗号化を使用する標準インターネットブラウザ (Netscape および Internet Explorer を含む ) のクライアント証明書および X.509 証明書 ( 多くの証明書発行者に使用される証明書インタフェースの特別な実装 ) をサポート します。 クライアント証明書と EJB RSA 暗号化を使用するクライアント証明書は、SSL 環境 でユーザ ID を作成する場合にも使用されます (EJB によって使用 )。HTTPS 環境の場 合と同様に、サーバは標準インターネットブラウザのクライアント証明書をサポート します。新しい CA をサーバに追加する必要がある場合は、201 ページの「CA 証明書 をインストールまたは削除する」を参照してください。 クライアント証明書の有効化とインストール SMC を使用して、有効なクライアント証明書を持つユーザの接続試行をサーバがどの ように処理するか、決定できます。各々が異なるレベルの制限を表す 7 つのパラメー タオプションを使用できます。オプションのうち 2 つは、サーバに検証された新しい 証明書を自動的にインストールし、Certificate Security レルムの新しいユーザとして データベースに追加します。証明書は手動でもインストールできます (205 ページの 「クライアント証明書の手動インストール」を参照してください )。 HTTPS ポートの各セット (HTTPS-RSA HTTPS-DSA) は、関連する単一の暗号を持ちま す。選択する暗号はそのタイプのすべてのポート ( ランタイムおよび管理 ) に適用さ れます。 注記 : SMC は、有効な証明書を伴わない HTTPS ポートの有効化を許可しません。最初に証明 書をインストールせずに HTTPS ポートを有効にしようとすると (SMC を使用するか props ファ イルを編集することによって )、起動時にサーバエラーが表示されます。 317 ページの「httpd.props ファイル」を参照してください。 202 exteNd Application Server 管理ガイド # サーバのクライアント証明書を有効にする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [詳細]を選択します。 HTTPS ポートの各セット (HTTPS-RSA HTTPS-DSA) は、関連する単一の暗号を持 ちます。選択する暗号は、プロトコルタイプ内のすべてのポート ( ランタイムお よび管理 ) に適用されますが、各ポートを異なる値に設定できます。 重要 : 最初に HTTPS-RSA または HTTPS-DSA サーバ証明書をインストールす ることなく HTTPS ポートを有効にすることはできません。最初に証明書をイ ンストールせずに HTTPS ポートを有効にしようとすると (SMC を使用するか propsファイルを編集することによって)、起動時にサーバエラーが表示されます。 4 [HTTPS クライアント証明書レベル]とラベルのついたドロップダウンリストか らオプションを選択して、[更新]をクリックします。 セキュリティの設定 203 レベル 0 から他のレベルに変更した場合に限り、サーバを再起動する必要があり ます。 選択内容は、すべての有効なクライアント証明書をサーバがどのように処理する かを決定します。次の証明書検証表で各オプションを説明します。オプションに は、0 ( 検証なし ) から 6( 最も制限の厳しいレベル ) の番号が付いています。 証明書検証表 証明書検証レベル 説明 証明書は要求されないまたは 必要でない (0) クライアント ID を作成するための証明書の使用は取り消さ れます。 HTTPS 経由で接続するクライアントは引き続き安全な通信 を活用し、サーバ ID をチェックできますが、証明書の提示 は求められません。 証明書は要求されるが必要で はない (1) サーバはクライアントの証明書を要求します。クライアント が証明書を持っていない、またはサーバに検証されていない 証明書を持っている場合、接続は許可されますが、ユーザは 匿名のままです。 作成されたユーザの証明書が提示された場合、クライアント は証明書ユーザの ID を取ります。 証明書は要求されるが必要で はない。 データベースになけれ ば自動追加する (2) サーバはクライアントの証明書を要求します。クライアント が証明書を持っていない場合、接続は許可されますが、ユー ザは匿名のままです。正規の証明書が提示されても、サーバ に検証されたクライアントとまだ一致していない場合、サー バは証明書を自動的に追加し、クライアントは新しく作成さ れた Certificate Security ユーザの ID を取ります。 作成されたユーザの証明書が提示された場合、クライアントは 前に作成された Certificate Security ユーザの ID を取ります。 証明書が必要。データベース になければ自動追加する (3) サーバはクライアントの証明書を要求します。クライアント が証明書を持っていない場合、接続は拒否されます。正規の 証明書が提示されても、サーバに検証されたクライアントと まだ一致していない場合、サーバは証明書を自動的に追加 し、クライアントは新しく作成された Certificate Security ユーザの ID を取ります。 作成されたユーザの証明書が提示された場合、クライアントは 前に作成された Certificate Security ユーザの ID を取ります。 証明書が必要。データベースに なければ匿名 (4) サーバはクライアントの証明書を要求します。クライアント が証明書を持っていない場合、接続は拒否されます。正規の 証明書が提示されても、サーバに検証されたクライアントと まだ一致していない場合、クライアントは接続を許可されま すが、匿名のままです。 作成されたユーザの証明書が提示された場合、クライアントは 前に作成された Certificate Security ユーザの ID を取ります。 204 exteNd Application Server 管理ガイド 証明書検証レベル 説明 既知のユーザの証明書が必要 (5) サーバはクライアントの証明書を要求します。クライアント が証明書を持っていない場合、またはサーバに前に検証され たクライアントに一致しない証明書を持っている場合、接続 は拒否されます。 作成されたユーザの証明書が提示された場合、クライアントは 前に作成された Certificate Security ユーザの ID を取ります。 既知のユーザの証明書が必要 だが、匿名のまま (6) サーバはクライアントの証明書を要求します。クライアント が証明書を持っていない場合、またはサーバに前に検証され たクライアントに一致しない証明書を持っている場合、接続 は拒否されます。 作成されたユーザの証明書が提示された場合、クライアント は接続を許可されますが、匿名のままです。 クライアント証明書の手動インストール 前の節では、新しく検証された証明書をサーバのデータベースに自動的に追加するパ ラメータオプションについて説明しました。ただし、証明書を個別にインストールし たい場合もあります。この節では、クライアント証明書をデータベースに手動で追加 する方法について説明します。クライアントコンピュータ用とサーバ用の 2 つの手順 で構成されます。 # クライアント証明書をインストールする - クライアントコンピュータ 注記 : この手順を機能させるには、サーバの証明書検証レベルを 1、2、または 4 に設定する必 要があります (204 ページの「証明書検証表」を参照してください )。 1 有効なクライアント証明書がブラウザにインストールされていることを確認し ます。 2 ブラウザを開き、次の URL に移動します。 https://server/SilverStream/Meta/Certificates?action=data ここで、server はユーザのサーバ名です。 サーバは証明書からユーザ情報を抽出し、クライアントに送信します。 3 # サーバが提示するファイルを適切な領域に保存します。 クライアント証明書をインストールする - サーバコンピュータ 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 [CertificateSecurity]を選択します。 5 右画面の下部にある[新規ユーザ]アイコンを選択します。 セキュリティの設定 205 次のようなパネルが表示されます。 6 [証明書ユーザ]を選択します。 7 前の手順 (205 ページの「クライアント証明書をインストールする - クライアント コンピュータ」) でクライアントにより取得されたファイル名を入力して、 [完了] をクリックします。 証明書は、新しいユーザとしてサーバのデータベースに追加されます。 クライアント証明書の CA の抽出 アプリケーションサーバは、CA がサーバにインストールされていない場合、クライ アント証明書から CA を抽出できます。この節は、クライアントコンピュータ用とサー バ用の 2 つの手順で構成されます。 # 証明書から CA を抽出する - クライアントコンピュータ 注記 : この手順を機能させるには、サーバの証明書検証レベルを 1 または 2 に設定する必要が あります (204 ページの「証明書検証表」を参照してください )。 1 有効なクライアント証明書がブラウザにインストールされていることを確認し ます。 2 ブラウザを開き、次の URL に移動します。 https://server/SilverStream/Meta/Certificates?action=dataCA ここで、server はユーザのサーバ名です。 サーバは証明書から CA を抽出し、クライアントに送信します。 206 exteNd Application Server 管理ガイド 3 # サーバが提示するファイルを適切な領域に保存します。 クライアント証明書から CA を抽出する - サーバ 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [証明書]パネルを選択します。 4 [認証局]タブを選択します。 5 [認証局の追加]をクリックします。 6 抽出された CA の場所にブラウズして、[開く]をクリックします。 プログラムは、新しい CA をデータベースにインストールします。 7 新しい CA を有効にするには、[再起動]( サーバ ) アイコンをクリックしてサー バを再起動します。 証明書ユーザへのアクセス 証明書ユーザは、Certificate Security と呼ばれるセキュリティレルムに追加されます。 領域は、アプリケーションサーバでサポートされるユーザおよびグループのリストに 含められます。 # 証明書ユーザにアクセスする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [ユーザとグループ]を選択します。 4 [CertificateSecurity]リストからユーザにナビゲートします。 5 このパネルを使用して、現在のユーザを表示またはユーザをグループに追加し ます。 ! ユーザおよびグループの詳細については、117 ページの「ユーザおよびグ ループのセットアップ」を参照してください。 他の Silver Security ユーザを使用する場合と同様に、証明書ユーザをセキュリティ式で 使用できます。セキュリティ式の詳細については、217 ページの「認証とアクセス制 御」を参照してください。 セキュリティの設定 207 クライアント証明書の更新 X.509 証明書は、開始日および終了日を含みます。クライアントは、有効期限の切れ た証明書でのサーバ接続を許可されません。新しい証明書を取得して、アプリケーショ ンサーバに既知のユーザに割り当てることで、確立された Certificate Security ユーザを 表す証明書を更新できます。これにより、既存ユーザに関するセキュリティ式が引き 続き正しく機能できるようになります。 通常、既存の証明書ユーザは、205 ページの「クライアント証明書の手動インストー ル」で説明した URL を使用して、更新された証明書をサーバに提示します。 注記 : 前に説明した自動インストールパラメータ ( レベル 2 または 3) のいずれかでサーバを実 行しており、既存のクライアント証明書ホルダがサーバの検証した新しい ( 更新された ) 証明書 でサーバにアクセスしようとする場合、クライアントは新しいユーザとしてインストールされま す。クライアントは、前のユーザが使用できたリソースを制限されます。 # 既存の証明書ユーザを更新する 1 ツールバーから[セキュリティ]アイコンを選択します。 2 [ユーザとグループ ]パネルを選択します。 3 [CertificateSecurity]ドメインから、更新するユーザにナビゲートします。 4 [プロパティ]ボタンをクリックします。 タブが 3 つあるフォームが表示されます。 [一般]タブには、ユーザに関する一般 情報が表示されます。[追加属性]タブには、証明書に関する情報が表示されま す。[更新]タブでは、選択したユーザの証明書を更新できます。 5 [更新]タブを選択します。 6 更新した証明書のファイル名を入力して、[更新]をクリックします。 サーバのユーザ ID を変更することなく、新しいバージョンで古い証明書を置換 します。 Java クライアントの SSL サーバ証明書の検証 Java クライアントは、アプリケーションサーバへの SSL 接続が確立されると、信頼す る CA 証明書リスト (agrootca.jar ファイルに保存 ) に対してサーバ証明書を検証しま す。証明書が検証できない場合、SSL 接続は確立できません。 208 exteNd Application Server 管理ガイド SSL 通信を使用するには、次のサーバ証明書のいずれかがアプリケーションサーバに インストールされている必要があります。 証明書 詳細 証明書サービスを提供する外部 企業 (VeriSign など ) から購入し た RSA 証明書 SMC またはコマンドラインツール (AgDigitalIDStep1) を使用し て、RSA CSR (Certificate Signing Request) を生成します。 暗号化された CSR ファイルは、アプリケーションサーバ を実行する組織を識別して署名証明書を作成する外部 CA に送信されます。外部 CA および RSA 暗号化を使用する 場合は、209 ページの「agrootca.jar ファイルを使用した 証明書の検証」を参照してください。 自己生成 RSA 証明書 (Netscape Certificate Server などの内部組 織ツールを使用して、ユーザ自 身が CA となります )。 独自の証明書を生成する場合、agrootca.jar ファイルを配布 する必要があります (209 ページの「agrootca.jar ファイル を使用した証明書の検証」を参照 )。 SMCを使用して作成された自己 署名 DSA 証明書 自己署名 DSA サーバ証明書を使用する組織は、コマンド ラインオプションを使用してください (210 ページの「自 己署名 DSA サーバ証明書のコマンドラインオプション」 を参照 )。 agrootca.jar ファイルを使用した証明書の検証 クライアントは、agrootca.jar ファイルに保存された信頼する CA 証明書のリストに対 して、アプリケーションサーバの証明書を検証します。起動時、クライアントは CA リストを読み取り、agrootca.jar ファイルのコンテンツに対してすべてのサーバ証明書 をチェックし、証明書が署名されていることを検証します。 agrootca.jar ファイルにはすべての信頼するルート CA を含め、信頼性のない CA は削 除してください。クライアントは、JAR ファイルのルート CA 証明書により署名され たサーバ証明書のみを信頼します。 Netscape Certificate Server などのツールを使用して独自の RSA 証明書を生成する場合、 Certificate Server の CA 証明書を agrootca.jar ファイルに配置して、SilverJ2EEClient を 実 行 す る 各 ク ラ イ ア ン ト コンピュータに JAR ファイルを配布してください。 agrootca.jar ファイルは、SilverJ2EEClient の Common\lib ディレクトリに保存する必要 があります。 注記 : agrootca.jar ファイルは、ユーザコードが SSL を使用して他のサーバに接続しようとす る場合 ( サーブレットの場合など ) にのみ、アプリケーションサーバにより使用されます。 アプリケーションサーバの RSA ポートを使用して、 サーバと Java クライアント、HTML クライアント、および EJB 間に安全な通信を提 供できます。 簡素化されたセキュアポート設定 セキュリティの設定 209 自己署名 DSA サーバ証明書のコマンドラインオプション 組織が自己署名DSA証明書を使用してアプリケーションサーバおよびクライアント間 にデータ暗号化を提供する場合、SilverJ2EEClient の実行には +Dsssw.ssl.nocacheck コ マンドラインオプションを使用してください。このオプションは、クライアントによ る証明書認証局の検証を防ぎます。例 : SilverJ2EEClient +Dsssw.ssl.nocacheck server database warfile 認証の有効化 ユーザ認証を要求して関連設定を有効にできます。HTTP ユーザ / パスワード保護お よび HTTPS-RSA クライアント証明書の認証を要求するアプリケーションの展開が準 備できたら、認証設定を設定します。 ! # 詳細については、103 ページの「個別のポートの設定」を参照してください。 ユーザ認証を有効にする 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [一般]を選択します。 210 exteNd Application Server 管理ガイド 4 次のようにセキュリティオプションを有効にします。 項目 説明 ユーザの認証を必須にする ユーザが初めてサーバにアクセスしたときに、証明書また はユーザ名 / パスワードによる認証を必要とします。認証 されたら、ユーザはセッション中に再び認証される必要は ありません。 このオプションを設定すると、Anonymous ユーザは禁止さ れます。設定しない場合、ユーザはログインしたり、証明 書を送信することなくサーバにアクセスでき、Anonymous ユーザと呼ばれます。 HTTPS でこのオプションを使用する場合は、 [HTTPS クライ アント証明書レベル]を有効にします。 ログインはオブジェクト単位で要求することもできます。 221 ページの「アクセスの変更」を参照してください。 HTML ディレクトリの リスト表示を無効にする ブラウザがディレクトリの URL をポイントすると、ブラウ ザのサーバディレクトリコンテンツのリスト表示を無効に します。ユーザにディレクトリコンテンツを見られないよ うにします。このオプションをオンにすると、サーバは FORBIDDEN エラーを返します。 ユーザに自分のアカウン トの変更を許可する デフォルトでは、ユーザは、自分のユーザプロパティを変更 できます。チェックボックスをオフにして、この権限を無効 にできます。権限をオフにすると、管理者 ( サーバ環境設定 の読み込みおよびサーバ環境設定の変更許可を持つユーザ ) のみがユーザプロパティを変更できます。 ! 詳細については、121 ページの「ユーザプロパティ の編集」を参照してください。 セキュリティリソースタ イムアウト アプリケーションサーバが NT、LDAP、または NIS+ サー バ、あるいはこれらすべてから、リストの更新を含む現在 のユーザおよびグループリストをアップロードする頻度を 指定します。 ! 詳細については、166 ページの 「セキュリティリソー スタイムアウトのリセット」を参照してください。 5 変更を有効にするには、[更新]をクリックします。 CHI (Cryptographic Hardware Integration) の使用 CHI (Cryptographic Hardware Integration) は、アプリケーションサーバおよびサポートさ れるハードウェアアクセラレータカードのあるコンピュータで、アプリケーション サーバ SSL 暗号化 / 解読パフォーマンスを向上させることができます。 ! サポートされるカードについては、アプリケーションサーバのリリースノート を参照してください。 セキュリティの設定 211 CHI を使用するには、次の操作を実行する必要があります。 1 アプリケーションサーバがインストールされているコンピュータに、サポートさ れるハードウェアアクセラレータカードをインストールします。 ! カードのインストールおよび設定の詳細については、ハードウェアカード のマニュアルを参照してください。 # 2 CHI をコンピュータにインストールします ( 次の「CHI をインストールする」を参 照 )。 3 SMC を使用してサーバを設定します ( 次の「ハードウェアアクセラレータカード を使用できるようにアプリケーションサーバを設定する」を参照 )。 CHI をインストールする 1 chiVersionInstall.exe (CHI インストーラ ) を呼び出します。 2 画面の指示に従って、アプリケーションサーバのインストールディレクトリに CHI をインストールします。 CHI は後で個別にインストールすることもできます。 # ハードウェアアクセラレータカードを使用できるようにアプリケーションサーバを設定する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [詳細]を選択します。 4 [ハードウェアアクセラレータの使用]を選択します。 5 アクセラレータカードを指定します。 6 カード付属のユーティリティソフトウェアから取得または設定できるスロット番 号および PIN を指定します。 7 [更新]をクリックします。 8 サーバを再起動します。 信頼するクライアントの管理 SMC を使用すると、EJB コールで指定 ID を受信する際にアプリケーションサーバに よって信頼されるクライアントのリストを設定できます。これは、スタンドアロンサー バではサーバレベルのプロパティです。クラスタで実行されるサーバでは、クラスタ レベルのプロパティです。単一サーバに設定された信頼するクライアントは、クラス タのすべてのサーバに伝えられます。 # 212 信頼するクライアントのリストにクライアントを追加する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 exteNd Application Server 管理ガイド 3 [詳細]を選択します。 4 [詳細]タブの[信頼するクライアント]セクションで、[追加]を選択します。 クライアント名の入力が求められます。 5 クライアントのホスト名を入力します。 たとえば、エントリにはアスタリスクワイルドカード文字 (*) を含めることができます。 *.mydomain.com または server*.mydomain.com または * アスタリスクを使用する場合は、URL セクションの最後の文字である必要があり ます。セクションでアスタリスクの後に続く文字は、すべて無視されます。前の 例で、server* が server*1 の場合、1 はリストに含まれません。 FIPS 準拠モードの設定 このセクションでは、FIPS (Federal Information Processing Standards) モードで実行する ようにアプリケーションサーバを設定する方法について説明します。アプリケーショ ンサーバは、デフォルトにより FIPS の対応が可能となっています。アプリケーション サーバ、ディスパッチャ、およびクライアント接続 ( アプリケーションサーバー、SMC、 あるいは SilverJ2EEClient からのアウトバウンド接続を含みます ) で FIPS を有効にす るためには、次の手順に従う必要があります。 注記 : Silver Security は FIPS に準拠していません。FIPS に準拠させるためには、ユーザおよ びパスワードの管理用に LDAP またはその他のユーザ登録メカニズムを使用する必要がありま す。 # FIPS 認証モードで実行するようアプリケーションサーバを設定する 1 SMC を使用して SSL 3.0 を無効にし、TLS 1.0 を有効にします。 ! 詳細については、次の項目を参照してください。198ページの「SSL 3.0とTLS 1.0 の許可」 2 SMC を使用して、次のものを除くすべての暗号を無効にします。 " SSL_RSA_WITH_3DES_EDE_CBC_SHA " SSL_RSA_WITH_DES_CBC_SHA " TLS_RSA_WITH_AES_256_CBC_SHA " TLS_RSA_WITH_AES_128_CBC_SHA ! 詳細については、次の項目を参照してください。199 ページの「SSL 暗号の制限」 セキュリティの設定 213 # FIPS 認証モードで SilverCmd、SilverJ2EEClient、および SMC を実行する 1 SSL 3.0 を無効にし、TLS1.0 を有効にします。 1a ciphersuitesclients.props ファイルを開きます (\Common\lib にあります )。 1b SSL 3.0 を無効にするには、ファイルにアンコメント行が含まれてい ることを確認してください。 NOSSL3 1c TLS を有効にするには、NOTLS1 コマンドが削除されているか、次 のようにコメントされていることを確認してください。 #NOTLS1 ! 環境設定ファイルの詳細については、214 ページの「暗号環境設定ファイル について」を参照してください。 # FIPS 認証モードで実行するようディスパッチャを設定する " Common/lib/ciphersuites.props を変更します。 または " 起動時に、-ciphersuites コマンドラインオプションを使用して独自の環境設定ファ イルを指定します。 ! 環境設定ファイルの詳細については、214 ページの「暗号環境設定ファイル について」を参照してください。 その他の FIPS 準拠に関する注意事項は次のとおりです。 " Sun の JSSE および JCE 実装は、FIPS で認証されていません。展開済みアプリケー ションでこれらを使用すると、サーバが対応できなくなる可能性があります。 " アプリケーションで URL またはURLConnectionを使用している場合は、準拠して います。URLStreamHandlerFactory では、Phaos Crypto モジュールに基づく Phaos SSLavaを使用します。ただし、 他の実装に対してURL.setURLStreamHandlerFactory() を呼び出すと、非準拠となります。 暗号環境設定ファイルについて 暗号環境設定ファイルはJavaプロパティファイルです。正しいエントリは次のとおりです。 " NOSSL3 - 存在する場合、SSL 3.0 を禁止する " NOTLS1 - 存在する場合、TLS 1.0 を禁止する " NONTLM - 存在する場合、Composer での NTLM 認証を禁止する " ciphersuitename=Priority# - オプション整数 暗号名は、priority# に従って降順に分類されます。priority# が指定されていない場合、 暗号の優先度は最も低くなります。 214 exteNd Application Server 管理ガイド アプリケーションは、すべての暗号のエイリアスをサポートしているわけではありま せん ( サポートされている暗号のリストについては、199 ページの「SSL 暗号の制限」 を参照してください )。暗号環境設定ファイルは、Common/lib フォルダまたは JAR ファ イルにあります。 " クライアント側の場合、ファイル名は ciphersuitesclient.props です。 " サーバ側の場合、ファイル名は ciphersuites.props です。 セキュリティの設定 215 216 exteNd Application Server 管理ガイド 10 セキュリティの使用 第 10 章 この章では、展開データベース、アプリケーションサーバ、およびアプリケーション サーバのクラスタへのアクセスを設定、制限するための方法を説明します。この章を 構成する節は次のとおりです。 " 認証とアクセス制御 " 許可のタイプ " アプリケーションオブジェクトを実行可能にする " サーバとオブジェクトに対するデフォルトのセキュリティ " サーバ、クラスタ、およびアプリケーションのロック " 運用サーバの保護 " セキュリティチェックリスト " ロボットの除外 認証とアクセス制御 アクセス制御では、ユーザがオブジェクトおよびリソースで実行できる操作を指定し ます。 認証とアクセス制御 アプリケーションサーバの認証とアクセス制御の設定では、次のアクセスを管理します。 " サーバ " 展開済みアプリケーション " アプリケーションデータ 217 アプリケーションサーバでは、 「セキュリティ式」を使用して、認証を受けたユーザが アクセスを許可されている対象を特定します。 アプリケーションサーバでは、Java セキュリティの ACL ( アクセス制御リスト ) の API をサポートしており、開発者はデータおよび展開済みアプリケーションへのアクセスを プログラムベースで制御できます。この Java セキュリティは、SMC およびアプリケー ションサーバのサーバ管理 API によって提供されるセキュリティと共に動作します。 ! サーバ管理 API の詳細については、第 13 章「サーバ管理 API の使用」を参照して ください。 次のリソースに対するアクセスを制御するには、SMC を使用します。 " サーバディレクトリ " サーバに展開されている J2EE アーカイブ " サーバに保存されているメディアオブジェクト 218 ページの「許可のタイプ」の説明に従って、許可を設定することによってアクセ スを指定します。 許可のタイプ 許可を使用して、さまざまな「管理操作」および「データベースオブジェクト」への アクセス制御を設定します。 管理サーバの許可 「管理リソース」では、管理設定を表示および変更する権限 ( および設定にアクセスす る許可 ) を制御します。管理リソースのセキュリティを設定すると、不正なユーザが 管理操作を実行することはできなくなります。 注記 : 管理設定にアクセスできるのは、管理者グループのメンバーのみです。ログインしてい るユーザ、セッションの情報、ユーザとグループの許可の設定、接続数といったすべての管理情 報に、不正なユーザがアクセスすることを防ぐには、この制限を維持することが重要です。 次の表に一覧表示されているそれぞれの許可タブは、制限を維持する必要のある管理 リソースの内容を示します。 218 許可 説明 サーバ環境設定の 読み込み 管理設定と接続パラメータを表示できるユーザを制限します。 サーバ環境設定の変更 ログインしているユーザ、ユーザとグループの許可の設定、接続数 などの接続パラメータを変更することにより、サーバまたはクラス タを管理できるユーザを制限します。 exteNd Application Server 管理ガイド 許可 説明 ディレクトリリスト の読み込み サーバディレクトリをブラウズできるユーザを制限します。ユーザ のオブジェクトへのアクセスには影響しません。 ユーザとグループの 読み込み サーバに定義されているユーザとグループを表示できるユーザを制 限します。許可を設定するには、ユーザがこの許可を取得している必 要があります。そうでない場合、ユーザやグループを表示することは できません。 許可の設定 管理リソースを制御する許可を変更できるユーザを制限します。 Locksmith 権限を持つユーザは、この許可を取得しているかどうか のチェックを受けずにオブジェクトのセキュリティプロパティを変 更することができます。 データベースオブジェクトの許可 展開データベースに対しては、ディレクトリおよびオブジェクト (J2EE アーカイブな ど ) に対する許可を設定することによって、展開データベースを保護します。アクセ スの制限は、ユーザ単位またはグループ単位で設定できます。許可の設定は、ディレ クトリ、すべてのサブディレクトリ ( または特定のサブディレクトリ )、およびディレ クトリ内のオブジェクトに適用されます。階層内の各オブジェクトまたはリソースを 保護する必要があります。 ! 詳細については、セキュリティチェックリストの236ページの「手順10:展開デー タベースの保護」を参照してください。 展開データベースのオブジェクトに適用される許可は次のとおりです。 許可 説明 読み込み オブジェクトの場合、オブジェクトの設計情報を表示できるユーザ を制限します。データベースまたはディレクトリの場合、チャイル ドオブジェクトにアクセスできるユーザを制限します。 データベースまたはディレクトリ内のオブジェクトに対して、ユー ザが簡単にアクセスできないようにするには、そのユーザのデータ ベースレベルまたはディレクトリレベルでの読み込みアクセスを拒 否します。 注記 : サブディレクトリでオブジェクトを実行する必要があるユー ザは、そのペアレントディレクトリの「すべて」に対する読み込みア クセスを持つ必要があります詳細については、225 ページの「アプ リケーションオブジェクトを実行可能にする」を参照してください。 変更 オブジェクトの場合、オブジェクトを変更できるユーザを制限しま す。データベースまたはディレクトリの場合、新しいチャイルドオ ブジェクトを追加できるユーザを制限します。 サーバへの不適切な変更を防ぐには、ディレクトリへの変更許可を 持つユーザを慎重に確認します。 セキュリティの使用 219 許可 説明 選択されたデータベースまたはディレクトリ内で、アプリケーショ ンオブジェクト (J2EE アーカイブなど ) を実行できるユーザを制限 ( データベースおよび します。 ディレクトリの場合、 通常、エンドユーザはオブジェクトに対する実行許可を与えられて [デフォルトの実行]) います。 実行 個々のアプリケーションオブジェクトに設定されている許可は、 データベースまたはディレクトリに設定されている許可より上書き されます。 許可の設定 オブジェクトに関するアクセス制御の情報を変更できるユーザを制 限します。たとえば、管理者のみがオブジェクトのセキュリティプロ パティを変更できるように設定できます。 アクセス権限の使用 サーバリソースは、そのタイプによって制限できる許可も異なります。 " デフォルトでは、「サーバ管理操作とデータベースオブジェクト」へのアクセス は、管理者グループのメンバーのみに制限されています。226 ページの「サーバ とオブジェクトに対するデフォルトのセキュリティ」を参照してください。 " 階層内のほとんどの「ディレクトリレベル」では、読み込み、書き込み、実行、 および許可の設定といったアクセス権を設定できます。階層内のオブジェクトま たはリソースも同様の方法で保護できます。 " 「データベースレベル」でアクセス権を定義した場合、すべてのデータベースを表 示できますが、展開したり開いたりできるのは、読み込みアクセスを持つデータ ベースのみです。 " 「特定のディレクトリに対する読み込みアクセス」を持つ場合、そのディレクトリ の名前の付けられたコンテンツを表示できます。 " 名前の付けられた「オブジェクト」のコンテンツに対する要求は、そのオブジェ クトに設定された許可に基づいて制限されることがあります。 " 「セキュリティアクセス権」を変更できるのは、展開データベースのディレクトリ またはオブジェクトに対し、許可の設定権限を持つ場合のみです。その場合、特 定のアクセス式を使用して制限をさらに変更できます。 " 許可タブの下部にある[このディレクトリ以下全体に適用する]ラジオボタンを オンにすると、 「複数のディレクトリの保護」を設定できます。必要に応じて、選 択したオブジェクトに対して[アクセス時にログインを要求する]チェックボッ クスを有効にできます。 ! 詳細については、225 ページの「アプリケーションオブジェクトを実行可能にす る」を参照してください。 220 exteNd Application Server 管理ガイド アクセスの変更 オブジェクトのセキュリティは、SMC で許可を設定することにより、サーバレベル、 クラスタレベル、ディレクトリレベル、またはオブジェクトレベルで変更できます。 注記 : SMC での許可の設定に加え、『機能ガイド』の「SilverCmd リファレンス」で説明され ている、SilverCmd のセキュリティ設定を使用すると、いくつかのタイプの許可を設定すること もできます。 # ユーザアクセスを変更する 1 SMC を開始します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [許可]パネルを選択します。 SMC の表示が変わります。SMC で管理されているすべてのクラスタ、サーバ、お よびデータベースが展開可能になり、コンテンツをリストで表示して、適切なレ ベルで許可を設定することができるようになります。 4 オブジェクトまたはディレクトリを選択し、218 ページの「許可のタイプ」の説 明に従って、許可を設定します。 セキュリティの使用 221 複数オブジェクトでの許可の設定 同じタイプのオブジェクトが同じサーバ上で 1 つの ディレクトリにある場合に限り、一度に複数のオブジェクトに対して許可を設定でき ます。隣接するエントリは <Shift> キーを、隣接していないエントリは <Ctrl> キーを 押しながらクリックし、選択したオブジェクトに許可を設定します。 許可の範囲とログイン要求の設定 [許可]パネルの下部に表示されるラジオボタンは、 ディレクトリまたはオブジェクトのいずれを選択しているかによって異なります。ボ タンで表示されるオプションは、次の表のとおりです。 ラジオボタンによる オプション このディレクトリ だけに適用する 説明 選択している対象 選択したディレクトリにのみ許可を適用します。 ディレクトリを選択 この設定は、ディレクトリ構造の新しいオブジェ している場合のみ クトに対するデフォルトの設定になります。 ディレクトリ内の既存のオブジェクトに対する 許可は変更されません。 このディレクト リ以下全体に適 用する 選択したディレクトリ、そのディレクトリにあ るすべての既存のオブジェクト ( サブディレク トリを含む )、および新しいオブジェクトに対 し、許可を適用します。 既存のオブジェクトに対する既存の設定より優 先されます。 