Comments
Description
Transcript
OVO
HP OpenView Operations HTTPS エージェント コンセプトと設定ガイド ソフトウェアバージョン : A.08.10 および A.08.20 HP-UX および Sun Solaris 管理サーバー Manufacturing Part Number : B7491-99068 2006 年 2 月 © Copyright 2004-2006 Hewlett-Packard Development Company, L.P. ご注意 1. 本書に記載した内容は、予告なしに変更することがあります。 2. 当社は、本書に関して特定目的の市場性と適合性に対する保証を含む一切の保証をいたしか ねます。 3. 当社は、本書の記載事項の誤り、またはマテリアルの提供、性能、使用により発生した直接 損害、間接損害、特別損害、付随的損害または結果損害については責任を負いかねますので ご了承ください。 4. 本製品パッケージとして提供した本書、CD-ROM などの媒体は本製品用だけにお使いくださ い。プログラムをコピーする場合はバックアップ用だけにしてください。プログラムをその ままの形で、あるいは変更を加えて第三者に販売することは固く禁じられています。 本書には著作権によって保護される内容が含まれています。本書の内容の一部または全部を著作 者の許諾なしに複製、改変、および翻訳することは、著作権法下での許可事項を除き、禁止され ています。 All rights are reserved. Restricted Rights Legend. Use, duplication or disclosure by the U.S. Government is subject to restrictions as set forth in subparagraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause in DFARS 252.227-7013. Hewlett-Packard Company United States of America Rights for non-DOD U.S. Government Departments and Agencies are as set forth in FAR 52.227-19(c)(1,2). Copyright Notices ©Copyright 2004-2006 Hewlett-Packard Development Company, L.P. No part of this document may be copied, reproduced, or translated to another language without the prior written consent of Hewlett-Packard. The information contained in this material is subject to change without notice. This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/) This product includes cryptographic software written by Eric Young ([email protected]) This product includes software written by Info-ZIP (http://www.info-zip.org/license.html) 2 This product includes software written by Tim Hudson ([email protected]) Trademark Notices. Adobe® は、Adobe Systems Incorporated ( アドビ システムズ社 ) の商標です。 Microsoft®、Windows®、MS Windows® は、米国 Microsoft Corporation の米国およびその他 の国における登録商標または商標です。 UNIX® は、The Open Group の登録商標です。 その他一般に各会社名、各製品名は各社の商号、商標または登録商標です。 3 4 目次 1. OVO HTTPS エージェントの概要 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP OpenView Operations の HTTPS エージェントアーキテクチャ . . . . . . . . . . . . . . OVO 8 でサポートされている HTTPS エージェントプラットフォーム . . . . . . . . . . . . . HTTPS 管理対象ノードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO 管理対象ノードの一般的なディレクトリ構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO エージェントのユーザーと opc_op アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . UNIX システムリソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows のシステムリソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Path 変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . インクルードファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . メイクファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO の HTTPS 通信管理コマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 31 32 33 33 34 35 37 39 39 40 41 42 2. HTTPS 通信の概念 OVO における HTTPS 通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ファイアウォールとの親和性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . オープン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . スケーラブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 47 47 48 49 50 3. セキュリティの概念 HTTPS ベースのセキュリティコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 証明書. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HP OpenView 証明書サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 証明書クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . マネージャ オブ マネージャ (MoM) 環境のセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . 証明書サーバーが複数個ある環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MoM 環境での共有 CA の構築. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リモートアクションの許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リモートアクションを許可するためのサーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 代行ユーザーによるエージェントの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO エージェントを代行ユーザーで動作させる場合の制限 . . . . . . . . . . . . . . . . . . . . 代行ユーザーが実行するエージェントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 代行ユーザーが実行するエージェントのアップグレードとパッチ . . . . . . . . . . . . . . . . DCE と HTTPS の代行ユーザーの概念の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 55 56 57 59 59 66 71 72 77 78 79 86 89 5 目次 4. HTTPS ノード管理の概念 HTTPS ノードの制御方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 HTTPS ノードへの設定情報の配布 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 ポリシー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 インストルメンテーション管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 手作業によるポリシーとインストルメンテーションのインストール . . . . . . . . . . . . . . 97 HTTPS エージェント分配マネージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 設定のプッシュ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 差分分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 HTTPS ノードのハートビートポーリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 ネットワークの負荷と CPU の負荷の軽減 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 HTTPS ノードのリモート制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5. HTTPS 管理対象ノードでの作業 HTTPS ノードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTPS ノードへの OVO ソフトウェアの自動インストール . . . . . . . . . . . . . . . . . . . . . 管理対象ノードへの共通設定の定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理対象ノードへの特定の OvCoreId の割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows 管理対象ノードへのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows インストールサーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DCE エージェントから HTTPS エージェントへの移行. . . . . . . . . . . . . . . . . . . . . . . . . HTTPS エージェントの DCE エージェントへの移行 . . . . . . . . . . . . . . . . . . . . . . . . . . 手作業による HTTPS 管理対象ノードのインストール . . . . . . . . . . . . . . . . . . . . . . . . . 証明書をインストールするためのヒント. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エージェントをパッケージファイルから手作業でインストールする方法 . . . . . . . . . opc_inst と opcactivate の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . コピーイメージを使った管理対象ノードのインストール. . . . . . . . . . . . . . . . . . . . . . . . エージェントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エージェントの自動削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手作業によるエージェントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 削除エラー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 105 110 111 111 113 116 118 120 120 121 128 130 133 133 133 133 6. 証明書を使った作業 証明書の作成と分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 証明書の自動分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTPS 管理対象ノードに対する証明書の管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手作業の分配に使う証明書を作成する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . インストールキーを使って証明書を手作業で分配する方法 . . . . . . . . . . . . . . . . . . . . . . 6 136 139 142 145 149 目次 7. OVO の仮想ノード OVO の仮想ノード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 高可用性に関係する一般的な用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 OVO で使われるクラスタ用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 仮想ノードの概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 仮想ノードに関わる作業 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO への仮想ノードの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO での仮想ノードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO の仮想ノードへのポリシーの割当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO での仮想ノードへのポリシーの配布 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO での仮想ノードに関するポリシー設定の変更 . . . . . . . . . . . . . . . . . . . . . . . . . . OVO の仮想ノードからのポリシーの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO からの仮想ノードの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ClAw と APM の利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HA パッケージとして動作しているアプリケーションの監視 . . . . . . . . . . . . . . . . . . . HA パッケージのスイッチオーバーまたはフェイルオーバーへの対応. . . . . . . . . . . . オペレータへ HA 関連情報を提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 . . . . . . . . . . . . . . . . . . . . . . . . ClAw (HTTPS エージェント ) と APM (DCE エージェント ). . . . . . . . . . . . . . . . . . . OVO 8 の仮想ノードの概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ClAw を使ったメッセージ拡張機能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ClAw と APM の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . $OvDataDir/conf/conf/apminfo.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . $OvDataDir/bin/instrumentation/conf/<appl_name>.apm.xml . . . . . . . . . . . . . . . . 155 157 157 159 160 160 161 161 161 162 162 162 162 164 165 165 167 170 170 173 ClAw のコマンド行ユーティリティ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . APM のコマンド行ユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . クラスタの状態を監視するための ClAw のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . クラスタアプリケーションのデフォルトの状態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 仮想ノードへの最初のメッセージの取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Java GUI を使った HARG の監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 仮想ノードについての FAQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サポートされるプラットフォーム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 176 177 177 180 186 197 200 200 8. プロキシ 7 目次 OVO におけるプロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTP プロキシの背後で行う手作業のエージェントインストール . . . . . . . . . . . . . . . . 管理対象ノードでのプロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO 管理サーバーでのプロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 204 206 208 209 210 9. DHCP クライアントシステム上での HTTPS エージェントの管理 OVO エージェントと DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO での DHCP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP 用の変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP 用の opcnode 変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dhcp_postproc.sh を使った NNM の同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP クライアントでエージェントの管理を有効にする . . . . . . . . . . . . . . . . . . . . . . . 212 213 213 213 214 215 10. ホスト名と IP アドレスの変更 ホスト名と IP アドレスの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 手作業による管理対象ノードのホスト名または IP アドレスの変更 . . . . . . . . . . . . . . . 管理対象ノードのホスト名または IP アドレスの自動的な変更 . . . . . . . . . . . . . . . . . . . ノードの設定と名前解決の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 219 223 225 11. MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTPS エージェントにおける担当マネージャの用語 . . . . . . . . . . . . . . . . . . . . . . . . OVO 7 と OVO 8 の相違と下位互換性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . MoM 環境でのアップグレード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 複数の並列設定サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 228 229 230 232 12. OVO における変数 OVO における変数の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 A. HTTPS ベース通信のトラブルシューティング トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ツールを使ったトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTPS ベースのアプリケーションに対する ping の実行. . . . . . . . . . . . . . . . . . . . . . HTTPS ベースアプリケーションの現在のステータスの表示 . . . . . . . . . . . . . . . . . . . 通信ブローカに登録されているすべてのアプリケーションの表示 . . . . . . . . . . . . . . . what 文字列 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 246 247 247 248 248 249 目次 HTTPS 管理対象ノードにインストールされている全 OV ファイルセットの一覧表示249 標準の TCP/IP ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 時間のかかる RPC コール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 ロギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 管理サーバーと HTTPS エージェントとの間で発生する通信の問題. . . . . . . . . . . . . . . 255 ネットワークの基本的なトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 HTTP 通信の基本的なトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 HTTP 通信における認証と証明書のトラブルシューティング . . . . . . . . . . . . . . . . . . 264 OVO 通信のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 証明書分配に関する問題 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 管理対象ノードを管理する担当管理サーバーの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 OVO での証明書のバックアップと復元方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 証明書のバックアップを作成 / 使用する時期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 B. OVO のトレース OVO のトレース機能のクイックスタート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO スタイルのトレース機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理サーバーで OVO スタイルのトレース機能を有効にする . . . . . . . . . . . . . . . . . . . 管理対象ノードで OVO スタイルのトレース機能を有効にする . . . . . . . . . . . . . . . . . OVO スタイルのトレース機能を無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トレース出力ファイルの場所. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 . . . . . . . . . . . 機能領域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トレース機能のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トレース例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トレースファイルの構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OpenView スタイルのトレース機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows のトレース GUI を使ったリモートトレースの設定 . . . . . . . . . . . . . . . . . . トレース設定ファイルを使った手作業によるトレース機能の設定 . . . . . . . . . . . . . . . トレースを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トレース結果の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リモートトレース機能を無効にする ( ポートを閉じる ) . . . . . . . . . . . . . . . . . . . . . . . トレースを無効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO プロセスのトレース例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO トレースに対応したアプリケーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . サーバーとエージェントのアプリケーション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO 固有のコンポーネントと OpenView のコンポーネント . . . . . . . . . . . . . . . . . . . OVO 固有のカテゴリと XPL 標準カテゴリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 285 285 285 287 288 289 289 290 292 294 295 296 298 300 300 301 302 303 309 311 311 314 9 目次 NNM の設定準備要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 C. HTTPS ベース通信の設定方法 通信の設定パラメータ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 HTTPS 通信の設定ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 D. HTTPS 通信のアーキテクチャ 通信ブローカのアーキテクチャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 E. ファイアウォールと HTTPS 通信 ファイアウォールの仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 イントラネットからインターネット上のアプリケーションへアクセスする - HTTP プ ロキシを使う方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 イントラネットからインターネット上のアプリケーションへアクセスする - HTTP プ ロキシを使わない方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 インターネット上の OpenView アプリケーションからプライベートなイントラネット内 のアプリケーションへアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 インターネット上の OpenView アプリケーションからプライベートなイントラネット内 のアプリケーションへアクセスする - HTTP プロキシを使わない方法 . . . . . . . . . . 333 F. OVO 8 クイックスタートガイド OVO サーバーのコンポーネントとプロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO 管理サーバーの新しいプロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OVO 8 の新しいコマンド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HTTPS エージェントと DCE エージェントの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 設定情報の配布 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 分配マネージャ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 複数の並列設定サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リソース要件の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エージェントのパフォーマンス比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エージェント用に使うコマンドの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . エージェントプロセスの比較. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . トラブルシューティングの比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 336 338 340 340 341 341 341 342 342 343 344 索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 10 原典 本書は『HP OpenView Operations HTTPS Agent Concepts and Configuration Guide』(HP Part No. B7491-90068) を翻訳したものです。 注記 OS の種類によって OVO/Unix 8.1/8.2 英語版と日本語版でサポートされている エージェントソフトウェアが異なります。詳細は OVO/Unix 8.1/8.2 Release Notes 日本語版をご覧ください。 11 12 表記法 字体 『マニュアル』 説明 例 マニュアル名 詳細は、『OVO システム管理リファレ ンスガイド』を参照してください。 コマンドの入力時に指定する必要があ る変数 プロンプトで、次のように入力しま す。 rlogin your_name このとき、your_name にはログイン 名を指定します。 関数のパラメータ oper_name パラメータは整数が返さ れます。 Bold、ゴシック体 用語 HTTPS エージェントは ... を監視し ます。 入力 ユーザーが入力する必要があるテキス ト プロンプトで、次のように入力しま す。ls -l コンピュータ文字 コンピュータディスプレイの項目 次のシステムメッセージが表示さ れます。 Italic Are you sure you want to remove current group? 強調 コマンド名 grep コマンドを使用して、...。 関数名 opc_connect() 関数を使用して、... を接続します。 ファイル名とディレクトリ名 /opt/OV/bin/OpC/ プロセス名 opcmona が実行中かどうかチェック します。 ウィンドウ / ダイアログボックス名 [ ログファイルの追加 ] ウィンドウで ...。 マンページ名やリファレンスページ名 詳細は、opc(1M) のマンページを参 照してください。 強調表示 次の手順に従う必要があります。 13 字体 説明 例 キーキャップ キーボードキー Return を押します。 [ ボタン ] ユーザーインタフェースのボタン [OK] をクリックします。 [ 適用 ] ボタンをクリックします。 [ メニュー項目 ] メニュー名の後にコロン (:) が記載さ れていることがあります。これは、 ユーザーがそのメニューを選択した 後、メニュー項目を選択することを示 しています。項目の後に矢印 (->) が記 載されている場合、カスケードメ ニューが表示されます。 [ アクション : ユーティリティ -> レ ポート ] を選択します。 14 OVO ドキュメントの使用方法 HP OpenView Operations (OVO) では、その使い方と概念を理解するために、マニュアルとオ ンラインヘルプを用意しています。本項では、入手できる情報や情報の参照個所を説明します。 電子メディアのマニュアル すべてのマニュアルは、OVO 製品 CD-ROM のドキュメント ディレクトリに Adobe Portable Document Format (PDF) の形式で入っています。 『OVO ソフトウェアリリースノート』を除いて、他のマニュアルのすべてが次の OVO Web ペー ジから入手できます。 http://<management_server>:3443/ITO_DOC/<lang>/manuals/*.pdf この URL 内の <management_server> の部分は、使用している管理サーバーのホスト名の FQDN ( 完全修飾ドメイン名 ) で、<lang> はシステムの言語 ( たとえば、英語環境の場合は C、 日本語環境の場合は japanese) です。 次の Web サイトからもマニュアルをダウンロードすることができます。 http://ovweb.external.hp.com/lpe/doc_serv ( 英語 ) http://www.jpn.hp.com/doc/manual/openview/index.html ( 日本語 ) この Web サイトにある『OVO Software Release Notes』(OVO ソフトウェアリリースノート ) の 最新版を定期的に調べてください。このリリースノートは 2 ~ 3ヶ月ごとにアップデートされ、 サポート対象として追加された OS バージョンや最新のパッチなど、最新の情報が得られます。 15 OVO のマニュアル 本項では、OVO のマニュアルとその内容について簡単に述べます。 マニュアル 説明 媒体 OVO 管理サーバー インス トールガイド 管理サーバーに OVO ソフトウェアをインストールし、初 期設定を行う管理者向けのマニュアルです。 印刷製本 PDF 次の事項を説明しています。 OVO コンセプトガイド • ソフトウェア、ハードウェアの要件 • ソフトウェアのインストール、削除手順 • デフォルト値を用いた設定 OVO を理解するために使用者を 2 つのタイプに分けて説 明しています。 印刷製本 PDF オペレータの場合には OVO の基本構造を理解できます。 管理者の場合には、現在の環境で OVO のセットアップと 設定ができるようになります。 OVO システム管理リファレ ンスガイド OVO を管理対象ノードにインストールし、OVO の管理と トラブルシューティングを行う管理者向けのマニュアルで す。 PDF のみ OVO の DCE/NCS ベース管理対象ノードの一般的で概念 的な情報が記述されています。 OVO DCE エージェント コン セプトと設定ガイド DCE/NCS ベース管理対象ノードの各プラットフォームに ついて、プラットフォーム固有の情報を提供しています。 PDF のみ OVO HTTPS エージェント HTTPS ベース管理対象ノードの各プラットフォームにつ いて、プラットフォーム固有の情報を提供しています。 PDF のみ コンセプトと設定ガイド OVO Reporting and Database Schema OVO データベースから生成されるレポートの例に加え、 OVO のデータベースの表の詳細を説明しています。 PDF のみ OVO Entity Relationship Diagrams 表と OVO データベース間の関係の概要を説明していま す。 PDF のみ 16 マニュアル 説明 媒体 OVO Java GUI オペレータガ OVO の Java ベースのオペレータ GUI と Service Navigator の詳細を説明しています。このマニュアルに は、OVO オペレータ向けに、一般的な OVO および Service Navigator の概念と作業についての詳細な情報を 説明しています。また、リファレンスおよびトラブル シューティングの情報もあります。 PDF のみ HP OpenView Service Navigator のインストール、構成、 保守、トラブルシューティングを担当する管理者向けの情 報を提供しています。サービス管理の背景にある概念の概 要も記述しています。 印刷製本 新機能と以下のような有用な情報を記述しています。 PDF のみ イド Service Navigator コンセプ トと設定ガイド OVO ソフトウェアリリース ノート • ソフトウェアの新旧バージョンの機能比較 • システムとソフトウェアの互換性 • 既知の問題の解決法 PDF HP OpenView ネットワーク ノードマネージャ ネット ワーク管理ガイド 管理者とオペレータ向けのマニュアルです。 印刷製本 OVO に組み込まれている HP OpenView ネットワーク ノードマネージャの基本機能を説明しています。 PDF OVO Database Tuning このマニュアルは OVO 管理サーバーの次の場所にありま す。 テキスト /opt/OV/ReleaseNotes/opc_db.tuning 17 OVO 関連製品のマニュアル ここでは、OVO 関連のマニュアルと内容の概要を説明します。 マニュアル 説明 メディア HP OpenView Operations for UNIX Developer's Toolkit HP OpenView Operations for UNIX Developer's Toolkit を購入すると、次のマニュアルと OVO の全ド キュメント一式がついてきます。 OVO Application Integration Guide 外部のアプリケーションを OVO に統合するいくつかの方 法を説明しています。 印刷製本 OVO Developer's Reference 利用できるすべてのアプリケーション プログラミング イ ンタフェース (API) の概要を記述しています。 印刷製本 PDF PDF HP OpenView Event Correlation Designer for NNM and OVO HP OpenView Event Correlation Designer for NNM and OVO を購入すると次の追加のドキュメントが ついてきます。HP OpenView Event Correlation Composer は、NNM と OVO の必須コンポーネント です。OVO での OV Composer の使用方法は、OS-SPI のドキュメントで説明されています。 HP OpenView ECS Configuring Circuits for NNM and OVO 18 NNM と OVO 環境内での ECS Designer 製品の使用法を 説明しています。 印刷製本 PDF OVO オンライン情報 次の情報がオンラインで利用できます。 オンライン情報 説明 HP OpenView Operations オ ンラインヘルプ ( 管理者の作 業) 状況依存ヘルプシステムには、管理作業に必要な手順と、OVO 管理者 用の Motif GUI のウィンドウごとの詳細なヘルプが含まれています。 HP OpenView Operations オ ンラインヘルプ ( オペレータ の作業 ) 状況依存ヘルプシステムには、オペレータ作業に必要な手順と、OVO オペレータ用の Motif GUI のウィンドウごとの詳細なヘルプが含まれ ています。 OVO Java ベース GUI オン ラインヘルプ OVO の Java ベースのオペレータ GUI と Service Navigator の HTML ベースのヘルプシステムです。このヘルプシステムでは、OVO オペ レータ向けに、一般的な OVO および Service Navigator の概念と作業 についての詳細な情報を説明しています。また、リファレンスおよびト ラブルシューティングの情報もあります。 HP OpenView Operations マ ンページ オンラインで利用できる OVO のマンページです。HTML 形式のものも 利用できます。 このページにアクセスするには、次の URL を Web ブラウザで開いて ください。 http://<management_server>:3443/ITO_MAN この URL の <management_server> には、使用している管理サーバー の FQDN ( 完全修飾ドメイン名 ) を入力してください。OVO HTTPS エージェント用のマンページは、各管理対象ノードにインストールされ ています。 19 20 OVO オンラインヘルプについて ここでは、HP OpenView Operations (OVO) でオペレータが使う Motif および Java のグラ フィックユーザーインタフェース (GUI) について、そのオンラインドキュメンテーションを説明 します。 Motif GUI オンラインヘルプ HP OpenView Operations (OVO) Motif グラフィックユーザーインタフェース (GUI) のオンライ ン情報は、2 つの別々のボリューム ( オペレータ用と管理者用 ) から成ります。オペレータ用ボ リュームには、オペレータ用の主なウィンドウについて説明した、HP OpenView OVO クイッ クスタートがあります。 オンラインヘルプのタイプ オペレータ用と管理者用ボリュームには、以下のようなオンラインヘルプのタイプがあります。 ❏ タスクインフォメーション 作業の実行に必要な情報 ( オペレータまたは管理者用 ) ❏ アイコンインフォメーション ポップアップメニュー、OVO アイコンの説明 ( マウスポインターを対象とするものの上に移 動させて、マウスの右ボタンを押す ) ❏ エラーインフォメーション [OVO エラー情報 ] ウィンドウに表示されるエラーの説明。エラー発生時に、またはメッセー ジ番号を使ってヘルプシステム内でキーワード検索で、ヘルプを参照できます。 ❏ 検索ユーティリティ 目的のトピックを直接表示 ( 索引検索ユーティリティ ) ❏ 用語集 OVO の用語集 ❏ ヘルプ指示 オンラインヘルプを初めて使うユーザーのためのヘルプ ❏ 印刷機能 21 ヘルプシステム内の一部またはすべてのトピックを印刷するための印刷機能 ( 図形を印刷す るには、HP LaserJet プリンター、またはそれと互換性のあるプリンターデバイスが必要 ) オンラインヘルプにアクセスするには ヘルプシステムにアクセスするには、次の方法があります。 ❏ F1 キー カーソルがアクティブなテキストフィールドまたはボタン上にあるときに、F1 キーを押す。 ❏ ヘルプボタン ウィンドウ下部の [ ヘルプ ] ボタンをクリックする。 ❏ ヘルプメニュー メニューバーから [ ヘルプ ] メニューを選択する。 ❏ 右クリック シンボルをクリックして、マウスの右ボタンを押し、[ ヘルプ ] メニューにアクセスする。 次に、タスク項目リスト、またはウィンドウとフィールドのリストを選択します。どのヘルプ画 面からでも、ヘルプボリューム内のすべてのトピックにアクセスできます。他のヘルプトピック をハイパーリンクで示しています。 [ メッセージブラウザ ] ウィンドウと、[ メッセージソースのテンプレート ] ウィンドウではコンテ キストヘルプを表示できます。メニューバーから [ ヘルプ : コンテキストについて ] を選択する と、カーソルが疑問符に変わるので、ヘルプを表示させたい箇所にカーソルを移動させます。そ こでマウスボタンをクリックすると、その箇所のヘルプの説明がヘルプウィンドウに表示されま す。 Java GUI と Service Navigator のオンラインヘルプ Service Navigator を含む、HP OpenView Operations (OVO) Java グラフィックユーザーイン タフェース (GUI) のオンラインヘルプは、オペレータが OVO 製品に慣れ親しむのや、使用する のに役立ちます。 オンラインヘルプのタイプ OVO Java GUI のオンラインヘルプには、次のような情報があります。 ❏ タスク 手順ごとの説明 22 ❏ 概念 主要な概念と機能の紹介 ❏ リファレンス 製品についての詳細な情報 ❏ トラブルシューティング 製品の使用中に発生する共通の問題に対する解決策 ❏ 索引 必要な情報にすぐに簡単にアクセスできるトピックリスト トピックの表示 トピックを表示するには、オンラインドキュメンテーションウィンドウの左側にあるフレームの フォルダーを開き、トピックタイトルをクリックします。ハイパーリンクで、関連するヘルプト ピックにアクセスできます。 オンラインヘルプにアクセスするには ヘルプシステムにアクセスするには、Java GUI のメニューバーから [ ヘルプ : 目次 ] を選択し ます。OVO 用に設定した Web ブラウザが開き、ヘルプの目次が表示されます。 23 24 サポート 次の HP OpenView サポートの Web サイトにアクセスしてください。 http://www.hp.com/managementsoftware/support この Web サイトには HP OpenView の製品、サービス、サポートに関する詳細情報とコンタク ト先が示してあります。 HP ソフトウェアサポート オンライン Web サイトでは、セルフソルブ技術情報を提供していま す。お客様の業務の管理に必要な対話型の技術支援ツールに、素早く効率的にアクセスいただけ ます。お客様は、このサイトで以下のことができます。 • • • • • • • • • 興味のある情報に関するドキュメントの検索 エンハンスメント要求の送信 ソフトウェアパッチのダウンロード サポートケースの送信と状況確認 サポート契約の管理 HP のサポート契約の調査 利用可能なサービスに関する調査 他のお客様とのディスカッション ソフトウェアトレーニングの検索 / 登録 多くのサポートでは、お客様が HP Passport ユーザーとして登録し、ログインする必要があり ます。また、多くはサポート契約が必要です。 アクセスレベルに関する情報は、次の Web サイトを参照してください。 http://www.hp.com/managementsoftware/access_level HP Passport ユーザーとしての ID 登録については、次の Web サイトにアクセスしてください。 http://www.managementsoftware.hp.com/passport-registration.html 25 26 1 OVO HTTPS エージェントの概要 第1章 27 OVO HTTPS エージェントの概要 はじめに はじめに HTTPS エージェントソフトウェアは、OVO 8.x 管理サーバーとその管理対象ノードとの間で安 全性の高い通信を実現するためのものです。HTTPS エージェントは、通常、DCE ベースエー ジェントと同じように使い、管理します。アプリケーションの起動方法は同じで、opcragt のよ うなコマンド行インタフェースも、すべての管理対象ノードに対して使うことができます。 DCE ベースエージェントで利用できるすべての機能は、明確に利用できないことが記述されて いない限り HTTPS エージェントでも利用できます。 DCE ベースエージェントの場合のテンプレートと同じように、HTTPS エージェントでもポリ シーを作成し、割り当て、配布します。たとえば、ノードに対してハートビートのポーリングを 実行すると、似たタイプのメッセージが生成され、メッセージブラウザに同じような形式で表示 されます。図 1-1 に、HP OpenView Operations で管理する標準的な環境を示します。 HTTPS エージェントには DCE ベースエージェントよりも多くの利点があります。これらの利 点について、以下の章で説明していきます。 図 1-1 28 OVO の標準的な管理環境 第1章 OVO HTTPS エージェントの概要 はじめに HTTPS ベースの通信を利用することで得られる主な利点は、次のとおりです。 • HTTPS ベースのオープンな通信技術を使った、設定可能な単一ポートによる安全な通信に より、ファイアウォール越しの管理が簡単にできます。外部にアクセスできるポートを専用 の HTTP プロキシだけに限定し、その HTTP プロキシ上で通信を多重化することで、使用 するポートの数を減らすことができます。 • 認証用のサーバー証明書およびクライアント証明書と SSL/PKI 暗号化とを組み合わせること により、安全で優れたインターネット通信を実現することができます。 • 現在、すべての環境で使用可能な標準の Web 技術 (HTTP、SOAP、プロキシ、SSL など ) が 通信に使われているので、すべての IT 管理者が簡単に理解することができます。 • HTTPSエージェントからOVO管理サーバーに送るメッセージ セキュリティにXMLとSOAP をベースにした新しい OVO メッセージフォーマットを使用します。 • IP からの独立性と動的 IP(DHCP)。管理対象ノードを一意の OvCoreID で識別できるので、IP アドレスによる識別が必須ではありません。 • 追加投資 ( トレーニングや、DCE などの追加ソフトウェア ) が不要です。 • OpenView 標準の制御と配布のメカニズム。 • OpenView 標準のロギング機能。 • OpenView 標準のトレース機能。 OVO 8 では、この他に次の長所があります。 • 管理対象ノードの多くのオペレーティングシステムに必要であった DCE-RPC テクノロジが 不要になります。 • OVO 管理サーバーでは、HTTPS 管理対象ノードシステムと OVO 7.x DCE 管理対象ノードシ ステムを同時に管理できます。 • HTTPS と DCE エージェントの両方で、IP を重複して使うことができるようになります。 第1章 29 OVO HTTPS エージェントの概要 はじめに 図 1-2 に、OVO で処理可能な通信の例をいくつか示します。 図 1-2 30 HP OpenView Operations における通信の概要 第1章 OVO HTTPS エージェントの概要 はじめに HP OpenView Operations の HTTPS エージェントアーキテクチャ 次の図に、OVO における HTTPS 通信のアーキテクチャを示します。 図 1-3 第1章 HTTPS エージェントのコンポーネントと役割 31 OVO HTTPS エージェントの概要 OVO 8 でサポートされている HTTPS エージェントプラットフォーム OVO 8 でサポートされている HTTPS エージェントプラットフォー ム1 • AIX • HP-UX (PA-RISC) HP-UX (Itanium IA64) • Linux (Intel x86) — Debian — Mandrake — RedFlag Professional Server — Red Hat — SuSE および SuSE Enterprise Server — Turbolinux Server および Turbolinux Enterprise Server ( 日本語版のみ ) • Microsoft Windows (Intel x86) • Sun Solaris (SPARC) 1. サポートされている管理対象ノードのプラットフォームについては、『OVO リリース ノート』の最新版に記載されている最新のリストを参照してください。リリースノー トは、http://ovweb.external.hp.com/lpe/doc_serv/ の「operations for UNIX, version 8.x」から入手できます (PDF 形式 )。この Web ページで管理サーバーのオペ レーティングシステムを選択すれば、関連ドキュメントのリストがすべて表示されま す。 32 第1章 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 HTTPS 管理対象ノードの構成 OVO 管理対象ノードの一般的なディレクトリ構造 HTTPS エージェントに関連するファイルは、以下のディレクトリに置かれています。 • <OVInstallDir> HP-UX、Solaris、Linux /opt/OV AIX /usr/lpp/OV Windows <ProgramFilesDir>¥HP OpenView このディレクトリにあるファイルは、製品メディアからインストールされます。どのファイ ルも静的で、その内容が変更されることはありません。実行可能プログラムがその例です。 これらのファイルは変更されることがないため、高いセキュリティが必要な環境では、 <OVInstallDir> を「読み取り専用」としてマウントすることもできます。また、これらの ファイルは製品メディアから再インストールできるので、バックアップをとる必要はありま せん。 これ以外のファイルは操作中に変更されるので、定期的にバックアップをとる必要がありま す。 • <OVDataDir> HP-UX、Solaris、Linux、AIX /var/opt/OV Windows <ProgramFiles>¥HP OpenView¥data このディレクトリには、ローカルシステムだけで使われる設定ファイルと実行時データファ イルが格納されます。最も重要なディレクトリは、アクション、コマンド、モニターといっ たインストルメンテーションファイルが入っている次のディレクトリです。 <OvDataDir>/bin/instrumentation <OvInstallDir>/newconfig/inventory/*.xml ファイルには、エージェントソフトウェアと ともにインストールまたは作成された、すべてのディレクトリおよびファイルのリストが記載さ れています。 第1章 33 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 OVO エージェントのユーザーと opc_op アカウント OVO エージェントのデフォルトの実行ユーザーは、UNIX の場合は root で、Windows の場合 は system です。エージェントのインストールは、OVO エージェントのアカウントが管理対象 ノードに存在しているものとして行われます。OVO エージェントのインストール時に、最小限 の権利だけのアカウントとして、opc_op アカウントが作成されます。このアカウントの主な用 途は、最小権限でアクションを実行することです。 表 1-1 に、UNIX 管理対象ノードの場合の OVO エージェントのアカントを示します。 表 1-1 UNIX 管理対象ノードの場合の OVO アカウント アカウントの情報 OVO エージェント アカウント 最小権限の追加アカウント ユーザー名 root opc_op1 パスワード ユーザー root 用に決められ たもの インストール時に決められた もの グループ sys opcgrp ログインシェル K シェル (/bin/ksh) K シェル (/bin/ksh) ホームディレクトリ /.root /home/opc_op 1. opc_op アカウントでシステムに直接ログインすることはできません (/etc/passwd ファイルのパスワード欄が「* 」となっています )。 注記 UNIX 管理対象ノードシステム上の OVO ソフトウェアは、root の全特権を持た ないユーザーで実行するように設定することができ、これを「非 root での実行」 と呼びます。詳細は、77 ページの「代行ユーザーによるエージェントの実行」を 参照してください。 管理対象ノードがネットワーク情報サービス (NIS または NIS+) のクライアントの場合は、管理 対象ノードに OVO ソフトウェアをインストールする前に、opc_op アカウントを opcgrp グルー プのメンバーとして NIS サーバーに登録することを強くお勧めします。事前に登録しておけば、 その opc_op アカウントが OVO で使用され、すべてのシステムで一貫性を保てます。 opc_op アカウントの登録が NIS サーバーにない場合は、インストール時に opc_op がグループ opcgrp のユーザーとして管理対象ノードにローカルに作成されます。 34 第1章 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 表 1-2 に、Windows 管理対象ノードの場合の OVO エージェントのアカウントを示します。 表 1-2 Windows 管理対象ノードの場合の OVO エージェントのアカウント アカウントの情報 OVO エージェントのアカウント ユーザー名 組み込みユーザー system パスワード なし 権限 Local Administrator UNIX システムリソース OVO は、以下のシステムリソースファイルを変更します。 /etc/passwd デフォルトの OVO オペレータのエントリを追加 /etc/group デフォルトの OVO オペレータグループのエントリを追加 <BootDir>/OVCtrl OVO の起動とシャットダウン <BootDir>/TrcSrv OpenView Tracing 機能の起動と停止 <BootDir>: AIX HP-UX Linux Solaris 注記 /etc/rc.d /sbin/init.d /etc/rc.d/init.d /etc/init.d ネットワーク情報サービス (NIS) を使用している場合は、それに応じたユーザー 登録を行う必要があります。 https エージェントのブート時に実行される起動 / 停止シーケンスが定義された <BootDir>/OVCtrl や <BootDir>/OVTrcSrv のシンボリックリンクが以下の名前で作成されま す。 HP-UX トレースデーモンの起動 /sbin/rc3.d/S900OVTrcSrv OVO エージェントの起動 /sbin/rc3.d/S920OVCtrl OVO エージェントの停止 /sbin/rc2.d/K010OVCtrl 第1章 35 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 トレースサーバーの停止 /sbin/rc2.d/K020OVTrcSrv AIX トレースデーモンの起動 /etc/rc.d/rc2.d/S90OVTrcSrv OVO エージェントの起動 /etc/rc.d/rc2.d/S92OVCtrl OVO エージェントの停止 /etc/rc.d/rc<num>.d/K02OVTrcSrv トレースサーバーの停止 /etc/rc.d/rc<num>.d/K01OVCtrl <num> = 3, 4, 5, ...8, 9 Solaris トレースデーモンの起動 /etc/rc3.d/S90OVTrcSrv OVO エージェントの起動 /etc/rc3.d/S92OVCtrl OVO エージェントの停止 /etc/rc<key>.d/K01OVCtrl トレースサーバーの停止 /etc/rc<key>.d/K01OVTrcSrv /etc/rc<key>.d/K02OVTrcSrv <key> = 0 | 1 | 2 | S Linux トレースデーモンの起動 /etc/rc.d/rc<num>.d/S90OVTrcSrv OVO エージェントの起動 /etc/rc.d/rc<num>.d/S92OVCtrl <num> = 3 | 4 | 5 OVO エージェントの停止 /etc/rc.d/rc<num>.d/K01OVCtrl トレースサーバーの停止 /etc/rc.d/rc<num>.d/K02OVTrcSrv <num> = 0 | 1 | 2 | 6 36 第1章 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 Windows のシステムリソース ユーザー環境変数 システムレベルの環境変数は変更されません。以下のユーザーレベルの変数だけが変更されま す。 OVO によって、以下のユーザー環境変数が設定されます。これらの変数はスクリプト内で使用 可能です。たとえば、ポリシーに自動アクションを設定する場合に使用します。 表 1-3 Windows ユーザー環境変数 変数名 説明と設定値 OvAgentDir Windows エージェントをインストールするディレクトリ C:¥Program Files¥HP OpenView¥Installed Packages¥{790c06b4-844e-11d2-972b-080009ef8c2a} OvDataDir HP OpenView 設定ファイルと実行時データファイルの格納ディレクトリ C:¥Program Files¥HP OpenView¥Data¥ OvInstallDir HP OpenView をインストールするディレクトリ C:¥Program Files¥HP OpenView¥ OvPerlBin Perl インタープリタの絶対パス C:¥Program Files¥HP OpenView¥Installed Packages¥{790c06b4-844e-11d2-972b-080009ef8c2a}¥bin¥perl.exe Windows エージェントの起動と停止 ovcd は、名前空間 [ctrl] で START_ON_BOOT が true に設定されている場合は、リブート後に コンポーネントを起動します (Windows と UNIX プラットフォームの両方に共通 )。この値を設 定するには、次のコマンドを実行します。 ovconfchg -ns ctrl -set START_ON_BOOT true Control サービスのスタートアップ設定は、リブート後に自動的に起動されるようにしておく必 要があります。サービスを設定するには、次の手順で [ サービス ] ウィンドウを開きます。 [ スタート → コントロールパネル → 管理ツール → サービス ] 第1章 37 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 Control サービスのプロパティウィンドウを開き、[ スタートアップの種類 ] ドロップダウンリス トから [ 自動 ] を選択します。 レジストリキー OVO は、Windows のレジストリにいくつかのキーを追加します。 キーとその関連する値は、次のコマンドを使用してレジストリエディターで表示することができ ます。 %SystemRoot%¥System32¥regedt32.exe エージェントのインストール時に、多くのレジストリが変更されます。大別すると次のようもの があります。 • インストールされたエージェントソフトウェアに関する設定情報のレジストリキーは、次の 場所に追加されます。 HKLM¥SOFTWARE¥HEWLETT-PACKARD • OpenView が Windows サービスを登録する際に HP ITO Agent の下に追加されるレジストリ キー • .dll と .exe ファイルを登録するために追加されるキー • エージェントソフトウェアの削除に関わるキー • OpenView コアコンポーネントによって追加されるキー たとえば、次の OVO キーも Windows レジストリに登録されます。 ❏ <OvInstallDir> HKEY_LOCAL_MACHINE¥SOFTWARE¥Hewlett-Packard¥OpenView 値の名前 : InstallDir 値の種類 : 文字列 ❏ <OvDataDir> HKEY_LOCAL_MACHINE¥SOFTWARE¥Hewlett-Packard¥OpenView¥data 値の名前 : DataDir 値の種類 : 文字列 またドメインコントローラのときは次のキーも Windows レジストリに登録されます。 38 第1章 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 HKEY_LOCAL_MACHINE¥SYSTEM¥Current ControlSet¥Services¥ HP ITO Installation Server Path 変数 次の値が PATH 変数に追加されます。 C:¥Program Files¥HP OpenView¥Installed Packages¥ {790c06b4-844e-11d2-972b-080009ef8c2a}¥bin; C:¥Program Files¥HP OpenView¥Installed Packages¥ {790c06b4-844e-11d2-972b-080009ef8c2a}¥bin¥OpC ライブラリ HTTPS エージェントライブラリは、拡張子で識別できます。たとえば .dll、.sl、.so です。 Openview の共有コンポーネント用ライブラリの名前は、以下のとおりです。 libOvXpl libOvBbc libOvSecCore libOvSecCm libOvCtrl libOvCtrlUtils libOvConf libOvDepl libjopcagtbase libjopcagtmsg OVO エージェント固有ライブラリは以下のとおりです (UNIX と Windows 共通 )。 libopc_r libjopcagtbase libjopcagtmsg UNIX の OVO エージェント固有ライブラリは以下のとおりです。 libnsp Windows の OVO エージェント固有ライブラリは以下のとおりです。 opcapi.dll opcauth.dll OpCWbemInterceptor.dll pdh.dll 第1章 39 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 libopc_r ライブラリを例に、各プラットフォームでのファイル名を以下に示します。 AIX libopc_r.so HP-UX 11.0 および 11.11 libopc_r.sl HP-UX Itanium libopc_r.so Linux libopc_r.so Solaris libopc_r.so Windows libopc.dll pdh.dll インクルードファイル 管理対象ノードの各プラットフォームに適切な以下のインクルードファイルを使用してくださ い。 AIX /usr/lpp/OV/include/opcapi.h HP-UX /opt/OV/include/opcapi.h Linux /opt/OV/include/opcapi.h Solaris /opt/OV/include/opcapi.h Windows ¥usr¥OV¥include¥opcapi.h API 関数の使い方のサンプルは、管理サーバーの以下のファイルにあります。 /opt/OV/OpC/examples/progs/opcapitest.c 40 第1章 OVO HTTPS エージェントの概要 HTTPS 管理対象ノードの構成 メイクファイル 実行ファイルのビルド用のメイクファイルは、管理サーバーの次のディレクトリにあります。 /opt/OV/OpC/examples/progs 適切なコンパイルオプションとリンクオプションで実行ファイルをビルドするには、次のメイク ファイルを使用してください。 AIX Makef.aix HP-UX Makef.hpux11 Makef.hpuxIA32 Linux Makef.linux Solaris Makef.solaris Windows 実行ファイルを作成するには、Microsoft Developer Studio 6.0 以上を使用し てください。 管理対象ノードのメイクファイルに関する詳細は、次の ReadMe ファイルを参照してください。 /opt/OV/OpC/examples/progs/README 第1章 41 OVO HTTPS エージェントの概要 OVO の HTTPS 通信管理コマンド OVO の HTTPS 通信管理コマンド HTTPS による通信は、次のコマンドを使って制御できます。 OVO 管理サーバーと管理対象ノードで使えるコマンド • ovcoreid (OpenView の一意なシステム ID) ovcoreid は、ローカルシステムで既存の OvCoreId 値を表示したり、新しい OvCoreId を 作成または設定したりするためのコマンドです。 このツールの使用方法は、ovcoreid(1) のマンページを参照してください。 • ovc (OpenView のプロセス制御 ) ovc では、OpenView 制御サービス ovcd に登録されているすべてのコンポーネントについ て、起動 / 停止、イベント通知、およびステータスレポートを制御することができます。対 象にできるコンポーネントは、サーバープロセス、エージェント ( たとえば、Performance Agent や Discovery Agent)、イベントインターセプタ、あるいは、システムインテグレータ によって加えられたアプリケーションなどです。 このツールの使用方法は、ovc(1) のマンページを参照してください。 • bbcutil bbcutil は、OV 通信ブローカを制御するためのコマンドです。 このツールの構文と使用方法は、bbcutil(1) のマンページを参照してください。 • ovconfget インストールされている OpenView コンポーネントには対応する設定ファイルがあり、そこ に、1 つまたは複数の名前空間が定義されています。設定ファイルはシステム全体、または 指定した高可用性リソースグループに適用されます。名前空間は、あるコンポーネントに属 するひとまとまりの設定を表します。設定ファイルに定義されている設定はすべて、 settings.dat 設定データベースにその複製が作成されます。 ovconfget は、指定したそれぞれの名前空間について、指定した属性の値を返すとともに、 それを stdout に書き出します。引き数を指定しないで ovconfget を実行すると、すべての 名前空間のすべての属性が stdout に書き出されます。 このツールの使用方法は、ovconfget(1) のマンページを参照してください。 • 42 ovconfchg 第1章 OVO HTTPS エージェントの概要 OVO の HTTPS 通信管理コマンド インストールされている OpenView コンポーネントには対応する設定ファイルがあり、そこ に 1 つまたは複数の名前空間が定義されています。名前空間は、あるコンポーネントに属す るひとまとまりの設定を表します。 ovconfchg を使うことで、システム全体に適用する設定ファイルの操作、指定した高可用性 リソースグループに適用する設定ファイルの操作、設定データベースの更新、および通知ス クリプトの起動を行うことができます。 このツールの使用方法は、ovconfchg(1) のマンページを参照してください。 • ovpolicy ovpolicy は、ローカルなポリシーやテンプレートを管理するためのコマンドです。ポリ シーやテンプレートは、ネットワーク、システム、サービス、およびプロセスの管理を自動 化するために、その仕様や規則などの情報をまとめたものです。ポリシーやテンプレートを すべての管理対象システムに配布することで、ネットワーク全体にわたって一貫性のある管 理を自動的に行うことができます。