7.3. SGD Web サーバーと SGD Administration Console

このセクションでは、SGD に含まれている Web サーバーと SGD Administration Console について説明します。

このセクションの内容は、次のとおりです。

7.3.1. SGD Web サーバーの概要

SGD をインストールすると、SGD Web サーバーもインストールされます。SGD Web サーバーは、SGD で使用するように事前構成されています。SGD Web サーバーに含まれるコンポーネントは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

SGD ホスト上に既存の Web サーバーが存在していても、SGD Web サーバーは別のポート上で待機するため、そのサーバーは SGD Web サーバーの影響を受けません。

SGD Web サーバーは標準の Apache 指令を使って構成できます。詳細については、Apache ドキュメントを参照してください。

SGD Web サーバーの制御は SGD サーバーとは独立して行えますが、その際、tarantella start webservertarantella stop webserver、および tarantella restart webserver コマンドを使用します。

7.3.2. SGD Web サーバーのセキュリティー保護

デフォルトでは、SGD Web サーバーはセキュア (HTTPS) Web サーバーとして構成され、SGD セキュリティーサービスに使用される SGD サーバー SSL 証明書を共有します。

SGD Web サーバーでは、ディレクトリインデックスがデフォルトで無効になっています。つまり、SGD Web サーバー上のディレクトリを参照することはできません。

高いセキュリティーが必要な場合のために、SGD Web サーバーで使用されるよりセキュアなバージョンの httpd.conf Apache 構成ファイルが用意されています。このファイルの詳細については、「httpd.conf.secure ファイル」を参照してください。

7.3.2.1. httpd.conf.secure ファイル

httpd.conf.secure ファイルは、高いセキュリティーが必要な SGD Web サーバーを構成するための Apache サーバー構成ファイルです。このファイルは SGD ホスト上の /opt/tarantella/webserver/apache/apache-version/conf/httpd.conf.secure として、SGD ディストリビューションに含まれています。

httpd.conf.secure ファイルは、SGD Web サーバーで使用される標準の httpd.conf ファイルに比べ、次の追加セキュリティー機能を提供します。

  • SGD で使用されない Apache モジュールは無効化される

  • SGD Web サーバーの /cgi-bin ディレクトリへのアクセスが許可されない

以前にセキュリティー保護されていた SGD サーバーで httpd.conf.secure を使用するには、httpd.conf.secure ファイルをインストールする前に、まずその SGD サーバーのセキュリティーを無効にする必要があります。続いて、「SGD サーバーへのセキュア接続」の説明に従って SGD サーバーのセキュリティーサービスを有効化できます。

注意

tarantella security enable コマンドを使って SGD サーバーのセキュリティーを自動構成した場合には、httpd.conf.secure を使用しないでください。

7.3.3. Administration Console の使用

このセクションでは、Administration Console を実行する方法について説明します。Administration Console を使用する際の一般的ないくつかの問題について、回避方法の詳細も説明します。

7.3.3.1. Administration Console でサポートされるブラウザ

Administration Console を表示するには、サポートされているブラウザを使用します。ブラウザで JavaScript プログラミング言語が有効になっている必要があります。サポートされているブラウザは、http://www.oracle.com/technetwork/jp/index.html/documentation/sgd-193668.html で参照可能な『オラクル Secure Global Desktop のプラットフォームサポートおよびリリースノート (リリース 4.7 用)』に一覧表示されています。

注意

Administration Console の使用中は、ブラウザの「戻る」ボタンを使用しないでください。代わりに、「オブジェクトビューへジャンプ」リンク、「ナビゲーションビューへジャンプ」リンク、または「オブジェクト履歴」リストを使用して、Administration Console のページ間を移動します。

7.3.3.2. Administration Console を起動する

Administration Console は、アレイ内のプライマリ SGD サーバー上で実行すると最適に機能します。

Administration Console は、次のいずれかの方法で起動できます。

  • SGD 管理者の Webtop にある Administration Console のリンクをクリックします。

  • https://server.example.com (ここで、server.example.com は SGD サーバーの名前) にある SGD Web サーバーの開始画面で、「オラクル Secure Global Desktop Administration Console の起動」リンクをクリックします。