アクセス時にログ インを要求する オブジェクトにアクセスしようとしているユー ザに対し、クライアント証明書またはログイン によって認証を要求します。 オブジェクトを選択 している場合のみ 認証はオブジェクト単位で設定されます。サー バレベルで認証を要求することもできます。 210 ページの「認証の有効化」を参照してくだ さい。 許可の制限 フォームの各タブは、選択したディレクトリまたはオブジェクトに適用する許可のタ イプを示していますアクセスを制限するには、タブを選択し、 [無制限]をオフにして から、[簡潔なリスト]または[詳細な式]のいずれかを選択します。 警告 : [無制限]チェックボックスをオフにした場合、[簡潔なリスト]または[詳 細な式]を必ず選択してください。そうしないと、誰もアクセスできなくなります。 [簡潔なリスト]の以前のエントリがすべてクリアされている場合にも、同じ問題が起 こります。サーバに対する読み込みアクセスを持っているユーザがいない場合は、-a コマンドラインオプションを使用して SilverMasterInit を実行することができます。詳 細については、301 ページの「SilverMasterInit プログラムの使用」を参照してください。 222 exteNd Application Server 管理ガイド 簡潔なリストの使用 [簡潔なリスト]では、セキュリティプロバイダに認知されており、プロバイダ設定で 定義されたアクセス許可を持つユーザおよびグループを指定できます。 # 簡潔なリストを使用する 1 ツールバーで、[セキュリティ]アイコンを選択し、次に[許可]パネルを選択 します。 2 SMC の左側で、許可を設定するオブジェクトまたはディレクトリを選択します。 3 [許可]パネルで、制限を設定する許可のタイプに該当するタブを選択します。 4 [簡潔なリスト]ボタンを有効にするには、[無制限]がオンになっている場合、 オフにします。 5 [簡潔なリスト]はデフォルトの設定です。フォームで、許可を与えるユーザまた はグループを選択し、 [>]をクリックします。すべてのユーザまたはグループを 選択するには、[>>]をクリックします。選択したユーザまたはグループが右側 のリストボックスに表示されます。 注記 : グローバルグループ (NT ユーザマネージャで指定 ) を含むローカルグループが、グ ループ名ではなく個々のメンバー名で SMC に表示されます。詳細については、167 ページ の「NT セキュリティの使用」を参照してください。 ユーザまたはグループから許可を削除するには、該当するユーザまたはグループ を選択し、[<]をクリックします。 すべてのユーザおよびグループを削除するには、[<<]を選択します。 詳細な式の使用 特定の条件に基づいたアクセスを指定する式を作成するには、 [詳細な式]を使用しま す。詳細な式を使用するには、 [簡潔なリスト]ではなく、[詳細な式]を選択します (223 ページの「簡潔なリストを使用する」を参照 )。式には、次のいずれかを含める ことができます。 # " ID またはグループメンバーシップ " 論理演算および関連演算を実行できる組み込み関数 詳細な式を使用する 1 SMC の左側で、許可を設定するオブジェクトまたはディレクトリを選択します。 2 [許可]パネルで、制限を設定する許可のタイプに該当するタブを選択します。 セキュリティの使用 223 3 [無制限]がオンの場合は、オフにします。次に[詳細な式]を選択します。 式ビルダにより、変数、関数、および演算子を選択するペインが表示されます。 詳細な式の例 " 詳細なセキュリティ式の例は、次のとおりです。 day () メソッドを使用して、オブジェクトに対する週末のアクセスを禁止します (day () 関数により、0 ∼ 6 の数値が返されます。ここでは、0 は日曜日、1 は月曜 日を示します )。 day(now()) >= 1 and day(now())<= 5 " 同様に、次の式では、月曜日から金曜日における 9:00 a.m. から 5:00 p.m の間を除 き、オブジェクトへのアクセスを禁止します。 (day(now()) >= 1) and (day(now()) <= 5) and (hour(now()) >= 9) and (hour(now()) <= 17) UUID のサポート 式ビルダでは、セキュリティ式での「UUID (Universally Unique Identifiers)」の使用が サポートされています。UUID を使用すると、単純な整数の ID よりもさらに安全なセ キュリティシステムを確立できます。UUID は単純なセキュリティ式でデフォルトで 使用されますが、詳細な式でも使用可能です。 UUID 式は、式ビルダに直接入力するか、式ビルダの[関数]パネルにある[ID]セ クションから選択することができます。 関数 説明 userID() 現在ログオンしているユーザの UUID を検索します。 userID('name') 特定ユーザの UUID を検索します。 修飾名を作成するには、セキュリティの領域 (SSSW、NT、LDAP、ま たは NIS+) に、 セキュリティの権限 (NT ドメイン名または LDAP/NIS+ サーバ名など ) を追加し、次にユーザ名を追加します。コンポーネン トは、2 つの円記号 (\\) で区切ります ( ユーザ名の円記号は、2 倍の 4 つにして、エスケープ処理する必要があります )。 " デフォルトでは、領域と権限の両方が指定されていない場合、 Silver Security ユーザであると見なされます。 " デフォルトでは、領域が指定されていない場合、NT ユーザである と見なされ、最初のコンポーネントは NT ドメインであると見な されます。 例は次のとおりです。 224 " userID('bobh') は、Silver Security ユーザの bobh (Silver Security で 指定されたユーザ ) を指します。 " userID('DEVA\\JWilkins') は、NT ドメインの DEVA にいる NT ユー ザの Jwilkins を指します。 exteNd Application Server 管理ガイド 関数 説明 groupID('name') 特定グループの UUID を検索します。 グループ名はユーザ名同様、修飾名を構成します。 例は次のとおりです。 UUID('uuidString') " groupID('Administrators') は、 Silver Security の管理者グループを 指します。 " groupID('DEVA\\Accounting') は、DEVA ドメイン内の NT の経理 グループを指します。 UUID の文字列表記に対応する UUID を検索します。このフォームは、 グループ ID またはユーザ ID が解決されない場合に使用されます。 アプリケーションサーバは、AgAccessRights システムテーブルに保 存する前に、名前を対応する UUID に変換します。同様に、クライア ントが式を表示するときは、内部フォームは人間が認識できる名前に 変換し直されます。内部 UUID を変換できない場合 ( たとえば、削除 されている場合 )、UUID() が使用されます。 例 UUID を使用したセキュリティ式の例は、次のとおりです。 " この例では、Silver Security ユーザの「administrator」と「bobh」へのアクセスを 制限します。 userID() in (userID('administrator'),userID('bobh')) " この例では、Silver Security ユーザの「bobh」と、NT ドメインの DEVA にいる NT ユーザの「JWilkins」へのアクセスを制限します。 userID() in (userID('bobh'),userID('DEVA\\JWilkins')) " この例では、Silver Security ユーザの「administrator」と、Silver Security の開発者 グループ内のユーザへのアクセスを制限します。 userID() in (userID('administrator')) or userID() userin (groupID('Developers')) " この例では、Silver Security ユーザの「administrator」と、NT の経理グループ (DEVA ドメインに存在する ) にいるユーザへのアクセスを制限します。 userID() in (userID('administrator')) or userID() userin (groupID('DEVA\\Accounting')) アプリケーションオブジェクトを実行可能にする 展開データベースのセキュリティを保護する場合、ユーザが展開済みのアプリケー ション (EAR、WAR、および EJB JAR など ) を実行できるかどうかを確認する必要も あります。 " J2EE アーカイブは、展開データベースの[展開オブジェクト]ディレクトリに展 開されます。このため、展開するユーザには、そのディレクトリへの[書き込み] 許可が必要です。 セキュリティの使用 225 " # ユーザが展開済みのアーカイブを実行できるようにするには、通常そのユーザに、 制限のないディレクトリレベル ( ディレクトリ以下全体を含む ) での[実行]許 可を割り当てます。 データベースオブジェクトを実行可能にする 1 管理者または Locksmith 権限を持つユーザとして SMC にログインします。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [許可]を選択します。 4 変更するサーバとデータベースを選択します。 5 初期グループの許可を次のように設定します。 5a 開発者と管理者に読み込みと変更の許可を割り当てます。 5b 管理者に許可を設定するためのアクセスを割り当てます。 5c エンドユーザに制限のない実行許可を割り当てます。 重要: 前のすべてのタブで、 [このディレクトリ以下全体に適用する]チェックボックス をオンにします。 6 [更新]をクリックします。 7 [展開オブジェクト]を選択します。 8 [読み込み]許可のタブで、 [無制限]チェックボックスをオンにします。ただし、 [このディレクトリ以下全体に適用する]をオンにはしないでください。 9 [更新]をクリックして、設定を保存します。 10 ユーザがアクセスするアプリケーションの主なディレクトリのすべてに、同じ[読 み込み]許可の設定 ( 手順 8 を参照 ) を適用します。これらの設定により、ユー ザにペアレントディレクトリレベルのアクセスが与えられますが、それらのディ レクトリ内にある個々のオブジェクトへのアクセスは制限されます。 11 個々のオブジェクトを確認し、 [アクセス時にログインを要求する]オプションを 有効にするかどうかを決定します。 サーバとオブジェクトに対するデフォルトのセキュリティ インストール時のデフォルトを選択すると、SilverMaster データベースはアプリケー ションサーバにより初期化されます。SilverMaster へのアクセスが制限されている場 合、すべてのユーザ ( 管理者グループ所属のユーザは除く ) は、管理操作へのアクセ ス、データベースの追加、およびディレクトリリストのブラウズができなくなります。 アプリケーションサーバが制限された運用環境で実行されている場合、サーバにアク セスしようとするすべてのユーザに対して認証が要求されます。 226 exteNd Application Server 管理ガイド インストール時に[Novell exteNd Application Server へのアクセスを制限する]オプ ションを選択していない場合、サーバのリソースはロックされません。 [無制限]アク セスでアプリケーションサーバをインストールすると、許可を設定してアクセスを ロックしない限り、不正なユーザが管理操作を実行したり、ディレクトリリストをブ ラウズしたりすることができます。 ! サーバをロックするための他の方法については、229 ページの「サーバをロック する方法」を参照してください。 オブジェクトに対するデフォルトのセキュリティ オブジェクトに対するデフォルトのセキュリティは次のとおりです。 " ユーザは、すべてのオブジェクト ( 管理オブジェクトを除く ) に対し、ランタイム での読み込みと実行のアクセスを持ちます。 " 特定のアクセスを「ディレクトリ」レベルで指定すると、それがそのディレクト リ内で新しく作成されるオブジェクトに対するデフォルトのアクセスになりま す。ディレクトリは、1 つのタイプのオブジェクト ( たとえば、 「展開オブジェク ト」) のコンテナです。SMC で[許可]パネルを選択している場合、ディレクト リを展開してコンテンツを表示することができます ( これは、そのディレクトリ に対する読み込み許可を持っていることが前提です )。新しく作成されたオブジェ クトは、すぐ上のペアレントオブジェクトのセキュリティアクセスを継承します。 グループに対するデフォルトの許可 インストールでは、SilverMasterInit により、2 つの定義済みグループ ( 管理者と開発者 ) が作成され、両グループに対する許可が設定されます。サーバには、すべてのユーザ がログインする必要があります。デフォルトでは、サーバの管理操作へのアクセスは、 ロックされているサーバに対するSilver Securityの管理者グループのメンバーに限定さ れます。管理リソースへのアクセス (SMC の使用、セッションや統計情報の表示、ま たはユーザとグループの追加と削除などを行う権利 ) は、このグループのメンバーに のみ与えられます。 通常、オブジェクトの読み込みを許可するユーザと、オブジェクトへの書き込みを許 可するユーザは別に設定します。実行許可を持つグループとして、別のグループ ( エ ンドユーザなど ) を指定することもできます。 ! 定義済みのSilver Securityグループの詳細については、117ページの「Silver Security のユーザおよびグループについて」を参照してください。 注記 : デフォルトでは、ユーザは SilverMaster データベースとディレクトリのトップレベルに 対する読み込みアクセスを持ち、既存の展開データベースにログインしてアクセスすることがで きます。 ! 詳細については、225 ページの「アプリケーションオブジェクトを実行可能にす る」を参照してください。 セキュリティの使用 227 サーバ、クラスタ、およびアプリケーションのロック 展開や展開のプロセスでは、展開データベース、サーバ、またはクラスタ全体、ある いはこれらすべてを「ロック」する必要が生じます。これらをロックすると、適切な アクセス許可を確実に設定することによって、運用や展開の環境を保護することがで きます。 たとえば、アプリケーションを展開する場合、展開データベースをロックして自分以 外のアクセスを完全に遮断し、その後、運用環境で必要に応じて徐々にロックを解除 していきます。 警告 : インストール時に[Novell exteNd Application Server へのアクセスを制限する]オプ ションを選択していない場合、サーバのリソースはロックされません。アプリケーションのロッ クや展開の準備が整っていない場合でも、サーバを「ロック」する必要があります。 228 exteNd Application Server 管理ガイド サーバをロックする方法 サーバへのアクセスを制限するための方法を説明している節は、次のとおりです。 節 内容 226 ページの「サーバとオブジェクトに 対するデフォルトのセキュリティ」 アプリケーションサーバのデフォルトのインス トール設定について説明します。 229 ページの「サーバまたはアプリケー ションをロックするための SMC の使用」 SMC を使用してサーバまたはアプリケーション をロックする方法を説明します。 230 ページの「サーバ、アプリケーショ ン、またはクラスタをロックするための SilverCmd の使用」 SilverCmd を使用してサーバ、アプリケーション、 またはクラスタをロックする方法を説明します。 231 ページの「セキュリティチェックリ スト」 サーバが保護されているかどうかを確認するた めの手順について説明するリストを紹介します。 238 ページの「ロボットの除外」 アプリケーションの開発環境を設定する際の注 意事項を説明します。 サーバまたはアプリケーションをロックするための SMC の使用 # 特定のサーバをロックする 1 管理者グループのメンバーに対し、[サーバ環境設定の読み込み]、[サーバ環境 設定の変更]、 [ディレクトリリストの読み込み]、[ユーザとグループの読み込 み]、および[許可の設定]の許可をサーバレベルまたはクラスタレベルで制限 します。 2 SilverMaster データベースを選択し、管理者グループのメンバーに対して[読み込 み]、 [変更]、および[許可の設定]の許可を制限し、その制限をすべての子孫に 適用します。 3 SilverMaster データベースに、無制限の[読み込み]アクセスを設定して、ユーザ が ( 適切な許可で ) 他のデータベースにアクセスしたり、サーバにログインした りできるようにします。 ! 詳細については、セキュリティチェックリストの 235 ページの「手順 9:SilverMaster データベースの保護」を参照してください。 # 選択したアプリケーションをロックする " 管理者グループのメンバーに対して[読み込み]、[変更]、[デフォルトの実行]、 および[許可の設定]の許可をデータベースレベルで制限し、その制限をすべて の子孫に適用します。 セキュリティの使用 229 サーバ、アプリケーション、またはクラスタをロックするための SilverCmd の使用 アプリケーションサーバには、SilverCmd SetSecurity コマンドの入力ファイルである、 XML ファイルのサンプルが 3 つ ( サーバの \Samples\SilverCmd ディレクトリに ) 含ま れています。これらのファイルには、SilverCmd を使用してアプリケーション、サー バ、またはクラスタをロックする方法が示されています。すべてのファイルには、使 用方法が詳細に記載されています。 保護ファイル ロックする対象 適用する対象と状況 secure_server_sample.xml 入力ファイル サーバ全体 サーバ ( 運用環境に展開するとき ) secure_application_sample.x ml 入力ファイル アプリケーション データベース ( 適切に保護するため、 展開する直前 ) secure_cluster_sample.xml 入力ファイル クラスタ 運用クラスタで secure_server_sample.xml を使用し て各サーバを保護した後 ! SilverCmd の使用の詳細については、 『機能ガイド』の「SilverCmd リファレンス」 を参照してください。 運用サーバの保護 実装するセキュリティのレベルとタイプは、その企業の規模とニーズにより異なりま す。アプリケーションを展開する段階では ( またはすでに展開している場合でも )、こ こで説明するセキュリティチェックリストの各手順を実行して、運用環境を確実に保 護する必要があります。 インストール時のデフォルトを選択している場合、SilverMaster データベースへのアク セスはアプリケーションサーバにより制限されます。SilverMaster へのアクセスが制限 されている場合、不正なユーザが管理操作へアクセスしたり、ディレクトリリストを ブラウズしたりすることはできません。 アプリケーションの開発中に、特定のアプリケーションやディレクトリに対するアク セスをすでに許可している場合があります。アプリケーションを構築した場合、 「すべ て」のリソースが不正なユーザによるアクセスから保護されているかどうかを確認す るのは管理者の役割です。 230 exteNd Application Server 管理ガイド セキュリティチェックリスト ヒント : サイトのセキュリティをテストするには、各手順に示されているテストを実行します。 手順 1: ファイアウォールの設計 アプリケーションサーバが、企業で使用している「ファイアウォールで保護された状 態で」インストールされていることを確認します。 ! 詳細については、37 ページの「サーバ環境設定」を参照してください。 手順 2: 固有データベースアカウントの設定 アプリケーションサーバに、各展開データベースへの接続に使用する固有のデータ ベースアカウントを設定します。 ! 詳細については、第 4 章 「データソース設定」を参照してください。 手順 3:SSL の設定 ( オプション ) SSL による通信を使用する場合、サーバ証明書を取得してサーバにインストールしま す。また、SSL のみを使用する場合は、RSA または DSA、あるいはその両方を有効に し、HTTP を無効にする必要があります。 ! 詳細については、180 ページの「証明書の使用」を参照してください。 手順 4: 固有ポートの設定 ( オプション ) セキュリティを追加している場合、ランタイムと管理のポートを別に設定します。サー バでは、HTTP、HTTP-RSA、および HTTPS-DSA のセキュリティプロトコルがサポー トされます。設定する各固有ポートでは、関連付けられていない URL と操作は除外さ れます。個別のポートは、サーバの許可の設定と連動するように設計されます。 ! 詳細については、103 ページの「個別のポートの設定」を参照してください。 手順 5: ユーザ、グループ、およびセキュリティプロバイダの設定 ユーザとグループの情報は、Silver Security を使用して指定するか、外部のセキュリティ システムから取得できます。Silver Security の場合、情報はすべて SilverMaster データ ベースに保存されます。外部セキュリティの場合、情報はすべて外部システムより取 得されます。いずれの場合も、ディレクトリとオブジェクトにアクセスを指定します。 ! 詳細については、120 ページの「Silver Security のユーザおよびグループの管理」 を参照してください。 セキュリティの使用 231 手順 6: サーバでの認証の要求 SilverMaster データベースのすべてのリソースに対する[実行]アクセスを制限する場 合、サーバレベルで[ユーザの認証を必須にする]を有効にする必要があります。そ れ以外の場合は、ユーザ認証の要求はオプションです。 ユーザがログインせずにまたは証明書を送信せずに、サーバにアクセスできる場合、 ユーザは匿名です。通常は、匿名ユーザがサーバに初めてアクセスするときに、証明 書またはユーザ ID とパスワードのセットを要求して認証を強制することにより、匿 名ユーザのアクセスを禁止することが望まれます。ログインはオブジェクト単位で要 求することもできます。 # 不正なユーザのアクセスをテストする 匿名ユーザによるサイトへのアクセスの可能性をチェックするには、次のような アプリケーションへの URL をブラウザに入力します。 " http://localhost/ ブラウザに「ログインダイアログボックス」が表示される場合、サイトは匿名ユー ザに認証を要求します。 「デフォルトのページ」またはサイトのディレクトリコンテンツの「リスト」( ま たは「読み込みアクセスが拒否されました」というメッセージ ) が表示される場 合、サイトは匿名のユーザのアクセスを許可しています。このような場合、次に 示すユーザの認証を要求するための手順を実行します。 # ユーザ認証を要求する 1 SMC を起動し、左側のペインからサーバを選択します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [一般]を選択します。 4 [ユーザの認証を必須にする]チェックボックスをオンにします。 5 [更新]をクリックして、設定を保存します。 ! 詳細については、210 ページの「認証の有効化」を参照してください。 手順 7: サーバのディレクトリリストの制限 ユーザがブラウザから特定の URL を要求すると、アプリケーションサーバはディレク トリのリストを表示します。ディレクトリエントリの表示がサイトの保護上、重要で ない場合でも、これらのリストの表示を防ぐ場合があります。 不正なユーザが HTML のディレクトリリストと HTML 以外のディレクトリリストに アクセスできるかどうかを確認するには、次の 2 つの手順を実行します。 232 exteNd Application Server 管理ガイド # HTML ディレクトリリストが有効かどうかを確認する ( およびオプションで無効にする ) 1 ブラウザで、次のような、サーバのディレクトリの URL を入力します。 http://localhost/SilverStream/Meta/ HTML ディレクトリリストが「保護されている」場合、次のエラーメッセージが 表示されます。 指定されたリソースの読み込みは許可されていません。 このエラーに関する追加の詳細情報があります。 HTML ディレクトリリストが表示される場合、次の手順に従って、ディレクトリ リストへのアクセスを無効にできます。 2 SMC を開き、ツールバーから[セキュリティ]アイコンを選択します。 3 [HTML ディレクトリのリスト表示を無効にする]チェックボックスをオンに します。 4 [更新]をクリックして、設定を保存します。 # HTML 以外のディレクトリリストが有効かどうかを確認する ( およびオプションで無効にする ) 1 ブラウザで、次のような、ブラウザからの URL を入力します。 http://localhost/SilverStream/Meta/?access-mode=text HTML 以外のディレクトリリストが「保護されている」場合、次のエラーメッ セージが表示されます。 指定されたリソースの読み込みは許可されていません。 このエラーに関する追加の詳細情報があります。 ディレクトリのコンテンツがプレーンテキストで表示される場合、次の手順に 従って、ディレクトリリストへのアクセスを無効にできます。 2 SMC を開き、ツールバーから[セキュリティ]アイコンを選択し、次に[許可] を選択します。 3 234 ページの「管理リソースのサーバ設定の読み込みに関する設定を確認する」 での説明に従って、[ディレクトリリストの読み込み]許可を設定し、アクセス を制限します。 4 [更新]をクリックして、設定を保存します。 ! 詳細については、210 ページの「認証の有効化」を参照してください。 セキュリティの使用 233 手順 8: 管理リソースの保護 「管理リソース」では、管理設定を表示、修正、および変更する権限 ( および設定にア クセスする許可 ) を制御します。管理リソースへの許可を制限することにより、サー バオブジェクトを保護できます。管理リソースのセキュリティを設定すると、不正な ユーザが管理操作を実行することはできなくなります。 次の 2 種類のテストを実行して、サーバへのアクセスを確認します。ただし、テスト URL が保護されたサーバの情報にアクセスできない場合でも、管理リソースのセキュ リティの設定により、適切なユーザへのアクセスが正しく制限されているかどうかを SMC を使用して確認する必要があります。 # 管理リソースへの一般的なアクセスを確認する 1 SMC を開きます。 2 匿名ユーザとして、アプリケーションオブジェクトの表示と変更を試します。 「保護された」サーバには、次のメッセージが表示されます。 読み込みアクセスが拒否されました。 このエラーに関する追加の詳細情報があります。 3 # アプリケーションオブジェクトを表示したり、変更したりできる場合、235 ペー ジの「管理アクセスを保護する」の手順を「直ちに」実行する必要があります。 管理リソースのサーバ設定の読み込みに関する設定を確認する 1 Web サイトに次の URL を入力します。 http://localhost/SilverStream/Administration/ 「保護された」サーバには、次のメッセージが表示されます。 読み込みアクセスが拒否されました。 このエラーに関する追加の詳細情報があります。 サイトに固有のサーバプロパティ ( 次のテキストサンプルと類似した ) がプレー ンテキストのリストで表示される場合、サイトは保護されていません。 com.sssw.loadbalancer.connect.tryInterval=30 com.sssw.srv.server=exteNd ApplicationServer/5.0 com.sssw.srv.http.ClientPool.minIdle=0 com.sssw.loadbalancer.connect.sleepCount=10 com.sssw.srv.http.ClientPool.minFree=10 2 サイトの管理リソースが保護されていない場合、235 ページの「管理アクセスを 保護する」の手順を「直ち」に実行する必要があります。 警告 : 管理リソースへのアクセスが制限されていないことが判明した場合、各データ ベースに対するユーザ名とパスワードを直ちに変更する必要があります。この手順に より、リソースへのアクセスが制限されていなかったときにこの情報にアクセスして いたユーザは、今後アクセスできなくなります。 234 exteNd Application Server 管理ガイド # 管理アクセスを保護する 1 SMC を起動し、左側のペインからサーバを選択します。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [許可]を選択します。 4 [許可]の各タブで、[無制限]チェックボックスをオフにして、アクセスを制限 します。 [無制限]チェックボックスをオフにすることによって[サーバ環境設定の読み込 み]の許可を制限することが特に重要です。 5 [簡潔なリスト]または[詳細な式]のいずれかを選択します。 6 ! 選択したタブで、ユーザとグループを選択するか、許可を割り当てるユーザを指 定する式を入力します。5 つのタブ (218 ページの「管理サーバの許可」の表を参 照 ) のすべてで、 「管理者」グループのメンバーにアクセスを制限する必要があり ます ( デフォルトでは、開発者と管理者の両方に与えられています )。 詳細については、218 ページの「許可のタイプ」を参照してください。 手順 9:SilverMaster データベースの保護 SilverMaster データベースを保護する際には、特別な注意が必要です。ユーザやグルー プの情報といったリソースを保存することに加え、SilverMaster では、サーバが使用で きる他のすべての展開データベースに関するログインのリソースとリファレンスも保 存されます。 アプリケーションが適切に制御されていない場合、通常 SilverMaster データベースに 対しては読み込みの制限を適用しません。SilverMaster データベースのトップレベルへ の読み込みアクセスを許可し、ユーザがサーバ上のすべてにアクセスできるようにす る必要があります。メインディレクトリレベル以下のすべてのリソースをロックする 場合もあります。 SilverMaster データベースへの読み込みアクセスを誤って制限してしまった場合、 [サーバセキュリティ]パネルで、[ユーザの認証を必須にする]を有効にします。認 証の要求を忘れた場合、-a オプションで SilverMasterInit を実行し、コマンドラインか らのユーザ認証を有効にします。認証の変更を有効にするには、サーバを再起動する 必要があります。 # SilverMaster データベースへのアクセスをテストする " 不正なユーザからの SilverMaster データベースへのアクセスが可能かどうかを確 認するには、236 ページの「手順 10: 展開データベースの保護」の説明に従います。 この中の手順 4 で、アクセスを制限したと思われる SilverMaster データベースを 選択します。SilverMaster データベースのペアレントレベル以下に保存されている オブジェクトを選択し、アクセスをテストします。 セキュリティの使用 235 # メインディレクトリレベル以下の SilverMaster リソースをロックする 1 管理者として SMC を開き、ツールバーから[セキュリティ]アイコンを選択し ます。 2 [許可]を選択します。 3 左側のパネルから、目的のサーバの下層に位置する SilverMaster データベースを 選択します。 4 [読み込み]、[変更]、および[許可の設定]を管理者グループのメンバーに制限 し、 [このディレクトリ以下全体に適用する]ラジオボタンをオンにします。許可 の設定の詳細については、218 ページの「管理サーバの許可」の表を参照してく ださい。 5 [更新]をクリックして、設定を保存します。 6 SilverMaster データベースを再度選択し、無制限の[読み込み]アクセスを設定し ます ( このとき、 [このディレクトリだけに適用する]が選択されていることを確 認します )。 7 [更新]をクリックして、設定を保存します。 8 SilverMasterの下層で展開されているディレクトリとサブディレクトリ(たとえば、 [展開オブジェクト]) で、手順 6 と手順 7 を繰り返します。 9 [更新]をクリックして、設定を保存します。 ! 詳細については、60 ページの「展開データベースの設定」を参照してください。 手順 10: 展開データベースの保護 ディレクトリとオブジェクトへの許可を設定して、展開データベースへのユーザのア クセスを制限する必要があります。 許可の設定は、ディレクトリ、すべてのサブディレクトリ、および ディレクトリ内またはサブディレクトリ内のすべてのオブジェクトに適用されます。 各アプリケーションについて、各オブジェクトを確認し、階層の各ディレクトリベル で読み込み、書き込み、デフォルトの実行、および許可の設定のアクセスを許可する ユーザを指定します。階層内の各オブジェクトまたはリソースを保護する必要があり ます。 許可の設定の理解 制限を設定しない限り、すべてのユーザが「オブジェクト」に対する完全なアクセス 許可を持つことになります。 「ディレクトリ」に特定のアクセスを指定すると、それが そのディレクトリ内で新しく作成されるオブジェクトに対するデフォルトのアクセス になります。SMC で[許可]パネルを選択している場合、ディレクトリを展開してコ ンテンツを表示することができます ( これは、そのディレクトリに対する読み込み許 可を持っていることが前提です )。許可のタブの下部にある[このディレクトリ以下 全体に適用する]ラジオボタンをオンにすると、複数のディレクトリの保護を設定で きます。必要に応じて、選択したオブジェクトに対して[アクセス時にログインを要 求する]チェックボックスを有効にできます。 236 exteNd Application Server 管理ガイド 注記 : アプリケーションオブジェクトに EJB が含まれている場合、オブジェクトディレクトリ のペアレントディレクトリ ( およびすべての子孫 ) に対する読み込みアクセスの制限を解除する 必要があります。これは、アプリケーションによって読み込まれる必要のあるクラスがオブジェ クトディレクトリに含まれているためです。 # データベースオブジェクトへのアクセスをテストする ( およびオプションで保護する ) 1 管理者または Locksmith 権限を持つユーザとして SMC にログインします。 2 ツールバーから[セキュリティ]アイコンを選択します。 3 [許可]を選択します。 4 左側のパネルから、ディレクトリ構造のペアレントレベルの下層に保存されてい る、制限する必要があると思われるオブジェクトを選択します。 5 各タブをクリックし、このオブジェクトに対するアクセスを持つユーザを確認し ます。許可の制限が正しく設定されていない場合、次の手順を実行します。 6 各タブをクリックし、 [簡潔なリスト]または[詳細な式]のいずれかを選択します。 7 選択したタブで、ユーザとグループを選択するか、許可を割り当てるユーザを指 定する式を入力します。 8 「管理者」グループに属するユーザがこのオブジェクトに対する[許可の設定]の アクセスを持っていることを確認します。 9 [更新]をクリックして、設定を保存します。 ! 詳細については、219 ページの「データベースオブジェクトの許可」および 225 ページの「アプリケーションオブジェクトを実行可能にする」を参照してください。 手順 11:J2EE のセキュリティ役割のマップ J2EE アーカイブを展開する際、展開記述子に指定されたセキュリティ役割を運用環境 のセキュリティプリンシパルにマップします。たとえば、Bean の開発者が 3 種類のセ キュリティ役割を指定している場合、これらの同じ役割がターゲットサーバ上のセ キュリティグループまたは個々のユーザにマップされる必要があります。( 管理を容 易にするため ) 役割をグループにマップする場合、グループのメンバーシップを確認 する必要があります。 セキュリティの使用 237 ロボットの除外 「ロボット」は、検索エンジンや Web クローラのような、リンクされたページを再帰 的に取得することによって Webサイト上のたくさんのページを移動できるプログラム です。アプリケーションサーバでは、一般的に使用されている「ロボット排除プロト コル」がサポートされます。これにより、排除プロトコルに準拠したロボットが Web サイト内のどのファイルとディレクトリにアクセスできるかを指定できます。 注記 : ロボット排除プロトコルは完全に任意です。ロボットがプロトコルに準拠するかどうか は確実ではありませんが、ほとんどの場合、準拠しています。 この排除プロトコルでは、ロボットのアクセスポリシーは robots.txt というファイル に指定されます。robots.txt ファイルはアプリケーションサーバに付属しており、ロ ボットにサーバのルートより下層に進まないように指示します ( つまり、排除プロト コルに準拠するすべてのロボットへのアクセスはすべて拒否されます )。したがって デフォルトでは、プロトコルに準拠するロボットによる Web サイトへのアクセスはす べて拒否されます。 robots.txt を変更して、ロボットに許可するアクセスを指定することができます。たと えば、あるディレクトリのみに対する検索エンジン型のアクセスを許可する場合など があります。 # ロボットのアクセスを変更する " サーバの \Resources ディレクトリで、robots.txt を編集します。 ! プロトコルの形式とセマンティック ( 例を含む ) の詳細については、 http://www.robotstxt.org/wc/robots.html を参照してください。 プロトコルに準拠しているロボットが、次回にサーバからのアクセスポリシーを 要求したとき、更新された robots.txt が読み込まれ、情報がルートに返信されます。 