ポリシーやテンプレートは、カテゴリに分類してまとめ ることができます。各カテゴリに 1 つまたは複数のポリシーを含ませることができます。ま た、どのカテゴリにも、名前と値のペアで表す属性を複数個定義できます。 ovpolicy を使うことで、ローカルなポリシーやテンプレートのインストール、削除、有効 化、無効化が行えます。このツールの使用方法は、ovpolicy(1) のマンページを参照してく ださい。 第1章 43 OVO HTTPS エージェントの概要 OVO の HTTPS 通信管理コマンド 管理対象ノードで使えるコマンド • ovcert ovcert は、HTTPS ノード上で証明書クライアントを通して証明書の管理を行うためのコマ ンドです。実行可能な管理は、証明書サーバーに対する新しい証明書リクエストの発行、管 理対象ノード証明書の追加と秘密鍵のインポート、信頼できるルート証明書への証明書の追 加、証明書のステータスチェックなどです。 このツールの使用方法は、ovcert(1) のマンページを参照してください。 OVO 管理サーバーで使えるコマンド • opccsacm ( 証明書サーバーアダプタ制御マネージャ ) opccsacm は、HP OpenView サーバー上で新しいノード証明書とインストールキーを手作 業で発行するためのコマンドです。また、このコマンドで OVO のデータベースを変更し、 証明書の管理操作で発生した変更点を反映することもできます。 このツールの使用方法は、opccsacm(1m) のマンページを参照してください。 • opccsa ( 証明書サーバーアダプタ ) opccsa コマンドでは、保留されている証明書リクエストのリスト表示、証明書リクエスト と OVO データベース内のターゲットノードとのマッピング、および指定された証明書リク エストの承諾 / 拒否 / 削除を行うことができます。 このツールの使用方法は、opccsa(1m) のマンページを参照してください。 44 第1章 2 HTTPS 通信の概念 第2章 45 HTTPS 通信の概念 OVO における HTTPS 通信 OVO における HTTPS 通信 HTTPS 1.1 をベースにした通信は、HP OpenView 製品で使用されている最新の通信技術であ り、これを使えば、アプリケーションが異機種システム間でデータ交換を行うことが可能になり ます。 HTTPS 通信が使われている OpenView 製品では、OpenView 製品相互だけでなく、他の業界標 準の製品とも簡単に通信できます。また、ネットワーク上の既存ソフトウェアと通信できる新し いソフトウェアが作り易くなるとともに、使用中のファイアウォールや HTTP プロキシとも容 易に統合できます。図 2-1 に HTTPS 通信の例を示します。 図 2-1 46 HP OpenView Operations における通信の概要 第2章 HTTPS 通信の概念 利点 利点 HTTPS 通信には、次の大きな利点があります。 • ファイアウォールとの親和性 • 安全性 • オープン • スケーラブル ファイアウォールとの親和性 近年、ファイアウォールを使った通信を安全で信頼性が高くしかも管理の容易な方法で実現した いと望む組織が、ますます増えつつあります。そうした組織のほとんどでは、HTTP、HTTP プ ロキシ、ファイアウォールといった技術がすでに当たり前の技術として使われており、身近なも のとなっています。また、その IT 環境も、すでに HTTP プロキシとファイアウォールを通して 通信できるように構築されています。ほとんどの IT インフラストラクチャですでにその一部と なっている技術を利用すれば、新しいトレーニングを行わなくても、さらに効率的で効果の高い 実装と運用が可能となります。その結果、サポートや保守に必要なコストが減るとともに、少な い努力で安全性の高い環境を構築することができます。 第2章 47 HTTPS 通信の概念 利点 図 2-2 に、ファイアウォールを越えて HTTPS 通信が行われる様子を示します。 図 2-2 ファイアウォール経由の通信で HTTPS を使用する方法 安全性 HP OpenView の HTTPS 通信は、ネットワーキングの信頼性を高める業界標準の TCP/IP プロ トコルをベースにしています。HTTPS 通信では、データにアクセスできる人を認証によって検 証するとともに、暗号化を行って安全なデータ交換を実現しますが、そのために SSL (Secure Socket Layer) プロトコルを使います。ビジネス環境では、インターネットやプライベートなイ ントラネットを経由したトランザクションの送受信が以前よりもはるかに増加しており、セキュ リティと認証が非常に重要な役割を果たすようになってきています。 HP OpenView の HTTPS 通信では、実績のある業界標準を使うことでこの目標を達成してお り、HTTP プロトコルと、SSL を使った暗号化と認証によって、データの整合性とプライバシ を保証しています。また、データは特に指定しなくてもデフォルトで圧縮されます。そのため、 非 SSL 接続であっても、データがクリアテキスト形式のまま送信されるということはありませ ん。 さらに、次の特長もあります。 • リモートから到着するメッセージとリクエストは、すべてそのノードの通信ブローカを経由 します。つまり通信ブローカがノードのただ一つの入口となります。 • ファイアウォールを設定するときに、バインドポートの範囲を制限することができます。 48 第2章 HTTPS 通信の概念 利点 • 1 つまたは複数の標準 HTTP プロキシを設定することで、メッセージ、ファイル、またはオブ ジェクトをリモートシステムへ送信する際にファイアウォールを経由させることができま す。 図 2-3 に、ファイアウォール経由の通信を標準的な HTTP プロキシを使って行う方法を示しま す。 図 2-3 ファイアウォール経由の通信を外部の HTTP プロキシを使って行う 方法 HTTPS 通信とプロキシを使えるようにするためには、次の作業が必要です。 • HTTP プロキシサーバーの設定 • SSL による暗号化の実装 • サーバー証明書を使うサーバー側認証環境の準備 • クライアント証明書を使うクライアント側認証環境の準備 HP OpenView でこれらの作業を行う方法は、この後の章で説明します。 オープン HP OpenView の HTTPS 通信は、業界標準の HTTP 1.1 プロトコルと SSL ソケットをベースに 実現されています。HP OpenView が、HTTP、SSL、SOAP といった標準にこだわるのは、既 存の HTTP インフラストラクチャを最大限利用できるようにするためです。たとえば、HTTP 第2章 49 HTTPS 通信の概念 利点 メッセージのコンテンツフィルタリング (SSL や圧縮機能を使わない ) を使うことでも、ファイ アウォールを確実に構築することができます。セキュリティは、複数の場所でセキュリティ層を 実装することにより最適のものが実現できます。そのような特別なセキュリティ層の追加に利用 できる強力なツールが、コンテンツフィルタリングです。 HTTP プロキシは、現在のネットワークで広く使われています。HTTP プロキシを使うことでプ ライベート ネットワークとインターネットとの接続の安全性が高まります。HTTP の使用に よって HP OpenView の利用可能な範囲が広まり、既存のインフラストラクチャをさらに有効に 利用できるようになります スケーラブル HP OpenView の HTTPS 通信は、環境の規模や送受信するメッセージの数とは無関係に、適切 に機能するように設計されています。また、HP OpenView の HTTPS 通信は、動作環境に合わ せて設定することができます。規模の大きいアプリケーションでは、最小限のリソースで多くの 接続を同時に処理できます。設定されている最大接続数を超過すると、ログファイルにその記述 が作成され、その情報をもとに警告メッセージが出力されます。 50 第2章 3 セキュリティの概念 第3章 51 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント HTTPS ベースのセキュリティコンポーネント HP OpenView 管理サーバーとの間で通信する管理対象ノードには、HP OpenView 証明書サー バーが発行する、業界標準の有効な X509 証明書が必要です。また、SSL (Secure Socket Layer) プロトコルを使って管理する環境内では、管理対象ノードを識別するために、1024 ビットの鍵 で署名された証明書が必要です。2 つの管理対象ノード間で「SSL ハンドシェーク」が成功する のは、入力側管理対象ノードの提示した証明書の発行局が、受信側管理対象ノードで信頼のおけ る発行局であると証明された場合に限ります。証明書の作成と管理を担当する主要な通信セキュ リティコンポーネントは、次のとおりです。 • HP OpenView 証明書サーバー • HP OpenView キーストア • HP OpenView 証明書クライアント 図 3-1 にこれらのコンポーネントを示します。 図 3-1 認証に関係する通信コンポーネント HTTPS エージェントを置く各システムでは、そのシステムに HP OpenView ソフトウェアをイ ンストールするときに一意な ID が作成され、パラメータ OvCoreId に割り当てられます。 52 第3章 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント 注記 HTTPS 管理対象ノードに対して作成された OvCoreId は、DHCP などによって システムのホスト名や IP アドレスが変更されても、変更されることはありませ ん。 各 OpenView システム ( 管理対象ノードまたはサーバー ) の OvCoreId は、対応する管理対象 ノード証明書に格納され、一意な ID として使われます。OvCoreId の値は、インストール中に 割り当てられます。 図 3-2 に、認証された状態の通信環境を示します。 図 3-2 第3章 認証された状態の通信環境 53 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント 1. サーバーシステムに証明書サーバーが置かれています。このシステムが認証局 (CA) の役割を 果たします。 2. 各システムに、証明書サーバーが認証局の秘密鍵を使って署名した証明書が置かれていま す。 3. サーバーシステムにも、その身元を証明するための証明書が必要です。 4. 各システムに、信頼できるルート証明書のリストが置かれています。このリストには、少な くとも 1 つのルート証明書が載っている必要があります。信頼できるルート (CA) 証明書は、 通信相手の ID を確認するために使います。つまり、通信相手から提示してきた証明書が、 信頼できる証明書のリストから確認できた場合に限って、その通信相手が信頼できる相手で あると判定します。 証明書クライアントが複数の HP OpenView 管理サーバーから管理されている場合には、信 頼できるルート証明書のリストが必要です。たとえば、管理対象ノードが複数の OVO 管理 サーバーから同時に管理されている場合などがこれに該当します。 54 第3章 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント 証明書 証明書には次の 2 つの種類があります。 • ルート証明書 • 管理対象ノード証明書 ルート証明書は自己署名のある証明書で、証明書サーバー内の認証局の身元を確認するための情 報が含まれています。ルート証明書に属する秘密鍵は証明書サーバーシステムで保管され、許可 のないアクセスから保護されています。認証局では、どの証明書の電子署名にもルート証明書を 使います。 管理されている環境では、すべての HTTPS 管理対象ノードが、証明書サーバーの発行した管理 対象ノード証明書と、それに対応してファイルシステムに格納された秘密鍵、およびその環境で 有効なルート証明書を受け取ります。この処理は、その管理対象ノードで動作している証明書ク ライアントが行います。 注記 管理対象ノード証明書には、一意な ID である OvCoreId が含まれています。 OvCoreId の例を、次に示します。 d498f286-aa97-4a31-b5c3-806e384fcf6e 各管理対象ノードは、管理対象ノード証明書を使うことで安全に認証できます。 管理対象ノード証明書は同じ環境内の他のすべての管理対象ノードでその信憑性 を確認できる必要がありますが、その確認は、ルート証明書を使った署名の確認 で行います。 クライアントの認証とサーバーの認証を行う 2 つの HTTPS 管理対象ノード間で SSL ベースの接続を確立する際は、この管理対象ノード証明書を使います。SSL ベースの接続はすべての通信を暗号化するように設定します。 証明書クライアントに用意されている ovcert ツールを使うことで、キーストアの内容をリスト にして表示したり、インストールされている証明書に関する情報を表示したりできます。 ovcert ツールの説明は、ovcert のマンページを参照してください。 第3章 55 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント HP OpenView 証明書サーバー 証明書サーバーが担当する機能は、次のとおりです。 • 自己署名付きルート証明書の作成とインストール • ファイルシステムからの自己署名付きルート証明書のインポート • ルート証明書の秘密鍵の保管 • 証明書リクエストの承諾または拒否 • 新しい証明書とそれに対応する秘密鍵の作成、または、証明書を手作業でインストールする ためのインストールキーの作成 • 信頼できるルート証明書をクライアントが自動検索できるようにするためのサービス 認証局 注記 すべての OVO 管理サーバーは、自動的に認証局として設定されます。各エー ジェントに対する sec.cm.client:CERTIFICATE_SERVER のデフォルト設定は、 所属する OVO 管理サーバーです。 認証局は証明書サーバーを構成する要素のひとつで、証明書管理に必要な信用の核になっていま す。この認証局の署名した証明書はすべて有効な証明書と見なされ、信頼のおける証明書として 扱われます。認証局は、機密性が非常に高くて安全な場所に置く必要があります。特に指定しな い限り、認証局は、HP OpenView 管理サーバーの置かれているシステムにインストールされま す。OVO 管理サーバーシステムはその一例です。 認証局は、信頼性の大本 ( ルート ) になっているので、自己署名付きルート証明書を使ってその 役割を果たします。認証局の動作に必要なルート証明書とそれに対応する秘密鍵は作成される と、ある一定水準の保護を提供するファイルシステムに保管されます。認証局の初期化が正常に 終了した後は、承諾する証明書リクエストに対して、この認証局がルート証明書を使って署名す ることになります。 56 第3章 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント 証明書クライアント 証明書クライアントは管理対象ノードで動作し、証明書サーバー側の証明書リクエストハンド ラーの相手方として、その役割を果たします。 証明書クライアントは、次のように動作します。 • 証明書クライアントは、その管理対象ノードに有効な証明書があるかどうかをチェックしま す。 • その管理対象ノードに証明書がない場合は、ペアとなる新しい公開鍵と秘密鍵を生成し、そ の管理対象ノードの一意な ID (OvCoreId の値 ) を使って証明書リクエストを作成します。 証明書クライアントはこの証明書リクエストをその他の管理対象ノードのプロパティと一緒 に証明書サーバーへ送り、そのレスポンスを待ちます。 管理対象ノードの DNS 名や IP アドレスといったその他の管理対象ノードのプロパティは、 証明書サーバーで、証明書リクエストがどのシステムから発行されたかを調べたり、そのリ クエストの承諾可否を判断したりするための情報として使われます。 • 証明書クライアントは、新しい証明書を受け取ると、その証明書を管理対象ノードにインス トールします。インストールが完了すると、証明書クライアントは、HTTPS ベースのすべ ての通信にこの証明書を使います。 リクエストが正常に処理されなかった場合は、そのことを説明したエラー情報がログに格納 され、対応するステータスが設定されます。 証明書クライアントには、この他に次の機能があります。 • 証明書サーバーにアクセスして信頼できる最新のルート証明書を入手し、自分のところにあ るルート証明書を更新する機能。この機能は、コマンド行ツール ovcert などを使って行う ことができます。詳細は、ovcert のマンページを参照してください。 • ファイルシステムから管理対象ノード証明書とそれに対応する秘密鍵をインポートする機 能。この機能は、コマンド行インタフェース ovcert を使って行えます。詳細は、145 ペー ジの「手作業の分配に使う証明書を作成する方法」と 149 ページの「インストールキーを 使って証明書を手作業で分配する方法」を参照してください。非常に高い機密性が必要なシ ステムでは、証明書を手作業でインストールすることもできます。 • 信頼できるルート証明書のインポート。 • ステータス情報の表示。ステータスの値には、「OK、valid certificate ( 有効な証明書 )」、「証明書がインストールされていません」 、 「certificate requested ( 証明書リクエス ト )」 、および「証明書リクエストが拒絶されました」があります。 第3章 57 セキュリティの概念 HTTPS ベースのセキュリティコンポーネント ルート証明書の更新と分配 1 つまたは複数の管理対象ノードについて、信頼できるルート証明書を更新したい場合がありま す。このような状況は、たとえば、HP OpenView 証明書サーバーが複数個ある場合などに発生 します。 このようなとき、現在の信頼できるルート証明書をすべて証明書クライアントに安全な方法で送 信することもできます。また通常は、認証局のルート証明書を送信するだけで十分です。しか し、同じ環境内に認証局が複数ある場合などは、特定の証明書クライアントに 1 つまたは複数の ルート証明書を分配して追加したいこともあります。 このような場合は、コマンド行ツール ovcert で証明書クライアントの「信頼できるルート証明 書の更新」機能を使います。詳細は、ovcert のマンページを参照してください。 58 第3章 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ マネージャ オブ マネージャ (MoM) 環境のセキュリティ マネージャ オブ マネージャ環境で証明書サーバーを利用するには、次の 2 種類の方法がありま す。 • 証明書サーバーが複数個ある環境 • MoM 環境での共有 CA の構築 証明書サーバーが複数個ある環境 管理対象環境内に証明書サーバーが複数個存在することがあります。証明書サーバーがそれぞれ 動作している 2 つの既存の管理対象環境を統合して 1 つの環境にした場合、このような状況が発 生します。このような状況を合併と呼びます。 このような環境では、両方の証明書サーバーが、それぞれ自分の署名したルート証明書を使いま す。そのため、一方の証明書サーバーにだけ属しているすべてのクライアントは、もう一方の証 明書サーバーにだけ属しているすべてのクライアントを信頼できません。この問題は、一方の証 明書サーバーのルート証明書をもう一方の証明書サーバーの信頼できるルート証明書へそれぞれ 追加することで解決できます。このようにした後、管理対象環境内のそれぞれのクライアントに 対して、自分の属する証明書サーバーから更新されたルート証明書のリストを受信するように指 示します。 エージェントが複数の管理サーバーで管理されている場合には、何らかの証明書管理設定を行う 必要があります。デフォルトでは、各 OVO サーバーが独自の認証局を持ち、エージェントはこ の認証局が承認する証明書だけを信頼します。MoM 環境の場合には、2 つ以上のマネージャ間 に信頼関係を確立し、それらの環境間で互いに通信できるようにする必要があります。 一般的な仕組みは、以下のものがあります。 • 2 つの既存の MoM 環境の合併 • 2 番目の OVO 管理サーバーにおける証明書の取り扱い • MoM 環境での共有 CA の構築 これらの仕組みについて、以降で詳細に説明します。 2 つの既存の MoM 環境の合併 エージェント AM1 を持つサーバー M1 に属する環境と、エージェント AM2 を持つサーバー M2 に属する環境があるとします。各サーバーには独自の認証局があるとします。 以下の手順を実行して、2 つの環境を合併します。 第3章 59 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ 注記 HA 環境および非 HA 環境とも同様な方法で処理します。次の手順は、両方の環 境でのインストールに使用できます。 1. 管理サーバーにある信頼できる証明書を同期化します。すなわち、M1 は M2 のルート証明書 を受け取り、M2 は M1 のルート証明書を受け取ります。 図 3-3 管理サーバー上の信頼できる証明書の同期化 a. OVO 管理サーバー M1 で、以下のコマンドを実行します。 ovcert -exporttrusted -ovrg server -file <my_file> b. <my_file> を、たとえば、ftp を使って、OVO 管理サーバー M2 へコピーします。 c. M2 で以下のコマンドを実行します。 ovcert -importtrusted -ovrg server -file <my_file> d. 以上の手順を管理サーバー M2 についても繰り返します。 e. M1 と M2 が互いに他方のルート証明書を持っていることを確認するには、両方の管理 サーバーシステムで、以下のコマンドを実行します。 ovcert -list 60 第3章 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ 2 つの信頼できる証明書が表示されます。 2. [OVO 登録アプリケーション ] で、 [ 信用の更新 ] アプリケーションを使って各管理対象ノード上 のローカル ルート証明書をアップデートします。 [ 証明書ツール -> 信用の更新 ] 図 3-4 注記 管理対象ノード上のローカル ルート証明書の更新 クラスタ構成では、エージェントとサーバーのローカル 証明書は同じではあ りません。 各管理サーバーで、必要な管理対象ノードをすべて選択し、アプリケーションを実行しま す。エージェントは証明書サーバーにアクセスして、新しいルート証明書を要求します。 アップデートされたことを確認するには、各管理対象ノードで次のコマンドを実行します。 ovcert -list 2 つの信頼できる証明書が表示されます。 注記 第3章 この操作は各管理対象ノードで実行することもできます。各管理対象ノード にログインして、次のコマンドを実行します。 61 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ ovcert -updatetrusted 注記 ここでの説明では、証明書サーバーは管理サーバーと同じサーバーに存在し ます。 3. 他方の管理サーバーを、通常のノードとして OVO 登録ノードに設定します。M1 を M2 の登 録ノードに OvCoreId と共に追加する必要があります。さらに、M2 を M1 の登録ノードに OvCoreId と共に追加する必要があります。 a. 次のようにして、ノード M1 を M2 の登録ノードに追加し、ノード M2 を M1 の登録ノー ドに追加します。 管理者 GUI で次のように選択します。 [ アクション -> ノード -> 追加 ] 注記 : 次のようにコマンド行ツールを使うこともできます。 ノード M1 で、次のコマンドを入力します。 opcnode -add_node node_name=<M2> ¥ net_type=<network_type> mach_type=<machine_type> ¥ group_name=<node_group_name> M2 で、次のコマンドを入力します。 opcnode -add_node node_name=<M1> ¥ net_type=<network_type> mach_type=<machine_type> ¥ group_name=<node_group_name> b. M1 の OvCoreId は、次のようにして M2 のデータベースに保存する必要があります。 M1 で ovcoreid コマンドを呼び出して、M1 の OvCoreId を表示します。 ovcoreid -ovrg server 表示された値をメモしてください。 M2 で opcnode コマンドを呼び出して、M2 のデータベースに M1 の OvCoreId を追加 します。 opcnode -chg_id node_name=<M1> id=<core_id_of_M1> c. M2 の OvCoreId は、次のようにして M1 のデータベースに保存する必要があります。 M2 で ovcoreid コマンドを呼び出して、M2 の OvCoreId を表示します。 62 第3章 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ ovcoreid -ovrg server 表示された値をメモしてください。 M1 で opcnode コマンドを呼び出して、M1 のデータベースに M2 の OvCoreId を追加 します。 opcnode -chg_id node_name=<M2> id=<core_id_of_M2> 次のコマンドを実行することによって、ノードがデータベースに正しく追加されたことを確 認できます。 a. M1 で次のコマンドを入力します。 opcnode -list_id node_list=<M2> ノード M2 の OvCoreId が表示されます。 b. M2 で次のコマンドを入力します。 opcnode -list_id node_list=<M1> ノード M1 のコア ID が表示されます。 注記 メッセージを表示するには、アップロードしたノードを ノードグループ に追 加する必要があります。 4. 両方のサーバーで担当マネージャのポリシーを作成または改版し、それぞれのエージェント に配布します。 5. opccfgupld と opccfgdwn を使って登録ノードを同期化します。M1 は M2 のエントリーを、 M2 は M1 のエントリーをそれぞれの OvCoreId と共に受け取ります。 2 番目の OVO 管理サーバーにおける証明書の取り扱い 2 番目の OVO 管理サーバーが独自の認証局を持ち、バックアップ管理サーバーまたは専門技術 センターとして使われるものとします。サーバー M1 はエージェント AM1 を持ち、サーバー M2 には最初はエージェントがないものとします。 1. 管理サーバーにある信頼できる証明書を同期化します。すなわち、M1 は M2 のルート証明書 を受け取り、M2 は M1 のルート証明書を受け取ります。 a. OVO 管理サーバー M1 で、以下のコマンドを実行します。 ovcert -exporttrusted -ovrg server -file <my_file> 第3章 63 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ b. <my_file> を、たとえば、ftp を使って、管理サーバー M2 へコピーします。 c. M2 で以下のコマンドを実行します。 ovcert -importtrusted -ovrg server -file <my_file> d. 以上の手順を管理サーバー M2 についても繰り返します。 e. M1 と M2 が互いに他方のルート証明書を持っていることを確認するには、両方の管理 サーバーシステムで、以下のコマンドを実行します。 ovcert -list 2 つの信頼できる証明書が表示されます。 2. [アプリケーションデスクトップ]で、[信用の更新]アプリケーションを使ってM1のルート証明 書をアップデートします。 [ 証明書ツール -> 信用の更新 ] M1 で AM1 を選択し、アプリケーションを実行します。エージェントは証明書サーバーに アクセスして、新しいルート証明書を要求します。 注記 上記作業は、管理対象ノードで以下のコマンドを入力して、実行することも できます。 ovcert -updatetrusted 注記 ここでの説明では、証明書サーバーは管理サーバーと同じサーバーに存在し ます。 3. 他方の管理サーバーを、通常のノードとして OVO 登録ノードに設定します。M1 を M2 の登 録ノードに OvCoreId と共に追加する必要があります。さらに、M2 を M1 の登録ノードに OvCoreId と共に追加する必要があります。 a. 次のようにして、ノード M1 を M2 の登録ノードに追加し、ノード M2 を M1 の登録ノー ドに追加します。 Motif の管理者 GUI で次のように選択してください。 [ アクション -> ノード -> 追加 ] 注記 : 次のようにコマンド行ツールを使うこともできます。 ノード M1 で、次のコマンドを入力します。 64 第3章 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ opcnode -add_node node_name=<M2> ¥ net_type=<network_type> mach_type=<machine_type> ¥ group_name=<node_group_name> M2 で、次のコマンドを入力します。 opcnode -add_node node_name=<M1> ¥ net_type=<network_type> mach_type=<machine_type> ¥ group_name=<node_group_name> b. M1 の OvCoreId は、次のようにして M2 のデータベースに保存する必要があります。 M1 で ovcoreid コマンドを呼び出して、M1 の OvCoreId を表示します。 ovcoreid -ovrg server 表示された値をメモしてください。 M2 で opcnode コマンドを呼び出して、M2 のデータベースに M1 の OvCoreId を追加 します。 opcnode -chg_id node_name=<M1> id=<core_id_of_M1> c. M2 の OvCoreId は、次のようにして M1 のデータベースに保存する必要があります。 M2 で ovcoreid コマンドを呼び出して、M2 の OvCoreId を表示します。 ovcoreid -ovrg server 表示された値をメモしてください。 M1 で opcnode コマンドを呼び出して、M1 のデータベースに M2 の OvCoreId を追加 します。 opcnode -chg_id node_name=<M2> id=<core_id_of_M2> 次のコマンドを実行することによって、ノードがデータベースに正しく追加されたことを確 認できます。 a. M1 で次のコマンドを入力します。 opcnode -list_id node_list=<M2> ノード M2 の OvCoreId が表示されます。 b. M2 で次のコマンドを入力します。 opcnode -list_id node_list=<M1> ノード M1 の OvCoreId が表示されます。 第3章 65 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ 注記 メッセージを表示するには、アップロードしたノードを ノードグループ に追 加する必要があります。 4. 両方のサーバーで担当マネージャのポリシーを作成または改版し、それぞれのエージェント に配布します。M1 は、担当マネージャのポリシーをすべての管理対象ノードに配布する必 要があります。この場合、M1 および AM1 が管理対象ノードになります。M2 のローカル エージェントが M1 の環境に属していなかった場合、M2 は M2 のローカルエージェントに 担当マネージャのポリシーを配布する必要があります。 5. opccfgupld と opccfgdwn を使って登録ノードを同期化します。M2 は M1 のすべてのエー ジェントから受信し、M1 は M2 のローカルエージェントを ( データベースに格納済みでなけ れば ) ロードします。 MoM 環境での共有 CA の構築 ここまでで、別々の認証局を持った環境を合併する方法について、説明してきました。1 つの認 証局だけで構成することも可能ではあります。ただし、これは OVO MoM 管理対象環境をセッ トアップする前に充分な検討をしておく必要があります。 注記 既存の環境で 2 つの認証局を使用している場合、CA の共有は推奨される構成方 法ではありません。一方の CA から承諾された証明書をすべて置き換えることが 必要になる可能性があるためです。 また、すべての OVO 管理サーバーとその管理対象ノードが 1 つの認証局に依存します。 M1 には認証局があり、M2 にはそれがないものとします。 以下の手順を実行します。 1. M2 をインストールしたら、次のコマンドを使ってただちにローカルの証明書を削除します。 ovcert -remove <cert_id> 66 第3章 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ ovcert -remove -ovrg server <cert_id> 図 3-5 M2 管理サーバーから証明書を削除 2. 次のようにして、M1 の登録ノードに M2 を追加します。 ノード M1 で管理者 GUI を使用します。 [ アクション -> ノード -> 追加 ] 注記 : 次のようにコマンド行ツールを使うこともできます。 M1 で次のコマンドを入力します。 opcnode -add_node node_name=<M2> ¥ net_type=<network_type> mach_type=<machine_type> ¥ group_name=<node_group_name> 3. M1 で以下のコマンドを実行して、M2 用の証明書を作成します。 opccsacm -issue -name <M2> -coreid <core_ID_M2> ¥ -file <M2_cert> -pass <password> 注記 M2 の OvCoreId を表示するには、M2 システムで、以下のコマンドを実行し ます。 ovcoreid -ovrg server opccsacm の実行では、M2 の OvCoreId のデータベースへの追加も行なわれます。 第3章 67 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ 4. 証明書を M2 (HA サーバー ) へコピーし、それをサーバーの証明書としてインストールしま す。 ovcert -importcert -ovrg server -file <my_cert> ¥ -pass <password> M2 が OVO HA クラスタサーバーではない場合には、リソースグループの server オプショ ンを指定せずにこのコマンドを実行し、ノード証明書をインストールします。 ovcert -importcert -file <my_cert> -pass <password> M2 が HA システムである場合には、各物理ノードに追加のノード証明書を作成します。M1 で以下のコマンドを実行します。 opccsacm -issue -name <hostname_M2_cluster_node> ¥ -coreid <OvCoreId_M2_cluster_node> -file <my_cert> ¥ -pass <password> ノード証明書を M2 クラスタノードにコピーし、以下のコマンドを実行して、インストール します。 ovcert -importcert -file <my_cert> -pass <password> 図 3-6 68 M1 での M2 証明書発行と M2 へのインストール 第3章 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ 5. bbc_inst_defaults ファイルにエントリーを追加することによって、M2 によってインス トールされるすべての管理対象ノードに、それらの証明書サーバーが M1 であることを認識 させます。このファイルはエージェントのインストール用のプロファイルを自動的に生成す るために使われます。このファイルは次の場所にあります。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults 注記 このファイルが存在しない場合には、次のサンプルファイルをテンプレート として直ちにファイルを作成してください。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults.sampl bbc_inst_defaults ファイルに、名前空間と証明書サーバーを追加します。 [sec.cm.client] CERTIFICATE_SERVER <hostname_M1> M2 のローカルエージェントで、以下のコマンドを実行します。 ovconfchg -ns sec.cm.client -set ¥ CERTIFICATE_SERVER <hostname_M1> 6. M1 で、M2 の OvCoreId を信頼できる OvCoreId として指定します。 ovconfchg -ovrg server -ns opc -set ¥ OPC_TRUSTED_SERVER_COREIDS <M2's OvCoreId> 共有 CA 環境で管理サーバーが 3 つ以上ある場合、さらにいくつかのステップを行う必要が あります。管理サーバーが M1、M2、M3 の 3 つあるとすると、M1 では、CA のルート証 明書をインストールし、M2、M3 では、M1 で発行された共有 CA 情報を受信します。さら に次のステップも完了する必要があります。 a. 認証局を持っている管理サーバー M1 で、信頼できる OvCoreId リストを指定します。こ のリストは、MoM 環境のすべての管理サーバー OvCoreId を示したカンマ区切り形式 のリストで、管理サーバー M1 の OvCoreId は除いたものです。 M1 で、M2 と M3 の OvCoreId を信頼できる OvCoreId として指定します。 ovconfchg -ovrg server -ns opc -set ¥ OPC_TRUSTED_SERVER_COREIDS <OVCoreID_M2>,<OVCoreID_M3> b. 共有 CA を持つ他の管理サーバー ( たとえば、M2、M3) で、信頼できる OvCoreId のリス トを指定します。このリストは管理サーバー OvCoreId のカンマ区切り形式のリストか らなるもので、MoM 環境のすべての管理サーバー OvCoreId を含んでいます。ただし、 次の OvCoreId を除いたものです。 第3章 69 セキュリティの概念 マネージャ オブ マネージャ (MoM) 環境のセキュリティ • 以下のコマンドを実行するローカル管理サーバー • 認証局を持つ管理サーバー (M1) M2 で、M3 の OvCoreId を信頼できる OvCoreId として指定します。 ovconfchg -ovrg server -ns opc -set ¥ OPC_TRUSTED_SERVER_COREIDS <OVCoreID_M3> M3 で、M2 の OvCoreId を信頼できる OvCoreId として指定します。 ovconfchg -ovrg server -ns opc -set ¥ OPC_TRUSTED_SERVER_COREIDS <OVCoreID_M2> 7. 次のコマンドを使って、M2 のシステムから証明書サーバー (ovcs) コンポーネントを登録解 除します。 ovcreg -del ovcs 8. 両方のサーバーで担当マネージャのポリシーを作成または改版し、それぞれのエージェント に配布します。M1 は M2 によって管理されるすべてのエージェントに、担当マネージャの ポリシーを配布する必要があります。M2 のローカルエージェントが M1 の環境に属してい なかった場合、M2 は M2 のローカルエージェントに担当マネージャのポリシーを配布する 必要があります。 9. opccfgupld ツールおよび opccfgdwn ツールを使って、M1 の登録ノードの設定情報をダウ ンロードし、M2 にアップロードします。 70 第3章 セキュリティの概念 リモートアクションの許可 リモートアクションの許可 OVO 管理環境では、リモートアクションは、セキュリティの観点から、特殊な扱いが必要です。 環境内の指定されたリモートシステム上で実行されることになる偽のリモートアクションは、管 理サーバーには送信できないようにする必要があります。ただし、管理対象システムがすべて安 全なシステムであるとは限らないので、非常に難しい問題です。場合によっては、未承認のユー ザーでも root として管理対象ノードにアクセスできます。 また、サービスプロバイダで使用されている OVO 管理サーバーの一台は、複数の顧客環境を管 理する必要があります。このとき、特定の顧客セグメントに存在するシステムが別の顧客セグメ ントのアクションをトリガーしないことを保証する必要があります。 OVO は特定のコマンドなどのアクション文字列が悪意のあるユーザーによって改ざんされるこ とがないことを保証します。リモートアクションに関して、OVO 管理サーバーでは、以下の設 定が可能です。 • どのシステム上で OVO 管理サーバーがアクションを実行するかを指定。 • 許可するアクションを、HTTPS エージェントが発行する「署名付きアクション」に限定す るかを指定。 リモートアクションは、OVO メッセージに含まれるアクションリクエストで、メッセージの発 行元とは異なるアクション実行対象のシステムが指定されています。リモートアクションは、安 全に処理する必要があるため、次項で説明するセキュリティチェックの対象となります。リモー トアクションはこのセキュリティチェックを通過した場合にのみ実行されます。 一般的なルールは次のとおりです。 • リモートアクションは、自動アクションまたはオペレータ起動アクションとして指定しま す。これは、管理対象ノード A から送信された OVO メッセージの中で指定され、管理対象 ノード B で実行するように設定されます。このようなアクションは、次のファイルで制御す ることができます。 /etc/opt/OV/share/conf/OpC/mgmt_sv/remactconf.xml. • リモートアクションを含むメッセージを OVO 管理サーバーが受信すると、このファイルは修 正があれば再ロードされ、リモートアクション設定ファイルのルールに基づいてメッセージ が処理されます。 • リモートアクション設定ファイルが存在しない、空である、読み込みできない、またはルー ルが存在しない場合には、リモートアクションはすべて無効になります。 第3章 71 セキュリティの概念 リモートアクションの許可 • リモートアクションを含むメッセージは、設定内容と同じ順序でルールと照合されます。最 初の一致で結果が決まります ― deny 節に一致した場合は、メッセージ内のリモートアク ションは無効になり、メッセージに適切な注釈が追加されます。それ以外の場合は、メッ セージが正常に処理されます。allow 節に一致した場合は、メッセージは修正されません。 • メッセージがまったくルールと一致しなければ、deny ルールと一致したときと同様にリモー トアクションは無効になります。 • ルールに一致するのは、すべてのルール要素に AND 論理で一致した場合です。ルール要素 が省略されている場合 ( たとえば、<target> タグが指定されていない場合 )、任意の適切な メッセージの値に一致します。ただし、これは <certified> タグには適用されません。こ のタグが指定されなければ、デフォルトで true が適用されます (*)。 • リモートアクション設定ファイルに、ノードグループが存在しないなどのシンタックスエ ラーや論理エラーがあった場合には、構文解析を中断して、後続のルールをすべて無視しま す (*)。 • trust セクションはサポートされません (*) • certified タグは true ( デフォルト ) または false の値をとることができます。その意味は、 メッセージが証明されたソースから来たかものどうか、メッセージの証明書が確認されてい るかどうかです。事実上 DCE ノードからのメッセージは、 <certified>false</certified> のルールと一致し、HTTPS ノードからのメッセージは、 <certified>true</certified> のルールと一致します。 リモートアクションを許可するためのサーバーの設定 メッセージマネージャでは、OVO 管理サーバーにある設定ファイルを使ってリモートアクショ ンの許可を指定します。設定ファイルには、アクションの署名者として信頼できるシステムを定 義する trust セクションと、条件とアクションで構成されるルールのリストが含まれます。各ア クションリクエストは定義されている順番に条件がチェックされます。条件が成立した段階で、 アクションリクエストの処理は停止します。 条件を指定すると、ソースノード、ターゲットノード、署名など、アクションリクエストのプロ パティをチェックできます。アクションには、allow と deny の 2 種類を指定します。allow ア クションは、アクションリクエストを許可することを意味します。deny アクションは、アク ションリクエストを拒否することを意味します。 許可に関するデータは、アクションを許可しなかった理由と共にログに記録されます。アクショ ンが許可されなかった場合、アクションはメッセージから自動的に削除され、一致条件と署名の ステータス情報がメッセージの注釈に追加されます。許可されなかったメッセージが GUI 上に 表示されることはなく、そのため誤って実行されることもありません。 72 第3章 セキュリティの概念 リモートアクションの許可 ソースノードとターゲットノードは、それぞれノードグループまたは 1 つのノードと比較されま す。管理サーバーには専用のキーワードが使われます。 新しい設定ファイルが存在しなかったり、ルールを含んでいない場合には、すべてのリモートア クションは無効になります。管理サーバーの OvCoreId を含むデフォルトの設定ファイルが、製 品のインストールと同時にインストールされます。デフォルトの設定ファイルには、コメント形 式で、いくつかの例が含まれます。 メッセージマネージャは、起動時に次のファイルを読み込みます。 /etc/opt/OV/share/conf/OpC/mgmt_sv/remactconf.xml このファイルは、実行時に再読み込みすることも可能です。 設定ファイルの構文は、XML ベースで、以下のスキーマに従います。 図 3-7 第3章 リモートアクション設定ファイルの構文 73 セキュリティの概念 リモートアクションの許可 表 3-1 リモートアクション設定ファイルのコンポーネント 要素 説明 config config は、trust 要素と rule 要素のリストで構成されま す。 trust trust 要素は、nodeId 要素のリストで構成されます。各 nodeId 要素には、信頼できるノードの OvCoreId が含まれ ます。 rule 各 rule は以下のコンポーネントで構成されます。 • doc ( オプション ):説明文が含まれる。文字列 • if ( オプション ):条件が含まれる • allow アクション、または deny アクション allow アクション、または deny アクションは空で、ア クションの実行を許可、または拒否するかを定義しま す。 条件 条件は、一連のオプションのチェック項目で構成されます。 条件が成立するのは、含まれるすべてのチェック項目と一 致した場合だけです。チェック項目が定義されていない場 合、または 条件が定義されていない場合には、常に条件が 成立するとみなされます。 チェック項目には、以下の種類があります。 74 • source • target • certified 第3章 セキュリティの概念 リモートアクションの許可 表 3-1 リモートアクション設定ファイルのコンポーネント ( 続き ) 要素 説明 source アクションリクエストのソースノードをチェックするため に使われます。 target アクションリクエストのターゲットノードをチェックする ために使われます。 ソースノードとターゲットノードは、いずれも以下の選択 肢 ( 複数可 ) で構成されます。これらのチェックが成立する のは、いずれかの要素が一致した場合です。 • nodegroup nodegroup 要素には、OVO データベースに格納されて いるノードグループの名前が含まれます。要求した ノードがそのノードグループのメンバーの場合に、条 件が成立します。 • nodeId nodeId 要素には、OvCoreId が含まれます。この OvCoreId が要求したノードの ID の場合に、条件が成 立します。 • mgmtsrv mgmtsrv 要素は空です。要求したノードが管理サー バーの場合に、条件が成立します。 certified • nodeAddress • nodename certified チェック項目には、true と false の値が指定 できます。 true は、署名と証明書 ( 署名は証明書の所有者によって署 名されている ) が存在し、証明書の対象の OvCoreId が trust 要素にリストされている場合にだけ条件が成立しま す。 false を指定すると、その他のすべての場合に条件が成立 します。 第3章 75 セキュリティの概念 リモートアクションの許可 リモートアクション設定の例を、以下に示します。 <?xml version="1.0"?> <config xmlns="http://openview.hp.com/xmlns/Act/Config/2002/08"> <rule> <doc>Actions from Group2 to Group1 are always allowed</doc> <if> <source> <nodegroup>Group2</nodegroup> </source> <target> <nodegroup>Group1</nodegroup> </target> </if> <allow/> </rule> <rule> <doc>No actions from Group3 are allowed</doc> <if> <source> <nodegroup>Group3</nodegroup> </source> </if> <deny/> </rule> <rule> <doc>Actions to Group3 are allowed if certified</doc> <if> <target> <nodegroup>Group3</nodegroup> </target> <certified>true</certified> </if> <allow/> </rule> </config> 76 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 代行ユーザーによるエージェントの実行 UNIX システムの OVO プロセスは、通常、ユーザー root で動作し、Windows システムの場合 は System アカウントで動作します。root/ 管理者の特権を持つプロセスは、次のことが行えま す。 • OpenView のリソースへアクセスする。OpenView のファイルへアクセスできるのは、通常、 特権を持つアクセスだけに制限されています。 • ユーザーのアクセス権をアプリケーションに固有な値に変更する。 • ログファイルや設定ファイルなど、オペレーティングシステムのリソースへ直接アクセスす る。 • アプリケーションまたはオペレーティングシステムに固有なコマンドや実行可能プログラム を起動する。 IT 環境内のシステムのなかには高い機密性を必要とするものがあります。こうしたシステムで は、root の特権を持つプロセスの数を制限し、テスト済みで信頼の置ける少数のグループにだけ その特権を許す必要があります。また、クリティカルなシステムリソースを操作したプロセスが あれば、そのプロセスを正確に識別できた方が望ましいはずです。多くのアプリケーションが特 権ユーザーとして動作していると、こうした識別が困難です。 注記 ovswitchuser は、Windows プラットフォームの OVO HTTPS エージェントで はサポートされません。 UNIX 管理対象ノードシステム上の OVO ソフトウェアは、root の全部の特権を持たないユー ザーとして動作するように、設定することができます。このような動作形態は、「非 root で動作 させる」という用語でも表現します。エージェントを非 root で動作させるには、管理対象ノー ド上の OVO プロセスに対して、OpenView 以外のファイルと実行可能プログラムへアクセスで きる権利を与える必要があります。 UNIX システム上のすべての OVO HTTPS エージェントは、ovswitchuser ツールを使うこと で、非 root ユーザーで動作するように設定できます。 第3章 77 セキュリティの概念 代行ユーザーによるエージェントの実行 ovswitchuser ツールを使うと、特権が与えられた root ユーザーでなくても OVO 管理対象ノー ド上の UNIX HTTPS エージェントを実行できるようになります。ovswitchuser ツールは、次 のような変更を行います。 • 次のグループ所有権を変更する — インストールされているすべてのコンポーネントパッケージの登録済みファイルすべて — <OVDataDir>にあるすべてのファイルとディレクトリ(サブディレクトリ以下にあるもの もすべて含みます ) • オペレーティングシステムのデーモン / サービスの登録を変更して、新しいユーザーの下で OVO プロセスを起動する OVO エージェントを代行ユーザーで動作させる場合の制限 代行ユーザーで実行されるエージェントには、次の制限があります。 警告 OVO 管理サーバープロセスは、必ずユーザー root で実行する必要があります。 ovswitchuser ツールは、OVO 管理サーバーシステムでは使えません。 注記 Windows プラットフォームの OVO HTTPS エージェントは、ovswitchuser を サポートしません。Windows システムでは、System ユーザーで実行する必要が あり、他のどのユーザーにも切り替えることはできません。 • エージェントを実行するアカウントが適切な特権を持っている場合だけ、アクションが実行 されます。 • エージェントのアカウントに適切な特権が設定されていない場合は、オペレーティングシス テムのリソース ( ファイルなど ) にアクセスできません。 注記 78 sudo プログラムを実装すれば、アクセスの制限を回避することが可能です。 このプログラムを使うと、エージェントユーザーに対して、特定の操作を行 う権利を追加することができます。詳細は、87 ページの「UNIX エージェン トでの sudo プログラムの使用方法」を参照してください。 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 代行ユーザーが実行するエージェントの設定 システム環境の準備 警告 ovswitchuser.sh は、OVO 管理サーバーシステムでは使わないでください。 OVO 管理サーバーの OVO エージェントは、ユーザー root で実行する必要があ ります。 注記 ovswitchuser コマンドを使ってユーザーを変更したら、エージェントプロセス をユーザー root ではなく、新しく割り当てたユーザーのもとで実行する必要が あります。 エージェントが HTTPS エージェントの場合は、エージェントのグループとして UNIX グルー プを指定する必要があります。エージェントを動作させることのできるユーザーは、すべてこの グループに属する必要があります。 非 root の DCE エージェントを非 root の HTTPS エージェントに移行する場合には、注意しな ければならない項目がいくつかあります。たとえば、非 root の DCE エージェントが、グループ Security に属するユーザー OVO_Agent で動作していたとします。ユーザー OVO_Agent とスー パーユーザーを除くと、どのユーザーもこのエージェントの実行時ファイルを読むことができま せん。HTTPS エージェントの場合はグループレベルでパーミッションが設定され承諾されるの で、グループ Security に属するユーザーであれば、どのユーザーでもエージェントの実行時 データにアクセスできます。そのため、新しいグループ Security2 を作成して、ユーザー OVO_Agent を Security2 グループに編入する必要があります。そうしないと、グループ Security に属する他のユーザーからも、秘密鍵を含むエージェントの実行時データにアクセス できてしまいます。 注記 上述のケースで使ったユーザーとグループは、単なる例です。ユーザー名とグ ループ名は、自由に指定することができます。 DCE エージェントから HTTPS エージェントへ移行する場合、DCE エージェントユーザーが属 しているグループの他のすべてのユーザーが信頼できるユーザーであれば、非 root で動作させ る必要のある HTTPS エージェントに置き換える際に、何の移行手順も必要ありません。DCE エージェントで使われていた同じユーザーで、HTTPS エージェントを実行することができま す。 第3章 79 セキュリティの概念 代行ユーザーによるエージェントの実行 UNIX の umask の設定 - 「非 root」という概念は、エージェントを動作させるユーザーが特定 の UNIX グループに属していることを前提にしています。したがって、OV アプリケーションで 作成するファイルは、どのファイルのグループビットもセットされます。そのため、OV アプリ ケーションを専用ユーザーで動作させながらログファイルなどのリソースを共有する、というこ とも必要に応じて実現することができます。このことから、OV アプリケーションを実行する ユーザーには、適切な umask を設定することをお勧めします。 umask の設定は、02 をお勧めします。022 を設定すると、複数のアプリケーションが異なる ユーザーから実行された場合に問題を起こす可能性があります。 OVO エージェントだけがインストールされている場合と、すべてのアプリケーションが同じ ユーザーによって実行されている場合は、umask は設定する必要がありません。 UNIX 管理対象ノード上の代行ユーザーを使ったエージェントのインストール root の代行アカウントを使って管理対象ノードを実行するには、以下の手順を実行します。 1. OVO ソフトウェアを通常の手順で管理対象ノードにインストールします。 2. 以下のコマンドを実行して、エージェントを停止します。 ovc -kill 注記 次のコマンドは使わないでください。 ovc -stop これを使うと、エージェントプロセスは停止できますが、コア OpenView プ ロセスは停止しません。後でエージェントプロセスを再起動するには、以下 のコマンドを実行します。 ovc -start コアプロセスは root ユーザーのもとで動作しているので、すべての他のプロ セスも root ユーザーのもとで起動されます。 3. ユーザーの umask を設定して、グループパーミッションを与えます。 4. 次のように、ovswitchuser コマンドを実行します。/opt/OV/bin/ovswitchuser.sh -existinguser <my_user> ¥ -existinggroup <my_trusted_group> 5. 特に指定しない限り、OVO HTTPS エージェントのポートとして、ネットワーク通信用の ポート 383 が使われます。これは root ユーザーだけがオープンできる特権ポートです。 80 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 非 root エージェントのネットワーク通信を設定するには、次のポート選定の選択肢の中から いずれかを選ぶ必要があります。 予約された特権ポート 383 を続けて使う場合には、SUID ビットを以下の 1 番目に示す方法 で設定します。別のポートを使う場合には、以下の 2 番目に示す方法で ovconfchg コマン ドを使いポートを再設定します。 警告 • setuid の使用または PORTS 設定の変更のどちらかの方法で行う必要がありま す。 通信ブローカの実行可能プログラムに対して SUID ビットを設定する。こうすれば、予約 されている特権ポート 383 をそのまま使えます。この選択肢を選択すると、通信ブロー カはポートをオープンするときにだけ root 特権を使い、それ以外の動作はエージェント ユーザーに戻って行うようになります。 次のコマンドを使って、ovbbccb バイナリの setuid ビットを設定します。 chmod 4550 /opt/OV/bin/ovbbccb 次の設定コマンドを入力すると、ルートディレクトリを変更できます。 ovconfchg -ns bbc.cb -set CHROOT_PATH / • 非特権の ovbbccb ポートを選択する。ポートを 383 から、1024 より大きな値のポートに 変更します。 HTTPS エージェントについては、HTTPS エージェントが root ユーザーで動作してい ないシステムの通信ブローカポートを、非特権のポートに変更します。その結果、この 管理対象ノードの通信ブローカを使っているその他のアプリケーションには、すべて同 じ制限が適用されます。別のポートを使う場合には、「代行ユーザーが実行するエージェ ントのための OVO 管理サーバーの設定」を参照してください。 管理対象ノードで、次のコマンドを実行します。 ovconfchg -ns bbc.cb.ports -set PORTS ¥ <FULL_DNS_NODE_NAME>:<NEW_PORT_NUMBER> 6. 次のコマンドを使用してエージェントを再開します。 ovc -start 第3章 81 セキュリティの概念 代行ユーザーによるエージェントの実行 代行ユーザーが実行するエージェントのための OVO 管理サーバーの設定 管理対象ノードでデフォルトの 383 以外のポートを使っている場合には、OVO 管理サーバーで もその設定を行う必要があります。またその場合は、特定の管理対象ノードで使用するポート を、すべての OVO 管理サーバーに知らせる必要があります。そうしないと、OVO 管理サー バーは管理対象ノードにアクセスできません。これは、OVO 管理サーバー上の bbc.cb.ports:PORTS 変数を設定することで行います。 たとえば、管理対象ノードのホスト名が ovo_node.sales.mycom.com で、OVO 管理サーバー のホスト名が ovo_srv.sales.mycom.com であるとします。また、 ovo_node.sales.mycom.com 上の新しい ovbbccb ポートが 8001 とします。 このポートの値は、管理対象ノードと OVO 管理サーバーに設定する必要があります。 ovbbccb ポートに別の値を設定する場合には、OVO 管理サーバーと管理対象ノードの双方で、 次のコマンドを実行します。 ovconfchg -ns bbc.cb.ports -set PORTS ¥ "ovo_node.sales.mycom.com:8001" 新しいポートの値を各管理対象ノードで個別に設定すると、非効率で、間違える可能性がありま す。ワイルドカードが使えるので、以下の例に示すように、管理対象ノードのグループを指定す る場合には、ワイルドカードを使ってください。 ドメイン sales.mycom.com 内のすべての管理対象ノードでポート 8001 を使うものとします。 このポートをドメイン内のすべてのシステムに設定するには、OVO 管理サーバーと管理対象 ノードの双方で、次のコマンドを実行します。 ovconfchg -ns bbc.cb.ports -set PORTS ¥ "*.sales.mycom.com:8001" ただし、OVO 管理サーバーでは、常にポート 383 を使うことをお勧めします。そのためには、 上述の手順を変更して、OVO 管理サーバーと管理対象ノードの双方で、次のコマンドを実行し ます。 ovconfchg -ns bbc.cb.ports -set PORTS ¥ "ovo_srv.sales.mycom.com:383,*.sales.mycom.com:8001" OVO 管理サーバーの bbc.cb.ports:PORTS エントリーは、常に最新のものにしておくことが重 要です。管理対象ノードで別の管理対象ノードがどのポートを使っているかを把握する必要性 は、特別なことがない限りありません。したがって、通常は、OVO 管理サーバーの設定と新し くインストールした管理対象ノードエージェントの設定だけを考える必要があります。既存の エージェントは、PORTS 設定を更新する必要がありません。 82 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 デフォルトポートの変更 管理サーバー上での変更を少なくするために、PORTS の設定は OVO 管理サーバーシステムで集 中管理することをお勧めします。また、ワイルドカードの使用をお勧めします。 パラメータの設定方法の例を示すサンプル設定ファイルが次の場所に用意されています。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults.sampl bbc_inst_defaults.sampl のコピーを作成し、それを、bbc_inst_defaults と名前を換え て、次に示す方法で変更してください。 bbc_inst_defaults ファイルのエントリーは、次の形式で作成します。 [bbc.cb.ports] PORTS = ovo_srv.sales.mycom.com:383,*.sales.mycom.com:8001 こうしておけば、新しくインストールするエージェントには、「ovo_srv.sales.mycom.com は ポート 383 を使い、*.sales.mycom.com に一致するエージェントはすべてがポート 8001 を使 う」という情報が自動的に設定されます。bbc_inst_defaults ファイルが「エージェントプロ ファイル」のベースになります。新しい管理対象ノードには、このファイルが必ずインストール されます。エージェントプロファイルについては、84 ページで詳しく説明されています。 新しい管理対象ノードシステムがドメイン *.sales.mycom.com に属する場合は、それまでに 行った管理対象ノードのインストールで、OVO 管理サーバーは正しく設定され、ポート 8001 が使われます。この設定は、OVO 管理サーバーで次のコマンドを使って確認できます。 ovconfget bbc.cb.ports OVO 管理サーバーに正しい設定が行われていない場合には、bbc_inst_defaults ファイルに ある値を使って次の形式で ovconfchg を実行し、OVO 管理サーバーを更新します。 ovconfchg -ns bbc.cb.ports -set PORTS ¥ "<ovo_server>:383,<system1>:<port1>,<system2>:<port2>, ¥ *.<domain1>:<port3>,*.<domain2>:<port4>" 第3章 83 セキュリティの概念 代行ユーザーによるエージェントの実行 エージェントプロファイル OVO 上で維持するエージェントプロファイルは、インストール時にエージェントにコピーされ る設定のリストです。このプロファイルには、bbc_inst_defaults ファイルで設定する必要が ないいくつかのデフォルト値が含まれています。また、bbc_inst_defaults ファイルで定義さ れた設定もエージェントプロファイルにコピーされます。 プロファイルは、エージェントの最初に行うすべてのタイプのインストールに関連します。 bbc_inst_defaults ファイルの使用は任意です。bbc_inst_defaults ファイルが存在する場 合には、このファイルからのデータをエージェントプロファイルに追加します。 手作業でエージェントをインストールする場合には、次のコマンドを使って、エージェントプロ ファイルを作成します。 /opt/OV/bin/OpC/opcsw -create_inst_info <node> プロファイルは、次の場所に格納されます。 /var/opt/OV/share/tmp/OpC/distrib/<hex_IP_addr_of_node>.i 注記 opcsw を使うと、<hex_IP_addr_of_node> が stdout に出力されます。 プロファイルをソフトウェアパッケージと共に管理対象ノードにコピーし、次の形式でコマンド を入力します。 opc_inst -config <profile_name> ... ユーティリティ opcsw には、次のオプションがあります。 create_inst_info このオプションは、opcsw -create_inst_info <node_specifier> のような形式で使います。 このコマンドを実行すると、<node_specifier> で指定した各管理対象ノードに対し、 /var/opt/OV/share/tmp/OpC/distrib/<hex_IP_addr>.i というファイルが作成されます。 このファイルには、IP アドレスが <hex_IP_addr> の管理対象ノードをインストールする時のデ フォルト値が含まれています。このファイルは、リモートからエージェントをインストールする 時に、inst.sh を使ってターゲット管理対象ノードへ自動的にコピーされます。またこのファイ ルは、手作業でエージェントをインストールするときにも使うことができます。 opcsw -create_inst_info コマンドを実行すると、管理サーバー上のファイル /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults 84 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 にある設定データと、OVO データベースにある次の情報から、エージェントプロファイルが作 成されます。 • CORE_ID: 管理対象ノードの OvCoreId です。OVO データベースの名前空間 sec.core に CORE_ID の値があるとプロファイルに追加される、オプションのパラメータです。 CORE_ID パラメータがデータベースまたは管理対象ノードのいずれにも存在しない場合は、 そのエージェントに対して CORE_ID が自動的に作成されます。 • MANAGER: 名前空間 sec.auth における一次 OVO 管理サーバーのロングホスト名です。 初期インストール後の設定、配布、メッセージ、およびアクションの実行に関連する処理 は、管理対象ノード MANAGER にだけその権限が与えられます。 • MANAGER_ID: 名前空間 sec.auth における MANAGER の OvCoreID です。 MANAGER_ID は MANAGER に対応した ID で、許可チェックのために必要です。 • CERTIFICATE_SERVER: 名前空間 sec.cm.client における、証明書発行元システム ( 認証局 ) のロングホスト名です。 管理対象ノードに有効な管理対象ノード証明書がない場合は、ID として CORE_ID を使って、 CERTIFICATE_SERVER から証明書が発行されます。 • PROXY 指定したホスト名に対してどのプロキシとポートを使うかを定義する情報です。 これらの 5 つのパラメータは、管理対象ノードの初期設定に必要となる最小限のパラメータで す。たとえば、複数の OVO 管理サーバーに対して専用の認証局を 1 つ設定する場合には、 bbc_inst_defaults ファイルにあるこれらのパラメータを書き換えます。 第3章 85 セキュリティの概念 代行ユーザーによるエージェントの実行 代行ユーザーが実行するエージェントのアップグレードとパッチ DCE/NCS エージェントのアップグレードとパッチでは、アップグレードとパッチのインストー ルを含めた各エージェントソフトウェアのインストールが終了した後に、opcswitchuser を実 行する必要があります。これですべての OV ファイルとディレクトリの所有権が、ユーザーの指 定した所有者に変更されます。また、起動スクリプトが変更されて、OVO プロセスをこの特定 ユーザーで起動するように設定されます。opcswitchuser は、特定のシステムに追加の OpenView モジュールをインストールするたびに実行して、新しいファイルの所有権を非 root ユーザーに合うように変更する必要があります。 HTTPS エージェントのアップグレードとパッチを行う場合は、ovswitchuser を使いません。 HTTPS エージェントのアップグレードとパッチを行う方法は、以降に説明します。 管理対象ノードにコピーした後、手作業でインストール 注記 「管理対象ノードにコピーした後、手作業でインストールする」方法は、HTTPS ノードに対してだけ有効です。 OVO の管理者がシステムに対して root のアクセス権を持っておらず、しかも OVO エージェン トが非 root で動作しているということもあり得ます。しかしこのような場合でも、通信ブロー カがシステム上で動作していれば、HTTPS エージェントではパスワードを入力する必要があり ません。これは、パスワードがなくてもデータを転送できるからです。ただし、root のアクセス 権がないと、エージェントの完全なリモートインストール (120 ページの「手作業による HTTPS 管理対象ノードのインストール」を参照 ) は実行できません。