このセクションでは、SGD に含まれている Web サーバーと SGD Administration Console について説明します。
このセクションの内容は、次のとおりです。
SGD をインストールすると、SGD Web サーバーもインストールされます。SGD Web サーバーは、SGD で使用するように事前構成されています。SGD Web サーバーに含まれるコンポーネントは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。
SGD ホスト上に既存の Web サーバーが存在していても、SGD Web サーバーは別のポート上で待機するため、そのサーバーは SGD Web サーバーの影響を受けません。
SGD Web サーバーは標準の Apache 指令を使って構成できます。詳細については、Apache ドキュメントを参照してください。
SGD Web サーバーの制御は SGD サーバーとは独立して行えますが、その際、tarantella start webserver、tarantella stop webserver、および tarantella restart webserver コマンドを使用します。
デフォルトでは、SGD Web サーバーはセキュア (HTTPS) Web サーバーとして構成され、SGD セキュリティーサービスに使用される SGD サーバー SSL 証明書を共有します。
SGD Web サーバーでは、ディレクトリインデックスがデフォルトで無効になっています。つまり、SGD Web サーバー上のディレクトリを参照することはできません。
高いセキュリティーが必要な場合のために、SGD Web サーバーで使用されるよりセキュアなバージョンの httpd.conf
Apache 構成ファイルが用意されています。このファイルの詳細については、「httpd.conf.secure ファイル」を参照してください。
httpd.conf.secure
ファイルは、高いセキュリティーが必要な SGD Web サーバーを構成するための Apache サーバー構成ファイルです。このファイルは SGD ホスト上の /opt/tarantella/webserver/apache/
として、SGD ディストリビューションに含まれています。
apache-version
/conf/httpd.conf.secure
httpd.conf.secure
ファイルは、SGD Web サーバーで使用される標準の httpd.conf
ファイルに比べ、次の追加セキュリティー機能を提供します。
SGD で使用されない Apache モジュールは無効化される
SGD Web サーバーの /cgi-bin
ディレクトリへのアクセスが許可されない
以前にセキュリティー保護されていた SGD サーバーで httpd.conf.secure
を使用するには、httpd.conf.secure
ファイルをインストールする前に、まずその SGD サーバーのセキュリティーを無効にする必要があります。続いて、「SGD サーバーへのセキュア接続」の説明に従って SGD サーバーのセキュリティーサービスを有効化できます。
tarantella security enable コマンドを使って SGD サーバーのセキュリティーを自動構成した場合には、httpd.conf.secure
を使用しないでください。
このセクションでは、Administration Console を実行する方法について説明します。Administration Console を使用する際の一般的ないくつかの問題について、回避方法の詳細も説明します。
Administration Console を表示するには、サポートされているブラウザを使用します。ブラウザで JavaScript プログラミング言語が有効になっている必要があります。サポートされているブラウザは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。
Administration Console の使用中は、ブラウザの「戻る」ボタンを使用しないでください。代わりに、「オブジェクトビューへジャンプ」リンク、「ナビゲーションビューへジャンプ」リンク、または「オブジェクト履歴」リストを使用して、Administration Console のページ間を移動します。
Administration Console は、アレイ内のプライマリ SGD サーバー上で実行すると最適に機能します。
Administration Console は、次のいずれかの方法で起動できます。
SGD 管理者の Webtop にある Administration Console のリンクをクリックします。
https://
(ここで、server.example.com
server.example.com
は SGD サーバーの名前) にある SGD Web サーバーの開始画面で、「オラクル Secure Global Desktop Administration Console の起動」リンクをクリックします。
https://
URL にアクセスします。
server.example.com
/sgdadmin
Administration Console は SGD 管理者専用です。Administration Console を使用するには、SGD 管理者としてログインするか、SGD 管理者としてログイン済みであることが必要です。
Administration Console は、SGD Web サーバーで使用する場合のみサポートされています。
Administration Console には、Web アプリケーションアーカイブ (WAR) ファイル sgdadmin.war
が付属しています。このファイルを使って Administration Console を別の Web アプリケーションサーバーに再配備することはできません。
アレイ内の任意の SGD サーバーから Administration Console を使用して、SGD データストアに対して新規オブジェクトの作成やオブジェクトの属性の編集といった操作を実行できます。
SGD データストアを編集すると、変更内容がプライマリ SGD サーバーに送信されます。その後、プライマリ SGD サーバーからアレイ内のすべてのセカンダリサーバーに、これらの変更が複製されます。
Administration Console をプライマリ SGD サーバーから実行することで、次の原因による問題を回避できます。
低速なネットワーク。ネットワークが低速な場合、「オブジェクトが見つからない」または「オブジェクトが作成されない」というエラーが返されることがあります。また、設定の変更が正しく反映されないなど、古いデータに関する問題が発生することがあります。
プライマリサーバーの停止。プライマリサーバーが停止した場合や使用できなくなった場合、SGD データストアに加えた変更が適用されないことがあります。
アレイの結合や切り離しといったアレイ操作を Administration Console で実行する場合は、次の制限が適用されます。
プライマリ SGD サーバーを使用します。Administration Console をプライマリサーバー上で実行することで、データ複製の問題を回避できます。「SGD データストアの更新の問題を回避する」も参照してください。
アレイ操作に関連するサーバーはすべて稼働している必要があります。たとえば、Administration Console を使用して、停止しているセカンダリサーバーを切り離すことはできません。代わりに、tarantella array detach コマンドを使用してください。
時刻は、アレイ操作にかかわるすべてのサーバー上で同期させる必要があります。たとえば、時刻の同期が 1 分を超えてずれている場合は、セカンダリサーバーを追加できません。NTP ソフトウェアまたは rdate コマンドを使用して、すべての SGD ホストの時間を確実に同期させてください。
Administration Console Web アプリケーションの配備記述子には、Administration Console の処理を制御する設定が入っています。配備記述子は次のファイルです。
/opt/tarantella/webserver/tomcat/tomcat-version
/sgdadmin/WEB-INF/web.xml
このセクションでは、ユーザーが設定する可能性のある配備記述子の設定について説明します。設定のほとんどは、<context-param>
要素に含まれているコンテキストパラメータです。web.xml
ファイル内のその他の設定は変更しないでください。
配備記述子の設定を操作する場合は、次の点に留意してください。
操作の内容を理解している場合のみ web.xml
を変更してください.