238 exteNd Application Server 管理ガイド 11 サーバの調整 第 11 章 この章では、SMC を使用して、システムのパフォーマンスおよび効率的な操作全体に 影響するサーバパラメータを管理する方法について説明します。この章を構成する節 は次のとおりです。 " パフォーマンスパラメータの設定 " クライアント接続の管理 " サーバコンテンツキャッシュの管理 " 接続プールの管理 " データベース接続の管理 パフォーマンスパラメータの設定 パフォーマンスを向上させるには、SMC を使用して、バッファサイズおよびサーバタ イムアウトパラメータを設定できます。 # パフォーマンスパラメータを設定する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [詳細]を選択します。 239 4 [パフォーマンス]タブを選択します。 5 必要に応じて設定を編集します。 フィールド 説明 返信のバッファサイズ 大きな返信が収集、コピー、およびクライアントに返 送されるパケットのサイズ ( バイト単位 )。 大きなサイズに設定するとパフォーマンスが向上する 場合がありますが、使用できるサーバの物理メモリお よびクライアント接続数に応じて、8KB または 16KB に サイズを制限することをお勧めします。 セッションタイムアウト クライアントがアイドルになった後、サーバがクライ アントとのセッションを終了するまでの時間。デフォ ルト値は 5 分です。 セッションタイムアウト値は、セッションのオブジェ クト変数が維持される長さに影響します。タイムアウ トが長いほど、セッションに使用されるメモリがサー バによって消費される時間が長くなります。セッショ ンオブジェクトを使用しない展開済みのアプリケー ションでは、短いセッションタイムアウトを使用でき ますが、この値は 4 分以下に減らさないでください。 240 exteNd Application Server 管理ガイド フィールド 説明 サーバ要求のタイムアウト 要求を受け取った瞬間から応答を返すまでの、クライ アント要求を処理するための最大合計サーバサイド時 間。これにより、サーバは持続的問題が発生した場合 にタイムアウトできます。 この値は、最大予測サーバ応答時間より大幅に長く設 定する必要があります。 サーブレットのバックグラン ドスレッドプールサイズ この値は、exteNd Director ポートレットを含むアプリ ケーションが展開されている場合にのみ設定します。 0 より大きい数字に設定した場合は、ポートレットコン テナがポートレットを表示するために同時に割り当てる ことのできるスレッドの数を指定することになります。 接続の維持が有効になってい ます オンにすると、クライアント接続をサーバへの追加ク ライアント要求に再使用できます。 サーバは、TCP/IP プロトコルを介してクライアント要 求を受け付ける HTTP リスナを使用します。サーバは、 クライアント TCP/IP 接続を処理する特定数のスレッド を持つように設定されます (242 ページの「クライアン ト接続の管理」を参照してください )。 " [接続の維持が有効になっています]がオン (true) に なっている場合、サーバは、新しい TCP/IP 要求の 処理後、同じクライアント TCP/IP 接続から次のク ライアント要求を読み込みます。 " [接続の維持が有効になっています]が無効になっ ている場合、サーバは、新しい TCP/IP 要求の処理 後、クライアントの TCP/IP 要求を閉じます。 6 [更新]をクリックします。 7 新しい設定を有効にするために、[再起動]( サーバ ) ボタンをクリックします。 サーバの調整 241 クライアント接続の管理 この節では、サーバでクライアント接続を確立する方法、およびパフォーマンス向上 のために接続パラメータを修正する方法について説明します。 注記 : クライアント接続は、データベース接続とは異なります。データベース接続については、 253 ページの「データベース接続の管理」で説明します。 クライアントセッションおよびスレッド クライアントが最初に HTTP 経由でサーバと接続すると、サーバは接続プールから「ス レッド」( 使用できる場合 ) を割り当てることにより、接続を確立します。 スレッドについて スレッドは、次の処理を行う軽量なバックグランドプロセスです。 " サーバセッションを作成する " 適切なサーバコンポーネントに接続して、結果をクライアントに返すことにより、 HTTP 要求を処理する スレッドは、クライアントまたはサーバがそのスレッドを閉じるまで、クライアント 接続に関連付けられています。サーバは、設定可能な接続パラメータに従って接続を 閉じます。接続が閉じられると、スレッドはクライアント接続プールに戻されます。 セッションオブジェクトについて 「セッション」は、次の処理を行うサーバ上のオブジェクトです。 242 " クライアントに関する情報 (ユーザID、 ログイン、 およびホスト名など)を保存する。 " クライアントのセッションオブジェクトにプログラム上含まれているアプリケー ションデータを保存する ( 各クライアントの購入などの情報を途中で保存する必 要があるショッピングカートアプリケーションなど )。 " すべてのスレッドがプールに戻された後、指定された時間(セッションタイムアウ ト期間 ) は接続を維持する ( 複数のクライアントスレッドがセッションに関連付 けられている場合もあります )。これにより、クライアントは指定した期間内に セッションに再接続できます。デフォルトタイムアウトは 5 分です。セッション オブジェクトがサーバによって削除されると、コンテンツは失われます。 exteNd Application Server 管理ガイド サーバセッションとのクライアント接続および関連スレッドは、次の図のとおりです。 クライアント接続パラメータ アプリケーションサーバは、合計許容クライアント接続数 ( スレッド ) を制限してい ます。運用環境でサーバロードを管理するため、この割り当て内で接続パラメータを 修正できます。サーバは、個々の接続状況と全体的なロードの観点から、クライアン ト接続を定義します。 接続状況 各クライアント接続 ( スレッド ) の状況は、次のいずれかです。 " 空き ( 使用中でない場合 ) " アクティブ ( 接続されていて使用中で、要求が実行中の場合 ) " アイドル(接続されていて使用中であるものの、 接続上で要求が実行中でない場合) セッションタイムアウト期間中にスレッドがアイドルになっていると、アプリケー ションサーバは接続を閉じて、接続プールにスレッドを戻します。タイムアウト期間 はユーザが設定できます。239 ページの「パフォーマンスパラメータの設定」を参照 してください。 スレッドは通常、次のライフサイクルを持ちます。 サーバの調整 243 ロードレベル サーバのロードレベルには、 「軽負荷」および「高負荷」の 2 つがあります。新しい接 続が要求されたとき、ロードレベルによって動作が異なります。 ロードレベルに基づくアプリケーションサーバの動作 サーバが新しい接続の要求を受 け取ると、次の処理が実行されます。 1 サーバに新しい接続が要求されます。 2 アプリケーションサーバは、ロードレベルに基づいて次のように応答します。 ロードレベル アプリケーションサーバでの処理内容 軽負荷 新しい要求は空きスレッドに割り当てられます。 アクティブな接続がアイドルになった場合は、その接続はタイムアウ トになるまで開かれたままです。 高負荷 サーバは、古いアイドル接続 ( 可能な場合は、サーバを「軽負荷」ロー ドレベルにするのに十分な数のアイドル接続 ) を閉じ、スレッドを接続 プールに戻してから、空きスレッドを新しい要求に割り当てます。 アイドル接続がない場合 ( 許容接続数のすべてがアクティブな場合 )、 ダイナミックに割り当てられるクライアント接続を許可するようサー バを設定しない限り、新しい要求は拒否されます (244 ページの「接続 パラメータの設定」を参照 )。 ロードレベル決定方法の指定 SMC を使用して、ロードが「軽負荷」または「高負荷」 のいずれであるかをサーバが判別する方法を指定できます。次の説明で、太字の用語 は SMC のプロパティのラベルを指します。 " [クライアント接続の最大数]- 許容クライアント接続の合計数を決定します。 " [アイドルクライアント接続予約]- サーバのロードレベルを決定します。 " 空き接続数が[空きクライアント接続 ( 軽負荷 )]の数より少なければ、サー バのロードレベルは「高負荷」です。 " アイドルクライアント接続の数が[アイドルクライアント接続予約]の数よ り大きければ、サーバのロードレベルは「軽負荷」です。 接続パラメータの設定 SMC で接続パラメータを設定できます。 # 244 クライアント接続パラメータを設定する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 exteNd Application Server 管理ガイド 3 [接続]を選択します。 4 次のように設定を指定します。 フィールド 説明およびガイドライン クライアント接続の 最大数 クライアント接続プールの最大接続数を決定します。ハード制限です。 ガイドライン - 次のように設定します。 同時セッションの最大数 + 10 % (1 セッションに 1 つのアクティブ接続があることを前提とします。) このパラメータの設定が高すぎると、システムリソースがアプリケーションサー バによって過剰に消費されます。設定が低すぎると、接続が拒否される場合があ ります。ピークサーバロードがクライアント接続プールサイズを超えても、着信 クライアント要求を拒否したくない場合は、サーバプロパティ[ダイナミックに 割り当てたクライアント接続]を設定できます ( 次を参照 )。 NetWare 以外のプラットフォームインストール用のデフォルト値 " Express または Server Express - 25 " Server または Custom - 250 NetWare インストール用のデフォルト値 " exteNd J2EE Web Application Server - 250 " Customized NetWare Server - 25 サーバの調整 245 フィールド 説明およびガイドライン アイドルクライアン ト再利用前の空きク ライアント接続数 空き接続数がこの値より少ない場合、アプリケーションサーバはアイドルクライ アントのブロックを再利用します。 ガイドライン - 次のように設定します。 0.2 * クライアント接続の最大数 NetWare 以外のプラットフォームインストール用のデフォルト値 " Express または Server Express - 5 " Server または Custom - 50 NetWare インストール用のデフォルト値 空きクライアント 接続 ( 軽負荷 ) " exteNd J2EE Web Application Server - 50 " Customized NetWare Server - 5 アプリケーションサーバのロードレベルを決定します。空き接続数がこの値より 少ない場合、アプリケーションサーバのロードレベルは高負荷です。 ガイドライン - 次のように設定します。 0.8 * クライアント接続の最大数 NetWare 以外のプラットフォームインストール用のデフォルト値 " Express または Server Express - 5 " Server または Custom - 200 NetWare インストール用のデフォルト値 アイドルクライアン ト接続予約 " exteNd J2EE Web Application Server - 200 " Customized NetWare Server - 20 アイドルクライアント接続数がこの値より多い場合、アプリケーションサーバの ロードは軽負荷です。 イントラネットアプリケーションの場合など、アプリケーションのユーザロード が安定している場合は、この値を低く設定します。低い設定は、アプリケーショ ンのロードが通常は軽負荷であるため、アイドル接続がより長い時間維持される ことを意味します。つまり、既存のユーザは接続をより長い時間維持できます。 インターネットアプリケーション ( ユーザのロードは大幅に異なる可能性があり ます ) に対しては、新しいユーザがより確実に接続を取得できるように、比較的 高く設定することができます。アイドル接続はより短時間で終了します。 ガイドライン - 次のように設定します。 0.5* クライアント接続の最大数 NetWare 以外のプラットフォームインストール用のデフォルト値 " Express または Server Express - 12 " Server または Custom - 125 NetWare インストール用のデフォルト値 246 " exteNd J2EE Web Application Server - 125 " Customized NetWare Server - 12 exteNd Application Server 管理ガイド フィールド 説明およびガイドライン ダイナミックに割り 当てたクライアント 接続 クライアントスレッドのダイナミックな作成をアプリケーションサーバに許可 します。このようにダイナミックに割り当てられたスレッドは、ピークアプリ ケーションサーバロードがクライアント接続プールのサイズを超えた場合の影 響を緩和します。これらのスレッドがオフピーク期間にシステムリソースを使い 果たすことはありません。 ガイドライン : " この値を設定しない場合 - ピーク使用量期間に十分なスレッドが使用できる よう、 [クライアント接続の最大数]を設定します。設定しない場合、一部の 接続要求が拒否されます。オフピーク期間中、これらの余分なスレッドはア プリケーションサーバのリソースを使用します。 " この値を設定する場合 - [クライアント接続の最大数]の値をピークサイズ より低く ( オフピーク時間中に処理される同時要求の通常数より若干大きく ) 設定し、[ダイナミックに割り当てたクライアント接続]を設定してピーク使 用量を処理します。 つまり、ほとんどの場合、プールは追加のスレッド割り当てを必要とせずに すべての要求を処理でき、スレッドがダイナミックに割り当てられてトラ フィックピークを処理します。この値を超えるとアプリケーションサーバは 着信要求を拒否するため、アプリケーションサーバは[ダイナミックに割り 当てたクライアント接続]によってサービス拒否攻撃から保護されます。 NetWare 以外のプラットフォームインストール用のデフォルト値 " Express または Server Express - 40 " Server または Custom - 250 NetWare インストール用のデフォルト値 " exteNd J2EE Web Application Server - 500 " Customized NetWare Server - 250 5 [更新]をクリックします。 新しい設定はただちに有効になります。 サーバの調整 247 サーバコンテンツキャッシュの管理 アプリケーションサーバは、リソースの命名および属性情報を含むさまざまな目的に サーバサードキャッシュを使用します。また、メモリ内またはディスク上のファイル リソースのコンテンツも保存 ( またはキャッシュ ) します。ほとんどの場合、パフォー マンスに影響する点を除けば、ユーザがキャッシュを意識することはありません。 2 つのキャッシュ 各アプリケーションサーバには、独立した次の 2 つのキャッシュがあります。 キャッシュ 説明 メモリキャッシュ このキャッシュは完全にメモリ内に保持されており、小さなファイルの 格納が対象です。 ディスクキャッシュ このキャッシュはディスク上にあり、大きなファイルを対象とします。 設定できる内容 各キャッシュでは、次の 2 つの設定が可能です。 設定 説明 最大コンテンツサイズ キャッシュに格納できる個々のファイルの最大サイズ 最大キャッシュサイズ キャッシュ自体の最大サイズ ( キャッシュ内にあるすべての ファイルの合計サイズ ) ディスクキャッシュに使用されるディレクトリも指定できます。 アプリケーションサーバのキャッシュ使用方法 アプリケーションサーバは、ファイルサイズに基づいて、各ファイルに最適なキャッ シュを使用します。小さなファイルはメモリキャッシュに保存され、大きなファイル はディスクキャッシュに保存されます。非常に大きなファイルはキャッシュされませ ん。サーバは、各キャッシュ内の LRU( 最近、最も使用されていないもの ) アルゴリ ズムを使用して、キャッシュがいっぱいになると古い ( 最近使用されていない ) ファ イルを処分します。 # キャシュ設定を設定する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [詳細]オプションを選択します。 248 exteNd Application Server 管理ガイド 4 [キャッシュ]タブを選択します。 次のようなパネルが表示されます。 5 次のように設定を指定します。 フィールド 説明 有効なコンテンツキャッシュ コンテンツキャッシュを有効または無効にします。オフに すると、すべてのコンテンツキャッシュがオフになります。 頻繁に要求されるファイルリソースをキャッシュすると、 リソースの応答時間が向上します。デバッギング目的での みオフにします。 ディスクキャッシュの 最大サイズ ディスクキャッシュの最大サイズ ( バイト単位 )。 キャッシュ 内にあるすべてのファイルの合計サイズは、常にこのサイ ズ以下になります。0 に設定すると、ディスクキャッシュ は無効になります。 一般的に、このキャッシュは、メモリ内キャッシュサイズ を決定した後に、頻繁に使用されるファイルの残りを保存 するのに十分な大きさにします(下の 「メモリ内キャッシュ の 最大サイズ」の説明を参照 )。 ディスクキャッシュに キャッシュされるファイル の最大サイズ ディスクキャッシュでキャッシュされるファイルの最大 サイズ ( バイト単位 )。 このサイズ以下であってもメモリ内キャッシュには大き すぎるファイルは、ディスクキャッシュにキャッシュされ ます。このサイズより大きなファイルはキャッシュされま せん。 サーバの調整 249 フィールド 説明 メモリ内キャッシュの 最大サイズ メモリ内キャッシュの最大サイズ ( バイト単位 )。キャッ シュ内にあるすべてのファイルの合計サイズは、常にこ のサイズ以下になります。0 に設定すると、メモリ内 キャッシュは実質的に無効になります。 一般的には、システムで過剰なページアクティビティが 発生しないできるだけ大きなサイズにします。 メモリ内キャッシュに キャッシュされるファイル の最大サイズ メモリ内キャッシュでキャッシュされるファイルの最大 サイズ ( バイト単位 )。これ以下のサイズのファイルは、 メモリ内キャッシュにキャッシュされます。 ディスクキャッシュエント リのディレクトリ ディスクキャッシュエントリが保存されるディレクトリ。 デフォルトでは、アプリケーションサーバのインストール ディレクトリのサブディレクトリです。 このディレクトリが存在しない場合は、サーバによって作 成されます。また、起動時にこのディレクトリからキャッ シュファイルをすべてクリアしようとします ( キャッシュ 専用ディレクトリを用意することをお勧めします )。 サーバがこのディレクトリを見つけられないか、または作 成できない場合、ディスクキャッシュは無効になります。 6 [更新]をクリックします。 新しい設定はただちに有効になります。 接続プールの管理 この節では、次のトピックについて説明します。 " 接続プールの接続について " 接続プールの接続数の設定 接続プールの接続について アプリケーションサーバは、接続プールを使用して、J2EE アプリケーションとデータ ソース間のすべての接続を処理します。通常、接続プールの接続は、JDBC または RAR(Resource Adapter Archive) を介してアプリケーションサーバとデータソースの間 に確立された TCP/IP 接続です。 ほとんどのデータベースまたは EIS(Enterprise Information System) サーバでは、同時に 開くことができる通信数が制限されています。SMC を使用して、アプリケーション サーバによって使用される最小 ( 初期 ) および最大接続数を各データソースに設定で きます。 250 exteNd Application Server 管理ガイド 最高のパフォーマンスを得るには、通常、開いているデータソース接続の最大数を、 データソースに対して同時にクエリまたは更新を行う最大ユーザ数に等しい値に設定 します。 正しい接続数の決定 設定した最大数が小さすぎると、パフォーマンスが低下します。すべての接続が使用 中のときにクライアントがデータソースにアクセスしようとすると、実行中のクエリ または更新が完了するまで、クライアントはブロックされます。異なる最大設定を試 して、サーバパフォーマンスを最適化することができます。 他のアプリケーションがアプリケーションサーバとは別にデータソースサーバへの接 続を確立する場合は、開いているアプリケーションサーバ接続の最大数を減らして、 データソースへのアクセスが必要なすべてのプロセスがデータソースに接続できるよ うにする必要があります。 DBMS または EIS のマニュアルを参照して、データソースにアクセスする他のアプリ ケーションを考慮に入れ、SMC で指定されたクライアント接続数を受け入れるように データソースが設定されていることを確認します。 接続プールの接続数の設定 SMC の[プール]タブを使用して、次の JDBC およびコネクタ接続プールを管理でき ます。 " 接続の最小数および最大数 " アイドルタイムアウト " 接続タイムアウト " ログレベル 各接続プールに値を指定します。 # 接続プール設定を更新する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [プール]を選択します。 4 [コネクタ]または[JDBC]を選択して、使用できる接続プールを表示します。 5 接続値を修正する接続プールを選択して、 [編集]を選択します。 JDBC 接続プールの編集ウィザードが表示されます。 接続プールのさまざまな設定を表示できますが、更新できるのは最小および最大 接続値と接続プールタイムアウト値のみです。 サーバの調整 251 6 [次へ]を選択して、次に示す最小および最大接続値を表示するパネルまでウィ ザードを進めます。 フィールド 説明 最小接続数 接続プールのデフォルト最小接続数。アプリケーション サーバは、起動するとただちにこの数の接続を確立し て、サーバが動作している限り、開いたままにします。 注記 : データソースがクラッシュして再起動した場合、 アプリケーションサーバは古い接続を削除し、必要に 応じて新しい接続を再確立します。最少接続数として 指定された接続数はただちに確立されません。 最大接続数 接続プールのデフォルト最大接続数。アプリケーショ ンサーバは、要求に応じて接続をこの数まで開きます。 開いているアプリケーションサーバ接続の最大数が、 EIS によって許可されている合計数以下であることを 確認します。それ以外の場合、接続を開こうとすると、 データソースサーバからアプリケーションサーバにエ ラーが返されます。 252 アイドル接続タイムアウト アイドルタイムアウト ( 秒単位 )。デフォルトは 60 秒 です。- 1 に設定すると、アイドルタイムアウトが無効に なり、アイドル接続は閉じられなくなります。 接続待機タイムアウト 接続待機タイムアウト ( 秒単位 )。デフォルトは 30 秒 です。- 1 に設定すると、クライアントは、接続が使用 可能になるまで待機する必要があります。 exteNd Application Server 管理ガイド フィールド 説明 ログレベル レベルは次のとおりです。 0 - ログ記録がオフになっている 1 - 基本的な接続プール操作をログ記録する 2 - レベル 1 + より詳細な操作とエラーメッセージ 3 - レベル 2 + JDBC ドライバまたはコネクタリソース アダプタによって生成された例外スタックトレースと トレース出力 メッセージは、サーバコンソールに書き込まれます。 7 [更新]をクリックします。 8 新しい設定を有効にするために、[再起動]ボタンをクリックします。 データベース接続の管理 この節では、次のトピックについて説明します。 " データベース接続およびパフォーマンスについて " 最大および最小データベース接続数の設定 データベース接続およびパフォーマンスについて アプリケーションサーバは、クライアントと展開データベース間のすべての接続を処 理します。通常、各データベース接続は、JDBC を介してアプリケーションサーバと データベースサーバの間で確立される TCP/IP 接続です。 ほとんどのデータベースサーバでは、同時に開くことのできるデータベース接続数が 制限されています。SMC を使用して、アプリケーションサーバに使用される最小 ( 初 期 ) および最大接続数を各データベースに設定できます。 通常、開いている展開データベース接続の最大数は、データベースに対して同時にク エリまたは更新を実行するユーザの最大数に等しい数に設定します。 正しい最大接続数の決定 設定した最大数が小さすぎると、パフォーマンスが低下します。すべての接続が使用 中のときに、クライアントがデータベースにアクセスしようとすると、実行中のクエ リまたは更新が完了するまで、クライアントはブロックされます。異なる最大設定を 試して、サーバパフォーマンスを最適化することができます。 他のデータベースユーザがアプリケーションサーバとは別にデータベースサーバへの 接続を確立する場合は、開いている接続の最大数を減らす必要があります。これによ り、アプリケーションサーバ以外のユーザがデータベース接続を使用できます。 サーバの調整 253 DBMS のマニュアルを参照して、データベースにアクセスする他のアプリケーション を考慮に入れ、SMC で指定されたクライアント接続数を受け入れるようにデータベー スが設定されていることを確認します。 最大および最小データベース接続数の設定 デフォルトの最大および最小データベース接続数だけでなく、特定のデータベースの 接続数を設定することもできます。これは、SMC の[データベース]パネルで設定し ます。 デフォルト接続数の設定 デフォルトの最小および最大データベース接続数を設定できます。値は次のデータ ベースによって使用されます。 " 以降に追加されるデータベース " 現在、デフォルトの最小または最大接続数を使用しているサーバ上にあるすべて のデータベース ( 最小または最大接続数がデフォルトから変更されていないデー タベース ) 注記 : 特定のデータベースのデフォルトを上書きするには、255 ページの「特定のデータベー スの接続数の設定」を参照してください。 # 254 デフォルトの最大および最小データベース接続数を設定するには 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 exteNd Application Server 管理ガイド 3 [データベース]を選択します。 4 必要に応じて、パネル上部のフィールドを編集します。 フィールド 説明 データベース接続の最小数 ( 全データベースに適用 ) データベースのデフォルト最小接続数。アプリケーショ ンサーバは、起動するとただちにこの数の接続を確立し て、サーバが動作している限り、開いたままにします。 注記 : データベースがクラッシュして再起動した場合、 アプリケーションサーバは古い接続を破棄し、必要に応 じて新しい接続を再確立します。最少接続数として指定 された接続数はただちに確立されません。 データベース接続の最大数 ( 全データベースに適用 ) データベースのデフォルト最大接続数。アプリケーショ ンサーバは、要求に応じて接続をこの数まで開きます。 開いている接続の最大数が、データベースサーバによっ て許可されている合計数以下であることを確認します。 それ以外の場合、接続を開こうとすると、データベース サーバからアプリケーションサーバにエラーが返され ます。 ! 詳細については、253 ページの「データベース接 続およびパフォーマンスについて」を参照してくださ い。 5 [更新]をクリックします。 デフォルトの再設定 デフォルトの最小および最大データベース接続数を再設定できます。これは、サーバ のすべてのデータベースに適用されます。 # デフォルトを再設定する " [データベース]パネル上部の[データベース接続の最大数]または[データベー ス接続の最小数]の横にある[リセット]をクリックします。 デフォルトの最小または最大接続数が再設定され、サーバの「すべて」のデータ ベースが新しいデフォルト値を使用するように再設定されます。 特定のデータベースの接続数の設定 特定のデータベースのデフォルトデータベース接続数を上書きできます。 # 特定のデータベースのデフォルト最小 / 最大接続を上書きする 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 サーバの調整 255 3 [データベース]を選択します。 4 [データベース設定]の下にあるリストボックスから、設定するデータベースを選 択します。 5 データベース名の下にある次のフィールドを編集することにより、特定のデータ ベースの最小および最大データベース接続数を設定します。 フィールド 説明 最小接続数 アプリケーションサーバは、起動するとただちにこの数の接続 を確立して、サーバを実行している限り、開いたままにします。 ここで値を設定すると、デフォルト値が上書きされます。 注記 : データベースがクラッシュして再起動した場合、アプリ ケーションサーバは古い接続を破棄し、必要に応じて新しい接 続を再確立します。最少接続数として指定された接続数はただ ちに確立されません。 最大接続数 アプリケーションサーバは、必要に応じて追加接続をこの数ま で開きます。ここで値を設定すると、デフォルト値が上書きさ れます。 開いている接続の最大数が、データベースサーバによって許可 されている合計数以下であることを確認します。それ以外の場 合、接続を開こうとすると、データベースサーバからアプリ ケーションサーバにエラーが返されます。 ! 詳細については、253 ページの「データベース接続およ びパフォーマンスについて」を参照してください。 6 [更新]をクリックします。 256 exteNd Application Server 管理ガイド 値のデフォルトへの復元 特定のデータベースの最小または最大接続数をデフォルト値にリセットできます。 # 最小 / 最大接続をデフォルトに復元する 1 リストボックスから設定するデータベースを選択します。 2 選択したデータベースの[最小接続数]または[最大接続数]の横にある[リセット] をクリックします。 最小または最大接続数がデフォルト値 ( パネル上部に表示 ) にリセットされます。 サーバの調整 257 258 exteNd Application Server 管理ガイド 12 クラスタの管理 第 12 章 こ の 章 で は、負荷 分 散 お よ びフェールオーバーを実装するために Novell exteNd Application Server でサーバクラスタリング機能を使用する方法について説明します。 また、クラスタ環境を設定して維持する方法についても説明します。この章は、次の 節で構成されています。 " サーバクラスタリング機能 " クラスタコンポーネント " コンポーネントフェールオーバー " サーバクラスタの設定 " サーバクラスタの管理 " サーバの相対負荷ウェイトの指定 " コンポーネントフェールオーバーの管理 " クラスタの解除 " クラスタリングコンポーネントのプロパティの変更 " クラスタへの証明書のインストール 259 サーバクラスタリング機能 高負荷な処理に対応するために、アプリケーションサーバでは、サーバクラスタリン グ機能を使用して負荷分散を実装します。 サーバクラスタとは 「サーバクラスタ」は、処理負荷を分担する異なるホストで実行されているサーバの セットです。アプリケーションサーバ環境におけるクラスタは、独立したシステムで 構成されるグループです。これらのシステムは、同じ SilverMaster データベースに接 続されている単一のシステムとして連携して動作します。この設定では、クライアン トと通信するクラスタは、まるでパフォーマンスと信頼性が高い単一のアプリケー ションサーバであるかのように動作します。 注記 : サーバのクラスタは、長期にわたり、1 台の大型コンピュータよりもさらに効率的に要 求を処理できます。これは、複数のコンピュータの帯域幅とリソースを合わせた合計は、1 台の 大型コンピュータの帯域幅とリソースの合計よりも大きい ( と同時に安価である ) ためです。 サーバクラスタリング機能の利点 サーバクラスタリング機能の利点は、次のとおりです。 利点 説明 スケーラビリティおよび パフォーマンス 特定の期間にわたって処理される要求の数は、増やすことが可能 です。全体的な負荷がクラスタ内のシステムの能力を超えた場合 は、別のシステムをクラスタへ容易に追加できます。 キャッシュ管理 アプリケーションを変更した場合、キャッシュ管理によって、ク ラスタ内の各サーバにその変更が伝達されます。 負荷管理 クライアント要求は、全体的なパフォーマンスを最適にするため に、サーバに分散されます。 サードパーティ製のロードマネージャを使用することもできます。 フェールオーバー フェールオーバー機能は、サーバクラスタの各コンポーネントに 装備されています。個々のシステムフェールオーバー機能につい ては、284 ページの「コンポーネントフェールオーバーの管理」の 説明を参照してください。 クラスタコンポーネント アプリケーションサーバクラスタには、次のコンポーネントが含まれています。 260 コンポーネント 数 目的 SilverMaster データベース 1つ クラスタメンバーシップを追 跡する exteNd Application Server 管理ガイド コンポーネント 数 目的 アプリケーションサーバ 1 つまたは複数 ( 通常は、 少なくとも 2 つ ) サーバアプリケーション 負荷マネージャ 1 つ ( オプションですが、 使用する場合はディス パッチャが必要 ) ディスパッチャのアクティビ ティを管理する ディスパッチャ 1 つ ( オプションですが、 使用する場合は負荷マ ネージャが必要 ) アプリケーションサーバに要 求をリダイレクトするため、負 荷マネージャによって使用さ れる キャッシュマネージャ 1つ サーバキャッシュを同期され ている状態に維持する クラスタコンポーネントは、次のように設定されます。 クラスタ要件 クラスタ設定では、次の一般的な要件を満たしている必要があります。 " クラスタ内の各サーバは、同じ SilverMaster カタログと通信する。 " 各サーバには、固有なアドレスとポートがある。 " クラスタ内の各コンポーネントは、TCP/IP で通信できる。 " SMC を実行できるクライアントコンピュータは、クラスタを作成および設定する ために使用できる。 クラスタの管理 261 クラスタオプション クラスタ設定内には、次のオプションがあります。 " サーバは、ネットワークの任意のコンピュータに常駐できる。 " クラスタには、サーバをいくつでも含めることができる。 " サーバとコンポーネントは、異なるプラットフォームで実行できる。 キャッシュマネージャ 各アプリケーションサーバには、一般的にアクセスするデータ ( セキュリティ情報な ど ) をメモリに保存するための、インテリジェントなキャッシュメカニズムがありま す。各要求に対してデータベースからこの情報を読み込むことは非常に効率が悪いた め、アプリケーションサーバでは、この情報をキャッシュメモリで保持します。情報 がサーバで更新されると ( 新しいセキュリティ許可が適用されたり、J2EE アーカイ ブが展開されたりした場合など )、アプリケーションサーバのキャッシュも更新され ます。 クラスタ内の複数のサーバ間でこのキャッシュを保持することは、アプリケーション とデータの整合性を保つために重要です。クラスタ環境では、複数のサーバが、アプ リケーションサーバのシステムテーブル内にある同じデータを同時に変更できるた め、メモリにキャッシュされたデータが破損または矛盾した状態のままになることが あります。キャッシュマネージャでは、キャッシュオブジェクトがサーバによって無 効にされた場合にクラスタ内の他のサーバに通知することで、このような競合を防ぎ ます。すべてのサーバでは、無効なキャッシュエントリを破棄し、オブジェクトが次 回必要になった場合にリソースの更新バージョンを取得します。 262 exteNd Application Server 管理ガイド キャッシュマネージャの機能 キャッシュマネージャは、個別のコンピュータ、またはサーバクラスタ内の任意のコ ンピュータで実行できます。クラスタ内のサーバを起動する前に、キャッシュマネー ジャを起動して実行する必要があります。起動時に、アプリケーションサーバでは、 SilverMaster カタログから設定に関するクラスタリング情報を読み込み、キャッシュマ ネージャとの通信を開始します。キャッシュマネージャは、サーバの存在を登録し、 クラスタのメンバーとして識別します。 既存のオブジェクトを変更した場合、サーバは特定のオブジェクトを他のサーバで無 効にしなければならないことをキャッシュマネージャに通知します。アプリケーショ ンサーバ環境のオブジェクトはすべて URL で示すことができるため、サーバはすべて のサーバに対して指定されているURLを無効にするためにキャッシュマネージャを呼 び出します。キャッシュマネージャは、登録されている各サーバ ( 無効化を開始する サーバ以外 ) を呼び出して、URL により識別されるオブジェクトを無効にするように 通知します。 クラスタの管理 263 負荷マネージャ 負荷マネージャは、クラスタと同じネットワーク上にある任意のコンピュータでサー ビスまたは標準のプロセスとして実行できるプログラムです。負荷マネージャの役割 は、クラスタ内にあるアクティブな各サーバとその相対処理「負荷」( または、次の 「分散マッピング」で説明されているウェイト ) を追跡することです。この情報に基づ いて、負荷マネージャでは分散マップを生成します。この分散マップは、設定でディ スパッチャに送信されます。 負荷マネージャのしくみ クラスタ内のサーバを起動する前に、負荷マネージャを起動して実行する必要があり ます。起動時に、サーバでは、SilverMaster からセットアップに関するクラスタリング 情報を読み込み、負荷マネージャとの通信を開始して、サーバの存在を登録します。 