エージェントパッケージ を管理対象ノードシステムへコピーすることだけが可能で、インストールは、そのノードシステ ムで手作業によって行う必要があります。Solaris の pkgadd、Linux の rpm、HP-UX の swinstall のようなネイティブのインストーラには、スーパーユーザーの特権が必要です。 HTTPS ノードでのこのような作業を、「管理対象ノードにコピーした後、手作業でインストー ルする」方法と言います。 非 root エージェントを動作させている場合は、ネイティブインストーラからしかアクセスでき ないサブエージェント、パッチ、または完全なアップグレードパッケージを配布すると、次の処 理が自動的に実行されます。 1. バイナリが /tmp/<pkg_name> にコピーされます。 2. インストールはこれより先に進みません。配布する側には root の権限がないのでその権限の 必要なネイティブインストーラを呼び出せないからです。 [OK] という表示が出て終了しますが、警告メッセージが生成されます。 86 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 3. インストールしようとしている管理対象ノードの管理者に、そのノードでパッケージが取り 扱えるようになったことを知らせます。この知らせを受けた管理対象ノードの管理者は、手 作業でエージェントをインストールする場合と同じように、opc_inst スクリプトを使って、 インストールを続けることができます。 注記 ブートストラップの転送方法には、HTTPS を使った転送が望まれます。ただし その場合は、非 root エージェントのサブエージェント、パッチ、またはアップグ レードをリモートからインストールしようとしたときにパスワードは要求されま せんが、バイナリをコピーした時点で終了してしまいます。また、この後の作業 では root のパスワードが要求されないかわりに、インストールを明示的に指示す る必要があります。手作業によるこの後半のインストール手順は、現在のエー ジェントユーザーで実行します。 UNIX エージェントでの sudo プログラムの使用方法 注記 「ノードにコピーした後、手作業でインストールする」方法と sudo プログラムの 使用は、HTTPS ノードに対してだけ有効です。 必要な権限を取得するための 1 つの方法は、sudo のようなツールを組み込んで、OV_SUDO を設 定することです。Sudo を使うと、sudoers ファイルに設定されている内容に従って、許可され たユーザーがスーパーユーザーまたは自分以外のユーザーとしてコマンドを実行できます。実際 に使われる実効 uid および gid は、passwd ファイルに設定されているそのターゲットユーザー と同じ値に設定されます。また、ターゲットユーザーが root でない場合はグループベクトルも 初期化されます。特に指定しない限り、sudo ではユーザーの認証にパスワードを必要とします。 また、このパスワードには、デフォルトでユーザーのパスワードが要求されます。root のパス ワードではありません。ユーザーが認証されるとタイムスタンプが更新され、ユーザーはしばら くの間、パスワードなしで sudo を使うことができます。この時間のデフォルト値は 15 分で、 sudoers ファイルを変更していなければ、この値が使われます。 ヒント sudo はフリーソフトウェアであり、BSD スタイルのライセンスで配布されてい ます。このソフトウェアは、http://www.sudo.ws から入手できます。 sudo ソフトウェアは、OVO ソフトウェアパッケージに含まれていません。 Solaris の動作している管理対象ノードで、HTTPS エージェントが非 root ユーザー ovo_user で実行されている場合を考えてみます。 手順は、次のとおりです。 第3章 87 セキュリティの概念 代行ユーザーによるエージェントの実行 1. /etc/sudoers ファイルを開きます。 2. /etc/sudoers ファイルに次の行を追加します。この編集には、vi /etc/sudoers コマンド または visudo コマンドを使います。 ovo_user ALL=(root) = NOPASSWD: /var/opt/OV/¥ installation/incoming/bundles/OVO-Client/opc_inst インストールスクリプト opc_inst だけがスーパーユーザー root から呼び出されます。 注記 このコマンドは管理者 UI または opc_inst を使ったリモートインストールで も有効です。その他の場合には、opc_inst への実際のパスに置き換える必要 があります。 NOPASSWD を指定しておかないと、スーパーユーザー (root) のパスワードではなく、そのユー ザー自身のパスワード、つまりこの例ではユーザー ovo_user のパスワードを入力する必要があ ります。 sudo プログラムのセットアップ方法 注記 ブートストラップによるインストールでは、OV_SUDO がサポートされていませ ん。 OpenView のインストールユーティリティには次の形式のコードが含まれており、ネイティブイ ンストーラを呼び出すように設定されています。 ${OV_SUDO} opc_init OV_SUDO 変数を設定しておかないと、空の文字列と見なされ、無視されます。 OV_SUDO 変数を設定しておくと、非 root ユーザーのログインシェルでこの変数をエクスポート することも、インストールスクリプトで ovconfget ctrl.sudo を使って読み込み、環境変数に 追加することもできます。 注記 ovconfget ctrl.sudo を使って OV_SUDO 変数を読み込む方が、非 root ユーザー のログインシェルからその値をエクスポートするよりも優先されます。 sudo を使った非 root エージェントのブートストラップインストールは、多くの場合、次の手順 で行う必要があります。 • 88 エージェントを root でインストールします。 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 • /opt/OV/bin/ovswitchuser を呼び出して、適切なユーザーとグループを設定します。 • 次のコマンドを実行して、使用する sudo プログラムを設定します。 ovconfchg -ns ctrl.sudo -set OV_SUDO ¥ <my_sudo_with_full_path> • 以下のコマンドを実行して、優先 sudo ユーザーを設定します。 ovconfchg -ns ctrl.sudo -set OV_SUDO_USER <my_sudo_user> • 以下のコマンドを実行して、優先 sudo グループを設定します。 ovconfchg -ns ctrl.sudo -set OV_SUDO_GROUP <my_sudo_group> 注記 sudo を設定する方法の利点は、非 root の環境でもパスワードを入力しないで自 動的にサブエージェント、パッチ、およびアップグレードをインストールできる ことです。これに対し、リモートからブートストラップでインストールする方法 では、OVO の管理者が管理対象ノードのスーパーユーザーのパスワードを知って いる必要があります。 リモートエージェントのインストールでは、最初に、どのユーザーとしてエージェントが動作し ているかということと、OV_SUDO が設定済みかどうかをチェックします。次にこのチェックの結 果を見て、「管理対象ノードにコピーした後、手作業でインストールする」方法が必要かどうか を判定します。パスワードの必要なブートストラップインストールを選択するか自動インストー ルを選択するかは、その結果次第です。 DCE と HTTPS の代行ユーザーの概念の比較 UNIX システム上のすべての OVO エージェントは、root 以外のユーザーのもとで実行するよう に設定することができます。これは、DCE ベースまたは NCS ベースの UNIX エージェントの 場合には opcswitchuser ツールを、HTTPS エージェントの場合には ovswitchuser ツールを 使って、設定します。 DCE/NCS エージェントの場合は、任意の OV アプリケーションのすべてのファイルとディレク トリには、opcswitchuser ツールによって同一のユーザーとグループを設定します。 DCE/NCS ノードで、以下のコマンドを実行します。 /opt/OV/bin/utils/opcswitchuser.sh <my_trusted_user> ¥ <my_group> 第3章 89 セキュリティの概念 代行ユーザーによるエージェントの実行 注記 opcswitchuser.sh は、すべてのプラットフォームで /opt/OV/ にあるとは限りま せん。OVInstallDir と OVDataDir の実際の値を調べてください。 • HTTPS エージェントの方は、動作させるユーザーに対して UNIX グループを選択する必要が あります。DCE/NCS エージェントの方は、この作業が不要です。詳細は、79 ページの「シ ステム環境の準備」を参照してください。 • HTTPS エージェントの方は、割り当てたユーザーだけでなく、HTTPS エージェントのユー ザーと同じグループに属する他のすべてのユーザーに対しても、ファイルのアクセス権が与 えられます。DCE/NCS エージェントの方は、割り当てたユーザーの下でしか動作させるこ とができません。このことを例で示すと、OVO キューファイルのパーミッションは、 HTTPS の場合は 0660、DCE の場合は 0600 となります。 注記 • エージェントプロセスの実行ユーザーを変更するときは、その前にそのユー ザーの umask を設定してグループパーミッションを許可してから、エージェ ントをシャットダウンします。 HTTPS エージェントのベースディレクトリには、group-id ビットが設定されます。 group-id ビットの設定によって、そのディレクトリの下に作成されるすべてのファイルが エージェントのグループに属することが保証されます。この保証は、エージェントを動作さ せているユーザーの一次グループがそのエージェントのファイル / ディレクトリのグループ と異なる場合でも有効です。 たとえば、ユーザー OVO_Agent の一次グループが Security で、エージェントのファイル / ディレクトリがグループ Security2 に属する場合を考えてみます。いま、OVO_Agent をグ ループ Security2 に追加し、ユーザー OVO_Agent の下でエージェントを実行したとします (OVO_Agent の一次グループは Security のままです )。ユーザー OVO_Agent の下で実行さ れるエージェントが作成するファイルは、すべてが Security2 に属するようになります。 このメカニズムを使うと、OV コンポーネントに共通ファイルを共有させながら、異なる ユーザーの下で動作させることができます。 • set group-id ビットが設定されていると、medusa のようなセキュリティチェックツールで 警告メッセージが出されることがありますが、無視しても安全です。DCE/NCS エージェン トの方では、このような警告は出されません。 • DCE/NCS ノードには、「ノードにコピーした後、手作業でインストールする」方法がありま せん。 • DCE/NCS ノードには、sudo の概念がありません。 90 第3章 セキュリティの概念 代行ユーザーによるエージェントの実行 • DCE/NCS ノードでは、非 root エージェントにパッチ / アップグレードをインストールするた びに、opcswitchuser を呼び出す必要があります。HTTPS エージェントでは、その必要が ありません。HTTPS エージェントの場合、ovswitchuser の呼び出しは、ブートストラッ プインストールの後に 1 回行うだけで十分です。後で ovswitchuser を呼び出すこともあり ますが、それは、グループ / ユーザーを変更する時だけです ( たとえばエージェントのグ ループ / ユーザーを root に戻す場合 )。 第3章 91 セキュリティの概念 代行ユーザーによるエージェントの実行 92 第3章 4 HTTPS ノード管理の概念 第4章 93 HTTPS ノード管理の概念 HTTPS ノードの制御方法 HTTPS ノードの制御方法 OVO 管理サーバーでは、HTTPS ノードに対して次の機能を実行することができます。 • HTTPS エージェントのリモート制御 • HTTPS エージェントのリモートインストールまたは手作業によるインストール • パッチのリモートインストールまたは手作業によるインストール、および、エージェントの リモートアップグレードまたは手作業によるアップグレード • 設定情報のリモート配布または手作業による配布 • HTTPS エージェントに対する複数の並列設定サーバーのサポート • ハートビートポーリング • HTTPS ノードのセキュリティ管理 • OVO 管理サーバー API とユーティリティを使って行う、HTTPS ノードのサポート ここでは、HTTPS ノードに対するいくつかの新しいコンセプトを次の項に分けて説明します。 • 95 ページの「HTTPS ノードへの設定情報の配布」 • 101 ページの「HTTPS ノードのハートビートポーリング」 • 102 ページの「HTTPS ノードのリモート制御」 • 336 ページの「OVO サーバーのコンポーネントとプロセス」 94 第4章 HTTPS ノード管理の概念 HTTPS ノードへの設定情報の配布 HTTPS ノードへの設定情報の配布 HTTPS エージェントへ設定情報を配布する方法は、DCE ベースノードの場合と少し異なりま す。 • HTTPS エージェントでは、テンプレートの代わりにポリシーを使います。 • HTTPS エージェントでは、アクション、コマンド、モニターという言葉に代わってインス トルメンテーションという総称を使います。 • HTTPS エージェントでは、nodeinfo ファイルと opcinfo ファイルに代わって、名前と値の ペアでポリシーを定義する設定パラメータスキーマを使います。 • HTTPS エージェント用の mgrconf ファイルは、役割モデルベースのセキュリティ認証メカニ ズムが使えるように拡張されています。 以下の項で、HTTPS エージェントで導入された新しい設定管理のコンセプトを説明します。 ポリシー管理 ポリシーは XML で記述したテンプレートであり、データとメタ情報が厳密に区別されます。 ヘッダーには名前、タイプ、バージョン、あるいは状態などの属性が含まれます。ポリシーに対 しては、インストール、削除、有効化、無効化、および表示の 5 つの操作が実行できます。テン プレートファイルの場合は、1 つのファイルに特定のソースタイプの個別のテンプレートがすべ て入れられますが、ポリシーファイルの場合は、1 つのファイルに 1 つのテンプレート内容しか 入れられません。この内容がポリシーデータと呼ばれます。 ポリシーは、ovpolicy ツールを使って手作業でインストールや削除が行えます。ただし、いく つかのガイドラインに従う必要があります HTTPS エージェントでは既存の OVO テンプレートも使うことができます。この場合、既存の OVO テンプレートは opcbbcdist プロセスが分配時にポリシーへ変換します。設定ファイルの mgrconf と nodeinfo は、ポリシーとして扱われます。必要な mgrconf ファイルと nodeinfo ファイルはそれぞれ 1 つだけで、一意のポリシー ID が使われます。 ヘッダーには、一意のポリシー ID の他に、ポリシーの名前とバージョン、ポリシータイプの名 前とバージョン、およびステータスが設定されます。これらの属性は、opcbbcdist がデータを 配布する時に生成します。 1 つのノードにインストールできるのは、1 つのバージョンのポリシーだけです。ポリシーは ID で識別できますが、名前とポリシータイプも一意にする必要があります。 第4章 95 HTTPS ノード管理の概念 HTTPS ノードへの設定情報の配布 OVO サーバーから配布するポリシーにはすべて、バージョン番号 1 が割り当てられます (OVO はポリシーのバージョン管理を行いません )。 ポリシーが初めて配布された時のステータスは、enabled ( 有効 ) に設定されます。システムに そのポリシーがすでに存在していた場合は、そのポリシーのステータスを新しく配布されたポリ シーが引き継ぎます。 HTTPS ノードには、ovpolicy のラッパーとして opctemplate というユーティリティがありま す。このユーティリティを使えば、DCE ノードと同じ環境、たとえばアプリケーションのデス クトップの中で定義を行うことができます。 インストルメンテーション管理 HTTPS ノードでは、アクション、コマンド、およびモニターの全ディレクトリがまとめられて 次のディレクトリに置き換えられました。 $OVDataDir/bin/instrumentation このディレクトリのサブディレクトリの階層は、1 レベルです。インストルメンテーションプロ グラムは、すべてこの場所にインストールされます。 注記 OVO 管理サーバー上では、次のディレクトリの下に実行可能プログラムのディレ クトリがあります。 /var/opt/OV/share/databases instrumentation ディレクトリは作成されず、アクション、コマンド、および モニターの各ディレクトリが使われます。 OVO のテンプレートでは、通常、アクション、コマンド、およびモニターの各実 行可能プログラムを参照しています。ポリシーの中でこれらの実行可能プログラ ムがフルパスで指定されていない限り、この変更は影響ありません。というのは、 バイナリの新しい格納場所が、OVO のアクションエージェント、モニターエー ジェント、ログファイルエンキャプスレータなどのユーティリティのパス変数に 追加されるからです。 OVO 管理サーバーのモニターディレクトリからエージェントに送られたファイルは、744 の パーミッションでインストールされますが、その他のファイルは 755 のパーミッションでインス トールされます。この設定値は DCE ベースノードの場合と同じです。 96 第4章 HTTPS ノード管理の概念 HTTPS ノードへの設定情報の配布 設定管理プロセスは、実行中の実行可能プログラムをアップデートすることもできます。その場 合、実行中の実行可能プログラムは、そのスクリプトとバイナリの名前が変更されますが、処理 自体は完了するまで実行されます。これらのプログラムを次に実行した時は、新しくインストー ルされたファイルが使われます。 手作業によるポリシーとインストルメンテーションのインストール ポリシーデータを管理対象ノードに直接コピーすることはできません。その理由は、エージェン トは機密性の高い形式で設定データを受け取る必要があるからです。これは、管理対象ノード側 で、設定データが許可のない人によって不法に操作されないようにするために必要な制限です。 OVO 管理サーバーで opctmpldwn ツールを使い、手作業によるポリシーのインストールを準備 します。出力データは、管理サーバーシステムにある管理対象ノード専用のディレクトリに格納 されます。 opctmpldwn の処理は、対象が DCE ベースノードか HTTPS ノードかによって、少し違います。 その違いは次のとおりです。 • 対象が HTTPS ノードの場合は、nodeinfo と mgrconf のデータがポリシーと見なされ、上述 のディレクトリに格納されます。対象が DCE ベースノードの場合は、nodeinfo データが 無視されます。 • 機密性の保護方法がテンプレートとポリシーで異なります。テンプレートの方は、ノード固 有の鍵で暗号化されます。ポリシーの方は、データ部分が管理サーバーに固有な証明書を 使って署名されるものの、ヘッダー部分はそのファイルのパーミッションで保護されるだけ です。 HTTPS エージェント分配マネージャ opcbbcdist が、OVO 管理サーバーと HTTPS エージェントとの間で設定管理アダプタの役割 を果たします。その主な機能は、次のとおりです。 • テンプレートをポリシーに変換する • 既存のアクション、コマンド、モニターからインストルメンテーションを作成する • ECS テンプレートをポリシーとその関連サーキットに変換する • nodeinfo の設定値を HTTPS ノードで使える XPL 形式に変換する opcbbcdist は、その他の通信タイプを扱う分配マネージャ opcdistm と協調して動作します。 opcdistm と同様、opcbbcdist は次の内部ファイルシステムインタフェースを使って、どの データを配布すべきかの情報を取得します。 /var/opt/OV/share/tmp/OpC/distrib 第4章 97 HTTPS ノード管理の概念 HTTPS ノードへの設定情報の配布 opcbbcdist では、次の 4 つの設定カテゴリを区別して扱います。 • ポリシー / テンプレート • インストルメンテーション ( アクション / コマンド / モニター ) • nodeinfo • mgrconf opcdistm とは違って、opcbbcdist が他の OVO 管理サーバーコンポーネントから受け付ける リクエストの形式は、「deploy configuration types xyz to node abc」( 設定タイプ xyz をノード abc へ配布する ) という形式だけです。この形式のリクエストは、GUI、設定 API、 opcragt -update、または opcragt -distrib によって発行されます。 opcbbcdist には自動リトライ機能があり、新しいデータが存在するノードへアクセスできな かったときに起動されます。またこのリトライ機能は、opcragt -update を呼び出すことによ り、手作業でも起動できます。 opcbbcdist と opcdistm は、特定ノードに対する処理が完了するとブラウザにメッセージを表 示して、設定データが正常に分配されたことを知らせてくれます。処理が完了しなかった場合に は、たとえば Node Unreachable ( ノードにアクセスできません ) といったようなメッセージが 表示されます。 opcbbcdist では、インストルメンテーションデータを最初に転送し、その後でポリシーを転送 します。このようにするのは、実行可能プログラムがテンプレート内で参照されている場合の同 期問題を避けるためです。また、opcbbcdist は単純なトランザクションモデルに従って処理を 行います。つまり、「ある設定タイプのデータがすべて正常に配布できたら、次のカテゴリを処 理」します。トランザクションの観点からは、1 つの設定タイプの分配が 1 つのトランザクショ ンとなります。1 つのトランザクションが失敗すると、そのトランザクションはロールバックさ れ、後でリトライされます。この方式は、OVO サーバーのシャットダウンで opcbbcdist が停 止させられた場合にも適用されます。 設定のプッシュ OVO 管理サーバーは、HTTPS ノードに対する設定の配布処理をすべて起動できます。その場 合、OVO サーバーは設定データをエージェントに一方的に送信 ( プッシュ ) します。そのため、 OVO 管理サーバーから管理対象ノードに対する処理を起動することによって機密性を高めるこ とができます。 98 第4章 HTTPS ノード管理の概念 HTTPS ノードへの設定情報の配布 しかし、OVO 管理サーバーにも不利な点はあります。それは、新しい設定を分配しようとした 管理対象ノードがアクセスできなかったとき、その管理対象ノードは古いデータのまま動作しな くてはならないということです。OVO 管理サーバーは、分配すべき設定データがあっても分配 できなかったノードを、すべてポーリングする必要があります。OVO 管理サーバーはこのポー リング処理を次のタイミングで実行します。 • 保留中の各ノードに対して、少なくとも 1 時間に 1 回 • サーバーの再起動時 • 設定処理が明示的に起動された時。具体的には、opcragt -update の実行、opcragt -distrib の実行、GUI からの配布の実行、またはコマンドに対応した API を直接呼び出す ことで設定処理が明示的に起動した時です。 注記 また、DCE ベースのエージェントは、システムの再起動またはエージェントの再 起動の後に、OVO 分配マネージャ opcdistm に新しい設定データがないかどうか を尋ねます。 保留中の分配がないかどうかは、dist_mon.sh と呼ぶモニターでチェックされます。次の設定 転送ディレクトリに 30 分以上保留されているデータがあると、その分配先管理対象ノードを示 すメッセージが表示されます。 /var/opt/OV/share/tmp/OpC/distrib 差分分配 OVO の分配プロセスでは、特に指定しない限り、最後に設定を転送した後で変更または追加さ れたデータだけを分配します。この方式を差分分配と呼びます。この方式を使うと、データの転 送量を最小限に抑えることができるだけでなく、インターセプタや他のサブエージェントに対す る再設定リクエストの数を減らすことができます。また必要があれば、設定全体を管理対象ノー ドに配布し直すこともできます。 差分分配モードで動作している OVO 管理サーバーでは、管理対象ノードにあるポリシーインベ ントリと、インストルメンテーションが最後に分配された時のタイムスタンプを必要とします。 ポリシーインベントリの内容はポリシー割り当てリストと比較され、opcbbcdist が、ノードに 対するポリシーの削除やインストールに必要な処理を計算して実行します。インストルメンテー ションの配布については、配布が最後に行われた時のタイムスタンプが、管理サーバーのインス トルメンテーションディレクトリにあるファイルのタイムスタンプと比較されます。OVO 管理 サーバーに管理対象ノード上のファイルより新しい対応ファイルがあると、それらがすべて分配 第4章 99 HTTPS ノード管理の概念 HTTPS ノードへの設定情報の配布 されます。インストルメンテーションデータは、コマンド行で opcragt -purge コマンドを適 用しない限り、管理対象ノードから削除されることはありません。このコマンドは、管理者 UI では実行できません。 100 第4章 HTTPS ノード管理の概念 HTTPS ノードのハートビートポーリング HTTPS ノードのハートビートポーリング HTTPS ノードと DCE ベースノードのハートビートポーリング (HBP) は非常に似ています。 OVO 管理対象ノードのハートビートポーリングは、OVO リクエストの送信プロセス ovoareqsdr によって起動され、次の 3 つのフェーズに分けて実行されます。 • リクエスト送信プロセス ovoareqsdr が対象ノードに ping パッケージを送信して、そのノー ドにアクセスできるかどうかをチェックする • HTTPS エージェントの通信ブローカをポーリングする • OV Control RPC サーバーにリクエストする ヒント 途中に ICMP フィルターが有効になっているファイアウォールがある場合は、 RPC_only モードを使って ping フェーズを省略することにより、そのファイア ウォールを通過することができます。ただし、RPC_only モードではチェックがあ まくなり、問題発生時にエラーメッセージから得られる詳細情報も減ります。 ポーリングの間隔は、ノードごとに異なる値を設定できます。 HTTPS ノードと DCE ベースノードの HBP エラーメッセージは非常に似ています。たとえば、 DCE ベースエージェントに対するメッセージ DCE rpcd is down は、HTTPS エージェントの communication broker is down に対応し、同じエラー番号が割り当てられています。 ネットワークの負荷と CPU の負荷の軽減 CPU 負荷の軽減のため、HTTPS ノードのハートビートポーリングでは SSL を使用しません。 ハートビートポーリングには、agent_sends_alive_packages というオプションがあります。 このオプションを有効にすると、エージェントは OVO 管理サーバーへ定期的に ping パッケー ジを送信して、自分が正常に動作していることを知らせます。一方で OVO 管理サーバーでは、 その周期内にアライブパッケージを受信しなかった管理対象ノードが 1 つでもあると、そのとき にだけポーリングを開始します。 このように、サーバーは、アライブパッケージが非常に少なく、しかも障害が発生したと考えら れる場合にだけ、積極的にその役割を果たします。そのため、この方法を使うと、ネットワーク と CPU の負荷が著しく軽減されます。この機能は、管理対象ノードと OVO 管理サーバーとの 間にファイアウォールがない大規模な環境を管理する場合に、非常に有利です。 第4章 101 HTTPS ノード管理の概念 HTTPS ノードのリモート制御 HTTPS ノードのリモート制御 OVO 管理サーバーからのエージェント制御は、opcragt ユーティリティを使って行います。サ ポートされているどの操作も、HTTPS ノードと非 HTTPS ノードで同時に実行できます。これ らの操作には、起動、停止、ステータス取得、一次マネージャの切替え、設定変数の取得と設 定、そして設定の分配があります。 HTTPS ノードには、opcagt というラッパーがあります。このユーティリティを使うと、オペ レータのデスクトップからアプリケーションを起動するだけでリモート制御の作業を実行できま す。またこのユーティリティでは、どの OVO 管理対象ノードに対してもその種類に関係なく適 用できる、共通のアクション定義をセットアップすることができます。 opcragt -status の出力形式は、他の opcragt と同様に、HTTPS ノードと DCE ベースノー ドでよく似ています。エラーメッセージもとてもよく似ています。 サブエージェントは、HTTPS ノードでは名前で、DCE ノードでは番号で識別されます。そのた め、次に示す設定ファイルの中に、別名を指定することもできます。 /etc/opt/OV/share/conf/OpC/mgmt_sv/subagt_aliases 別名の指定形式は、次のとおりです。 <alias> <maps_to> 項目として 1 EA と 12 CODA が事前に定義されています。HTTPS ノードでは、自動的に -id 1 が -id EA と変換されるため、コマンドを次のように入力します。 opcragt -status -id 1 <BBC_nodes_and_DCE_nodes_list> 102 第4章 5 HTTPS 管理対象ノードでの作業 第5章 103 HTTPS 管理対象ノードでの作業 HTTPS ノードの設定 HTTPS ノードの設定 HTTPS ノードは、DCE-RPC ベースノードや NCS-RPC ベースノードと同じように設定しま す。設定には、OVO Administrator のユーザーインタフェースにある [ ノードの追加 ]、[ ノード の変更 ]、[ ノードのコピー ] の各ウィンドウまたは opcnode(1m) と [ ノード通信オプション ] ウィンドウと [ ノードの拡張オプション ] ウィンドウを使います。 HTTPS ノードを作成するには、OVO の管理者となって、次の手順を実行します。 • サポートされているプラットフォームに対して、新しい通信タイプ HTTP-Based を指定しま す。 • ノードの IP アドレスを静的にするか、DHCP を使って動的に割り当てるかを指定します。 211 ページの「DHCP クライアントシステム上での HTTPS エージェントの管理」を参照し てください。 注記 通信タイプを DCE から HTTPS に変更する場合は、DCE エージェントソフト ウェアは自動的に削除されます。ローカル設定やランタイムデータ (opcinfo ファイル設定、ECS データとファクトストア、組み込みパフォーマンスコンポー ネントデータベースファイルなど ) は、変換され HTTPS エージェントで再使用 されます。 HTTPS 通信のセキュリティは、証明書を使って実現します。そのため、HTTPS エージェント のインストールでは次のような追加手順を実行する必要があります。 1. [ ノードの追加] ウィンドウを使って、管理対象ノードに OVO HTTPS エージェントソフトウェ アをインストールします。インストールが終了すると、ノードは OVO 証明書サーバーに証 明書リクエストを自動的に送信します。OVO 証明書サーバーは、その証明書リクエストを 自動的に承認します。自動承諾機能が無効にされている場合、次の 2 つの手順を実行する必 要があります。 2. [OVO ノード証明書リクエスト ] ウィンドウから、証明書を承諾するノードを選択します。 3. 選択したノードに対して証明書リクエストを承諾します。 証明書を承諾したノードが保持エリア (Holding Area) ( デフォルト )、または名前空間 opc の設定情報 OPC_CSA_LAYOUT_GROUP で指定されているレイアウトグループに追加され ます。 104 第5章 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール HTTPS ノードへの OVO ソフトウェアの自動インストール OVO ソフトウェアのインストールは、図 5-1 に示す [ ノードの追加 ] ウィンドウを使って制御し ます。 図 5-1 HTTPS ノードのための [ ノードの追加 / 変更 ] ウィンドウ OVO のソフトウェアを自動的にインストールするには、次の手順を実行します。 第5章 105 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール 1. [OVO 登録ノード ] ウィンドウのメニューバーから、次のように選択します。 [ アクション : ノード -> 追加 ] [ ノードの追加 ] ウィンドウ ( 図 5-1 を参照 ) が表示されるので、以降のステップに従って情 報を入力します。 2. システムの識別に使うラベルを入力します。 3. システムのホスト名を入力します。 4. システムとオペレーティングシステムの組み合せを選択します。 注記 NAT 環境 ( 管理サーバーの IP アドレスが管理対象ノードで変換される ) で は、Windows の HTTPS エージェントのインストールは、ハングする場合が あります。これは、インストール時に使用する ftp が Windows への接続でハ ングすることが原因です。 HTTPS エージェントのソフトウェアは、手作業でインストールしてくださ い。FTP は動作しないため、他のファイル転送メカニズムを使う必要があり ます。 5. 指定した HTTPS ノードの IP アドレスを動的に取得する場合は、[IP アドレス] の隣にある [ シ ステムは IP を動的に取得する (DHCP)] ボックスにチェックを入れます。このチェックボッ クスは、DHCP を使ってノードの IP アドレスを取得する場合に便利です。ノードの IP アド レスを手作業で変更するか [ システムは IP を動的に取得する (DHCP)] を選択するかはシス テムごとに違いますが、どちらの場合でも、その変更は OVO でも更新されます。DHCP の 使用を選択すると、OVO は管理対象ノードの IP アドレスの変更を自動的に処理します。こ の処理で問題が発生することはないので、メッセージが紛失するということも、状態が乱れ たり分からなくなったりするということもありません。 注記 [ システムは IP を動的に取得する (DHCP)] は、HTTPS ノードだけでサポート されます。ホスト名の動的変更はサポートされません。 6. 管理対象ノードのタイプを選択します。[OVO 管理対象 ] がデフォルトです。 [ 管理対象ノードのタイプ ] も [ ノードデフォルト ] ウィンドウからアクセスできます。 注記 106 HTTPS 管理対象ノードがモニター対象として設定されていると、自動起動の アクションは実行できますが、オペレータ起動アクションは実行できません。 第5章 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール ノードのタイプとして [ メッセージ対象 ] を選択すると、そのノードにはソフ トウェアとインストルメンテーションが分配されません。 HTTPS ノードの [ 管理対象ノードのタイプ ] を変更しても、nodeinfo ファイ ルは管理対象ノードに分配されません。しかし、すべてのノードタイプを [OVO 管理対象 ] から [ メッセージ対象 ] または [OVO 非管理対象 ] に変更する と、ovcd 以外のエージェントプロセスがすべて停止します。 7. ハートビートポーリングの設定を入力します ( オプション )。 8. OVO 環境に管理対象ノードを追加するときは、[ インストール / 削除を自動化 ] オプションを選 択します ( オプション )。 [ ノード通信オプション ] ウィンドウから、表示されたノードで使う通信タイプと設定値を入 力します。このウィンドウにアクセスするには、[ ノードの追加 ]、[ ノードの変更 ]、または [ ノードのコピー ] の各ウィンドウにある [ 通信オプション ...] ボタンをクリックします。 図 5-2 [ ノード通信オプション ] ウィンドウ HTTPS 管理対象ノードの場合は、[ 通信タイプ ] として [HTTPS] が表示されます。また、参 考情報として一意な ID が [OVCoreID] フィールドに表示されます。 通信タイプを [HTTPS] から別の通信タイプに変えたり、その逆の変更を行ったりすると、そ のノードのプラットフォームが自動的に変更され、新しく選択した通信タイプにだけ関連し ている値はそのノードからすべて削除されてしまいます。 第5章 107 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール 新しいノードのデフォルトの通信タイプは [HTTPS] です。HTTPS ベースのプラットフォーム に SNMP ベースのエージェントプラットフォーム自動検出機能がある場合は、新しく追加 するノードに対して常にその機能が選択されます。 ノードのプラットフォームを変更するときは、必要に応じて、すべてのノードオプション、 通信オプション、および拡張オプションを今までの設定のままにします。このように既存の 設定を継承し、またモニタリングビューも特別なことがない限り同じにすることで、ノード の管理を HTTPS ベースの管理に変更する作業が簡単になります。 Microsoft Windows で動作するノードでは、エージェントソフトウェアのインストール先 ルートディレクトリを、HTTPS エージェント用に設定することができます。 注記 HTTPS ノードについては、ログディレクトリや最大ログサイズをカスタマイ ズできません。これは、HTTPS ノードの OpenView ではファイルシステム のレイアウトとロギングのメカニズムが新しくなっているためです。 9. 対象となるノードが HTTPS ベースの高可用性クラスタシステムで構成する仮想ノードであ る場合は、[ ノードの拡張オプション ] ウィンドウの [ クラスタ仮想ノード ] セクションでその 情報を必要であれば指定します。このウィンドウにアクセスするには、そのノードの [ ノー ドの追加 ]、[ ノードの変更 ]、または [ ノードのコピー ] の各ウィンドウにある [ 拡張オプショ ン ...] ボタンをクリックします。 HTTPS ノードとして管理するノードが複数のシステムから構成される仮想マシンである場 合には、[ クラスタ仮想ノード ] ボックスにチェックを入れるとともに、クラスタとその構成 要素システムに必要な情報を入力します。 必須フィールドに、クラスタを識別するためのクラスタの HA リソースグループ名を入力し ます。 [ 追加 ] ボタンをクリックして、クラスタパッケージを構成する物理システムを [ クラスタ仮 想ノード ] 情報に追加します。 108 第5章 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール 注記 図 5-3 第5章 HTTPS ノードの文字コードセットは常に Unicode に設定されます。 [ ノードの拡張オプション ] ウィンドウ 109 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール 注記 仮想ノードに対しては、OVO 管理サーバー機能と 1 つのエージェント機能が 使えます。エージェントの機能として使えるのは、仮想ノードへポリシーと インストルメンテーションを分配する機能だけです。ポリシーとインストル メンテーションは、仮想ノードを構成するすべての物理ノードへ自動的に分 配されます。 次のオプションは、仮想ノードに対しては使えません。 • nodeinfo と mgrconf の分配 • [ エージェントがアライブパケットを送信 ] • すべてのソフトウェアインストールとその関連オプション • ノードタイプ [ メッセージ対象 ] • [ バッファーサイズ制限 ] OVO ソフトウェアを管理対象ノードにインストールしたときは、HTTPS 通信に必要な証明書 が作成されて分配されていることを確認してください。特に指定しなくても、証明書は自動的に 生成されます。証明書の作成と分配の手順は 135 ページの第 6 章 「証明書を使った作業」で説 明されています。 管理対象ノードへの共通設定の定義 管理サーバーでは、インストール時に管理対象ノードへ配布する設定を定義できます。多くの ノードで使われる、通信ポートや http プロキシの設定などの基本パラメータが、この方法で定 義できます。この方法は、通常以下の状況で使用します。 • サブネットやドメインに多くの OVO エージェントをインストールする必要がある場合。 ファイアウォールの制限によって、通信ブローカのデフォルトポート (383) を使うことがで きず、エージェントのインストール時に、各ノードで手作業で通信ブローカポートを設定す ることを避けたい場合。 • サブネットやドメイン内のノードが多くの設定を共有するため、中央で管理対象ノードのイ ンストール時のデフォルトを設定する場合。 • ファイアウォールを越えた位置にあるサブネットでは、OVO エージェントは手作業でイン ストールします。インストールの共通部分は自動化できます。 これらの共通設定は、OVO 管理サーバー上の次のファイルに保存しておくことができます。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults パラメータの設定方法の例が示されているサンプル設定ファイルは、次の場所にあります。 110 第5章 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults.sampl bbc_inst_defaults.sampl のコピーを作成してファイル名を bbc_inst_defaults に変更し、 サンプルファイルで示されている構文に従って変更します。 管理対象ノードへの特定の OvCoreId の割り当て 新しいノードに特定の OvCoreId を割り当てる場合には、エージェントソフトウェアをインス トールする前に、手作業で次のようにして OvCoreId を追加します。 OVO 管理サーバー上で、次のコマンドのどちらかを入力します。 opcnode -chg_id ... id=<id> または opcnode -add-node ... id=<id> エージェントのインストール時に、指定した管理対象ノードには、OVO データベースに格納さ れている OvCoreId が割り当てられます。 多くの管理サーバーによって管理されるノードを再インストールする場合には、この手順を推奨 します。元の OvCoreId を再使用することによって、すべての OVO 管理サーバーを更新する必 要がなくなります。 証明書を手作業でインストールする場合には、エージェントをインストールする前に、 OvCoreId の生成、証明書の作成、新しい OvCoreId を持つノードをデータベースに追加するな ど、すべての準備作業を OVO 管理サーバーで行っておく必要があります。これらの作業を完了 した場合にのみ、エージェントソフトウェアを管理対象ノードにインストールすることができま す。最後に証明書を管理対象ノードにコピーする必要があります。 Windows 管理対象ノードへのインストール Windows 管理対象ノードへのスタートアップ種類の設定 Windows には、UNIX のようなブート起動システムはありません。Windows でユーザーログイ ンとは無関係に ovcd を起動するには、ovcd をサービスとして登録しておく必要があります。 エージェントのインストール時に、START_ON_BOOT のデフォルト値に従って、サービスのス タートアップの種類が自動または手動に設定されます。したがって、その後に START_ON_BOOT フラグを変更しても、ovcd サービスの登録には反映されません。 Windows の場合は、サービスの起動を次の手順に従って手作業で変更する必要があります。 1. [ スタート -> 設定 -> コントロールパネル -> 管理ツール -> サービス ] を選択します。 第5章 111 HTTPS 管理対象ノードでの作業 HTTPS ノードへの OVO ソフトウェアの自動インストール 2. [HP OpenView Ctrl Service] をダブルクリックし、[ プロパティ] ウィンドウの [ 全般 ] タブ で、必要な [ スタートアップの種類 ] を設定します。 この設定は、次の作業を行う時にも指定できます。 GUI を使ったエージェントのインストール この場合は、管理対象ノードを登録ノードに追加する際に [ ノードの追加 ] ウィンドウで [ システ ムリソースファイルを自動アップデート ] オプションを指定することができます。Windows ノー ドでこのオプションを指定すると、ovcd 制御サービスの起動方法が自動として登録され、エー ジェントはリブート時に自動的に起動されるようになります。このオプションを指定しないと、 ovcd サービスは起動方法が手動として登録されます。その場合、エージェントは、リブートを 行なうたびに手作業で起動する必要があります。 手作業によるエージェントのインストール この場合は、opcactivate を使って -nb オプション ( またはそれに同値なオプション ) を指定 します。この方法でも、OVO GUI で [ システムリソースファイルを自動アップデート ] を指定し た場合と同じ効果が得られます。 エージェントをインストールする時に指定した設定情報は、OVO では変更できません。これら の設定情報を変更するには、Windows のコントロールパネルを使います。 Windows 管理対象ノードでのインストール用ログファイル Windows では、エージェントのインストールスクリプト opc_inst.vbs を実行するとログファ イル opc_inst.log が作成され、そこにインストールの手順と結果が自動的に記録されます。 インストールスクリプトの実行中は、このファイルはインストールを実行しているユーザー ( デ フォルトは Administrator) の %TMP% にあります。 このファイルは、インストールが正常に終了した後、<OVInstDir>¥data¥log へコピーされま す。 112 第5章 HTTPS 管理対象ノードでの作業 Windows インストールサーバーの設定 Windows インストールサーバーの設定 OVO HTTPS エージェントは、インストールサーバーシステムを使って、Windows システムに 完全に自動でインストールできます。インストールサーバーは、OVO HTTPS エージェントが インストールされた、通常の Windows 管理対象ノードです。OVO HTTPS エージェントをイン ストールした後、OVO 管理サーバー上で OVO 管理者 GUI または inst.sh を使って他の Windows HTTPS ノードをインストールできます。ターゲットノードで opc_inst.vbs ユー ティリティを手作業で実行する必要はありません。 注記 ターゲットノードの[通信オプション]ウィンドウでインストールサーバーを設 定する必要があります。 次の項目は、インストールサーバーとして動作する OVO HTTPS エージェントに必要な固有の 設定情報を示しています。 • OVO エージェントを提供するインストールサーバーとして動作する Windows システムは、 [OVO 登録ノード]に登録されている必要があります。また、ターゲットノードと同じ通信 タイプ (HTTPS) である必要があります。 • インストールサーバーとして動作する OVO エージェントは、幅広い能力 ( 下記参照 ) で実行さ れるため、専用のインストールサーバーシステムを使用することを推奨します。インストー ルサーバーとして動作する OVO エージェントは、いかなるポリシーやインスツルメントも 受け入れないことで、偶発的に、あるいは悪意により、これらの能力のある機能が起動され るという事態を避けるべきです。 • OVO エージェントは、Windows の標準アクセスメカニズムを使ってターゲットシステムに アクセス可能なユーザーとして実行する必要があります。特に、ターゲットシステムにファ イルをコピーできなければなりません。 第5章 113 HTTPS 管理対象ノードでの作業 Windows インストールサーバーの設定 Windows のインストールサーバーとして動作する OVO HTTPS 管理対象ノードを設定するに は、次の手順に従います。 1. ターゲットシステムに OVO エージェントをインストールし、Windows サービスとして開始 します。これを行うには、OVO エージェントを次のいずれかのユーザーで実行するように します。 • ドメイン管理者 • 次の権限を所有するユーザー — ネットワーク接続権限 — Windows パススルー認証が可能 ( 両方のノードで同一のユーザー / パスワード ) — ターゲットノード上での管理者権限 インストールサーバーを使って、Windows エージェントソフトウェアをインストールする 場合は、インストールサーバーとして動作する OVO エージェントは、SYSTEM( デフォル ト ) として実行することはできません。このユーザーは、リモートシステムにアクセスでき ないためです。このエージェントは、通常の Windows アクセスメカニズムを使ってター ゲットの管理対象ノードの管理者用ドライブにアクセス可能なユーザーアカウントで実行す る必要があります。 インストールサーバーとして動作する OVO エージェントの実行ユーザーを変更するには、 以下の手順に従います。 2. 次のコマンドを使って、OVO エージェントを停止します。 ovc -kill 3. 使用する Windows ユーザーアカウントを作成します。 4. 次のコマンドを入力します。 cscript <InstallDir>¥bin¥ovswitchuser.vbs -existinguser <user> -existinggroup <group> -passwd <user_pwd> このコマンドの実行時間は数分で、次の変更を行います。 • OVO データファイルのパーミションの変更 • Windows サービスのスタートアップユーザーの変更 5. ovswitchuser.vbs の制約により、次の手順を実行します。 a. [コントロールパネル -> 管理ツール -> サービス]を選択します。 114 第5章 HTTPS 管理対象ノードでの作業 Windows インストールサーバーの設定 b. HP OpenView Ctrl Service を実行する Windows ユーザーを変更し、ユーザーパスワー ドを再入力します。 c. このユーザが「サービスとしてログオン」権限を持っていることを確認します。 6. 次のコマンドを使って、エージェントを起動します。 ovc -start 7. 次のように、プロセスが実行中であること、および実行しているユーザーを確認します。 a. ovc b. [ タスクマネージャ]を開いて、ユーザーを表示します。 第5章 115 HTTPS 管理対象ノードでの作業 DCE エージェントから HTTPS エージェントへの移行 DCE エージェントから HTTPS エージェントへの移行 警告 OVO エージェントソフトウェアのメジャーバージョンは、OVO 管理サーバーの メジャーバージョン以下である必要があります。たとえば、OVO バージョン A.08.x の HTTPS エージェントは、OVO バージョン A.07.1x の管理サーバーとは 通信できません。 A.07.1x 管理サーバーと A.08.x 管理サーバーを持つフレキシブル管理環境で運用 している場合には、すべての管理サーバーを OVO バージョン A.08.x にアップグ レードするまでは、すべての OVO エージェントはバージョン A.07.1x のままで ご利用ください。 注記 OVO 7.1 エージェントを HTTPS エージェントにアップグレードすると、 opcinfo ファイルが変換されます。opcinfo ファイルのコピーは、ローカルの /tmp/opcinfo.save ファイルに保存されます。 DCE エージェントを HTTPS エージェントに移行するには、以下の手順を実行します。 1. OVO 管理サーバーで、次の手順を実行します。 エージェントのプロファイル生成の準備として、inst_defaults_base.ini ファイルが ノードに対して適切に設定されているかを確認します。この手順は、サブネットまたはドメ イン全体で、一度しか実行する必要がありません。 2. [ 登録ノード ] から、ノードを選択します。 [OVO 登録ノード ] ウィンドウの管理者 UI のメニューバーで、次のように操作して、[ ノード の変更 ] ウィンドウ ( 図 5-1 を参照 ) を開きます。 [ アクション : ノード -> 変更 ] [ ノードの変更 ] ウィンドウで、エージェントタイプを選択します。たとえば MS Windows (HTTPS) です。 3. 次のメニュー項目を選択して、新しいエージェントソフトウェアをインストールします。 [ アクション : エージェント -> ソフトウェアと設定のインストール / 更新 ] テンプレート、アクション、コマンド、およびモニターは、[OVO ソフトウェアと設定のイン ストール / 更新 ] で選択した場合に、管理対象ノードシステムに再インストールされます。 116 第5章 HTTPS 管理対象ノードでの作業 DCE エージェントから HTTPS エージェントへの移行 DCE エージェントを削除するかどうかを確認するプロンプトが表示されたら、そのプロン プトを承諾して、HTTPS エージェントのインストールを継続します。 ローカル DCE に固有のエージェント設定は、自動的に HTTPS エージェントのフォーマッ トに変換されます。これには、opcinfo の設定、ECS のデータストアとファクトストア、組 み込みパフォーマンスエージェントデータベースファイルが含まれます。 4. リモートノードへのエージェントソフトウェアのインストールが終了したら、インストール ステータスを以下のいずれかのコマンドで確認します。 • 管理対象ノードシステムでは、次のコマンドを実行します。 ovc -status • OVO 管理サーバーシステムでは、次のコマンドを実行します。 opcragt -status <nodename> メッセージブラウザに配布が正常終了したことを示すメッセージが表示されます。 第5章 117 HTTPS 管理対象ノードでの作業 HTTPS エージェントの DCE エージェントへの移行 HTTPS エージェントの DCE エージェントへの移行 注記 OVO 7.1 エージェントを HTTPS エージェントにアップグレードすると、 opcinfo ファイルは変換が行われます。opcinfo ファイルのコピーは、ローカル の /tmp/opcinfo.save ファイルに保存されます。 しかし、HTTPS エージェントを DCE エージェントへ移行する場合には、設定情 報の opcinfo ファイルへの変換は行なわれません。eaagt 名前空間の設定情報を 取得して、その情報のコピーを作成する必要があります。このデータは HTTPS エージェントを削除する前に、次のコマンドを実行すると表示されます。 ovconfget DCE エージェントをインストールしたら、設定情報を手作業で opcinfo ファイ ルに書き込み、各キーと値の間にある等号 = を削除します。 HTTPS エージェントを DCE エージェントへ移行するには、以下の手順を実行します。 1. HTTPS エージェントを DCE エージェントへ移行するときには、設定情報の opcinfo ファ イルへの変換は行なわれません。 このデータは HTTPS エージェントを削除する前に、次のコマンドを実行して表示します。 ovconfget eaagt 名前空間の設定情報を取得して、その情報のコピーを作成する必要があります。 2. [ 登録ノード ] からノードを選択します。 [OVO 登録ノード ] ウィンドウの管理者 UI のメニューバーで、次のように操作して、[ ノード の変更 ] ウィンドウ ( 図 5-1 を参照 ) を開きます。 [ アクション : ノード -> 変更 ] [ ノードの変更 ] ウィンドウで、エージェントタイプを選択します。たとえば MS Windows (HTTPS) です。 3. 次のメニュー項目を選択して、新しいエージェントソフトウェアをインストールします。 [ アクション : エージェント -> ソフトウェアと設定のインストール / 更新 ] テンプレート、アクション、コマンド、およびモニターは、[OVO ソフトウェアと設定のイン ストール / 更新 ] で選択した場合に、管理対象ノードシステムに再インストールされます。 118 第5章 HTTPS 管理対象ノードでの作業 HTTPS エージェントの DCE エージェントへの移行 HTTPS エージェントを削除するかどうかを確認するプロンプトが表示されたら、そのプロ ンプトを承諾して、DCE エージェントのインストールを継続します。 4. DCE エージェントをインストールしたら、HTTPS のインストールを基に設定情報を手作業 で opcinfo ファイルに書き込み、各キーと値の間にある等号 = を削除します。 5. リモートノードへのエージェントソフトウェアのインストールが終了したら、インストール ステータスを以下のいずれかのコマンドで確認します。 • 管理対象ノードシステムでは、次のコマンドを実行します。 ovc -status • OVO 管理サーバーシステムでは、次のコマンドを実行します。 opcragt -status <nodename> メッセージブラウザに配布が正常終了したことを示すメッセージが表示されます。 第5章 119 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール 手作業による HTTPS 管理対象ノードのインストール 状況によっては、OVO HTTPS エージェントソフトウェアを管理サーバーを使わずにインス トールしたい場合があります。たとえば、手作業で事前にインストールしたシステムを準備して おき、ネットワークにそのシステムを接続した段階で OVO の管理対象ノードとするというよう なケースです。手作業によるインストールは、多くのシステムを特定の場所で集中的に用意した り、通常のインストールとは違うネットワーク接続を設定したりする場合に便利です。また、シ ステムがファイアウォールや HTTP プロキシの背後にあって、手作業でしかインストールでき ないというケースもあります。 証明書をインストールするためのヒント エージェントをインストールしたノードでは、OVO 管理サーバーの登録ノードリストにまだ追 加していない段階でも、証明書リクエストを発行できます。しかしこの段階で証明書リクエスト を発行しても、登録ノードリストでどのノードにも自動的にはマップできないため、[ ノード証 明書リクエスト ] ウィンドウの証明書リクエストリストで保留扱いとなります。 [OVO ノード証明書リクエスト ] ウィンドウで [ 証明書リクエスト ] を選択した後、[ 登録ノードへ ノードを追加 ] ボタンをクリックすることで、保持エリアにそのノードを追加できます。その場 合 [ ノードの追加 ] ウィンドウが開くので、フィールドを編集して、そのノードを保持エリアに 追加します。証明書リクエストは自動的にノードへマップされますが、この段階ではまだ承諾さ れません。証明書リクエストの承諾は、管理者が必要に応じて手作業で行う必要があります。 証明書リクエストが承諾されると、証明書サーバーは証明書に署名して証明書クライアントに送 ります。証明書クライアントはここまできてはじめて証明書をノードにインストールできます。 注記 手作業によるエージェントインストールでは、タイプとしてリモート証明書分配 を使うことができます。 リモート証明書分配または手作業によるインポートで証明書をノードにインストールした後、証 明書クライアントから証明書サーバーに対して、証明書が正常にインストールできたことが知ら されます。この知らせを受け取った証明書サーバーは、そのことを証明書サーバーアダプタに知 らせます。その時点で、証明書サーバーアダプタはデータベースで管理しているノード証明書の 状態をインストール済みに設定します。 証明書の詳細な処理方法は、135 ページの第 6 章 「証明書を使った作業」を参照してください。 証明書の処理に関するトラブルシューティング は、274 ページの「証明書分配に関する問題」を 参照してください。 120 第5章 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール エージェントをパッケージファイルから手作業でインストールする方法 エージェントのインストールには、スーパーユーザー権限 ( たとえば UNIX では root、 Windows では Administrator) が必要です。なぜなら、OVO エージェントをインストールす る際に使用するネイティブインストーラ (HP-UX では swinstall、Windows では MSI) の実行 に、スーパーユーザー権限が必要だからです。 パッケージファイルから手作業でエージェントをインストールするには、以下の手順を実行しま す。 1. ノードのステータスをチェックし、設定の種類を選択 • システムが既に[登録ノード]に追加されているかを確認します。必要に応じてシステ ムを[登録ノード]に追加します。 • 管理対象ノードのインストール方法を決定します。 — 設定作業なし ( システムが[登録ノード]に未登録時のみ ) — カスタマイズ設定 ( システムは[登録ノード]に既に登録されている必要があります ) — デフォルト設定 選択したインストール方法によって、以下の手順のうちどれを実行する必要があるかが 決まります。 2. デフォルトプロファイルの作成 注記 このステップは、管理対象ノードが[登録ノード]に既に登録されていて、 設定がカスタマイズされている場合にのみ必要となります。 OVO 管理サーバーシステムで、次のコマンドを使ってデフォルトプロファイルを作成しま す。 /opt/OV/bin/OpC/opcsw -create_inst_info <nodenames> <nodenames> に指定された各ノードに対して、次のファイルが作成されます。 /var/opt/OV/share/tmp/OpC/distrib/<hex_IP_addr>.i このファイルには、IP アドレスが <hex_IP_addr> である管理対象ノードのインストール時 のデフォルト設定が含まれます。このファイルは、リモートエージェントインストール (inst.sh) 時に自動的にターゲットの管理対象ノードへコピーされます。また、手作業の エージェントインストールで使うこともできます。 第5章 121 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール 管理対象ノードの名称と hex_IP_addr とのマッピングを確認するには、次のコマンドを実行 します。 /opt/OV/bin/OpC/install/opc_ip_addr <nodename> このコマンドにより、指定した管理対象ノードの hex_IP_addr が出力されます。 システムが[OVO 登録ノード]に追加された後、 /var/opt/OV/share/tmp/OpC/distrib/<hex_IP_addr>.i プロファイルファイルを管理 対象システムにコピーします。 3. OVO エージェントコンポーネントの管理対象ノードへのコピー OVO 管理対象ノードパッケージ、インストールスクリプト、パッケージの説明を管理対象 ノードの一時ディレクトリにコピーします。 OVO 管理サーバーからコピーする必要のあるファイルは、次のとおりです。 • HPOvBbc.<platform> HPOvBbc.xml • HPOvConf.<platform> HPOvConf.xml • HPOvCtrl.<platform> HPOvCtrl.xml • HPOvDepl.<platform> HPOvDepl.xml • HPOvEaAgt.<platform> HPOvEaAgt.xml • HPOvPCO.<platform> HPOvPCO.xml • HPOvPacc.<platform> HPOvPacc.xml • HPOvPerlA.<platform> HPOvPerlA.xml • 122 HPOvSecCC.<platform> 第5章 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール HPOvSecCC.xml • HPOvSecCo.<platform> HPOvSecCo.xml • HPOvXpl.<platform> HPOvXpl.xml • opc_inst (UNIX の場合 ) または [cscript] opc_inst.vbs (Windows の場合 ) 以下は、オプションの言語パッケージです。 • HPOvLcja.<platform> HPOvLcja.xml • HPOvEaAja.<platform> HPOvEaAja.xml • HPOvEaAes.<platform> HPOvEaAes.xml • HPOvEaAko.<platform> HPOvEaAko.xml • HPOvEaAzS.<platform> HPOvEaAzS.xml .xml ファイルはすべてのアーキテクチャに共通です。 サポートされているプラットフォームのデポファイルには、プラットフォームを示すための 固有な拡張子 <platform> が付いています。<platform> の値は、次のとおりです。 depot.Z HP-UX ノード用のファイル sparc.Z Solaris ノード用のファイル rpm.gz Linux ノード用のファイル msi Windows ノード用のファイル これらのファイルは、管理サーバーの次のディレクトリにあります。 第5章 123 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール /<OvDataDir>/share/databases/OpC/mgd_node/vendor/ ¥ <vendor>/<newarch>/<ostype>/A.08.10.xx/RPC_BBC/ <vendor>/<newarch>/<ostype> の具体的な例を次に示します。 hp/pa-risc/hpux1100 hp/ia64-32/hpux1122 ms/x86/winnt ms/ipf64/winxp linux/x86/linux24 linux/ipf64/linux24 sun/sparc/solaris7 4. エージェントソフトウェアのインストール UNIX システム上では、エージェントのインストールスクリプトのパーミッションを変更し て、確実に実行可能にする必要がある場合があります。パーミッションを変更する必要があ る場合には、次のコマンドを入力します。 chmod +x ./opc_inst エージェントを手作業でインストールして設定するには、以下の 3 通りの方法があります。 • デフォルト設定 • 設定作業なし ( 後日、設定を行う ) • カスタマイズ設定 ( 設定ファイルの指定が必要 ) 選択した設定方法に従って、以下の適切な項目を実行してください。 • デフォルト設定の管理対象ノード 管理対象ノードをデフォルト設定でインストールにするには、パッケージがコピーされ たテンポラリディレクトリで、エージェントインストールスクリプト opc_inst を起動 します。各オペレーティングシステムで opc_inst の起動に使用するコマンドを以下に 示します。 UNIX システムの場合: ./opc_inst -srv <management_server_name> ¥ -cert_srv <certificate_server_name> Windows システムの場合: 124 第5章 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール [cscript] opc_inst.vbs -srv <management_server_name> -cert_srv <certificate_server_name> リモート管理対象ノードのインストールと設定が完了するまで待ちます。 カスタマイズ設定の管理対象ノードのインストール、設定、有効化 • [登録ノード]に既に追加されたシステムで、カスタマイズ設定を行い、手順 2 で作成し たプロファイルを有効にするには、次のコマンドのいずれかを実行します。 — opc_inst -configure <hex_IP_addr>.i — opcactivate -configure <hex_IP_addr>.i リモート管理対象ノードのインストールと設定が完了するまで待ちます。 設定は local_settings に格納され、DCE ノードの opcinfo 設定と同様に、高い優先 順位を持ちます。 これらの共通設定は OVO 管理サーバーの次のファイルに保存しておくことができます。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults パラメータの設定方法の例が記述されたサンプル設定ファイルは、次の場所にあります。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults.sampl bbc_inst_defaults.sampl のコピーを作成し、それを bbc_inst_defaults と名前を 換えて、サンプルファイルで説明されている構文に従って変更します。 • 管理対象ノードソフトウェアのプリインストール ( 設定なし ) 管理対象ノードソフトウェアのプリインストールだけ行っておき、設定は後で行なうと いうケースもあります ( たとえば、他の部門が設定するような場合 )。このような場合 は、OVO 管理サーバーを指定しないで次のコマンドを実行します。 ./opc_inst -no_start このコマンドを実行するとエージェントソフトウェアはインストールされますが、プロ セスは起動されません。 ノードをアクティブにしてプロセスを起動するという必要が発生した時点で、選択した 設定方法に従って次のいずれかのコマンドを実行します。 デフォルト設定の場合には、次のコマンドを入力します。 ./opcactivate -srv <management_server_name> ¥ -cert_srv <certificate_server_name> カスタマイズ設定の場合には、次のコマンドを入力します。 第5章 125 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール opcactivate -configure <hex_IP_addr>.i リモート管理対象ノードのインストールが完了するまで待ちます。 ヒント opcactivate 呼び出しが失敗した後、MANAGER_ID パラメータをリセッ トする場合には、手作業で MANAGER_ID を設定するか、OVO 管理サー バーと管理対象ノード間の通信を確立させて、再度、opcactivate を実 行します。この手順を以下に示します。 — 管理サーバーシステムで次のコマンドを入力します。 /opt/OV/bin/ovcoreid -ovrg <management_server_name> 管理対象ノードで次のコマンドを入力し、OVO 管理サーバーの OvCoreId の値を指定します。 ovconfchg -ns sec.core.auth -set MANAGER_ID <management_server_ovcoreid> — 管理対象ノードで次のコマンドが正常に実行できることを確認しま す。 bbcutil -ping http://<management_server_name> 再度、opcactivate を呼び出します。 この方法は、すべての環境で実行できるわけではありません。たとえ ば、管理対象ノードから管理サーバーへの接続では、SSL なしの HTTP 接続は許可されません。 5. 管理対象ノードのログファイルの調査 インストール中にエラーが発生していた場合は、その問題を解決して、インストールし直し ます。エラー情報は、その管理対象ノードのネイティブインストーラのログファイルに書き 込まれています。たとえば HP-UX の場合、ログファイルは次の場所にあります。 /var/adm/sw/swagent.log またこれとは別に、opc_inst は、すべてのプラットフォームで次の場所にログファイルを 作成します。 /<OvDataDir>/log/opc_inst.log 6. 証明書リクエストのマッピング 126 第5章 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール OVO 管理サーバーで、必要に応じて新しくインストールされた管理対象ノードに証明書リ クエストをマッピングします。 a. [登録ノード]ウィンドウで次のようにメニューを選択します。 [アクション -> ノード -> OVO 証明書リクエスト] [OVO ノード証明書リクエスト]ウィンドウが表示されます。 b. 新しくインストールされた管理対象ノードからの証明書リクエストがマッピングされて いない場合は、このリクエストを選択します。 [登録ノードへノードを追加 ...]ボタンが有効になります。 [登録ノードへノードを追加 ...]ボタンをクリックします。このノードに関する[ノー ド変更]ウィンドウが表示されます。[ノード変更]ウィンドウで [OK] をクリックしま す。 このノードは、保持エリアに入ります。 7. 証明書リクエストの承諾 OVO 管理サーバーで、新しくインストールされたノードの証明書リクエストを承諾します。 a. [OVO ノード証明書リクエスト]ウィンドウで、新しくインストールされたノードのマッ ピング済みリクエストを選択します。 マッピング済みリクエストが存在していると[承諾 ] ボタンが有効になります。このボ タンをクリックしてその証明書リクエストを承諾します。 b. [OVO 証明書リクエスト]ウィンドウを閉じます。 8. プリインストールしたノードを[OVO 登録ノード]へ追加 プリインストールしたノードの場合、OVO 管理サーバー上で[OVO 登録ノード]に追加し ます。 a. [保持エリア]ウィンドウを開きます。 b. ノードを[登録ノード]に移動します。 c. ドラッグアンドドロップで、ノードを[OVO 登録ノードグループ]ウィンドウのノードグ ループに移動させます。 または、 opcnode ツールを使います。 たとえば HP-UX 11 ノードの場合、次のコマンドを実行します。 第5章 127 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール /opt/OV/bin/OpC/opcnode -add_node mach_type=MACH_BBC_HPUX_PARISC ¥ net_type=NETWORK_IP group_name=<node_group> ¥ node_name=<node_name> node_label=<node_label> 詳細は、opcnode のマンページを参照してください。 d. メッセージブラウザが既に開かれている場合は、ブラウザの再ロードを要求します。 ノードからのすべてのメッセージが表示されます。 9. データベースを更新して、ノードに対するハートビートポーリングを開始 ネットワークにノードを接続した後、OVO 管理サーバーでコマンド行から次のコマンドを 実行します。 /opt/OV/bin/OpC/opcsw -installed <node> 10. 管理対象ノードで OVO エージェントが動作していることを確認 次のコマンドを実行します。 /opt/OV/bin/OpC/opcragt -status <node> 注記 管理対象ノードには有効な証明書をインストールしておく必要があります。 証明書が無効であるとエージェントが動作しないので、検証は失敗します。 opc_inst と opcactivate の比較 • 手作業で opc_inst を使ってエージェントソフトウェアをインストールすると、ノードが有 効になります。opc_inst ツールは、ソフトウェアパッケージをインストールし、 opcactivate を呼び出します。opcactivate は、初期設定パラメータの一部を設定します。 ノードを有効にするための別の手順は不要です。 • opcactivate の目的は、エージェントを設定して次の 3 つの基本設定を確立することです。 sec.core.auth:MANAGER opc_inst と opcactivate の -srv オプションに対応します。 sec.cm.client:CERTIFICATE_SERVER opc_inst と opcactivate の -cert_srv オプションに対応します。 sec.core.auth:MANAGER_ID 128 第5章 HTTPS 管理対象ノードでの作業 手作業による HTTPS 管理対象ノードのインストール MANAGER_ID 設定により、エージェントへのアクセスを許可する外部ユーザーを定義します。 デフォルトでは、OVO 管理サーバーになるため、管理サーバーの core_ID が必要になりま す。 このパラメータの扱い方は、opc_inst と opcactivate では同一ではありません。 opcactivate では、bbcutil -ping (SSL なし ) を使って OVO 管理サーバーへの接続を試 みます (MANAGER_ID 設定 )。管理サーバーに接続できない場合には、MANAGER_ID パラメー タは設定できません。また、エージェントに有効な証明書がなければ、管理サーバーとエー ジェント間の通信を行うことはできません。 • エージェントプロファイル使用時 — 上述の 3 つの設定すべてが自動的に組み込まれます。 — 次のデフォルトファイル中の管理対象ノードで有効な設定すべてが組み込まれます。 /etc/opt_OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults — 管理対象ノードの core_ID が管理サーバーのデータベースから入手可能な場合には、 core_ID が組み込まれます。 第5章 129 HTTPS 管理対象ノードでの作業 コピーイメージを使った管理対象ノードのインストール コピーイメージを使った管理対象ノードのインストール 同じような管理対象ノードを数多くインストールする場合は、代表的なシステムの設定をコピー したイメージを作成し、そのイメージを基本にして他のシステムのインストールに利用すると、 作業がはかどります。ここでは、コピーイメージの使用についての基本的な情報を説明します。 詳細は、次のホワイトペーパーを参照してください。 『HP OpenView Operations Installing Agents Using Clone Images』 このホワイトペーパーは、次の Web サイトから入手できます。 http://ovweb.external.hp.com/lpe/doc_serv/ [operations for unix] とバージョン [8.x] を選択してください。 OVO では、次の 2 つのレベルでコピーイメージを作成すると便利です。 • OVO 管理対象ノードシステムにインストールされているエージェントソフトウェア • OVO 管理対象ノードシステムにインストールされているエージェントソフトウェアとその ノードに配布されたポリシー コピーイメージには、コピー元管理対象ノードに固有な ID OvCoreId を含めないようにします。 コピーしたすべてのシステムに同じ ID が含まれていると手作業で修正しなければならないので、 各管理対象ノードを混乱することなく認識できるようになるまでに多くの労力が必要となりま す。 コピーイメージを使った OVO 管理対象ノードソフトウェアのインストールは、次の手順で行い ます。 1. OVO 管理対象ノードソフトウェアをインストールし、コピー元システムを設定します。 2. 次のコマンドを実行して、すべての管理対象ノードプロセスを停止します。 ovc -kill 3. 次のコマンドを実行して、コピー元管理対象ノードにインストールされている証明書をすべ て表示します。 /opt/OV/bin/ovcert -list 130 第5章 HTTPS 管理対象ノードでの作業 コピーイメージを使った管理対象ノードのインストール 出力が次の形式で表示されます。 +----------------------------------------------+ | キーストアの内容 | +----------------------------------------------+ | 証明書 : | | edb87a09-1511-75ff-13c1-f6aef454aa2b (*) | | edb... | +----------------------------------------------+ | 信頼できる証明書 : | | CA_edb66a23-1422-04ff-77c1-f1aef555aa1b | | CA_edb... | +----------------------------------------------+ 4. 次のコマンドを実行して、コピー元管理対象ノードにインストールされている証明書をすべ て削除します。 /opt/OV/bin/ovcert -remove <certificate name> 次に例を示します。 /opt/OV/bin/ovcert -remove ¥ edb87a09-1511-75ff-13c1-f6aef454aa2b ¥ CA_edb66a23-1422-04ff-77c1-f1aef555aa1b 5. 次のコマンドを実行して、CERT_INSTALLED パラメータが FALSE に設定されているかを確認 します。 /opt/OV/bin/ovconfget パラメータが正しく設定されていない場合には、次のコマンドを実行して正しい値に設定し ます。 /opt/OV/bin/ovconfchg -ns sec.cm.certificates ¥ -set CERT_INSTALLED FALSE 6. 次のコマンドを実行して、コピー元管理対象ノードの OvCoreID 値を削除します。 /opt/OV/bin/ovconfchg -ns sec.core -clear CORE_ID 7. 証明書と OvCoreID 値のないシステムのコピーイメージを作成します。 8. 作成したイメージを新しい管理対象ノードシステムにコピーします。 9. 新しい管理対象ノードで次のコマンドを実行し、新しい OvCoreID 値を作成します。 ovcoreid -create 第5章 131 HTTPS 管理対象ノードでの作業 コピーイメージを使った管理対象ノードのインストール 注記 OvCoreID の値を削除していなかった場合は、-force オプションを使って上 書きする必要があります。 10. opcactivate コマンドを実行して、証明書リクエストを OVO 管理サーバーに送ります。 ./opcactivate -srv <srv_name> 注記 132 コピー元管理対象ノードにポリシーがすでに配布されていた場合は、慎重に作業 してください。コピーイメージから作成した新しい管理対象ノードの設定で、コ ピー元管理対象ノードを管理している OVO 管理サーバーとは異なるサーバーへ 報告するように指定すると、元の OVO 管理サーバーの認証局が署名したポリ シーは信頼性が失われてしまいます。これらのポリシーの信頼性を維持するには、 新しいノードの mgrconf で、元の OVO 管理サーバーのホスト名を二次マネー ジャとして追加します。 第5章 HTTPS 管理対象ノードでの作業 エージェントの削除 エージェントの削除 エージェントは、HTTPS 管理対象ノードから自動または手作業で削除できます。 エージェントの自動削除 エージェントを自動的に削除する方法は、『OVO システム管理リファレンスガイド』を参照して ください。 手作業によるエージェントの削除 OVO エージェントを HTTPS 管理対象ノードから手作業で削除するには、次の手順を実行しま す。 UNIX 管理対象ノードの場合 : 1. インストールディレクトリに移動します。 cd /opt/OV/bin/OpC/install 2. 次のコマンドを実行します。 ./opc_inst -r Windows 管理対象ノードの場合 : 1. 管理対象ノードで実行されているすべての OVO エージェントを停止します。 2. 次のコマンドを実行します。 $INSTALLDIR¥bin¥OpC¥install¥opc_inst.vbs -r 削除エラー 削除中にエラーが発生した場合は、そのノードの削除ログファイルをチェックします。そのノー ドのネイティブインストーラのログファイルにエラー情報が書き込まれています。たとえば HP-UX では、次の場所にログファイルがあります。 /var/adm/sw/swagent.log と /var/adm/sw/swremove.log Windows 管理対象ノードの場合は、次の場所にログファイルがあります。 %SYSTEMROOT%¥temp¥inst.log 第5章 133 HTTPS 管理対象ノードでの作業 エージェントの削除 またこれとは別に、opc_inst は、すべてのプラットフォームで次の場所にログファイルを作成 します。 /<OvDataDir>/log/install_bbc.log 134 第5章 6 証明書を使った作業 第6章 135 証明書を使った作業 証明書の作成と分配 証明書の作成と分配 ネットワークの通信に暗号化を伴う SSL (Secure Socket Layer) プロトコルを使う場合は、証明 書が必要です。このネットワーク通信では、サーバー側の認証とクライアント側の認証を行いま す。管理対象環境の管理対象ノードは証明書を使って識別します。2 つの管理対象ノード間で 「SSL ハンドシェーク」が成功するのは、送信側の管理対象ノードが提示した証明書の発行局が、 受信側の管理対象ノードで信頼のおける発行局であると証明された場合に限ります。 証明書は、自動または手作業でインストールできます。詳細は、以下の項を参照してください。 • 139 ページの「証明書の自動分配」 • 145 ページの「手作業の分配に使う証明書を作成する方法」 • 149 ページの「インストールキーを使って証明書を手作業で分配する方法」 証明書のインストールは、OVO メッセージで監視できます。証明書リクエストが自動的に承諾 されると、証明書が正常に分配されたことを確認する通知メッセージが、メッセージブラウザに 送られます。証明書リクエストが自動的に承諾されなかった場合は、メッセージブラウザにメッ セージが表示されて、リクエストの拒否理由と、管理者がこの問題を解決するために取るべき手 順が示されます。 証明書の管理は、[ ノード証明書リクエスト ] ウィンドウから行います。このウィンドウは、次の ように選択して開きます。 [ アクション : ノード -> OVO 証明書リクエスト ] [ ノード証明書リクエスト ] ウィンドウでは、次の管理作業を行うことができます。 • 証明書リクエストの承諾、拒否、削除 • 証明書リクエストと登録ノード内の対応するノードとのマッピング • 証明書リクエストの流れの追跡 • 保持エリアへのノードの追加 136 第6章 証明書を使った作業 証明書の作成と分配 ノードリストボックスに表示されているノードを選択して、[ 承諾 ]、[ 拒否 ]、[ 削除 ] などのア クションを起動すると、そのアクションが実行され、ノードがリストボックスから削除されま す。リストの内容は証明書サーバーによっても更新されることがあります。また、ウィンドウ内 のリストは 10 分ごとに自動的に更新されます。 図 6-1 [ ノード証明書リクエスト ] ウィンドウ [ ノード証明書リクエスト ] ウィンドウに表示されるノード情報 ホスト名 証明書リクエスト発行側ノードのホスト名 (ID として一意ではありません ) IP アドレス 証明書リクエスト発行側ノードの IP アドレス (ID として一意ではありません ) OvCoreID OVO HTTPS ノードを一意に識別できる唯一の ID。リクエストを承諾する と、この OvCoreID のノードから発信されるすべての通信を承諾したことにな ります。ホスト名は変更できますが、OvCoreID はノードを示す一意な ID と してそのままです。 マップ先 リストにある証明書リクエストのマップ先ノードのホスト名。まだマップされ ていないリクエストの [ マップ先 ] カラムは空欄になっています。[ すべての マップされた要求を選択 ] をクリックすると、ホスト名が [ マップ先 ] カラムに 表示されているホスト名と同じすべての証明書リクエストが選択されます。 143 ページの「指定したノードへマップ」を参照してください。 第6章 137 証明書を使った作業 証明書の作成と分配 プラットフォーム OVO 管理対象ノードのオペレーティングシステム 138 第6章 証明書を使った作業 証明書の自動分配 証明書の自動分配 証明書の最も一般的な分配方法は、OVO に証明書の作成、承諾、および分配を自動的に行わせ ることです。図 6-2 に、OVO が HTTPS 管理対象ノードに証明書を発行する例を示します。 図 6-2 証明書の分配処理 HTTPS エージェントソフトウェアを管理対象ノードシステムにインストールすると、そのノー ドシステムの証明書管理クライアントは、秘密鍵と証明書リクエストを作成します。秘密鍵は、 ネットワークを経由してサーバーシステムへ証明書リクエストを送信する際に、その証明書リク エストの暗号化に使われます。自動承諾はデフォルト設定では有効で、自動承諾待ち時間は 30 分に設定されています。設定されている待ち時間以内にリクエストが到着しなかった場合には、 [ ノード証明書リクエスト ] ウィンドウを使って、手作業で処理する必要があります。この待ち 時間を変更するには、次のコマンドを使います。 ovconfchg -ovrg server -ns opc -set ¥ OPC_CSA_AUTOGRANT_INTERVAL <time interval in minutes> メッセージが正しい鍵で暗号化されている場合に限って、受信側管理サーバーはその送信者を信 頼します。この方法では完全なセキュリティを確保できないので、高度な機密性を要する環境で は推奨できませんが、リクエストをプレーンテキストで送信するよりは安全です。このモード は、証明書リクエストと署名付き証明書の送信を短時間で行う場合にだけ使います。 第6章 139 証明書を使った作業 証明書の自動分配 機密性を要する環境では、証明書リクエストの自動承諾を無効にしておき、リクエストごとに管 理者が判断した後で、その有効性を承諾するようお勧めします。自動承諾を無効にするには、次 のコマンドを実行します。 ovconfchg -ovrg server -ns opc -set OPC_CSA_USE_AUTOGRANT <TRUE|FALSE> しかし、証明書を手作業でインストールするのがもっとも安全な方法であることに変わりはあり ません。 注記 OpenView の秘密鍵は、HP Openview の HTTPS セキュリティソフトウェアの一 部となっており、HTTPS ベースの HP Openview アプリケーションでは、特に指 定しない限り、この秘密鍵が使われます。ただし、OpenView がインストールさ れているどのシステムでも、この秘密鍵は同じです。 OpenView の秘密鍵は、ユーザーの設定した鍵で置き換えることができます。 OpenView では、この秘密鍵のことを、設定可能な秘密鍵と呼びます。設定可能 な秘密鍵の置き換えは、管理環境を設定する前に行うことができます。証明書リ クエストに使う秘密鍵を置き換える場合は、どのシステムでも証明書サーバーと 同じものを使うようにしてください。 設定可能な秘密鍵を使うことで、クライアントシステムが別の証明書サーバーシ ステム、たとえば、HP OpenView をインストールした他のシステムに証明書を リクエストできなくすることができます。 注記 証明書サーバーシステムは、証明書を作成して分配する前にセットアップされて アクティブになっている必要があります。 証明書の分配を自動的に行わせるには、HTTPS エージェントソフトウェアを管理対象ノードシ ステムにインストールします。インストールが終わると、OVO によって次の手順が実行されま す。 1. 管理対象ノードシステムで、証明書管理クライアントが新しい公開鍵 / 秘密鍵のペアを生成し ます。 2. 管理対象ノードシステムで、そのノードシステム用の証明書リクエストの発行が起動されま す。 3. 生成された秘密鍵が、暗号化されたファイルとして保管されます。 4. 証明書リクエストがこの秘密鍵によって暗号化され、証明書サーバーシステムに送信されま す。この段階では、まだこのノードシステムに有効な証明書がないので、SSL 接続を使わず に送信されます。 140 第6章 証明書を使った作業 証明書の自動分配 5. 証明書サーバーで証明書リクエストが復号化されます。正常に復号化された証明書リクエス トは、保留中の証明書リクエストを置くプールに追加されます。またこれと同時に、登録さ れているすべてのコンポーネントに通知が送られ、OVO イベントブラウザに、対応するエ ントリーが表示されます。 6. 証明書リクエストが、事前に設定されているいくつかの条件に従って、承諾または拒否され ます。条件には、たとえば、HTTPS エージェントソフトウェアをノードシステムにインス トールしてから 2 分以内にリクエストが発行されたかというようなものがあります。 注記 この手順の中で最もセキュリティが必要な部分は、証明書リクエストの承諾 です。リクエストの承諾者には、承諾者となる正当な根拠が求められます。 たとえば、あるノードにパッケージを配布した後でリクエストを待っている 管理者がいたとします。この場合、そのノードから証明書サーバーに送られ てきた証明書リクエストについては、その管理者が承諾者になるだけの根拠 があるといえます。 7. リクエストが承諾されると、証明書サーバーが証明書リクエストに署名します。署名された 証明書は秘密鍵によって暗号化され、発行元ノードシステムに送信されます。 証明書リクエストが拒否されると、サーバーシステムからノードシステムに対して、リクエ ストが拒否されたことを示すメッセージが送られます。またこれと同時に、OVO イベント ブラウザにも対応するエントリーが表示されます。 8. ノードシステムの証明書クライアントがこのレスポンスを受信します。証明書が承諾される と、その新しい証明書がインストールされ、SSL を使った認証された接続が行えるようにな ります。 証明書リクエストが拒否されると、証明書クライアントはその情報を保管して、リトライが 自動的には行えないようにします。 第6章 141 証明書を使った作業 HTTPS 管理対象ノードに対する証明書の管理 HTTPS 管理対象ノードに対する証明書の管理 証明書管理は、図 6-1 に示す [OVO 証明書リクエスト ] ウィンドウを使って行います。[OVO 証明書 リクエスト ] ウィンドウを開くには、次のいずれかを実行します。 • [登録ノード]ウィンドウの[アクション]メニューをクリックして[ノード: 追加...]を選択し、 ノード関連のサブマップから [OVO 証明書リクエスト ] メニュー項目を選択します。 • 証明書関連のメッセージを右クリックして、[OVO 証明書リクエスト ] メニュー項目を選択しま す。 [ ノード証明書リクエスト ] ウィンドウで実行できるアクション 承諾 選択した証明書リクエストを承諾します。承諾できるのはマップ済みのリクエ ストだけです。この操作が終了すると、証明書サーバーによって、ホスト名の リストが自動的に更新されます。 承諾できなかった証明書リクエストは選択中のままで残り、エラーメッセージ が表示されます。 選択した証明書リクエストの中にまだマップされてないリクエストがあった場 合は、そのリクエストが無視され、マップされていない証明書リクエストは承 諾できないということを知らせるメッセージが表示されます。選択した証明書 リクエストにマップ済みの証明書リクエストが 1 つもない場合は、[ 承諾 ] ボ タンが灰色になって押せなくなります。 拒否 選択した証明書リクエストを拒否します。この操作が終了すると、証明書サー バーによってホスト名のリストが自動的に更新されます。証明書リクエストの 拒否は、マップ済みか否かに関係なく行えます。証明書リクエストが選択され ている状態では、[ 拒否 ] ボタンが常に有効になっています。 削除 選択した証明書リクエストを削除します。この操作が終了すると、証明書サー バーによってホスト名のリストが自動的に更新されます。どの証明書リクエス トでも削除できます。証明書リクエストが選択されている状態では、[ 削除 ] ボタンが常に有効になっています。 すべてのマップされたリクエストを選択 マップ済みの証明書リクエストを選択します。ボタンは常に有効になっていま す。キューで待機しているリクエストのリストに選択されている証明書リクエ ストが 1 つもないときは、このボタンを押すと、リストの中にあるマップ済み のリクエストがすべて選択されます。証明書リクエストが 1 つでも選択されて いるときにこのボタンを押すと、最初に選択されていたリクエストの中から、 まだマップされていないリクエストがすべて選択解除されます。 142 第6章 証明書を使った作業 HTTPS 管理対象ノードに対する証明書の管理 すべての不明なノードを選択 登録ノードにないノードから発行されたリクエストを選択するときに使いま す。証明書リクエストが 1 つでも選択されているときにこのボタンを押すと、 最初に選択されていたリクエストの中から、登録ノードに存在しないノードか ら発行されたすべてのリクエストが選択解除されます。 登録ノードへノードを追加 証明書リクエストの発行元ノードを追加します。このボタンは、次の条件が 1 つでも満たされていれば有効になります。 • 選択した証明書リクエストの中に、まだマップされていないリクエストが 1 つでもある • 選択した証明書リクエストの中に、そのホスト名がマップ先と異なるだけ でなく登録ノードにもないリクエストが 1 つでもある 選択した証明書リクエストが 1 つだけの場合は、ホスト名が設定されプラット フォームのタイプが選択された状態で [ ノードの追加 ] ウィンドウが開きます。 複数の証明書リクエストを選択してこのボタンを押すと、確認ボックスがポッ プアップして表示され、複数のノードが登録ノードに追加されるがそれでよい かという警告が出されます。 [OK] をクリックすると、ノードが保持エリアに追加されます。ノードが保持エ リアに追加されると、対応するメッセージがメッセージブラウザに送られま す。すべてのノードが正常に追加されると、重要度が正常域のメッセージが送 られます。正常に追加できなかったノードが 1 つでもあると、重要度が危険域 のメッセージと、保持エリアへの追加に失敗したノードのリストが送られま す。 [ キャンセル ] をクリックすると、どのノードも保持エリアに追加されません。 証明書リクエストの項目をダブルクリックしたときは、選択した項目が 1 つだ けで、しかもその証明書リクエストがまだマップされていないか、あるいはホ スト名がマップ先と異なるかまたは登録ノードにない場合にのみ、[ ノードの追 加 ] ダイアログが開きます。 指定したノードへマップ 選択した証明書リクエストをマップします。このボタンは、マップされていな い証明書リクエストを 1 つだけ選択したときと、リクエストのホスト名がマッ プ先とは異なる場合に有効になります。システムは HTTPS OVO ノードであ る必要があります。正常にマッピング操作が終了すると、そのマッピング状況 に従ってマップ先のホスト名が変更されます。 第6章 143 証明書を使った作業 HTTPS 管理対象ノードに対する証明書の管理 証明書リクエストを証明書リクエストの発行元とは異なるホスト名のノードへ マップしようとすると、ポップアップウィンドウが開き、強制操作が必要であ るという警告が表示されます。 OK 動的な更新を停止して、[ ノード証明書リクエスト ] ウィンドウを閉じます。 144 第6章 証明書を使った作業 手作業の分配に使う証明書を作成する方法 手作業の分配に使う証明書を作成する方法 証明書の分配は手作業だけですべて行えます。また、そのようにすることで、SSL 通信が有効に なる前にネットワークを通して証明書関連の情報を送信するという危険を避けることができま す。ここで説明する方法では、証明書サーバーで公開鍵と秘密鍵のペアを生成し、管理対象ノー ドシステムに運びます。この方法は、証明書や鍵をネットワーク上に流したくないというほど高 い機密性が要求される環境でしばしば使われます。 注記 証明書サーバーシステムは、証明書を生成して分配する前にセットアップを完了 し、アクティブにしておく必要があります。 証明書サーバーで作成した証明書を手作業で分配するには、以下の手順を実行します。 1. 特に大規模な環境を扱う場合には、OVO 管理サーバー上で bbc_inst_defaults ファイルを 作成して、管理対象ノードの共通の設定を用意することができます。このファイルは次の場 所に存在する必要があります。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults 名前空間 sec.cm.client で、各管理対象ノードに次のタイプのエントリーを追加して、管 理対象ノードの分配タイプを手動に設定します。 <IP address> : CERTIFICATE_DEPLOYMENT_TYPE = MANUAL 例: 192.168.10.17 : CERTIFICATE_DEPLOYMENT_TYPE = MANUAL IP アドレスでワイルドカードを使うと、管理対象ノードの範囲を指定することができます。 詳細は、次のファイルを参照してください。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults.sampl また、bbc_inst_defaults ファイルの使用方法の例については、83 ページの「デフォルト ポートの変更」と 84 ページの「エージェントプロファイル」も参照してください。 2. OVO HTTPS エージェントソフトウェアを手作業でインストールする場合には、121 ページ の「エージェントをパッケージファイルから手作業でインストールする方法」の手順 2 の説 明に従って、デフォルトのプロファイルを作成してください。 3. 指定した管理対象ノードシステムに OVO HTTPS エージェント ソフトウェアを、GUI を 使って、手作業で、またはリモートで、インストールします。 第6章 145 証明書を使った作業 手作業の分配に使う証明書を作成する方法 4. 指定した管理対象ノードに割り当てられた OvCoreId の値をメモに記録します。OvCoreId は 以下のいずれかのコマンドを使って調べることができます。 • ovcoreid • ovconfget sec.core 管理者 GUI を使ってエージェントを新しくインストールすると、新しい OvCoreId が作成 されます。しかし、その管理対象ノードシステムに対する OvCoreId が OVO データベース にすでに存在する場合には、それが優先的に使われます。 エージェントソフトウェアを手作業でインストールする場合には、プロファイルを作成し、 それとソフトウェアパッケージを管理対象ノードシステムにコピーする必要があります。プ ロファイルには、OVO データベースから取り出されたオリジナルの OvCoreId が含まれま す。このプロファイルを、次のコマンドを使ってインストールします。 opc_inst -config <profile> 注記 リモートシステムに格納されている OvCoreId は、次のコマンドを使って調 べることができます。 bbcutil -ping http://<remote system> リモートシステムでは通信ブローカを動作させておく必要があります。 また、OvCoreId は、以下のコマンドを使ってローカルに表示することができ ます。 ovcoreid OVO データベース内で管理対象ノード用に格納されている OvCoreId の値 は、次のコマンドを使って表示できます。 opcnode -list_id node_list=<nodename> 5. OVO 管理サーバーシステムで、対象となる管理対象ノードが OVO 登録ノードに追加されて いることを確認します。 6. 証明書サーバーシステムで OpenView の管理者となって opccsacm コマンド行ツールを使い、 対象となる管理対象ノードの署名付き証明書とそれに対応する秘密鍵を手作業で作成しま す。この作業では、作成したデータを暗号化するためにパスワードを指定する必要がありま す。 146 第6章 証明書を使った作業 手作業の分配に使う証明書を作成する方法 注記 指定した管理対象ノードへ OVO HTTPS エージェントソフトウェアをインス トールする前に証明書を作成する必要がある場合は、以下のコマンドで OvCoreId (coreid パラメータ ) を指定します。OvCoreId は作成されており、 データベースに格納されています。この OvCoreId は、証明書のファイル名 の一部に使われます。管理対象ノードがすでに OVO データベースに格納され ている場合には、OvCoreId は次のコマンドで検索できます。 opcnode -list_id node_list=<node name> この値は、対応するノードシステムに OVO HTTPS エージェントソフトウェ アをインストールした後で、次のコマンドを使って設定する必要があります。 ovcoreid -set <id> -force OvCoreId がまだ格納されていない場合には、管理対象ノードの値を使いま す。 リモートシステム上に格納されている OvCoreId は、次のコマンドを使って 調べることができます。 bbcutil -ping http://<remote system> 通信ブローカがリモートシステム上で動作している必要があります。 また、次のコマンドを使って、ローカルに OvCoreId を表示することもでき ます。 ovcoreid 対象となる管理対象ノードの証明書を作成するには、OVO 管理サーバーシステムで、次の コマンドを実行します。 opccsacm -issue -file <filename> [-pass <password>] ¥ -name <full_qual_hostname> -coreid <OvCoreId> このツールは、作成する証明書を暗号化するためのパスワードを問い合わせてきます。この パスワードは、後で管理対象ノードシステムに証明書をインポートするときの復号化で必要 となります。 7. bbc_inst_defaults ファイル内で指定するか、次のコマンドを実行して、インストールタ イプを MANUAL に設定します。 ovconfchg -nssec.cm.client -set CERTIFICATE_DEPLOYMENT_TYPE MANUAL 署名付き証明書とそれに対応する秘密鍵およびルート証明書をすべて含むファイルを、フ ロッピーディスクまたは他のポータブルメディアにコピーします。 第6章 147 証明書を使った作業 手作業の分配に使う証明書を作成する方法 -file オプションが省略されている場合には、このファイルは次のディレクトリに置かれて います。 /<OvDataDir>/temp/OpC/certificates ファイル名の形式は次のとおりです。 <hostname>-OvCoreId.p12 8. 管理対象ノードシステムに移動し、次のコマンドを使ってローカルでエージェントを停止さ せます。 ovc -stop 9. コマンド行ツールの ovcert を使って、ポータブルメディアから証明書、信頼できるルート証 明書、秘密鍵をインストールします。証明書をインストールする時にパスワードが要求され るので、手順 6 で指定したパスワードを入力します。 次のコマンドを実行して、証明書をインポートします。 ovcert -importcert -file <file created in step 6> ツールから、手順 6 で指定したパスワードを問い合わせてきます。 注記 秘密鍵の入っているメディアは、資格のある人だけが使えるように厳しく管 理する必要があります。 10. インストールが終了したら、管理対象ノードから証明書インストールファイルを削除し、さ らにポータブルメディアの内容を削除するか、ポータブルメディアを安全な場所に保管しま す。 11. 次のコマンドを使って、エージェントをローカルに起動します。 ovc -start 12. 証明書サーバーシステムから証明書インポート用に作成したファイルを削除します。 148 第6章 証明書を使った作業 インストールキーを使って証明書を手作業で分配する方法 インストールキーを使って証明書を手作業で分配する方法 インストールキーを使って証明書を手作業で分配する方法には、秘密鍵がその所属システムから 外には出ないという利点があります。しかし、管理対象ノードシステムに証明書をインストール してしまうまでは、いくつかのセキュリティ関連データをネットワーク上に流す必要がありま す。 注記 証明書サーバーシステムは、証明書を作成して分配する前にセットアップしてお く必要があります。 インストールキーを使って証明書を手作業で分配するには、次の手順を実行します。 1. OVO エージェントソフトウェアを管理対象ノードシステムに手作業でインストールします。 詳細は、120 ページの「手作業による HTTPS 管理対象ノードのインストール」を参照して ください。 2. 証明書サーバーシステムで OpenView の管理者となり、新しいインストールキーの作成を起 動します。作成したキーを暗号化するためのパスワードを指定します。 opccsacm -geninstkey -file <filename> [-pass <password>] 証明書サーバーは、作成したキーをインストールキーのリポジトリに追加すると共に、いく つかの管理情報と共にファイルに書き込みます。 3. インストールキーの情報が入ったこのファイルを、フロッピーディスクまたは他のポータブ ルメディアにコピーします。 4. 対象となる管理対象ノードシステムのある場所に移動し、ovcert コマンド行ツールを使っ て、新しい証明書リクエストを起動します。新しい公開鍵と秘密鍵のペアが生成されます。 次のコマンドを実行します。 ovcert -certreq -instkey <filename> 暗号化されたリクエストが証明書サーバーに送信されます。 証明書サーバーは、リポジトリにあるキーを使ってリクエストを復号化します。正しいインス トールキーが使われていれば、証明書サーバーはそのリクエストを自動的に承諾し、署名付きの 証明書を管理対象ノードに返します。この時点で、インストールキーがリポジトリから削除され ます。無効なインストールキーが使われていた場合は、リクエストが自動的に拒否されます。 第6章 149 証明書を使った作業 インストールキーを使って証明書を手作業で分配する方法 150 第6章 7 OVO の仮想ノード 第7章 151 OVO の仮想ノード OVO の仮想ノード OVO の仮想ノード クラスタは複数のシステムまたはノードの集合であり、全体が 1 つの単位となって、アプリケー ション、システムリソース、データをユーザーに提供するように動作します。Veritas Cluster、 Sun Cluster、TruCluster などの最新のクラスタ環境では、アプリケーションはリソースの複合 体として表現されます。これらのリソースはリソースグループを構成し、リソースグループがク ラスタ環境で動作するアプリケーションを表現します。各リソースは、この複合体の中で特定の 機能を実行します。 OVO 8 から、ノードクラスタを管理するモデルが拡張され、クラスタ環境で動作するすべての アプリケーションに共通なメカニズムが用意されました。 用語 OVO では、高可用性を説明するために次の用語と略語が使われています。 高可用性に関係する一般的な用語 HA ( 高可用性 ) 高可用性とは、冗長なリソースを使ってダウンタイムから保護する必要のある、ビジネスクリ ティカルな環境の特徴を表す一般的な用語です。高可用性を実現するために、ほとんどの場合に クラスタシステムが使われます。 HA クラスタ ( 高可用性クラスタ ) 高可用性クラスタとは、MC/ServiceGuard (MC/SG)、Veritas Cluster、Sun Cluster などのク ラスタ管理アプリケーションによってグループ化されたハードウェアリソースのことです。複数 のコンピュータ、冗長なネットワーク接続、ミラー化されたストレージデバイスなどの冗長リ ソースによって高可用性が保証されます。 HA パッケージ | HA リソースグループ | クラスタパッケージ | HARG 152 第7章 OVO の仮想ノード OVO の仮想ノード これらの用語は、すべて、「クラスタ世界」で定義され、アプリケーションのインスタンスにリ ンクすることができるリソースを指すために使われます。このリソースはクラスタ上で動作し、 1 つのクラスタノードから別のクラスタノードへ切り替えることができます。クラスタパッケー ジは通常、「ネットワーク世界」の要素 ( 仮想ノード ) にもリンクしています。 仮想ノード 仮想ノードは、HA クラスタで動作するアプリケーションパッケージをネットワークの観点で表 したものです。一般に仮想ノードは、ホスト名と IP アドレスを持ち、名前解決メカニズムの対 象となり、通常のシステムと同様に扱うことができます。 物理ノード | クラスタノード クラスタハードウェアに属する 1 つのシステムであり、HARG のホストになることができます。 複数の物理ノードが集まってクラスタを構成します。 スイッチオーバー 負荷分散などの目的で、クラスタパッケージを 1 つのクラスタノードから別のクラスタノードに 計画的に切り替えることを意味します。 フェイルオーバー アプリケーションエラーなどが原因で、クラスタパッケージが 1 つのクラスタノードから別のク ラスタノードに非計画的に切り替わることを意味します。 OVO で使われるクラスタ用語 OVO 仮想ノード 第7章 153 OVO の仮想ノード OVO の仮想ノード OVO 仮想ノードは、OVO データベースと GUI の中で HA パッケージを表現するための概念で す。仮想ノードには、HA パッケージに属するホスト名と IP アドレスが割り当てられます。 OVO 仮想ノードは、HARG Name 属性を持ちます。通常、この属性の値は、HA リソースグルー プ名です。OVO 仮想ノードは、HA リソースグループが動作できる、クラスタ上の物理ノード で構成されます。 ClAw (Cluster Awareness) ClAw は、クラスタパッケージの起動イベントと終了イベントを監視するために使われる Openview の機能です。ClAw モジュールは、監視対象のクラスタの各物理ノードにインストー ルしておく必要があります。これは ClAw ソフトウェアは、ローカルノードの起動イベントと終 了イベントしか監視できないからです。ClAw モジュールは OVO HTTPS エージェントの一部 であり、その機能は ovconfd プロセスの中に含まれています。 APM (Application Package Monitor) APM は、クラスタパッケージの起動イベントと終了イベントを監視するために使われる Openview の機能です。APM は、OVO 7.x DCE エージェントの一部です。 機能の大部分は、opcapm プロセスに含まれていますが、残りの機能は、opcctla と opctemplate に含まれています。 APM の用途は ClAw と同じであり、ClAw の原型と言えます。APM は、OVO Windows 製品で 導入され、バージョン 7.10 以降の OVO UNIX でも利用できるようになりました。ただし、 APM は OVO UNIX では公開されませんでした。たとえば、DB SPI や Windows Exchange SPI が APM を使います。 HARG Name (High Availability Resource Group Name) HARG Name は、OVO 8 データベース内で OVO 仮想ノードに割り当てることができる文字列 属性です。OVO の HARG 名は、クラスタ内の HA リソースグループの名前と同一である必要が あります。この名前は、OVO の世界 (OVO データベース ) とクラスタの世界の間をつなぐもの です。 154 第7章 OVO の仮想ノード 仮想ノードの概念 仮想ノードの概念 OVO 仮想ノードは、共通の HA リソースグループ名でリンクされている物理ノードのグループで す。パッケージ自体が仮想ノード内で切り換わると、これらの物理ノード上のエージェントの ClAw 拡張によって、物理ノード上のポリシーを切り換えることができます。 図 7-1 仮想ノード HA リソースグループ名を使って管理対象ノードをリンクすることには、以下の利点があります。 • たとえば仮想ノードに割り当てられたポリシーによって、HA リソースグループの範囲内で検 出されたイベントは、そのグループ名を送信元ノードとして受信できる。 • 管理ステーションの GUI で正しいフィルター処理と強調表示が可能になる。 • サービス名とメッセージキーの相関処理によって、本来の意味でのクラスタ管理が可能にな る。 第7章 155 OVO の仮想ノード 仮想ノードの概念 図 7-2 注記 HA リソースグループ これらの機能が利用できるのは、HTTPS ノードだけです。 仮想ノードには 1 つの HA リソースグループ名だけを割り当てることができます。 1 つの HA リソースグループ名を複数の仮想ノードに割り当てることは可能ですが、これらの仮 想ノードが共通の物理ノードを共有することはできません。理由は、両方の仮想ノードに割り当 てられているポリシーが同じ HARG を 2 回受信し、エージェントの ClAw が仮想ノードを区別 できなくなるからです。 156 第7章 OVO の仮想ノード 仮想ノードに関わる作業 仮想ノードに関わる作業 以下の項では、OVO の仮想ノードに関わる作業について説明します。 • 157 ページの「OVO への仮想ノードの追加」 • 159 ページの「OVO での仮想ノードの変更」 • 160 ページの「OVO の仮想ノードへのポリシーの割当て」 • 161 ページの「OVO からの仮想ノードの削除」 OVO への仮想ノードの追加 仮想ノードの追加は、[OVO 登録ノード ] ウィンドウを使って、次のように行います。 注記 最初にノードを物理ノードとして登録ノードに追加しておき、その後、[ ノードの 変更 ] ウィンドウの [ クラスタ仮想ノード ] を選択して、仮想ノードに変更するこ とができます。 OVO では、仮想ノードを直接物理ノードに戻すことはできません。そうするため には、ノードを登録ノードから削除して、その後追加し直す必要があります。 1. 次のように選択して、[ ノードの追加 ] ウィンドウを開きます。 [ アクション : ノード -> 追加 ] 2. ノード関連の必要な情報を入力します。 • ノード名 • IP アドレス • ノードの通信タイプ。HTTPS または DCE を指定します。 • [ クラスタ仮想ノード ] チェックボックスをチェックします。 • 物理ノードのリストを入力します。仮想ノードではありません。すべてのノードは、同 じ通信タイプである必要があります。 • クラスタでホストする HA リソースグループ名 第7章 157 OVO の仮想ノード 仮想ノードに関わる作業 注記 クラスタを構成するすべてのノードは、OVO 登録ノードのメンバーにもなっ ている必要があります。また、ノードタイプの特性 ( プラットフォーム、オ ペレーティングシステム、通信タイプ ) が同じである必要があります。 仮想ノードは DHCP ノードにはできません。 クラスタの物理ノードとして仮想ノード自体を指定することはできません。 図 7-3 158 OVO への仮想ノードの追加 第7章 OVO の仮想ノード 仮想ノードに関わる作業 3. [OK] をクリックします。 opcnode(1m) を使った仮想ノードの設定 仮想ノードを設定するには、opccfgupld(1m) ユーティリティまたは opcnode(1m) ユーティリ ティを使って、仮想ノードを OVO 登録ノードにアップロードすることも可能です。 opcnode(1m) には、以下の新しいコールパラメータが追加されました。 -set_virtual node_list = "node1 node2 " cluster_package = HARG_name 使用例 : ./opcnode -set_virtual node_name=ovguest3 node_list="talence ovguest3" cluster_package=HARG_name OVO での仮想ノードの変更 仮想ノードの変更は、[OVO 登録ノード ] ウィンドウを使って、次のように行います。 1. [ 登録ノード ] ウィンドウで、変更する仮想ノードを選択します。 2. 次のように選択して、[ ノードの変更 ] ウィンドウを開きます。 [ アクション : ノード -> 変更 ] 3. 仮想ノード関連の情報を変更します。変更できるのは次の情報です。 • HA リソースグループ名 • 物理ノードのリスト 注記 クラスタを構成するすべてのノードは、OVO 登録ノードのメンバーにもなっ ている必要があります。また、ノードタイプの特性 ( プラットフォーム、オ ペレーティングシステム、通信タイプ ) が同じである必要があります。 クラスタの物理ノードとして仮想ノード自体を指定することはできません。 4. [OK] をクリックします。 第7章 159 OVO の仮想ノード 仮想ノードに関わる作業 OVO の仮想ノードへのポリシーの割当て 仮想ノードへのポリシーの割当ては、[OVO 登録ノード ] ウィンドウを使って、次のように行い ます。 1. [ 登録ノード ] ウィンドウで、[De-assigned/Removed] からポリシーを割り当てる仮想ノード を選択します。 2. 次のように選択して、[ テンプレートの指定 ] ウィンドウを開きます。 [ アクション : エージェント -> テンプレートの指定 ] 3. [ 追加 ...] ウィンドウを開きます。 4. 仮想ノード名と割り当てるポリシーを入力します。 5. [OK] をクリックします。 OVO での仮想ノードへのポリシーの配布 仮想ノードに割り当てられたポリシーは、仮想ノードへの [ ソフトウェアと設定のインストール / 更新 ] の処理中に、関連する物理ノードに配布されます。 注記 OVO エージェントソフトウェアは仮想ノードに配布できません。物理ノードにイ ンストールする必要があります。ポリシーは仮想ノードに配布することができま す。 仮想ノードへのポリシーの配布は、[OVO 登録ノード ] ウィンドウを使って、次のように行いま す。 1. [ 登録ノード ] ウィンドウで、ポリシーの配布先となる仮想ノードを選択します。 2. 次のようにして、[ ソフトウェアと設定のインストール / 更新 ] ウィンドウを開きます。 [ アクション : エージェント -> ソフトウェアと設定のインストール / 更新 ] 3. 配布するポリシーを選択します。 4. [OK] をクリックして、選択した仮想ノードに属するすべての物理ノードへポリシーを分配し ます。 仮想ノードへ分配すれば、対応するすべての物理ノードへも、自動的に分配されます。指定した 仮想ノードに所属する管理対象ノードへ送信されるすべてのポリシーに、関連する HA リソース グループ名が追加されます。 160 第7章 OVO の仮想ノード 仮想ノードに関わる作業 物理ノードが別の仮想ノードに属するように更新されると、HA リソースグループ名の集合は、 そのノードを含むように拡張されます。その結果、物理ノードに送信される各ポリシーには、そ れが属する仮想ノードに結び付けられたすべての HA リソースグループ名が含まれるようになり ます。 OVO での仮想ノードに関するポリシー設定の変更 ポリシーの変更は、次の手順で行います。 1. [ メッセージソースのテンプレート ] ウィンドウでポリシーを開きます。 2. ポリシーに対して必要な変更を行います。 3. [OK] をクリックして変更を確認し、ウィンドウを閉じます。 変更したポリシーは、この後で新しいポリシーの配布を起動したときに、すべての物理ノー ド上でアップデートされます。 OVO の仮想ノードからのポリシーの削除 仮想ノードからのポリシーの削除は、[OVO 登録ノード ] ウィンドウを使って、次のように行い ます。 1. [ 登録ノード ] ウィンドウで、ポリシーを削除する仮想ノードを選択します。 2. 次のように選択して、[ テンプレートの指定 ] ウィンドウを開きます。 [ アクション : エージェント -> テンプレートの指定 ] 3. 削除するポリシー / ノードの組み合わせの行を選択します。 4. [ 選択行を削除 ] をクリックします。 5. [OK] をクリックします。 OVO からの仮想ノードの削除 OVO 登録ノードからの仮想ノードの削除は、[OVO 登録ノード ] ウィンドウを使って、次のよう に行います。 1. [ 登録ノード ] ウィンドウで、削除する仮想ノードを選択します。 2. 次のように選択して、指定したノードを削除します。 [ アクション : ノード -> 削除 ] 第7章 161 OVO の仮想ノード ClAw と APM の利用 ClAw と APM の利用 ClAw (Cluster Awareness) と APM (Application Package Monitoring) は、以下の操作を行うと きに役に立ちます。 • HA パッケージとして動作しているアプリケーションの監視 • HA パッケージのスイッチオーバーまたはフェイルオーバーへの対応 • オペレータへ HA 関連情報を提供 以降の項でこれらの項目について詳しく説明します。 HA パッケージとして動作しているアプリケーションの監視 ClAw と APM の目的は同じです。いずれも、パッケージの存在、パッケージのスイッチオー バーとフェイルオーバーを監視しますが、OVO の設定により有効化 / 無効化されます。 HA パッケージのイベントによって、クラスタノード上で動作中のアプリケーションインスタン スを監視するテンプレートまたはポリシーが有効になったり無効になったりします。クラスタ ノード上で HA パッケージが実行を開始するとすぐに、そのノード上のテンプレートまたはポリ シーが有効になります。最後のパッケージが別のノードに切り替わると無効になります。また、 OVO エージェントの起動時にパッケージがなかった場合にも無効になります。 HA パッケージのスイッチオーバーまたはフェイルオーバーへの対応 ClAw と APM は、パッケージがスイッチオーバーまたはフェイルオーバーするときに、カスタ マイズした起動アクションと停止アクションを実行するように設定できます。 オペレータへ HA 関連情報を提供 ClAw と APM は、オペレータへ HA 関連情報を提供するために使うことができます。たとえば、 クラスタ化されたアプリケーションのメッセージは、ブラウザ内で仮想ノードに対応させたり、 このアプリケーションを表すサービスグラフに色を付けるために使われます。 オペレータへの HA 関連情報は、クラスタアプリケーションを表すために、OVO メッセージ拡 張機能で処理されます。 ClAw はアプリケーションの世界とクラスタの世界をつなぎます。監視スクリプト、ログファイ ルプリプロセッサ、自動アクションなどの、独自のポリシーとインストルメンテーションを備え た OVO インターセプタは、アプリケーションレベルで動作します。たとえば、opcle は、 162 第7章 OVO の仮想ノード ClAw と APM の利用 Oracle インスタンスのログファイルを監視します。通常、このようなポリシーとインストルメ ンテーションは、アプリケーションのインスタンスが動作しているクラスタを認識しません。 ClAw は、アプリケーションインスタンスを仮想ノードにリンクします。特定のアプリケーショ ンまたはアプリケーションインスタンスに対して生成されるメッセージは、物理ノードではなく 仮想ノードに関連付けられます。これによって、サービスグラフとメッセージブラウザ内で、ク ラスタ化されたアプリケーションをわかり易くモデル化できます。 APM は ClAw の機能のサブセットを持っています。大部分のロジックは、インストルメンテー ションファイルで実行されます ( アクションスクリプトとモニタースクリプト )。ClAw と HTTPS エージェントは、ポリシーで制御されます。 第7章 163 OVO の仮想ノード 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 クラスタアプリケーションの管理には、3 つの概念が重要です。 • ClAw (HTTPS エージェント ) と APM (DCE エージェント ) • OVO 8 の仮想ノードの概念 • ClAw を使ったメッセージ拡張機能 これらの概念を組み合わせて、クラスタ化されたアプリケーションが表現されます。以降の項 で、これらの概念について詳しく説明します。 図 7-4 164 ClAw を使った仮想ノードの概念 第7章 OVO の仮想ノード 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 ClAw (HTTPS エージェント ) と APM (DCE エージェント ) ClAw と APM は、apminfo.xml ファイルを読み込みます。このファイルは、アプリケーション 層 ( たとえば、Oracle インスタンスや Exchange インスタンス ) をクラスタ層 (HA リソースグ ループ ) にリンクしています。 クラスタ層は、アプリケーションインスタンスにとって透過的であることが必要です。 OVO や NNM のなどのアプリケーションは、複数のインスタンスが動作することはできません。 Oracle などのアプリケーションは複数のインスタンスとして動作できます。複数のインスタン スがある場合に、apminfo.xml ファイルのインスタンス名が重要になります。 OVO 8 の仮想ノードの概念 監視対象の HA リソースグループごとに、1 つの仮想ノードが必要です。 仮想ノードの最も重要な属性は、監視対象の HA リソースグループの名前である HARG name で す。 図 7-5 第7章 OVO での ClAw を使用した HA の概念 165 OVO の仮想ノード 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 ポリシーは、ポリシーの配布時に、仮想ノードから HARG name 属性を引き継ぎます。テンプ レートやポリシーは、データベースに格納されている間は HARG name 属性を持っていません。 ポリシーが複数の仮想ノードに割り当てられ、それらの仮想ノードが物理ノードを共有している 場合 ( すなわち複数の HA パッケージが同じクラスタで動作している場合 ) には、これらの物理 ノードに配布されるポリシーは、関係するすべての仮想ノードから HARG name 属性を引き継ぎ ます。 HARG name 属性はポリシーヘッダーに格納され、ClAw はそれにアクセスして、その内容に 従って有効化 / 無効化操作を実行します。 例: 2 つの Oracle インスタンス db_app1 と db_app2 が、同一クラスタで動作しています。これらの インスタンスは、HA リソースグループ HA_pkg_db_app1 と HA_pkg_db_app2 に関連付けられ ています。1 つのログファイルテンプレート HA_pkg_db が、両方のインスタンスの両方のログ ファイルを監視します。 この場合、2 つの仮想ノードが必要です。一方の HARG name は HA_pkg_db_app1 で、もう一 方は HA_pkg_db_app2 です。ポリシーは両方の仮想ノードに割り当てる必要があります。 ポリシーは配布後にはクラスタノードごとに存在するようになります。このポリシーは、 HA_pkg_db_app1 または HA_pkg_db_app2 が動作中のノードで有効になっており、いずれの HA リソースグループも動作していないノードでは無効になっています。 注記 テンプレート / ポリシーは、HA リソースグループの共有ディスクにはインストー ルされません。HA リソースグループに属するクラスタのすべての物理ノードに インストールされます。 OVO が HA リソースグループの共有ディスクにインストールできるのであれば、 ポリシーの有効化と無効化は不要になるところですが、実際には、OVO は、HA 対応のアプリケーションの共有ディスクにインストールする権限を持っていない ため、ポリシーの有効化と無効化が必要になります。 DCE ノードに対しても仮想ノードを設定することができます。OVO 7 で使われていたクラスタ の表現方法と比べて、仮想ノードには次の利点があります。OVO 7 では、テンプレートの配布 のために物理ノードを持つノードグループが必要であり、アクションの実行のためには仮想 IP アドレスを持った別のノードエントリーが必要でした。これに対し、仮想ノードではこれらが統 合されています。DCE ノードでは、HARG name 属性はブランクのままとし、仮想ノードの Communication Type には DCE を設定する必要があります。 166 第7章 OVO の仮想ノード 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 ClAw を使ったメッセージ拡張機能 ClAw メッセージ拡張機能には、大きく 2 種類があります。 • カスタムメッセージ属性 (CMA) を使ったメッセージ拡張機能 • アプリケーションインスタンスの仮想ノードを取得するためのメッセージ拡張機能 カスタムメッセージ属性を使ったメッセージ拡張機能 ポリシーで設定可能な定義済みのカスタムメッセージ属性 (CMA) には、以下の 2 つがあります。 • namespace • instance どちらも apminfo.xml ファイルのエントリにマップする必要があります。namespace は application namespace にマップし、instance は instance にマップします。2 つの CMA は、次のように指定します。 • ポリシーで使う場合 : ... CONDITION ... ... SET ... CUSTOM "namespace" "<$OPTION(my_ns)>" CUSTOM "instance" "<$OPTION(my_instance)>" 注記 • ポリシーを定義する際に、ユーザー変数 <$MSG_GEN_NODE_NAME> を含めるこ とができます。HTTPS 仮想ノードに割り当てられたポリシーでは、 namespace と instance のカスタムメッセージ属性の値が設定されている場 合には、<$MSG_NODE_NAME> はイベントの仮想ノード名を表わし、 <$MSG_GEN_NODE_NAME> は物理ノード名を表わします。 モニタースクリプトまたは opcmsg コマンド行インタフェースで使う場合 opcmsg ... -option my_ns=<my_appl_ns> -option ¥ my_instance=<my_instance> または 第7章 167 OVO の仮想ノード 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 opcmon ... -option my_ns=<my_appl_ns> -option ¥ my_instance=<my_instance> インターセプタは、一致したメッセージの namaspace と instance の各 CMA に値を設定しま す。次に、opcmsga は特殊な CMA を読み込み、ClAw から <my_appl_ns> と <my_instance> 用の HA リソースグループ (IP アドレスとノード名 ) を要求します。インターセプタによって追 加され、メッセージ属性 node_name、msg_key、msg_key relation、service_name、 automatic action node_name および operator action node_name に保存されている物理名 は、ClAw から受け取る仮想名と対応する IP アドレスで置き換えられます。この機能は、たと えば、Service Navigator でクラスタ化されたアプリケーションを表わすサービスグラフを表示 する場合に役に立ちます。 メッセージを作成した物理ノードでアクションを実行する必要がある場合には、対応するポリ シーのアクションノードフィールドで <$MSG_GEN_NODE_NAME> を使います。 instance と namespace の各 CMA は、Java メッセージブラウザで表示されます。また、そのよ うなメッセージには、HA リソースグループを示す harg という CMA も自動的に追加されます。 管理者用の GUI を使ったカスタムメッセージ属性の設定 カスタムメッセージ属性を設定するには、管理者用の GUI を使って以下の手順を実行します。 1. [ メッセージソースのテンプレート ] ウィンドウを開きます。 2. CMA を追加するテンプレートを選択します。 3. 選択したテンプレートをダブルクリックして、[ メッセージ条件と除外条件 ] ウィンドウを開き ます。 4. CMA を追加する条件を 1 つ選択し、[ 変更 ] ボタンをクリックします。 5. [ 条件 No.] ウィンドウで [ カスタム属性 ] をクリックします。 6. [ カスタムメッセージ属性 ] ウィンドウで、名前と値のペアを入力します。 例: [ 名称 ] フィールドに instance を入力し、[ 値 ] フィールドに <$OPTION(my_instance)> を入力します。 168 第7章 OVO の仮想ノード 仮想ノードの概念、ClAw、APM、メッセージ拡張機能 [ 名称 ] フィールドに namespace を入力し、[ 値 ] フィールドに <$OPTION(my_ns)> を入力 します。 図 7-6 [ カスタムメッセージ属性 ] ウィンドウ 7. [ カスタムメッセージ属性 ] ウィンドウで [OK] をクリックします。 8. [ 条件 ] ウィンドウで [OK] をクリックします。 9. [ クローズ ] をクリックして、[ メッセージ条件と除外条件 ] ウィンドウを閉じます。 アプリケーションインスタンスの仮想ノードを取得するためのメッセージ拡張機能 ClAw に ovappinstance ツールが組み込まれました。このツールは $OvBinDir ディレクトリに あり、アプリケーションインスタンスとその関連 HARG に関する情報をコマンド行で取得する ために使うことができます。たとえば、以下のコマンドを実行すると、インスタンス <instance> の仮想 IP アドレスが表示されます。 ovappinstance -i <instance> -host 第7章 169 OVO の仮想ノード ClAw と APM の設定 ClAw と APM の設定 ClAw と APM は、まったく同じ設定ファイルを使って設定することができます。 注記 ClAw がサポートしている設定要素の中には、以前のバージョンとの互換性のた めだけにサポートされているものがあります。ClAw は、APM モードと ClAw モー ドで動作しますが、ClAw モードの場合には、ポリシーを有効 / 無効にするために エージェントで実行する設定作業はありません。 設定ファイルには 2 つのタイプがあります。 • $OvDataDir/conf/conf/apminfo.xml • $OvDataDir/bin/instrumentation/conf/<appl_name>.apm.xml 以降の項で、これらの設定ファイルの使用方法について説明し、いくつかの例を示します。 注記 ディレクトリ $OvDataDir/conf/conf/ と $OvDataDir/bin/instrumentation/conf/ は、デフォルトでは存在しません。 apminfo.xml を初めて設定する場合には、これらのディレクトリを手作業で作成 する必要があります。 $OvDataDir/conf/conf/apminfo.xml apminfo.xml ファイルは、以下の目的で使われます。 • 監視対象のリソースグループを定義する (OVO 7 の APM のみ。OVO 8 の ClAw はすべてのリ ソースグループを監視します )。 • HA リソースグループとアプリケーションインスタンス間のマッピングを定義する。 1 つのノードにつき 1 つの apminfo.xml ファイルのみ存在します。apminfo.xml ファイルを OVO 管理サーバーから管理対象ノードへ送信するときに使われる特別な分配メカニズムはあり ません。通常、apminfo.xml ファイルは、手作業でエージェントにインストールします。 apminfo.xml ファイルにエントリーをマージして追加するメカニズムはありません。たとえば、 アプリケーションインスタンスから HA リソースグループへの新しいリンクを追加するような更 新を行う場合には、手作業で行う必要があります。 170 第7章 OVO の仮想ノード ClAw と APM の設定 apminfo.xml の構文 <APMClusterConfiguration> <Application> <Name> ... </Name> <Instance> <Name> ... </Name> <Package> ... </Package> </Instance> </Application> </APMClusterConfiguration> apminfo.xml の例 例 1: 次の例では、1 つのアプリケーション OpenView_Application が定義されています。この アプリケーションでは、openview という名前と、ov-server という名前の HA リソースグルー プを持つインスタンスが定義されています。 <?xml version="1.0"?> <APMClusterConfiguration> <Application> <Name>OpenView_Application</Name> <Instance> <Name>openview</Name> <Package>ov-server</Package> </Instance> </Application> </APMClusterConfiguration> 第7章 171 OVO の仮想ノード ClAw と APM の設定 例 2: 次の例では、2 つのアプリケーション SQL_Server と Exchange が定義されています。各 アプリケーションでは、名前と対応する HA リソースグループ名を持つ 2 つのインスタンスが定 義されています。 <?xml version="1.0"?> <APMClusterConfiguration> <Application> <Name>SQL_Server</Name> <Instance> <Name>Instance1</Name> <Package>sqlsrvpkq1</Package> </Instance> <Instance> <Name>Instance2</Name> <Package>sqlsrvpkq2</Package> </Instance> </Application> <Application> <Name>Exchange</Name> <Instance> <Name>Instance1</Name> <Package>msexpkq1</Package> </Instance> <Instance> <Name>Instance2</Name> <Package>msexpkq2</Package> </Instance> </Application> </APMClusterConfiguration> 172 第7章 OVO の仮想ノード ClAw と APM の設定 $OvDataDir/bin/instrumentation/conf/<appl_name>.apm.xml <appl_name>.apm.xml ファイルは、以下の目的で使われます。 • リソースグループのマッピング用のテンプレートを指定する (OVO 7 のみ。 OVO 8 の ClAw で は不要ですが、以前のバージョンとの互換性のために残されています )。 • APM と ClAw で使われる起動フックと停止フックを指定する。これらのフックは、HA パッ ケージのスイッチオーバーとフェイルオーバー時の追加タスクを実行するために使われま す。テンプレートとポリシーの有効 / 無効操作はこのファイルでは処理できません。 注記 OVO 7 の APM と OVO 8 の ClAw には、重要な違いがあります。 ClAw の場合は、<appl_name>.apm.xml でリソースグループマッピング用のテ ンプレートを定義する必要はありません。このようなマッピングを定義する場合 には、OVO 8 の管理サーバー上で HARG 名を仮想ノードに割り当てます。 ただ、ClAw でも、テンプレート名またはポリシー名から HA リソースグループ へのマッピングは処理できます。 <appl_name>.apm.xml の使用方法 apminfo.xml ファイルに関しては、設定ファイルをエージェントに配布するための特別な配布 メカニズムは用意されていません。 <appl_name> を apminfo.xml ファイルで定義して、APM と ClAw が、apminfo.xml のエント リーと <appl_name>.apm.xml ファイルの間のリンクを作成できるようにする必要があります。 注記 SPI は、HTTPS エージェントでのマッピングに関して、OVO 7 形式の <appl_name>.apm.xml ファイルも解釈します。この機能は、OVO 7 と OVO 8 で、異なる SPI が必要になることを避けるために用意されています。 <appl_name>.apm.xml テンプレート名からリソースグループへのマッピングと、仮想ノードの HARG 名を同時に使っても、互いに干渉することはありません。冗長性に似た効果を持ちます。 両方の方法で指定されたポリシーは、2 度、有効または無効にされます。 注記 第7章 <appl_name>.apm.xml は、アプリケーションの名前空間に依存します。インス タンスレベルでは依存関係はありません。したがって、パッケージの切り替え時 に起動アクションと停止アクションが実行されたときに、その最初のパラメータ 173 OVO の仮想ノード ClAw と APM の設定 としてインスタンス名が関連付けられます ( この後の例 2 の $instanceName を 参照 )。環境変数 $instanceName は、起動タスクまたは停止タスクを実行したと きに、ClAw によって設定されます。 <appl_name>.apm.xml の構文 <APMApplicationConfiguration> <Application> <Name> ... </Name> <Template> ... </Template> <Template> ... </Template> <StartCommand> ... </StartCommand> <StopCommand> ... </StopCommand> </Application> </APMApplicationConfiguration> アプリケーション ( またはアプリケーションの名前空間 ) Application または Name ポリシー ( またはテンプレート ) Template 起動アクション ( または起動コマンド ) StartCommand 停止アクション ( または停止コマンド ) StopCommand <appl_name>.apm.xml の例 <appl_name>.apm.xml は、以下のディレクトリに置く必要があります。 /var/opt/OV/bin/instrumentation/conf 例 1: 次のサンプルアプリケーション OpenView_Application の設定では、起動アクション /tmp/test_clawstart.sh clawstart と停止アクション /tmp/test_clawstop.sh clawstop を定義しています。 アプリケーション設定ファイルは、次の場所に置く必要があります。 /var/opt/OV/bin/instrumentation/conf/Openview_Application.apm.xml 174 第7章 OVO の仮想ノード ClAw と APM の設定 <?xml version="1.0"?> <APMApplicationConfiguration> <Application> <Name>OpenView_Application</Name> <StartCommand>/tmp/test_clawstart.sh clawstart</StartCommand> <StopCommand>/tmp/test_clawstop.sh clawstop</StopCommand> </Application> </APMApplicationConfiguration> 例 2: 次のサンプルアプリケーション SQL_Server の設定では、2 つのポリシー SQLTemplA と SQLTemplB、起動アクション C:\startSQLSrv.bat $instanceName、停止アクション C:\stopSQLSrv.bat $instanceName を定義しています。 アプリケーション設定ファイルは、次の場所に置く必要があります。 /var/opt/OV/bin/instrumentation/conf/SQL_Server.apm.xml <?xml version="1.0"?> <APMApplicationConfiguration> <Application> <Name>SQL_Server</Name> <Template>SQLTemplA</Template> <Template>SQLTemplB</Template> <StartCommand>C:\startSQLSrv.bat $instanceName</StartCommand> <StopCommand>C:\stopSQLSrv.bat $instanceName</StopCommand> </Application> </APMApplicationConfiguration> 例 3: 次のサンプルアプリケーション Exchange の設定では、1 つのポリシー ExchangeTempl と、1 つのカスタムエージェント ( カスタムサブエージェント )ExchangeSubAgent を定義しています。 アプリケーション設定ファイルは、次の場所に置く必要があります。 /var/opt/OV/bin/instrumentation/conf/Exchange.apm.xml <?xml version="1.0"?> <APMApplicationConfiguration> <Application> 第7章 175 OVO の仮想ノード ClAw と APM の設定 <Name>Exchange</Name> <Template>ExchangeTempl</Template> <Subagent>ExchangeSubAgent</Subagent> </Application> </APMApplicationConfiguration> apminfo.xml と <appl_name>.apm.xml のための構文チェックツールは、次の場所にあります。 /opt/OV/bin/ovappinstance -vc -vc は、設定の確認 (Verify Configuration) の意味です。 このツールは、設定ファイルを使う管理対象ノードで呼び出すことができます。 ClAw のコマンド行ユーティリティ 1. $ovBinDir/ovclusterinfo は、クラスタ関連の情報を表示するために使います。 2. $OvBinDir/ovappinstance は、アプリケーションインスタンスとそれに関連する HA リ ソースグループ ( 設定ファイル apminfo.xml で指定されているデータに基づく ) についての情 報を表示するために使います。詳細は、これらのコマンドのマンページを参照してください。 APM のコマンド行ユーティリティ <OVO_bin_dir>/opcclustns は、アプリケーションインスタンスとそれに関連するリソースグ ループについての情報を表示するために使います。 176 第7章 OVO の仮想ノード クラスタの状態を監視するための ClAw のカスタマイズ クラスタの状態を監視するための ClAw のカスタマイズ ClAw はクラスタの状態をチェックして、ポリシーを有効または無効にする必要があるかどうか を判断します。状態が online であればポリシーを有効にし、offline または unknown であれ ば無効にします。 場合によってはこの条件を変えることが望ましい場合があります。たとえば、Veritas Cluster Server を使っている場合、管理者にとっては、|PARTIAL| というクラスタ状態も、online に分 類されるほうが便利です。つまり、管理者は、HA リソースグループが「部分的」に実行されて いる場合にも、監視したいと考えるからです。部分的に実行されている HARG とは、マイナー なサブサービスは実行中ではないものの、メインのサービスは実行中であるような HARG のこ とです。 Veritas Cluster Server では、次のコマンドを使うことでこれが実現できます。 ovconfchg -ns conf.cluster.RGState.VCS -set _PARTIAL_ online 注記 OVO 設定情報の名前には、英数字とアンダースコア (A ~ Z、a ~ z、0 ~ 9、お よび _) しか使うことはできません。 そのため、たとえば、Veritas Cluster の状態 |PARTIAL| は、OVO によって _PARTIAL_ と翻訳されます。 ovconfchg は、すべてのクラスタノードで実行する必要があります。 クラスタアプリケーションのデフォルトの状態 クラスタアプリケーションのデフォルトの状態とその意味を以下に示します。 [conf.cluster.RGState.<HA_Application>] という表記、たとえば、 [conf.cluster.RGState.MCSG] は、設定が行われている名前空間を示します。 この名前空間で定義されていない状態は、オフラインとして処理されます。ただし、次の形式の コマンドを使って、設定情報に状態のエントリーを追加することができます。 ovconfchg -ns conf.cluster.RGState.<HA_Application> ¥ -set <New_State_Name> <State> MC Service Guard、Red Hat Advanced Server、Sun Cluster、Veritas Cluster Server の場合 は、適切な名前空間のもとで ovconfchg コマンドを使うことにより、値 (offline または online) をもつ状態を直接追加することができます。ClAw はクラスタコマンドを使って現在の状態を取 第7章 177 OVO の仮想ノード クラスタの状態を監視するための ClAw のカスタマイズ 得し、設定情報を参照して、この状態がオンラインを示すのかオフラインを示すのかを調べま す。したがって、新しい状態を設定情報に追加する場合には、状態を示す文字列は、状態を調べ るために使われるクラスタコマンドが返す文字列と同じにしてください。 ただし、これは Microsoft Cluster Server には当てはまりません。ClAw は、CLI ツールの代わ りに Microsoft Cluster Server API を使いますが、Microsoft Cluster Server API は、状態とし て、状態文字列ではなく、列挙型の値を返すからです。 本書の執筆時点では、Microsoft Cluster Server のすべての状態がサポートされていますが、 Microsoft Cluster Server で新しい状態が追加された場合には、ClAw をアップデートしてその 変更に対処する必要があります。 注記 この設定は特定の HA リソースグループに固有ではありません。設定済みのすべ ての HARG に影響します。たとえば、リソースグループ A では状態 S を online にマッピングして、リソースグループ B では状態 S を offline にマッピングす るようなことはできません。両方のリソースグループで online または offline のいずれかにしか設定できません。 MC Service Guard の場合 [conf.cluster.RGState.MCSG] down=offline halting=unknown starting=unknown unknown=unknown up=online Microsoft Cluster Server の場合 [conf.cluster.RGState.MSCS] ClusterGroupFailed=offline ClusterGroupOffline=offline ClusterGroupOnline=online ClusterGroupPartialOnline=offline ClusterGroupStateUnknown=unknown 178 第7章 OVO の仮想ノード クラスタの状態を監視するための ClAw のカスタマイズ Red Hat Advanced Server の場合 [conf.cluster.RGState.RHAS] started=online Sun Cluster の場合 [conf.cluster.RGState.SC] ERROR_STOP_FAILED=unknown OFFLINE=offline ONLINE=online PENDING_OFFLINE=unknown PENDING_ONLINE=unknown UNMANAGED=unknown Veritas Cluster Server の場合 注記 OVO 設定情報の名前には、英数字とアンダースコア (A ~ Z、a ~ z、0 ~ 9、お よび _) しか使うことはできません。 そのため、たとえば、Veritas Cluster の状態 |PARTIAL| は、OVO によって _PARTIAL_ と翻訳されます。 [conf.cluster.RGState.VCS] OFFLINE=offline ONLINE=online _OFFLINE_=offline _ONLINE_=online _PARTIAL_=unknown _UNKNOWN_=unknown 第7章 179 OVO の仮想ノード 仮想ノードへの最初のメッセージの取得 仮想ノードへの最初のメッセージの取得 仮想ノードへのメッセージを生成する例を示します。対象となるのは、1 つ以上の HA リソース グループが動作中の HA クラスタです。説明を簡単にするために、既存のリソースグループを 1 つ選択し、それを OVO の仮想ノードとしてモデル化します。この操作では、リソースグループ 名と、IP アドレスまたはノード名のいずれかを知っている必要があります。 1. OVO エージェントソフトウェアが、クラスタの各物理ノードにインストールされていること を確認します。 2. 仮想ノードを OVO 登録ノードに追加します。 3. 仮想ノードに属する物理ノードを追加します。 4. 仮想ノードに関連付けられている HA リソースグループの名前を指定します。 手順 2、3、4 の詳細は、157 ページの「OVO への仮想ノードの追加」を参照してください。 以下の手順では、HA リソースグループの名前は、<my_resource_group> とします。 5. テンプレートに CMA を設定します。 opcmsg(1|3) を例にとります。この例ではこのテンプレートに単純なテスト条件を追加し、 このテスト条件に CMA を指定します。 a. [ メッセージソースのテンプレート ] ウィンドウを開きます。 b. テンプレート opcmsg(1|3) を選択します。 c. 選択したテンプレートをダブルクリックして、[ メッセージ条件と除外条件 ] ウィンドウを 開きます。 d. [ 追加 ] ボタンをクリックして、テスト条件を追加します。 e. [ 条件 ] ウィンドウ内の以下のフィールドを編集します。 [ 詳細 ]: test_CMA [ 条件 ]: [ アプリケーション ]: a [ オブジェクト ]: testcma [ メッセージテキスト ]: CMA のテスト [ 属性の設定 ]: 180 第7章 OVO の仮想ノード 仮想ノードへの最初のメッセージの取得 [ アプリケーション ]: a [ オブジェクト ]: testcma_result [ メッセージテキスト ]: CMA から拡張メッセージを受信 [ 重要度 ]: 正常域 図 7-7 opcmsg(1|3) の [ 条件 ] ウィンドウ f. [ カスタム属性 ] をクリックして [ カスタムメッセージ属性 ] ウィンドウを開きます。 g. [ カスタムメッセージ属性 ] ウィンドウに名前と値のペアを入力します。 [ 名前 ] フィールドには namespace と入力し、[ 値 ] フィールドには <$OPTION(my_ns)> と入力します。 第7章 181 OVO の仮想ノード 仮想ノードへの最初のメッセージの取得 [ 名前 ] フィールドに instance と入力し、[ 値 ] フィールドには <$OPTION(my_instance)> と入力します。 図 7-8 注記 [ カスタムメッセージ属性 ] ウィンドウ この例に従うとき、仮想ノードの物理ノードに opcmsg(1|3) ポリシーが すでに割り当てられている場合には、この opcmsg(1|3) ポリシーの割り 当てを解除しておくことをお勧めします。この手順は必須ではありません が、混乱を避けるために有効です。割り当てを解除しないと、テンプレー トが物理ノードと仮想ノードに同時に割り当てられ、常に有効になるため です。 h. [ カスタムメッセージ属性 ] ウィンドウで [OK] をクリックします。 i. [ 条件 ] ウィンドウで [OK] をクリックします。 j. [ クローズ ] をクリックして、[ メッセージ条件と除外条件 ] ウィンドウを閉じます。 一般的な手順の説明は 167 ページの「カスタムメッセージ属性を使ったメッセージ拡張 機能」項にあります。 6. ポリシー opcmsg(1|3) を仮想ノードに割り当てます。 7. ポリシー opcmsg(1|3) を仮想ノードに分配します。 8. ovpolicy コマンドを使って、エージェントにポリシーがインストール済みかどうかを調べ ます。 各物理ノードで、以下のコマンドを実行します。 182 第7章 OVO の仮想ノード 仮想ノードへの最初のメッセージの取得 ovpolicy -l -level 4 以下の情報が表示されます。 msgi policy id owner category attribute 注記 "opcmsg(1|3)" <enabled or disabled> 1 : "15012f6e-ab2a-71d9-1d2e-0a110b850000" : "OVO:<full_qualified_virtual_node_name>" : < カテゴリが定義されていません > : "HARG:<my_resource_grp_name>" "no_value" ポリシーを仮想ノードだけに割り当てると、HA パッケージが動作中のノー ドでこのポリシーが有効になります。HA パッケージが動作中ではないノー ドでは、このポリシーは無効になります。 ovpolicy -l コマンドを使うと、ポリシーのステータス情報 ( 有効または無 効 ) が取得できます。 たとえば、インストール済みのローカルエージェント用ポリシーを表示する には、以下のコマンドを実行します。 ovpolicy -l 次の形式で情報が表示されます。 Type Name Status Version ---------------------------------------------------configsettings "OVO settings" enabled 1 msgi "opcmsg(1|3)" enabled 1 monitor "mondbfile" disabled 1 9. 各物理ノードに apminfo.xml ファイルがインストール済みかどうかをチェックします。 管理サーバーで、各物理ノードに対して以下のコマンドを実行します。 for node in <all your physical nodes> do opcdeploy -cmd "ls" -par "¥$OvConfDir/conf/apminfo.xml" -node $node done 10. apminfo.xml ファイルがインストール済みでない場合には、次の手順で、管理サーバーで apminfo.xml ファイルを編集し、各物理ノードにインストールします。 第7章 183 OVO の仮想ノード 仮想ノードへの最初のメッセージの取得 a. cd /tmp b. vi apminfo.xml c. 以下の内容を apminfo.xml ファイルに追加し、そのファイルを保存します。 <?xml version="1.0"?> <APMClusterConfiguration> <Application> <Name>OpenView_Application</Name> <Instance> <Name>openview</Name> <Package>ov-server</Package> </Instance> </Application> </APMClusterConfiguration> 注記 この apminfo.xml ファイルの内容は一例です。ここで定義されているア プリケーション OpenView_Application は、CMA で定義されている my_ns にマップされます。アプリケーションインスタンス openview と HA リソースグループ ov-server のマッピングも定義されます。インス タンス openview は、CMA で定義されている my_instance にマップさ れています。 d. 次のように、apminfo.xml ファイルを各物理ノードにインストールします。 for node in <all of your physical node names> do opcdeploy -deploy -file /tmp/apminfo.xml -node $node -targetdir "conf/conf" -trd data done 11. apminfo.xml ファイルがエージェントにインストール済みであった場合には、以下のように して apminfo.xml ファイルを手作業で編集する必要があります。 a. apminfo.xml ファイルがインストールされているシステムにログオンします。 b. cd $OvConfDir/conf/ 184 第7章 OVO の仮想ノード 仮想ノードへの最初のメッセージの取得 c. vi apminfo.xml d. 既存のアプリケーション定義はそのままにして、新しいアプリケーションを追加します。 <?xml version="1.0"?> <APMClusterConfiguration> <Application> <Name>Existing_Application</Name> <Instance> <Name>Existing_instance</Name> <Package>Existing_resource_group_name </Package> </Instance> </Application> <Application> <Name>OpenView_Application</Name> <Instance> <Name>openview</Name> <Package>ov-server</Package> </Instance> </Application> </APMClusterConfiguration> 12. opcmsg(1|3) ポリシーがエージェントにインストール済みで enabled になっており、 apminfo.xml ファイルもインストール済みであった場合には、このエージェントで次のコ マンドを実行します。 opcmsg a=a o=testcma msg_t="I want to test CMA" ¥ -option my_ns=OpenView_Application ¥ -option my_instance=openview 次の内容の、仮想ノードに関する正常域のメッセージが、ブラウザに表示されます。 ノード :<virtual_nodename> アプリケーション : "a" オブジェクト : "testcma_result" メッセージ・テキスト : "Receive enriched message from CMA" 第7章 185 OVO の仮想ノード Java GUI を使った HARG の監視 Java GUI を使った HARG の監視 クラスタとそのノードは、[ サービスグラフ ] ウィンドウで監視することができます。アクティブ ノードに、たとえばそのノードがホストしているアプリケーションをラベルとして付けるよう に、クラスタを設定することができます。そのノードがアクティブではなくなったら、ラベルは 新しいアクティブノードに移動します。 図 7-9 [ サービスグラフ ] に表示されたクラスタ Java GUI で HA リソースグループを監視するには、以下の設定を行う必要があります。 • APM 定義ファイルを作成して、HA リソースグループとアプリケーションインスタンスの間 のマッピングを定義します。 • HA リソースグループの起動 / 停止時に実行されるコマンド、スクリプト、または実行可能プ ログラムを作成または設定します。 • HA パッケージがスイッチオーバーまたはフェイルオーバーするときに APM と CLAw が追加 タスクを実行するために使う、起動フックと停止フックを指定します。 • カスタムメッセージ属性を設定します。 • HA リソースグループの起動 / 停止の際に、HA リソースグループがアクティブ / 非アクティブ なシステムに、Java GUI のラベルを付けたり外したりするためのポリシーを作成します。 186 第7章 OVO の仮想ノード Java GUI を使った HARG の監視 この例では、2 つの物理ノード tcbbn092 と tcbbn093 で構成されるクラスタ tommy2 を考えま す。このクラスタには、OpenView_Application、second-rg、third-rg という 3 つの HARG がインストールされています。この例では、third-rg アプリケーションに焦点を当てま す。Java GUI で HARG を監視するには、以下の手順を実行する必要があります。 1. APM 定義ファイルを作成して、HA リソースグループとアプリケーションインスタンスとの 間のマッピングを定義します。以下の例では、簡単にするために、HA リソースグループ "second_rg" と "third_rg" のアプリケーション名とインスタンス名は、HARG 名と同じに します。詳細は、170 ページの「$OvDataDir/conf/conf/apminfo.xml」を参照してくださ い。 # more /var/opt/OV/conf/conf/apminfo.xml <?xml version="1.0"?> <APMClusterConfiguration> <Application> <Name>OpenView_Application</Name> <Instance> <Name>openview1</Name> <Package>ov-server</Package> </Instance> </Application> <Application> <Name>second-rg</Name> <Instance> <Name>second-rg</Name> <Package>second-rg</Package> </Instance> </Application> <Application> <Name>third-rg</Name> <Instance> <Name>third-rg</Name> <Package>third-rg</Package> </Instance> </Application> </APMClusterConfiguration> 第7章 187 OVO の仮想ノード Java GUI を使った HARG の監視 2. HARG の起動 / 停止時に実行されるシェルスクリプトを作成します。起動 / 停止情報はログ ファイル /tmp/clawapplication_log に書き込み、ステータスメッセージをブラウザに送 ります。シェルスクリプトは次の例のようになります。 # more /tmp/test_clawst.sh application=$1 label=$2 start_stop=$3 echo "app=$application st=$start_stop label=$label" >>/tmp/clawapplication_log echo "$application $start_stop at:" >>/tmp/clawapplication_log date >>/tmp/clawapplication_log echo "OVO_instance is $application" >>/tmp/clawapplication_log echo "Sending $start_stop message..." >>/tmp/clawapplication_log /opt/OV/bin/OpC/opcmsg a=a o=o msg_t="$application $start_stop" -option label=$label -option my_instance=$application -option my_ns=OpenView echo "$application ends at:" >>/tmp/clawapplication_log date >>/tmp/clawapplication_log echo "========================" >>/tmp/clawapplication_log 3. HA パッケージがスイッチオーバーまたはフェイルオーバーするときに APM と CLAw が追加 タスクを実行するために使う、起動フックと停止フックを指定します。詳細は、173 ページ の「$OvDataDir/bin/instrumentation/conf/<appl_name>.apm.xml」の項を参照してくださ い。 以下の例では、third-rg に対して起動フックと停止フックを指定します。third-rg を起 動すると、前の手順で定義したシェルスクリプト /tmp/test_clawst.sh が実行されます。 入力パラメータは $instanceName ov_label3 starts です。third-rg starts というテ キストのメッセージがブラウザに送信され、label の値が ov_label3 になります。 third-rg を停止すると、同じシェルスクリプトが実行されます。入力パラメータは $instanceName ov_label3 stops です。third-rg stops というテキストのメッセージが ブラウザに送信され、label の値が ov_label3 になります。 起動と停止の定義は、以下の例に示すように指定する必要があります。 # more /var/opt/OV/bin/instrumentation/conf/third-rg.apm.xml <?xml version="1.0"?> <APMApplicationConfiguration> <Application> <Name>third-rg</Name> 188 第7章 OVO の仮想ノード Java GUI を使った HARG の監視 <StartCommand> /tmp/test_clawst.sh $instanceName ov_label3 starts </StartCommand> <StopCommand> /tmp/test_clawst.sh $instanceName ov_label3 stops </StopCommand> </Application> </APMApplicationConfiguration> 4. カスタムメッセージ属性を設定します。詳細は、168 ページの「管理者用の GUI を使ったカ スタムメッセージ属性の設定」を参照してください。 この例では、以下の情報を指定します [ 名前 ] フィールドには namespace、[ 値 ] フィールドには <$OPTION(my_ns)>。 [ 名前 ] フィールドには instance、[ 値 ] フィールドには <$OPTION(my_instance)>。 [ 名前 ] フィールドには orig_nodename、[ 値 ] フィールドには <$MSG_GEN_NODE_NAME>。 図 7-10 カスタムメッセージ属性の指定 5. HARG が起動されているかどうかをチェックし、HARG がアクティブになっているシステム に Java GUI でのラベルを付けるためのポリシーを作成します。このポリシーを仮想ノード に配布します。 第7章 189 OVO の仮想ノード Java GUI を使った HARG の監視 以下のポリシーの例では、動作中の HARG のメッセージテキストをチェックします。メッ セージテキストを検出すると、自動アクションを実行してアクティブなクラスタノードに パッケージ名のラベルを付けます。この例では、ノード tcbbn093 に third-rg のラベルを 付けることになります。 OPCMSG "opcmsg(1|3) DESCRIPTION "starts HARG" CONDITION_ID "96a679b2-b59c-71d9-1ed2-c0a801020000" CONDITION TEXT "<*> starts<*>" SET SERVICE_NAME "<$MSG_GEN_NODE_NAME>" MSGKEY "<$OPTION(my_instance)>" MSGKEYRELATION ACK "<$OPTION(my_instance)>" CUSTOM "instance" "<$OPTION(my_instance)>" CUSTOM "namespace" "<$OPTION(my_ns)>" CUSTOM "orig_nodename" "<$MSG_GEN_NODE_NAME>" AUTOACTION "/opt/OV/bin/OpC/opcsvcattr svc_id=<$MSG_GEN_NODE_NAME> name=<$OPTION(label)> value=<$OPTION(my_instance)>" ACTIONNODE IP 0.0.0.0 "<$OPC_MGMTSV>" ANNOTATE SIGNATURE "EAJHjRr9vq48… 以下のコマンドを実行して、ノード tcbbn093 で HARG third-rg を実行します。 /usr/sbin/cmrunpkg -n tcbbno93 third-rg HARG third-rg が起動され、メッセージ third-rg starts が受信されて、Java GUI 内 のノード tcbbn093 のアイコンにアクティブなパッケージの名前 third-rg のラベルが付け られます。 190 第7章 OVO の仮想ノード Java GUI を使った HARG の監視 図 7-11 tcbbn093 で third-rg が実行中であることを示すクラスタの状態 クラスタの状態に より、ノード tcbbn093 上で third-rg が起動 されたことが分か る 第7章 191 OVO の仮想ノード Java GUI を使った HARG の監視 図 7-12 ノード tcbbn093 で third-rg が実行中であることを示すクラスタ サービスビュー メッセージにより、 ノード tcbbn093 上で third-rg が 起動されたことが 分かる 6. HARG が停止しているかどうかをチェックし、HARG がアクティブになっていたシステムか ら Java GUI でのラベルを外すためのポリシーを作成します。このポリシーを仮想ノードに 配布します。 以下のポリシーの例では、HARG が停止中であるかどうかを調べるためにメッセージテキス トをチェックします。メッセージテキストを検出すると、自動アクションを実行してアク ティブではなくなったクラスタノードからラベルを外します。この例では、ノード tcbbn093 から外すことになります。 OPCMSG "opcmsg(1|3) DESCRIPTION "default interception of messages submitted by opcmsg(1) and opcmsg(3)" FORWARDUNMATCHED MSGCONDITIONS DESCRIPTION "stops HARG" CONDITION_ID "8070b36c-b5b3-71d9-1ed2-c0a801020000" CONDITION TEXT "<*> stop<*>" SET 192 第7章 OVO の仮想ノード Java GUI を使った HARG の監視 SEVERITY Warning SERVICE_NAME "<$MSG_GEN_NODE_NAME>" MSGKEY "<$OPTION(my_instance)>" MSGKEYRELATION ACK "<$OPTION(my_instance)>" CUSTOM "instance" "<$OPTION(my_instance)>" CUSTOM "namespace" "<$OPTION(my_ns)>" CUSTOM "orig_nodename" "<$MSG_GEN_NODE_NAME>" AUTOACTION "/opt/OV/bin/OpC/opcsvcattr -remove svc_id=<$MSG_GEN_NODE_NAME> name=<$OPTION(label)>" ACTIONNODE IP 0.0.0.0 "<$OPC_MGMTSV>" ANNOTATE SIGNATURE "RgUMFg… 次のコマンドを実行して、ノード tcbbn093 上の HARG third-rg を停止します。 /usr/sbin/cmhaltpkg -n tcbbno93 third-rg ノード tcbbn093 上の HARG third-rg が停止します。メッセージが受信され、パッケージ 名 third-rg のラベルが外されます。 第7章 193 OVO の仮想ノード Java GUI を使った HARG の監視 図 7-13 ノード上 tcbbn093 の HARG third-rg が停止 クラスタの状態によ り、ノード tcbbn093 上で third-rg が停止さ れたことが分かる 194 第7章 OVO の仮想ノード Java GUI を使った HARG の監視 図 7-14 ノード tcbbn093 の third-rg が停止したことを示すクラスタサービ スビュー メッセージにより ノード tcbbn093 上で third-rg が 停止されたことが分 かる 第7章 195 OVO の仮想ノード Java GUI を使った HARG の監視 HARG third-rg をノード tcbbn092 に移行すると、[ サービスグラフ ] 内のこのノードのア イコンに、アプリケーション名 third-rg が付けられます。 図 7-15 HARG third-rg がノード tcbbn092 で実行を開始 クラスタの状態によ り、ノード tcbbn092 上で third-rg が起動さ れたことが分かる 図 7-16 third-rg がノード tcbbn092 で実行中であることを示すクラスタ サービスビュー メッセージにより、 ノード tcbbn092 上で third-rg が 起動されたことが 分かる 196 第7章 OVO の仮想ノード 仮想ノードについての FAQ 仮想ノードについての FAQ 1. ポリシーを有効 / 無効にするためだけに ClAw を使う場合に、エージェントで何らかの設定作 業を行う必要がありますか ? 答 いいえ。ポリシーを有効 / 無効にするのに設定ファイル apminfo.xml は不要です。ClAw モ ジュールはすべてのリソースグループを監視するように設計されています。 2. エージェントのどのポリシーがクラスタ対応かを知る方法は ? 答 次のコマンドを実行します。 /opt/OV/bin/ovpolicy -list -level 4 出力の中の attribute と HARG: の行を調べてください。 3. ポリシーを、仮想ノードとその仮想ノードに属する物理ノードに同時に割り当てるとどうな りますか ? 答 ポリシーが物理ノードに明示的に割り当てられているため、HA パッケージがその物理ノー ドからスイッチオーバーしても、ポリシーは有効になったままになってしまいます。 4. クラスタ上でポリシーを恒久的に無効にできますか ? たとえば、メッセージストームが発生 したような場合のためです。 答 完全に有効な方法はありません。パッケージが切り替わると、ポリシーは通常自動的に有効 になります。複数のクラスタノードが関係し、ポリシーがすべてのクラスタノードにコピー されていることを思い出してください。 短期的な解決策としては、以下のコマンドを実行します。 管理対象ノードで、以下の順に実行します。 ovpolicy -disable -polname <name> ovpolicy -remove -polname <name> OVO 管理サーバーでは、同じ呼び出しを opcdeploy にラップすることができます。 opcdeploy -cmd "ovpolicy -..." -node <virtual_nodename> 第7章 197 OVO の仮想ノード 仮想ノードについての FAQ 5. HTTPS エージェントの監視対象のクラスタは、OVO データベースではどのようにモデル化 する必要がありますか ? 答 監視対象の各 HA リソースグループに対して、1 つの仮想ノードを定義します。 さらに、クラスタの物理ノードを含む通常のノードグループを作成します。このノードグ ループは、以下の目的で使うことができます。 • 物理ノードに対してだけポリシーを割り当てる。 • HA パッケージのアクティブノードだけでなく、すべてのクラスタノードに対して、ブ ロードキャストコマンドまたはアプリケーション呼び出しを実行する。 6. 仮想ノード上でアクションを実行すると何が起きますか ? 答 仮想アドレスが指すノード上でのみタスクが実行されます。 7. APM形式の (apminfo.xmlと<appl_name>.apm.xmlに基づく)ポリシーの有効化/無効化は、 仮想ノードに基づく有効化 / 無効化と同じポリシーに設定した場合、競合しますか ? 答 いいえ。 8. DCE に対して仮想ノードを定義すると、何かメリットがありますか ? 答 限定的なメリットはありますが、お使いの環境における既存の OVO 7 形式のクラスタ表現 の変更を正当化するだけのメリットはありません。 詳細は、前述した説明を参照してください。 9. 特定のクラスタ上のどの HA アプリケーションも監視したくないので、ClAw を無効にする方 法を教えてください。 答 デフォルトでは、CLAW はシステムにあるすべての HA リソースグループを監視します。 各クラスタノードで、次のコマンドを実行します。 /opt/OV/bin/ovconfchg -ns conf.cluster -set MONITOR_MODE false これにより、各システムで CPU 負荷がいくらか減少します。 198 第7章 OVO の仮想ノード 仮想ノードについての FAQ 10. 仮想ノードへの配布によって、クラスタ上にエージェントソフトウェアをインストールした りパッチを適用することができますか ? 答 いいえ。各物理ノードに個別にインストールまたはパッチを適用する必要があります。 11. HA クラスタで動作する OVO 管理サーバーも、仮想ノードとしてモデル化できますか ? 答 はい。OVO と NNM を実行する HA リソースグループは、OVO 登録ノードに仮想ノードと して追加されます。 第7章 199 OVO の仮想ノード 制限事項 制限事項 OVO パッチレベル 8.12 の状況 • CMA は、trapi ではサポートされません。 • -option による方法は、opcmon と opcmsg でしか使うことができません。したがって、opcle を使って CMA を動的に設定することはできません。ログファイルポリシーの CMA には、 ハードコードした値か OVO のパターンマッチの変数しか設定できません。ただし、たとえ ば、ログファイルのディレクトリパスからインスタンス名を抽出することは、困難です。 OVO パッチレベル 8.12 より前の状況 • 拡張メッセージキーは、仮想ノードでアップデートされません。そのため、メッセージキー にノード名が含まれている場合には、OVO 管理サーバーでメッセージ相関処理を行うと問 題が発生します。たとえば、モニターテンプレートの GUI で状態ベースのブラウザオプショ ンを使った場合などが、これに該当します。 • オペレータ起動アクションと自動アクションは、メッセージで指定された物理ノードで実行 されます。現在のところ、ポリシーに仮想ノードをハードコードしない限り、これらのアク ションを仮想ノードで実行させることはできません。 • HARG CMA は存在しません。 サポートされるプラットフォーム OVO 8.x の最新のリリースノートを参照してください。 200 第7章 8 プロキシ 第8章 201 プロキシ OVO におけるプロキシ OVO におけるプロキシ ネットワークゲートウェイサーバーにあるファイアウォールプログラムとそれに付随したポリ シーは、プライベートネットワークのリソースを外部のユーザーから保護するためのゲートウェ イとして使われます。一般に、イントラネット内のユーザーは、インターネットの許された範囲 にアクセスできますが、組織内のリソースへの外部からのアクセスは、ファイアウォールによっ て制御されます。 ファイアウォールには、次に示す 2 つの基本的なカテゴリがあります。 • ネットワークレベルで動作する IP パケットフィルタ • アプリケーションレベルで動作するプロキシサーバー ( たとえば Web プロキシ ) プロキシの実体はソフトウェアアプリケーションであり、インターネットから入ってくるデータ パケットのヘッダーと内容を調べ、そのデータの送信先システムを保護するために必要なアク ションを実行します。プロキシはセキュリティポリシーと連動して、受け付けることのできない 情報を削除したり、リクエストそのものを完全に廃棄したりします。 セキュリティの観点から見ると、アプリケーションレベルのプロキシには次に示すような大きな 利点があります。 • アプリケーションレベルでパケットを調べることができるので、きめ細かいセキュリティ制 御とアクセス制御を行えます。たとえば、.exe ファイルのような特定タイプのファイル転 送を制限するということも可能です • ファイアウォールに対する「サービス拒否 (DoS)」攻撃からイントラネットを守ることがで きます。 ただし、プロキシ使用の欠点もあります。よく引き合いに出される欠点は、次の 2 つです。 • ホストシステムのコンピュータリソースを大量に消費します。しかし、最近では高性能のコ ンピュータがかなり安く入手できるようになったため、この欠点は問題にはならなくなりま した。 • プロキシは特定のアプリケーションプログラムに合わせて作成する必要があります。プロキ シの作成が容易ではないプログラムがあるので、万能ではありません。 プロキシサーバーは、内部ネットワークにアクセスさせる前に、すべての情報を止めて検査しま す。したがって、プロキシを使うと、内部ネットワークと「外界」との間を直接接続することは できなくなくなります。ユーザーが外部に向けて情報を発信する場合は、プロキシの認証を受け る必要があります。イントラネット内のクライアントがインターネットにリクエストを発信する と、実際にはプロキシがそのリクエストを受け取ります。プロキシは NAT (Network Address Translation) を使ってパケットの発信元 IP アドレスをプロキシサーバーの IP アドレスに変更 202 第8章 プロキシ OVO におけるプロキシ し、内部ネットワークのユーザーの識別情報を外部から隠します。プロキシサーバーがリクエス トを通過させて送信先アドレスに送るのは、設定されているポリシーのすべての要件にそのリク エストが適合している場合だけです。リクエストに対するレスポンスを受信したときの動作はこ の逆です。外部から送られてきたレスポンスは、安全と見なされた場合にだけ、イントラネット 内のターゲットクライアントに転送されます。レスポンスの発信元アドレスは変更されません が、送信先アドレスはファイアウォール内のリクエスト元マシンのアドレスに戻されます。この メカニズムによって、どのネットワークシステムとの間にも制御の利かない直接ルートがなくな り、ネットワークのセキュリティが大幅に向上します。 プロキシサーバーには、次に示す 2 つの基本的なタイプがあります。 • シングルホームホスト プロキシサーバーにカードとアドレスをそれぞれ 1 つだけ持たせ、インターネットルーター が、プロキシサーバーへのリクエストの転送と、ネットワークに対するその他すべての情報 のブロックを担当します。 • デュアルホームホストまたはマルチホームホスト プロキシサーバーに複数のネットワークカードを接続します。内部ネットワークからのリク エストは一方のネットワークカードに送られます。インターネットから送られてくる情報は もう一方のネットワークカードが受信します。ネットワークカード間のルーティングは行え ないように設定されます。そのため、ネットワークカードで送信情報と受信情報を直接結び 付けることはできません。どの情報をどこに送るかはプロキシサーバーがすべて決定しま す。 第8章 203 プロキシ プロキシの構成 プロキシの構成 大部分の「LAN - インターネット - LAN」接続アーキテクチャは、次に示す図またはそのサブ セットで表すことができます。 図 8-1 HTTP プロキシの模式図 内部の LAN-A には、OVO 管理サーバーと HTTP プロキシが置かれています。 内部の LAN とインターネットおよび外界との間は、ファイアウォールによって分離されていま す。 外部の LAN-B には、HTTPS 管理対象ノードと HTTP プロキシが置かれています。 204 第8章 プロキシ プロキシの構成 プロキシの通信は、次に示す図またはそのサブセットで表すことができます。 図 8-2 HTTP プロキシのインフラストラクチャ A: 直接通信。プロキシを通りません。ファイアウォールは次の接続をすべて受け入れる必要が あります。 *.internal.mycom.com:* から *.external.mycom.com:TARGET_PORT への接続 *.external.mycom.com.* から *.internal.mycom.com:SOURCE_PORT への接続 B: ドメイン internal.mycom.com では proxy_01 がプロキシになっていて、ドメイン external.mycom.com にアクセスします。ファイアウォールは次の接続をすべて受け入れる必 要があります。 proxy_01.internal.mycom.com:* から *.external.mycom.com:TARGET_PORT への接続 ドメイン external.mycom.com では proxy_02 がプロキシになっていて、ドメイン internal.mycom.com. にアクセスします。ファイアウォールは次の接続をすべて受け入れる必 要があります。 proxy_01.internal.mycom.com から *.internal.mycom.com:SOURCE_PORT への接続 第8章 205 プロキシ プロキシの構成 C: ドメイン internal.mycom.com では proxy_01 が、また、ドメイン external.mycom.com では proxy_02 はそれぞれプロキシになっています。proxy_01 は proxy_02 にアクセスし、 proxy_02 は proxy_01 にアクセスします。ファイアウォールは次の接続をすべて受け入れる必 要があります。 proxy_01.internal.mycom.com:* から proxy_02.external.mycom.com:PROXY_B_PORT へ の接続 proxy_02.external.mycom.com:* から proxy_01.internal.mycom.com:PROXY_A_PORT へ の接続 OVO 管理対象ノードが通信に使うプロキシは、システムごとに指定する必要があります。この プロキシは、ovconfchg コマンドを使って名前空間 bbc.http 内で設定し、bbc.ini ファイル に保存します。bbc.ini は、手作業で編集してはなりません。 構文 ovconfchg -ns <namespace> -set <attr> <value> パラメータは次のとおりです。 -ns <namespace> 次のオプションを適用する名前空間を指定します。 -set <attr> <value> 現在の名前空間で、属性 ( プロキシ ) と値 ( ポートおよびアドレス ) を設定し ます。 たとえば、次のように指定します。 ovconfchg -ns bbc.http -set PROXY "web-proxy:8088-(*.mycom.com)+(*.a.mycom.com;*)" この例では、指定したホスト名に対して使うプロキシとポートを定義しています。 フォーマット : proxy:port +(a)-(b);proxy2:port2+(a)-(b); ...; a: このプロキシを使うホスト名のリストです。ホスト名はコンマまたはセミコロンでそれぞれを 区切って指定します。 b: このプロキシを使わないホスト名のリストです。ホスト名はコンマまたはセミコロンでそれぞ れを区切って指定します。 最初に一致したプロキシが使われます。 206 第8章 プロキシ プロキシの構成 ホスト名の代わりに IP アドレスを使うこともできます。したがって、15.*.*.* や 15:*:*:*:*:*:*:* も有効です。ただし、この場合には、正確な数のドットやコロンを指定す る必要があります。IP バージョン 6 は現在サポートされていませんが、将来はサポートされる 予定です。 PROXY=web-proxy:8088-(*.hp.com)+(*.a.hp.com;*) プロキシ web-proxy がポート 8088 を通して、*.hp.com に該当するホスト ( たとえば、 www.hp.com) を除くすべてのサーバー (*) で使われます。*.a.hp.com に一致するホスト、たと えば、merlin.a.hp.com では、このプロキシサーバーが使われます。 第8章 207 プロキシ HTTP プロキシの背後で行う手作業のエージェントインストール HTTP プロキシの背後で行う手作業のエージェントインストール プロキシの背後にあるシステムにエージェントを手作業でインストールする場合は、次の専用手 順が必要です。 1. HTTPS エージェントソフトウェアをインストールするシステムに、必要なファイルをすべ てコピーします。HTTPS エージェントソフトウェアを手作業でインストールする方法は、 120 ページの「手作業による HTTPS 管理対象ノードのインストール」を参照してください。 2. 次のコマンドを実行して、エージェントのインストールスクリプトを起動します。 ./opc_inst このコマンドは、サーバーや証明書サーバーのオプションを指定して実行することもできま す。 3. プロキシのパラメータを設定します。その例を次に示します。 ovconfchg -ns bbc.http -set PROXY "web-proxy:8088-(*.mycom.com)+(*.a.mycom.com;*)" 4. ノードをアクティブにしてエージェントを起動する必要がある場合は、次のコマンドを実行 します。 ./opcactivate -srv <srv_name> 208 第8章 プロキシ 管理対象ノードでのプロキシの設定 管理対象ノードでのプロキシの設定 OVO 管理対象ノードでプロキシを設定するには、次の手順を実行します。 1. 管理対象ノードシステムでエージェントソフトウェアをインストールします。インストール は手作業になります。ターゲットシステムにはまだアクセスできないので、リモートからイ ンストールすることはできません。HTTPS エージェントソフトウェアを手作業でインス トールする方法は、120 ページの「手作業による HTTPS 管理対象ノードのインストール」 を参照してください。 2. OVO エージェントが OVO 管理サーバーと通信するときに使うプロキシを設定します。その 例を次に示します。 ovconfchg -ns bbc.http -set PROXY "web-proxy:8088-(*.mycom.com)+(*.a.mycom.com;*)" 3. 次のコマンドを実行して、すべてのエージェントプロセスを停止します。 ovc -kill 4. 次のコマンドを実行してエージェントを再起動し、プロキシの変更を登録します。 ovc -start 第8章 209 プロキシ OVO 管理サーバーでのプロキシの設定 OVO 管理サーバーでのプロキシの設定 OVO 管理サーバーでプロキシの設定を変更するには、次の手順を実行します。 1. OVO 管理サーバーがその HTTPS 管理対象ノードと通信するときに使うプロキシを設定しま す。その例を次に示します。 ovconfchg -ns bbc.http -set PROXY "web-proxy:8088-(*.mycom.com)+(*.a.mycom.com;*)" 2. 次のコマンドを実行して、すべての OVO プロセスを停止します。 ovstop ovoacomm /opt/OV/bin/OpC/ovc -kill 3. 次のコマンドを実行してプロセスを再起動し、プロキシの変更を登録します。 ovstart ovoacomm /opt/OV/bin/OpC/opcsv -start /opt/OV/bin/OpC/opcagt -start 210 第8章 9 DHCP クライアントシステム上での HTTPS エージェントの管理 第9章 211 DHCP クライアントシステム上での HTTPS エージェントの管理 OVO エージェントと DHCP OVO エージェントと DHCP DHCP サーバーは、IP ネットワークに存在するコンピュータに対して、DHCP (Dynamic Host Configuration Protocol) を使ってネットワークの設定を動的に割り当てます。この動的な割当て の主な目的は、大規模 IP ネットワークの管理に必要な作業を減らすとともに、IP アドレスを必 要に応じてコンピュータに分配することです。 DHCP はクライアント - サーバー型のアプリケーションです。コンピュータが DHCP サーバー に接続すると、このサーバーからそのコンピュータに対して一時的な IP アドレスが割り当てら れます。コンピュータはその IP アドレスを一時割当ての期限が切れるまで使います。期限が切 れた時は、新しい IP アドレスへ置き換えることができます。 DHCP の主な利点は、そのアドレス指定方法が完全に動的であることです。ネットワークで DHCP サーバーが動作していれば、そのネットワーク内では、IP アドレスを再設定することな くコンピュータを追加したり移動したりできます。 OVO では、DHCP クライアントシステムで動作する OVO HTTPS エージェントも管理すること ができます。この OVO ソリューションは、特定の DHCP 製品や DNS 製品には依存しません。 ただし、これには次の条件が必要です。 • システム名が変わらないこと。MoM (manager-of-manager) 環境であっても、システムの識 別にはシステム名が使われます。 • DHCP と DNS が同期していること。 • 一日のうちに変更されるIPアドレスの数が比較的少なく、IPアドレスの変更イベント(IPCE; IP Address Change Event) が大量に発生する場合の対応が不要なこと。OVO エージェント は、ネットワークインタフェースに IP アドレスの変更があると、このイベントを送信しま す。 • Java GUI、管理者およびオペレータ UI の各プロセスで、IP アドレスの変更を自動的に更新 しないこと。IP アドレス変更に関する警告を受信した場合は、管理者とオペレータは UI プ ロセスを再起動して最新の IP アドレス情報をロードする必要があります。 • エージェントの DHCP サポートを各エージェントおよびサーバーに設定すること。 • IP アドレスの動的な変更が、起動時だけでなく実行時にも可能なこと。 IP アドレスの変更をチェックする周期は、システム上の IPADDR_CHECK_INTERVAL 変数で 設定できます。 212 第9章 DHCP クライアントシステム上での HTTPS エージェントの管理 OVO での DHCP の設定 OVO での DHCP の設定 DHCP 用の変数 DHCP に固有な管理サーバープロセスの動作は、次の変数を使って設定します。 OPC_DUMMY_IP_RANGE 1.1.1.* OVO/UNIX 管理サーバーは、IP 変更リクエストの処理中に IP アドレスの重複を検出すると、 OPC_IP_DUMMY_IP_RANGE の範囲内で次に空いている IP アドレスを使います。この文字列は、 [1-9*].[1-9*].[1-9*].[1-9*] の形式で指定します。少なくとも 1 つの数字を指定する必要 があります。デフォルトは、1.1.1.* です。 OPC_IPCE_RETRY_NUM 10 システムから報告されたいずれの IP アドレスも、DNS に登録されている IP アドレスと一致し ない場合は、その IP アドレス変更イベントはバッファーに入れられます。この場合、バッ ファーに入れられた各イベントごとに、OPC_IPCE_RETRY_NUM 変数で指定された最大回数だけ リトライされます。デフォルトは、10 回です。 OPC_IPCE_RETRY_INTERVAL 180 OPC_IPCE_RETRY_INTERVAL の時間が経過すると、バッファーに入れられているすべての IP 変 更イベントが再び処理されます。デフォルトは、180 秒です。 DHCP 用の opcnode 変数 opcnode コマンドには次の DHCP オプションがあります。 opcnode -add dynamic_ip=yes|no node_name=<fully qualified domain name> オプション -add を使う場合は、パラメータ dynamic_ip を指定します。dynamic_ip として yes を指定すると、管理者用 UI の [ ノードの変更 ] ウィンドウで DHCP を選択した場合と同様、 OVO 管理サーバーがこの新しいシステムから IP アドレス変更イベントを受け入れるように設定 されます。 opcnode -chg_iptype dynamic_ip=yes|no -node_list=< ノードのリスト > dynamic_ip として yes を指定すると、管理者用 UI の [ ノードの変更 ] ダイアログで DHCP を 選択した場合と同様、OVO 管理サーバーがこの変更されたシステムからの IP アドレス変更イベ ントを受け入れるように設定されます。 第9章 213 DHCP クライアントシステム上での HTTPS エージェントの管理 OVO での DHCP の設定 dhcp_postproc.sh を使った NNM の同期 dhcp_postproc.sh ツールは、管理サーバープロセス ovoareqsdr が IP アドレス変更イベント を正常に処理した後に使います。このツールは、システムの IP アドレスが変更された後で NNM の同期を取ります。このツールによってシステムのホスト名とその新しい IP アドレスを 取得します。 214 第9章 DHCP クライアントシステム上での HTTPS エージェントの管理 DHCP クライアントでエージェントの管理を有効にする DHCP クライアントでエージェントの管理を有効にする DHCP クライアントで HTTPS エージェントの管理を有効にするには、次の手順を実行します。 1. たとえば DHCP サーバーからのアップデートなどにより、DHCP と DNS の同期が取れている ことを確認します。同期させないと、OVO 管理サーバーは IP アドレス変更イベントをいっ さい処理できません。また、システム全体の性能も低下します。 2. DHCP を処理するように NNM を設定します。その方法は、OVO のオンラインヘルプにある 「アクセス不可の DHCP IP アドレスの削除」のセクションを参照してください。 3. /opt/OV/contrib/OpC/dhcp_postproc.sh をカスタマイズします。 スクリプトを環境に合わせてカスタマイズします。次のエントリーが特に重要です。 NETMASK="255.255.248.0" # netmask MAXRETRY=5 # number of retries for opctranm SLEEP_TIME=10 # sleep this amount of seconds # before the next retry TRACE="off" # on=do (or off=do not) create # lots of tracefiles in /tmp NETMON_TOPO_FIX="OFF" #off is highly recommended FORCE_NODEINFO_DIST #off opcmsg または opcwall の呼び出しを追加することもできます。 第9章 215 DHCP クライアントシステム上での HTTPS エージェントの管理 DHCP クライアントでエージェントの管理を有効にする 216 第9章 10 ホスト名と IP アドレスの変更 第 10 章 217 ホスト名と IP アドレスの変更 ホスト名と IP アドレスの概要 ホスト名と IP アドレスの概要 1 つのノードに複数の IP アドレスとホスト名を割り当てて運用していることがよくあります。 ノードを別のサブネットのメンバーにするときは IP アドレスの変更が必要な場合があります。 この場合、IP アドレス、または完全修飾ドメイン名を変更します。 一般に HP-UX システムと Solaris システムでは、IP アドレスとそれに対応するホスト名の設定 を次のいずれかの方法で行います。 ❏ /etc/hosts ❏ ドメインネームサービス (DNS) ❏ ネットワーク情報サービス (HP-UX では NIS、Solaris では NIS+) ネームサーバーを使っていない環境からネームサーバーを使う環境 (DNS または BIND) に移行 した場合は、ネームサーバーから新しい IP アドレスにアクセスできることを確認してください。 ホスト名は、IP ネットワーク内で管理対象ノードを識別するために使います。1 つのノードに多 数の IP アドレスが割り当てられている場合でも、ホスト名を使って特定のノードを絞り込むこ とができます。システムのホスト名は、UNIX の hostname(1) コマンドを使ったときに返され る文字列です。 218 第 10 章 ホスト名と IP アドレスの変更 手作業による管理対象ノードのホスト名または IP アドレスの変更 手作業による管理対象ノードのホスト名または IP アドレスの変更 注記 注記 分散管理サーバー (MoM) 環境で OVO を運用している場合には、以下のように手 順を変更してください。 • 手順 1 ~ 9 は、変更したノードを制御またはモニターしているすべての管理 サーバーシステムで実行します。 • 手順 10 は、OVO テンプレート内で旧ホスト名を参照しているすべての OVO 管 理サーバーシステムで実行します。 Service Navigator を使っている場合は、opcservice コマンド用のサービス設定 ファイルを確認してください。サービス設定ファイルにホスト名や IP アドレスが 含まれている場合は、opcservice を再起動する前に変更が必要なことがありま す。詳細は、『HP OpenView Operations Service Navigator コンセプトと設定ガ イド』を参照してください。 管理対象ノードのホスト名や IP アドレスを変更するには、以下の手順を実行します。 注記 ノードの IP アドレスを変更する予定がある場合は、IP アドレスを決めておくか、 またはノードを DHCP クライアントにする必要がありますが、ノード属性の設定 を「システムは IP を動的に取得する (DHCP)」にした方がはるかに安全で、便利 です。ただし、この属性を設定できるのは、HTTPS ノードだけです。 1. 新しい IP アドレスとホスト名が OVO 管理サーバー上で解決可能なことを確認します。 2. 新しいIPアドレスとホスト名がOVO管理サーバーの他のノードでまだ使われていないことを 確認します。 3. すべての OVO 管理サーバープロセスが動作していることを確認します。データベースプロセ スについては、特に注意してください。 次のコマンドを入力して、OpenView プロセスを起動します。 ovc -start ovstart ovacomm 第 10 章 219 ホスト名と IP アドレスの変更 手作業による管理対象ノードのホスト名または IP アドレスの変更 opcsv -start データベースが動作していない場合は、次のコマンドを実行して起動します。 /sbin/init.d/ovoracle start 4. OVO 管理対象ノードの IP アドレスまたはホスト名を変更します。 管理サーバーシステムで、変更するすべての管理対象ノードについて、OVO データベース に登録されている管理対象ノードの IP アドレスまたはホスト名を変更します。 以下のいずれかの方法を使います。 ❏ OVO の管理者 GUI を使う方法 OVO 管理者 GUI の [ ノードの変更 ] ウィンドウで IP アドレスまたはノード名を変更し ます。 • IP アドレス IP アドレスを変更するには、[ ノードの変更 ] ウィンドウを開き、[ ホスト名 ] フィー ルドに新しい IP アドレスを入力して、Return を押します。新しい IP アドレスが [IP アドレス ] オプションボックスに表示されます。 OK をクリックして、変更を保存します。 • ノード名 ノード名を変更するには、[ ノードの変更 ] ウィンドウを開き、[ ホスト名 ] フィール ドに新しいノード名を入力して、Return を押します。 [OK] をクリックして、変更を保存します。 注記 ❏ 変更後の IP アドレスとノード名は、OVO 管理サーバーで解決できる必 要があります。 コマンド行を使う方法 IP アドレス / ホスト名を、コマンド行ツール opcchgaddr を使って変更します。この方 法は、ノード名と IP アドレスが OVO 管理サーバー上で解決できない場合に使うことを お勧めします。 次のコマンドを実行します。 /opt/OV/contrib/OpC/opcchgaddr -sync -force ¥ -label <label> IP <old_addr> <old_name> IP ¥ <new_addr> <new_name> 220 第 10 章 ホスト名と IP アドレスの変更 手作業による管理対象ノードのホスト名または IP アドレスの変更 -sync ホスト名や IP アドレスの変更を、OVO のランタイ ムコンポーネントと同期させます。 -force ネームサービスを使いません。データベースに重複 したノード名があってもチェックしません。 -label <label> ノードのラベルを <label> に変更します。新しい ラベルは [ 登録ノード ] に表示されます。 <old_addr> ノードの変更前の IP アドレス。 <new_addr> ( 名前を変更する ) ノードの変更後の IP アドレス。 <old_name> ノードの変更前の名前。 <new_name> ( 名前を変更する ) ノードの変更後の名前。 このコマンドの詳細は、opcchgaddr(1M) のマンページを参照してください。 5. 管理サーバーシステムではなく、OVO 管理対象ノードでのみ IP アドレスを変更した場合は、 その新しい IP アドレスが管理対象ノードに設定されていることを確認します。 6. (DCE/NCS ノードの場合のみ )。OVO 管理対象ノードのホスト名だけを変更した場合は、次 のようにして最後の分配時にキャッシュしたテンプレートを削除し、OVO にデータベース からテンプレートを再作成させます。 cd /etc/opt/OV/share/conf/OpC/mgmt_sv/templates rm -f `find . -type f` 7. (DCE/NCS ノードの場合のみ )。OVO 管理対象ノードのホスト名だけを変更した場合は、次 の手順を実行して、すべての管理対象ノードにテンプレートを再分配します。 a. メインウィンドウのいずれかで、[ アクション: エージェント->ソフトウェアと設定のイン ストール / 更新 ] を選択します。 b. [ ソフトウェアと設定のインストール / 更新 ] ウィンドウで、構成要素 [ テンプレート ] を選 択します。 c. [ 強制アップデート ] と [ ノードリスト中で要アップデートのノード ] を選択します。 d. [ 登録ノード] ウィンドウで管理対象ノードを選択し、[ ソフトウェアと設定のインストール / 更新 ] ウィンドウの [ マップ選択の取り込み ] をクリックします。 e. [OK] をクリックします。 8. 次のコマンドを実行して、管理対象ノードのエージェントを再起動します。 /opt/OV/bin/OpC/opcragt -start <node_name> 第 10 章 221 ホスト名と IP アドレスの変更 手作業による管理対象ノードのホスト名または IP アドレスの変更 9. ネットワークノードマネージャをアップデートします。 NNM では IP アドレスとホスト名の変更をすでに検出しているかもしれません。これは NNM の設定やその他のタイミングによります。 管理サーバーで、ホスト名または IP アドレスを変更するすべての OVO 管理対象ノードに対 し、次の手順を実行します。 a. ping コマンドを実行し、OpenView の把握しているホスト名と IP アドレスを、変更した ホスト名と IP アドレスにアップデートします。 ping <new_name> b. 次のコマンドを実行して、OpenView のトポロジデータベースをアップデートします。 /opt/OV/bin/nmdemandpoll <new_name> 10. オペレータ用の GUI ブラウザを再ロードします。 いずれかの OVO メインウィンドウで次のメニューオプションを使い、OVO の管理者用 GUI とオペレータ用 GUI を再起動します。 [ ファイル : セッションの再起動 ] 注記 Motif GUI を実行しているオペレータのうち、ノードの変更前も変更後もそ のノードを担当しているオペレータに対しては、変更を知らせるポップアッ プメッセージが表示されます。しかし、変更後のノードだけを担当している オペレータに対しては、ポップアップメッセージは表示されません。 JAVA GUI を実行しているオペレータに対しては、変更を知らせるポップ アップメッセージが表示されません。このようなオペレータには、信頼でき る方法 ( たとえば、opcmessage) を使って知らせる必要があります。 222 第 10 章 ホスト名と IP アドレスの変更 管理対象ノードのホスト名または IP アドレスの自動的な変更 管理対象ノードのホスト名または IP アドレスの自動的な変更 ここでの説明は、通信タイプが DCE/NCS または HTTPS で、管理対象ノードのタイプが「モニ ター対象」、「OVO 管理対象」、または「メッセージ対象」のノードをカバーしています。ただ し、少し違う個所もあるので、注意してください。 この複雑な処理を簡単にするための新しいコマンド行ユーティリティが、OVO 管理サーバーに いくつか用意されています。 注記 HTTPS エージェントソフトウェアを管理サーバーにインストールしておく必要 があります。 上述の手順 1 ~ 9 は、次のスクリプトで実行できます。 /opt/OV/bin/OpC/utils/opc_node_change.pl このスクリプトを実行すると opc メッセージの送信も行われるので、オペレータはブラウザを手 作業で再ロードするだけで済みます。 opc_node_change.pl [-h[elp]|-?] ¥ -oldname OLD_FQDN -oldaddr OLD_IP_ADDR ¥ -newname NEW_FQDN -newaddr NEW_IP_ADDR[,NEW_IP_ADDR,...] ¥ [-nnmupdate -netmask 999.999.999.999 -macaddr XX:XX:XX:XX:XX:XX ¥ [-hook CMDNAME] [-nnmtopofix]] NNM のアップデートが不要な場合 ( 通常、NNM の機能を使っていない場合 ) は NNM をアッ プデートしなくても問題はありません。不要かどうかわからない場合は、-nnmupdate オプショ ンを使用してください。