以前のバージョンに戻す必要が生じる場合に備えて、常に元の web.xml
のバックアップを作成して保存してください。その方法については、「SGD インストールのバックアップと復元」 を参照してください。
web.xml
を変更したあとは常に、変更を有効にするために SGD Web サーバーを再起動する必要があります。
web.xml
に対する変更は Administration Console をホストしているサーバーにのみ適用されます。
web.xml
に含まれる XML (Extensible Markup Language) 要素の順序は変更しないでください。
com.sun.tta.confmgr.DisplayLimit
コンテキストパラメータを使用すると、Administration Console に表示できる検索結果の最大数を構成できます。デフォルト値は 150
です。結果が表示の制限値より多い場合は、Administration Console にメッセージが表示されます。表示の制限値を増やすとパフォーマンスに影響を与える可能性があります。検索結果を無制限に表示するには、表示の制限値を 0
に設定してください。
com.sun.tta.confmgr.ArraySyncPeriod
コンテキストパラメータは、Administration Console をセカンダリサーバーから実行しており、SGD データストアのオブジェクトを作成または編集する場合にのみ使用されます。このパラメータを使用すると、Administration Console が処理を続行する前に、変更がアレイ間でコピーされるのを待機する時間をミリ秒単位で設定できます。デフォルト値は 250 です。Administration Console は、この設定値の 2 倍、つまりデフォルトでは 0.5 秒待機してから、処理を続行します。
SGD は、デフォルトで DNS 検索に対して ANY クエリークラスを使用します。一部のファイアウォールの設定では、このクラスの DNS 検索はブロックされます。これによって問題が発生する可能性があります。たとえば、Administration Console を使用して Active Directory 認証を設定するときなどです。
すべての DNS 検索に対して IN クエリークラスを使用するように Administration Console を構成するには、sgd.naming.dns.in_class_only
コンテキストパラメータを true
に設定します。
com.sun.tta.confmgr.LdapSearchTimeLimit
コンテキストパラメータを使えば、LDAP (Lightweight Directory Access Protocol) ディレクトリの検索時に許される最大時間をミリ秒で構成できます。デフォルト値は 0
で、検索時間に制限がないことを意味します。特に低速な LDAP ディレクトリサーバーを使用している場合のみ、このコンテキストパラメータを変更してください。
次のコンテキストパラメータは、Administration Console で LDAP データの表示を絞り込むために使用します (「リポジトリ」リストで「ローカル + LDAP」を選択した場合)。
ナビゲーションツリーによって使用されるフィルタ。これらは、次のコンテキストパラメータです。
com.sun.tta.confmgr.LdapContainerFilter
com.sun.tta.confmgr.LdapUserFilter
com.sun.tta.confmgr.LdapGroupFilter
LDAP ディレクトリを検索するときに使用されるフィルタ。これらは、次のコンテキストパラメータです。
com.sun.tta.confmgr.LdapContainerSearchFilter
com.sun.tta.confmgr.LdapUserSearchFilter
com.sun.tta.confmgr.LdapGroupSearchFilter
ユーザープロファイルの「割り当て済みのアプリケーション」タブの LDAP 割り当てをロードするときに使用されるフィルタ。これは、com.sun.tta.confmgr.LdapMemberFilter
コンテキストパラメータです。
これらのコンテキストパラメータには、Administration Console が何を LDAP コンテナ、ユーザー、およびグループとして認識するかの定義が入っています。パフォーマンスを向上させるためや、LDAP ディレクトリで使用されているものと一致するようにこれらの LDAP オブジェクトタイプの定義を変更する場合に、これらのフィルタを変更することもできます。
たとえば、LDAP ディレクトリで computer
オブジェクトクラスを使用する場合は、(!(objectclass=computer))
エントリを削除するように com.sun.tta.confmgr.LdapUserFilter
コンテキストパラメータを編集します。
一貫性がなくなるのを防ぐため、ナビゲーションツリーのフィルタを変更した場合は、LDAP 検索のフィルタも変更する必要がある場合もあります。
session-timeout
設定は、Administration Console でアクティビティーのない、つまり HTTP 要求のない時間がどのくらい継続するとユーザーがログアウトされるかを定義します。操作されていない Administration Console セッションが無制限に開いたままにならないように、デフォルトの設定値は 30 分になっています。
session-timeout
設定は、アクティブでないユーザーセッションのタイムアウト属性 tarantella-config-array-webtopsessionidletimeout
とは別個のものです。
Administration Console は Web アプリケーションであるため、どのクライアントデバイスにアクセスを許可するかを制御することができます。これを行うには、次の例のように、Apache <Location>
指令を使用するように SGD Web サーバーを構成します。
<Location /sgdadmin> Order Deny,Allow Deny from all Allow from 129.156.4.240 </Location>
この例では、IP アドレス 129.156.4.240
を持つクライアントデバイスだけが、SGD Web サーバーの /sgdadmin
ディレクトリへのアクセスを許可されます。/sgdadmin
ディレクトリには Administration Console のホームページが入っています。
<Location>
指令の構成方法の詳細については、Apache ドキュメントを参照してください。