負荷マネージャでは、サーバが実行されていることをまず登録し、サーバへの通信方 法を次に判断した後、分散マップにサーバを組み込みます。負荷マネージャでは、起 動時に、プロパティファイルから設定に関するディスパッチャ情報を読み込み、分散 マップを今後送信できるように、ディスパッチャとの通信を開始します。 次の図は、負荷マネージャを示しています。 分散マッピング 負荷マネージャによってダイナミックに生成される分散マップでは、クラスタ内の各 サーバに対する処理負荷が決定されます。各サーバの分散ウェイトは、1 ∼ 10 までの 範囲の整数で表されます。 264 exteNd Application Server 管理ガイド デフォルトでは、負荷を分散するために「ラウンドロビンシステム」が使用されます。 つまり、クラスタ内のすべてのサーバでは、長期にわたり同じ数のヒットを取得し、 ウェイトも同じになります。 この分散は変更できません。たとえば、サーバ 1 を 8、サーバ 2 を 4、サーバ 3 を 2 に それぞれ設定した場合、特定の期間にわたって、サーバ 1 ではサーバ 2 の 2 倍のヒッ トを取得し、サーバ 2 ではサーバ 3 の 2 倍のヒットを取得します。次の表は、ウェイ ト設定のその他の例を示します。 クラスタ内のサーバ ウェイト 結果 1, 2, 3 null ラウンドロビン 1, 2, 3 1, 1, 1 ラウンドロビン 1, 2, 3 2, 4, 6 サーバ 1 は、ヒット数が最も少なく、サーバ 2 は、結 果としてサーバ 1 の 2 倍のヒット数になり、サーバ 3 は、 結果としてサーバ 1 の 3 倍のヒット数になります。 1, 2, 3 1, 1, 10 サーバ 3 は、結果としてサーバ 1 とサーバ 2 の 10 倍 のヒット数になります。 ! 分散の変更の詳細については、284ページの「サーバの相対負荷ウェイトの指定」 を参照してください。 ディスパッチャ ディスパッチャは、Web クライアントがサーバクラスタ内に入るためのエントリポイ ントとしての役割を果たします。最初にクライアントは、ディスパッチャの URL を通 じてクラスタにアクセスします。 ディスパッチャは、ウェイトの軽い HTTP/HTTPS サポートのプログラムで、負荷マ ネージャによって提供される分散マップに従ってサーバにクライアント要求を送信す るために、他のクラスタコンポーネントと通信します。ディスパッチャは、クラスタ サーバと同じネットワーク上にある任意のコンピュータで、サービスまたは標準のプ ロセスとして実行できます。ディスパッチャと負荷マネージャは個別のコンピュータ やプラットフォームで実行でき、SilverMaster データベースにアクセスする必要はあり ません。 ディスパッチャの機能 クライアントから初めて呼び出されると、ディスパッチャでは、負荷マネージャから 受信した分散マップに基づいて、要求に最適なサーバを検出します。次に、HTTP リ ダイレクトという標準のプロセスを使用して、要求をクライアントにリダイレクトし ます。その後、クライアントでは、この要求を指定のサーバに直接送信します。 クラスタの管理 265 ディスパッチャから特定のサーバにセッションが送信されると、すべてのクライアン ト通信は、ディスパッチャを通さずにサーバに直接送信され、リダイレクションはマ スクされません ( つまり、ブラウザでは、ディスパッチャの URL ではなく、サーバの URL がユーザに表示されます )。 次の図は、HTTP リダイレクトプロセスの順序を示します。 ディスパッチャでは、HTTPS ( および HTTP 1.0、HTTP 1.1) をサポートしています。こ れは、クラスタを設定した後でサーバ証明書をインストールできることを意味します。 279 ページの「サーバクラスタの管理」を参照してください。 サードパーティ製の送信ソリューションの使用 アプリケーションサーバのソフトウェアであるディスパッチャは、負荷分散および フェールオーバーの多くのニーズに対応できる優れたソリューションですが、ディス パッチャによって提供されない機能が必要になる場合もあります。 次の理由に対しては、サードパーティ製の送信ソリューションの使用が推奨されます。 266 理由 詳細 複雑な負荷分散 アルゴリズム 負荷分散が計算される方法をさらに制御したい場合は、別の送信 ソリューションの使用が推奨されます。 exteNd Application Server 管理ガイド 理由 詳細 DNS マスク ディスパッチャソフトウェアでは、クラスタ内で使用できるサー バに対して単純な HTTP リダイレクションを実行するため、ブラ ウザでは、そのサーバとの直接接続を確立できる必要がありま す。その結果、すべてのクライアントでは、サーバメンバーのす べての TCP/IP ホスト名を解決できなければなりません。一方、 DNS マスク機能付きの送信ソリューションでは、すべての着信 および発信トラフィックを処理するため、すべてのサーバを 1 つ の共通ホスト名で解決できます。 この機能は、インターネットアプリケーションでは特に便利です。 インターネットアプリケーションでは、サーバやディスパッチャご とのホスト名ではなく、1 つのホスト名 (www.company.com など ) だけを表示することが、ユーザにとって望ましいからです。 セッションレベルの フェールオーバー 展開計画によってフェールオーバーサポート (「分散可能」と記 された WAR、および「回復可能」と記された EJB JAR) が示され ている J2EE アプリケーションに対し、多くのサードパーティ製 のディスパッチャでは、セッションをクラスタ内の別のサーバに 自動的に再ルーティングでき、ユーザがこれを意識することはあ りません。セッションレベルのフェールオーバーの場合、再ルー ティングが必要です。 グローバル送信 さらに複雑なルーティング ( 世界中の異なるサイトへのルーティ ングなど ) を実行できるディスパッチャが必要な場合があります。 このような状況では、負荷マネージャとディスパッチャの代わりにサードパーティ製 の送信ソリューションを使用することが推奨されます。ただし、アプリケーションサー バのキャッシュマネージャはキャッシュの整合性の維持に、SMC はサーバ管理にその まま使用できます。 標準の HTTP サーバ負荷分散ソリューションは、 アプリケーションサーバで機能します。 コンポーネントフェールオーバー アプリケーションサーバでは、一時的なエラーや持続的なエラーが発生した場合にシ ステムフェールオーバーおよび回復を実行します。クラスタ内のコンポーネントのい ずれかに障害が発生すると、SilverMonitor というバックグラウンドプログラムによっ てエラーが検出されます。 SilverMonitor について SilverMonitor では、システムで実行されているデーモン、プロセス、およびサービス の状態を観察します。SilverMonitor は、サーバクラスタの各コンポーネントを監視し、 コンポーネントに障害が発生すると、SilverMonitor はその障害を検知してコンポーネ ントを再起動しようとします。 クラスタの管理 267 SilverMonitor を使用すると、通常は、障害が発生したコンポーネントをすばやく回復 できるようになります。障害が持続する場合は ( たとえば、ハードウェア障害などの 理由のために )、システムリソースを節約するために、SilverMonitor では、事前に定義 されている回数だけ試行した後、試行を中止します。 注記 : SilverMonitor は、デフォルトにより、各クラスタで実行されます。また、特定のプログ ラムパラメータを定義できるサーバ起動オプションとしても提供されます。詳細については、299 ページの「SilverMonitor の使用」を参照してください。 SilverMonitor でサーバを再起動できない場合 クラスタ内のサーバがダウンし、正しく再起動しない場合は、次の結果が発生します。 1 キャッシュマネージャによって、障害が検出されます。 2 負荷マネージャによって障害が検出され、分散マップからそのサーバが削除され ます。 3 障害の発生したサーバに新しいクライアントがリダイレクトされないように、更 新されたマップが負荷マネージャによってディスパッチャに送信されます。 サーバが再起動した場合 サーバが再起動した場合は、次の結果が発生します。 1 サーバがキャッシュマネージャに再接続されます。 2 サーバが負荷マネージャに再接続されます。 3 負荷マネージャによって分配マップが再作成され、ディスパッチャに送信され ます。 4 クライアント要求の受信がサーバで開始されます。 サーバで障害が発生すると、接続されていたクライアントでは接続が切断されます。 そのためクライアントでは、再起動するか、ブラウザから別の要求をディスパッチャ へ送信する必要があります。 持続的な障害 サーバの再起動にかなりの時間がかかる場合は、着信クライアント要求をできるだけ 効率的に処理できるように、クラスタコンポーネントでクラスタの強制再設定が行わ れます。持続的な障害が発生している間、アクティブなコンポーネントは次のように 応答します。 268 ダウンしたコンポーネント 処理内容 アプリケーションサーバ 負荷マネージャによって障害が検出され、アクティブな サーバにトラフィックをリダイレクトするようにディ スパッチャは指示されます ( 前の説明を参照 )。 exteNd Application Server 管理ガイド ダウンしたコンポーネント 処理内容 負荷マネージャ 分散マップを更新することはできないものの、キャッ シュされたバージョンのマップを使用してディスパッ チャは依然として機能します。 ディスパッチャ 新しい接続は確立されません。既存のセッションには影 響は与えられません。 キャッシュマネージャ ロジックまたはプロパティが変更されていないアプリ ケーションは、正常に実行し続けます。 サーバクラスタの設定 アプリケーションサーバのクラスタリングコンポーネント ( キャッシュマネージャ、 負荷マネージャ、およびディスパッチャ ) は、アプリケーションサーバの特定のバー ジョンで使用できます。 # サーバクラスタを設定する 1 最初のサーバをインストールし、SilverMaster を作成します。インストールが完 了している場合は、SilverMaster 設定がクラスタに対して適切であることを確認 します。 ! アプリケーションサーバのインストールおよびSilverMasterデータベースの 設定の詳細については、『Novell exteNd のインストール』を参照してください。 2 システムで必要な展開データベースまたは接続プールをすべて追加します。 3 インストールプログラムを使用して、クラスタリングコンポーネントを 1 つまた は複数のコンピュータにインストールします。プラットフォーム (UNIX、NetWare、 および Windows) は組み合わせて使用できます。 ! 4 詳細については、「Novell exteNd のインストール」を参照してください。 クラスタリングコンポーネントを起動します。 ! 詳細については、次の「クラスタリングコンポーネントの起動」を参照し てください。 デーモンまたはサービスとしてコンポーネントをインストールした場合は、この モードで停止して再起動できます。 5 インストールプログラムを使用して、クラスタの一部である他のサーバをそれぞ れインストールします。 ! 詳細については、272 ページの「クラスタサーバのインストール」を参照し てください。 6 SMC を開始し、クラスタを作成します。 ! 詳細については、274 ページの「クラスタの作成」を参照してください。 クラスタの管理 269 7 クラスタを作成したら、サーバとコンポーネントをすべて再起動し、クラスタを 有効にします。 ! 詳細については、279 ページの「クラスタサーバの再起動」を参照してくだ さい。 クラスタリングコンポーネントの起動 負荷分散ソフトウェアがネットワーク上で現在サービスとして実行されていない場 合、これらのプログラムを常駐コンピュータで手動により実行する必要があります。 アプリケーションサーバの負荷マネージャを使用している場合は、次の手順に示す順 序でコマンドを実行します。 # クラスタコンポーネントを起動する Windows および UNIX では、次の手順で指定されているプログラムは、サーバの \bin ディレクトリにあります。NetWare では、システムコンソールからコマンドを入力し ます。 1 キャッシュマネージャプログラムを起動します。 オペレーティングシステム 2 NetWare SilverCacheMgr UNIX /bin/SilverCacheMgr Windows \bin\SilverCacheMgr.exe ディスパッチャプログラムを起動します。 オペレーティングシステム 3 コマンド コマンド NetWare SilverDispatcher UNIX /bin/SilverDispatcher Windows \bin\SilverDispatcher.exe 負荷マネージャプログラムを起動します。 オペレーティングシステム コマンド NetWare SilverLoadMgr UNIX /bin/SilverLoadmgr Windows \bin\SilverLoadMgr.exe これらの各実行可能ファイルを使用して、起動する JVM を指定することができます。 詳細については、94 ページの「使用する JVM の指定」を参照してください。 270 exteNd Application Server 管理ガイド ディスパッチャでの起動パラメータの使用 ディスパッチャは、次に説明するパラメー タを使用して起動できます。 パラメータ 説明 -p propfile 代替 Dispatcher.ddl ファイルの名前と場所。 Dispatcher.DDL ファイルは、クラスタ設定時に SMC によって作 成されます。ディスパッチャに対する RMI、HTTP、および HTTPS のデフォルトのポートが指定されるこのファイルは、サーバの \Resources ディレクトリにあります。 代替 Dispatcher.ddl ファイルの使用、または SMC 外でのこのファ イルの編集は、推奨されていません。 -c upload- ディスパッチャを upload-certificate モードで実行します。 certificate ! 詳細については、288 ページの「クラスタへの証明書のイ ンストール」を参照してください。 -h host ここで指定したホスト名は、次で IP アドレスに変換されます。 InetAddress.getByName(host_name); このパラメータを指定した場合、ディスパッチャでは、この IP ア ドレスのみでリッスンするサーバソケットを開きます。指定しな かった場合、ソケットは、ローカルコンピュータのすべての IP ア ドレスでリッスンします。 +cp:p path 指定した path をクラスパスの前に付けます。このデバッグオプ ションを使用する前に、必ず Novell exteNd テクニカルサポートに 連絡してください。代わりに、AGCLASSPATH を使用して、追加 の Java クラスをアプリケーションで使用できるようにします。 ! 詳細については、126 ページの「AGCLASSPATH 変数の設 定」を参照してください。 +cp:a path 指定した path をクラスパスの後ろに付けます。このオプション は、指定したパスをクラスパスに付けることによって、追加の Java クラスをアプリケーションで使用できるようにします。 注記 : Java クラスを拡張するには、AGCLASSPATH 環境変数を 使用します。 ! 詳細については、126 ページの「AGCLASSPATH 変数の設 定」を参照してください。 クラスタの管理 271 クラスタサーバのインストール クラスタの SilverMaster データベースを含むサーバをインストールしたら、インストー ルプログラムを使用して他のサーバをインストールします。他のサーバをインストー ルする場合は、これらのサーバが、インストールした最初のサーバ (SilverMaster デー タベースが含まれています ) を指すようにする必要があります。これは、1 つのクラ スタ内の全サーバで同じ SilverMaster データベースが使用されなければならないため です。 この節では、インストール処理を行う上でのヒントをご紹介します。詳細については、 「Novell exteNd のインストール」を参照してください。 クラスタサーバをインストールするためのガイドライン (NetWare の場合 ) クラスタを設定する場合の 1 つの手順は、クラスタに含めるホストコンピュータそれ ぞれにアプリケーションサーバをインストールすることです。これらをインストール する際には、次のガイドラインに従って、 [データベース情報]画面で情報を適切に入 力する必要があります。 クラスタ内の最初のアプリケーションサーバのインストール クラスタ内では、最初のア プリケーションサーバのみに SilverMaster データベースが含まれます。このサーバを インストールする際は、 [データベース情報]画面で通常通りに情報を入力します。次 に例を示します ( ホスト A コンピュータにインストールする場合 )。 設定 ホスト A へのインストール時に指定する内容 MySQL データベースホスト HostA MySQL データベースポート 3306 DB ユーザ名 appserver DB ユーザパスワード ********* ユーザパスワードの確認 ********* SilverMaster 名 SilverMaster50 SilverMasterInit の実行 チェックされた状態 クラスタ内の他のアプリケーションサーバのインストール ク ラ ス タ 内 の 他 の ア プ リ ケーションサーバでは、最初のサーバの SilverMaster データベースを使用します。こ れらのサーバをインストールする際は、 [データベース情報]画面でこのデータベース を指すように情報を入力し、 [SilverMasterInit の実行]をオフにします ( このデータベー スの SilverMaster システムテーブルが再初期化されないようにするために )。次に例を示 します ( ホスト B コンピュータにインストールする場合 )。 272 設定 ホスト B へのインストール時に指定する内容 MySQL データベースホスト HostA exteNd Application Server 管理ガイド 設定 ホスト B へのインストール時に指定する内容 MySQL データベースポート 3306 DB ユーザ名 appserver DB ユーザパスワード ********* ユーザパスワードの確認 ********* SilverMaster 名 SilverMaster50 SilverMasterInit の実行 チェックが「解除」された状態 各サーバをクラスタに追加したら、SMC を使用してクラスタを作成できます ( 次の 「クラスタの作成」を参照 )。 クラスタサーバをインストールするためのガイドライン (UNIX の場合 ) クラスタに追加するコンピュータで、アプリケーションサーバのインストールプログ ラムを実行します。次のことに注意してください。 " SilverMaster 名と他のデータベース情報を入力するように指示されたら、クラスタ に対してインストールした最初のサーバによって使用される SilverMaster を指定 する必要があります。 " クラスタ内の各コンピュータは、他のコンピュータのミラーコピーでなければな りません。これは、次のことを意味しています。 " SilverMasterのODBC名、およびクラスタ内のすべてのサーバでSilverMasterが 参照する他のデータベースの ODBC 名は同一でなければならない。 " 必要なDBMSクライアントソフトウェアがすべてのシステムにインストール されていなければならない。 " クラスタに含まれているすべてのサーバに JDBC ドライバが常駐しなければ ならない。 " Windows サーバが含まれているクラスタに UNIX サーバを含めることができるか どうかは、データベースドライバの有用性によって影響される場合があります。 " データベースをアップグレードしないことを選択する必要があります。 " SilverMasterInit の再実行を行わないようにするには、アプリケーションサーバを 設定しないように選択する必要があります。 " SMC を使用してクラスタにこのサーバをすでに追加した場合は、ここで指定する ポート値が、クラスタにサーバを追加したときに入力した値と一致していなけれ ばなりません。 エラーが表示された場合は、既存の SilverMaster データベースに関する情報を誤って入 力した可能性があります。このような状況では、情報を再度指定する必要があります。 各サーバをクラスタに追加したら、SMC を使用してクラスタを作成できます ( 次の 「クラスタの作成」を参照 )。 クラスタの管理 273 クラスタサーバをインストールするためのガイドライン (Windows の場合 ) クラスタに追加するコンピュータで、アプリケーションサーバのインストールプログ ラムを実行します。次のことに注意してください。 " SilverMaster 名と他のデータベース情報を入力するように指示されたら、クラスタ に対してインストールした最初のサーバによって使用される SilverMaster を指定 する必要があります。 " クラスタ内の各コンピュータは、他のコンピュータのコピーでなければなりませ ん。これは、次のことを意味しています。 " SilverMasterのODBC名、およびクラスタ内のすべてのサーバでSilverMasterが 参照する他のデータベースの ODBC 名は同一でなければならない。 " 必要なDBMSクライアントソフトウェアがすべてのシステムにインストール されていなければならない。 " クラスタに含まれているすべてのサーバに JDBC ドライバが常駐しなければ ならない。 " データベースをアップグレードしないことを選択する必要があります。 " SilverMasterInit の再実行を行わないようにするには、アプリケーションサーバを 設定しないように選択する必要があります。 " SMC を使用してクラスタにこのサーバをすでに追加した場合は、ここで指定する ポート値が、クラスタにサーバを追加したときに入力した値と一致していなけれ ばなりません。 エラーが表示された場合は、既存の SilverMaster データベースに関する情報を誤って入 力した可能性があります。このような状況では、情報を再度指定する必要があります。 各サーバをクラスタに追加したら、SMC を使用してクラスタを作成できます ( 次の 「クラスタの作成」を参照 )。 クラスタの作成 複数のサーバが単一の SilverMaster を指すように設定したら、クラスタを作成して設 定することができます。アプリケーションサーバは、1 つのクラスタにのみ含めるこ とができます。 クラスタを作成するには、HTTP ポートを使用する必要があります。管理ポートを設 定した場合は、この管理ポートを使用しなければなりません。 ! 詳細については、104 ページの「ファイアウォールでの個別ポートの使用」を参 照してください。 # クラスタを作成する 1 274 キャッシュマネージャ、ディスパッチャ ( 使用されている場合 )、および負荷マ ネージャ ( 使用されている場合 ) が実行されていることを確認します。 exteNd Application Server 管理ガイド ! 詳細については、270 ページの「クラスタリングコンポーネントの起動」を 参照してください。 2 SMC を開始します。 3 ツールバーで[新規クラスタ]をクリックします。 新規クラスタウィザードが表示されます。 4 クラスタ名を入力し、[追加]をクリックします。 次のようなパネルが表示されます。 5 適切な修飾名とポート番号を続けて入力して、[OK]をクリックします ( サーバ 名と、それを修飾する方法は、サーバがリッスンするものに一致している必要が あります。名前は、サーバコンソールでエコーされるように指定します )。次に 例を示します。 agserver.myco.com:50001 追加する最初のサーバは SilverMaster が含まれているサーバであることを確認し ます。その後追加したサーバは、すべて同じ SilverMaster を使用するように設定 する必要があります。 ポートが 80 に設定されている場合、ポート番号を指定する必要はありません。た だし、管理ポートを定義した場合は、そのポート番号を指定する必要があります。 アプリケーションサーバがプライマリ Web サーバではない場合は、5000 よりも 大きい数にポートを変更する必要があります。ポートの変更の詳細については、 106 ページの「一般的なサーバのプロパティの指定」を参照してください。 クラスタの管理 275 6 [追加]を再びクリックし、クラスタに追加する全サーバの名前を入力します。各 サーバは、クラスタに追加するたびに[新規クラスタ]フォームに一覧表示され ます。 7 [次へ]をクリックして、キャッシュマネージャを設定します。 次のようなパネルが表示されます。 8 キャッシュマネージャのホスト名を入力します。キャッシュマネージャのデフォ ルトの RMI ポート番号は 54891 です。クラスタを最初に作成する場合、デフォル トのポートを指定する必要がありますが、必要であれば後で変更できます。 ! デフォルトのポート変更の詳細については、287 ページの「クラスタリング コンポーネントのプロパティの変更」を参照してください。 9 アプリケーションサーバの負荷マネージャを使用する場合は、[Novell exteNd 負 荷マネージャコンポーネントを使用する]チェックボックスをオンにして、次の 手順に進みます。 現時点では負荷マネージャを使用する予定がない場合は、[完了]をクリックし て、279 ページの「クラスタサーバの再起動」に移動します。 276 exteNd Application Server 管理ガイド 10 負荷マネージャのホスト名を入力します。デフォルトのRMIポートは54891 です。 クラスタを最初に作成する場合、デフォルトのポートを指定する必要があります が、必要であれば後で変更できます。 ! デフォルトのポート変更の詳細については、287 ページの「クラスタリング コンポーネントのプロパティの変更」を参照してください。 11 [ディスパッチャポートの編集]をクリックして、ディスパッチャを追加します。 次のようなパネルが表示されます。 12 ディスパッチャのホスト名を入力します。 クラスタの管理 277 13 ディスパッチャがリッスンする各プロトコルタイプのポートの一部またはすべて に対して、ポート設定を指定します。 ディスパッチャは、すでに設定され有効である次の固有なサーバポートに対して、 HTTP、RSA、およびDSAなどの設定されているすべてのポートでリッスンします。 " クラスタ内のアプリケーションオブジェクトを実行するユーザに対するラン タイムポート " SMC 操作とともに使用するための管理ポート HTTP ポートを無効にし、HTTPS または RMI クライアント通信を使用することが できます。詳細については、197 ページの「HTTP 通信のオフ設定」を参照してく ださい。 ! 各セキュリティプロトコルのデフォルトのポート設定の詳細については、 106 ページの「ポートタイプ」を参照してください。 次の表は、パネルに表示されるポート設定について説明しています。クラスタを 最初に作成するときには、各クラスタに対してデフォルトのポートを指定する必 要がありますが、これらのポートは、必要に応じて後で変更できます。 項目 説明 RMI ポート ディスパッチャが負荷マネージャとの通信に使用するポート。ディ スパッチャ、キャッシュマネージャ、および負荷マネージャによっ て使用されます。 デフォルトは 54891 です。 HTTP 設定 : ランタイムポート 管理ポート ディスパッチャによって使用されるクライアントとの非暗号化通信 に対する HTTP ポート。HTTP ポートは、3 つまで設定できます。 デフォルトにより、クラスタのランタイムポートと管理ポートで は、同じデフォルトのポート番号の 54892 が使用されます。 ! RSA 設定 : ランタイムポート 管理ポート DSA 設定 : ランタイムポート 管理ポート 197 ページの「HTTP 通信のオフ設定」を参照してください。 ディスパッチャによって使用される (HTTPS を使用した ) 暗号化通 信で使用する RSA ポート。 デフォルトにより、ディスパッチャでは、クラスタのすべての RSA ランタイムポートと RSA 管理ポートに対して、同じデフォルトの ポート番号 (54893) を使用します。 ディスパッチャによって使用される (HTTPS を使用した ) 暗号化通 信で使用する DSA ポート。 デフォルトにより、ディスパッチャでは、クラスタのすべての DSA ランタイムポートと DSA 管理ポートに対して、同じデフォルトの ポート番号 (54894) を使用します。 ! デフォルトのポート変更の詳細については、287 ページの「クラスタリング コンポーネントのプロパティの変更」を参照してください。 14 [OK]をクリックします。[新規クラスタ]パネルに戻ります。 15 [完了]をクリックします。 278 exteNd Application Server 管理ガイド クラスタサーバの再起動 クラスタを作成したら、各サーバを再起動する必要があります。負荷マネージャを実 行している場合は、負荷マネージャとディスパッチャも再起動する必要があります。 # サーバを再起動する 1 SMC の左側のパネルでサーバを選択します。 2 ( サーバの )[再起動]をクリックします。 ! サーバの再起動の詳細については、97 ページの「アプリケーションサーバ の再起動」を参照してください。 # 負荷マネージャとディスパッチャを再起動する " 270 ページの「クラスタリングコンポーネントの起動」を参照してください。 サーバクラスタの管理 クラスタの作成後、SMC には、クラスタ環境に固有なオプションが表示されます。 クラスタ環境のプロパティについて クラスタ環境には、次の 3 タイプのプロパティがあります。 プロパティタイプ 説明 サーバローカル プロパティ 個々のサーバに固有で、(SilverMaster ではなく ) サーバの httpd.props ファイルに格納されているプロパティ。これらは、起動時にサーバに必 要なプロパティで、外部に保存され、サーバの起動時に使用できるよう になります。 ! これらのプロパティのリストと設定の詳細については、付録 A 「httpd.props ファイル」を参照してください。 サーバ保存 プロパティ 個々のサーバに固有で、SilverMaster データベース (AgProperties テー ブル内 ) に格納されているプロパティ。 これらのプロパティのリストについては、SMC でクラスタ内の「サー バ」を選択し、パネルに一覧表示されるプロパティを参照してくださ い。一覧表示されるプロパティには、サーバ保存プロパティだけでな く、SMC で設定可能なサーバローカルプロパティも含まれます。サー バ保存プロパティは、すべて SMC で設定できます。 クラスタの管理 279 プロパティタイプ 説明 クラスタ共有 プロパティ クラスタ内のすべてのサーバで共有されるプロパティ。これらのプロパ ティは、SilverMaster データベース (AgProperties テーブル内 ) に格納 されています。 これらはクラスタレベルのプロパティです。クラスタ内のすべての サーバは、クラスタ共有プロパティの同じ値を共有しています。セキュ リティプロパティのほとんどは、クラスタ共有プロパティです。 これらのプロパティのリストについては、SMC で「クラスタ」を選択 し、パネルにリストされるプロパティを参照してください。クラスタ共 有プロパティは、すべて SMC で設定できます。 クラスタの作成時または解除時にプロパティが設定される方法 クラスタを作成すると、クラスタ内のサーバでは、スタンドアロンサーバとして最初 に設定された時点から、 「サーバローカル」プロパティと「サーバ保存」プロパティを 保持します。これらの設定は、保持したり、またはサーバレベルで変更したりするこ とができます。 ! 詳細については、282ページの「クラスタでのサーバレベルのプロパティの設定」 を参照してください。 ただし、クラスタ内に含まれているサーバでは、 「クラスタ共有」プロパティとして定 義されているプロパティの値は保持されません。これは、クラスタ内の各サーバの「ク ラスタ共有」プロパティの値は、サーバがスタンドアロンサーバであった時点とは異 なる可能性があるため、 「クラスタ共有プロパティ」はクラスタレベルで再設定する必 要があるためです。 したがって、新しいクラスタを作成すると、 「クラスタ共有」プロパティの値は、すべ てデフォルトの値に設定されます。これらの設定は維持したり、クラスタレベルで変 更したりできます。クラスタレベルのプロパティを変更すると、新しい値が、クラス タ内のすべてのサーバに適用されます。クラスタを解除すると、クラスタ内のすべて のサーバは、スタンドアロンサーバになります。 ! 詳細については、次の「クラスタレベルのプロパティの設定」を参照してくだ さい。 クラスタレベルのプロパティの設定 前に説明したように、クラスタ環境で作業する場合には、クラスタレベルで終了する プロパティとサーバレベルで終了するプロパティがあります。SMC の左側でクラスタ を選択すると、クラスタレベルのプロパティが表示されます。ほとんどのクラスタプ ロパティは、スタンドアロンサーバに対して設定されているものと同じです。次の表 は、クラスタレベルのプロパティに関するドキュメントの相互参照を示します。 280 exteNd Application Server 管理ガイド 設定プロパティ クラスタレベルの設定プロパティは、複数の SMC パネルにグループ化されています。 パネル 一般 説明 クラスタのリモートオブジェクトプロパティの RMI/ORB および SSL。 ! 詳細 マネージャ 詳細については、111ページの「ORB設定の指定」 を参照してください。 パフォーマンス、キャッシュマネージャ、および負荷マネージャのプロパティ。 " パフォーマンス サーバ要求のタイムアウト、セッションタイムアウ ト。239 ページの「パフォーマンスパラメータの設定」を参照してくだ さい。 " キャッシュマネージャ これらのプロパティは、クラスタ内にのみ存在 します。284 ページの「コンポーネントフェールオーバーの管理」を参 照してください。 " 負荷マネージャ これらのプロパティは、クラスタ内にのみ存在しま す。284 ページの「コンポーネントフェールオーバーの管理」を参照し てください。 キャッシュマネージャ、負荷マネージャ、およびディスパッチャのプロパ ティ。これらは、クラスタを作成したときに指定したプロパティです。こ れらのプロパティは、クラスタの作成後に編集できます。 ! これらのプロパティの詳細については、274 ページの「クラスタの作 成」を参照してください。 ! クラスタ作成後のこれらのプロパティの変更の詳細については、287 ページの「クラスタリングコンポーネントのプロパティの変更」を参照して ください。 サーバ サーバを既存のクラスタに追加または既存のクラスタから削除したり、サー バの負荷ウェイトを変更することができます。 セキュリティプロパティ クラスタレベルのセキュリティプロパティは、次の SMC パネルにグループ化されて います。 パネル 説明 一般 クラスタに対する一般的なセキュリティ設定を指定します。 ! 詳細については、157 ページの「セキュリティの設定」を参照して ください。 詳細 クラスタに対するクライアント証明書レベルと信頼するクライアントリ ストを指定します。 ! 詳細については、157 ページの「セキュリティの設定」を参照して ください。 クラスタの管理 281 パネル 説明 許可 クラスタ設定の読み込み、クラスタ設定の変更、およびクラスタに対する 許可の設定を行います。 ! 詳細については、157 ページの「セキュリティの設定」を参照して ください。 ユーザとグループ クラスタに対して Silver Security のユーザとグループおよび証明書のユー ザとグループを管理します。 ! 詳細については、117 ページの「ユーザおよびグループのセットアッ プ」を参照してください。 証明書 サーバにインストールされている証明書と、 認識されている CA ( 認証局 ) を 表示します。 ! 詳細については、157 ページの「セキュリティの設定」を参照して ください。 セキュリティプ ロバイダ 外部セキュリティプロバイダ (Windows ディレクトリサービス、LDAP、 NIS+、および証明書発行者を含む ) を設定します。 ! 詳細については、157 ページの「セキュリティの設定」を参照して ください。 監視プロパティ クラスタレベルの監視プロパティは、スタンドアロンサーバに対するプロパティのサ ブセットです。 ! 監視プロパティの詳細については、133 ページの「サーバの動作の監視」を参照 してください。 クラスタでのサーバレベルのプロパティの設定 スタンドアロンサーバがクラスタに追加されると、そのサーバレベルのプロパティの 多くはクラスタレベルのプロパティになります。 SMC の左側でクラスタ内のサーバを選択した場合、クラスタ内の「サーバ」のプロパ ティが表示されます。クラスタ内にあるサーバのほとんどのプロパティは、スタンド アロンサーバに対して設定されているものと同じです。 282 exteNd Application Server 管理ガイド 設定プロパティ この節では、クラスタ内のサーバのプロパティに関するマニュアルの相互参照を一覧 表示します。クラスタ内のサーバの設定プロパティは、次の SMC パネルにグループ 化されています。 パネル 説明 一般 サーバの一般的な設定。 ! 一般プロパティの詳細については、第 5 章「サーバの実行」を参照 してください。 詳細 デバッグ、パフォーマンス、キャッシュ、トランザクション、キャッシュ マネージャ、および負荷マネージャのプロパティ。 " デバッグ " パフォーマンス 239 ページの「パフォーマンスパラメータの設定」 を参照してください。 " キャッシュ 248 ページの「サーバコンテンツキャッシュの管理」を 参照してください。 トランザクション 130 ページの「J2EE トランザクションの管理」を 参照してください。 " プール 294 ページの「低レベルのデバッグ」を参照してください。 " キャッシュマネージャ これらのプロパティは、クラスタ内にのみ存 在します。