  • https://server.example.com/sgdadmin URL にアクセスします。

注記

Administration Console は SGD 管理者専用です。Administration Console を使用するには、SGD 管理者としてログインするか、SGD 管理者としてログイン済みであることが必要です。

7.3.3.3. ほかの Web アプリケーションコンテナに Administration Console を配備する

Administration Console は、SGD Web サーバーで使用する場合のみサポートされています。

Administration Console には、Web アプリケーションアーカイブ (WAR) ファイル sgdadmin.war が付属しています。このファイルを使って Administration Console を別の Web アプリケーションサーバーに再配備することはできません。

7.3.3.4. SGD データストアの更新の問題を回避する

アレイ内の任意の SGD サーバーから Administration Console を使用して、SGD データストアに対して新規オブジェクトの作成やオブジェクトの属性の編集といった操作を実行できます。

SGD データストアを編集すると、変更内容がプライマリ SGD サーバーに送信されます。その後、プライマリ SGD サーバーからアレイ内のすべてのセカンダリサーバーに、これらの変更が複製されます。

Administration Console をプライマリ SGD サーバーから実行することで、次の原因による問題を回避できます。

  • 低速なネットワーク。ネットワークが低速な場合、「オブジェクトが見つからない」または「オブジェクトが作成されない」というエラーが返されることがあります。また、設定の変更が正しく反映されないなど、古いデータに関する問題が発生することがあります。

  • プライマリサーバーの停止。プライマリサーバーが停止した場合や使用できなくなった場合、SGD データストアに加えた変更が適用されないことがあります。

7.3.3.5. Administration Console を使用してアレイの操作を実行する

アレイの結合や切り離しといったアレイ操作を Administration Console で実行する場合は、次の制限が適用されます。

  • プライマリ SGD サーバーを使用します。Administration Console をプライマリサーバー上で実行することで、データ複製の問題を回避できます。「SGD データストアの更新の問題を回避する」も参照してください。

  • アレイ操作に関連するサーバーはすべて稼働している必要があります。たとえば、Administration Console を使用して、停止しているセカンダリサーバーを切り離すことはできません。代わりに、tarantella array detach コマンドを使用してください。

  • 時刻は、アレイ操作にかかわるすべてのサーバー上で同期させる必要があります。たとえば、時刻の同期が 1 分を超えてずれている場合は、セカンダリサーバーを追加できません。NTP ソフトウェアまたは rdate コマンドを使用して、すべての SGD ホストの時間を確実に同期させてください。

7.3.4. Administration Console の設定

Administration Console Web アプリケーションの配備記述子には、Administration Console の処理を制御する設定が入っています。配備記述子は次のファイルです。

/opt/tarantella/webserver/tomcat/tomcat-version/sgdadmin/WEB-INF/web.xml

このセクションでは、ユーザーが設定する可能性のある配備記述子の設定について説明します。設定のほとんどは、<context-param> 要素に含まれているコンテキストパラメータです。web.xml ファイル内のその他の設定は変更しないでください。

配備記述子の設定を操作する場合は、次の点に留意してください。

  • 操作の内容を理解している場合のみ web.xml を変更してください.

  • 以前のバージョンに戻す必要が生じる場合に備えて、常に元の web.xml のバックアップを作成して保存してください。その方法については、「SGD インストールのバックアップと復元」 を参照してください。

  • web.xml を変更したあとは常に、変更を有効にするために SGD Web サーバーを再起動する必要があります。

  • web.xml に対する変更は Administration Console をホストしているサーバーにのみ適用されます。

  • web.xml に含まれる XML (Extensible Markup Language) 要素の順序は変更しないでください。

7.3.4.1. 検索結果の数

com.sun.tta.confmgr.DisplayLimit コンテキストパラメータを使用すると、Administration Console に表示できる検索結果の最大数を構成できます。デフォルト値は 150 です。結果が表示の制限値より多い場合は、Administration Console にメッセージが表示されます。表示の制限値を増やすとパフォーマンスに影響を与える可能性があります。検索結果を無制限に表示するには、表示の制限値を 0 に設定してください。