基本的な使い方は、OLD_FQDN ( 変更前の完全修飾ドメイン名 ) と OLD_IP_ADDR の値として、OVO 管理サーバーのデータベースに登録されているノード名と IP アドレスを指定し、NEW_FQDN と NEW_IP_ADDR の値として新しいホスト名と IP アドレスを指定 するだけです。 NNM を更新する必要がある場合は、オプション -nnmupdate を指定する必要があります。この オプションを使うときは、ノードのネットマスク情報とアダプタ /MAC アドレスの情報を指定す る必要があります。MAC アドレスは、オプション -macaddr を使ってコロン付きの 16 進表現 で指定するか、コールバックコマンド行ユーティリティをオプション -hook のパラメータとし て指定します。CMDNAME コマンドでは、パラメータとして NEW_FQDN と NEW_IP_ADDR を必要と し、MAC アドレスを MAC=XX:XX:XX:XX:XX:XX 形式で標準出力に出力し、終了コード 0 で終了 する必要があります。-hook オプションで指定するコマンドの例としては、次のスクリプトを参 照してください。 第 10 章 223 ホスト名と IP アドレスの変更 管理対象ノードのホスト名または IP アドレスの自動的な変更 /opt/OV/contrib/OpC/opcgetmacaddr.sh このスクリプトでは、指定したノードの MAC アドレスを取得するために、 /opt/OV/bin/snmpget を使っています。このスクリプトは、SNMPv2 をサポートしている ノードでのみ正しく動作します。 オプション -nnmtopofix は、NNM の設定を修正する場合にのみ必要です。ホスト名または IP アドレスを変更したノードで問題が発生した場合に、このオプションを使います。 注記 224 -nnmtopofix オプションは、多くの時間とリソースを消費します。 第 10 章 ホスト名と IP アドレスの変更 ノードの設定と名前解決の比較 ノードの設定と名前解決の比較 コマンド行ユーティリティ opc_chk_node_res.pl を使うことで、ノードの設定が名前解決と一 致しているかどうかをチェックすることができます。このユーティリティは次の場所にありま す。 /opt/OV/bin/OpC/utils/opc_chk_node_res.pl 注記 opc_chk_node_res.pl コマンドを実行した場合、設定済みノードの数と名前解 決のメカニズムによっては、データベースとネットワークに大きな負荷がかかる ことがあります。 設定した名前または IP アドレスに不一致が見つかると、そのたびに不一致に関する情報が標準 出力に出力され、opcmessage が送信されます。opcmessage には、名前または IP アドレスの 新しい値 ( 評価できた場合 ) が含まれています。このユーティリティには、チェック対象または 送信メッセージの数を制限するためのオプションがあります。 opc_chk_node_res.pl [-h[elp]] [-quiet] [-max ###] ¥ [-check all|managed|external] ¥ [-name FQDN|-addr DOTTED_IP_ADDR] -help ここに書かれている内容が表示されます。 -quiet STDOUT に何も出力しません。 -max ( デフォルトは 200) このコマンドが送信する opcmessage の数を制限する場合 に、このオプションを使用します。 メッセージの数を制限しないときは、-1 を指定します。 -check ( デフォルトは all) チェックの数を制限したい場合に、このオプションを使用し ます。 -name FQDN 完全修飾ドメイン名で指定した 1 つのノードをチェックす る場合に、このオプションを使用します。 -addr DOTTED_IP_ADDR IP アドレス ( たとえば、192.168.1.1) で指定した 1 つの ノードをチェックする場合に、このオプションを使用しま す。 送信される opcmessage のパラメータは、スクリプトの中でカスタマイズできます。 第 10 章 225 ホスト名と IP アドレスの変更 ノードの設定と名前解決の比較 226 第 10 章 11 MOM 環境 第 11 章 227 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 複数の OVO 管理サーバー (MoM) がある環境 HTTPS エージェントと DCE エージェントにおける MoM の概念は非常に似ています。詳細は、 『OVO コンセプトガイド』の「複数の管理サーバーに対応する拡張アーキテクチャ」の章を参照 してください。設定情報については、『OVO システム管理リファレンスガイド』を参照してくだ さい。エージェントには、メッセージの送信先を指定するメッセージターゲット規則と、特定の タスクの実行を許可する OVO サーバーを指定するリモートアクセス規則を設定します。メッ セージターゲット規則もリモートアクセス規則も、担当マネージャポリシー ( 以前は mgrconf ファイルと呼ばれていました ) で定義します。OVO 管理サーバーでは、OVO 7 と同じ方法で担 当マネージャポリシーを設定する必要があります ( マネージャの設定用の構文は同じです )。 OVO 8 と HTTPS エージェントには、セキュリティについての新しい概念が導入されました。 この中のいくつかの要素について配慮する必要があります。詳細は、59 ページの「証明書サー バーが複数個ある環境」にある手順を参照して、最初に複数の設定サーバー間に信頼関係を確立 してください。 複数の設定サーバーについての詳細は、233 ページの「複数の設定サーバーの設定」を参照して ください。 HTTPS エージェントにおける担当マネージャの用語 HTTPS における OpenView 担当マネージャの概念は、以下の用語に基づいています。 • OV アクセス権 OV コンポーネントにはアクセス権が定義できます。アクションを実行したり、ファイルを 配布したり、設定を行なうための権利です。これらの権利は、事前に設定された OpenView の役割にマップされます。たとえば、名前空間 sec.core.auth.mapping.* にある設定情報 を変更して、管理対象ノードへのリモートアクセスを禁止するというように、マッピングを 変更することができます。 • OV で定義済みの役割 OVO 管理サーバーは、OpenView で定義済みの役割を引き継ぐことができます。管理サー バーと役割とのマッピングは、担当マネージャのポリシーと特定の設定で定義されます。 • ローカルユーザーの役割 ローカルユーザーは、適切なシステム権限 ( たとえば、root) が与えられれば、すべての権 利を持ちます。 • 228 初期マネージャまたは承認済みマネージャの役割 第 11 章 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 このマネージャには、必要に応じてリモートアクセスができるように、すべての権利が与え られて、インストール時に設定されます。このノードはセキュリティ名前空間 sec.core.auth で、MANAGER と MANAGER_ID を設定することで定義されます。初期マネー ジャは 1 つしか存在できません。 • 二次マネージャの役割 二次マネージャは、アクションの実行権、設定の配布権など、すべての権利を持ちます。担 当マネージャポリシーには、複数の二次マネージャが定義できます。初期マネージャと二次 マネージャによって、設定サーバーのグループを構成できます。 • アクションが許可されたマネージャの役割 アクションが許可されたマネージャは、アクションの実行権しか持ちません。担当マネー ジャポリシーには、アクションが許可された複数のマネージャを定義できます。 • 定義済みの認証局 セキュリティ名前空間 sec.cm.client から CERTIFICATE_SERVER がインストール中に設定 されます。これは、管理対象ノードの有効な登録済みの証明書を取得するときにアクセスす る、認証局を持つシステムを定義しています。証明書サーバーを担当マネージャポリシーで 定義することはできません。 OVO 7 と OVO 8 の相違と下位互換性 MoM の概念における変更点と下位互換性に関する情報は、以下のとおりです。 • 二次マネージャは HTTPS エージェント上でのみアクションの実行権を持ちます。 • OVO 7.x の担当マネージャファイルは、変更なしに、OVO 8 エージェントで使うことができ ます。 • 二次マネージャは、HTTPS エージェントでは一次マネージャを切り換えることなく設定 データを配布できます。DCE エージェントでは最初に次のコマンドを使って一次マネー ジャを切り換える必要があります。 opcragt -primmgr • OVO 7 と OVO 8 では、マネージャへのメッセージ割当て opcragt -primmgr によって、一次 メッセージターゲットマネージャが変更されます。 • 設定情報の配布を行う場合に、二次サーバーから新しい設定が配布 (opcragt -primmgr 呼び 出し ) されても、HTTPS エージェントから既存の設定情報は削除されません。DCE エー ジェントの場合には、一次サーバーと二次サーバーが同じように設定されていないときに は、削除される可能性があります。 第 11 章 229 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 • ノードに割り当てられたテンプレートがない場合、サーバーは DCE エージェントのすべての 設定情報を削除しますが、HTTPS エージェントについては、別のサーバーと同じ所有者文 字列を使っていない限り、何も変更しません。HTTPS エージェントと DCE エージェント が混在する環境では、1 つの設定サーバーだけを使う必要があります。このサーバーでは、 データを配布する前に、opcragt -primmgr 呼び出しを実行する必要があります。HTTPS エージェントだけの環境では、設定サーバーとメッセージターゲットサーバーが分離してい るので、柔軟性が高くなっています。 • OVO 7 のすべての MoM テンプレートは、HTTPS エージェントでも使うことができます。た だし、HTTPS エージェントは OVO 7 の管理サーバーとは通信できません。そのため、 HTTPS エージェントの担当マネージャポリシーで参照されるすべての OVO 管理サーバー は、OVO 8 にアップグレードする必要があります。管理サーバーには、OVO 7 から OVO 8 への移行をサポートするための MoM 設定ファイル allnodes.bbc が用意されています。こ のファイルは、HTTPS ノードへのデータの配布に関して、allnodes ファイルより高い優 先順位を持ちます。allnodes.bbc では OVO 8 の管理サーバーだけを含む必要があります。 すべてのサーバーがアップデートされれば、allnodes に移すことができます。 • 担当マネージャポリシーから参照されるすべての OVO 管理サーバーを登録ノードに追加し、 その OvCoreId をデータベースに追加しておく必要があります。OvCoreId は担当マネー ジャポリシーの配布時に担当マネージャポリシーに自動的に追加されます。HTTPS 管理対 象ノードでは、承諾された OvCoreId に基づいて、サーバーの認証が行なわれます。 • HTTPS ノードで MoM 環境を構築した場合には、いくつかの証明書関連の設定情報を作成す る必要があります。詳細は、59 ページの「証明書サーバーが複数個ある環境」を参照してく ださい。 MoM 環境でのアップグレード MoM 環境でのアップグレードは、2 段階の手順で構成されます。 • OVO 管理サーバーを OVO 8 にアップグレード • 管理対象ノードを OVO 8 HTTPS エージェントにアップグレード 以下の手順を実行して、OVO 7.x MoM 環境を OVO 8 MoM 環境にアップグレードします。 1. 少なくとも 1 台の OVO 7.x 管理サーバーを OVO 8 管理サーバーにアップグレードします。 2. 116 ページの「DCE エージェントから HTTPS エージェントへの移行」での説明に従って、 DCE エージェントを HTTPS エージェントに移行します。 230 第 11 章 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 注記 OVO 7.x の管理サーバーは HTTPS エージェントをサポートしていないため、 移行したシステムの管理はできません。 3. opccfgdwn ユーティリティを使って、最初の OVO 8 管理サーバーから設定データをダウン ロードします。詳細は、『HP OpenView Operations 管理サーバー インストールガイド』の 「現在の OVO A.07.1x 設定のダウンロード」を参照してください。 4. opccfgupld ユーティリティを使って、ダウンロードした設定データを 2 番目以降の OVO 8 管 理サーバーにアップロードします。詳細は、『HP OpenView Operations 管理サーバー イン ストールガイド』の「保存した OVO A.07.1x 設定のアップロード」を参照してください。 5. データベースに HTTPS エージェントのインストールフラグを設定します。このフラグが設 定されていない場合、アップグレードされたノードがハートビートポーリングリストに自動 的に追加されないため、ハートビートポーリングと設定ファイルの分配を実行する際に問題 が発生します。 次のコマンドを実行します。 opcsw -i <https_node_name> 6. 手順 4 と 5 を他のすべての OVO 8 管理サーバーで実行します。 7. 2 つ以上のマネージャ間に信頼関係を確立し、環境間で相互に通信が行えるようにします。 63 ページの「2 番目の OVO 管理サーバーにおける証明書の取り扱い」で説明されている手 順を実行します。 8. HTTPS ノード用の担当マネージャファイルを作成し、それをエージェントに配布します。 /etc/opt/OV/share/conf/OpC/mgmt_sv/respmgrs/allnodes.bbc allnodes.bbc の優先度は allnodes ファイルより高く、HTTPS ノードの <hex_IP_addr> ファイルより低くなります。このファイルは、テンプレートと共に配布される allnodes ファイルと同様に、ポリシーと共に自動的に配布されます。 allnodes.bbc は、空か allnodes ファイルの設定のサブセットのみを持ちます。空の allnodes.bbc ファイルは、MoM 設定が HTTPS ノードに配布されていないこと、および 最初に設定を配布したものと同じ管理サーバーが所有者である場合には、すでに配布済みの MoM 設定が削除されていることを意味しています。担当マネージャファイルで指定された、 HTTPS ノードと関連するすべての OVO 管理サーバーシステムは通信タイプとして HTTPS を使用し、OvCoreId を持つ必要があります。 第 11 章 231 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 メッセージターゲット規則 (OPC_PRIMARY_MGR 設定 ) OVO エージェントの名前空間 eaagt には OPC_PRIMARY_MGR と呼ばれる設定があります。これ には、OVO メッセージがデフォルトで送信される OVO 管理サーバーのホスト名を指定します。 このエージェント設定は、OVO 管理サーバーで次のコマンドを実行することで変更されます。 opcragt -primmgr OPC_PRIMARY_MGR が設定されていなかったり、不正な設定だった場合には、OVO 管理サーバー は MANAGER の設定で指定されます。不正な設定とは、OPC_PRIMARY_MGR が、二次マネージャ、 アクションが許可されたマネージャ、初期マネージャのいずれとしても指定されていないことを 意味します。OPC_PRIMARY_MGR はメッセージ関連の設定であり、メッセージを OVO 管理サー バーに送信するために担当マネージャポリシーのメッセージターゲット規則で使われる $OPC_PRIMARY_MGR 変数へマップされます。 複数の並列設定サーバー HTTPS ノードでは、複数の並列設定サーバーがサポートされます。OpenView のポリシーの考 え方では、ポリシーに対する所有者という概念があるので、1 つのエージェントで複数の OpenView 製品が、ポリシーに基づいて独立に動作することができます。ポリシーヘッダーに は、OVO 管理サーバーで設定できる owner 属性があります。この属性は、管理サーバー間の合 意という考え方に基づいた論理的な関連付けであり、エージェントの設定情報 ( ポリシー ) に責 任を持つ管理サーバーを取り決めるために使われます。通常、特定の OVO 管理サーバーに関連 付けられたすべてのポリシー ( テンプレート ) は、その管理サーバーでしか変更することはでき ません。このため、2 つの異なる管理サーバーが同一のエージェントにポリシーを配布するとき でも、名前が異なっているため、相互に干渉することはありません。 ここで複数の並列設定サーバーを使う状況を説明しておきます。たとえば、サービスプロバイダ は、一連の顧客システムのハードウェアとオペレーティングシステムを管理します。顧客自身 は、同じノードグループで稼動しているアプリケーションを管理します。サービスプロバイダと 顧客は、各自の OVO 管理サーバーを使ってこれらのシステムを管理します。ソリューションは 以下のように実装されます。 • サービスプロバイダと顧客は独自の証明書を作成するが、信頼関係については合意してい る。そのため、エージェントは両方の OVO 管理サーバーからのアクションと設定リクエス トを受け入れることができる。 • サービスプロバイダと顧客は担当マネージャポリシー (mgrconf ポリシー ) について合意して いる。サービスプロバイダが一次マネージャとなり、顧客が専門技術センターになる。両方 の OVO 管理サーバーを mgrconf ポリシーにリストする必要がある。 232 第 11 章 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 • 専門技術センターには、設定の配布も許可される。担当マネージャファイルのメッセージ ターゲット規則に一致する特定の属性を持つすべてのポリシーが提供される。それにより、 関連メッセージが専門技術センターに送信され、それ以外は一次マネージャに送信される。 複数の設定サーバーの設定 次の 2 つの異なる環境で、複数の設定サーバーを使うことができます。 • バックアップサーバー 通常、バックアップのケースでは、2 台の OVO 管理サーバーには同一の設定が行われます。 メインになるシステムが一次管理サーバーになり、他方がバックアップサーバーになりま す。 • 専門技術センター 専門技術センターのケースでは、異なる OVO 管理サーバーに管理責任が分散されます。通 常、専門技術センターの管理サーバーが、SAP などの専用アプリケーションを担当し、一次 管理サーバーは残りの業務を担当します。 ポリシーを HTTPS エージェントに配布するときに、ポリシーには所有者文字列が付けられま す。この所有者文字列は、名前空間 opc にある管理サーバーの設定情報 OPC_POLICY_OWNER か ら取り出されます。デフォルト値は、OVO:<server_fully_qualified_name> です。 一次管理サーバーとバックアップ管理サーバーは、同一の所有者文字列を持つ必要があります。 専門技術センターのケースでは、通常、すべてのサーバーが各自のデフォルトの所有者文字列を 持ちます。 バックアップ管理サーバーが必要なときは、バックアップ管理サーバーで次のコマンドを実行す れば、デフォルトの所有者文字列を書き換えることができます。 ovconfchg -ovrg server -ns opc -set ¥ OPC_POLICY_OWNER <OVO:primary_server_fully_qualified_name> 注記 文字列 OPC_POLICY_OWNER も任意の値に変更することができますが、これは両方 の管理サーバーで同一の値である必要があります。 注記 1 台の管理サーバーには 1 つの所有者文字列しか設定できないことに注意してく ださい。管理サーバーがある OVO ドメインのバックアップとして動作している 場合には、他のドメインの専門技術センターになることはできません。 第 11 章 233 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 注記 バックアップ管理サーバーが一次管理サーバーと完全に同一の設定でない場合に は、テンプレートやインストルメンテーションを配布したときに、エージェント が異なって設定されることがあります。バックアップ管理サーバーで書き換えら れなければ、一次管理サーバーのインストルメンテーションファイルが残ります。 バックアップ管理サーバーの追加インストルメンテーションファイルは、エー ジェントに配布されて、累積的に格納されます。一次管理サーバーとバックアッ プ管理サーバーの所有者文字列が同じ場合や、ポリシーが同一の場合には、ポリ シーは置き換えられます。エージェントにあるそれ以外のポリシーは、所有者が 異なるため、すべて変更されずに残ります。 複数の設定サーバー環境における mgrconf ポリシーと nodeinfo ポリシー mgrconf ポリシーと nodeinfo ポリシーは、特殊ケースとして扱われます。235 ページの「異な る管理サーバーによって配布された同一のポリシーの取り扱い」で説明されている規則は、この 2 つのポリシーには適用されません。 OVO UNIX では、1 つの管理対象ノードにつき、これらのポリシーのいずれか 1 つのインスタ ンスしか存在することができません。これらのポリシーのいずれかを最初に配布した管理サー バーが永久に所有者となります。2 番目の管理サーバーは、すでに存在するポリシーを書き換え ることはできません。そのため、専門技術センターのケースでは、1 台のサーバーのみを使って mgrconf ポリシーを配布することをお勧めします。 管理対象ノードにある mgrconf と nodeinfo の所有者属性をどうしても変更する必要がある場 合には、以下のいずれかのコマンドを使います。 管理サーバーシステムから操作する場合は、次のコマンドを実行します。 nodeinfo の場合 opcdeploy -cmd "ovpolicy -setowner ¥ OVO:<your_full_qualified_mgmt_server_name> -poltype ¥ configsettings" -node <your_managed_node_name> mgrconf の場合 opcdeploy -cmd "ovpolicy -setowner ¥ OVO:<your_full_qualified_mgmt_server_name> -poltype ¥ mgrconf" -node <your_managed_node_name> 管理対象ノードシステムから操作する場合は、次のコマンドを実行します。 nodeinfo の場合 234 第 11 章 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 ovpolicy -setowner ¥ OVO:<your_full_qualified_mgmt_server_name> -poltype ¥ configsettings mgrconf の場合 ovpolicy -setowner ¥ OVO:<your_full_qualified_mgmt_server_name> -poltype ¥ mgrconf 異なる管理サーバーによって配布された同一のポリシーの取り扱い ポリシーは、ID、ポリシー名、タイプ、バージョンによって識別されます。ID は名前とポリ シータイプ、バージョンを加えたものより高い優先順位を持ちます。 ポリシーが同一であるかは、次の方法で判断されます。 • 同一のポリシー ID • ポリシー名、ポリシータイプ、およびバージョンは同一であるが、ポリシー ID は異なる。 同一のポリシーは、ポリシー所有者とは関係なく複数の管理サーバーで変更できます。こうする ことで、エージェントにインストールする同一ポリシーのインスタンス数を抑制し、同一の問題 に対して複数のメッセージを発生させないようにできます。 同じ設定データを配布するために複数のサーバーが使われている場合には、それらはバックアッ プ管理サーバーとして動作し、それらのデータは同期させる必要があります。 所有者の概念については、次の例によって複数の設定サーバー間での処理方法が理解できます。 ここに管理サーバー A と管理サーバー B、ポリシー X とポリシー Y があるとします。ポリシー X を管理サーバー A と管理サーバー B の両方からエージェントに新たに割り当てます。ポリ シー Y は、同じエージェントに管理サーバー A だけから割り当てます。 サーバー A とサーバー B が使用する所有者文字列が異なる場合。サーバー A が使用する所有者 文字列は「A」で、サーバー B が使用する所有者文字列は「B」です。 第 11 章 235 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 1. 設定情報を分配します。 図 11-1 複数の設定サーバー間でのポリシーの処理方法 ( サーバー A とサー バー B の所有者が異なる場合 ) a. サーバー A から、ポリシーを差分分配モードおよび強制分配モードで分配した場合 : ポリシー X とポリシー Y を配布し所有者は「A」となります。 b. サーバー B から、ポリシーを差分分配モードで分配した場合 : ポリシー X は変更されません。ポリシー X はインストール済みなので、その状態は変わ らず所有者「A」のままです。ポリシー Y も変更されません。所有者は「A」のままで す。 サーバー B から、ポリシーを強制分配モードで分配した場合 : ポリシー X は上書きされ所有者は「B」となります。 ポリシー Y は変更されません。所有者は「A」のままです。 2. ポリシー X の割り当てを解除し分配を実行します。 236 第 11 章 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 図 11-2 複数の設定サーバー間でのポリシーの処理方法 ( サーバー A とサー バー B の所有者が異なる場合 ) a. サーバー A から、ポリシーを差分分配モードおよび強制分配モードで分配した場合 : ポリシー X の所有者が「A」の場合、ポリシー X はエージェントから削除されます。 ポリシー X の所有者が「B」の場合、所有者文字列が異なるためポリシー X の状態は変 わりません。 b. サーバー B から、ポリシーを差分分配モードおよび強制分配モードで分配した場合 : ポリシー X の所有者が「A」の場合、所有者文字列が異なるためポリシー X の状態は変 わりません。 ポリシー X の所有者が「B」の場合、ポリシー X はエージェントから削除されます。 3. サーバー A から差分分配モードおよび強制分配モードで、ポリシー Y を割り当て解除しま す。 ポリシー Y は削除されます。 第 11 章 237 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 サーバー A とサーバー B が使用する所有者文字列が「A」で同一の場合 図 11-3 複数の設定サーバー間でのポリシーの処理方法 ( サーバー A とサー バー B で所有者が同じで、差分分配モードおよび強制分配モードの 場合 ) 1. 設定情報を分配します。 a. サーバー A から、ポリシーを差分分配モードおよび強制分配モードで分配した場合 : ポリシー X とポリシー Y を配布し、所有者は「A」となります。 b. サーバー B から、ポリシーを差分分配モードで分配した場合 : ポリシー X は変更されず所有者は「A」のままです。ポリシー Y は削除されます。 サーバー B から、ポリシーを強制分配モードで分配した場合 : ポリシー X は上書きされますが所有者は「A」のままです。ポリシー Y は削除されま す。 2. ポリシー X の割り当てを解除し分配を実行します。 a. サーバー A から、ポリシーを差分分配モードおよび強制分配モードで分配した場合 : ポリシー X は削除されます。 238 第 11 章 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 b. サーバー B から、ポリシーを差分分配モードおよび強制分配モードで分配した場合 : ポリシー X は削除されます。 3. サーバー A でポリシー Y を割り当て解除し、差分分配モードおよび強制分配モードで分配し た場合 : ポリシー Y は削除されます。 ポリシーを削除できるのはその所有者だけです。ポリシーの削除については、次のような重要な 状況を考慮する必要があります。ここでバックアップ管理サーバーにおける状況を考えてみま す。最初に一次管理サーバー (A) がエージェント (G) にポリシー (PA) を配布します。ポリシー (PA) の所有者は (A) です。 次に、バックアップ管理サーバー (B) は、同一のポリシー (PA) を同一のエージェント (G) に配 布します。同一ポリシーが配布されたため、所有者が (A) の既存のポリシー (PA) は削除され、 バックアップ管理サーバー (B) からのポリシーが再インストールされます。再インストールされ たポリシー (PA) の所有者は (B) になります。 最後に、一次管理サーバー (A) が、ポリシー (PA) の割り当てを解除し同一のエージェント (G) にテンプレートを配布します。 ポリシー (PA) の所有者は (B) なので、結果的にはエージェント (G) から削除されません。この 場合、バックアップ管理サーバー (B) だけがポリシーを削除できます。 差分分配モードと強制分配モードは、複数のサーバーがある環境でも使うことができます。強制 分配モードを使うと、呼び出した所有者のすべてのポリシーと、異なる管理サーバーによって所 有されている同一のポリシーすべてが書き換えられます。 同一でないポリシーの場合、差分分配モードと強制分配モードでは、割り当てが解除されている ポリシーは同一の所有者からだけ削除されます。 エージェントのポリシー所有者の表示と変更 ローカルポリシーユーティリティ ovpolicy は、デフォルトではシステム上のすべてのポリシー を変更できます。特定の所有者に属するポリシーを選択する場合には、-owner オプションを指 定します。 すべての所有者の全ポリシーを表示するには、次のコマンドを実行します。 ovpolicy -l たとえば、my_srv のポリシーだけを表示するには、次のコマンドを実行します。 ovpolicy -l -owner OVO:<my_srv_full_qualified_name> 第 11 章 239 MOM 環境 複数の OVO 管理サーバー (MoM) がある環境 ovpolicy を使って、ポリシーの所有者文字列を変更することもできます。たとえば、管理対象 ノードへの設定ファイルの再配布を行なわずに OVO 管理サーバーの所有者文字列を変更する場 合などです。詳細は、ovpolicy のマンページを参照してください。 エージェントからすべての設定情報を削除 HTTPS ノードのすべての OpenView アプリケーションからすべてのポリシーを削除して再配布 するには、次のコマンドを実行します。 opcragt -distrib -purge -templates <nodename> インストルメンテーションの配布は累積的に行なわれます。つまり、差分インストールと強制イ ンストールのどちらの場合でも、エージェントから削除されるファイルはなく、既存の設定情報 のアップデートと新規の設定情報の追加だけが行われます。 エージェントのインストルメンテーションディレクトリのすべての設定データを削除して再イン ストールする場合には、次のコマンドを実行します。 opcragt -distrib -purge -actions -monitors -commands <nodenames> 240 第 11 章 12 OVO における変数 第 12 章 241 OVO における変数 OVO における変数の設定 OVO における変数の設定 注記 OVO 8 では、opcsvinfo ファイルを使いません。アップグレード中に次のディレ クトリに保存されます。 /tmp/save710/ OVO 7.1 を OVO 8 にアップグレードしても、opcsvinfo ファイルは自動的には 変換されません。opcsvinfo ファイルの内容を変換する場合には、そのファイル を一時的な場所に保存し、次のツールを使ってください。 /opt/OV/contrib/OpC/opcinfoconv opcinfo ファイルは、OVO 7.1 のエージェントを HTTPS エージェントへアップ グレードする時に変換されます。そのコピーがローカルのファイル /tmp/opcinfo.save に保存されます。 OVO 管理サーバーで変数を設定するには、次の手順に従います。 1. 次のコマンドを入力します。 /opt/OV/bin/ovconfchg -ovrg server -ns opc -set <var_name> <value> 2. サーバープロセスを再起動します。 opcsvinfo ファイルにあった関連変数は、OVO 8 でもすべて使用します。OVO 8 のスキーマで は名前空間を使う ( 上記の例で示されているパラメータ -ns) ので、opcsvinfo にあった以前の 変数はすべて、名前空間 opc を持つように変換されます。また、HTTPS ノード上では、 opcinfo/nodeinfo にある変数の名前空間が eaagt になります。ただし、DCE エージェントで は、以前と同じように opcinfo ファイルを使います。 必要に応じて、名前空間には接尾辞としてプロセス名を付けることができます。たとえば、 DCE メッセージレシーバ opcmsgrd に対してポートを設定するには、次のコマンドを入力しま す。 ovconfchg -ovrg server -ns opc.opcmsgrd -set OPC_COMM_PORT_RANGE 12345 242 第 12 章 OVO における変数 OVO における変数の設定 OVO 管理サーバーの変数を読むには、次のコマンドを入力します。 /opt/OV/bin/ovconfget -ovrg server [ <namespace> [ <var_name> ] ] このコマンドでは表示する対象として、すべての設定、名前空間のすべての設定、または 1 つの 変数を指定できます。 管理対象ノードの変数を読むには、-ovrg server オプションを指定しないで ovconfget コマ ンドを実行します。 エージェント上で変数を設定するには、-ovrg server オプションを指定しないで ovconfchg を実行します。 /opt/OV/bin/ovconfget [ <namespace> [ <var_name> ] ] 変数を削除するには、-clear オプションを指定して ovconfchg コマンドを実行します。 /opt/OV/bin/ovconfget -clear [ <namespace> [ <var_name> ] ] 設定についての詳細な文書や例は、次の場所にあります。 /opt/OV/misc/xpl/conf/defaults/*.ini 第 12 章 243 OVO における変数 OVO における変数の設定 244 第 12 章 A HTTPS ベース通信のトラブルシューティン グ 付録 A 245 HTTPS ベース通信のトラブルシューティング トラブルシューティング トラブルシューティング たとえば、メッセージブラウザにメッセージが到着しないとか、ソフトウェアやインストルメン テーションが配布されないといったような事態が発生して、OVO 管理サーバーと HTTPS エー ジェントとの間で行っていた通信が中断されたと思われる場合は、以降で説明する適切なトラブ ルシューティングの手順を実行します。 以下の対処方法に関する説明に進む前に、新しい HTTPS エージェントとそこで行われる通信の 概念 ( 証明書など ) をよく理解してください。 ここで説明するガイドラインでは、OVO 管理サーバー、認証局サーバーと OVO 管理対象ノー ドエージェント間で発生する HTTPS 通信の問題に焦点を当てて、考えられる対処方法を説明し ます。 説明の前提として、OVO HTTPS エージェントソフトウェアがインストールされているにもか かわらず、OVO 管理サーバーと OVO 管理対象ノードとの間で一方向または双方向で問題が発 生する場合を扱います。 ほとんどの場合、OVO 管理サーバーと認証局サーバーは同じシステムにインストールされてい ます。 OVO 管理サーバーと OVO HTTPS エージェントが通信する際に発生する問題のトラブルシュー ティングには、次の方法があります。 • ツールを使ったトラブルシューティング • ロギング • プロセスのトラブルシューティング 246 付録 A HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング ツールを使ったトラブルシューティング HTTPS ベースのアプリケーションに対する ping の実行 HTTPS ベースのアプリケーションに対して ping を実行することで、そのアプリケーションが 動作していてレスポンス可能な状態にあるかどうかをテストすることができます。また ping は、 アプリケーションで SSL が有効になっているかどうかを調べるために使うこともできます。 bbcutil ユーティリティでは、このために、コマンド行パラメータ -ping が用意されています。 このパラメータを指定することにより、HTTPS ベースの HP OpenView アプリケーションに対 して ping を実行することができます。 具体的には、次のコマンドを使って、対象となる HTTPS ベースアプリケーションを指定し、 ping を実行します。 OVO 管理対象ノードでは : <OvInstallDir>/bin/bbcutil -ping [<hostname_or_ip_addr>] [count] OVO 管理サーバーでは : <OvInstallDir>/bin/bbcutil -ovrg server –ping ¥ [<hostname_or_ip_addr>] [count] たとえば、次のように実行します。 HTTP bbcutil -ovrg server -ping http://... HTTPS bbcutil -ovrg server -ping https://... このコマンドを実行すると、<hostname_or_ip_addr> で指定した管理対象ノードで通信サービ スが動作しているかどうかが調べられます。ホスト名 ( または IP アドレス ) を指定しないと、 localhost が指定されたものと見なされます。ホスト名 ( または IP アドレス ) の後にオプション で繰り返し回数を指定できます。繰り返し回数を指定すると、その分だけ ping が繰り返し実行 されます。 コマンド行パラメータの詳細は、bbcutil のマンページを参照してください。 一般的には、OVO 管理サーバーから管理対象ノードへの bbcutil 呼び出しすべてに、-ovrg server パラメータを次のように含める必要があります。 bbcutil -ovrg server -ping https://... 付録 A 247 HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング OVO 管理サーバーがスタンドアロンシステムである場合には、-ovrg server パラメータは省 略可能です。これに対し、OVO 管理サーバーが HA クラスタにインストールされている場合に は、-ovrg server パラメータは必須となります。各 OVO 管理サーバーに、2 つの OvCoreId を含む管理対象ノード証明書とサーバー証明書がインストールされるからです。スタンドアロン システムでは、管理対象ノード証明書とサーバー証明書およびそれに含まれる OvCoreId は同一 ですが、クラスタにインストールする場合は異なります。エージェントは、管理サーバーの OvCoreId のみを認識します。管理サーバーの OvCoreId の値については、認識しません。 HTTPS ベースアプリケーションの現在のステータスの表示 指定した場所の HTTPS ベースアプリケーションに対して、現在のステータスを表示するように リクエストすることができます。 アプリケーションを指定して照会を行うには、次のコマンドを使います。 bbcutil -status <hostname_or_ip_addr:port> このコマンドを実行すると、<hostname_or_ip_addr:port> で指定した場所 ( ホスト名とポー ト ) の通信サーバーに対して、そのサーバーの現在のステータスの詳細が照会されます。 コマンド行パラメータの詳細は、bbcutil のマンページを参照してください。ポートを指定しな いと、通信ブローカのポート番号が使われます。 通信ブローカに登録されているすべてのアプリケーションの表示 指定した場所の通信ブローカに対して、そこに登録されているすべてのアプリケーションを表示 するようにリクエストすることができます。 通信ブローカを指定してそこに登録されているすべてのアプリケーションを表示するようにリク エストするには、次のコマンドを使います。 bbcutil -registrations|-reg <hostname_or_ip_addr> このコマンドを実行すると、<hostname_or_ip_addr> で指定した管理対象ノードの通信ブロー カに対して、登録されているすべてのアプリケーションを表示するリクエストが送られます。ホ スト名 ( または IP アドレス ) を省略すると、localhost が指定されたものと見なされます。 通信ブローカのコマンド行パラメータの詳細は、bbcutil のマンページを参照してください。 248 付録 A HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング what 文字列 どの実行形式プログラムにも、UNIX の what コマンドで検索できる詳細な文字列が含まれてお り、インストールされている HTTPS ベース通信ソフトウェアのバージョンを正確に調べること ができます。また、Microsoft Windows の実行形式プログラムにも、標準的なプロパティ文字列 が含まれています。 HTTPS 管理対象ノードにインストールされている全 OV ファイルセットの一覧 表示 インストールされている OpenView の製品とコンポーネントの一覧は、ovdeploy ツールを使っ て表示することができます。その情報は、次の 3 レベルで表示できます。 • インベントリの基本情報 • インベントリの詳細情報 • インベントリのネイティブ情報 以降の項で、インベントリ一覧の表示方法を説明するとともに、その出力例を示します。 インベントリの基本情報 インベントリの基本情報を表示するには、次のコマンドを入力します。 管理対象ノードでは : ovdeploy -inv -host <hostname> OVO 管理サーバーでは : ovdeploy -ovrg server -inv -host <hostname> 次にその例を示します。 ovdeploy -ovrg server -inv -host hp_System_002 NAME ARCHITECTURE HP OpenView HTTP Communication Windows 4.0 5.0 5.1 5.2 HP OpenView Deployment Windows 4.0 5.0 5.1 5.2 HP OpenView Security Certificate Management Windows 4.0 5.0 5.1 5.2 HP OpenView Security Core Windows 4.0 5.0 5.1 5.2 ... 付録 A VERSION TYPE 05.00.070 package 02.00.070 package 01.00.070 package 02.00.070 package 249 HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング インベントリの詳細情報 インベントリの詳細情報を表示するには、次のコマンドを入力します。 管理対象ノードでは : ovdeploy -inv -all -host <hostname> 管理サーバーでは : ovdeploy -ovrg server -inv -all -host <hostname> 次にその例を示します。 ovdeploy -ovrg server -inv -all -host hp_System_002 <?xml version='1.0' encoding='UTF-8' standalone='yes'?> <inventory xmlns=">http://openview.hp.com/xmlns/depl/2003/inventory"> <host>hpspi002.bbn.hp.com</host> <date>Thursday, October 30, 2003 12:24:48 PM</date> <package> <name>HP OpenView HTTP Communication</name> <version>05.00.070</version> <systemtype>IA32</systemtype> <ostype>Windows</ostype> <osvendor>MS</osvendor> <osversion>4.0 5.0 5.1 5.2</osversion> <osbits>32</osbits> <nativeinstallertype>msi</nativeinstallertype> </package> <package> <name>HP OpenView Deployment</name> <version>02.00.070</version> <systemtype>IA32</systemtype> ... インベントリのネイティブ情報 インベントリのネイティブ情報を表示するには、次のコマンドを入力します。 管理対象ノードでは : ovdeploy -inv -it native -host <hostname> 管理サーバーでは : ovdeploy -ovrg server -inv -it native -host <hostname> 250 付録 A HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング 次にその例を示します。 ovdeploy -ovrg server -inv -it native -host hp_System_002 NAME WebFldrs XP HP OpenView Core Library HP OpenView Certificate Management Client HP OpenView HTTP Communication ActivePerl 5.6.1 Build HP OpenView Deployment Microsoft FrontPage Client - English VERSION 9.50.5318 2.50.70 1.0.70 5.0.70 633 5.6.633 2.0.70 7.00.9209 標準の TCP/IP ツール SSL が有効になっていない場合には、telnet のような標準の TCP/IP ツールを使うことで、HP OpenView の HTTPS ベースアプリケーションにアクセスできます。telnet を使って HTTPS ベースアプリケーションに対する ping を実行するには、次のコマンドを実行します。 telnet に対して PING の行を入力した場合は、改行を 2 回押す必要があります。 telnet セッションを終了させるには、Ctrl+D を押した後、Return を押します。 telnet <host> <port> PING /Hewlett-Packard/OpenView/BBC/ping HTTP/1.1 出力は次のようになります。 HTTP/1.1 200 OK content-length: 0 content-type: text/html date: Thu, 08 Aug 2002 08:20:24 GMT senderid: fd7dc9c4-4626-74ff-9e5a09bffbae server: BBC X.05.00.01.00; ovbbccb 05.00.100 「HTTP status 200 OK」という行が表示されれば、HTTPS ベースアプリケーションがリクエス トを認識して、正常にレスポンスしています。これ以外のステータスが報告された場合は、リク エストにエラーがあるか、またはその他にエラーがあったことを意味しています。 エラーコードの一覧は、次の Web ページを参照してください。 http://www.w3.org/Protocols/rfc2616/rfc2616.html 付録 A 251 HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング 時間のかかる RPC コール RPC コールに時間がかかってデフォルトのタイムアウト時間 (5 分 ) が過ぎると、次のエラー メッセージが表示されることがあります。たとえばポリシーをインストールしている時は次のよ うに表示されます。 エラー : ホスト '<hostname>' に接続している間に、一般的な I/O の例外が発生しました。 (xpl-117) データを待っている間にタイムアウトが発生しました。 または エラー : ホスト '<hostname>' 上で設定サーバーが動作していません。 設定サービスが動作状態にあるかどうかを調べてください。 (bbc-71) アドレスに対してアクティブなサーバープロセスがありません : https://<hostname>/com.hp.ov.conf.core/bbcrpcserver このような状況は、たとえば、PolicyPackage インタフェースを使って OvConf から 1000 個も のポリシーをインストールしたり、接続やターゲットマシンが遅かったりした場合に発生しま す。 こうした事態を避けるには、次のコマンドで必要なタイムアウト値を指定して、通信のタイムア ウト ( レスポンスのタイムアウト ) 値を変更します。 ターゲットシステムでは : ovconfchg -ns bbc.cb -set RESPONSE_TIMEOUT <seconds> OVO 管理サーバーでは : ovconfchg -ovrg server -ns bbc.http.ext.conf -set ¥ RESPONSE_TIMEOUT <seconds> 注記 どちらの管理対象ノードでも、RESPONSE_TIMEOUT パラメータを設定する必要が あります。 同様の状況は、完了に 5 分以上かかるコマンド実行時にも発生します。タイムアウト値を次のよ うに拡張してください。 OVO 管理対象ノードで、次のコマンドを入力します。 注記 2 番目のコマンドでの時間は、ミリ秒単位です。 ovconfchg -ns bbc.cb -set RESPONSE_TIMEOUT <seconds> 252 付録 A HTTPS ベース通信のトラブルシューティング ツールを使ったトラブルシューティング ovconfchg -ns depl -set CMD_TIMEOUT <milliseconds> 管理サーバーで、次のコマンドを入力します。 ovconfchg -ovrg server -ns bbc.http.ext.depl -set ¥ RESPONSE_TIMEOUT <seconds> 付録 A 253 HTTPS ベース通信のトラブルシューティング ロギング ロギング セキュリティの規則に違反したエラーは、ログファイルに記録されます。HTTPS ベースサー バーの場合は、ロギングを有効にしておくと、これ以外にすべてのクライアントアクセスもログ に記録されます。 クライアントアクセスをすべて記録するには、次のコマンドを使って LOG_SERVER_ACCESS パラ メータの値を設定します。 ovconfchg -ns bbc.cb -set LOG_SERVER_ACCESS true このように設定すれば、通信ブローカに対するアクセスをすべてログに記録することができま す。ログを表示するには、次のテキストファイルを開きます。 <OvDataDir>/log/System.txt これ以外にすべての OV 通信ブローカに対するアクセスもログに記録する場合は、次のコマンド を使います。 ovconfchg -ns bbc.http -set LOG_SERVER_ACCESS true さらに、設定 / 配布アプリケーションに対するクライアントからのアクセスもすべてログに記録 する場合は、次のコマンドを使います。 ovconfchg -ns bbc.http.ext.conf -set LOG_SERVER_ACCESS true 254 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 通信の問題が発生した領域を次のように分けて対処します。 • 255 ページの「ネットワークの基本的なトラブルシューティング」 • 257 ページの「HTTP 通信の基本的なトラブルシューティング」 • 264 ページの「HTTP 通信における認証と証明書のトラブルシューティング」 • 269 ページの「OVO 通信のトラブルシューティング」 ネットワークの基本的なトラブルシューティング ネットワークの基本的なトラブルシューティングでは、次のコマンドを使います。 ping <SYSTEMPATH>/ping nslookup <SYSTEMPATH>/nslookup telnet <SYSTEMPATH>/telnet ovgethostbyname <INSTALLDIR>/bin/ovgethostbyname (Solaris でのみ、nslookup の代わりに使用 ) 注記 OVO 管理サーバーまたは認証局サーバーと OVO 管理対象ノードとの間の通信が 次の場所を通過しなければならないときは、以下に説明する方法では対処できな いことがあります。 • ファイアウォール • NAT • HTTP プロキシ 詳細は、ネットワーク管理者に尋ねてください。 付録 A 255 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 基本ネットワークの問題をチェックするには、次の手順をすべて実行します。 1. 影響の出ているすべてのシステムで、OVO 管理サーバー、認証局サーバー、および OVO 管 理対象ノードの名前解決が一致しているかどうかをチェックします。 すべてのシステムで他のすべてのシステムを対象に、完全修飾ドメイン名 (FQDN) を使って ping および nslookup (Solaris では ovgethostbyname) を実行します。具体的には次のコ マンドを実行します。 bbcutil -gettarget <nodename> 2. すべてのシステム (OVO 管理サーバー、認証局サーバー、および OVO 管理対象ノード ) にア クセスできるかどうかをチェックします。 次のいずれかのコマンドを使います。 • <OvInstallDir>/bin/bbcutil -ping <FQDN> • telnet <FQDN> 3. Web ブラウザを使って通信ブローカに接続を試み、HTTP 通信が行えるかどうかをチェック します。このチェックでは、前提として通信ブローカ (ovbbccb) が動作していなければなり ません。 次のコマンドを実行して、割り当てられている <AGENT-BBC-PORT> の値を検索します。 bbcutil -getcbport <agenthostname> たとえば、次のコマンドを入力したものとします。 bbcutil -getcbport mysystem.mycom.com 結果が次の形式で表示されます。 mysystem.mycom.com:8008 OVO 管理サーバーシステムで Web ブラウザをオープンし、次の URL を入力します。 http://<OVO managed node>:<AGENT-BBC-PORT>/ ¥ Hewlett-Packard/OpenView/BBC/ <AGENT-BBC-PORT> のデフォルトのポート番号は 383 です。 この手順を、管理対象ノードから OVO 管理サーバーまで繰り返します。 http://<OVO management server>:<AGENT-BBC-PORT>/ ¥ Hewlett-Packard/OpenView/BBC/ 256 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 HP OpenView BBC Information Modules のページが表示され、ping と status をチェッ クしたり、登録されているサービスと OVO リソースグループ (ovrg) の一覧を調べたりする ことができます。 HTTP 通信の基本的なトラブルシューティング HTTP 通信の基本的なトラブルシューティングでは、次のコマンドを使います。 ovc <INSTALLDIR>/bin/ovc ovconfget <INSTALLDIR>/bin/ovconfget ovbbccb <INSTALLDIR>/bin/ovbbcutil ps <SYSTEMPATH>/ps 注記 OVO 管理サーバーまたは認証局サーバーと OVO 管理対象ノードとの間の通信が 次の場所を通過しなければならないときでも、ここで説明するチェック内容は正 常に行えなければなりません。 • ファイアウォール • NAT • HTTP プロキシ 正常に行えないときは、ネットワーク管理者に詳細を尋ねてください。 注記 付録 A OVO 管理サーバーまたは認証局サーバーと OVO 管理対象ノードとの間の通信で ファイアウォールの通過が許可されていないときは、HTTP プロキシを使う必要 があります ( 対応する項を参照してください )。 257 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 HTTP 通信の問題をチェックするには、次の手順をすべて実行します。 1. すべてのシステム (OVO 管理サーバー、認証局サーバー、および OVO 管理対象ノード ) で次 のチェックを行います。 次のコマンドを使って、OV 通信ブローカ (ovbbccb) が動作しているかどうかを調べます。 ovc -status ovbbccb プロセスが「動作中」である必要があります。コマンドの出力は次のような形式で 表示されます。 ovcd OV Control CORE (2785) 動作中 ovbbccb OV Communication Broker CORE (2786) 動作中 ovconfd OV Config and Deploy CORE (2787) 動作中 ovcs OV Certificate Server SERVER (3024) 動作中 coda OV Performance Core AGENT (2798) 動作中 opcmsga OVO Message Agent AGENT,EA (2799) 動作中 opcacta OVO Action Agent AGENT,EA (2800) 動作中 opcmsgi OVO Message Interceptor AGENT,EA (2801) 動作中 opcle OVO Logfile Encapsulator AGENT,EA (2805) 動作中 opcmona OVO Monitor Agent AGENT,EA (2806) 動作中 opctrapi OVO SNMP Trap Interceptor AGENT,EA (2810) 動作中 次のコマンドを実行します。 ps <OPT> | grep ovbbccb ovbbccb の行が表示されなければなりません。 次のコマンドを実行します。 <OvInstallDir>/bin/bbcutil -status ovbbccb のステータスが ok になっていなければなりません。 258 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 注記 次のコマンドを実行し、表示されたポートをメモに記録します。 bbcutil -getcbport <hostname> • OVO 管理対象ノードでは <AGENT-PORT> を記録します。 • OVO 管理サーバーでは <MGMT-SRV-PORT> を記録します。 • 認証局サーバーでは <CA-SRV-PORT> を記録します。 他の方法として、次のコマンドを使うこともできます。 ovconfget -ns bbc.cb.ports PORT 次のコマンドを使って、通信ブローカを起動します。 ovc -start エラーメッセージが出なければ、正常です。 ovbbccb が動作していなければ、次の手順を実行します。 a. 次のファイルで、ログファイルに記録されているエラーメッセージをチェックします。 <OvDataDir>/log/System.txt b. 次のコマンドを使って、通信ブローカを起動します。 <OvInstallDir>/bin/bbcutil -nodaemon -verbose 問題が少しでもあれば、起動時に詳細なエラー情報が表示されます。また起動時には、 使用するポート番号も表示されます。 c. 詳細な情報が必要なときは、次のコマンドを使います。 OVBBC_TRACE=true <OvInstallDir>/bin/ ¥ bbcutil -nodaemon -verbose このコマンドを実行すると、詳細な情報が大量に表示されます。この詳細情報は、OV トレースを使うことでも得られます。 2. 次のコマンドを使って、通信ブローカの使っているポートがどのように設定されているかを チェックします。 a. 次のコマンドを実行して、通信ブローカのポートをすべて一覧表示します。 bbcutil -getcbport <hostname> 付録 A 259 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 b. 次のコマンドを使い、その管理対象ノードに対するデフォルトの DOMAIN パラメータが正 しく設定されているかどうかをチェックします。 ovconfget bbc.http DOMAIN このパラメータには、デフォルトのドメイン ( たとえば、myco.com) が設定されていな ければなりません。このパラメータ値を使って、上記の手順 2.a で得られた結果から該 当するものを探します。 c. 次のコマンドを使って、プロセスが通信ブローカのポートをオープンして接続をリスン しているかどうかをチェックします。 netstat -an | grep ¥.383 次のような行が表示されれば、正常です ( 表示の詳細はプラットフォームごとに違いま す )。 tcp 0 0 *.383 *.* LISTEN LISTEN と表示されれば、プロセスは指定のポートでリスンしています。しかし、 LISTEN と表示されるのにもかかわらず通信ブローカが動作していないときは、他のプ ロセスがそのポートを使っていて、通信ブローカが起動できないという状況にあります。 このような状況は手順 1.a と 1.b で確認できます。 3. 次のコマンドを入力し、HTTP 通信の機能をチェックします。 OVO 管理サーバーと認証局サーバーでは、次のコマンドを実行します。 <OvInstallDir>/bin/bbcutil -ovrg server -ping ¥ https://<OVO managed node name>[:<AGENT-PORT>]/ OVO 管理対象ノードでは次のコマンドを実行します。 <OvInstallDir>/bin/bbcutil -ping ¥ https://<OVO management server name>[:<MGMT-SRV-PORT>]/ <OvInstallDir>/bin/bbcutil -ping ¥ http://Certificate Authority server[:<CA-SRV-PORT>]/ 注記 これらのコマンドでポートを指定しない場合には、デフォルトポート 383 が 使われます。 どちらの場合も、次のように表示されれば正常です。 status=eServiceOK 260 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 4. 各管理対象ノードで、通信ブローカのポート設定が正しいかどうかをチェックします。この とき、URI でポート番号を指定しないようにします。OV の通信では、通信ブローカのポー ト番号を自分自身で解決できなければなりません。ping でポート番号を指定すると成功し て、ポート番号を指定しないと失敗するようであれば、その管理対象ノードは正しく設定さ れていません。そのときは手順 2 に戻ってください。 5. 次のコマンドを使って、HTTP プロキシが正しく設定されているかどうかをチェックします。 bbcutil -gettarget <nodename> たとえば、次のコマンドを入力したとします。 bbcutil -gettarget mysystem.mycom.com 出力が次の形式で表示されます。 Node: mysystem.mycom.com:8008 (14.133.123.10) プロキシが設定されていれば、表示されます。 たとえば、次のコマンドを入力したとします。 bbcutil -gettarget www.mycom.com 出力が次の形式で表示されます。 HTTP Proxy: web-proxy:8008 (14.193.1.10) ovconfget bbc.http PROXY 好ましいことではありませんが、アプリケーションは自分の使うプロキシをかってに設定し ている可能性があります。上記の設定はすべての管理対象ノードで有効ですが、アプリケー ションによっては、次に示すように、自分の名前空間の中でこれらの値を無視しているかも しれません。 ovconfget bbc.http.ext.<comp id>.<appname> <comp id> や <appname> が不明なものであったときは、ovconfget を使って、先頭が次の 文字で始まる名前空間内のすべてのプロキシの設定全体をチェックしてください。 bbc.http.ext 6. OVO 管理サーバーと認証局サーバーシステムで、プロキシが動作しているかどうかと CONNECT コマンドをサポートしているかどうかをチェックします。 付録 A 261 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 注記 空白行に大きな意味があります。 プラットフォームによっては、telnet セッションで入力したコマンドをエ コーできないものもあります。 次のコマンドを入力します。 telnet <proxy> <proxy port> CONNECT <AGENT>:<AGENT PORT> HTTP/1.0 PING /Hewlett-Packard/OpenView/BBC/ HTTP/1.0 telnet セッションを終了するときは Ctrl+D を入力します。 出力は次のような形式で表示されます。ターゲットの管理対象ノードで通信ブローカが動作 していれば、HTTPS のステータスは 200 OK となるはずです。 HTTP/1.1 200 OK cache-control: no-cache content-type: text/html date: Fri, 06 Feb 2004 15:15:02 GMT senderid: fd7dc9e4-4626-74ff-084a-9e5a09bffbae server: BBC 05.00.101; ovbbccb 05.00.101HP OpenView BBC Information Modules: Node: Application: Version: Modules: ping.bbn.hp.com ovbbccb 05.00.101 ping status services ovrg Connection closed by foreign host. 7. OVO 管理対象ノードで、プロキシが動作しているかどうかと CONNECT コマンドをサポートし ているかどうかをチェックします。 262 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 注記 空白行が必要です。 プラットフォームによっては、telnet セッションで入力したコマンドをエ コーできないものもあります。 次のコマンドを入力します。 telnet <proxy> <proxy port> CONNECT <MGMT-SRV>:<MGMT-SRV PORT> HTTP/1.0 PING /Hewlett-Packard/OpenView/BBC/ HTTP/1.0 または telnet <proxy> <proxy port> CONNECT <CA-SRV>:<CA-SRV PORT> HTTP/1.0 PING /Hewlett-Packard/OpenView/BBC/ HTTP/1.0 telnet セッションを終了するときは Ctrl+D を入力します。 出力の例は、1 つ前の手順を参考にしてください。 8. 通信ブローカに対する HTTP アクセスのロギングを有効にします。 ovconfchg -ns bbc.cb -set LOG_SERVER_ACCESS true このコマンドを実行すると、通信ブローカに対するすべてのアクセスがログに記録され始め ます。ログの内容を見るには、次のコマンドを使います。 ovlogdump <OvDataDir>/log/System.txt すべての OV サーバーに対するアクセスもログに記録したいときは、次のコマンドを使いま す。 ovconfchg -ns bbc.http -set LOG_SERVER_ACCESS true 付録 A 263 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 HTTP 通信における認証と証明書のトラブルシューティング HTTP 通信の基本的なトラブルシューティングでは、次のコマンドを使います。 ovc <INSTALLDIR>/bin/ovc ovconfget <INSTALLDIR>/bin/ovconfget ovconfchg <INSTALLDIR>/bin/ovconfchg ovcoreid <INSTALLDIR>/bin/ovcoreid ovcert <INSTALLDIR>/bin/ovcert bbcutil <INSTALLDIR>/bin/bbcutil 認証と証明書に関連した HTTP 通信の問題をチェックするには、次の手順をすべて実行します。 1. 各システムの OvCoreID をチェックします。 OVO 管理サーバーまたは認証局サーバーで、次のコマンドを入力します。 ovcoreid -ovreg server OVO 管理対象ノードで、次のコマンドを入力します。 ovcoreid 表示された次の OvCoreID の値をすべてメモに記録します。 • <MGMT-SRV-COREID> • <CA-SRV-COREID> • <AGENT-COREID> 2. OVO 管理サーバーまたは認証局サーバーと、OVO 管理対象ノードで次のコマンドを使い、 証明書をチェックします。 ovcert -list 264 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 注記 OVO 管理サーバーシステムまたは認証局システムには、次の 3 つの証明書が 保管されています。 • OVO 管理サーバーの証明書 • 認証局の証明書 • 管理対象ノードの証明書 OVO 管理サーバーがクラスタ ( 高可用性環境 ) 上にインストールされている 場合は、OVO 管理サーバーの証明書とその管理サーバー上のエージェントの 証明書は同じものではありません。しかし、クラスタでないシステムに OVO 管理サーバーがインストールされている場合は、同じ証明書が使われていな ければなりません。 各システムに少なくとも次の証明書がなくてはなりません。 OVO 管理対象ノード | 証明書 : | <AGENT-COREID> | | (*) OVO 管理サーバーまたは認証局サーバー | 証明書 : | <MGMT-SRV-COREID>|<CA-SRV-COREID> (*) | | すべてのシステム | 信頼できる証明書 : | <CA-SRV-COREID> 注記 | | (*) は、その証明書に対して秘密鍵が使えることを表しています。 これらの証明書が一つでもないときは、135 ページの第 6 章 「証明書を使った作業」を参照 して必要な証明書を作成してください。 付録 A 265 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 インストールされている証明書についてさらに詳細な情報が必要なときは、次のコマンドを 使います。 OVO 管理対象ノード ovcert -check OVO 管理サーバー ovcert -check -ovrg server 出力の例を次に示します。 セットされた OvCoreId インストールされた秘密鍵 インストールされた証明書 有効な証明書 インストールされた信頼できる証明書 信頼できる有効な証明書 : : : : : : OK OK OK OK OK OK チェックが成功しました。 インストールされている証明書の有効性をチェックするには、次のコマンドを使って、その 日がインストールされている証明書の valid from から valid to までの期間内にあること を確認します。 ovcert -certinfo <CertificateID> 注記 信頼のおける証明書の CertificateID は、証明書サーバーの OvCoreID に接頭 辞 CA_ が付いたものです。 出力の例を次に示します。 # ovcert -certinfo 071ba862-3e0d-74ff-0be4-b6e57d0058f2 266 Type : Subject CN : Subject DN : X509Certificate 071ba862-3e0d-74ff-0be4-b6e57d0058f2 L: alien2.ext.bbn.com O: Hewlett-Packard OU: OpenView CN: 071ba862-3e0d-74ff-0be4-b6e57d0058f2 Issuer CN Issuer DN CA_99300c4e-f399-74fd-0b3d-8938de9900e4 L: tcbbn054.bbn.hp.com O: Hewlett-Packard OU: OpenView : : 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 CN: CA_99300c4e-f399-74fd-0b3d-8938de9900e4 04 01/27/04 12:32:48 GMT 01/22/24 14:32:48 GMT 60:72:29:E6:B8:11:7B:6B:9C:82:20:5E:AF:DB:D0: ... Serial no. : Valid from : Valid to : Hash (SHA1): 注記 OVO 管理サーバーシステムには HTTPS エージェントもインストールされて います。 OVO 管理サーバーシステムで ovcert -list を呼び出すと、その OVO 管理 サーバーシステムに存在するエージェントの証明書詳細と、管理サーバーお よび CA の証明書詳細を取得することができます。 3. 次のコマンドを使って、HTTPS 通信の機能をチェックします。 注記 OVO 管理サーバーまたは認証局サーバーと OVO 管理対象ノードとの間の通 信が次の場所を通過しなければならないときでも、ここで説明するチェック 内容は正常に行えなければなりません。 • ファイアウォール • NAT • HTTP プロキシ 正常に行えないときは、ネットワーク管理者に詳細を尋ねてください。 注記 付録 A OVO 管理サーバーまたは認証局サーバーと OVO 管理対象ノードとの間の通 信でファイアウォールの通過が許可されていないときは、HTTP プロキシを 使う必要があります ( 対応する項を参照してください )。 267 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 OVO 管理サーバーまたは認証局サーバー <OvInstallDir>/bin/bbcutil -ovrg server -ping ¥ https://<OVO managed node name>[:<AGENT-PORT>]/ OVO 管理対象ノード <OvInstallDir>/bin/bbcutil -ping ¥ https://<OVO management server name>[:<MGMT-SRV-PORT>]/ <OvInstallDir>/bin/bbcutil -ping ¥ https://Certificate Authority server[:<CA-SRV-PORT>]/ どの呼び出しに対しても、次のように報告されなければなりません。 status=eServiceOK また、報告された OvCoreID が最初の手順でメモに記録しておいた OvCoreID と一致してい なければなりません。 coreID=<COREID> 268 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 OVO 通信のトラブルシューティング OVO 通信のトラブルシューティングでは、次のコマンドを使います。 ovc <INSTALLDIR>/bin/ovc ovconfget <INSTALLDIR>/bin/ovconfget ovconfchg <INSTALLDIR>/bin/ovconfchg ovcoreid <INSTALLDIR>/bin/ovcoreid ovpolicy <INSTALLDIR>/bin/ovpolicy ovcs <INSTALLDIR>/bin/ovcs opcagt <INSTALLDIR>/bin/OpC/opcagt opcragt <INSTALLDIR>/bin/OpC/opcragt opccsa <INSTALLDIR>/bin/OpC/opccsa opccsacm <INSTALLDIR>/bin/OpC/opccsacm opcsv <INSTALLDIR>/bin/OpC/opcsv opcnode <INSTALLDIR>/bin/OpC/opcnode opc /usr/bin/OpC/opc OVO 通信の問題をチェックするには、次の手順をすべて実行します。 1. OVO 管理対象ノードが OVO 登録ノードにあることを確認します。 2. OVO 管理対象ノードの完全修飾ドメイン名 (FQDN) が一致していることを確認します。 3. OVO 管理対象ノードの通信タイプが HTTPS になっていることを確認します。 4. OVO 管理対象ノードの OvCoreID が一致していることを確認します。 次のコマンドを使って、OVO データベース内に保存されている OVO 管理対象ノードの OvCoreID 値をチェックします。 opcnode -list_id node_list=<OVO managed node> OvCoreID 値が <AGENT-COREID> と同じでなければなりません。 エージェントの OvCoreID を確認するには、管理対象ノードで次のコマンドを実行します。 <OvInstallDir>/bin/ovcoreid 付録 A 269 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 OVO 管理対象ノードの OvCoreID は、次のコマンドを使って OVO 管理サーバーから変更で きます。 opcnode -chg_id node_name=<OVO managed node> id=<AGENT-COREID> また OvCoreID は、OVO 管理対象ノードでも次のコマンドを使って変更できます。 ovcoreid -set <NEW-AGENT-COREID> 注記 システムの OvCoreId の変更は管理対象ノードの ID を変更することになるの で、慎重に実行してください。メッセージなど、管理対象ノードに関連する データはすべてその管理対象ノードの OvCoreId を介してリンクされていま す。OvCoreID の変更は、経験の深いユーザーが行うようにしてください。特 に OVO 管理サーバーの変更については、変更内容とその変更による影響を正 確に把握 / 判断できる熟練者だけに実行を制限してください。 5. 次のコマンドを使って、OVO 管理サーバープロセスが動作していることをチェックします。 opcsv -status 登録されているすべてのプロセスが「動作中 」の状態になっていなければなりません。 ovc -status 登録されているすべてのコアプロセスが「動作中」の状態になっていなければなりません。 6. 自分が次のグループに対して責任を持っていることを確認してください。 • OVO 管理対象ノードとそのノードグループ • メッセージグループ メッセージブラウザを再ロードします。 7. 保留中の証明書リクエストをチェックします。 認証局サーバーで次のコマンドを入力します。 opccsa -list_pending_cr 出力の一覧に OVO 管理対象ノードが存在するかどうか ( ノード名、IP アドレス、または OvCoreID で識別 ) とすべてのパラメータに整合性があるかどうかをチェックします。 次のコマンドを使い、手作業で保留証明書リクエストを承諾します。 opccsa -grant <NODE>|<Certificate_Request_ID> 270 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 パラメータに整合性がないときは、OVO 管理サーバーと OVO 管理対象ノードで必要な値に 変更します。 OVO 管理対象ノードで次のコマンドを使い、すべてのプロセスを停止します。 ovc -kill 次のコマンドを使って、すべてのプロセスが停止したことを確認した後、プロセスを再起動 します。 ps <OPT> | grep /opt/OV ovc -start 注記 証明書リクエストの発行を手作業で起動するには、まず最初に次のコマンド を使って、証明書がまだひとつもインストールされていないことを確認しま す。 ovcert -status 証明書がインストールされていなければ、次のコマンドを入力します。 ovcert -certreq ovcert -certreq コマンドは、OVO エージェントの ovcd プロセスが動作 していなければ有効になりません。証明書リクエストは、エージェントの起 動時に自動的に送信されます。そのため、CERTIFICATE_DEPLOYMENT_TYPE が Manual に設定されていなければ、エージェントを起動するだけで十分で す。証明書分配タイプを手動にするには、次のコマンドを実行します。 ovconfchg -ns sec.cm.client -set ¥ CERTIFICATE_DEPLOYMENT_TYPE Manual したがって、ovcert -certreq コマンドは、証明書分配タイプを Manual に 設定している場合や、エージェントの動作中に証明書を削除した場合 ( たと えば、ovc -kill コマンドを入力しないで証明書を削除したような状況 ) の みに重要となります。 証明書がすでにインストールされていると、次のエラーメッセージが表示さ れます。 エラー : (sec.cm.client-125) このノードの有効な証明書が既にインストー ルされています。 8. OVO 管理対象ノード上のメッセージブラウザに OVO 管理対象ノードのメッセージが表示さ れていなければ、次のチェックを行います。 付録 A 271 HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 • プロセスがすべて動作中であるかどうかをチェックします。 ovc -status 登録されているプロセスがすべて動作していなければなりません。またどのプロセスも 重複して動作していてはなりません。 • 該当するポリシーが配布されているかどうかをチェックします。 ovpolicy -list • MANAGER、MANAGER_ID、および CERTIFICATE_SERVER の設定値をチェックします。 ovconfget sec.cm.client CERTIFICATE_SERVER この設定値は、認証局サーバーと一致している必要があります。 ovconfget sec.core.auth MANAGER この設定値は、OVO 管理サーバーと一致している必要があります。 ovconfget sec.core.auth MANAGER_ID この設定値は、OVO 管理サーバーの OvCoreID と一致している必要があります。 管理サーバーの OvCoreId をチェックするには、管理サーバーで次のコマンドを入力し ます。 ovcoreid -ovrg server ovconfget eaagt OPC_PRIMARY_MGR この値は設定されていなくてもかまいませんが、設定されていた場合は、OVO 管理サー バーと一致している必要があります。 注記 その OVO 管理サーバーが一次マネージャになっていない場合は、さらに チェックする必要があります。 次のファイルの中にある OVO 管理サーバーの値は整合性がなければなりません。 <DATADIR>/datafiles/policies/mgrconf/<ID>_data 272 • メッセージ除外の設定値をチェックします。 • メッセージバッファリングの設定値をチェックします。 • メッセージバッファーファイルのサイズが増えつつあるかどうかをチェックします。 付録 A HTTPS ベース通信のトラブルシューティング 管理サーバーと HTTPS エージェントとの間で発生する通信の問題 ls -l <DATADIR>/tmp/OpC/msgagtdf または OVO 管理サーバーで次のコマンドを実行します。 opcragt -status <nodename> • 転送すべきメッセージをサーバーへ送ります。 opcmsg a=appl o=object msg_t=<my_text> • メッセージマネージャキューファイルにメッセージが残っていないかどうかをチェック します。 strings /var/opt/OV/share/tmp/OpC/mgmt_sv/msgmgrq | grep <my_text> 9. OVO 管理対象ノードに対する DEPLOYMENT、ACTIONS、または HBP が失敗するときは、OVO 管理対象ノードで次のコマンドを実行してエージェントのステータスをチェックします。 opcragt -status このコマンドの報告に問題が見つからなければ、問題は HTTPS とは関係ありません。 付録 A 273 HTTPS ベース通信のトラブルシューティング 証明書分配に関する問題 証明書分配に関する問題 証明書サーバーアダプタで管理している保留証明書リクエストのリストに同じ管理対象ノードに 対する保留証明書リクエストが 2 つ存在する、といった事態が証明書の分配中に発生することが あります。 こうした事態は、たとえばその管理対象ノードから証明書リクエストが発行されたときに発生す る可能性があります。発行された証明書リクエストは、承諾されないまま保留状態で証明書サー バーアダプタの内部リストに残ることがあります。そうした状態でエージェントソフトウェアを 削除して再インストールすると、保留されているリクエストとは別の証明書リクエストが発行さ れることになります。ただし、その場合は管理対象ノードの再インストールで新しい OvCOreID が作成されるため、その新しいリクエストには新しい OvCoreID が使われます。しかし、この証 明書リクエストも保留証明書リクエストのリストに残されることになります。 保留証明書リクエストの一覧には、証明書リクエストを OVO 管理サーバーが受信したときのタ イムスタンプが含まれています。それにより、どの証明書リクエストが新しくて有効なものかど うかが明確になります。最も新しい証明書リクエストを承諾し、他の古いリクエストを削除しま す。 こうした状況になっていることが分かった場合には、次の 2 つの対処方法があります。 • OVO の管理者としてログインし、問題のある管理対象ノードから発行された証明書リクエス トをすべて削除した後、次のコマンドを使って新しい証明書リクエストを管理対象ノードか ら発行します。 ovcert -certreq 注記 ovcert -certreq コマンドは、OVO エージェントの ovcd プロセスが動作 していなければ有効になりません。証明書リクエストは、エージェントの起 動時に自動的に送信されます。そのため、CERTIFICATE_DEPLOYMENT_TYPE が Manual に設定されていなければ、エージェントを起動するだけで十分で す。 したがって、ovcert -certreq コマンドは、証明書分配タイプを Manual に 設定している場合や、エージェントの動作中に証明書を削除した場合 ( たと えば、ovc -kill コマンドを入力しないで証明書を削除したような状況 ) の みに重要となります。 274 付録 A HTTPS ベース通信のトラブルシューティング 証明書分配に関する問題 このように対処すると、その管理対象ノードの証明書リクエストは 1 つだけになり、通常ど おりにマップして承諾することができます。103 ページの第 5 章 「HTTPS 管理対象ノード での作業」を参照してください。 • 当該管理対象ノードで管理者としてovcert -certreqコマンドを実行できないために新しい 証明書リクエストを発行できないときは、次のコマンドを実行して、その管理対象ノードか ら有効な OvCoreID を検索します。 <OvInstallDir>/bin/bbcutil -ovrg server -ping <nodename> 証明書リクエストをすべて一覧表示し、OvCoreID の有効な証明書リクエストだけを承諾し て、他のリクエストをすべて削除します。 付録 A 275 HTTPS ベース通信のトラブルシューティング 管理対象ノードを管理する担当管理サーバーの変更 管理対象ノードを管理する担当管理サーバーの変更 管理対象ノード を管理している管理サーバーの変更が必要になることがあります。以下に、担 当管理サーバーを変更する際に管理対象ノード 上で行う必要がある変更項目を示します。DCE エージェントでは、基本的には opcinfo ファイルの OPC_MGMT_SERVER エントリの変更だけが 必要でした。HTTPS エージェントでは、より複雑で次の項目を検討する必要があります。 1. 管理対象ノード上のポリシーの削除 新しいサーバーの認証局が以前使用していたサーバーと異なり、さらに、この 2 つのサー バー間に信頼関係が確立されていない場合、エージェント には新しい証明書が必要です。ま た、エージェント が新しい CA から証明書を入手すると、エージェント のポリシーは読み 取りが不可能となります。 もはや読むことができなくなったすべてのポリシーを、次のコマンドを使って削除します。 ovpolicy -remove all CA が同じである場合や信頼関係が確立されている場合は、ポリシーは基本的には読むこと ができますが、ポリシーヘッダファイルに含まれている証明書には、以前のサーバーの OvCoreId が含まれており、その OvCoreId は、継続して有効にする必要があります。この ためには、mgrconf ポリシーに以前の管理サーバーの名前を入力します。次のファイルが存 在していて、以前のマネージャがそのファイル中に記述されている必要があります。 <OvDataDir>/datafiles/policies/mgrconf/*data 上記のケースに当てはまらない場合は、次のコマンドを入力します。 ovpolicy -remove all ovpolicy -remove all コマンドを実行する代わりに、次のディレクトリからすべてのファ イルを削除することもできます。 <OvDataDir>/datafiles/policies 2. エージェントの停止 他の変更を行う前に、エージェント を停止させる必要があります。 ovc -kill 3. エージェントの証明書の削除 276 付録 A HTTPS ベース通信のトラブルシューティング 管理対象ノードを管理する担当管理サーバーの変更 新しいターゲットサーバーが以前のサーバーと同じ認証局を共有する場合や、新しい認証局 と以前の認証局間で信頼関係が確立されている場合には、証明書はそのまま使うことができ ます。このような状況でなければ、新しい証明書を作成する必要があります。 次のコマンドを使って、既存の証明書を削除します。 ovcert -remove <all_certs_listed_in_ovcert_-list_output> 4. 設定の削除 エージェントの基本設定の一部を変更します。OvCoreId はそのまま残すことができます。 • 認証局が変更されていれば、次のコマンドを入力して、新しい認証局を指定します。 ovconfchg -ns sec.cm.client -set CERTIFICATE_SERVER ¥ <new_CA> ( 通常は完 全修飾ホスト名 ) • 次のコマンドを使って、新しい管理サーバーを設定します。 ovconfchg -ns sec.core.auth -set MANAGER <new_mgmtsv> ( 通常は完全修飾ホ スト名 • 次のコマンドを使って、管理サーバーの OvCoreId 値を取得します。 ovcoreid -ovrg server 新しい管理サーバーの OvCoreId をエージェントに設定します。 ovconfchg -ns sec.core.auth -set MANAGER_ID <new_manager_core_id> • MoM 環境でのみ、OPC_PRIMARY_MGR 設定がされているかを確認します。設定されている 場合には、設定を解除するか、新しい管理サーバーに設定します ( 両方とも同じ結果に なります )。 ovconfchg -ns eaagt -clear OPC_PRIMARY_MGR 5. 新しい証明書の作成 以前の証明書が削除されたら、新しい証明書を要求します。エージェントを再起動して、新 しい証明書リクエストを送信します (sec.cm.client 名前空間で CERTIFICATE_DEPLOYMENT_TYPE が Manual に設定されている場合を除きます。Manual に 設定されている場合には、手作業で証明書をインストールします )。詳細は、149 ページの 「インストールキーを使って証明書を手作業で分配する方法」を参照してください。 6. 管理サーバーの準備 付録 A 277 HTTPS ベース通信のトラブルシューティング 管理対象ノードを管理する担当管理サーバーの変更 管理対象ノードを追加する方法と同じ方法で , 管理サーバーの準備作業を継続し、証明書の 承諾、ポーリシーの割り当て、設定の配布を行います。詳細は、120 ページの「手作業によ る HTTPS 管理対象ノードのインストール」を参照してください。 278 付録 A HTTPS ベース通信のトラブルシューティング OVO での証明書のバックアップと復元方法 OVO での証明書のバックアップと復元方法 秘密鍵がなくなったり、秘密鍵や証明書にエラーが発生した場合の影響は、十分に認識しておく 必要があります。しかし、秘密鍵や証明書は、アップロードする、ダウンロードする、通常の設 定ファイルには含まれていません。 OVO 管理サーバーには、証明書とそれに対応する秘密鍵および OvCoreId のバックアップと復 元を行なうためのユーティリティがあります。 /opt/OV/bin/OpC/opcsvcertbackup このユーティリティには、以下のオプションがあります。 • -remove OVO 管理サーバーから、以下の項目を含むすべての証明書を削除します。 — 認証局のルート証明書とその秘密鍵 — サーバー証明書とその秘密鍵 — OVO 管理サーバーの管理対象ノード証明書 削除するときには、自動的にバックアップが作成されます。 • -backup 次の場所に、tar アーカイブが作成されます。 /tmp/opcsvcertbackup.<date_time>.tar <date_time> のフォーマットは、YYMMDD_hhmmss の形式です。 デフォルトの記憶場所は、-file オプションを使って変更できます。 記録される情報は、以下のとおりです。 — 認証局のルート証明書、秘密鍵、ID — OVO 管理サーバーの証明書、秘密鍵、OvCoreId — 管理対象ノードの証明書、秘密鍵、OvCoreId データはパスワードを指定した -pass オプションを使って、機密保護する必要があります。 tar アーカイブには、次の名前のテキストファイルが含まれます。 opcsvcertbackup.<date_time>.txt 付録 A 279 HTTPS ベース通信のトラブルシューティング OVO での証明書のバックアップと復元方法 これは、アーカイブを整理するときに役に立つ情報であり、バックアップされた証明書の OvCoreIds、ホスト名、バックアップのタイムスタンプなどの情報を含みます。ただし、こ れらの情報は復元時には使われません。 • -restore -backup オプションを使って作成された tar ファイルは、このオプションを使って復元する ことができます。 ファイル名は、-file オプションを使って指定する必要があります。バックアップの作成時 に使ったパスワードを、-pass オプションで指定する必要があります。 認証局、OVO 管理サーバー、管理対象ノードの証明書や秘密鍵が、OVO 管理サーバーシス テムにすでに存在していて、バックアップアーカイブの中に格納されている値と同一でない 場合には、復元は実行されません。 これを避けるには、-force オプションを使って強制的に復元を実行します。 opcsvcertbackup でも、復元されるべき証明書の OvCoreIds が、OVO データベースに格 納されている OvCoreIds と一致しない場合には、エラーを返します。-force オプションを 指定した場合には、OvCoreIds が書き換えられ、確認メッセージが表示されます。 証明書のバックアップを作成 / 使用する時期 opcsvcertbackup を使ってバックアップを作成 / 使用するのが望ましい時期は、以下のとおり です。 • OVO の最初のインストール OVO 管理サーバーを正常にインストールした場合には、次のコマンドを使って証明書デー タのバックアップを作成することが特に重要です。 opcsvcertbackup -backup その結果作成される tar アーカイブは、安全な場所に保管してください。 • 別のシステムに OVO 管理サーバーの再インストール 別のシステムに標準の OVO 管理サーバーインストールを実行します。新たにインストール したシステムに、オリジナルの OVO 管理サーバーのバックアップを次のコマンドを使って インストールします。 opcsvcertbackup -restore -file <filename> -pass <password> -force 280 付録 A HTTPS ベース通信のトラブルシューティング OVO での証明書のバックアップと復元方法 注記 • サーバーをインストールしたことによって、認証局、OVO 管理サーバー、管 理対象ノードの証明書が自動的に作成されているので、-force オプションを 指定する必要があります。管理対象ノードはオリジナルのインストールで作 成された証明書を使うように設定されているので、新しく作成された証明書 は使えない証明書です。 復元 何らかの情報が誤って削除された場合には、次のコマンドを使います。 opcsvcertbackup -restore -file <filename> -pass <password> エラー出力がないかどうかを注意深く調べてください。 • 設定エラーの復元 force オプションを指定しない通常の復元が正常に行なわれなかった場合には、 opcsvcertbackup が生成したエラーメッセージを調べます。これでも問題が解決できない 場合には、次のコマンドを実行して、証明書関連の情報を削除します。 opcsvcertbackup -remove または、次のコマンドを実行して、存在する証明書を直接書き換えます。 opcsvcertbackup -restore -file <filename> -pass <password> -force • MoM 環境での証明書の信頼関係の設定 証明書の信頼関係を作成したら、新しいバックアップを作成してください。こうすると、復 元が必要になった場合に、追加されたルート証明書も復元されることが確実になります。 • 共有 CA の設定 共有 CA を設定する場合は、次のコマンドを実行するのが便利で、2 番目の OVO 管理サー バーから不必要な証明書を削除します。 opcsvcertbackup -remove 詳細は、59 ページの「証明書サーバーが複数個ある環境」を参照してください。 付録 A 281 HTTPS ベース通信のトラブルシューティング OVO での証明書のバックアップと復元方法 282 付録 A B OVO のトレース 付録 B 283 OVO のトレース OVO のトレース機能のクイックスタート OVO のトレース機能のクイックスタート OVO には、問題解決を支援するトレース機能があります。トレースログファイルを分析すると、 問題の発生時刻と発生箇所を特定することができます。問題の例としては、プロセスやプログラ ムの中断、性能の異常な低下、予期しない結果の表示などです。 OVO では、以下のトレースメカニズムを使うことができます。 • OpenView のトレース機能は、最新の OpenView 製品をトレースするためのメカニズムで、 今後の OpenView 製品には必ず取り入れられます。OpenView のトレース機能を使うと、 HTTPS エージェントや OVO 管理サーバーでの問題を容易に解決できるようになります。 OpenView のトレース機能では、専用のフォーマットを使ったリモートアクセスが可能で す。SSL 暗号化は使われません。デフォルトの通信ポートは 5053 です。 • 設定情報を使用した OVO スタイルのトレース機能は、HTTPS エージェントやパッチレベル 8.11 以降の OVO 管理サーバーの問題解決にも利用できるようになりました。設定情報は、 ovconfchg コマンドを使って設定します。 • DCE エージェントの問題解決には、OVO スタイルのトレース機能を使う必要があります。 トレース設定情報を指定するには、opcinfo ファイルと opcsvinfo ファイルを使います。 例外 : OVO スタイルのトレース機能は、OpenView 共有コンポーネントのプロセスには使うこと ができません。一般に、opc で始まる名前を持つプロセスでは OVO スタイルのトレース機 能を使うことができますが、ov で始まる名前を持つプロセスでは、OpenView トレース機能 しか利用できません。 $OvDataDir/datafiles/xpl/OVTraceCfg.dat ファイルには、すべての既知の OpenView トレース領域のリストが格納されています (2 番目のカラム )。コンポーネント接頭辞が opc. または eaagt. の領域は OVO に属し、OVO スタイルのトレース機能を使うことがで きます。それ以外の領域に対して OVO スタイルのトレース機能を使うことはできません。 OpenView 共有コンポーネントライブラリのトレースメッセージは、これらの共有ライブラ リが「opc」プロセスで使われている場合でも、OVO スタイルのトレース機能ではトレース できません。 284 付録 B OVO のトレース OVO スタイルのトレース機能の概要 OVO スタイルのトレース機能の概要 OVO 7 以前で使われていたトレース設定ファイル opcinfo と opcsvinfo は、すべて OVO 8 以 降の管理サーバーと HTTPS エージェントでも使うことができます。しかし、今回からは ovconfchg コマンドで設定可能な設定情報となりました。ただし、DCE エージェントでは OVO スタイルのトレース機能を使う必要があります。 管理サーバーで OVO スタイルのトレース機能を有効にする ovconfchg コマンドを使って、管理サーバープロセスに対する OVO トレース機能を有効にする ことができます。 OVO 管理サーバーでのトレース機能を有効にするには、次のコマンドを実行します。 ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE この指定は常に必要です。これによって領域 MSG と ACTN に対するトレース機能が有効になりま す。 パッチレベルが 8.13 より低い場合 : 管理サーバー上のプロセスに設定情報が更新されたことを 通知するには、次のコマンドを実行します。 /opt/OV/bin/OpC/opcsv -trace どのプロセスも再起動する必要はありません。再起動すると、調査中の問題の原因が失われてし まう可能性があります。 管理対象ノードで OVO スタイルのトレース機能を有効にする ovconfchg コマンドを使って、HTTPS エージェントプロセスに対する OVO トレース機能を有 効にすることができます。DCE エージェントの場合には、opcinfo ファイルを変更します。 HTTPS エージェントの場合 次のコマンドを実行します。 ovconfchg -ns eaagt -set OPC_TRACE TRUE この指定は常に必要です。これによって領域 MSG と ACTN に対するトレース機 能が有効になります。 HTTPS エージェントでは、トレース機能の設定情報は、変更すると直ちに動 作中のプロセスによって自動的に読み込まれます。 付録 B 285 OVO のトレース OVO スタイルのトレース機能の概要 DCE エージェントの場合 opcinfo ファイルを開きます。サポートされているプラットフォーム での opcinfo ファイルの場所については、表 B-1 を参照してください。 以下のエントリーを opcinfo ファイルに追加し、ファイルを保存します。 OPC_TRACE TRUE このエントリーは常に必要です。これによって領域 MSG と ACTN に対するト レース機能が有効になります。 DCE エージェントでは、以下のコマンドを実行して設定情報を有効にする必 要があります。 /opt/OV/bin/OpC/opcagt -trace 表 B-1 OVO DCE 管理対象ノードの opcinfo ファイルの場所 プラットフォーム opcinfo ファイル HP-UX 11.x Linux Solaris IBM/ptx Siemens Nixdorf SINIX SGI IRIX /opt/OV/bin/OpC/install/opcinfo AIX /usr/lpp/OV/OpC/install/opcinfo Tru64 UNIX /usr/opt/OV/bin/OpC/install/opcinfo Windows ¥usr¥OV¥bin¥OpC¥install¥opcinfo 注記 286 管理対象ノードの属性を変更すると、nodeinfo ファイルは分配プロセスによっ て書き換えられます。そのため、トレース文は、nodeinfo ファイルではなく、 opcinfo ファイルに入れておく必要があります。 付録 B OVO のトレース OVO スタイルのトレース機能の概要 OVO スタイルのトレース機能を無効にする OVO スタイルのトレース機能を無効にするには、以下の手順を実行します。 管理サーバーの場合 トレース機能を無効にするには、次のコマンドを実行します。 ovconfchg -ovrg server -ns opc -clear OPC_TRACE または、次のコマンドを実行します。 ovconfchg -ovrg server -ns opc -set OPC_TRACE FALSE 管理サーバー上のプロセスに設定情報が更新されたことを通知するために、次 のコマンドを実行します。 /opt/OV/bin/OpC/opcsv -trace HTTPS エージェントの場合 次のコマンドを実行します。 ovconfchg -ns eaagt -clear OPC_TRACE または、次のコマンドを実行します。 ovconfchg -ns eaagt -set OPC_TRACE FALSE DCE エージェントの場合 opcinfo ファイルに次のエントリーを追加します。 OPC_TRACE FALSE または、OPC_TRACE TRUE のエントリーを削除します。 DCE エージェントでは、次のコマンドを使って設定情報を有効にする必要が あります。 /opt/OV/bin/OpC/opcagt -trace 付録 B 287 OVO のトレース OVO スタイルのトレース機能の概要 トレース出力ファイルの場所 トレース情報は、ログファイル trace.bin に書き込まれます。 ❏ 管理サーバーの場合 <OvDataDir>/share/tmp/OpC/mgmt_sv/trace.bin デフォルトでは、/var/opt/OV/share/tmp/OpC/mgmt_sv/trace.bin です。 ❏ 管理対象ノードの場合 <OvDataDir>/tmp/OpC/trace.bin HP-UX でのデフォルトは、/var/opt/OV/tmp/OpC/trace.bin です。 サポートされている他のプラットフォームでのトレースファイルの場所については、表 B-2 を参照してください。 表 B-2 OVO DCE 管理対象ノードのトレース出力ファイルの場所 プラットフォーム trace.bin ファイル HP-UX 11.x Linux Solaris IBM/ptx Siemens Nixdorf SINIX SGI IRIX Tru64 UNIX /var/opt/OV/tmp/OpC/ AIX /var/lpp/OV/tmp/OpC/ Windows ¥usr¥OV¥tmp¥OpC¥ 288 付録 B OVO のトレース 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設 定 この設定を行うことで、トレース出力ファイルに書き込まれるデータ量を減らし、トレースログ ファイルの解析を容易にします。トレース文で 1 つ以上の機能領域を指定することにより、特定 の機能領域のトレース機能を有効にすることができます。 機能領域 以下の一覧の中から機能領域を選んで調査対象を絞り込むことができます。機能領域は OPC_TRACE_AREA 文で指定します。 注記 すべてのプロセスにすべての機能領域があるわけではありません。 ACTN アクション ALIVE エージェントの動作チェック ALL すべてのトレース領域 ( ただし、DEBUG と PERF は除く ) API 設定 API AUDIG 監査 DB データベース DEBUG デバッグ情報。このオプションは注意して使ってください。トレース情報が広 範囲かつ詳細になりますが、トレースログファイルが大きくなるからです。 DIST 分配 GUI ユーザーインタフェース INIT 初期化 INST インストール INT 内部 LIC ライセンス情報 MISC その他 MSG メッセージフロー 付録 B 289 OVO のトレース 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 NAME 名前解決 NLS 母国語サポート NTPRF NTPerfMon OCOMM オープンエージェント通信 PERF パフォーマンス SEC セキュリティ SRVC サービス トレース機能のカスタマイズ トレース機能を設定するには、以下の手順を実行します。 1. OPC_TRACE TRUE を指定します。 この指定は常に必要です。これによって領域 MSG と ACTN に対するトレース機能が有効にな ります。 2. 特定の機能領域をトレースするには、以下の形式で文を追加して、該当する機能領域、また は管理サーバー / エージェントのプロセスを指定します。 OPC_TRACE_AREA <area>[,<area>] OPC_TRC_PROCS <process>[,<process>] OPC_DBG_PROCS <process>[,<process>] <area> トレースまたはデバッグの対象となる OVO 領域です。デフォルトでは、 MSG と ACTN が有効になります。 指定可能な領域については、289 ページの「機能領域」を参照してくださ い。 <process> 注記 トレースまたはデバッグの対象となる OVO プロセスです。 各プロセスまたは領域間にスペースは入れないでください。 以下の例では、メッセージフロー、アクションのフロー、初期化、およびデバッグに対する トレース情報を有効にする方法を示しています。opcmsga と opcacta のトレース出力のみ を生成します。デバッグ出力は opcmsga だけが対象です。 290 付録 B OVO のトレース 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 例 B-1 管理サーバーの設定コマンド ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE ¥ -set OP_TRACE_AREA MSG,ACTN,INIT,DEBUG ¥ -set OPC_TRC_PROCS opcacta,opcmsga ¥ -set OPCDBG_PROCS opcmsga 例 B-2 HTTPS 管理対象ノードの設定コマンド ovconfchg -ns eaagt -set OPC_TRACE TRUE ¥ -set OP_TRACE_AREA MSG,ACTN,INIT,DEBUG ¥ -set OPC_TRC_PROCS opcacta,opcmsga ¥ -set OPCDBG_PROCS opcmsga 例 B-3 DCE 管理対象ノード用の opcinfo のトレース設定 OPC_TRACE TRUE OPC_TRACE_AREA MSG,ACTN,INIT,DEBUG OPC_TRC_PROCS opcmsga,opcacta OPC_DBG_PROCS opcmsga 上記のトレースオプションよりもさらに細かくする場合には、変数 OPC_RESTRICT_TO_PROCS を使って、OVO プロセスの特定の領域に対するトレースを有効 にすることができます。 3. トレース情報の詳細な出力が必要な場合には、以下のコマンドを実行します。DCE エージェ ントの場合には、opcinfo ファイルにエントリーを追加します。 管理サーバーの場合 ovconfchg -ovrg server -ns opc -set OPC_TRACE_TRUNC FALSE HTTPS エージェントの場合 ovconfchg -ns eaagt -set OPC_TRACE_TRUNC FALSE DCE エージェントの場合 OPC_TRACE_TRUNC FALSE デフォルトでは、OPC_TRACE_TRUNC TRUE が有効になっています。 トレース情報の詳細は、292 ページの「トレース例」を参照してください。 付録 B 291 OVO のトレース 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 トレース例 ここでは、各種の領域やプロセスに対してトレース機能を有効にする方法を示します。 該当するコマンドを実行するか、opcinfo ファイルにエントリーを追加してください。 ❏ デフォルト トレース領域 MSG ( メッセージフロー ) と ACTN ( アクション ) のトレース情報を収集します。 ❏ 管理サーバーの場合 ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE HTTPS エージェントの場合 ovconfchg -ns eaagt -set OPC_TRACE TRUE DCE エージェントの場合 OPC_TRACE TRUE 定期ポーリングとメッセージフローのトレース トレース領域 ALIVE ( エージェントの動作チェック ) のトレース情報を収集します。 ❏ 管理サーバーの場合 ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE -set OPC_TRACE_AREA ALIVE HTTPS エージェントの場合 ovconfchg -ns eaagt -set OPC_TRACE TRUE -set OPC_TRACE_AREA ALIVE DCE エージェントの場合 OPC_TRACE TRUE OPC_TRACE_AREA ALIVE 特定のプロセスの特定の領域のトレース オペレータ GUI プロセス opcuiop と opcuiopadm のトレース領域 GUI ( グラフィックユー ザーインタフェース ) のトレース情報を収集します。 管理サーバーの場合 ❏ ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE -set OPC_TRACE_AREA GUI -set OPC_TRC_PROCS opcuiop,opcuiopadm トレースとデバッグ • すべてのトレース領域 ( ただし、PERF は除く ) のトレース情報と、すべてのデバッグ領域 のデバッグ情報を収集します。デバッグ領域は弊社サポート担当者のみが使用します。 管理サーバーの場合 292 ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE -set OPC_TRACE_AREA ALL,DEBUG 付録 B OVO のトレース 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 • ❏ HTTPS エージェントの場合 ovconfchg -ns eaagt -set OPC_TRACE TRUE -set OPC_TRACE_AREA ALL,DEBUG DCE エージェントの場合 OPC_TRACE TRUE OPC_TRACE_AREA ALL,DEBUG ovoareqsdr ( リクエスト送信プログラム ) プロセスのすべてのトレース領域 ( ただし、 PERF は除く ) のトレース情報と、ovoareqsdr プロセスのすべてのデバッグ領域のデ バッグ情報を収集します。 管理サーバーの場合 ovconfchg -ovrg server -ns opc -set OPC_TRACE TRUE -set OPC_TRACE_AREA ALL,DEBUG -set OPC_TRC_PROCS ovoareqsdr -set OPC_DBG_PROCS ovoareqsdr HTTPS エージェントの場合 ovconfchg -ns eaagt -set OPC_TRACE TRUE -set OPC_TRACE_AREA ALL,DEBUG -set OPC_TRC_PROCS ovoareqsdr -set OPC_DBG_PROCS ovoareqsdr DCE エージェントの場合 OPC_TRACE TRUE OPC_TRACE_AREA ALL,DEBUG OPC_TRC_PROCS ovoareqsdr OPC_DBG_PROCS ovoareqsdr 異なるプロセスの異なる機能領域 トレースを特定のプロセスに限定するには、トレースコマンドでプロセスを指定します。 opcinfo ファイルのエントリーの場合には、キーワード OPC_RESTRICT_TO_PROCS の後に、 トレースの対象となるプロセスを指定します。 トレース対象の領域は通常通り指定します。 opcinfo ファイルのエントリーの場合には、OPC_RESTRICT_TO_PROCS セクションは必ず opcinfo ファイルの最後に追加してください。 最初の設定エントリーで、コントロールエージェントプロセス (opcctla) のトレース領域 INIT ( 初期化 ) と INT ( 内部 ) のトレースを有効にしています。2 番目の設定エントリーで、 メッセージエージェントプロセス (opcmsga) のトレース領域 MSG ( メッセージフロー ) と ACTN ( アクション ) のトレースを有効にしています。 管理サーバーの場合 付録 B ovconfchg -ovrg server -ns opc.opcctla -set OPC_TRACE TRUE -set OPC_TRACE_AREA INIT,INT 293 OVO のトレース 管理サーバーと管理対象ノードの OVO スタイルのトレース機能の設定 ovconfchg -ovrg server -ns opc.opcmsga -set OPC_TRACE TRUE HTTPS エージェントの場合 ovconfchg -ns eaagt.opcctla -set OPC_TRACE TRUE -set OPC_TRACE_AREA INIT,INT ovconfchg -ns eaagt.opcmsga -set OPC_TRACE TRUE DCE エージェントの場合 OPC_RESTRICT_TO_PROCS opcctla OPC_TRACE TRUE OPC_TRACE_AREA INIT,INT OPC_RESTRICT_TO_PROCS opcmsga OPC_TRACE TRUE 上記の例は、次のように指定することもできます。 OPC_TRACE TRUE OPC_TRC_PROCS opcctla,opcmsga OPC_RESTRICT_TO_PROCS opcctla OPC_TRACE_AREA INIT,INT トレースファイルの構文 トレース情報の一般的な構文は、以下のとおりです。 <mm/dd/yy> <hh:mm:ss> <process_name>(pid)[<area>...]: <detailed_ information> mm/dd/yy 日付 hh:mm:ss 時刻 process_name プロセス名 pid プロセス ID area トレース文で指定された機能領域 detailed_information プロセスに関する詳細情報 注記 294 新しいトレース情報は、既存のトレースログファイルに追記されます。したがっ て、大きくなり過ぎないようにするには、ファイルを削除する必要があります。 付録 B OVO のトレース OpenView スタイルのトレース機能の概要 OpenView スタイルのトレース機能の概要 OpenView のトレース機能では、Applications、Components、Categories、Attributes の 要素からなる階層を指定する必要があります。この階層をトレース GUI、またはトレース設定 ファイルに指定することによって、トレース対象を指定します。 表 B-3 には、これらの要素と、OVO のコンポーネント、プロセス、領域との対応を示します。 表 B-3 OpenView トレース機能の用語 OpenView での名前 OVO スタイルでの名前 例 Application プロセス OPC_TRC_PROCS OPC_DBG_PROCS opcmsga、opcmsgrd、 ovpolicy Component 該当なし opc、eaagt Subcomponent トレース領域 OPC_TRACE_AREA actn、msg、init、 debug Category OPC_TRACE TRUE Trace Attribute 該当なし Info、Warn、Error、 Developer、Verbose OpenView のトレース機能を使って OVO をトレースする方法には、次の 2 通りがあります。 • Windows のトレース GUI を使ったリモートトレースの設定 • トレース設定ファイルを使った手作業によるトレース機能の設定 これらの方法について、次項で説明します。 付録 B 295 OVO のトレース OpenView スタイルのトレース機能の概要 Windows のトレース GUI を使ったリモートトレースの設定 OVO エージェントを Windows システムにインストールすると、トレース GUI が利用できるよ うになります。トレース GUI を使うと、トレース機能を簡単に設定できます。リモートトレー スサーバーに接続し、アプリケーション、コンポーネント、カテゴリ名を指定して、属性を表示 させることができます。GUI が動作するシステムとトレースが出力されるシステムの間にある ファイアウォールでは、ポート 5053 を開けておく必要があります。トレース GUI に用意され ている機能を使うと、必要な設定情報を選択したり、設定ファイルを保存することができます。 トレース GUI を使って OVO プロセスに対する OpenView のトレース機能を設定するには、以 下の手順を実行します。 1. トレース対象の OVO プロセスを特定します。以下の例では、opcmsga と opcmsgm のプロセス を対象にしています。 2. Windows システムでトレース GUI を起動します。[Windows エクスプローラ ] ウィンドウで、 次のディレクトリに移動します。 <OvInstallDir>¥support¥ デフォルトの場所は、c:¥Program Files¥HP OpenView¥support¥ です。 3. 以下のファイルをダブルクリックして、GUI を起動します。 ovtrcgui 296 付録 B OVO のトレース OpenView スタイルのトレース機能の概要 図 B-1 OVO アプリケーション用の TraceMon アプリケーションのダイア ログ OVO トレースが 有効になっている アプリケーション のリストの一部 4. opcmsga アプリケーションと opcmsgm アプリケーションを選択します。 5. Supportに DEBUGを設定しないことを除いて、opcとOvEaAgtのすべてのサブコンポーネント について設定します。これにより、すべてのサブコンポーネントに対して、Support にデ フォルトのトレース属性 Info、Warn、Error が設定され、各コンポーネント / サブコン ポーネントの組み合わせのエントリーには、Verbose 属性が追加されます。 付録 B 297 OVO のトレース OpenView スタイルのトレース機能の概要 図 B-2 OVO アプリケーション用の TraceMon のトレースダイアログ 必要な設定を選択したら、設定ファイルを保存します。 トレース設定ファイルを使った手作業によるトレース機能の設定 多くの場合、特に UNIX システムでは、最も簡単な方法は、トレース対象のコンポーネントを 指定したトレース設定ファイルを手作業で作成し、トレース出力をファイルに記録することで す。管理サーバーシステムには、管理サーバー用とエージェント用のトレース設定ファイルのサ ンプルがそれぞれ 3 つずつ、以下の場所に提供されています。 /opt/OV/contrib/OpC/TraceConfig エージェントのトレースで使う場合には、適切なファイルを管理対象ノードシステムにコピーす る必要があります。 298 付録 B OVO のトレース OpenView スタイルのトレース機能の概要 注記 また、Windows システムでトレース GUI を使って、トレース設定ファイルを作 成し、そのファイルを問題分析を行うシステムにコピーすることもできます。 これらのファイルには、すべての OVO プロセスに対するトレース設定文が含まれています。 APP: で始まる行を参照してください。特定のプロセスをトレースする場合には、新しいトレー ス設定ファイルを作成し、サンプルファイルから必要に応じてコピーアンドペーストを行い、最 初の行に TCF で始まるヘッダー行を追加します。 OpenView のトレース機能では、Applications、Components、Categories、Attributes で 始まる要素の階層が設定されます。OpenView のトレース機能の用語では、OPC_TRC_PROCS と OPC_DBG_PROCS で定義されるプロセスは、Applications と呼ばれます。OPC_TRACE_AREA パ ラメータで定義される TRACE AREAS は、Subcomponents と呼ばれます。Component 要素と Attribute 要素は、OVO 8 より前の OVO バージョンのトレース設定にはありませんでした。 コンポーネント = < コンポーネント名 > トレース領域 = < サブコンポーネント > カテゴリ = Trace OpenView のトレース機能を使って同じ種類のトレース設定情報を設定するには、トレース設定 ファイル ( 例 B-4 参照 ) を作成して、ovtrccfg ツールを使ってトレースを有効にし、ovtrcmon ツールを使ってトレースメッセージを監視します。 例 B-4 OpenView のトレース設定ファイル TCF Version 3.2 APP: "opcmsga" SINK: Socket "prodnode" "node=10.1.221.22;" TRACE: "eaagt.actn" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.debug" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.init" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.msg" "Trace" Info Warn Error Developer Verbose APP: "opcacta" SINK: Socket "prodnode" "node=10.1.221.22;" TRACE: "eaagt.actn" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.init" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.msg" "Trace" Info Warn Error Developer Verbose 以下の表には、OpenView トレース設定ファイルの例と、これらのファイルと OVO 7 のトレー ス設定情報との対応を示します。 付録 B 299 OVO のトレース OpenView スタイルのトレース機能の概要 表 B-4 OpenView のトレース設定ファイル OVO 7 のトレース設定情報 *Default.tcf OPC_TRACE TRUE *All.tcf OPC_TRACE TRUE、 OPC_TRACE_AREA ALL *AllDebug.tcf OPC_TRACE TRUE、 OPC_TRACE_AREA ALL, DEBUG トレースを有効にする ローカルファイルへのトレースを有効にするには、以下の手順を実行します。 /opt/OV/support/ovtrcadm -a localhost /opt/OV/support/ovtrccfg -server localhost <my_trace_config_file> たとえば、次のコマンドを実行します。 ovtrccfg -server localhost /opt/OV/contrib/OpC/TraceConfig/ServerAll.tcf トレース結果の表示 トレース出力を表示するには、整形ツール ovtrcmon を使う必要があります。 /opt/OV/support/ovtrcmon -fromfile <binary_output> [ -tofile <ascii-output> ] 出力形式は指定が可能です。詳細は、次のコマンドを実行して、ovtrcmon の使用法テキストを 参照してください。 /opt/OV/support/ovtrcmon -help 管理サーバーの次のディレクトリにある定義済みトレースファイル /opt/OV/contrib/OpC/TraceConfig/*.tcf: のどれかを使って、次のようにしてトレース出力を取得する方法もあります。 1. トレース設定ファイル ( ファイル拡張子は .tcf) の SINK: File で始まる行を、次の文字列で 置き換えます。 300 付録 B OVO のトレース OpenView スタイルのトレース機能の概要 SINK: Socket "localhost" "node=localhost;" 2. 次のコマンドを実行して、トレース設定ファイルをロードします。 /opt/OV/support/ovtrccfg <my_trace_config_file> 3. ovtrcmon を起動して、出力をファイルにダンプします。 /opt/OV/ovtrcmon -server localhost > <my_ascii_trace_output_file> 出力の書式を指定するためのオプションについては、ovtrcmon の使用法メッセージを参照 してください。 リモートトレース機能を無効にする ( ポートを閉じる ) ovtrcd プロセスは、デフォルトではポート 5053 を外部アクセス用に開きます。この外部から 参照可能なポートは、以下のいずれかの方法で閉じることができます。 • 管理対象ノードから実行する場合 1. 次のコマンドを使って、リモートトレースを無効にします。 ovtrcadm -disableremotetracing 2. 次のコマンドを使って、OpenView トレースデーモン (ovtrcd) のプロセスを再起動しま す。 /opt/OV/support/ovtrcadm -srvshutdown /opt/OV/lbin/xpl/trc/ovtrcd あるいは、ブートスクリプト OVTrcSrv を使います。このスクリプトはプラットフォー ムに依存したブートディレクトリにあります。たとえば、Solaris の場合は、以下のディ レクトリにあります。 /etc/init.d/OVTrcSrv 3. ovtrcd を再起動しても、依然として localhost:5053 がローカルループバックのみに使 われています。トレース対象のアプリケーション ( たとえば、OVO エージェント ) を再 起動します。 • 管理サーバーから実行する場合 管理サーバーにある bbc_inst_defaults ファイルには、以下の設定情報が含まれていま す。 eaagt:DISABLE_REMOTE_TRACE_AT_INSTALL 付録 B 301 OVO のトレース OpenView スタイルのトレース機能の概要 この設定情報に TRUE を設定すると、新しくインストールしたすべてのエージェントは、実 行を開始する前に、以下の手順を自動的に実行します。これらの手順は、上記の方法で必要 だった手順と同様です。 ovtrcadm -disableremotetracing /opt/OV/support/ovtrcadm -srvshutdown /opt/OV/lbin/xpl/trc/ovtrcd bbc_inst_defaults ファイルの設定方法については、83 ページの「デフォルトポートの変 更」を参照するか、次の場所にあるサンプルファイルを参照してください。 /etc/opt/OV/share/conf/OpC/mgmt_sv/bbc_inst_defaults.sampl トレースを無効にする トレース機能を無効にするには、次のコマンドを実行します。 /opt/OV/support/ovtrccfg off 注記 8.14 より前のパッチレベルの OVO エージェントが動作しているシステムでは、 OpenView トレースデーモン (ovtrcd) のプロセスを停止すると問題が発生する場 合があります。 このような問題から復旧するには、以下の手順を実行します。 1. 正しい手順で ovtrcd をシャットダウンせずに、kill コマンドを使って停止し た場合は、以下のコマンドを使ってテンポラリファイルを削除します。 rm /var/opt/OV/tmp/ovtrc.server.lock rm /var/opt/OV/tmp/hp.trc.sem.TraceCfg* 2. 正しい手順で ovtrcd をシャットダウンして再起動した場合や、上記の手順で 不要なテンポラリファイルを削除した後は、トレース対象のアプリケーショ ン ( たとえば、OVO エージェント ) を再起動します。 302 付録 B OVO のトレース OVO プロセスのトレース例 OVO プロセスのトレース例 以下の手順例は、OVO プロセスに対して OpenView のトレース機能を設定する方法の例です。 この例の設定では、以下のように仮定しています。 • UNIX システムで動作しているプロセス opcmsga と opcmsgm がトレース対象。 • 設定情報を変更するためにトレース設定クライアント ovtrccfg を使う。 • トレース設定ファイルの名前は、$OV_CONF/OVOTrace.tcf • トレースの監視にトレースモニタークライアント ovtrcmon を使う。 • トレース出力は、$OV_LOG/OVOTrace.trc ファイルに書き込まれる。 OVO プロセスに対して OpenView のトレース機能を設定するには、以下の手順を実行します。 1. トレース対象のプロセスを特定します ( 以下の例では、opcmsga プロセスと opcmsgm プロセス を使います )。 2. トレース設定ファイル OvoTrace.tcf を作成し、$OV_CONF ディレクトリに配置します。 このサンプルのトレース設定ファイル ( 例 B-5 を参照 ) を使うと、2 つの OVO アプリケー ション opcmsga と opcmsgm に対するトレースが有効になります。出力先は、コンピュータ supnode1 を宛先サーバーとしたソケットとして設定します。選択するコンポーネントは、 opc と eaagt です。サブコンポーネント DEBUG 以外の、関連付けられたすべてのサブコン ポーネントを選択します。これは、All Areas except DEBUG を選択することに相当しま す。すべてのサブコンポーネントに対して、Support にデフォルトのトレース属性 Info、 Warn、Error が設定され、各コンポーネント / サブコンポーネントの組み合わせのエント リーには、Verbose 属性が追加されます。 付録 B 303 OVO のトレース OVO プロセスのトレース例 例 B-5 トレース設定ファイル $OV_CONF/OVOTrace.tcf TCF Version 3.2 APP: "opcmsgm" SINK: Socket "supnode1" "node=10.111.1.21;" TRACE: "opc.actn" "Trace" Info Warn Error Developer Verbose TRACE: "opc.agtid" "Trace" Info Warn Error Developer Verbose TRACE: "opc.alive" "Trace" Info Warn Error Developer Verbose TRACE: "opc.api" "Trace" Info Warn Error Developer Verbose TRACE: "opc.audit" "Trace" Info Warn Error Developer Verbose TRACE: "opc.db" "Trace" Info Warn Error Developer Verbose TRACE: "opc.dist" "Trace" Info Warn Error Developer Verbose TRACE: "opc.fct" "Trace" Info Warn Error Developer Verbose TRACE: "opc.gui" "Trace" Info Warn Error Developer Verbose TRACE: "opc.init" "Trace" Info Warn Error Developer Verbose TRACE: "opc.inst" "Trace" Info Warn Error Developer Verbose TRACE: "opc.int" "Trace" Info Warn Error Developer Verbose TRACE: "opc.lic" "Trace" Info Warn Error Developer Verbose TRACE: "opc.mem" "Trace" Info Warn Error Developer Verbose TRACE: "opc.memerr" "Trace" Info Warn Error Developer Verbose TRACE: "opc.misc" "Trace" Info Warn Error Developer Verbose TRACE: "opc.mon" "Trace" Info Warn Error Developer Verbose TRACE: "opc.msg" "Trace" Info Warn Error Developer Verbose TRACE: "opc.name" "Trace" Info Warn Error Developer Verbose TRACE: "opc.nls" "Trace" Info Warn Error Developer Verbose TRACE: "opc.ntprf" "Trace" Info Warn Error Developer Verbose TRACE: "opc.ocomm" "Trace" Info Warn Error Developer Verbose TRACE: "opc.pdh" "Trace" Info Warn Error Developer Verbose TRACE: "opc.perf" "Trace" Info Warn Error Developer Verbose TRACE: "opc.pstate" "Trace" Info Warn Error Developer Verbose TRACE: "opc.sec" "Trace" Info Warn Error Developer Verbose TRACE: "opc.srvc" "Trace" Info Warn Error Developer Verbose TRACE: "opc.wmi" "Trace" Info Warn Error Developer Verbose APP: "opcmsga" SINK: Socket "supnode1" "node=10.111.1.21;" TRACE: "eaagt.actn" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.agtid" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.alive" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.api" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.audit" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.db" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.dist" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.fct" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.gui" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.init" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.inst" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.int" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.lic" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.mem" "Trace" Info Warn Error Developer Verbose TRACE: "eaagt.memerr" "Trace" Info Warn Error Developer Verbose 304 付録 B OVO のトレース OVO プロセスのトレース例 TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: TRACE: "eaagt.misc" "Trace" Info Warn Error Developer Verbose "eaagt.mon" "Trace" Info Warn Error Developer Verbose "eaagt.msg" "Trace" Info Warn Error Developer Verbose "eaagt.name" "Trace" Info Warn Error Developer Verbose "eaagt.nls" "Trace" Info Warn Error Developer Verbose "eaagt.ntprf" "Trace" Info Warn Error Developer Verbose "eaagt.ocomm" "Trace" Info Warn Error Developer Verbose "eaagt.pdh" "Trace" Info Warn Error Developer Verbose "eaagt.perf" "Trace" Info Warn Error Developer Verbose "eaagt.pstate" "Trace" Info Warn Error Developer Verbose "eaagt.sec" "Trace" Info Warn Error Developer Verbose "eaagt.srvc" "Trace" Info Warn Error Developer Verbose "eaagt.wmi" "Trace" Info Warn Error Developer Verbose TraceMon ツールがインストールされている Windows システムを使うことができる場合に は、そのツールを使ってリモートトレースサーバーに接続し、アプリケーション、コンポー ネント、カテゴリの名前を指定して、属性を表示することができます。TraceMon GUI の関 連するダイアログのスクリーンショットは、図 B-3 と図 B-4 を参照してください。 TraceMon GUI ツールの機能を使うと、必要な設定情報を選択して、設定ファイルを保存す ることができます。 付録 B 305 OVO のトレース OVO プロセスのトレース例 図 B-3 OVO アプリケーション用の TraceMon アプリケーションのダイア ログ OVO トレースが 有効になっている アプリケーション のリストの一部 306 付録 B OVO のトレース OVO プロセスのトレース例 図 B-4 OVO アプリケーション用の TraceMon のトレースダイアログ 3. 次のコマンドを実行して、トレースサーバーがシステムで動作中であることを確認します。 ps -ef | grep ovtrcd プロセスが動作中である場合には、以下の形式の情報が返されます。 root@ supnode1: ps -ef | grep ovtrcd root 18750 1 0 Mar 5 ?0:00 /opt/OV/bin/ovtrcd 4. トレース対象の opcmsga と opcmsgm がシステムで動作中であることを確認します。 プロセスが実行中であることを確認するには、以下の形式のコマンドを実行します。 ovstatus -c opcmsga opcmsgm 以下の形式の情報が返されます。 root@ supnode1: ovstatus -c opcmsga opcmsgm Name PID State Last Message(s) opcmsga 15422 RUNNING 初期化が終了しました。 opcmsgm 26605 RUNNING OVO サーバーの初期化が終了しました。 5. 設定クライアント ovtrccfg を使い、次のコマンドを実行してトレース情報を設定します。 