284 ページの「コンポーネントフェールオーバーの管理」 を参照してください。 " 負荷マネージャ これらのプロパティは、クラスタ内にのみ存在しま す。284 ページの「コンポーネントフェールオーバーの管理」を参照 してください。 コネクタ接続プールおよび JDBC 接続プール。 ! 詳細については、67 ページの「接続プールの設定」を参照してくだ さい。 接続 クライアント接続プロパティ。 ! 詳細については、242 ページの「クライアント接続の管理」を参照 してください。 データベース クラスタの展開データベース ( クラスタの SilverMaster に認識されている データベース ) に関する情報。クラスタ内にある各サーバのデータベース 接続の最小数および最大数は変更できます。 ! 詳細については、60 ページの「展開データベースの設定」を参照し てください。 セキュリティプロパティ サーバレベルでクラスタを管理するサーバのアクセラレータ設定。 ! ア クセ ラ レー タ 設定の詳細については、211 ページの「CHI (Cryptographic Hardware Integration) の使用」を参照してください。 クラスタの管理 283 監視プロパティ クラスタの監視プロパティは、スタンドアロンサーバに対するプロパティと同じです。 ! 監視プロパティの詳細については、133 ページの「サーバの動作の監視」を参照 してください。 サーバの相対負荷ウェイトの指定 クラスタ内の各サーバに対しては、相対処理ウェイトを指定できます。負荷マネージャ では、この情報を使用して、ランタイム時における各サーバの処理負荷を決定する分 散マップを生成します。 ! ウェイトのしくみの詳細については、264 ページの「分散マッピング」を参照し てください。 # サーバの相対負荷ウェイトを指定する 1 SMC でクラスタを選択します。 2 ツールバーから[環境設定]アイコンを選択し、次に[サーバ]を選択します。 3 リストからサーバを選択し、 [サーバ負荷ウェイト]フィールドに整数を指定します。 4 [更新]をクリックします。 5 他のサーバを選択し、適切な相対値を指定します。 6 新しいサーバウェイト設定を有効にするには、そのサーバに対して ( サーバの )[再起動] ボタンをクリックします。 コンポーネントフェールオーバーの管理 SMC では、システム障害が発生した場合のキャッシュマネージャと負荷マネージャで の対応方法を制御するプロパティを利用できます。通常は、これらのプロパティを編 集する必要はありません。 キャッシュマネージャプロパティおよび負荷マネージャプロパティは、クラスタレベ ルとサーバレベルの両方で存在します。クラスタレベルでプロパティを設定すると、 クラスタ内の各サーバに対して値を設定できます。その後、クラスタ内の任意のサー バの値を上書きすることができます。ただし、クラスタレベルで任意のプロパティを 後に変更した場合は、サーバレベルで行った設定が上書きされてしまうので注意して ください。 キャッシュマネージャプロパティ キャッシュマネージャプロパティは、サーバとの接続に失敗した場合にキャッシュマ ネージャで対応する方法を決定します。 284 exteNd Application Server 管理ガイド # キャッシュマネージャプロパティを設定する 1 SMC を開始します。 2 クラスタレベルでプロパティを設定するためにクラスタを選択するか、または サーバレベルでプロパティを設定するためにクラスタ内のサーバを選択します。 3 ツールバーから[環境設定]アイコンを選択します。 4 [詳細]を選択します。 5 [キャッシュマネージャ]タブを選択します。 6 任意のプロパティをリセットします。 プロパティ 説明 開始スリープ間隔 ( 秒 ) サーバとの再接続を連続して試行し始める前にキャッ シュマネージャで待機する秒数 再接続スリープ間隔 ( 秒 ) 新しい一連の再接続試行までの秒数 試行の開始回数 エラーを生成する前に一連の再接続試行を開始する回数 再接続の試行回数 再接続を連続して試行する回数 7 [更新]をクリックします。 8 新しいプロパティを有効にするには、( サーバの )[再起動]ボタンをクリックし ます。 負荷マネージャプロパティ 負荷マネージャプロパティは、サーバとの通信に失敗した場合に負荷マネージャで対 応する方法を決定します。 # 負荷マネージャプロパティを設定する 1 SMC を開始します。 2 クラスタレベルでプロパティを設定するためにクラスタを選択するか、または サーバレベルでプロパティを設定するためにクラスタ内のサーバを選択します。 3 ツールバーから[環境設定]アイコンを選択します。 4 [詳細]を選択します。 クラスタの管理 285 5 [負荷マネージャ]タブを選択します。 6 任意のプロパティをリセットします。 プロパティ 説明 接続試行間隔 ( 秒 ) 連続して再試行した後、待機する秒数 接続スリープ間隔 ( 秒 ) 続を連続して再試行した後、待機する秒数 接続試行回数 負荷マネージャでサーバとの接続を連続して試行し始 める回数 接続スリープ回数 一連内での接続再試行の数 7 [更新]をクリックします。 8 新しいプロパティを有効にするには、( サーバの )[再起動]ボタンをクリックし ます。 クラスタの解除 クラスタは解除することができます。クラスタを解除すると、次の処理が行われます。 # " クラスタの無効化 " クラスタの削除 クラスタを解除する 1 SMC ツールバーで ( クラスタの )[解除]をクリックします。 2 [OK]をクリックします。 286 exteNd Application Server 管理ガイド クラスタリングコンポーネントのプロパティの変更 負荷マネージャ、ディスパッチャ、およびキャッシュマネージャなど、クラスタリン グコンポーネントを実行するホストを 変更することができます。また、クラスタリン グコンポーネントで使用するポートを変更することもできます。 ホストの変更 クラスタを作成した後、異なるホストでクラスタリングコンポーネントを実行するこ とを決定する場合があります。 # ホストを変更する 1 SMC でクラスタを選択します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [マネージャ]を選択します。 4 必要に応じてクラスタリングコンポーネントのホストを更新します。 5 [更新]をクリックします。 6 クラスタ内の各サーバと各クラスタリングコンポーネントを停止して再起動し ます。 ポートの変更 デフォルトにより、すべてのクラスタリングコンポーネントでは、RMI ポートにポー ト 54891 を使用します。また、ディスパッチャでは、HTTP ポート、RSA ポート、お よび DSA ポートにポート 54892、54893、および 54894 をそれぞれ使用します。固有 のランタイムポートや管理ポートを定義する必要がない限り、通常は、これらのポート 値を変更しません。 ただし、固有のランタイムポートや管理ポートの定義が必要になった場合は、クラス タを作成した後でポートを変更できます。 注記: すべてのクラスタリングコンポーネントでは、同じRMIポートを使用する必要があります。 # ポートを変更する 1 SMC でクラスタを選択します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [マネージャ]を選択します。 4 ポート仕様を更新します。 5 [更新]をクリックします。 クラスタの管理 287 6 クラスタ内の各サーバと各クラスタリングコンポーネントを停止して再起動し ます。 キャッシュマネージャのポートを変更した場合は、次のコマンドラインを使用し てキャッシュマネージャを起動する必要があります。 SilverCacheMgr -p portNumber クラスタへの証明書のインストール クラスタが HTTPS ポートでリッスンして機能するようにするには、クラスタ内の各 サーバにサーバ証明書をインストールする必要があります。アプリケーションサーバ のソフトウェアであるディスパッチャ (SilverDispatcher) を使用する場合は、ディス パッチャに対しても証明書をインストールする必要があります。 ! 証明書および HTTPS/SSL の詳細については、180 ページの「証明書の使用」を参 照してください。 サーバ証明書について アプリケーションサーバのソフトウェアであるディスパッチャをクラスタで使用する 場合は、各アプリケーションサーバのサーバ証明書の DNS 名が「サーバ」のホスト名 と一致していなければなりません。 URL マスキング ( クラスタ内のサーバにヒットしたブラウザでディスパッチャのホス ト名が表示されるようにすべての URL をマスクすること ) を行う Cisco LocalDirector などのサードパーティ製のハードウェアディスパッチャを使用する場合は、各アプリ ケーションサーバのサーバ証明書の DNS 名が「ディスパッチャ」のホスト名に一致し ていなければなりません。 たとえば、次のようなクラスタがあるとします。 " ホスト名が「www.myhost.com」のディスパッチャ " ホスト名がそれぞれ「server1」、「server2」、および「server3」の 3 つのサーバ アプリケーションサーバのディスパッチャを使用している場合、4 つのサーバ証明書 を作成する必要があります。ディスパッチャのコンピュータ用 (「www.myhost.com」 という DNS 名を使用 ) と各サーバ用 (「server1.myhost.com」、「server2.myhost.com」、 および「server3.myhost.com」という DNS 名を使用 ) に 1 つずつ作成します。 サードパーティ製の URL マスキングディスパッチャを使用する場合は、サーバ証明書 を 1 つだけ作成し (「www.myhost.com」という DNS 名を使用 )、各サーバにアップ ロードする必要があります。 288 exteNd Application Server 管理ガイド 実行方法 実行方法については、次の手順で説明します。 # サーバ証明書を生成する " SMC を使用して、RSA 証明書または DSA 証明書を生成します。 " アプリケーションサーバのソフトウェアであるディスパッチャを使用する場 合は、クラスタ内で使用される各サーバとディスパッチャに対して、それぞ れ個別の証明書を生成します。 " サードパーティ製のディスパッチャを使用する場合は、ディスパッチャの DNS 名を持つ証明書を 1 つ生成します ( 前の説明を参照 )。 ! # 詳細については、180 ページの「証明書について」を参照してください。 証明書をインストールする ( ディスパッチャソフトウェアを使用する場合 ) 1 SMC を使用して、サーバに証明書をインストールします。 ! 詳細については、182 ページの「SMC を使用したサーバ証明書の作成とイン ストール」を参照してください。 2 証明書をインストールしたら、サーバを再起動します。 サーバは HTTPS ポートでリッスンするように設定されています ( デフォルト : RSA 証 明書と DSA 証明書の場合 443)。 3 クラスタ内の各サーバに対して手順 1 および手順 2 を繰り返します。 4 ディスパッチャに証明書をインストールするには、-c 起動オプションを使用して ディスパッチャを起動します。これにより、ディスパッチャは証明書をアップロー ドできるモードになります。 ! 詳細については、270 ページの「クラスタリングコンポーネントの起動」を 参照してください。 5 AgDigitalIDStep2 を呼び出して、ディスパッチャを含むコンピュータに証明書を インストールします。 ! 詳細については、194 ページの「AgDigitalIDStep2 の使用」を参照してくだ さい。 6 画面の指示に従って、アプリケーションサーバのディスパッチャを含むコン ピュータと、ディスパッチャがリッスンする HTTP ポート ( デフォルト : 54892) を指定します。 7 証明書をインストールしたら、ディスパッチャを停止し、通常通りに再起動します (-c 起動オプションは使用しません )。 ディスパッチャは HTTPS ポートでリッスンするように設定されています ( デフォ ルト : RSA 証明書の場合 54893、DSA 証明書の場合 54894)。 クラスタの管理 289 # 証明書をインストールする ( サードパーティ製のディスパッチャを使用する場合 ) 1 AgDigitalIDStep2 を呼び出して、ディスパッチャの DNS 名を参照する証明書を サーバにインストールします。 ! 詳細については、194 ページの「AgDigitalIDStep2 の使用」を参照してくだ さい。 2 画面の指示に従って、サーバとサーバがリッスンする HTTP ポート ( デフォルト : NetWare の場合 83、NT の場合 80、UNIX の場合 8080) を指定します。 3 証明書をインストールしたら、サーバを停止します。 4 サーバの httpd.props ファイル ( サーバの \Resources ディレクトリにあります ) に 次の行を追加します。 http-server.com.sssw.srv.https.cert.hostname=DispatcherName ここで、DispatcherName は、ディスパッチャの DNS 名です。 ! httpd.props の詳細については、付録 A「httpd.props ファイル」を参照してく ださい。 5 サーバを再起動します。 サーバは HTTPS ポートでリッスンするように設定されています ( デフォルト : RSA 証明書と DSA 証明書の場合 443)。 6 290 クラスタ内の各サーバに対して前の手順を繰り返します。 exteNd Application Server 管理ガイド 13 サーバ管理 API の使用 第 13 章 サーバ管理 API を使用すると、Novell exteNd Application Server をプログラム的に設定 および管理できます。この API で作成されたアプリケーションは、サーバで実行する Java アプリケーションとして展開したり、SilverJ2EEClient などの Java クライアントと して展開したりすることができます。アプリケーションサーバの SMC (Java クライア ントを使用します ) は、この API を使用して作成されます。サーバ管理 API を使用す ると、次のタスクをプログラム的に処理できます。 " 負荷分散の設定 " オブジェクトでのセキュリティの設定 " 展開された J2EE アーカイブの管理 " サーバセッションの管理 " 証明書の管理 " スレッドの管理 " 統計情報の管理 この章は、次の節で構成されています。 " サーバ管理 API のステータス " サーバ管理 API の詳細 291 サーバ管理 API のステータス サーバ管理 API は、新しいバージョンのアプリケーションサーバでは「J2EE 管理 API」 となります。 J2EE 管理 API は JSR-77 から生成され、J2EE 1.4 の一部になります。この API により、 J2EE 環境を管理するための標準モデルが提供されます。 ! J2EE管理APIの詳細については、http://jcp.org/jsr/detail/77.jspを参照してください。 サーバ管理 API の詳細 サーバ管理 API のマニュアルが必要な場合は、Novell exteNd テクニカルサポートまで ご連絡ください。 292 exteNd Application Server 管理ガイド 14 トラブルシューティング 第 14 章 この章では、Novell exteNd Application Server をトラブルシューティングする場合に 使用できる方法と手順の一部について説明します。この章は、次の節で構成されて います。 " エラーログ出力機能の使用 " 低レベルのデバッグ " JDBC トレースの設定 " サーバのコマンドシェルの使用 " Watcher の使用 " サーバの起動に関する一般的な問題 " SilverMonitor の使用 " SilverMasterInit プログラムの使用 " スタックオーバフローの処理 " その他の問題 エラーログ出力機能の使用 サーバの実行中は、エラーログ出力機能を常にオンにすることが推奨されます。エ ラーログ出力は、SilverMaster の AgErrorLog テーブルまたは指定したファイルのいず れかにエラーメッセージに関する詳細な情報を出力する、軽量なプロセスです。ログ 出力機能は、SMC を使用して有効にできます。詳細については、108 ページの「サー バのログ機能の使用」を参照してください。 SilverMaster にログ出力する場合、ツールバーから[監視]アイコンを選択し、続けて [ログ]を選択すると、SMC でログを表示することができます。 ! 詳細については、137 ページの「ログの表示」を参照してください。 293 低レベルのデバッグ SMC のデバッグオプションを使用すると、サーバデバッグメッセージをサーバコーン ソールに出力できるようになります。オプションには、クライアント要求、Web アプ リケーション、および SQL ステートメントのデバッグが含まれます。デバッグオプ ションは、アプリケーションのデバッグ目的でのみ有効にします。これは、デバッグ アクティビティによって、サーバのパフォーマンスが大幅に妨げられるためです。 注記 : Windows のサービスとしてサーバを実行している場合、出力は、コンソールウィンドウ ではなくエラーログに出力されます。 # デバッグメッセージを出力する 1 SMC を開始します。 2 ツールバーから[環境設定]アイコンを選択します。 3 [詳細]を選択します。 4 [デバッグ]タブを選択します。 5 デバッグするアクティビティのタイプに対する値を変更します。 入力する数は、表示する詳細のレベルを示します。0 という値は、メッセージが 出力されないことを意味します。デバッグオプションは、次のとおりです。 フィールド 説明 Client このパラメータを 1 に設定した場合、サーバでは、各クライアントの 情報 (http GET、PUT、POST など ) をログ出力します。 このパラメータを 2 以上に設定した場合、サーバでは、「完全」な要 求 / 応答メッセージをコンソールウィンドウにログ出力します。 ヒント : このオプションは、HTTP、サーブレット、および他のク ライアントに関する問題に役立ちます。 294 exteNd Application Server 管理ガイド フィールド 説明 Web Application このパラメータを 1 以上に設定した場合、サーバでは、実行中の各 Web アプリケーションの実行に関する情報を次のようにログ出力し ます。 SQL " 1 または 2 に設定した場合、パブリック API でコールされたメソッ ドに関する最小情報または最大情報が表示されます。 " 3 または 4 に設定した場合、コールされたすべてのメソッド ( パブ リック API 外でコールされたメソッドも含む ) に関する最小情報 または最大情報が表示されます。 " 5 に設定した場合、ビジネスオブジェクトから出力されるものを 表示できるように、すべての出力が ServletOutputStreams にエ コーされます。 " 6 に設定した場合、コールが行われた場所を表示できるように、 さまざまなコールのスタックトレースが含められます。 このパラメータを 1 に設定した場合、サーバでは、クライアントデー タのデータベースに対して実行された各 SQL ステートメントをログ 出力します。 このパラメータを 2 以上に設定した場合、サーバでは、サーバの問題 を追跡するためにテクニカルサポートで使用できる追加の情報をロ グ出力します。 ヒント : このオプションは、データベースに関する問題のデバッグ に役立ちます。 Class Loader このパラメータを 1 以上に設定した場合、サーバでは、( 各 J2EE ア プリケーションに対して使用される ) J2EE ClassLoader に関する情 報を次のようにログ出力します。 1 - リポジトリのリスト ( 何かを検索するときに ClassLoader が参照 する場所 ) のみを表示します ( リポジトリが追加されている場合 )。こ れは、ClassLoader によって何かが検索される場所を見つける場合に 使用します。 2 - findClass()、loadClass()、getResource() など、基本的な API コー ルに対する引数を表示します。これは、基本的な API コールがいつ行 われるかを確認する場合に使用します。 3 - 追加の内部情報を表示します。この設定は、さまざまな検索場所 からのクラスまたはリソースの検索をトレースする場合に使用します。 4 - 主要な領域のスタックトレースを表示します。これは、特定のク ラスをロードしているユーザを知る必要がある場合に使用します。 トラブルシューティング 295 JDBC トレースの設定 データベース接続に関する問題が解決しない場合は、JDBC トレースを使用します。 # JDBC トレースを設定する 1 必要に応じて、トレースデータを保存するためのログファイルを作成します。 2 サーバをシャットダウンします (96 ページの「アプリケーションサーバのシャッ トダウン」を参照 )。 3 httpd.props ファイルを開きます ( サーバの \Resources ディレクトリにあります )。 4 http-server.Jdbc.DriverManager.LogFile エントリを props ファイルに追加し、ログ ファイルを指すようにします。たとえば、ログファイルが d:\test\jdbc.log の場合、 httpd.props ファイルに次の行を作成します。 http-server.Jdbc.DriverManager.LogFile=d:\\test\\jdbc.log 5 サーバを再起動します。 注記 : JDBC トレースはトラブルシューティングに対してのみ使用してください。これは、 サーバの処理速度が低下し、非常に多くのディスク容量が使用されるためです。 サーバのコマンドシェルの使用 サーバのコンソールウィンドウ ( サーバが起動された元のウィンドウ ) にコマンドを 入力すると、サーバの状態に関する診断情報を取得することができます。たとえば、メ モリ使用状況、スレッド、セッション、およびサーバシステムプロパティに関する情 報を取得できます。また、異なるサブシステムに対してトレース機能を有効にするこ とも可能です。 # サーバが起動した後で詳細を取得する " コンソールウィンドウで、次を入力します。 help 使用可能なコマンドがすべてリストされ、コマンドラインは ! 文字で示されます (prompt コマンドを使用すると、この文字を変更できます )。 # コマンドでヘルプを表示する " 次のように入力します。 help command # コマンドシェルを無効にする 1 次の行を httpd.props ファイルに入力します。 http-server.com.sssw.srv.commandshell=false 2 296 サーバを再起動します。 exteNd Application Server 管理ガイド Watcher の使用 Watcher ツールを使用すると、サーバが応答しなくなった場合にサーバの状態を把握 できるようになります。有効にすると、Watcher は、1 分ごとにサーバの状態をログ出 力します。 ヒント : デバッグの困難な問題が発生した場合には、Watcher の変数を見つけることが推奨さ れます。 # Watcher を使用する 1 次のプロパティを httpd.props ファイルに追加します。 http-server.com.sssw.srv.httpdwatcher 2 プロパティの値をウォッチャー設定ファイルのパス名に設定します。例 : http-server.com.sssw.srv.httpdwatcher=c:\\temp\\watchconfig.txt ヒント : httpd.props ファイルでは、円記号をエスケープしてください。 結果 サーバの起動時にこのプロパティが設定されている場合、サーバでは、 「ウォッチャー スレッド」を作成します。ウォッチャースレッドは通常はスリープ状態にあり、1 分 ごとに、httpdwatcher プロパティの値として指定されたウォッチャー設定ファイルの 存在をチェックするために起動します。 ウォッチャー設定ファイルが存在しない場合 設定ファイルが存在しない場合、Watcher は何も実行せず、単にスリープ状態に戻ります。このような状況では、Watcher によ るサーバのパフォーマンスへの影響は最小です。また、サーバがハングした場合でも、 Watcher がハングすることはめったにありません。 ウォッチャー設定ファイルが存在する場合 Watcher では、ウォッチャー設定ファイルが 存在していることを検出すると、この設定ファイルを読み込み、さらなる操作を制御 するために使用します。 ウォッチャー設定ファイルは、次が含まれていな ければならない ASCII テキストファイルです。 ウォッチャー設定ファイルについて " 出力する情報を Watcher に通知する「フラグ値」 フラグ値は、次のようにビットが定義されているビットコード整数です。 " ビット 0 (== 0x1): スレッド情報をダンプする " ビット 1 (== 0x2): セッション情報をダンプする " ビット 2 (== 0x4): データベース接続情報をダンプする " ビット 3 (== 0x8): 使用されない " ビット 4 (== 0x16): スレッドイベントログをダンプする トラブルシューティング 297 " Watcher 出力に対する ( オプションの )「出力ファイル名」( 指定しなかった場合は サーバコンソールに出力される ) 「一般的なウォッチャ設定ファイル」は、次のようになります。 7 c:\temp\watchout.txt このファイルでは、スレッド、セッション、およびデータベース接続に関する情報を、 指定した出力ファイルに 1 分ごとにダンプするよう Watcher に通知します。 サーバの起動に関する一般的な問題 この節では、アプリケーションサーバの起動に失敗する理由の一部と、この問題の解 決方法について説明します。サーバに関する問題のトラブルシューティングの詳細に ついては、308 ページの「SilverMasterInit を使用した SilverMaster の再作成または更新」 を参照してください。 注記 : サーバエラーは、使用している特定のデータベースに関連していることがあります。 データベース固有の情報については、『データベース設定ガイド』を参照してください。 システムリソースに関する問題 不適切なシステムリソースのために発生するサーバエラーの原因には、次の 2 つがあ ります。 原因 説明 操作内容 ディスク容量が足りない オペレーティングシステムで は、ディスクにファイルを書 き込むためにより多くの容量 が必要です。 ファイルを削除または移動してよ り多くのディスク容量を作成し、 サーバを再び起動してみます。 メモリが足りない これは一時的な問題である 場合や、リソースが足りない ことを示している場合があ ります。 他のプログラムをシャットダウン するか、スワップファイルを拡大 するか、またはサーバマシンにメ モリをさらに追加します。 同期化されていないデータベース データベースの整合性に関連したエラーが表示された場合は、SMC に移動して[デー タベーススキーマの同期化]オプションを実行し、サーバを再起動します。 ! 詳細については、67 ページの「データベーススキーマの同期化」を参照してく ださい。 298 exteNd Application Server 管理ガイド SilverMonitor の使用 SilverMonitor は、サーバで実行されるバックグラウンドプロセスで、サーバのステー タスを監視し、サーバが異常終了した場合にサーバの再起動を試みます。デフォルト では、このプロセスは、サーバが起動されるとアクティブになります。SilverMonitor は、変更可能なデフォルトのパラメータを使用して開始します。また、SilverMonitor なしでサーバを実行することもできます。 パラメータは、次の 2 とおりの方法で変更できます。 " DOS コマンドラインで、パラメータをサーバ起動オプションとして指定する。91 ページの「起動オプションの使用」を参照してください。 " レジストリを編集することによってマシンのデフォルト値を指定する (Windows の場合のみ )。 優先順位 優先順位は次のとおりです。 " レジストリ内の値は、デフォルト値を上書きします。 " 起動オプションとして手動で入力した値は、レジストリ値を上書きします。 パラメータの要約 SilverMonitor パラメータの要約は、次のとおりです。 起動オプション レジストリオプション (NT) デフォルト /X SilverMonitor を開始する、レジストリ内のコ マンド。 -retry number /C_number 再開試行数。デフォルトは 3 です。 -minspan number /M_minutes 再開試行の期間 ( 分単位 )。デフォルトは 10 です。 — /D SilverMonitor プロセスに関するデバッグ情報。 -nomonitor — SilverMonitor なしでサーバを実行します。 説明 トラブルシューティング 299 # NT レジストリで SilverMonitor パラメータを変更する 1 [スタート]メニューから、[ファイル名を指定して実行]を選択します。 2 「regedit」と入力します。 レジストリエディタが表示されます。 3 次のようにツリーを移動します。 HKEY_LOCAL_MACHINE>SOFTWARE>Novell>exteNd>AppServer>versio n number 4 [SilverMonitor process]をダブルクリックします。 5 次のダイアログボックスが表示されたら、前に説明したオプションの 1 つまたは 複数を入力します。複数のオプションを指定する場合は、各オプションをスペー スで区切ります。 次の図は、SilverMonitor を起動するためのオプションを示します。 6 [OK]をクリックします。 300 exteNd Application Server 管理ガイド 結果 SilverMonitor では、サーバを再起動すると NT EventLog に書き込みを行います。また、 SilverMonitor が実行されるディレクトリ ( 通常は、サーバの \bin ディレクトリ ) にあ る SilverMonitor.log ファイルにも書き込みを行います。このログファイルでは、監視 が開始されるたびにエントリを取得します。 SilverMonitor を再開すると、ログファイルは空になり、最初から開始します。 SilverMasterInit プログラムの使用 アプリケーションサーバは、全体的なシステム管理を行うために SilverMaster データ ベースに依存しています。SilverMasterInit は、SilverMaster データベースで複数のタ イプのプロセスを実行するコマンドラインプログラムです。SilverMasterInit 実行可能 ファイルは、サーバの \bin ディレクトリにあります。SilverMasterInit を使用すると、 次の操作を実行できます。 " SilverMaster データベースによって使用されるテーブルやプロパティを再作成ま たは更新する " ログを生成する " デバッグ情報を表示する " ロックされたリソースへのアクセスを再取得する この節では、次のトピックについて説明します。 " コマンドラインオプション " SilverMasterInit を使用した SilverMaster の再作成または更新 " SilverMaster へのアクセスの再取得 コマンドラインオプション 次の表は、SilverMasterInit コマンドラインオプションのそれぞれを実行する方法と場 合を示します。オプションのリストを表示するには、コマンドプロンプトで次を入力 します。 SilverMasterInit -? 「データベース」と「サーバ」の 2 つがありま 管理アカウント 管理アカウントには、 す。両方のアカウントは、インストール中に定義されます。サーバ管理アカウントで は、アプリケーションサーバにログインして管理できるユーザが制限されます。サー バ管理アカウントは、SilverMasterInit を使用して定義します。デフォルトのインストー ル後、サーバ管理者ユーザアカウントの保持者は、定義済みの Administrators グループ のメンバーになり、Locksmith 権限が与えられます。 トラブルシューティング 301 アプリケーションサーバでは、SilverMaster データベースに接続するときにデータベー ス管理者アカウントを使用します。SilverMaster データベースアカウントを指定する必 要があるのは、SilverMasterInit を実行する場合のみです。 すべてのコマンドラインオプションに対しては、データベースユー ザアカウント名とパスワードを入力する必要があります。また、次の表で記されてい るものを除くすべての SilverMasterInit オプションに対して、Full または Refresh モー ドを指定する必要もあります。Full モードのデータベース初期化を指定した場合は、3 つのオプション (-A、-n、および -W) に対して、サーバ管理アカウント名とパスワー ドをコマンドラインで定義する必要もあります。 オプションの入力 パラメータは、コマンドラインで SilverMasterInit 起動オプションとして指定します。 SilverMasterInit 起動オ プション 説明 用途 -? SilverMasterInit の使用 状況を表示します。 オプションの使用状況をチェックする場合に使用します。 +cp:a path 指定した path をクラ スパスに追加します。 このオプションは、指定したパスをクラスパスに追加することに よって、追加の Java クラスをアプリケーションに対して使用可能 にします。 注記 : Java クラスを拡張するには、AGCLASSPATH 環境変数を使 用します。 例: SilverMasterInit [-f or -r] +cp:a path -U dbusername -P dbpassword +cp:p path 指定した path をクラ スパスに追加します。 このデバッグオプションは、Novell exteNd テクニカルサポートに 連絡せずに使用しないでください。代わりに、AGCLASSPATH を 使用して、追加の Java クラスをアプリケーションに対して使用可 能にします。126 ページの「AGCLASSPATH 変数の設定」を参照 してください。 -A adminname アプリケーションサー バにログインして管理 するために使用される サーバ管理者ユーザ名 を指定します。 このオプションを使用すると、新しい SilverMaster データベースカ タログを作成するときにサーバ管理アカウント名 ( およびパスワー ド ) を定義できます。 指定したサーバユーザアカウントの保持者は、Administrators グ ループのメンバーになり、完全な Locksmith 権限が与えられます。 サーバを管理するには、このアカウントを使用します。119 ページ の「管理者アカウントについて」を参照してください。 Full モードのデータベース初期化を実行する場合は、サーバ管理ア カウント名とパスワードを指定する必要があります。 例: SilverMasterInit -f -U dbusername -P dbpassword -A adminusername -W adminpassword 302 exteNd Application Server 管理ガイド SilverMasterInit 起動オ プション -a 説明 用途 アプリケーションサー バでユーザが自分自身 を認証しなければなら ないようにします。 このパラメータは、SilverMaster データベースへの読み込みアクセ ス ( ログインリソースを含む ) を誤って制限してしまった場合に設 定します。また、このオプションを使用すると、SMC を実行せず に認証をすばやく設定できます。311 ページの「サーバ認証を使用 したログインリソースへのアクセス」を参照してください。 -a オプションを実行している場合は、Refresh モードまたは Full モードを指定する必要はありません。 例: SilverMasterInit -a -U dbusername -P dbpassword -b 起動環境設定を表示し ます。 Full モードまたは Refresh モードによって使用される初期 SilverMaster 環境プロパティを表示する場合に実行します。 例: SilverMasterInit [-f or -r] -b -U dbusername - P dbpassword -c blob がデータベース に正しく挿入されて いることをチェック します。 これらのオブジェクトが正しく保存されていることを確認する場 合に実行します。 例: SilverMasterInit [-f or -r] -c -U dbusername P dbpassword トラブルシューティング 303 SilverMasterInit 起動オ プション 説明 用途 -C properties 指定した file properties file properties file の構文は、プロパティの前にhttp-serverを指定 しないという点以外は、httpd.props ファイルの構文と同じです。代 わりに、次のように指定します。 から nameServicePort ポートまたは IIOP SSL ポートのプロパ ティを読み込みます。 <hostname>.<portnumber> hostname と portnumber は、ドット(コロンではありません)で区 切ります。 portnumber は管理ポートで、値が 80 以外の場合にのみ必要です。 nameServicePort を設定するには、次のプロパティを設定します。 <hostname>.<portnumber>.com.sssw.srv.nameServi cePort=<nameServicePort> 例: tundra.8080.com.sssw.srv.nameServicePort=55597 IIOP SSL ポート範囲を設定するには、次のプロパティを使用し ます。 <hostname>.