7.3.4.2. 同期の待機期間

com.sun.tta.confmgr.ArraySyncPeriod コンテキストパラメータは、Administration Console をセカンダリサーバーから実行しており、SGD データストアのオブジェクトを作成または編集する場合にのみ使用されます。このパラメータを使用すると、Administration Console が処理を続行する前に、変更がアレイ間でコピーされるのを待機する時間をミリ秒単位で設定できます。デフォルト値は 250 です。Administration Console は、この設定値の 2 倍、つまりデフォルトでは 0.5 秒待機してから、処理を続行します。

7.3.4.3. DNS 検索

SGD は、デフォルトで DNS 検索に対して ANY クエリークラスを使用します。一部のファイアウォールの設定では、このクラスの DNS 検索はブロックされます。これによって問題が発生する可能性があります。たとえば、Administration Console を使用して Active Directory 認証を設定するときなどです。

すべての DNS 検索に対して IN クエリークラスを使用するように Administration Console を構成するには、sgd.naming.dns.in_class_only コンテキストパラメータを true に設定します。

7.3.4.4. LDAP データの検索と表示

com.sun.tta.confmgr.LdapSearchTimeLimit コンテキストパラメータを使えば、LDAP (Lightweight Directory Access Protocol) ディレクトリの検索時に許される最大時間をミリ秒で構成できます。デフォルト値は 0 で、検索時間に制限がないことを意味します。特に低速な LDAP ディレクトリサーバーを使用している場合のみ、このコンテキストパラメータを変更してください。

次のコンテキストパラメータは、Administration Console で LDAP データの表示を絞り込むために使用します (「リポジトリ」リストで「ローカル + LDAP」を選択した場合)。

  • ナビゲーションツリーによって使用されるフィルタ。これらは、次のコンテキストパラメータです。

    • com.sun.tta.confmgr.LdapContainerFilter

    • com.sun.tta.confmgr.LdapUserFilter

    • com.sun.tta.confmgr.LdapGroupFilter

  • LDAP ディレクトリを検索するときに使用されるフィルタ。これらは、次のコンテキストパラメータです。

    • com.sun.tta.confmgr.LdapContainerSearchFilter

    • com.sun.tta.confmgr.LdapUserSearchFilter

    • com.sun.tta.confmgr.LdapGroupSearchFilter

  • ユーザープロファイルの「割り当て済みのアプリケーション」タブの LDAP 割り当てをロードするときに使用されるフィルタ。これは、com.sun.tta.confmgr.LdapMemberFilter コンテキストパラメータです。

これらのコンテキストパラメータには、Administration Console が何を LDAP コンテナ、ユーザー、およびグループとして認識するかの定義が入っています。パフォーマンスを向上させるためや、LDAP ディレクトリで使用されているものと一致するようにこれらの LDAP オブジェクトタイプの定義を変更する場合に、これらのフィルタを変更することもできます。

たとえば、LDAP ディレクトリで computer オブジェクトクラスを使用する場合は、(!(objectclass=computer)) エントリを削除するように com.sun.tta.confmgr.LdapUserFilter コンテキストパラメータを編集します。

一貫性がなくなるのを防ぐため、ナビゲーションツリーのフィルタを変更した場合は、LDAP 検索のフィルタも変更する必要がある場合もあります。

7.3.4.5. セッションのタイムアウト

session-timeout 設定は、Administration Console でアクティビティーのない、つまり HTTP 要求のない時間がどのくらい継続するとユーザーがログアウトされるかを定義します。操作されていない Administration Console セッションが無制限に開いたままにならないように、デフォルトの設定値は 30 分になっています。

注記

session-timeout 設定は、アクティブでないユーザーセッションのタイムアウト属性 tarantella-config-array-webtopsessionidletimeout とは別個のものです。

7.3.5. Administration Console へのアクセスをセキュリティー保護する

Administration Console は Web アプリケーションであるため、どのクライアントデバイスにアクセスを許可するかを制御することができます。これを行うには、次の例のように、Apache <Location> 指令を使用するように SGD Web サーバーを構成します。

<Location /sgdadmin>
   Order Deny,Allow
   Deny from all
   Allow from 129.156.4.240
</Location> 

この例では、IP アドレス 129.156.4.240 を持つクライアントデバイスだけが、SGD Web サーバーの /sgdadmin ディレクトリへのアクセスを許可されます。/sgdadmin ディレクトリには Administration Console のホームページが入っています。

<Location> 指令の構成方法の詳細については、Apache ドキュメントを参照してください。