付録 B 307 OVO のトレース OVO プロセスのトレース例 $OV_BIN/ovtrccfg -server supnode1 $OV_CONF/OvoTrace.tcf 6. opcmsga アプリケーションと opcmsgm アプリケーションから生成されるトレースメッセージ を監視するには、モニタークライアント ovtrcmon を使います。supnode1 システムで動作 中のトレースサーバーを監視し、トレースメッセージをバイナリ形式で $OV_LOG/OvoTrace.trc ファイルに出力するには、次のコマンドを実行します。 $OV_BIN/ovtrcmon -server supnode1 -tofile $OV_LOG/OvoTrace.trc 7. トレース対象のプロセス ( この例では、opcmsga と opcmsgm) が実行中である場合には、この 時点でトレースメッセージの生成が始まります。十分なトレース情報を収集したら、トレー スを停止します。トレースを停止するには、次のコマンドを実行します。 $OV_BIN/ovtrccfg off 8. モニタークライアント ovtrcmon を使ってトレース出力を表示します。トレース出力は、作 成されたバイナリトレースファイルから、ovtrcmon -fromfile オプションを使って読み込 むことができます。このオプションを使うと、バイナリトレースファイルがテキストに変換 されます。変換されたトレースメッセージは直接標準出力に送ったり、トレーステキスト ファイルにリダイレクトすることができます。 バイナリトレースファイルをテキストに変換して、標準出力に出力するには、次のコマンド を実行します。 $OV_BIN/ovtrcmon -fromfile $OV_LOG/OvoTrace.trc 変換されたトレースメッセージをテキストファイルにリダイレクトするには、次のコマンド を実行します。 $OV_BIN/ovtrcmon -fromfile $OV_LOG/OvoTrace.trc > /tmp/trc.text バイナリ形式の $OV_LOG/OvoTrace.trc は、Windows のツール TraceMon で表示すること ができます。TraceMon では、追加のフィルタ処理を実行することができます。 9. トレース出力を分析しても問題が解決できなかった場合には、トレースを追加してさらに多 くのトレース情報を収集します。必要に応じて、トレース設定ファイルを変更して、アプリ ケーション、コンポーネント、カテゴリ、属性の追加 / 削除を行います。 308 付録 B OVO のトレース OVO トレースに対応したアプリケーション OVO トレースに対応したアプリケーション すべての OVO 8.x プロセスは、OpenView のトレース機能を使います。OVO トレース対応のプ ロセスは、以下の 3 つのグループに分類できます。 • サーバープロセス • エージェントプロセス • XPL Tracing を実装している下位コンポーネントにリンクしているプロセス OVO 8.x では、トレースを有効にするための事前準備は不要です。OVO コードベースに XPL Tracing を追加するか、基礎となるコンポーネントからコア機能を取り込み対応するライブラリ にリンクするだけで、事前準備は自動的に完了します。OVO コードベースに XPL Tracing を追 加した場合には、従来のトレース機能は、XPL Tracing に取って代わられます。基礎となるコン ポーネントの機能を取り込んだ場合には、これらのコンポーネントで採用されていた XPL Tracing が OVO に取り込まれます。 表 B-5 管理サーバーと管理対象ノードの OVO トレース対応アプリケーション プラットフォーム UNIX 付録 B アプリケーション名 coda ovas ovconfget codautil ovbbccb ovcoreid ctrlconfupd ovc ovcreg logdump ovcd ovcs opc_getmsg ovcert ovdeploy opc_ip_addr ovcm ovpolicy opccrpt ovconfchg opcnls ovconfd 309 OVO のトレース OVO トレースに対応したアプリケーション 表 B-6 管理サーバーの OVO トレース対応アプリケーション プラットフォーム UNIX アプリケーション名 opc opcdbck opcragt opc_dbinit opcdbinst opcservice opc_dflt_lang opcdbmsgmv opcsvcm opc_rexec opcdbpwd opcsvreg opcactm opcdispm opcsw opcagtdbcfg opcdistm opcttnsm opcagtutil opcforwm opcuiadm opcauddwn opchbp opcuiopadm opcbbcdist opchistdwn opcuiwww opccfgupld opcmsgm ovoareqhdlr opccsacm opcmsgrb ovoareqsdr opccsad opcmsgrd opcctlm opcnode 表 B-7 管理対象ノードの OVO トレース対応アプリケーション プラットフォーム UNIX 310 アプリケーション名 opcacta opcmon opcmsgi opceca opcmona opctrapi opcecaas opcmsg opcle opcmsga 付録 B OVO のトレース サーバーとエージェントのアプリケーション サーバーとエージェントのアプリケーション OVO 固有のコンポーネントと OpenView のコンポーネント 各アプリケーションでは、数多くのコンポーネントとサブコンポーネントが定義されています。 その中で最も重要なのが eaagt と opc です。表 B-8 に、サーバーとエージェントのプロセス用 に定義されている OpenView のトレースコンポーネントを示します。 表 B-8 OVO サーバーとエージェントのコンポーネント OVO コンポーネントの名前 コンポーネントの説明 eaagt イベントアクションエージェント opc 管理サーバーコントロール 表 B-9 に、製品に組み込まれている共有コンポーネント用に定義されたコンポーネントを示しま す。 表 B-9 OV 共有コンポーネント アプリケーションと、コンポーネント / サブコンポーネントの名前 BBC (Black Box Communication) bbc.cb bbc.http.output bbc.fx bbc.http.server bbc.fx.client bbc.messenger bbc.fx.server bbc.rpc bbc.http bbc.rpc.server bbc.http.client bbc.soap bbc.http.dispatcher コントロールコンポーネント 付録 B 311 OVO のトレース サーバーとエージェントのアプリケーション 表 B-9 OV 共有コンポーネント ( 続き ) アプリケーションと、コンポーネント / サブコンポーネントの名前 ctrl.action ctrl.ovc ctrl.autoshutdown ctrl.process ctrl.component ctrl.rpcclient ctrl.controller ctrl.rpcserver ctrl.main ctrl.soap ctrl.monitor ctrl.xml ctrl.monitorproxy 設定管理コンポーネント conf.cluster conf.ovconfd conf.cluster.clioutputs conf.ovpolicy conf.config conf.policy conf.message 認証サーバーアダプタ CSA-CertRequestImpl Csa-Main CSA-CertReqContainer csa.ovcmwrap CSA-Database Csa-RpcServer Csa-Log CSA-UpdateHandler セキュリティコアコンポーネント sec.cm.client sec.core.base sec.cm.server sec.core.ssl sec.core.auth クロスプラットフォームライブラリ 312 付録 B OVO のトレース サーバーとエージェントのアプリケーション 表 B-9 OV 共有コンポーネント ( 続き ) アプリケーションと、コンポーネント / サブコンポーネントの名前 xpl.cfgfile xpl.net xpl.config xpl.runtime xpl.io xpl.thread xpl.log xpl.thread.mutex xpl.msg 組み込みパフォーマンスエージェント coda coda.mesa coda.dataaccess coda.mesainstances coda.kmdatamatrix coda_mesametricrdr coda.localmesa coda.mesarea coda.logger coda.prospector 配布コンポーネント depl 付録 B 313 OVO のトレース サーバーとエージェントのアプリケーション OVO 固有のカテゴリと XPL 標準カテゴリ OVO トレース領域は、OpenView カテゴリによって指定されます。また、OVO プロセスと OVO で使われる下位 OpenView コンポーネントの両方で、多くの OpenView 標準カテゴリが使 われます。 表 B-10 に、eaagt コンポーネントと opc コンポーネント用に定義されている OpenView トレー スカテゴリを示します。 注記 これらのカテゴリは、OVO 8 より前のバージョンの OVO では、領域と呼ばれて いました。 表 B-10 OVO の opc と eaagt のサブコンポーネント サブコンポーネント名 サブコンポーネントの説明 OVO 固有のトレースカテゴリ actn アクション agtid AgentID を使う IP 独立性 alive エージェントの動作チェック api 設定 API apm クラスタ APM audit 監査 db データベース (dblib) debug デバッグ dist 分配 fct 機能 ( 制御フロー ) gui Motif ユーザーインタフェース init 初期化 ( たとえば、err init、conf init) inst インストール 314 付録 B OVO のトレース サーバーとエージェントのアプリケーション 表 B-10 OVO の opc と eaagt のサブコンポーネント ( 続き ) サブコンポーネント名 サブコンポーネントの説明 int 内部 lic ライセンス機能 memerr メモリー割り当てに関する問題 memory その他のメモリー割り当て misc その他 mon モニター msg メッセージフロー name 名前解決 nls 母国語サポート ( 文字セット変換、...) ntprf NT パフォーマンストレース ocomm Openagent 通信 pdh パフォーマンスデータヘルパー perf パフォーマンス pstate ポリシーとソース状態の変化 sec セキュリティ srvc サービス wmi LE テンプレートから WMI テンプレート への変換 汎用 XPL Tracing のカテゴリ Trace 汎用トレース Proc プロシージャトレース Operation 操作トレース Init 初期化 付録 B 315 OVO のトレース サーバーとエージェントのアプリケーション 表 B-10 OVO の opc と eaagt のサブコンポーネント ( 続き ) サブコンポーネント名 サブコンポーネントの説明 Cleanup クリーンアップ操作 Event イベント Parms パラメータ ResMgmt リソース管理 NNM の設定準備要件 OVO 8.x では、OpenView トレースを有効にするための事前準備は不要です。 NNM/ET がインストールされている場合には、多くの NNM プロセスに事前準備が必要です。 必要な手順の概要は以下のとおりです。 • ovet_ で始まる NNM/ET アプリケーションのトレース機能を有効にするには、関連する lrf ファイルを編集して、非公開の -debug 4 オプションを付ける必要があります。 • ECS Correlation Composer アプリケーションの OpenView トレース機能を有効にするには、 ECS と PMD のトレース機能を有効にしておく必要があります。 316 付録 B C HTTPS ベース通信の設定方法 付録 C 317 HTTPS ベース通信の設定方法 通信の設定パラメータ 通信の設定パラメータ HP OpenView アプリケーションは、設定パラメータを使うことで、システムごとにカスタマイ ズできます。通信ブローカの設定パラメータは bbc.ini で定義します。このファイルは次の場 所にあります。 <OVDataDir>/conf/confpar/bbc.ini 通信に使うパラメータは、320 ページの「HTTPS 通信の設定ファイル」で説明してあります。 通信ブローカの名前空間には bbc.cb を使います。これとは別に、bbc.cb.ports という形式も 使えます。この形式は、すべての管理対象ノードで通信ブローカのポート番号を指定する場合に 使います。この形式を使えば、複数の通信ブローカにそれぞれ別のポート番号を割り当てて使う ことができます。この設定の方が、名前空間 bbc.cb で定義されている SERVER_PORT パラメー タより優先します。 注記 名前空間は一意の URL (Uniform Resource Locator) です。 次の URL はその例です。 www.anyco.com、abc.xyz 名前空間は非常に単純であるため、XML (Extensible Markup Language) 文書の 中で要素名や属性名を名前空間 (URL) に関連付けることで、その要素や属性を簡 単に修飾することができます。 ネットワークにおける通信ブローカのポート番号は、名前空間 bbc.cb.ports 内で名前と値の ペアを定義することによって識別できるようになります。名前と値のペアは次の構文で定義しま す。 NAME=<host>:<port> または NAME=<domain>:<port> ホスト / ポートまたドメイン / ポートの組合せは、1 行に何個も定義できます。ただし、複数個 定義する場合は、それぞれをコンマまたはセミコロンで区切ります。 ドメインは *.domainname の形式で定義します。このドメインに参加している場合は、通常、 この指定されたポートが使われます。エントリーは、定義が詳細なほど優先されます。名前には この名前空間内で一意なものを指定する必要がありますが、名前 / 値の対で名前の部分は無視さ れます。エントリーの例を次に示します。 • HP=jago.sales.hp.com:1383, *.sales.hp.com:1384; *.hp.com:1385 • SUN= *.sun.com:1500 318 付録 C HTTPS ベース通信の設定方法 通信の設定パラメータ この例の定義に従えば、ホスト jago.sales.hp.com で動作する通信ブローカはポート番号 1383 を使います。 また、ドメイン sales.hp.com 内の他のすべてのホストは、ポート番号 1384 を使います。そし て、ドメイン hp.com 内の他のすべてのホストは、ポート番号 1385 を使います。一方、ドメイ ン sun.com 内のホストは、ポート番号 1500 を使います。他のすべてのホストは、デフォルトの ポート番号 383 を使います。 付録 C 319 HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル HTTPS 通信の設定ファイル bbc.ini(4) 名前 bbc.ini – HTTPS 通信用の設定ファイル 説明 bbc.ini は HTTPS 通信を使用する OVO 管理対象ノードの設定ファイルで、次の場所に格納さ れています。 /<OVDataDir>/conf/confpar 設定ファイルは、名前空間の見出しで始まるセクションにそれぞれの名前空間用の設定が記述さ れる構成を持ちます。bbc.ini ファイルには以下に示す名前空間が含まれます。各名前空間で可 能な設定とデフォルトの設定を説明します。 bbc.cb 通信ブローカの名前空間です。以下のパラメータが使用できます。 string CHROOT_PATH = <path> UNIX システムでのみ使用されます。UNIX システムでは chroot によるパス が ovbbccb プロセスによって使用されます。このパラメータを設定すると、 ovbbccb プロセスは実効ルートとしてこのパスを使用し、それによってアク セスをファイルシステムの限定された場所に制限します。デフォルトは、 <OvDataDir> です。このパラメータは、MS Windows と Sun Solaris 7 シス テムでは無視されます。chroot の詳細は、chroot のマンページを参照して ください。 bool SSL_REQUIRED = false このパラメータに true を設定すると、通信ブローカは、通信ブローカへのす べての管理する接続に対して、SSL 認証を要求します。このパラメータに false を設定すると、通信ブローカへの非 SSL 接続が許可されます。 bool LOCAL_CONTROL_ONLY = false このパラメータに true を設定すると、通信ブローカは start や stop といっ た管理コマンドの実行をローカル接続だけに許可します。 320 付録 C HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル bool LOG_SERVER_ACCESS = false このパラメータに true を設定すると、サーバーへのすべてのアクセスはログ に記録されます。送信側の IP アドレス、リクエストされた HTTP アドレス、 リクエストされた HTTP メソッド、およびレスポンスステータスが記録され ます。 int SERVER_PORT = 383 デフォルトではこのポートには 383 が設定されます。このポートは通信ブ ローカがリクエストを受信するために使用します。名前空間 [bbc.cb.ports] でポートが設定されている場合には、このパラメータよりも優先されます。 string SERVER_BIND_ADDR = <address> サーバーポート用のバインドアドレスです。デフォルトは INADDR_ANY です。 bbc.cb.ports Communication-Broker-Port の名前空間です。このパラメータによって、ホスト内のアプリ ケーションからアクセスされる、ネットワーク内のすべての通信ブローカ用のポートのリストを 定義します。デフォルトのポート番号は、すべての通信ブローカに対し 383 です。以下のパラ メータを使用できます。 string PORTS この設定パラメータはすべての管理対象ノードで同一に設定する必要がありま す。特定のホストで通信ブローカのポート番号を変更するには、このパラメー タに、たとえば、name.hp.com:8000 のように、ホスト名を追加します。ア スタリスク「*」をワイルドカードとして使って、たとえば、*.hp.com:8001 のようにネットワーク全体を指すことができます。また、次の例のように、ホ スト名のリストでは、項目を区切るためにコンマ「,」またはセミコロン「;」 を使います。 name.hp.com:8000, *.hp.com:8001 これらの例では、「hp.com」で終わるすべてのホスト名は、BBC 通信ブロー カがポート 8001 を使うように構成しています。ただし、ホスト「name」だ けは、ポート 8000 を使います。それ以外のホストはすべてデフォルトのポー ト 383 を使います。 IP アドレスとワイルドカードであるアスタリスク (*) を使って、次のように、 ホストを指定することもできます。 15.0.0.1:8002, 15.*.*.*:8003 付録 C 321 HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル bbc.http 管理対象ノード固有の設定を行うための HTTP 名前空間です。アプリケーション固有の設定に ついては、bbc.http.ext.* の項を参照してください。アプリケーション固有の bbc.http.ext.* の設定は、bbc.http の管理対象ノード固有の設定に優先することに注意してください。以下の パラメータを使うことができます。 int SERVER_PORT = 0 デフォルトではこのポートは 0 に設定されます。0 に設定されている場合に は、オペレーティングシステムは最初に使用可能なポート番号を割り当てま す。これはアプリケーション <appName> がリクエストを受信するために使う ポートです。このパラメータを bbc.http.ext.<appName> 名前空間で明示的 に設定することが、デフォルトとは異なるアプリケーション固有の値を設定す ることになることに注意してください。 string SERVER_BIND_ADDR = <address> サーバーポート用のバインドアドレスです。デフォルトは localhost です。 string CLIENT_PORT = 0 クライアントリクエストに対するバインドポートです。たとえば、 10000-10020 のようにポート範囲を指定することもできます。これは、リク エストの発信元のバインドポートです。デフォルトのポートは 0 です。オペ レーティングシステムは最初に使用可能なポートを割り当てます。 MS Windows システムは再使用のためのポートを即座に解放しないことに注 意してください。したがって、MS Windows システムではこのパラメータは 範囲を広く設定する必要があります。 string CLIENT_BIND_ADDR = <address> クライアントポートに対するバインドアドレスです。デフォルトは INADDR_ANY です。 bool LOG_SERVER_ACCESS = false このパラメータに true を設定すると、サーバーへのすべてのアクセスではロ グが作成され、送信側の IP アドレス、リクエストされた HTTP アドレス、リ クエストされた HTTP メソッド、およびレスポンスステータスが記録されま す。 string PROXY 指定したホスト名で使われるプロキシとポートを定義します。 322 付録 C HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル 形式 : proxy:port +(a)-(b);proxy2:port2+(a)-(b); ...; a: コンマまたはセミコロンで区切られたホスト名のリストであり、ここで指定 されたプロキシが使われます。 b: コンマまたはセミコロンで区切られたホスト名のリストであり、このホスト 名ではここで指定されたプロキシを使いません。 最初に照合したプロキシが選択されます。 ホスト名の代わりに IP アドレスを使うこともできるので、15.*.*.* や 15:*:*:*:*:*:*:* も有効な表現です。ただし、ドットやコロンの数は正確 に指定してください。IP バージョン 6 のサポートは現在は未提供ですが、将 来は提供する予定です。 bbc.fx 管理対象ノード固有の設定を行うための BBC File-Transfer の名前空間です。アプリケーション 固有の設定については、bbc.fx.ext.* の項を参照してください。アプリケーション固有の bbc.fx.ext.* の設定は、bbc.fx の管理対象ノード固有の設定に優先することに注意してくだ さい。以下のパラメータを使うことができます。 int FX_MAX_RETRIES = 3 オブジェクトを正常に転送するために試みられるリトライの最大数です。 string FX_BASE_DIRECTORY = <directory path> ファイルがアップロードまたはダウンロードされるベースディレクトリです。 デフォルトのディレクトリは <OvDataDir> です。 string FX_TEMP_DIRECTORY = <directory path> アップロードするファイルをアップロードしている最中に一時的に保存してお くための一時的なディレクトリです。アップロードが完了すれば、ファイルは <directory path> に移されます。デフォルトのディレクトリは <OvDataDir>/tmp/bbc/fx です。 string FX_UPLOAD_DIRECTORY = <directory path> ファイルをアップロードする対象のディレクトリです。デフォルトはベース ディレクトリです。アップロードする対象のディレクトリは、この設定パラ メータによって書き換えることができます。デフォルトのディレクトリは FX_BASE_DIRECTORY です。 付録 C 323 HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル bbc.snf 管理対象ノード固有の設定を行うための BBC Store-and-Forward の名前空間です。アプリケー ション固有の設定については、bbc.snf.ext.* の項を参照してください。アプリケーション固有の bbc.snf.ext.* の設定は、bbc.snf の管理対象ノード固有の設定に優先することに注意してく ださい。以下のパラメータを使うことができます。 string BUFFER_PATH = <path> バッファー対象のリクエストが格納される SNF パスを指定します。デフォル トは次のとおりです。 <OVDataDir>/datafiles/bbc/snf/<appName> int MAX_FILE_BUFFER_SIZE = 0 バッファーとしてハードディスクを使うことが許されるディスク容量の最大値 を指定します。 0 = 制限なし bbc.http.ext.* HTTP External-Communication の名前空間は、bbc.http.ext.<compID>.<appName> と bbc.http.ext.<appName> です。 これはアプリケーション固有の Dynamic External-Communication の名前空間です。アプリ ケーション固有の bbc.http.ext.* の設定は、bbc.http の管理対象ノード固有の設定に優先す ることに注意してください。 bbc.http.ext.* 名前空間で使うことのできるパラメータのリストについては、bbc.http の項 を参照してください。 bbc.fx.ext.* 外部コンポーネントとアプリケーション固有の設定を行うための Dynamic File-Transfer (fx) 名 前空間です。アプリケーション固有の bbc.fx.ext.* の設定は、bbc.fx の管理対象ノード固有 の設定に優先することに注意してください。 File Transfer External の名前空間は、 bbc.fx.ext.<compID>.<appName> と bbc.fx.ext.<appName> です。 bbc.fx.ext.* 名前空間で使うことのできるパラメータのリストについては、bbc.fx の項を参 照してください。 324 付録 C HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル bbc.snf.ext.* 外部コンポーネントとアプリケーション固有の設定を行うための Dynamic Store-and-Forward (snf) 名前空間です。アプリケーション固有の bbc.snf.ext.* の設定は、bbc.snf の管理対象 ノード固有の設定に優先することに注意してください。 Store and Forward External の名前空間は、 bbc.snf.ext.<compID>.<appName> と bbc.snf.ext.<appName> です。 bbc.snf.ext.* 名前空間で使うことのできるパラメータのリストについては、bbc.snf の項を 参照してください。 著者 bbc.ini は、HP で開発されました。 例 PROXY=web-proxy:8088-(*.hp.com)+(*.a.hp.com;*) プロキシ web-proxy は、たとえば www.hp.com のように *.hp.com に一致するホストを除き、 ポート 8088 を持つすべてのサーバー (*) で使われます。ホスト名が merlin.a.hp.com のよう に *.a.hp.com に一致する場合には、プロキシサーバーが使われます。 参照 ovbbccb (1) 付録 C 325 HTTPS ベース通信の設定方法 HTTPS 通信の設定ファイル 326 付録 C D HTTPS 通信のアーキテクチャ 付録 D 327 HTTPS 通信のアーキテクチャ 通信ブローカのアーキテクチャ 通信ブローカのアーキテクチャ 通信ブローカはローカル管理対象ノードのプロキシとして動作し、その管理対象ノード上のすべ てのアプリケーションに対する中心的な入口となります。データを受信するアプリケーション は、通信ブローカにそのアドレスを登録します。登録の際には、そのアプリケーションがデータ の受信に使うポートの番号、プロトコル、バインドアドレス、およびベースパスを指定します。 他のアプリケーションは、ローカルにあるかリモートにあるかに関係なく、そのアプリケーショ ンの場所を通信ブローカに照会したり、通信ブローカをプロキシとして使って登録済みアプリ ケーションにリクエストを転送したりします。通信ブローカは標準の OpenView 設定ファイル からその設定データをロードします。 通信ブローカには次の特長があります。 • 通信ブローカを使うことにより、管理対象ノードの通信を単一ポートで制御することができ ます。つまり、この管理対象ノードの登録済みサーバーに対するリクエストはすべて、通信 ブローカを通して送信先へ転送されます。このとき、通信ブローカは、HTTP プロキシが HTTP リクエストを転送する場合と同様に、登録済みサーバーへ透過的にリクエストを転送 します。通信ブローカのデフォルトポートは 383 ですが、変更することも可能です。 • UNIX システムでは、通信ブローカを起動する時に chroot を実行することで、セキュリティ をさらに強化することができます。具体的には、chroot を実行してルートディレクトリを 特定のパスに設定し、ファイルシステムの中で通信ブローカプロセスから見える領域を制限 します。そうすることで、ハッカーに見える部分を減らすことができます。 • UNIX システムでは、通信ブローカに 1024 より大きいポート番号を使うことで、非 root のプ ロセスとして実行することができます。 • UNIX システムでは、通信ブローカを設定することで、ポートを開設するときにのみ root で 動作させ、その他の操作では非 root で動作させる、ということが可能です。 • 通信ブローカは、次のように実装できます。 — デーモンとして動作させる (UNIX システムの場合 ) — Windows NT のサービスとしてインストールする (Windows NT システムの場合 ) • 通信ブローカの制御コマンドをローカル管理対象ノードでだけ実行できるように制限するこ とができます。 • 通信ブローカは、ネットワークを介して送信するデータを SSL で暗号化します。 328 付録 D HTTPS 通信のアーキテクチャ 通信ブローカのアーキテクチャ • 通信ブローカでは、保証された送信元 ID と受信先 ID を使って、SSL 認証を実行します。 図 D-1 通信ブローカのアーキテクチャ 通信ブローカには、その管理対象ノードで着信データを受け入れるためのポートとして、少なく とも 1 つのポートを設定します。このポートは、管理対象ノードを識別できるようにするために OpenView ID (OVCoreID) と関連付けられます。高可用性管理対象ノードでは、通信ブローカで 複数のポートを使えるように設定することができます。各ポートには、お互いに異なる ID が割 り当てられます。SSL を有効にすると、このポートに X509 証明書が設定されます。アプリケー ションは、この証明書によって、メッセージの送信元および受信先の本人確認を行うことができ ます。 通信ブローカにアプリケーションを登録すると、その管理対象ノードで通信ブローカがオープン しているすべての受信ポートに自動的に登録されます。これらのポートは、通信ブローカの起動 と同時にデフォルトの名前空間 bbc.cb と結び付けられ、自動的にアクティブとなります。それ 以外のポートは、起動後に動的にアクティブまたは非アクティブになります。詳細は、通信ブ ローカのコマンド行インタフェースのパラメータを参照してください。 付録 D 329 HTTPS 通信のアーキテクチャ 通信ブローカのアーキテクチャ 330 付録 D E ファイアウォールと HTTPS 通信 付録 E 331 ファイアウォールと HTTPS 通信 ファイアウォールの仕組み ファイアウォールの仕組み ファイアウォールは、ネットワークに接続された企業内の各システムを外部の攻撃から保護する ために使います。ファイアウォールを置く場所は、企業のプライベートなイントラネットとイン ターネットを分離する位置にするのが普通です。レベルの異なる複数のファイアウォールを実装 することもよく行われます。この方法は、信頼性のそれほど高くない環境からのアクセスを制限 して、高い信頼性の求められている環境を保護するという目的で使われます。たとえば、一般に 研究部門や財務部門はセキュリティの最も高い環境に閉じ込める必要がありますが、反対に直販 部門は外部からアクセスしやすくする必要があります。一方、イントラネット内のシステムは、 ある条件の下で、ファイアウォールの外側にあるインターネット上のシステム、たとえば DMZ ( インターネット上の非武装地帯 ) にあるシステムへアクセスすることが許されます。またファイ アウォールによって、インターネット上のシステムからファイアウォールの内側にあるプライ ベートなイントラネットにアクセスすることが許可される場合もあります。いずれの場合でも、 このような制御を行うには、ファイアウォールを設定する必要があります。 HP OpenView の HTTPS 通信にはそのための機能があり、ファイアウォールの管理者は、HP OpenView アプリケーションを設定して、ファイアウォール経由で通信できるようにすることが できます。 イントラネットからインターネット上のアプリケーションへアクセスする - HTTP プロキシを使う方法 システムによっては、プライベートなイントラネットにある HTTPS ベースの HP OpenView ア プリケーションから、ファイアウォールの外側にあるパブリックインターネットまたは非武装地 帯 (DMZ) 上のアプリケーションにアクセスすることが必要な場合もあります。この場合、 OpenView アプリケーションがトランザクションの開始側となり、インターネット上のアクセス 先サーバーアプリケーションに対してクライアントとして動作します。サーバーアプリケーショ ンは、HTTP サーバーとして動作する別の OpenView アプリケーションであることも、まった く別の HTTP サーバーアプリケーションであることもあります。この形態の一般的な例は、プ ライベートなイントラネットから Web ブラウザを使ってインターネット上の Web サーバーにア クセスするパターンです。このパターンでは、イントラネット内の Web ブラウザがクライアン トになります。この場合は、ブラウザに HTTP プロキシを設定し、リクエストをファイア ウォールの外側へ送信してインターネット上の Web サーバーにアクセスできるようにする必要 があります。Web ブラウザがファイアウォールを直接越えようとしても、ファイアウォールで 許可が下りないので、ファイアウォールは、HTTP プロキシがファイアウォールを越えられるよ うに設定します。これと同様に、HTTP プロキシを使ってファイアウォールを越えられるよう に、HP OpenView の HTTPS 通信アプリケーションを設定することもできます。 332 付録 E ファイアウォールと HTTPS 通信 ファイアウォールの仕組み イントラネットからインターネット上のアプリケーションへアクセスする - HTTP プロキシを使わない方法 プライベートなイントラネット内にある HTTPS ベースの HP OpenView アプリケーションに よっては、ファイアウォールの外側にあるインターネット上のアプリケーションに対して、 HTTP プロキシを使わないでアクセスできる必要がある場合もあります。この場合、プライベー トなイントラネット上の HP OpenView アプリケーションがファイアウォールを越えられるよう に、ファイアウォールを設定する必要があります。このパターンは、HTTP プロキシがファイア ウォールを越えられるように設定する方法と非常に似ています。つまり、ファイアウォールの管 理者は、トランザクション用の送信元および送信先ポートを設定して、ファイアウォールを越え る通信を制限します。送信元ポートを指定する設定パラメータは CLIENT_PORT ですが、この設 定パラメータは、トランザクションを開始する時に HP OpenView アプリケーションから設定す ることができます。イントラネット上の HTTP サーバーにアクセスするときは、URL (Uniform Resource Locator または Identifiers) で目的とする送信先ポートを指定します。このポートが送 信先ノードの通信ブローカのポートになります。 インターネット上の OpenView アプリケーションからプライベートなイントラ ネット内のアプリケーションへアクセスする インターネット上にある HTTPS ベースの HP OpenView アプリケーションから、プライベート なイントラネット上のアプリケーションにアクセスしたい場合があります。このような外部から のアクセスはファイアウォールを通す必要があり、通常は、組織の判断でのみ許可します。また 許可するといっても、ファイアウォールの管理者によってそのアクセスが非常に制限されます。 アクセスを開始したアプリケーション、すなわちクライアントアプリケーションは、HTTP プロ キシを使ってファイアウォールを越えるか、または直接、ファイアウォールを越えます。HTTP プロキシはファイアウォールの外側にあるので、ファイアウォールを設定して HTTP プロキシ が越えられるようにする必要があります。プロキシがカスケード状に配置されている環境では、 HTTP プロキシからプライベートなイントラネット上のサーバーへのアクセスは、直接行われる かまたは他のプロキシを経由して行われます。いずれの場合でも、HTTPS 通信を行う HP OpenView のクライアントアプリケーションは、同じように設定します。ただし、HTTP プロキ シには別の設定が必要です。 インターネット上の OpenView アプリケーションからプライベートなイントラ ネット内のアプリケーションへアクセスする - HTTP プロキシを使わない方法 インターネット上にある HTTPS ベースの HP OpenView アプリケーションから、HTTP プロキ シを使わないで、プライベートなイントラネット上のアプリケーションにアクセスしたい場合が あります。このようなケースは、ファイアウォールを設定して、クライアントとなる HP 付録 E 333 ファイアウォールと HTTPS 通信 ファイアウォールの仕組み OpenView アプリケーションがファイアウォールを越えられるようにする必要があります。ただ しその場合でも、ファイアウォール管理者がそのトランザクション用に送信元ポートと送信先 ポートを設定して、ファイアウォールを越える通信を制限することができます。送信元ポートを 指定する設定パラメータは CLIENT_PORT ですが、この設定パラメータは、トランザクションを 開始する時に HP OpenView アプリケーションから設定することができます。イントラネット上 の HTTP サーバーにアクセスするときは、URL で目的とする送信先ポートを指定します。この ポートが送信先ノードの通信ブローカのポートになります。 送信先サーバーを通信ブローカに登録しておけば、送信先ポートの番号は常に通信ブローカの ポート番号になります。このようにすれば、ファイアウォールの設定が簡単になります。管理者 がファイアウォールに設定しなければならない送信先ポートの数が大幅に減るからです。 ファイアウォールを使う OVO の設定については、『HP OpenView Operations Firewall Concepts and Configuration Guide』を参照してください。 334 付録 E F OVO 8 クイックスタートガイド 付録 F 335 OVO 8 クイックスタートガイド OVO サーバーのコンポーネントとプロセス OVO サーバーのコンポーネントとプロセス OVO サーバーでは、次のコンポーネントが、RPC クライアントとして HTTPS エージェントと 通信します。 • ovoareqsdr - アクションリクエストの送信とハートビートポーリングを実行します。 • opcragt - リモート制御の実行と一次マネージャの切替えを実行します。 • opcbbcdist - HTTPS ノードへの設定情報の配布を実行します。リモートエージェントを インストールするときは、この配布機能が使われます。 また、次のコンポーネントが、RPC サーバーとして HTTPS ベースの通信を行います。 • ovbbccb ( 通信ブローカ ) • opcmsgrb (HTTPS エージェント用のメッセージレシーバ ) • ovcs ( セキュリティ証明書サーバー ) OVO 管理サーバーの新しいプロセス OVO 管理サーバーにはいくつかの新しいプロセスが導入されました。opcsv -status コマンド を実行すると、Oracle と NNM のプロセスを除く OVO 関連のすべてのプロセスが表示されま す。このコマンドによって表示される新しいプロセスは、以下のとおりです。 • opcbbcdist - HTTPS ノードへ設定情報を配布します。DCE ノードの opcdistm に類似し ています。両方のプロセスとも opcctlm によって制御されます。 • opcmsgrb - HTTPS ノード用のメッセージレシーバです。DCE ノードの opcmsgrd に類似 しています。両方のプロセスとも ovoareqsdr によって制御されます。 • ovcd - 制御デーモンです。自律的に動作します。 • ovbbccb - 通信ブローカです。ovcd によって制御されます。 • ovconfd - 設定と配布を実行するプロセスです。ovcd によって制御されます。 • ovcs - 証明書リクエストを処理するためのサーバー拡張機能です。ovcd によって制御され ます。 • opccsad - OVO 証明書サーバーアダプタです。opcct(lm) によって制御されます。 • ovtrcd - OVO のトレースサーバーです。 336 付録 F OVO 8 クイックスタートガイド OVO サーバーのコンポーネントとプロセス ovstop ovoacomm を呼び出しても、OpenView のコアプロセスを停止することはできません。 ovcs サーバー拡張機能も同様です。OpenView のすべてのコアプロセスを停止するには、次の コマンドを実行する必要があります。 ovstop ovctrl OpenView のすべてのコアプロセスを終了させるには、次のコマンドを実行します。 ovc -kill このコマンドを実行すると、管理サーバーノードの OVO エージェントも停止します。 付録 F 337 OVO 8 クイックスタートガイド OVO 8 の新しいコマンド OVO 8 の新しいコマンド OVO 8 の新しいコマンドと OVO 7.1 のコマンドとの対応の概要を、表 F-1 に示します。各コマ ンドの詳細については、コマンドのマンページを参照してください。 OVO 8 の最も重要なコマンドは、42 ページの「OVO の HTTPS 通信管理コマンド」を参照して ください。 注記 表 F-1 opcagt や opctemplate などのラッパーユティリティでは、DCE ベースの opcxxx コマンドとは異なる表示形式で出力されます。 OVO 7.x と OVO 8 とのコマンド対応表 OVO 7.x コマンド OVO 8 コマンド opcagt ovc -help ovc -help -start ovc -start AGENT ovc -restart AGENT -stop ovc -stop -status ovc -status -kill ovc -kill -trace ovc -trace -version ovc -version opcragt ovdeploy、ovconfpar -agent_version ovdeploy -inv -host <node> -get_config_var ovconfpar -get -set_config_var ovconfpar -set 338 付録 F OVO 8 クイックスタートガイド OVO 8 の新しいコマンド 表 F-1 OVO 7.x と OVO 8 とのコマンド対応表 ( 続き ) OVO 7.x コマンド OVO 8 コマンド opctemplate ovpolicy -help ovpolicy -help -l ovpolicy -list -e ovpolicy -enable -d ovpolicy -disable opcsv ovc -help ovc -help -start ovc -start SERVER -restart SERVER -stop ovc -stop -status ovc -status -trace ovc -trace opctranm ovdeploy (HTTPS エージェント ) opctranm (DCE エージェント ) 付録 F 339 OVO 8 クイックスタートガイド HTTPS エージェントと DCE エージェントの比較 HTTPS エージェントと DCE エージェントの比較 設定情報の配布 HTTPS エージェントへ設定情報を配布する方法は、DCE ベースのノードの場合と少し違いま す。その違いは、次のとおりです。 • HTTPS エージェントではポリシーを使います。ポリシーは、DCE ベースエージェントで使 われていたテンプレートを改良し、置き換えるものです。 HTTPS エージェントのポリシーは OVO 管理サーバーがプッシュします。DCE エージェン トのテンプレートは、OVO 分配エージェントがプルします。OVO の管理サーバーシステム が高信頼性環境にある場合、ファイアウォールを通過するポリシーの配布は出力方向 ( ファ イアウォールの内から外への方向 ) だけが可能です。 • インストルメンテーションとは、HTTPS エージェントでアクション、コマンド、およびモ ニターを総称して使う用語です。すべてのスクリプトとバイナリは、共通のインストルメン テーション ディレクトリに格納されます。 • HTTPS エージェントに対しては、nodeinfo ファイルと opcinfo ファイルに替わって、 HTTPS エージェント用の設定パラメータスキーマが使われます。このパラメータスキーマ では、ポリシーのタイプが名前と値の対で定義されます。 • HTTPS エージェント用の mgrconf ファイルは、役割モデルベースのセキュリティ認証メカニ ズムを使って拡張されています。この拡張により、複数の OVO 管理サーバーからポリシー とインストルメンテーションの配布ができるようになっています。 HTTPS エージェントの設定管理の詳細は、95 ページの「HTTPS ノードへの設定情報の配布」 を参照してください。 340 付録 F OVO 8 クイックスタートガイド HTTPS エージェントと DCE エージェントの比較 分配マネージャ opcbbcdist は、OVO 管理サーバーと HTTPS エージェントの間を結ぶ設定管理アダプタです。 その主な機能は、次のとおりです。 • 既存のテンプレートをポリシーに変換する • ECS テンプレートとその関連サーキットをポリシーに変換する • ノードのプロパティを、HTTPS ノードで使えるフォーマットに変換する。この機能で DCE ノードの nodeinfo ファイルが置き換えられます。 opcbbcdist は OVO 管理サーバーから出されるリクエストだけを受け付けます。OVO 管理サー バーと DCE エージェントの間にある設定管理アダプタ opcdistm は、DCE 管理対象ノードの分 配エージェント (opcdista) から出されるリクエストを受け付けます。 複数の並列設定サーバー HTTPS ノードでは、ポリシー所有者という概念を使うことで、複数の並列設定サーバーがサ ポートされています。 リソース要件の比較 表 F-2 OVO エージェントに必要なリソース 説明 HTTPS エージェント DCE エージェント RAM ☺ ☺ CPU ☺ ☺ ディスク 注記 付録 F ☺ HTTPS エージェントに必要な管理対象ノードのリソース効率は、インストール されている新しい OpenView 製品の数が多いほど高くなります。新しい OpenView 製品は OV の基本インフラストラクチャを共有するように設計されて いるので、従来の手法で設計されたソフトウェアに比べると、かなり少ないソフ トウェアしかインストール、実行する必要がありません。 341 OVO 8 クイックスタートガイド HTTPS エージェントと DCE エージェントの比較 エージェントのパフォーマンス比較 表 F-3 OVO エージェントのパフォーマンス比較 説明 HTTPS エージェント DCE エージェント OVO エージェントバイナリ のインストール フル - フル - ☺ パッチ - ☺ パッチ - ポリシーとインストルメン テーションの配布 フル - フル - ☺ 差分 - ☺ 差分 ☺ OVO メッセージのスルー プット エージェント用に使うコマンドの比較 表 F-4 OVO エージェント用に使うコマンドの比較 説明 HTTPS エージェント OVO エージェントの起動、 停止、ステータス確認、およ び制御 ovc ポリシー / テンプレート管理 ovpolicy DCE エージェント opcagt opcagt ( ラッパー ) opctemplate opctemplate ( ラッパー ) ローカル設定 OVO サーバーからのリモー トエージェント制御 342 ovconfget nodeinfo ファイル ovconfchg opcinfo ファイル 設定パラメータスキーマ ( 名前と値のペアでポリ シータイプを定義 ) 設定ファイル opcragt opcragt ovconfget/set 付録 F OVO 8 クイックスタートガイド HTTPS エージェントと DCE エージェントの比較 エージェントプロセスの比較 表 F-5 OVO エージェントプロセスの比較 説明 HTTPS エージェント DCE エージェント OVO エージェントの起動、 停止、および制御 ovcd opcctla ポリシーとインストルメン テーションの配布 ovconfd opcdista 通信 ovbbccb llbserver HTTPS-RPC サーバーで、 設定可能なポートを 1 つ使 用。デフォルトは 383。 固定ポート 135 上で dced、 rpcd、または llbd を使用 ovcs 証明書サーバー 該当なし セキュリティ opccsad 証明書アダプタ ovcd 証明書クライアント HTTPS エージェント設定ア ダプタ 付録 F opcbbcdist 該当なし 343 OVO 8 クイックスタートガイド HTTPS エージェントと DCE エージェントの比較 表 F-5 OVO エージェントプロセスの比較 ( 続き ) 説明 HTTPS エージェント DCE エージェント メッセージエージェント opcmsga opcmsga モニターエージェント opcmona opcmona 組み込みパフォーマンスコン ポーネント coda coda ログファイルエンキャプス レータ opcle opcle メッセージインターセプタ opcmsgi opcmsgi SNMP トラップインターセ プタ opctrapi opctrapi opcevti (Windows) イベント相関処理 opceca opceca ECS 注釈サーバー opcecaas opcecaas トラブルシューティングの比較 表 F-6 OVO エージェントのトラブルシューティングの比較 説明 トレース HTTPS エージェント ovtrcadm1 ovtrcmon ovtrcadm ovtrccfg ovtrcd DCE エージェント opcagt -trace トレース機能はさらに強力 になりました。ただし機能 が増えた分、使用法が複雑 になっています。 1. HTTPS エージェントのトレース機能の詳細は、専用の文書『HP OpenView Operations - Tracing Concepts and User's Guide』を参照してください。 344 付録 F 索引 A E Adobe Portable Document Format -参照 PDF ドキュメント APM, 162 概念 , 164 Application Package Monitoring 設定 , 170 ユーティリティ , 176 ECS Designer ドキュメント , 18 Event Correlation Service Designer -参照 ECS Designer ドキュメント B G GUI ドキュメント Java, 22 ‐ 23 Motif, 21 ‐ 22 bbc.ini 設定ファイル , 320 bbcutil, 42 C ClAw, 162 概念 , 164 Cluster Awareness FAQ, 197 HARG の監視 , 186 カスタマイズ , 177 クラスタアプリケーションのデフォルトの状 態 , 177 最初のメッセージの取得 , 180 設定 , 170 ユーティリティ , 176 D DCE エージェント HTTPS からの移行 , 118 HTTPS への移行 , 116 代行ユーザーの概念 , 89 DCE エージェントとの比較 , 340 コマンド , 342 設定情報の配布 , 340 トラブルシューティング , 344 パフォーマンス , 342 複数の並列設定サーバー , 341 プロセス , 343 分配マネージャ , 341 リソース要件 , 341 Developer's Toolkit ドキュメント , 18 DHCP HTTPS エージェント , 212 NNM の同期 , 214 opcnode 変数 , 213 エージェントの管理 , 215 変数 , 213 索引 F FAQ 仮想ノード , 197 H HARG の監視 仮想ノード , 186 HA リソースグループ , 152 HP OpenView Event Correlation Service Designer -参照 ECS Designer ドキュメ ント HTTPS エージェント DCE エージェントとの比較 , 340 コマンド , 342 設定情報の配布 , 340 トラブルシューティング , 344 パフォーマンス , 342 複数の並列設定サーバー , 341 プロセス , 343 分配マネージャ , 341 リソース要件 , 341 DHCP, 212 NNM の同期 , 214 opcnode 変数 , 213 管理 , 215 変数 , 213 アーキテクチャ , 31 インストルメンテーション管理 , 96 インターネット通信 , 333 クイックスタート情報 , 336 コマンド , 342 コンポーネント , 31 差分分配 , 99 サポートされているプラットフォーム , 32 証明書のトラブルシューティング , 264, 274 設定情報の配布 , 95 345 索引 設定のプッシュ , 98 代行ユーザー , 77 DCE エージェントとの比較 , 89 sudo, 87 アップグレード , 86 インストール , 80 エージェントプロファイル , 84 管理サーバーの設定 , 82 準備 , 79 制限 , 78 デフォルトポートの変更 , 83 パッチ , 86 通信のトラブルシューティング , 255, 257, 269 ディレクトリ構造 , 33 トラブルシューティング , 344 認証のトラブルシューティング , 264 ネットワークのトラブルシューティング , 255 ハートビートポーリング , 101 CPU の負荷の軽減 , 101 ネットワークの負荷の軽減 , 101 パフォーマンス , 342 ファイアウォールとプロキシ , 332 ファイアウォールの仕組み , 332 複数の並列設定サーバー , 232 設定 , 233 同一のポリシー , 235 ポリシー , 234 プロセス , 343 分配マネージャ , 97 ポリシー所有者の表示 , 239 ポリシーの再配置 , 240 ポリシーの削除 , 240 リモート制御 , 102 HTTPS 通信 概念 , 46 コマンド , 42 bbcutil, 42 opccsa, 44 opccsacm, 44 ovc, 42 ovcert, 44 ovconfchg, 42 ovconfget, 42 ovcoreid, 42 ovpolicy, 43 利点 , 29, 47 安全 , 48 346 オープン , 49 スケーラブル , 50 ファイアウォールとの親和性 , 47 HTTPS ノード DCE からの移行 , 116 DCE への移行 , 118 IP アドレスの変更 , 217 自動的な , 223 手作業 , 219 Windows インストールサーバー , 113 Windows へのインストール , 111 インストール コピーイメージを使った , 130 ソフトウェア , 105 手作業 , 120 パッケージファイルから手作業で , 121 プロキシの背後で行う手作業 , 208 管理サーバーでのプロキシ , 210 共通設定 , 110 固有の OvCoreId, 111 削除 エージェントソフトウェアを自動的に , 133 エージェントソフトウェアを手作業で , 133 問題 , 133 指定したノードへ証明書をマップ , 143 すべての不明なのを選択 , 143 制御方法 , 94 設定 , 104 登録ノードへ追加 , 143 名前解決 , 225 変数 , 242 ホスト名の変更 , 217 自動的な , 223 手作業 , 219 ポリシー管理 , 95 I IP アドレス , 137 自動的な変更 , 223 手作業による変更 , 219 変更 , 217 M MoM アップグレード , 230 以前のバージョンとの互換性 , 229 索引 索引 エージェントのポリシー所有者の表示 , 239 概要 , 228 合併 , 59 証明書サーバーの共有 , 66 設定 複数の並列サーバー , 233 設定サーバー 同一のポリシー , 235 ポリシー , 234 ポリシーの再配置 , 240 ポリシーの削除 , 240 複数の並列設定サーバー , 232 用語 , 228 Motif GUI ドキュメント , 21 ‐ 22 N NNM DHCP による同期 , 214 NNM の設定準備 , 316 O opc_activate, 128 opccsa, 44 opccsacm, 44 opcinfo, 242 opc_inst, 128 opcnode DHCP 変数 , 213 opcsvinfo, 242 OpenView アプリケーション , 311 OpenView Event Correlation Service Designer -参照 ECS Designer ドキュメ ント ovc, 42 ovcert, 44 ovconfget, 42 ovcoreid, 42, 137 OvDataDir, 33 OvInstallDir, 33 OVO アプリケーション , 311 プロセスのトレース , 303 OVO 管理サーバー 証明書のトラブルシューティング , 274 通信のトラブルシューティング , 269 OVO 流のトレース機能を有効にする 管理サーバー , 285 索引 管理対象ノード , 285 ovpolicy, 43 ovrc, 42 P path 変数 , 39 PDF ドキュメント , 15 ping アプリケーション , 247 Portable Document Format -参照 PDF ド キュメント R RPC タイムアウト , 252 S sudo 使用方法 , 87 セットアップ , 88 SunMC ドキュメント , 18 T TCP/IP ツール , 251 W what 文字列 , 249 Windows インストールサーバー , 113 エージェントのインストール , 111 システムリソース , 37 あ アーキテクチャ HTTPS エージェント , 31 通信ブローカ , 328 アカウント opc_op, 34 エージェント , 34 アップグレード MoM, 230 アプリケーション OpenView, 311 OVO, 311 ping, 247 エージェントのトレース機能 , 311 347 索引 サーバーのトレース機能 , 311 ステータス , 248 通信ブローカに登録されている , 248 トレース対応 , 309 アプリケーションの監視 , 162 い インクルードファイル , 40 印刷製本ドキュメント , 16 印刷表記法 -参照 ドキュメント表記法 インストール OV ファイルセット , 249 インベントリの基本情報 , 249 インベントリの詳細情報 , 250 インベントリのネイティブ情報 , 250 Windows インストールサーバー , 113 Windows エージェントソフトウェア , 111 エージェントソフトウェア , 105 共通設定の定義 , 110 固有の OvCoreId, 111 キー , 149 コピーイメージからの , 130 手作業 , 120 パッケージファイルから手作業で , 121 プロキシの背後で行う手作業 , 208 インストルメンテーション 管理 , 96 手作業によるインストール , 97 え エージェント sudo プログラム , 87 アカウント , 34 アップグレード , 86 パッチ , 86 ポリシー所有者の表示 , 239 エージェントのポリシーの表示 , 239 エージェントプロファイル , 84 お オンラインドキュメント 説明 , 19 か 仮想ノード , 152 APM, 162 ClAw, 162 348 Cluster Awareness カスタマイズ , 177 FAQ, 197 HARG の監視 , 186 HA リソースグループ , 152 アプリケーションの監視 , 162 概念 , 155 APM, 164 ClAw, 164 メッセージ拡張機能 , 164 クラスタ , 152 最初のメッセージの取得 , 180 削除 , 161 制限事項 , 200 設定 Application Package Monitoring, 170 Cluster Awareness, 170 追加 , 157 物理ノード , 153 変更 , 159 ポリシーの削除 , 161 ポリシーの配布 , 160 ポリシーの変更 , 161 ポリシーの割当て , 160 環境変数 , 37 管理対象ノード path 変数 , 39 UNIX システムリソースファイル , 35 インクルードファイル , 40 エージェントのアカウント , 34 環境変数 , 37 起動 , 37 停止 , 37 メイクファイル , 41 ライブラリ , 39 レジストリキー , 38 関連ドキュメント Developer's Toolkit, 18 ECS Designer, 18 PDF, 15 SunMC, 18 印刷製本 , 16 オンライン , 19, 21 ‐ 23 追加 , 18 き キーストア , 52 起動 索引 索引 管理対象ノード , 37 機能領域 OVO 流のトレース機能 , 289 共通エージェント設定 , 110 く クラスタ , 152 こ 更新 ルート証明書 , 58 構成 プロキシ , 204 構文 OVO 流のトレースファイル , 294 プロキシ , 206 コピーイメージ , 130 コマンド bbcutil, 42 HTTPS 通信 , 42 opccsa, 44 opccsacm, 44 ovc, 42 ovcert, 44 ovconfget, 42 ovcoreid, 42 ovpolicy, 43 ovrc, 42 エージェント , 342 対応 , 338 固有の OvCoreId, 111 コンポーネント HTTPS エージェント , 31 サーバー , 336 さ サーバー コンポーネント , 336 プロセス , 336 サーバーの設定 リモートアクションの許可 , 72 削除 エージェントソフトウェア , 133 自動 , 133 手作業 , 133 問題 , 133 差分分配 , 99 サポートされているプラットフォーム , 32 索引 し システムリソース UNIX, 35 Windows, 37 証明書 , 55 IP アドレス , 137 opcsvcertbackup, 279 OvCoreID, 137 インストールキー , 149 管理 , 142 拒否 , 142 クライアント , 52 サーバー , 52, 56 合併 , 59 共有 , 66 作成 , 136, 145 指定したノードへマップ , 143 自動分配 , 139 すべての不明なノードを選択 , 143 すべてのマップされたリクエストを選択 , 142 手作業での分配 , 149 登録ノードへノードを追加 , 143 トラブルシューティング , 264 配布 , 136 バックアップ , 279 復元 , 279 プラットフォーム , 138 分配のトラブルシューティング , 274 ホスト名 , 137 マップ先 , 137 リクエストウィンドウ , 137 リクエストの削除 , 142 リクエストの承諾 , 142 証明書クライアント , 57 証明書サーバー 複数 , 59, 63 証明書サーバーの共有 , 66 証明書の管理 , 142 証明書の作成 , 145 シングルホームホスト , 203 す スケーラビリティ , 50 ステータス アプリケーション , 248 349 索引 せ 制限事項 仮想ノード , 200 セキュリティ 概念 , 48 キーストア , 52 コンポーネント , 52 証明書 , 55 クライアント , 57 サーバー 複数 , 63 証明書クライアント , 52 証明書サーバー , 52, 56 合併 , 59 共有 , 66 複数 , 59 代行ユーザー , 77 DCE エージェントとの比較 , 89 sudo, 87 アップグレード , 86 インストール , 80 エージェントプロファイル , 84 管理サーバーの設定 , 82 準備 , 79 制限 , 78 デフォルトポートの変更 , 83 パッチ , 86 認証局 , 56 リモートアクションの許可 , 71 サーバーの設定 , 72 ルート証明書 , 55 更新 , 58 分配 , 58 設定 bbc.ini ファイル , 320 HTTPS ノード , 104 通信パラメータ , 318 複数の並列設定サーバー , 233 設定情報 配布 , 95, 340 プッシュ , 98 そ ソフトウェアのインストール , 105 Windows, 111 共通設定の定義 , 110 コピーイメージから , 130 固有の OvCoreId, 111 350 手作業 , 120 パッケージファイルから手作業で , 121 プロキシの背後で行う手作業 , 208 た 代行ユーザー , 77 DCE エージェントとの比較 , 89 sudo, 87 アップグレード , 86 インストール , 80 エージェントプロファイル , 84 管理サーバーの設定 , 82 準備 , 79 制限 , 78 デフォルトポートの変更 , 83 パッチ , 86 担当マネージャ 用語 , 228 つ 追加のドキュメント , 18 通信 HTTPS の概念 , 46 HTTPS の利点 , 47 安全 , 48 オープン , 49 スケーラブル , 50 ファイアウォールとの親和性 , 47 OVO で処理可能な , 30 OVO のトラブルシューティング , 269 設定パラメータ , 318 設定ファイル , 320 トラブルシューティング , 255, 257 ファイアウォールとインターネット , 333 ファイアウォールとプロキシ , 332 ファイアウォールの仕組み , 332 通信ブローカ アーキテクチャ , 328 登録されているアプリケーション , 248 て 停止 管理対象ノード , 37 ディレクトリ OVDataDir, 33 OVInstallDir, 33 構造 , 33 手作業によるインストール 索引 索引 インストルメンテーション , 97 ポリシー , 97 デュアルホームホスト , 203 と 登録ノード ノードへ追加 , 143 ドキュメント表記法 , 13 ‐ 14 ドキュメント、関連 Developer’s Toolkit, 18 ECS Designer, 18 Java GUI, 22 ‐ 23 Motif GUI, 21 ‐ 22 PDF, 15 SunMC, 18 印刷製本 , 16 オンライン , 19, 21 ‐ 23 追加 , 18 トラブルシューティング , 246 OVO 通信 , 269 RPC コール , 252 TCP/IP ツール , 251 what 文字列 , 249 アプリケーションに対する ping, 247 アプリケーションのステータス , 248 インストールされている OV ファイルセット , 249 インベントリの基本情報 , 249 インベントリの詳細情報 , 250 インベントリのネイティブ情報 , 250 証明書 , 264 証明書の分配 , 274 通信 , 255, 257 ツール , 247 登録されているアプリケーション , 248 認証 , 264 ネットワーク , 255 ロギング , 254 トレース NNM の設定準備 , 316 OpenView OVO プロセスの例 , 303 概要 , 295 カテゴリ , 314 結果の表示 , 300 サブコンポーネント , 314 設定 , 296, 298, 301, 302 手作業で , 298 索引 トレース GUI, 296 トレース対応のアプリケーション , 309 無効にする , 302 有効にする , 300 リモートトレース機能を無効にする , 301 OVO 流 , 289 概要 , 285 カスタマイズ , 290 管理サーバーを有効にする , 285 管理対象ノードで有効にする , 285 機能領域 , 289 ファイルの構文 , 294 ファイルの場所 , 288 無効にする , 287 例 , 292 アプリケーション , 311 クイックスタート , 284 な 名前解決 , 225 に 認証 トラブルシューティング , 264 認証局 , 56 ね ネットワーク トラブルシューティング , 255 の ノード 仮想 , 155, 164 削除 , 161 追加 , 157 変更 , 159 ポリシーの削除 , 161 ポリシーの配布 , 160 ポリシーの変更 , 161 ポリシーの割当て , 160 ノード証明書リクエスト , 137 は ハートビートポーリング , 101 CPU の負荷の軽減 , 101 ネットワークの負荷の軽減 , 101 配布 , 340 351 索引 バックアップ 証明書 , 279 パフォーマンス エージェント , 342 トラブルシューティング , 344 ひ 表記法、ドキュメント , 13 ‐ 14 ふ ファイアウォール , 47 インターネット通信 , 333 仕組み , 332 プロキシ , 332 ファイル OVO 流のトレース機能 , 288 構文 , 294 インクルードファイル , 40 システムリソース HP-UX, 35 メイクファイル , 41 ファイルセット インストールされている OV のリスト , 249 インベントリの基本情報 , 249 インベントリの詳細情報 , 250 インベントリのネイティブ情報 , 250 復元 証明書 , 279 複数の証明書サーバー , 59, 63 複数の証明書サーバー環境の合併 , 59 複数の並列設定サーバー , 232 設定 , 233 同一のポリシー , 235 ポリシー , 234 ポリシーの再配置 , 240 ポリシーの削除 , 240 物理ノード , 153 不明なノード すべてを選択 , 143 プラットフォーム , 138 プロキシ , 201 管理サーバーでの , 210 構成 , 204 構文 , 206 シングルホームホスト , 203 手作業のエージェントソフトウェアインス トール , 208 デュアルホームホスト , 203 352 マルチホームホスト , 203 プロセス エージェント , 343 サーバー , 336 分配 証明書 , 149 証明書を自動的に , 139 ルート証明書 , 58 分配マネージャ , 97, 341 へ 並列設定サーバー , 341 変数 opcinfo, 242 opcsvinfo, 242 path, 39 環境 , 37 設定 , 242 ほ ホスト名 , 137 自動的な変更 , 223 手作業による変更 , 219 変更 , 217 ポリシー 仮想ノードからの削除 , 161 仮想ノードに関するポリシーの変更 , 161 仮想ノードへのポリシーの配布 , 160 仮想ノードへの割当て , 160 再配置 , 240 削除 , 240 手作業によるインストール , 97 複数の並列設定サーバー , 234 同一の , 235 ポリシー管理 , 95 ま マップ先 , 137 マップされたリクエスト すべてを選択 , 142 マルチホームホスト , 203 む 無効にする OVO 流のトレース機能 , 287 索引 索引 め メイクファイル , 41 メッセージ拡張機能 概念 , 164 ゆ ユーティリティ Application Package Monitoring, 176 Cluster Awareness, 176 ら ライブラリ , 39 り リクエストの拒否 , 142 リクエストの削除 , 142 リクエストの承諾 , 142 リソース要件 , 341 リモートアクションの許可 , 71 リモートアクションの許可サーバーの設定 , 72 リモート制御 , 102 る ルート証明書 , 55 更新 , 58 分配 , 58 れ レジストリキー , 38 ろ ロギング , 254 索引 353 索引 354 索引