<portnumber>.com.sssw.srv.port_iiop _ssl_min <hostname>.<portnumber>.com.sssw.srv.port_iiop _ssl_max port_iiop_ssl_min プロパティは、IIOP SSL に対する下限を指定し ます。範囲を指定しなかった場合、ORB では、最初に使用可能な ポートを取得します。範囲を指定する必要がない場合は、「-1」を 使用します。port_iiop_ssl_max プロパティは、IIOP SSL 通信に対 する上限を指定します。上限がない場合は、「-1」を使用します。 既存の SilverMaster を更新するには、SilverMasterInit を -r オプショ ンとともに実行します。 例: SilverMasterInit -C port.props -U smbb -P password -A administrator -W admin -r -D database 指定した SilverMaster データベースからすべ ての Ag テーブルを削 除します。 指定した SilverMaster データベースから既存のアプリケーション サーバシステムテーブル ( ユーザ、グループ、およびライセンスデー タを含む ) をすべて削除します。サーバから展開データベースを削 除する場合に使用します。 Full モードとは異なり、このオプションを使用すると、アプリケー ションサーバシステムデータが削除されますが、データが初期プロ パティに置換されることはありません。 例: SilverMasterInit -U dbusername -P dbpassword -D Agdb 304 exteNd Application Server 管理ガイド SilverMasterInit 起動オ プション -e error log file 説明 用途 必要に応じて作成され る指定のファイルにエ ラーを書き込みます。 エラーが見つからなかった場合、ログファイルは作成されません。 パスを指定しないと、エラーログファイルは、SilverMasterInit を実 行した元のディレクトリに保存されます。デフォルトのファイル名 は sminit.log です。 例: SilverMasterInit [-f or -r] -U dbusername P dbpassword -e c:\ServerLogs\sminit.log -f 新しい SilverMaster データベースを作成す るために Full モードで 実行します。 新しい SilverMaster システムデータとリソースを作成します。この オプションを使用すると、既存のユーザ、グループ、およびライセ ンスデータが削除されます。 注記 : デフォルトでは、サーバは、Full モードで実行すると制限さ れます。( 開発環境に対して ) 制限されないようにサーバをインス トールするには、SilverMasterInit を、Full モードで- n とともに実行 します。 Full モードのデータベース初期化を実行する場合は、サーバ管理ア カウント名とパスワードを指定する必要があります。 例: SilverMasterInit -f -U dbusername -P dbpassword -A adminusername -W adminpassword -L jdbc log file 指定したログファイル に JDBC デバッグ情報 を書き込みます。 ログファイル名を指定しなかった場合、このオプションは無視され ます。 パスを指定しないと、JDBC ログファイルは、サーバの \bin ディレ クトリに保存されます。 例: SilverMasterInit [-f or -r] -L c:\ServerLogs\logs\jdbclogfile.log -l locksmith account Locksmith 権限を持た このオプションは、Locksmith 権限が与えられているアカウントの保持 せ る ユ ー ザ ま た は グ 者を誤ってすべて削除してしまった場合に使用します。310 ページの ループ ( のアカウント ) 「SilverMaster へのアクセスの再取得」を参照してください。 を指定します。 -l オプションを実行している場合は、Refresh モードまたは Full モー ドを指定する必要はありません。 例: SilverMasterInit -l -U dbusername -P dbpassword トラブルシューティング 305 SilverMasterInit 起動オ プション -n 説明 用途 アプリケーション サーバへのアクセス を無制限にします。 システムデータへのアクセスをロックしたり、ユーザ認証を要求し たくない場合に使用します。 このオプションは、許可を設定することによってアクセスをロック するまで、ユーザが管理操作を実行したり、ディレクトリリストを 表示したりすることができることを意味します。226 ページの 「サー バとオブジェクトに対するデフォルトのセキュリティ」を参照して ください。 -n オプションを実行している場合は、Full モードを指定して、サー バ管理ユーザ名とパスワードも指定する必要があります。 例: SilverMasterInit -n -f -U dbusername -P dbpassword -A adminusername -W adminpassword -O table space SilverMaster に対して 指定したOracleテーブ ルスペースにすべての Ag テーブルを作成し ます。 このオプションは、Oracle を使用して SilverMaster データベースを 作成する場合に使用します。Oracle データベースによってデータが 保存される方法のために、SilverMaster テーブルオブジェクトに対 しては、( デフォルトよりも ) さらにスペースを割り当てる必要が あります。 例: SilverMasterInit [-f or -r] -U dbusername -P dbpassword -O tablespacename -P dbpassword SilverMaster にアクセ スするためにアプリ ケーションサーバに よって使用されるデー タベースパスワードを 指定します。 データベース管理パスワードと関連ユーザアカウントは、サーバの インストール中に、暗号化されてレジストリに保存されます。サー バでは、指定したアカウント名とパスワードを起動時に使用して、 SilverMaster データベースにアクセスします。 例: SilverMasterInit [-f or -r] -U dbusername -P dbpassword -p properties file 指定したファイルか ら起動プロパティを 読み込みます。 デフォルトは、サーバ の \Resources ディレク トリにある httpd.props です。 デフォルト以外の SilverMaster 起動プロパティファイルの名前と場 所を指定する場合に使用します。 プロパティファイルオプションを SilverMasterInit で設定したら、新 しいプロパティファイルを使用するために、コマンドラインからア プリケーションサーバを -p オプションとともに起動する必要があ ります。 例: SilverMasterInit [-f or -r] -p c:\Program Files\Novell\exteNdn\AppServer\Resources\httpd. newprops -U dbusername -P dbpassword 306 exteNd Application Server 管理ガイド SilverMasterInit 起動オ プション -r 説明 用途 SilverMaster リソース を更新するために Refresh モードで実行 します。 このプロセスでは、Full モードによって使用されるデータベースの インストール手順の一部をスキップします。このオプションは、既 存のユーザ、グループ、およびライセンスデータを削除したくない 状況において SilverMaster システムデータとリソースを更新する場 合に使用します。 例: SilverMasterInit -r -U dbusername -P dbpassword -W adminpassword アプリケーションサー バにログインして管理 するために使用される サーバ管理者アカウン トパスワードを指定し ます。 サーバを管理するには、サーバ管理者ユーザとアカウントパスワー ドを使用します。 Full モードのデータベース初期化を実行する場合は、サーバ管理ア カウント名とパスワードを指定する必要があります。 例: SilverMasterInit -f -U dbusername -P dbpassword -A adminusername -W adminpassword -U dbusername アプリケーションサー バの SilverMaster デー タベースユーザアカウ ントを指定します。 データベース管理ユーザアカウントと関連パスワードは、暗号化さ れてレジストリに保存されます。サーバでは、指定したアカウント 名とパスワードを起動時に使用して、SilverMaster データベースに アクセスします。 例: SilverMasterInit [-f or -r] -U dbusername P dbpassword -v SilverMasterInit が実行 されているときに詳細 出力を生成します。 プロセスに失敗した場合に、このオプションを実行して、エラーが 発生した場所を識別します。 例: SilverMasterInit [-f or -r] -v -U dbusername -P dbpassword -x SilverMaster初期化プロ パティを表示した後、 SilverMasterInit を開始 せずに終了します。 ローカルサーバ起動プロパティを表示する場合に実行します。この オプションを使用しても、プロパティは変更または更新されませ ん。このデバッグオプションは、誤って指定されている初期化設定 をチェックするために使用します。 例: SilverMasterInit -x トラブルシューティング 307 SilverMasterInit を使用した SilverMaster の再作成または更新 インストール中に作成される SilverMaster データベースは、SilverMasterInit を使用して 再作成したり更新したりすることもできます。SilverMaster データベースでは、アプリ ケーションサーバによって使用されるすべての展開データベースを追跡し、また、ア プリケーションサーバのシステムテーブル ( グループ、ユーザ、およびライセンス情 報のテーブルを含む ) も保持します。各サーバまたはクラスタには、SilverMaster カタ ログが 1 つ存在します。 ! SilverMaster データベースの詳細については、60 ページの「展開データベースの 設定」を参照してください。 SilverMaster データベースが壊れた場合は、SilverMasterInit を実行できます。アプリ ケーションサーバを起動できず、他に何をしても解決できない場合は、次のいずれか の方法を試してください。 " SilverMasterInit を使用した SilverMaster データベースの更新 " SilverMasterInit を使用した新しい SilverMaster データベースの作成 警告 : 接続に関する問題は、壊れたドライバ接続、壊れた展開データベース、または ネットワーク問題が原因の可能性があります。サーバに関する問題の原因について質 問がある場合は、SilverMasterInit を実行する前に Novell exteNd テクニカルサポート までご連絡ください。SilverMasterInit を Full モードで実行すると、既存のシステム テーブルのコンテンツがすべて削除され、初期化されたデータで置換されてしまいま す。既存のシステムテーブル ( 展開済みの J2EE アーカイブ、グループ、およびユー ザデータのテーブルを含む ) を保持する場合は、Full モードで実行しないでください。 SilverMasterInit を使用した SilverMaster データベースの更新 SilverMasterInit は、Refresh モードで実行して、SilverMaster プロパティをアップグレー ドしたり、SilverMaster プロパティにアクセスしたりできます。更新プロセスでは、Full モードによって使用されるデータベースのインストール手順の一部をスキップしま す。既存のユーザ、グループ、および展開済みの J2EE アーカイブを削除せずに SilverMaster システムデータとリソースを更新するには、SilverMasterInit を Refresh モー ドで実行してください。 注記 : アプリケーションサーバのインストールプロセスの一環として、SilverMasterInit ではリ ソースを更新します。アプリケーションサーバは、インストールプログラムを実行することに よって、通常は更新します。 308 exteNd Application Server 管理ガイド # SilverMasterInit を Refresh モードで実行する 1 アプリケーションサーバをシャットダウンします。 2 サーバの \bin ディレクトリから、次のように入力します。 SilverMasterInit -r options 「Creating Resources will take a few minutes; please wait」というメッセージが表示 されます。 3 エラーなしで SilverMasterInit が完了したら、アプリケーションサーバを再起動し ます。 SilverMasterInit を使用した新しい SilverMaster データベースの作成 SilverMasterInit では、SilverMaster が依存しているファイルやテーブルを誰かが削除ま たは名前変更したことによって発生した問題を修正できる場合があります。アプリ ケーションサーバを起動できない場合、または SilverMaster データベースに接続でき ない場合は、SilverMasterInit の実行が必要な可能性があります。 SilverMasterInit では、壊れた SilverMaster プロパティをリセットできますが、このプロ グラムでは、データベースに関連付けられている壊れたレジストリキー、設定ファイ ル、サンプルデータベース、またはファイルを修復することはできません。このよう なタイプの問題を解決するには、インストールプログラムを実行してください。 データベーステーブルがすべて削除されないようにするためには、(Full モードで実行 する前に )SilverMasterInit を Refresh モードで実行してみて、サーバの問題が解決され るかどうかを確認してください。 SilverMasterInit を Full モードで実行して新しい SilverMaster プロパティを再生成する 場合は、Silver Security のユーザとグループの再作成、展開データベースの再追加、お よび SilverMaster に展開されていた J2EE アーカイブの再展開を行う必要があります。 # SilverMasterInit を Full モードで実行する 1 アプリケーションサーバをシャットダウンします。 2 サーバの \bin ディレクトリから、次のように入力します。 SilverMasterInit -f options 「Creating Resources will take a few minutes; please wait」というメッセージが表示 されます。 3 このコマンドからのエラーを記録します。 4 アプリケーションサーバを起動します。 5 展開データベースを再び追加します。 6 ユーザとグループを再作成します。 7 SilverMaster に展開されていた J2EE アーカイブを再展開します。 注記 : データへのアクセスをロックしたり、ユーザ認証を要求したくない場合は、-n オプショ ンを Full モードで実行できます。 トラブルシューティング 309 SilverMaster へのアクセスの再取得 SilverMasterInit を使用すると、ロックされたリソースへのアクセスを再取得できます。 SilverMaster データベースは、アプリケーションサーバによってシステムリソースと他 のデータベースへのリンクがすべて保存される場所です。デフォルトでは、Locksmith 権限を持つユーザには、SilverMaster への読み込みアクセス許可が与えられます。 SilverMaster データベースへのアクセスを全ユーザに対して誤って拒否してしまった 場合、SMC からアプリケーションサーバに誰もアクセスできなくなります。 SilverMaster への読み込みアクセスが制限されている疑いがある場合は、次の節を参照 してください。 " ロックされたリソースへの Locksmith オプションを使用したアクセス " サーバ認証を使用したログインリソースへのアクセス ロックされたリソースへの Locksmith オプションを使用したアクセス デフォルトでは、Locksmith 権限を持つ管理者と他のユーザは、データベース内にあ るリソースのデータアクセス許可を取得して設定したり、 すべての SilverMaster リソー スを読み込んだり、Locksmith 権限を他のユーザやグループに与えたりすることがで きます。Locksmith 権限を与えることのできるユーザは、Locksmith 権限をすでに持っ ているユーザだけです。Locksmith 権限が与えられているアカウントをすべて削除し てしまった場合は、SilverMasterInit Locksmith オプションを使用してこの権限をユーザ に与え、リソースへのアクセスを再取得できるようにしてください。 注記 : デフォルトでは、新しいインストールの後、または SilverMasterInit を Full モードで実行 した後、Locksmith 権限が与えられた管理者アカウントが自動的に作成されます。 Locksmith 権限を持つユーザは、SilverMaster にアクセスできると、リソースをロック 解除したり、アクセス権限をリセットしたりできるようになります。 ! # 詳細については、124 ページの「Locksmith 権限の使用」を参照してください。 Locksmith 権限をリセットする 1 アプリケーションサーバをシャットダウンします。 2 サーバの \bin ディレクトリから、次のように入力します。 SilverMasterInit -l -U dbusername -P dbpassword これで、Locksmith 権限を持つユーザは、SMC を使用してリソースをロック解除 できます。 310 exteNd Application Server 管理ガイド サーバ認証を使用したログインリソースへのアクセス SMC または SilverMasterInit コマンドラインのいずれかから、サーバ認証を設定するこ とができます。サーバ認証は、SilverMaster データベースに対する読み込みアクセスを 誤って制限してしまった場合に設定する必要があります。ユーザが SilverMaster にア クセスできない場合は、SilverMasterInit サーバ認証オプションを実行して、ユーザが 最初にサーバに接続するときに自分自身を認証できるようにしてください。ユーザが SMC からアプリケーションサーバにログインすると、ログインリソースに対する要求 が発行されます。SilverMaster へのアクセスが制限されている場合、ユーザは、データ ベースへの読み込みアクセスがないのでログインダイアログにアクセスできません。 これは、SilverMaster に「ログイン」リソースが含まれているためです。 サーバ認証オプションを実行する場合は、Full モードまたは Refresh モードを指定する 必要はありません。サーバ認証の設定後にサーバを再起動すると、サーバに初めてア クセスしたときに資格情報ダイアログボックスが表示され、ログインすることができ ます。 # サーバ認証を設定する 1 アプリケーションサーバをシャットダウンします。 2 サーバの \bin ディレクトリから、次のように入力します。 SilverMasterInit -a -U dbusername -P dbpassword 3 アプリケーションサーバを再起動します。 ユーザは、ログインするように指示されます。 スタックオーバフローの処理 あいまいな状況では、スタックの制限を超えてしまう可能性があり、このような場合 は、JVM (Java 仮想マシン ) によって java.lang.StackOverflowError がスローされます。 スタックについて Java 環境における Windows システムでは、少なくとも 2 つのプログラムスタックがあ り (JVM 実装によってはさらに多いこともあります )、そのいずれかがオーバフローし て StackOverflowError をスローする可能性があります。 " ハードウェアスタックは常に存在し、JVM 自体でネイティブコードによって使用 され、JIT (Just In Time) コンパイラで Java バイトコードからコンパイルされるネ イティブコードによって使用されます。 " Java バイトコードスタックは常に存在し、Java メソッドのメソッドコール引数と ローカル変数を一時的に保存するために使用されます。これは、JVM によって作 成および管理される「ソフト」スタックです。 JVM で作成された各スレッドには、独自のハードウェアスタックと Java スタックが あります。 トラブルシューティング 311 スタックオーバフローになった場合の操作 デフォルトのスタックサイズが小さすぎると判断した場合は、各スタックのサイズを 変更できます。ただし、スタックオーバフローエラーの最も一般的な原因は、メソッ ドが何度も再帰的にコールされた場合に発生するプログラミングエラーにあります。 このような場合は、スタックのサイズを大きくしても、スタックオーバフローに関す る問題は解決されません。スタックサイズを大きくしてみる前に、この種類のエラー がコードに含まれていないことを確認してください。スタックオーバフローが無限な 再帰エラーに起因していない場合は、スタックサイズを大きくすることによってス タックオーバフローを修正できます。スタックがオーバフローするかどうかについて は、試行錯誤してみて判断してください。 ハードウェアスタックのサイズは、実行可能ファイルのヘッダに保存されている値を 使 用 し て、オ ペ レ ー テ ィ ングシステムにより判断されます。実行可能ファイル (SilverServer.exe) では、デフォルトのスタックサイズが 256K に指定されています。 スタックサイズの変更 スタックサイズを変更するには、Microsoft の EDITBIN ユーティリティを使用して、実 行可能ファイルのヘッダを変更する必要があります。たとえば、SilverServer.exe のデ フォルトのスタックサイズを512Kに変更するには、次のコマンドラインを使用します。 EDITBIN /STACK:0x80000 SilverServer.exe ヒント : 実行可能ファイルを変更する前に、バックアップを作成しておいてください。 Java スタックサイズの変更 ハードウェアスタックのサイズを大きくしても問題が解決されない場合は、Java ス タックに問題がある可能性があります。JDK のドキュメントには、スタックサイズに 影響を与える次の 2 つのコマンドラインオプションが紹介されています。 " -ss: 最大ネイティブスタックサイズを設定します。 " -oss: 最大 Java スタックサイズを設定します。 デフォルトは、それぞれ 128K と 400K です。これらのオプションは、JDK 1.2 (Java 2) ではドキュメント化されなくなりましたが、非標準 (-X) スイッチとして持ち越されて います。アプリケーションサーバ実行可能ファイルに対してこれらのオプションを設 定するには、-X ではなく +X を使用してください ( アプリケーションサーバ実行可能 ファイルでは、+ オプションを、JVM に渡すオプションとして解釈します )。 ! アプリケーションサーバ起動オプションの詳細については、91 ページの「起動 オプションの使用」を参照してください。 312 exteNd Application Server 管理ガイド 例 たとえば、アプリケーションサーバに対するネイティブスタックと Java スタックを両 方とも最大の 512K に設定するには、次のコマンドラインを使用します。 SilverServer +Xss512k +Xoss512k 注記 : デフォルトのスタックサイズ値を大きくすると、各スレッドに割り当てられる仮想メモリの 量も増えます。仮想メモリは、有限なリソースではありますが、大きなものです (Windows NT のよ うな 32 ビットのオペレーティングシステムでは、2G までの仮想メモリをプロセスで処理できま す )。スレッドごとに必要な仮想メモリの量を増やすと、作成できるスレッドの数は少なくなり ます。( サーバでは、接続されているクライアントごとに 1 つのスレッドを使用するため ) これ によりサーバでサポートできる同時接続ユーザ数も少なくなることを理解しておくことは重要 です。 その他の問題 この節では、分類されていなかった問題で解決しなければならない可能性のあるもの の一部について説明します。 サーバがハングしているように見える アプリケーションサーバがハングまたはループしているように見える場合は、各ス レッドのリスト ( スタックトレースも含む ) を生成します。リストを生成しても、サー バは停止しません。 設定したロガーバッファサイズがスレッドスタック情報を処理する のに十分大きいことを確認してください ( 再コールおよびレイアウトは、大きな数に 設定することが推奨されます )。 NetWare の場合 アプリケーションサーバプロセスの JVM ID を判断します。 java -show スタックトレースを生成するには、次のように入力します。 java -showstacksXXXX ここで、XXXX は、アプリケーションサーバプロセスの JVM ID です。 スタックトレースを表示するには、次の操作を実行できます。 " ロガー画面を使用する " コンソールログ ( ファイルに保存できる場所 ) の GUI バージョンを使用する " ブラウザでhttp://hostname:8008に移動し、リモートマネージャを使用してログを表 示する トラブルシューティング 313 UNIX の場合 アプリケーションサーバを実行しているプロセスを判断します。 ps -all | grep Silver 次のようなコマンドを発行します。 kill -3 SilverServer_process_ID アプリケーションサーバにより、サーバが起動された元のウィンドウに、各スレッド がスタックトレースとともにリストされます。 Windows の場合 サーバを起動したウィンドウで、<Ctrl>+<Break> キーを押します。 アプリケーションサーバにより、各スレッドがスタックトレースとともにリストされ ます。 ソケット例外 NT アプリケーションログでソケット例外メッセージを受け取る場合があります。通 常は、クライアントが一方的にソケットを閉じたことを示しているため、これが問題 になることはありません。Internet Explorer などのブラウザでは、接続がしばらくアイ ドル状態であるとこのような処理が実行され、デバッグ機能を使用して実行中に、 サー バのコンソールにソケット例外として表示されます。 このような警告は、単に通常の状態を反映しているため、一般的に無視してかまいま せん。 314 exteNd Application Server 管理ガイド III 付録 パート III このパートでは、Novell exteNd Application Server の管理に関するさまざまなトピッ クについていくつか説明します。 • • • • 付録 A 「httpd.props ファイル」 付録 B 「SNMP エージェント」 付録 C 「システムテーブルおよび URL」 付録 D 「WSI ディレクティブリファレンス」 A httpd.props ファイル 付録 A この付録では、httpd.props ファイルについて説明します。この付録には、次の節が含 まれています。 " httpd.props ファイルについて " サーバのプロパティ httpd.props ファイルについて Novell exteNd Application Server では、プロパティのほとんどを内部 AgProperties シス テムテーブル ( 詳細については、付録 C 「システムテーブルおよび URL」を参照 ) で 維持します。これらのプロパティは、SMC または管理 API を使用して設定します (AgProperties へは直接アクセスしません )。 ただし、一部のプロパティは、サーバが起動されるときに必要となるため、サーバの 起動時に使用可能になるよう外部に保存しなければなりません。このようなプロパ ティは、httpd.props 環境設定ファイル ( サーバの \Resources ディレクトリにあります ) に保存されます。これらの設定を変更するには、httpd.props ファイルを変更するか、 変更が保存されると httpd.props ファイルを更新する SMC を使用します。 注記 : 可能な限り、httpd.props ファイルで直接変更するのではなく、SMC で変更することが 推奨されます。 重要 : ファイルを編集する前に、サーバを必ず停止してください。サーバを停止するには、 SMC の[停止]ボタンを使用できます。詳細については、96 ページの「アプリケーション サーバのシャットダウン」を参照してください。 317 サーバのプロパティ 次のプロパティは、デフォルトの httpd.props ファイルでアルファベット順に一覧表示 されています ( オプションであるため、あまり使用されることのない他の httpd.props プロパティも存在します。このようなプロパティは、次の表に含まれていませんが、 マニュアルの該当する節では説明されています )。すべてのプロパティでは、大文字 と小文字が区別されます。 注記 : すべてのプロパティ名は、http-server で始まります。 SMC 内で設定できるプロパティ / パネル 説明 / デフォルト com.sssw.db.dbplatforms データベースプラットフォーム環境設定 ファイルの場所 注記 : SMC または API では設定不可能 デフォルト : サーバのインストールディレ クトリの \\Resources\\platforms.dbl 注記 : この値は変更しないでください。 com.sssw.orb.orbkey 使用する ORB SMC: [環境設定]/[一般設定] デフォルト : ObjectEra_Jbroker com.sssw.orb.orbplatforms ORB プラットフォーム環境設定ファイル 注記 : SMC または API では設定不可能 デフォルト : サーバのインストールディレク トリの \\Resources\\orbs.dbl 注記 : この値は変更しないでください。 com.sssw.srv.agent.debug SMC: [環境設定]/[詳細]/[デバッグ] 実行中の Web アプリケーションの実行に関 する情報を出力します。割り当てられる番号 (1 ∼ 5) は、メッセージの詳細レベルを表し ます。無効にする場合は、 「0」と入力します。 ! 294 ページの「低レベルのデバッグ」 を参照してください。 デフォルト : 0 com.sssw.srv.filecache.dir 注記 : SMC では設定不可能 ファイルキャッシュディレクトリの場所を 指定します。ファイルキャッシュディレクト リには、J2EE ClassLoader が提供する JAR ファイルおよびすべての WAR ファイルのコ ンテンツが含まれています。 デフォルト値は、アプリケーションサーバの インストールディレクトリの \filecache ディ レクトリです。 com.sssw.srv.loader.debug SMC: [環境設定]/[詳細]/[デバッグ] 各 ClassLoader の実行に関する情報を出力 します。割り当てられる番号 (1 ∼ 5) は、 メッセージの詳細レベルを表します。無効 にする場合は、「0」と入力します。 ! 294 ページの「低レベルのデバッグ」 を参照してください。 デフォルト : 0 318 exteNd Application Server 管理ガイド SMC 内で設定できるプロパティ / パネル 説明 / デフォルト com.sssw.srv.client.debug クライアント接続のデバッグメッセージを サーバコンソールに出力します。割り当てら れる番号 (1 ∼ 5) は、メッセージの詳細レベ ルを表します。無効にする場合は、 「0」と入 力します。 SMC: [環境設定]/[詳細]/[デバッグ] ! 294 ページの「低レベルのデバッグ」 を参照してください。 デフォルト : 0 com.sssw.srv.ContentCache.Disk.Directory コンテンツキャッシュの場所 注記 : SMC または API では設定不可能 デフォルト : サーバのインストールディレク トリ内の \\temp\\ContentCache com.sssw.srv.http.authHeaderRealm サーバログインダイアログボックスにセ キュリティ領域として表示される文字列。こ の値は、クライアントに送信される[WWWAuthenticate]応答ヘッダに渡されます。 SMC: [セキュリティ]/[一般] サーバの再起動を必要とします。 デフォルト : Novell exteNd Application Server com.sssw.srv.http.listen_admin com.sssw.srv.http.listen_rt SMC: [環境設定]/[一般設定] HTTP の「管理」ポートまたは「ランタイム」 ポートの一部またはすべてでサーバがリッ スンするかどうかを指定します。デフォルト は true で、HTTP ポートでサーバがリッスン することを意味します。false は、サーバが HTTP ポートでリッスンしないことを意味し ます。 ! 103 ページの「個別のポートの設定」 を参照してください。 デフォルト : true com.sssw.srv.http.webmaster SilverMaster データソース名 SMC: [環境設定]/[一般設定] デフォルト : インストール時に設定されます。 com.sssw.srv.https.listen_dsa_admin HTTPS DSA の「管理」ポートまたは「ラン タイム」ポートの一部またはすべてでサーバ がリッスンするかどうかを指定します。 com.sssw.srv.https.listen_dsa_rt SMC:[セキュリティ] [サーバセキュリティ] / ! 103 ページの「個別のポートの設定」 を参照してください。 デフォルト : false com.sssw.srv.https.listen_rsa_admin com.sssw.srv.https.listen_rsa_rt SMC:[セキュリティ] [サーバセキュリティ] / HTTPS RSA の「管理」ポートまたは「ラン タイム」ポートの一部またはすべてでサーバ がリッスンするかどうかを指定します。 ! 103 ページの「個別のポートの設定」 を参照してください。 デフォルト : false httpd.props ファイル 319 SMC 内で設定できるプロパティ / パネル 説明 / デフォルト com.sssw.srv.https.port_dsa_admin HTTPS DSA の「管理」ポートまたは「ラン タイム」ポート、あるいはその両方。初期化 時に、サーバによって、サーバが実行される SMC:[セキュリティ] [サーバセキュリティ] / ホストおよび指定されたポートに受信ソ ケットがバインドされます。サーバでは、こ のポートのSSL に対してDSA/Diffie-Hellman 証明書と暗号化アルゴリズムを使用します。 com.sssw.srv.https.port_dsa_rt ! 103 ページの「個別のポートの設定」 を参照してください。 デフォルト : com.sssw.srv.https.port_rsa_admin HTTPS RSA の「管理」ポートまたは「ラン タイム」ポート、あるいはその両方。初期化 時に、サーバによって、サーバが実行される SMC:[セキュリティ] [サーバセキュリティ] / ホストまたは指定されたポートに受信ソ ケットがバインドされます。サーバでは、こ のポートの SSL に対して RSA 証明書と暗号 化アルゴリズムを使用します。 com.sssw.srv.https.port_rsa_rt ! 103 ページの「個別のポートの設定」 を参照してください。 デフォルト : 443 com.sssw.srv.jms.debug 注記 : SMC または API では設定不可能 Novell exteNd JMS サーバ関連のデバッグ メッセージをサーバコンソールに出力しま す。基本的なデバッグに対しては、 「1」を指 定します。詳細なデバッグに対しては、1 よ り大きい数値を指定します。無効にするに は、「0」と指定します。 ! 115 ページの「JMS サーバの実行」を 参照してください。 デフォルト : 0 com.sssw.srv.jmsServerLaunch 注記 : SMC または API では設定不可能 起動時に、アプリケーションサーバによって JMS サーバの起動を試みるかどうかを指定 します。JMS サーバを自動的に起動するに は、「true」と指定します。それ以外の場合 は、「false」と指定します。 アプリケーションサーバのインストール時 に、インストールプログラムでは、JMS サー バを設定するかどうかが尋ねられ、その回答 に基づいてこのプロパティが設定されます。 ! 115 ページの「JMS サーバの実行」を 参照してください。 デフォルト : false (jmsServerLaunch プロパ ティが削除された場合 ) 320 exteNd Application Server 管理ガイド SMC 内で設定できるプロパティ / パネル 説明 / デフォルト com.sssw.srv.loader.debug サーバコンソールに表示される ClassLoader 関連デバッグメッセージの機能をオンにす るかどうかを指定します。