|
|
WebOTX Manual V10.2 (第4版) 目次を表示 |
|
|
|
WebOTX Manual V10.2 (第4版) 目次を表示 |
UNIX系のOSでは、WebOTXのインストール時にシステム管理者権限をもつrootユーザとは別に、WebOTXの起動ユーザを指定してインストールが可能であり、推奨しています。WebOTX管理ユーザ(運用ユーザ)を設定することで、不用意なシステム権限領域へのアクセスを制御し、より強固なセキュリティの確保とOSのもつユーザ制限機能を利用することができます。
運用ユーザを変更するスクリプトを提供していますので、インストール後でも運用ユーザに変更することが可能です。
ただし、WebOTX管理ユーザを利用する場合には、OSの制限により、1024以下のポート番号を利用することができなくなります。HTTP/HTTPS用のポート番号を1024以下で設定している場合には、ポート番号の再設定等が必要になるため、注意が必要です。
なお、UNIX系OSにおける運用ユーザのパスワード変更によるWebOTXへの影響はありません。Windows OSの場合は [ サービスの起動停止 > Windowsサービスアカウントの変更 ] を参照してください。
# otxadmin stop-domain admin
ここでは説明の為に、ユーザ名を「admin」、 グループ名を「webotx」と設定します。アカウントの作成はシステム管理者に依頼するか、各OSの運用マニュアルを参照して登録を行ってください。
# cd /opt/WebOTX/bin # ./otxown.sh ## Executing WebOTX Operation User Change script. Would you like to change as WebOTX Operation User? [y, n](default n) y Please input WebOTX Operation User name. admin Please input WebOTX Operation User group name. webotx ********************************************************** * Change of WebOTX Operation User. To continue, input y. * * Input q to exit the installation. [y, q](default y) * **********************************************************
UNIX系のOSでは、複数のドメインを異なるユーザで運用する機能をサポートしています。ここではそのための手順を説明します。
ドメインごとに運用ユーザを変えたい時はこちらの設定をご検討ください。
設定の際は、以下の点に注意してください。
以下の環境を例にして設定方法を説明します。
| ドメイン種別 | 名前 | 値 | ||
|---|---|---|---|---|
| 管理ドメイン | admin | - | ||
| 一般ドメイン | domain1 | 運用ユーザ | オーナ | otxadm |
| グループ | otxadmin | |||
| 一般ドメイン | domain2 | 運用ユーザ | オーナ | otxadm2 |
| グループ | otxadmin | |||
ここでは、WebOTXの制御ファイルに関して、値の変更や権限の変更を行います。
/opt/WebOTX/config/asenv.confに以下の一行を追加してください。
AS_MULTIUSER=TRUE
/opt/WebOTX/bin/otxown.shを用いて、WebOTX配下のオーナとグループをrootに戻してください。
各ドメインの<INSTANCE_ROOT>配下のディレクトリ・ファイルのオーナとグループを各運用ユーザにそれぞれ変更してください。 マニュアルの例では、変更後は以下のようになります。
| ディレクトリ | ファイルオーナ | グループ |
|---|---|---|
| /opt/WebOTX/domains/domain1 とその配下 | otxadm | otxadmin |
| /opt/WebOTX/domains/domain2 とその配下 | otxadm2 | otxadmin |
以下のディレクトリ・ファイルは、各運用ユーザすべてが読み込み・書き込みできる必要があります。 グループをrootから、運用ユーザの所属するグループに変更してください。 マニュアルの例では、変更後は以下のようになります。
| ディレクトリ | ファイルオーナ | グループ |
|---|---|---|
| /opt/WebOTX/domains | root | otxadmin |
| /opt/WebOTX/Trnsv とその配下 | root | otxadmin |
以下のディレクトリとファイルは、各運用ユーザすべてが読み込み・書き込みできる必要があります。 それらに対して、運用ユーザのオーナ/グループで書き込みができるようにファイル権限775を設定してください。
設定について、以下の補足事項があります。
WebOTX運用管理ユーザをroot以外に設定した場合、OSの制約上1024番以下のポート番号は使用できません。もし、ポート番号1024番以下で内蔵型Webサーバを使用中のドメインがあれば、そのドメインに対して、1025番以降の現在のシステムで利用可能な番号に変更してください。
下に示したdomain.xmlファイルを編集して、ポート番号を変更してください。
編集する箇所は、<http-service>要素の以下のサブ要素です。idが"http-listener-1"、"http-listener-2"となっているhttpリスナのポートを変更してください。
<http-listener accept-count="10" address="0.0.0.0" buffer-size="2048" connection-timeout="60000" default-virtual-server="server" enable-lookups="false"enabled="true" id="http-listener-1" limit-processors="15" max-processors="20" min-processors="5" port="80" protocol="HTTP/1.1" security-enabled="false" server-name="" xpowered-by="true"> </http-listener> <http-listener accept-count="10" address="0.0.0.0" buffer-size="2048" connection-timeout="60000" default-virtual-server="server" enable-lookups="false"enabled="true"id="http-listener-2" limit-processors="15" max-processors="20" min-processors="5" port="443" protocol="HTTP/1.1" security-enabled="true" server-name="" xpowered-by="true"> </http-listener>
この設定は、パッチモジュールを適用する前にドメインが起動した状態から、以下のように統合運用管理ツールを用いて変更することもできます。
[一般]画面内のポート番号を変更します。
運用管理コマンドによる設定も可能です。
# cd <INSTALLDIR> # bin/otxadmin otxadmin> start-domain --remote <ドメイン名> otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <管理ポート番号> otxadmin> set server.http-service.http-listener.http-listener-1.port=<ポート番号> otxadmin> set server.http-service.http-listener.http-listener-2.port=<ポート番号> otxadmin> stop-domain --remote <ドメイン名>
Windows版 WebOTX ASをインストールしたときに設定されるサービスのアカウント、パスワードを変更する場合は以下のように行ってください。
例) 「WebOTX AS <バージョン番号> Agent Service」サービスのアカウント、パスワードを変更する場合:
指定するアカウントはAdministrators権限が必要です。また、 "サービスとしてログオン" の権限を持っている必要があります。