値の範囲は 1 ∼ 5 までです。 「5」と指定すると、最も詳細にな ります。無効にする場合は、 「0」と入力します。 注記 : SMC では設定不可能 デフォルト : 0 com.sssw.srv.logger ログクラス SMC: [環境設定]/[一般設定] デフォルト : com.sssw.srv.http.AgLogger com.sssw.srv.logger.logging サーバに対する標準のHTTPクライアント要 求をすべてログするかどうかを指定します。 SMC: [環境設定]/[一般設定] デフォルト : false com.sssw.srv.logger.errlogging SMC: [環境設定]/[一般設定] エラーログ機能をオンにするかどうかを指 定します。 デフォルト :true com.sssw.srv.logger.errorlogname SMC: [環境設定]/[一般設定] エラーログファイルの名前 ( ファイルにログ する場合 ) デフォルト :errlog com.sssw.srv.logger.logname SMC: [環境設定]/[一般設定] HTTP ログファイルの名前 ( ファイルにログ する場合 ) デフォルト :log com.sssw.srv.logger.tracelogging SMC: [環境設定]/[一般設定] トレースログ機能をオンにするかどうかを 指定します。 デフォルト : false com.sssw.srv.logger.tracelogname SMC: [環境設定]/[一般設定] トレースファイルの名前 ( ファイルにログす る場合 ) デフォルト : traces com.sssw.srv.logger ログを行う Java クラス SMC: [環境設定]/[一般設定] デフォルト : com.sssw.srv.http.AgLogger com.sssw.srv.nameServicePort サーバで使用しているネームサービスの ポート SMC: [環境設定]/[一般設定] デフォルト : 54890 com.sssw.srv.port_admin com.sssw.srv.port_rt SMC: [環境設定]/[一般設定] サーバ HTTP の「管理」ポートまたは「ラン タイム」ポート、あるいはその両方 ! 103 ページの「個別のポートの設定」 を参照してください。 デフォルト : 80 httpd.props ファイル 321 SMC 内で設定できるプロパティ / パネル 説明 / デフォルト com.sssw.srv.server アプリケーションサーバプロトコルバー ジョン 注記 : SMC または API では設定不可能 デフォルト :exteNd Application Server/5.0 com.sssw.srv.sminit 注記 : SMC または API では設定不可能 SilverMasterInit に よっ て 使用 さ れる 内 部 sminit.props ファイルの場所 ( このファイル は編集しないでください ) デフォルト : サーバの \\Resources\\sminit.props com.sssw.srv.sql.debug SMC: [環境設定]/[詳細]/[デバッグ] SQL データベースコールのデバッグメッ セージをサーバコンソールに出力します。割 り当てられる番号 (1 ∼ 5) は、メッセージの 詳細レベルを表します。無効にする場合は、 「0」と入力します。 デフォルト : 0 com.sssw.srv.SupportNTLocalGroups 注記 : SMC では設定不可能 (AgiAdmServer および AgiAdmCluster では PROP_SUPPORT_NT_LOCAL_GROUPS と して設定可能 ) com.sssw.srv.system.out.log.allowed 認証用に、アプリケーションサーバによって NT ローカルグループが使用されるかどうか を指定します。 デフォルト :true ! 168 ページの「NT 認証の高速化」を 参照してください。 アプリケーションサーバが NT サービスとし て動作する場合に、 System.out と System.err にログ出力するかどうかを指定します。 デフォルト :False com.sssw.srv.system.out.log.file アプリケーションサーバがNTサービスとして 動作する場合に、System.out と System.err に ログ出力するファイル (system.out.log.allowed プロパティが True の場合 ) デフォルト : サーバの \\temp\\SilverServerSysOut.txt Jdbc.LDSKey SilverMaster の JDBC ドライバ SMC: [環境設定]/[データベース] デフォルト: インストール時に設定されます。 Jdbc.URL データベースURL。 ドライバでは、 SilverMaster データベースに接続するためにこの URL を使 用します。URL は、ドライバ固有です。詳細 については、ドライバのマニュアルを参照し てください。 SMC: [環境設定]/[データベース] デフォルト : インストール時に設定されます。 322 exteNd Application Server 管理ガイド SMC 内で設定できるプロパティ / パネル 説明 / デフォルト Jdbc.URL.Attributes JDBC ドライバに対して設定する他の属性。 構文は、ドライバ固有です。詳細については、 ドライバのマニュアルを参照してください。 SMC: [環境設定]/[データベース] デフォルト : インストール時に設定されます。 httpd.props ファイル 323 324 exteNd Application Server 管理ガイド B SNMP エージェント 付録 B この付録では、Novell exteNd Application Server をモニタする SNMP のセットアップお よびテスト方法について説明します。この節には、次のトピックが含まれています。 " SNMP について " SNMP 実装の概要 " アプリケーションサーバへの SNMP のセットアップ " SNMP 管理ノードからのアクセスのセットアップ SNMP について SNMP (Simple Network Management Protocol) は、TCP/IP ネットワークのノードのリモー ト管理および制御に使用されるプロトコルです。SNMP を使用すると、管理ソフトウェ アを実行するワークステーションは、ルータ、サーバ、およびシステムの他のワーク ステーションで収集される情報をモニタできます。この情報は、ネットワークのパ フォーマンス整合性を判断するために使用されます。 注記 : SNMP 実装は現在、Windows NT および Windows 2000 プラットフォームでのみ実行で きます。SNMP サービスは、アプリケーションサーバを制御できません。 325 SNMP 実装の概要 アプリケーションサーバは、SNMP の実装に次のコンポーネントを使用します。 コンポーネント 説明 snmp_options.props AgSNMPGetStats サーブレットに使用される次の設定を定 義するファイル。 " StatisticsUpdateInterval - 統計情報を更新する時間(秒)。 デフォルトは 120 です。 " WriteStatisticsEnabled - サーバ統計情報および更新間 隔を AgSNMP.props に書き込むかどうか。0 は false、1 は true です。デフォルトは 1 です。 " StatisticsDebug - デバッギングメッセージをサーバコン ソールに送信するかどうか。0 は false、1 は true です。 デフォルトは 0 です。 ファイルはサーバの\Resourcesディレクトリにあります。 AgSNMPGetStats サーブレット SilverMasterデータベースに展開する必要があるload_on_startup サーブレット。 AgSNMP.props ファイルのアプリケーションサー バ統計情報を更新します。 AgSNMP.props snmp_options.props で指定された間隔で、AgSNMPGetStats サーブレットがサーバ統計情報を書き込むファイル ( 統計情報 を書き込むには、snmp_options.props で WriteStatisticsEnabled を 1 に設定する必要があります )。 ファイルはサーバの \Resources ディレクトリにあります。 SNMP 拡張エージェント (AgSNMP50.dll) Windows NT SNMPアプリケーションプログラミングインタ フェース (API) を実装します。SNMP 拡張エージェントは、 AgSNMP.propsからアプリケーションサーバの統計情報を読 み取ります。 ! 統計情報およびオブジェクト識別子のリストについては、331 ページの「SNMP 管理ノードからのアクセスのセットアップ」を参照してください。 コンポーネントの機能 アプリケーションサーバの load_on_startup サーブレット (AgSNMPGetStats) は、予定さ れた間隔で AgSNMP.props ファイルを更新します。サーブレットがロードされると、 init () メソッドが実行されます。このメソッドは次の処理を実行します。 326 1 アプリケーションサーバからレジストリ情報を取得して、サーバのインストール パスを決定します。 2 サーバの \Resources ディレクトリで、snmp_options.props ファイルを読み取りま す。ファイルには、デバッグメッセージの出力場所や統計情報更新間隔などの設 定が含まれています。 exteNd Application Server 管理ガイド 3 タイマータスク ( 毎分実行 ) を開始して、snmp_options.props ファイルのファイル 更新間隔が変わったかどうかチェックします。 4 指定したファイル更新間隔で実行されるタイマータスクを開始して、統計データ を作成し、サーバの \Resources ディレクトリの AgSNMP.props ファイルに書き込 みます。 SNMP GET 要求では、更新間隔が経過した場合、拡張エージェントは、レジストリに アクセスしてサーバのパスを取得し、サーバの \Resources ディレクトリにある AgSNMP.props ファイルを読み取ることにより、MIB データを更新します。その他の 場合は、ファイルが最後に読み取られたときに保存された値を返します。ファイルの タイムスタンプが指定された間隔内に更新されない場合、Server Responding ステータ スはfalseに設定され、アプリケーションサーバに問題の可能性があることを示します。 注記 : 拡張エージェントは、更新間隔が変更されたかどうかの決定にタイマーを使用しません。 間隔が大幅に減少した場合、誤った Server Responding ステータスを与えることがあります。間 隔値が減少したときは、SNMP サービスを停止して再起動してください。 プロセスフローおよび用語 次の用語 ( 次の図を参照 ) は、SNMP が有効なアーキテクチャで使用されます。 用語 説明 管理ノード 1 つまたは複数のネットワーク管理プロセスを実行するワークス テーションまたはサーバ。これらのプロセスは、通常、管理され たノードまたは SNMP エージェントから情報を収集するソフト ウェアアプリケーションです。管理ノードソフトウェアの例は、 Computer Associates の Unicenter TNG、Hewlett-Packard の OpenView、および IBM の Tivoli などです。 MIB (Managed Information Bases) 管理されたすべてのオブジェクトの階層型マップおよびアクセス 方法。 管理オブジェクト(MIBオ ブジェクトまたは変数 ) SNMP で管理されたノードを管理ノードに説明するオブジェクト の集合。このデータは、標準 SNMP 動作の Get、GetNext、およ び Set を使用して操作される特定の属性セットで定義されます。 OID (Object identifier) MIB 変数に対する固有の識別子。OID は、MIB ネームスペース内 にある管理されたオブジェクトの場所です。MIB オブジェクトの OID は、オブジェクトの ID または登録とも呼ばれます。 SNMP エージェント 管理されたサーバで、1 つまたは複数のプロセスとして実行される ソフトウェアまたはファームウェア。SNMP エージェントは、管理 ノードが要求した管理情報を収集および返信し、管理サービスを提 供します。SNMP エージェントは読み込み専用とするか、または管 理するノードの制御または変更を管理ノードに許可できます。 SNMP エージェントは、イベントの一方的通知であるトラップも生 成できます。 拡張エージェント ( サブエージェント ) MIB モジュールで定義された登録済みの管理オブジェクトセット を実装し、SNMP API を使用して SNMP サービスと通信する DLL。 SNMP エージェント 327 次の図は、SNMP フレームワーク内でのコンポーネントの機能を示します。 328 exteNd Application Server 管理ガイド アプリケーションサーバへの SNMP のセットアップ SNMP をサービスとしてセットアップするときの基本手順は、次のとおりです。 1 サービスとしての SNMP ソフトウェアのインストール 2 アプリケーションサーバのインストール 3 AgSNMPGetStats サーブレットの展開 4 SNMP プログラムのテスト サービスとしての SNMP のインストール 現在アプリケーションサーバを実行しているコンピュータにSNMPソフトウェアサービ スをインストールする場合、まずアプリケーションサーバを停止する必要があります。 ! サービスとして SNMP をインストールする詳細については、オペレーティング システムのマニュアルを参照してください。 アプリケーションサーバのインストール アプリケーションサーバをまだインストールしていない場合は、インストールプログ ラムを使用して、管理されるコンピュータにインストールします。アプリケーション サーバを再インストールする場合は、まず SNMP サービスを停止する必要があります。 停止しないと、 インストールプログラムはAgSNMP50.dllファイルを上書きできません。 サービスのインストールプログラムは、必要なレジストリキーエントリを処理し、エー ジェントを正しい場所に配置します。必要なレジストリエントリには、次のようなも のがあります。 項目 指定する内容 キー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\ Parameters\ExtensionAgents 名前 AgversionSNMP 値 Novell\eXtend\AppServer\version\SNMP\ExtensionAgents\AgSNM PAgent\CurrentVersion キー HKEY_LOCAL_MACHINE\SOFTWARE\Novell\eXtend\AppServer\versio n\SNMP\ExtensionAgents\AgSNMPAgent\CurrentVersion 名前 パス名 値 サーバの \bin\AgSNMPversion.dll SNMP エージェント 329 AgSNMPGetStats サーブレットの展開 AgSNMPGetStats サーブレットを作成および展開するために、多くのファイルが提供さ れています。これらのファイルは、サーバの servertools\snmp ディレクトリにあります。 ファイル ファイル名 簡単に展開できる EAR ファイル SilverGetStats.ear EAR を SilverMaster に展開するバッチファイル deploySilverGetStats.bat EAR を SilverMaster から展開解除するバッチファイル deleteSilverGetStats.bat 展開計画 SilverGetStats_depl_plan.xml) WAR および EAR ファイルを作成するプロジェクト ファイル SilverGetStatsWar.spf WAR および EAR ファイルを作成するソースファイル - SilverGetStatsEar.spf EAR を展開するため、deploySilverGetStats.bat を実行し、サーバ名および SilverMaster 名を渡します。 EAR を再作成して、提供されたプロジェクトを使用しても展開できます。 プログラムのテスト アプリケーションサーバは、DOS プロンプトから SNMP インストールをテストできる ツールを備えています。 # SNMP 拡張エージェントをテストする 1 [SNMP サービス]を停止してから再起動します。 2 DOS ウィンドウを開きます。 3 サーバの \bin ディレクトリに移動します。 4 バッチファイル SilverSNMPGetStats.bat を実行して、サーバ名および SNMP 名を 渡します。使用できるパラメータのリストを取得するには、次のとおり入力しま す。 SilverSNMPGetStats -? 330 exteNd Application Server 管理ガイド SNMP 管理ノードからのアクセスのセットアップ Object Identifier は、企業 ID および各 MIB を識別する OID で構成されます。SNMP 管 理ノードからアプリケーションサーバ OID へのアクセスをセットアップするには、次 の情報が必要です。 項目 説明 企業 ID 企業に割り当てられた固有の番号。サーバの企業IDは3068です。 Object Identifier (OID) サーバのホスト名 OID は、1.3.6.1.4.1.3068.1.7.7.1.0 です。 アプリケーションサーバの OID は、次のとおりです。SNMPTool.exe を使用して MIB データにアクセスする場合は、OID の前にピリオドを付ける必要があります。 統計説明 OID データタイプ ホスト名 OID 1.3.6.1.4.1.3068.1.7.7.1.0 OCTET STRING サーバ予約 OID 1.3.6.1.4.1.3068.1.7.7.2.0 サーバ開始時間 OID 1.3.6.1.4.1.3068.1.7.7.3.0 データタイムスナップショット OID 1.3.6.1.4.1.3068.1.7.7.4.0 必要最大 URL OID 1.3.6.1.4.1.3068.1.7.7.5.0 必要最小 URL OID 1.3.6.1.4.1.3068.1.7.7.6.0 サーバロード OID 1.3.6.1.4.1.3068.1.7.7.7.0 フリースレッド数 OID 1.3.6.1.4.1.3068.1.7.7.8.0 アイドルスレッド数 OID 1.3.6.1.4.1.3068.1.7.7.9.0 合計スレッド数 OID 1.3.6.1.4.1.3068.1.7.7.10.0 ヒット数 OID 1.3.6.1.4.1.3068.1.7.7.11.0 平均要求時間 OID 1.3.6.1.4.1.3068.1.7.7.12.0 最大要求時間 OID 1.3.6.1.4.1.3068.1.7.7.13.0 最小要求時間 OID 1.3.6.1.4.1.3068.1.7.7.14.0 送出バイト OID 1.3.6.1.4.1.3068.1.7.7.15.0 空きメモリ IOD 1.3.6.1.4.1.3068.1.7.7.16.0 総メモリ OID 1.3.6.1.4.1.3068.1.7.7.17.0 ガベージコレクション数 OID 1.3.6.1.4.1.3068.1.7.7.18.0 アイドルセッション OID 1.3.6.1.4.1.3068.1.7.7.19.0 総セッション OID 1.3.6.1.4.1.3068.1.7.7.20.0 サーバ応答 OID 1.3.6.1.4.1.3068.1.7.7.21.0 INTEGER Counter INTEGER OCTET STRING SNMP エージェント 331 332 exteNd Application Server 管理ガイド C システムテーブルおよび URL 付録 C Novell exteNd Application Server によって、システムデータは、SilverMaster と呼ばれ るデータベースに保存されます (SilverMaster については第 4 章 「データソース設定」 で説明されています )。この付録では、次のシステムテーブルおよびデータベース URL のリストが提供されます。 " アプリケーションサーバの内部システムテーブル " データベース URL 注記 : 一覧表示されている項目は、アプリケーションサーバによって使用されるために予約さ れています。このリストは、情報提供のみを目的として提供されています。 333 アプリケーションサーバの内部システムテーブル アプリケーションサーバの内部テーブルは次のとおりです。これらのテーブルの情報 によって、セキュリティおよび負荷分散のためのサーバクラスタ化などの主要なサー バ機能が制御されます。サーバに接続された各データベースで使用されるテーブルも あります。その他のテーブルは SilverMaster にのみ存在します。 すべてのデータベースのテーブル アプリケーションサーバに接続された各データベース (SilverMaster を含む ) の中また は共に存在するテーブルは、次のとおりです。 データベースシステム テーブル 目的 AgAccessRights リソースのセキュリティアクセス情報が含まれます。 AgAgents サーバに展開される EJB JAR および WAR( サーバ開始サーブ レット ) の情報が含まれます。 AgContents 展開されたすべての EAR、WARS、および JARS を含むアプリ ケーションリソースのコンテンツが含まれます。 AgInfo 既知のデータベースおよびそのデータベースのシステム情報の カタログが含まれます。 AgResources アプリケーションサーバデータベースに保存されているすべて のオブジェクトの詳細が管理されます。 SilverMaster にのみ存在するテーブル 次のテーブルは、SilverMaster データベースにのみ存在します。 334 SilverMaster テーブル 説明 AgCacheMgr キャッシュマネージャの情報が含まれます。 AgCacheMgrGroup キャッシュマネージャグループの情報が含まれます。 AgCertificates 証明書の情報が含まれます。 AgCluster クラスタの情報が含まれます。負荷分散ソフトウェアとともに 使用されます。 AgClusterEnv クラスタの情報が含まれます。負荷分散ソフトウェアとともに 使用されます。 AgDispatcherMgr ディスパッチャの情報が含まれます。クラスタとともに使用さ れます。 AgDispatcherMgrGrp ディスパッチャグループの情報が含まれます。クラスタととも に使用されます。 exteNd Application Server 管理ガイド SilverMaster テーブル 説明 AgErrorLog エラーログの情報が含まれます。 AgGroupMembers UUID 形式のグループメンバーのリストが含まれます。 AgLoadMgr 負荷マネージャの情報が含まれます。クラスタとともに使用さ れます。 AgLoadMgrGroup 負荷マネージャグループの情報が含まれます。クラスタととも に使用されます。 AgLog アプリケーションサーバのログの情報が含まれます。 AgObjects オブジェクトの情報が含まれます。 AgPasswords アプリケーションサーバのパスワードの情報が含まれます。 AgProperties アプリケーションサーバのプロパティが含まれます。 AgPrincipals UUID 形式のアプリケーションサーバユーザおよびグループの リストが含まれます。 AgServer アプリケーションサーバの情報が含まれます。 AgSessBeans J2EE のフェールオーバーサポート、およびステートフルセッ ション Bean の非活性化に使用されます。HTTP のセッション状 態およびステートフルセッション Bean( ローカルおよびリモート ) が含まれます。 AgSessSubjects J2EE のフェールオーバーサポートに使用されます。セッション がログインしている場合の HTTP セッション状態の ( 暗号化され たサブジェクト情報を通じた ) ログイン状態が含まれます。 AgTraceLog トレースログの情報が含まれます。 AgUserLicense 使用されません。 データベース URL 次の表は、「/database/SilverStream/」に置かれている項目のディレクトリ構造を示し ます。このリストは、情報提供のみを目的として提供されています。 データベース URL 説明 Administration サーバ管理設定 Classes ( 使用されない ) ClusterAdmin 管理機能 ( サーバクラスタのみ ) Downloads 一時的な通信エンドポイント ErrorLogs エラーメッセージ システムテーブルおよび URL 335 データベース URL 説明 Login ユーザログインアクセス Logout セッションログアウト Meta/... Agents " ( 使用されない ) " Certificates " 証明書リソース " Entities " テーブル名リソース " Forms " ( 使用されない ) " Licenses " ( 使用されない ) " Reports " ServerCertificate ( 使用されない ) " " Tables " 証明書リソース " UUIDTranslator " テーブル名およびコンテンツ " ( 内部リソース ) " ( 使用されない ) " データベース " " 336 対応内容 ... " Views Webbases Objectstore/ アップロードされたメディアファイル Pages HTML ページ ( アクティブプレゼンテーションおよびスタ ティック ) Resources システムファイルのディレクトリ Security セキュリティ管理のエンドポイント Sessions セッション番号、ユーザ、ホスト、および状態を含む現在のセッ ション情報が表示される SilverJ2EEClientInstall SilverJ2EEClient インストール Statistics サーバの統計情報が表示される Timestamps タイムスタンプされたイベントが表示される ( 内部のみ ) VersionCheck アプリケーションサーバのバージョン番号を表示する exteNd Application Server 管理ガイド D WSI ディレクティブリファレンス 付録 D この付録には、次の 2 つの節が含まれています。 " Apache WSI ディレクティブリファレンス " AgWSI.conf ファイルリファレンス (IIS および iPlanet 設定用 ) Apache WSI ディレクティブリファレンス この節では、各設定について説明し、必要な設定を指定して、デフォルトおよび例を 示します。設定は次のレベルで適用できます。 設定のレベル 適用先 httpd.conf ファイルを指定する場所 サーバ全体 httpd.conf ファイルで定義されたすべて のアプリケーションサーバ Global セクション 単一のサーバ 単一のアプリケーションサーバ すべてのセクション ディレクトリ 単一アプリケーションサーバの単一 ディレクトリ LocationMatchディレクティブ SetHandler 説明 必須。ディレクトリ設定ごと。LocationMatch ディレクティブコンテナに配置する必要 があります。 LocationMatch ディレクティブに一致するすべての URL を WSI モジュールが処理する ことを Apache に通知します。 例 SetHandler wsi-handler 337 WSICleanupInterval 説明 オプション。接続プール設定ごと。WSIConnPool コンテナに配置する必要があります。 WSI モジュールが接続プールでアイドル接続を検索する間隔 ( 秒単位 ) を定義します。 アイドルタイムアウト値を超えてアイドルになっている接続は、切断されます。 デフォルト 300 秒 (5 分 ) WSIConnPool 説明 オプション。ディレクトリ設定ごと。 指定された接続プールを定義するコンテンツが含まれるコンテナディレクティブ。デ フォルトの指名接続プール名は cp01 です。同じ httpd.conf ファイルで複数の接続プール を定義できます。 例 <WSIConnPool cp01> . . . </WSIConnPool> WSIHost 説明 必須。接続プールの作成に必要です。接続プールを使用しない場合は、LocationMatch コンテナに配置する必要があります。 アプリケーションサーバが実行されているホスト名または IP アドレスを指定します。 同じ LocationMatch ディレクティブコンテナに対し、WSIConnPool ディレクティブを 使用して接続プールがすでに定義されている場合、このディレクティブは無視され ます。 デフォルト ローカルホスト 例 WSIHost 338 alaska.novell.com exteNd Application Server 管理ガイド WSIIdleTimeout 説明 オプション。接続プール設定ごと。 アプリケーションサーバとの SSL および非 SSL 接続の最大アイドル時間 ( 秒単位 ) を 指定します。 デフォルト 600 秒 (10 分 ) 例 WSIIdleTimout 450 WSIMaxConns 説明 オプション。接続プール設定ごと。 接続プールの非 SSL 接続の最大数を指定します。 デフォルト 20 例 WSIMaxConns 35 WSIMaxSslConns 説明 オプション。接続プール設定ごと。 接続プールの SSL 接続の最大数。 デフォルト 20 例 WSIMaxSslConns 35 WSIPort 説明 接続プールを定義する場合は必須。接続プールが指定されていない場合はディレクト リごと。 アプリケーションサーバの HTTP ポートを指定します。同じ LocationMatch ディレク ティブコンテナに対し、WSIConnPool ディレクティブを使用して接続プールがすでに 定義されている場合、このディレクティブは無視されます。 デフォルト 80 WSI ディレクティブリファレンス 339 例 340 WSIPort 10800 exteNd Application Server 管理ガイド WSISslPort 説明 接続プールを定義する場合は必須。接続プールが指定されていない場合はディレクト リごと。 アプリケーションサーバの HTTPS ポートを指定します。同じ LocationMatch ディレク ティブコンテナに対し、WSIConnPool ディレクティブを使用して接続プールがすでに 定義されている場合、このディレクティブは無視されます。 デフォルト 443 例 WSISslPort 10443 WSITraceLevel 説明 オプション。サーバ全体の設定。 WSI モジュールのトレースレベルを指定します。値が高いほど詳細なトレース情報が 生成されます。高いデバッグレベルに設定すると、WSI モジュールは大量のトレース 情報を生成できます。一般的に、特別な理由がない限り、トレースレベルは 3 より高 く設定しないでください。有効な設定は次のとおりです。 レベル トレースイベント 説明 0 CRIT 致命的なエラー 1 ERROR エラー 2 WARNING 警告 3 INFO 情報メッセージ 4 DEBUG 第 1 レベルデバッグ 5 DEEP 第 2 レベルデバッグ 6 DEEPER 第 3 レベルデバッグ 7 DEEPEST 第 4 レベルデバッグ デフォルト 3 データタイプ 整数 例 WSITraceLevel 6 WSI ディレクティブリファレンス 341 WSITraceMode 説明 オプション。サーバ全体の設定。 WSI モジュールがトレース情報をどのようにトレース出力ファイルに書き込むかを決 定します。有効な値は次のとおりです。 値 説明 per-process 各 Apache プロセスには、agapache.pxxxx.out(xxxxx はプロセス ID) という名前で WSITraceOutputDirectory に作成された独自の WSI トレー ス出力ファイルがあります。 per-request WSI モジュールで処理された各要求に、新しい WSI トレース出力ファイ ルが作成されます。出力ファイルは、「agapache.pxxxxx.ryyyyy.out」 (xxxxx は プ ロセ ス ID、 yyyyy は 要求 番 号 ) と い う名 前 で WSITraceOutputDirectory に作成されます。 重要 : この設定は、内部デバッグのみを目的として作成されています。 運用システムでは使用しないでください。 デフォルト プロセスごと 例 WSITraceMode per-process WSITraceModuleWidth 説明 オプション。サーバ全体の設定。 WSI トレースイベントのモジュール最大幅または関数名を指定します。 デフォルト 16 例 WSITraceModuleWidth 20 WSITraceOutputDirectory 説明 オプション。サーバ全体の設定。 WSI がトレースファイルを作成するファイルシステムディレクトリを指定します。 指定する場合、Apache プロセスに書き込み許可が与えられた既存のディレクトリに対 応させる必要があります。 342 exteNd Application Server 管理ガイド デフォルト オペレーティングシステム デフォルト NetWare sys:/tmp UNIX /tmp Windows c:\temp WSITracePadModules 説明 オプション。サーバ全体の設定。 WSI トレースにリストされるトレースイベント名の形式を指定します。 値は on または off です。on に設定すると、 WSI トレースイベントに表示されるモジュー ルまたは関数名にスペースが追加されます。この形式を使用すると、トレース記録が 同じカラムに並ぶため、トレースファイルが読み取りやすくなります ( ただし大きく なります )。 デフォルト on WSITraceTimestamps 説明 オプション。サーバ全体の設定。 値は on または off です。on に設定すると、WSI トレースイベントにタイムスタンプが 含まれます。 デフォルト on WSIWatcherInterval 説明 オプション。サーバ全体の設定。 接続プール監視機能の反復間隔 ( 秒 ) を指定します。監視機能は、接続プールに関す る情報を WSITraceOutputDirectory にあるトレースファイルに出力します。 0 を指定すると、監視スレッドは無効になります。 デフォルト 0 WSI ディレクティブリファレンス 343 WSIUrl 説明 オプション。ディレクトリ設定ごと。 LocationMatch ディレクティブで指定された URL フラグメントに置き換えられる相対 URL を指定します。 例 たとえば、次のようなディレクティブを使用するとします。 <LocationMatch /foo> SetHandler wsi-handler WSIUrl /bar </LocationMatch> この場合、http://foo/whatever_follows という形式の URL に対する要求は、WSI モジュー ルによって http://bar/whatever_follows として処理されます。 このディレクティブが指定されていない場合、URL の置換は実行されません。 AgWSI.conf ファイルリファレンス この節では、各設定について説明し、必要な設定を指定して、デフォルトおよび例を 示します。 Connection.http.max 説明 オプション Connection.http.max は、WSI とアプリケーションサーバの間の安全でない同時 HTTP 接続の最大数です。 用途 WSI.error.url ファイルを作成して指定した場合、接続プール制限を超えるとユーザは 通知されます。WSI は、WSI 自体とアプリケーションサーバの間のソケット接続を再 使用します。 デフォルト Connection.http.max=100 Connection.https.max 説明 オプション Connection.https.max は、WSI とアプリケーションサーバの間の安全な同時 HTTPS 接 続の最大数です。 344 exteNd Application Server 管理ガイド 用途 WSI.error.url ファイルを作成して指定した場合、接続プール制限を超えるとユーザは 通知されます。WSI は、WSI 自体とアプリケーションサーバの間のソケット接続を再 使用します。 デフォルト Connection.https.max=100 Connection.idle.time 説明 オプション Connection.idle.time は、WSI が接続プールでアイドル接続をスキャンする頻度 ( 分単 位 ) を指定します。 デフォルト Connection.idle.time=25 SECTION 説明 オプション SECTION は設定セクションを指定します。各セクションには、アプリケーションサー バによる Web 要求セットの処理を指定するステートメントが含まれます。Web サーバ が異なる要求を異なるアプリケーションサーバに転送する場合は、設定ファイルの複 数のセクションを使用します。 用途 各セクションでは、必要な設定をすべて定義する必要があります。セクションにオプ ション設定が定義されていない場合は、他のセクションで定義された値ではなく、デ フォルト値が設定されます。 形式 SECTION=label ラベルには、分かりやすい情報を入力します。 例 SECTION=abc_com SECTION=xyz_com 詳細な情報 設定セクション使用の詳細については、150 ページの「複数アプリケーションサーバ への要求の送信」を参照してください。 WSI ディレクティブリファレンス 345 SilverServer.host 説明 必須 SilverServer.host ステートメントは、Web サーバからの URL 要求にサービスを提供す る宛先アプリケーションサーバの名前です。 例 SilverServer.host=mysssw.myco.com SilverServer.http.port 説明 アプリケーションサーバの HTTP ポートがオペレーティングシステムのデフォルト ポート番号を使用していない場合は必須。 SilverServer.http.port には、宛先アプリケーションサーバの安全でないポートを指定し ます。安全でないポートに着信する要求を WSI で転送しないように指定するには、値 0 を使用します。 デフォルト SilverServer.http.port=80 SilverServer.https.port 説明 アプリケーションサーバの HTTPS ポートがデフォルトポート番号 (443) を使用してい ない場合は必須。 SilverServer.https.portには、宛先アプリケーションサーバの安全なポートを指定します。 安全なポートに着信する要求を WSI が転送しないように指定するには、値 0 を使用し ます。 デフォルト SilverServer.https.port=443 SilverServer.urls 説明 必須 SilverServer.urls は、アプリケーションサーバに転送する URL を指定します。アプリ ケーションサーバに転送する各 URL ルートに対して、新しい設定を指定する必要があ ります。 形式 形式には、単純な URL 転送および解釈を伴う URL の転送 ( マスキング ) の 2 つがあ ります。 単純な URL 転送 346 exteNd Application Server 管理ガイド 構文 : SilverServer.urls=<Root_URL_to_Forward> 例は次のとおりです。 SilverServer.urls=/myco SilverServer.urls=/myDb この例では、/myco または /myDb で始まるすべての URL がアプリケーションサーバ に転送されます。たとえば、次のような URL が転送されます。 http://myWebServer/myco/Sessions http://myWebServer/myco/Pages http://myWebServer/myDb/myco/Pages/MyPage.html すべての URL をアプリケーションサーバに転送するには、次のように指定します。 SilverServer.urls=/ 解釈を伴う URL の転送 ( マスキング ) 構文 : SilverServer.urls=<URL_root_at_Web_server>=<translated_URL_root> 例: SilverServer.urls=/Pages=/myDb/myco/Pages 最初の URL は、2 番目の URL が置き換えられてからアプリケーションサーバに転送 されます。この例では、/Pages で始まる Web サーバからのすべての URL は、/Pages が /myDb/myco/Pages に置き換えられてアプリケーションサーバに転送されます。たとえ ば、次の URL が Web サーバに送信されるとします。 http://myWebServer/Pages/MyPage.html この URL は、次の URL としてアプリケーションサーバに転送されます。 http://mySilverServer/myDb/myco/Pages/MyPage.html WSI.auth.echo 説明 オプション WSI.auth.echo が true に設定されている場合、Web サーバに送信された要求に HTTP 認 証ヘッダが含まれると、WSI は、ヘッダの値をエコーするアプリケーションサーバに HTTP ヘッダ (x-agwsi-Authorizationto) を送信します。 WSI ディレクティブリファレンス 347 この設定により、ユーザログインが WSI.auth.user コマンドでマスクされている場合 に、アプリケーションサーバがユーザログイン情報を取得できます。たとえば、サー ドパーティ製品で認証および権限サービスを実行している場合、WSI.autho.echo 設定 により、アプリケーションは、アプリケーションにログインして要求を開始したユー ザの名前を取得できます。 形式 HTTP ヘッダは次の ( 名前 / 値 ) 形式で表示されます。 x-agwsi-Authorization:Basic Base64EncodedUserName/Password デフォルト WSI.auth.echo=false 用途 アプリケーションサーバは AgiHttpServletRequest API を使用して、認証ヘッダを取得 します。 WSI.auth.NTLM.remove 説明 オプション。IIS でのみ使用します。 IIS ディレクトリに対して NT 認証が有効になっている場合は、WSI.auth.NTLM.remove を true に設定します。値を true に設定すると NTLM 認証ヘッダが削除され、ユーザ の要求をアプリケーションサーバに正常に転送できます。詳細については、154 ペー ジの「WSI モジュールでの IIS NTLM 認証の使用」を参照してください。 デフォルト WSI.auth.NTLM.remove=false WSI.auth.user 説明 オプション WSI.auth.user が指定されている場合、WSI モジュールは、アプリケーションサーバ に転送される認証ヘッダを傍受して、単一の既知ユーザの資格情報で置き換えます。 続いて、アプリケーションサーバに転送するすべての要求に HTTP 認証ヘッダを追加 します。WSI への着信要求に含まれる既存の認証ヘッダは、認証設定で置き換えられ ます。 用途 認証設定のセキュリティを保護するため、ユーザ名およびパスワードは、AgWSI.conf ファイルにクリアテキストでは保存されません。特定のユーザとパスワードを表すに は、AgWSIUser ユーティリティを実行して、必要な WSI.auth.user ステートメントを AgWSI.conf に生成する必要があります。AgWSIUser ユーティリティは、WSI で読み 込むことができる形式でユーザ名とパスワードを暗号化します。 認証設定は次の目的に使用できます。 " 348 IIS によって追加された NTLM 認証ヘッダを削除する exteNd Application Server 管理ガイド WSI によりアプリケーションサーバに転送された要求を識別する " WSI.debug 説明 オプション WSI.debug は WSI ログインレベルを指定します。WSI は、WSI モジュールディレクト リに保存されている AgWSI.log ファイルにログ記録します。 用途 次のレベルから選択します : レベル ログ記録される情報 0 なし 1 各要求メソッド、URL、および正常に処理されたかどうか WSI モジュールとアプリケーションサーバの間の接続におけるエラー 接続プールクリーンアップメッセージ 2 レベル 1 の情報 + 次の情報 " 3 完全な HTTP 応答と応答ヘッダ、およびコンテンツの長さ レベル 2 の情報 + 次の情報 " URL マッピング結果 宛先サーバに着信する URL をログ記録するには、SMC を使用して、アプリケーショ ンサーバデバッグ値を 1 または 2 に設定します。詳細については、294 ページの「低 レベルのデバッグ」を参照してください。 デフォルト WSI.debug=0 WSI.error.url 説明 オプション WSI.error.url は、WSI 接続エラーが発生したときにユーザに表示する、カスタマイズ したエラーページを指定します。WSI エラー URL を作成および指定していない場合、 WSI モジュールがアプリケーションサーバに接続できないときには、一般的なブラウ ザ通知がユーザに表示されます。 用途 ユーザに問題を知らせ、URL 接続を後で再試行するよう指示する HTML ファイルを 作成することをお勧めします。 WSI ディレクティブリファレンス 349 WSI エラーファイルの名前と Web サーバ上の場所を指定します。WSI は Web サーバ のこのページにブラウザをリダイレクトするため、エラーページファイルは Web サー バのディレクトリ構造内に配置する必要があります。 デフォルト WSI.error.url=\myerror.html WSI.host 説明 オプション WSI.host は、アプリケーションサーバに転送する URL に一致する場合にフィルタする HTTP ホストヘッダを指定します。このステートメントが指定されていない場合、要 求のホストヘッダは無視され、一致する URL のみがフィルタとして使用されます。 用途 この設定は、Web サーバで複数の個別ホスト名をホストしていて、WSI が要求ホスト 名に基づいて異なるアプリケーションサーバにURLを転送する必要があるようなマル チホームの Web サーバ設定に対して使用します。WSI.host 設定には、ホスト名のみ、 またはホスト名とポート番号を指定できます。ポート番号が指定されていない場合、 WSI は、ホスト名が一致すれば、要求のホストヘッダの任意のポート番号を受け入れ ます。 例 WSI.host=www.abc.com WSI.host=www.abc.com:8080 詳細な情報 このステートメントの使用例については、150 ページの「複数アプリケーションサー バへの要求の送信」を参照してください。 WSI.root.dir 説明 IIS にのみ必要 WSI.root.dir は、WSI モジュールが実行される WSI 仮想ディレクトリです。IIS 用の WSI は、フィルタであると同時に拡張機能でもあるため、IIS Web ルート (/wwwroot) ディレクトリ構造で WSI の URL を指定する必要があります。 用途 IIS 用の WSI モジュールは、IIS Web ルートディレクトリから参照可能なディレクトリ にインストールする必要があります。Web ルートの下層にある物理ディレクトリに WSI をインストールすると、WSI は自動的に IIS 内から参照可能になります。IIS ルー トディレクトリの外にあるディレクトリに WSI モジュールをインストールする場合 は、IIS ディレクトリに WSI が表示されるように、MMC を使用して仮想ディレクトリ を作成する必要があります。 WSI.roog.dir は、Web サーバのルートディレクトリに対する相対パスで設定する必要 があります。 350 exteNd Application Server 管理ガイド 例 Web ルートの下層にある物理ディレクトリ C:\Inetpub\wwwroot\agisapi に WSI をインス トールしている場合は、WSI.root.dir=/agisapi を指定します。 C:\WSI などの仮想ディレクトリに WSI をインストールしている場合は、MMC を使用 し て、C:\WSI に マ ッ プ す る /agisapi などの仮想ディレクトリを作成してから、 WSI.root.dir=/agisapi を指定します。 デフォルト WSI.root.dir=/agisapi WSI ディレクティブリファレンス 351 352 exteNd Application Server 管理ガイド 索引 D 数字 1 つのホストでの複数のサーバ 3 階層の通信 概要 26 利点 27 113 -dbcheck 起動オプション 93 +debug 起動オプション 92 Developers グループ 118 +Djava.compiler 92 DMZ 環境設定 48, 49, 50 DSA 暗号化 29, 105, 106, 107, 114, 160 DSA 証明書、作成およびインストール 190 DSA ポート クラスタディスパッチャ 278 有効化および変更 196 A Active Directory Microsoft Active Directory を参照 AGCLASSPATH 92, 126, 271, 302 AgErrorLog テーブル agrootca.jar 293 概要 209 AgWSIUser ユーティリティ anonymous アクセス 169 API サーバ管理 管理 API を参照 append path 起動オプション -A 起動オプション 302 --a 起動オプション 93 -a 起動オプション 303 E 154 EAR セキュリティ役割 eDirectory 302 237 Novell eDirectory を参照 EJB (Enterprise JavaBeans) セキュリティ役割 237 保守 128 exteNd Application Server サーバを参照 -e 起動オプション B 305 blob 保存 303 -b 起動オプション F 303 FIPS 設定 213 FIPS 認証モードでの実行 Full モード SilverMasterInit 309 C CHI Cryptographic Hardware Integration を参照 cookie 51 cookie の警告を表示する、ブラウザオプション +cp 起動オプション path オプション 302 アプリケーションサーバ 92 Cryptographic Hardware Integration -f 起動オプション 213 305 51 G Global Secure Site ID 182 インストール 212 概要 211 -c 起動オプション 303 353 H URL -host 起動オプション HTML 93 ディレクトリ 233 ディレクトリリストの無効化 211 HTML ディレクトリのリスト表示を無効にする、SMC の フィールド 211 HTTP セキュリティ検証 160 要求時間統計情報 141 ログ 110 httpd.props ファイル 317 HTTPS 概要 158 サーバへの接続作成 161 HTTP ポート サーバクラスタ 278 設定 107 無効化 197, 278 HTTP ポートの有効化、SMC のチェックボックス 197, 278 HTTP ポートの有効化、SMC のフィールド L LDAP SSL 通信 169 概要 20, 117, 119, 129, 168 システム資格情報 169 セキュリティの設定 170 バージョン 2 169 バージョン 3 169 ログイン形式 177 Locksmith 権限 再取得 305, 310 定義 124 -L 起動オプション 305 -l 起動オプション 305 129 Directory サーバ 168 サーバ統合 143 IP アドレス サーバ起動用に指定 95 ISO 8859-1 114 J J2EE アプリケーションクライアント クライアント 28 セキュリティ役割 237 展開されたオブジェクト 127 トランザクション 130 Java クライアント SSL 経由でサーバに接続 161 Java セキュリティ 218 JDBC 165 iPlanet Directory サーバ 168 Microsoft Active Directory 168 Novell eDirectory 168 IIOP SSL ポート 113 IIS サーバ統合 143 InitialContext 354 jsessionid パラメータ 51 JSP セッション 51 JSP ページ [展開オブジェクト]パネルの一覧表示 JTS ログファイル 132 JVM (Java 仮想マシン ) メモリ統計情報 141 -jvmversion 起動オプション 93 107 I 表示 iPlanet 64 アクセス 57 サーバクラスパス 58 接続プール 18, 68 定義 57 デバッグ 305 ドライバ JAR ファイル 58 ドライバのインストール 60, 64 トレース 296 JDBC URL 属性 64 JMS サーバ Novell exteNd JMS サーバを参照 JNDI 21, 33, 127, 129, 165 128 exteNd Application Server 管理ガイド M MIB (Managed Information Bases) 定義された SNMP 用語 327 MIB 変数 定義された SNMP 用語 327 -minspan 起動オプション 93 128 N -retry 起動オプション RMI NetWare Novell NetWare を参照 NIS+ セキュリティの設定 174 セキュリティログイン形式 177 定義されたセキュリティ 164 -noexitondbcheck 起動オプション 93 -nomonitor 起動オプション 93 Novell eDirectory 168 Novell exteNd Application Server サーバを参照 Novell exteNd JMS サーバ クラスタ内 115 実行 115 設定 115 デバッグ 115 Novell NetWare SetSecurity コマンド、SilverCmd サンプル入力ファイル 228 ShiftJIS 114 SilverCmd 296 327 306 P prepend path 起動オプション 302 +profile 起動オプション 92 -P 起動オプション 306 -p 起動オプション 94, 306 R RAR 展開されている内容の表示 Refresh モード SilverMasterInit 308 暗号化 29, 105, 106, 107, 114, 160 証明書、作成およびインストール 190 RSA ポート 簡素化された 209 クラスタディスパッチャ 278 有効化および変更 196 -r 起動オプション 307, 308 secure_application_sample.xml 228 secure_cluster_sample.xml 230 secure_server_sample.xml 228 Secure Site ID 182 ODBC テーブルスペース割り当て ORB 設定 111 -O 起動オプション 306 112 S O 定義された SNMP 用語 Oracle JNDI ツリーの表示 129 概要 25, 103, 111, 197 サーバ 112 設定 111 ネームサービス 112 RMI サーバの有効化、SMC のフィールド RMI ポート 負荷マネージャ 278 RSA 270 キャッシュマネージャの起動 サーバの起動 90 負荷マネージャの起動 270 -n 起動オプション 306 トレース OID 94 129 サーバのロック SilverMaster 230 SMC での指定 108 アカウント 306, 307 アクセス 235 移動 55 起動環境 303 機能 54 クラスタ内での設定 275 更新 308 サーバクラスタコンポーネント 260 再作成 308 作成 309 システムデータおよびリソース、新規 データベースアクセス 235 データベースシステムテーブル 334 テーブルスペース 306 デバッグ 307 トラブルシューティング 301, 314 標準システムテーブル 334 索引 305 355 プロパティ SilverMasterInit 306, 307 Full モード 302, 305 Refresh モード 302, 307, 308 オプション 301 概要 301 起動 309 起動パラメータ 302 SilverMaster アクセスの再取得 310 SilverMaster の再初期化 308 SilverMonitor 概要 299 起動パラメータ サーバクラスタ Silver Security 299 267 T TLS 1.0 198 -trace 起動オプション 94 UNIX 起動 311 SMC ( サーバ管理コンソール ) オンラインヘルプ 35 概要 30, 291 起動 31 クイックリファレンス 17 使用 30 パネル 17 ユーザインタフェース 32 ログアウト 33 ログイン 33 SMC の監視オプション 133 SNMP (Simple Network Management Protocol) MIB (Managed Information Bases) 327 SNMP エージェント 327 オブジェクト識別子 327 拡張エージェント 327 管理オブジェクト 327 管理ノード 327 サービスとしての実行 329 実装の概要 325 セットアップ 329 SQL デバッグ 295 SSL LDAP 169 356 111, 113 U 概要 117 定義 164 ログイン形式 176 SilverServiceUtil 98 SJIS 114 SMC (Server Management Console) 暗号化 113 暗号の使用 199 概要 158 サーバへの接続作成 証明書 208 パフォーマンス 211 ポート 209 リモートオブジェクト SSL 3.0 198 161 exteNd Application Server 管理ガイド キャッシュマネージャの起動 270 サーバの起動 90 サーバを起動するユーザアカウント サーバ、起動 89 ディスパッチャの起動 270 負荷マネージャの起動 270 URL エンコード 114 再書き込み 51 データベース 335 デフォルトのサーバ 127 デフォルトのデータベース UTF-8 114 107 127 UUID のサポート 224 -U 起動オプション 307 V +verbose 起動オプション VM、起動時の指定 94 -v 起動オプション 307 92 W WAR セキュリティ役割 Watcher 297 237 Web アプリケーション デバッグ 295 Web クローラ、アクセスの指定 238 Web サーバ統合 WSI (Web サーバ統合 ) モジュールを参照 Windows NT セキュリティの設定 167 キャッシュマネージャの起動 270 サーバの起動 90 サーバ、起動 89 セキュリティ 223 セキュリティプロバイダ 164 ディスパッチャの起動 270 負荷マネージャの起動 270 ログイン形式 176 WSI (Web サーバ統合 ) モジュール AgWSIUser 154 NTLM 認証 154 概要 143 クラスタ内 148 セキュリティ 154 接続プール 152 認証 154 例 144 URL 転送 346 -W 起動オプション 307 X アルゴリズム 160 暗号 199 暗号化 アルゴリズム 160 暗号を使用した指定 199 定義 160 安全 接続、アプリケーションサーバに確立 い インストール Cryptographic Hardware Integration 212 212 ハードウェアアクセラレータカード う 運用環境 環境設定 37, 40 セキュリティチェックリスト 運用サーバ 230 +Xms 起動オプション 92 +Xmx 起動オプション 93 -x 起動オプション 307 え あ 概要 293 エラーログ 設定 110 アイドル接続の削除、SMC のボタン 66 空きメモリ 141 アクセス時にログインを要求する SilverMaster アクセス起動オプション 311 SMC のボタン 222 アクセス制御、オブジェクト UUID のサポート 224 オブジェクトセキュリティのデフォルト 226 概要 217 簡潔なリストの使用 223 許可のタイプ 218 詳細な式の使用 223 定義 160 デフォルトの変更 221 ユーザアクセスの変更 221 アクセス、anonymous 169 新しい SilverMaster の作成 309 アプリケーションサーバ サーバを参照 161 エラーの記録 SilverMasterInit 231 305 お オブジェクト識別子 定義された SNMP 用語 327 オブジェクトセキュリティ、デフォルト 226 か 拡張エージェント 定義された SNMP 用語 327 ガベージコレクション数 141 環境設定 1 つのホストでの複数のサーバの実行 運用環境 37 概要 37 サーバ 37 索引 113 357 ネットワーク 40 簡潔なリスト アクセス制御に使用 223 管理 アカウント 119, 301, 302, 307 許可 118 信頼するクライアント 212 手順、クイックリファレンス 21 ポート 104 リソース 218, 234 管理 API 291 管理オブジェクト 定義された SNMP 用語 327 管理者グループ 118, 227 管理ノード 定義された SNMP 用語 327 き 起動オプション SilverMaster 301 SilverMonitor 299 キャッシュ パラメータの設定 248 キャッシュマネージャ Novell NetWare での起動 270 UNIX での起動 270 Windows での起動 270 クラスタへの追加 276 説明されている機能 262 定義されているクラスタコンポーネント 261 フェールオーバーパラメータの設定 284 許可 概要 236 制限 234 タイプ 218 定義 218 データベースオブジェクト 219 変更 221 許可の設定 定義される許可のタイプ 219 く クエリパラメータ クライアント HTML 28 J2EE 28 358 52 exteNd Application Server 管理ガイド Java 28 クライアント接続 アイドルクライアント再利用前の空きクライアント接 続数 246 アイドルクライアント接続予約 244, 246 空きクライアント接続 ( 軽負荷 ) 246 最大クライアント接続 244, 245 状況 243 セッションおよびスレッド 242 ダイナミックに割り当てたクライアント接続 247 パラメータの設定 244 ロードレベル 244 クライアント要求 接続を再使用 241 タイムアウトの設定 241 クラスタ Novell NetWare でのサーバの追加 272 UNIX でのサーバの追加 273 Windows でのサーバの追加 274 管理 279 既存のクラスタからのサーバの削除 281 キャッシュマネージャ 262 クラスタの作成 274 コンポーネントの概要 260 サーバの追加 281 証明書インストール 288 設定オプション 262 設定要件 261 セットアップの概要 269 ソフトウェアコンポーネントの起動 270 定義 260 ディスパッチャ機能 265 フェールオーバー 267 負荷マネージャ 264 分散マッピング 264 有効にするためのサーバの再起動 279 クラスタ内のサーバの再起動 279 グループ グローバル 223 作成 122 セキュリティプロバイダシステムへのアクセス 175 定義 122 定義済み 118 デフォルトの許可 227 ユーザの追加 122 グローバル証明書 182 け 言語マッピング 114 言語、マルチバイト 114 検索エンジン、アクセスの指定 238 こ 合計メモリ 141 このディレクトリ以下全体に適用する、SMC のボタ ン 222 このディレクトリだけに適用する、SMC のボタン 222 コマンドシェル、サーバ 296 コマンドラインオプション SilverMasterInit 301 SilverMonitor 299 コンパイラ スイッチ 91 さ サーバ 1 つのホストでの複数の実行 113 IIS との統合 143 iPlanet との統合 143 UNIX で開始するユーザの指定 107 Web サーバとの統合 142 アクセス 228 アクセスオプション 306 エンコード 114 環境設定 234 既存のクラスタへの追加 281 起動 298 起動に関するトラブルシューティング 298 クラスタからの削除 281 クラスタコンポーネント 261 サービスとしての実行 98 状態のログ出力 297 定義 25 デーモンとしての実行 98 デフォルト 226 統計情報のグラフ作成 133 統計情報の表示 137 認証 310 プロパティのリスト 318 ログイン 303, 311 サーバ URL ( アプリケーションサーバ )、デフォル ト 127 サーバ環境設定の変更 定義される許可のタイプ 218 サーバ環境設定の読み込み 定義される許可のタイプ 218 サーバ管理 Novell NetWare での起動 90 UNIX での起動 90 Windows での起動 90 再起動 97 リスナポートの設定 107 リモートサーバ管理 125 サーバクラスタ クラスタを参照 サーバコンテンツキャッシュ パラメータの設定 248 サーバ証明書 概要 181 検証済み 208 サーバ相対負荷ウェイト、指定 284 サーバ統計情報 スレッド 139 セッション 138 表示 137 要約 141 サーバ統計情報のグラフ作成 133 サーバの起動 サーバ、起動を参照 サーバの再起動 97 サーバのユーザ名、SMC のフィールド サーバへのアクセス Locksmith 権限 305, 310 SilverMaster 310 107 管理操作 226 制限 227 ユーザの制限 232 ログインリソース 310 [サーバ要求のタイムアウト]、SMC のフィールド サーバ、起動 Novell NetWare 90 UNIX 90 Windows 90 241 概要 90 起動プロパティ 317 サービスとして 89 デーモンとして 89 トラブルシューティング 298 サービス サーバの実行 98 サービスとしてのサーバの実行 98 サーブレット 概要 128 索引 359 セッション 51 [サーブレットのバックグランドスレッドスプールサイ ズ] 、SMC のフィールド 241 サブエージェント 定義された SNMP 用語 327 し 式、セキュリティ 218 システムデータベースプロパティ、SMC のボタン システムテーブル ( アプリケーションサーバ ) SilverMaster 334 67 データベース 334 システムログイン資格情報 169 持続的な障害 フェールオーバー機能 268 実行 許可 226 定義される許可のタイプ 220 実行可能なオブジェクト 225 詳細出力 307 詳細な式 UUID のサポート 224 アクセス制御に使用 223 証明書 CA 181 SSL 209 概要 180 クライアント 181 サーバ 159, 181, 196 サーバクラスタへのインストール サーバにインストール 194 信頼する 209 有効化 210 証明書 JAR ファイル 208 信頼するクライアント 概要 212 288 す スーパユーザ 124 スタックオーバフロー、処理 311 スタック、サイズの変更 311 スレッド 概要 242 統計情報 139 リスト 313 360 exteNd Application Server 管理ガイド せ セキュリティ Locksmith 権限 Windows 167 124 アクセス制御のための簡潔なリスト 223 アクセス制御のための詳細な式 223 アプリケーションまたはサーバのロック 228 機能 160 式 174, 224 チェックリスト 231 データベースアクセス 158 デフォルトの認証局 177 プロバイダシステム 164 レベル 230 レルム 177 レルム表示名 177 ロボットへのアクセスの指定 238 セキュリティプロバイダ LDAP 20, 117, 164 NIS+ 20, 164 Silver Security 164 Windows 20, 164 アクセス 165 概要 164, 175 証明書発行者 20 ユーザおよびグループリストの更新 166, 211 セキュリティ役割 マップ 237 セキュリティリソースタイムアウト、SMC のフィール ド 166, 211 セッション タイムアウト 239, 240 定義 242 統計情報 138 セッション ID 51 セッション管理 定義 50 セッション状態 50 接続 管理 250, 253 クライアントの再使用 241 接続プール JDBC 18 概要 250 コネクタ 18 接続プールの最小 / 最大数の設定 251 デフォルト最小 / 最大数の設定 251 設定 FIPS 213 そ ソケット例外 NT アプリケーションログへの報告 314 て ディスクキャッシュ 248 ディスパッチャ、アプリケーションサーバ DSA ポート 278 Novell NetWare での起動 270 RSA ポート 278 UNIX での起動 270 Windows での起動 270 クラスタへの追加 277 説明されている機能 265 定義されているクラスタコンポーネント 261 ディレクトリリストの制限 232 ディレクトリリストの読み込み 定義される許可のタイプ 219 ディレクトリリスト、制限 232 ディレクトリレベルの許可 226 データ 整合性 160 プライバシー 161 データ暗号化 160 データベース JDBC アクセス 57 ODBC アクセス 57 アクセス 57 最小 / 最大接続数の設定 251, 254 設定 65 テーブルのサブセットのみの使用 63 データベース URL 335 データベース URL ( アプリケーションサーバ )、デフォル ト 127 データベースアカウント 119, 302 データベースシステムテーブル 334 データベーススキーマの同期化、SMC のボタン 66 データベース接続 概要 250, 253 セッションタイムアウト 240 デフォルト最小 / 最大数の設定 251, 254 特定のデータベースの最小 / 最大数の設定 251, 254 データベースのログ 109 テーブル サブセットの使用 63 テーブルスペース 306 デーモン サーバの実行 98 デーモンとしてのサーバの実行 デバッグ JDBC トレース 296 ODBC トレース 296 SQL 295 98 Web アプリケーション 295 オプション 294 クライアント 294 コマンドラインオプション 93 サーバコマンドシェルの使用 296 デフォルトの実行 定義される許可のタイプ 220 展開されたオブジェクト RAR の表示 129 概要 127 管理 127 シャットダウン 129 展開解除 129 無効化 129 有効化 129 展開データベース アクセスの制限 236 と 統計情報 グラフ作成 133 表示 137 匿名ユーザによるアクセスの禁止 232 ドライバセット 62 トラブルシューティング SilverMaster アクセス 310 サーバコマンドシェルの使用 296 サーバの起動 298 サーバハング 313 低レベルのデバッグ 294 トランザクション J2EE の管理 130 JTS ログファイル 132 回復 130 タイムアウト 132 リソース回復 132 ログファイル最大サイズ 132 トレースログ 110 に 認証 217 索引 361 DSA 暗号化 160 RSA 暗号化 160 アクセス時にログインを要求する 222 概要 232 証明書 159 定義 160 有効化 210 ユーザに自分のアカウントの変更を許可する、SMC のフィールド 211 ユーザの認証を必須にする 211, 303, 311 ユーザ名およびパスワード 175 ね ネットワーク環境設定 サンプル 40 は ハードウェアアクセラレータカード パスパラメータ 52 パスワード SilverMaster 306 エンコード 114 負荷バランス 260 負荷マネージャ Novell NetWare での起動 270 UNIX での起動 270 Windows での起動 270 クラスタへの追加 276 説明されている機能 264 定義 261 フェールオーバーパラメータの設定 分散マッピング 264 ブラウザ SSL 経由でサーバに接続 161 プラグイン 設定 142 プロキシサーバ 概要 39 サーバ環境設定 40 プロパティファイル SilverMaster 306 285 分散マップ 定義 264 編集 284 212 作成および編集 121 パフォーマンス SSL および CHI 211 パフォーマンスモニタ 133 へ 返信のバッファサイズ 設定 239 [返信のバッファサイズ] 、SMC のフィールド 240 ふ ファイアウォール 個別のポート 104 サーバ環境設定 40 設計 231 定義 39 ファイアウォールの設計 231 ファイルのログ 109 フェールオーバー キャッシュマネージャパラメータの設定 クラスタリングでの SilverMonitor 267 コンポーネント回復 268 持続的な障害 268 説明されている機能 267 定義 260 負荷マネージャパラメータの設定 285 フェールオーバー、セッションレベル ポート 113 フォームコンテンツ 362 ほ ポート DSA 209 IIOP SSL 113 RSA 209 284 exteNd Application Server 管理ガイド 環境設定 209 管理 104 セッションレベルのフェールオーバーに対するサポー ト 113 設定 103 タイプ 104, 106 ファイアウォールおよび個別のポート 104 ランタイム 103 ランタイム用と管理用として個別に設定 31, 103, 231 保護 アプリケーション 229 サーバ 229 ホスト 複数のサーバの実行 ホスト名 サーバ起動用に指定 ユーザログイン形式 113 95 ま マルチバイトエンコード マルチホーム、サポート 175 114 95 よ 要求、設定 239 読み込み SilverMaster データベースへのアクセス 310 ら ランタイムポート 103 み 読み込 許可のタイプの定義 219 め メモリキャッシュ 248 り リソース 更新 307 再作成 305 リソースのロック 236 リソースのロック解除 305, 310 リモートオブジェクト 111 リモートサーバ、管理 125 も 文字セット 国際 114 ゆ ユーザ アクセス 175 グループに追加 122 追加 122 パスワードの変更 121 ユーザプロパティの編集 121 レジストリへの追加 120 ユーザおよびグループへのアクセス 175 ユーザ定義のログ 109 ユーザとグループの読み込み 定義される許可のタイプ 219 ユーザ認証 要求 232 ユーザ認証の要求 232 ユーザに自分のアカウントの変更を許可する、SMC の フィールド 211 ユーザの認証を必須にする SilverMasterInit アクセス起動オプション 303 SMC のフィールド 211 ろ ローカルグループ ログ HTTP 110 JDBC 305 223 SMC での表示 137 エラー 110, 293, 305 オン 108 カスタムクラス 109 サーバの状態 297 定義されているタイプ 108 データベース 109 トレース 110 ファイル 109, 305 ログアウト 35 ログイン 34 起動オプション 303, 311 形式 175 リソース 303, 311 ロック アプリケーションまたはサーバ クラスタ 228 228, 229, 306 索引 363 ロボット robots.txt 238 アクセスの指定 364 238 exteNd Application Server 管理ガイド