2. Webサーバ(Apache HTTP Serverベース)

WebOTX でバンドルしている Webサーバ(Apache HTTP Serverベース)を利用する際の注意事項について説明します。

2.1. Apache のセキュリティ脆弱性の問題について

WebOTX メディアに含まれるWebOTX 製品は、Webサーバとして Apache HTTP Server 2.0.64および2.2.22/2.2.24 （2013/7 時点の最新バージョン）をバンドルしています。(※Apache HTTP Server 2.2.24 はWindows 64ビット版かつWebOTX Media (x64) V8.5のCD/DVD-ROM媒体のRevision 8.52からインストール時のみ。)
これ以前のバージョンは、セキュリティ脆弱性の問題がいくつか報告されています。
OS に添付されている、または、個人でダウンロードした Apache HTTP Server を利用する場合には、このセキュリティ脆弱性の問題が報告されているバージョンに該当する場合がありますので注意が必要です。
Apache のセキュリティ脆弱性の問題についての詳細はApacheのWebサイトを参照してください。

なお、WebOTX がバンドルしているApache HTTP Server のバージョンを調査するには、次のコマンドを実行してください。

表2.1-1
OS	バージョン	コマンド
Windows	2.0	${AS_INSTALL}\WebServer2\bin\Apache.exe -v
Windows	2.2	${AS_INSTALL}\WebServer22\bin\httpd.exe -v
UNIX	2.0	${AS_INSTALL}/WebServer2/httpd -v
UNIX	2.2	${AS_INSTALL}/WebServer22/httpd -v

2.2. 64ビットOSでの提供バイナリ

WebOTX Webサーバは、64 ビットOS 上で、64ビットバイナリを提供します。

表2.2-1
プラットフォーム	バージョン	バイナリ
Windows (x64)	2.0	Windows (x64)専用 64ビットバイナリ
Windows (x64)	2.2	Windows (x64)専用 64ビットバイナリ
Linux (x64)	2.0	Linux (x64)専用 64ビットバイナリ
Linux (x64)	2.2	Linux (x64)専用 64ビットバイナリ
HP-UX (IPF)	2.0	HP-UX(IPF)専用 64ビットバイナリ
HP-UX (IPF)	2.2	HP-UX(IPF)専用 64ビットバイナリ

他ベンダから提供されている Apache HTTP Server 用の各種モジュールを、 WebOTX 上で動作させる場合には、バージョンと動作ビット数が一致するモジュールを利用してください。

2.3. 「Webサーバ」機能の追加・変更インストール

すでに WebOTX Application Server をインストール済みの環境に、「Webサーバ」機能の追加（または2.0から2.2へのバージョン変更）を行う場合には、Windows版の場合、WebOTX の再インストールが必要になります。

この際、既存のドメイン環境に対して「Webサーバ」機能の追加／変更を行う場合には、追加／変更インストールを実行する前に、次の運用管理コマンドを実行してドメインの削除を実行してください。
ドメインの情報をそのまま利用する場合には、ドメインの定義情報のバックアップを行ってください。

>asant -f setup.xml -Ddomain.name=domain1 delete-domain

Windows版の場合、WebOTX の再インストールを行い、ドメインを再作成してください。
UNIX版の場合、追加/変更インストール実行後に、 antコマンドを実行して、ドメインの再作成を行ってください。
ドメインの再作成方法については、[ ドメイン構築・基本設定ガイド > 3. ドメイン > 3.2. ドメインの作成・削除 ] を参照してください。

2.4. 複数行の定義情報の更新・追加

定義情報の指示子によっては、複数行の設定が必要なものがあります。このような定義情報の更新・追加をする場合には、直接、定義情報ファイル (httpd.conf)の更新をしてください。
WebOTX の統合運用管理ツール／コマンドからの追加・更新・削除は行わないでください。

例えば、次に示すようなコンテナ指示子の設定を行う場合には、直接、定義情報ファイルを更新してください。

表2.4-1
指示子	説明
<Directory>	指定されたディレクトリに対する各種設定を行います。
<DirectoryMatch>	<Directory>と同様です。ディレクトリ情報に正規表現が利用できます。
<Files>	指定されたファイルに対する各種設定を行います。
<FilesMatch>	<Files>と同様です。ファイル情報に正規表現が利用できます。
<Location>	指定されたロケーション(URL情報)に対する各種設定を行います。
<LocationMatch>	<Location>と同様です。ロケーション情報に正規表現が利用できます。
<VirtualHost>	仮想ホストに対して各種設定を行います。
<IfModule>	指定されたモジュールに対する各種設定を行います。

また、SSL通信用のポート番号を複数設定する場合、それぞれのポート番号に対して、<VirtualHost>の設定がそれぞれ必要となります。
SSL通信用のポート番号を複数設定する場合には、SSL通信用の定義情報ファイル (ssl.conf)を直接編集してください。

運用管理ツール/コマンドからの定義情報の追加処理は、定義情報ファイル(httpd.conf)に対してのみ行われます。
SSL通信用の定義情報ファイル(ssl.conf)に対して運用管理ツール／コマンドから定義情報の追加処理はできません。 SSL通信用の定義情報ファイル(ssl.conf)に定義されている情報を更新／追加する場合は、エディタ等を利用して直接編集してください。

2.5. ディレクトリ一覧表示機能の無効化

Webサーバの定義情報ファイル(httpd.conf)において、ディレクトリ一覧表示機能を「無効」(ディレクトリリスティングを禁止)に設定しています。
そのため、ブラウザからWebサーバの DocumentRootディレクトリ (つまりhttp://localhost/)や、DirectoryIndex指示子で設定しているファイル(index.html)が存在しないディレクトリにアクセスすると、以下の Forbidden メッセージ(HTTPステータスコード 403)が返却されます。
Webサーバは正常起動していますので、本メッセージが出力されることに問題はありません。

図2.5-1

なお、Webサーバへのアクセスに対して正常終了(HTTPステータス200)が返却されること確認する場合には、ブラウザから次のURLを指定し、 Webサーバのマニュアルページが表示されることを確認してください。

http://localhost/manual/

Webサーバのディレクトリ一覧表示機能を有効にするには、 Webサーバの定義情報ファイル(httpd.confファイル)において、 <Directory>指示子内で設定されている Options 指示子に Indexes オプションを追加します。
<Directory>指示子は複数存在しますので、それぞれに設定する必要があります。

<Directory "/opt/WebOTX/domains/domain1/docroot">
  Optios Indexes FollowSymLinks MultiView
  …
</Directory>

ただし、ディレクトリ一覧表示機能を有効に設定することは、 Webサーバのセキュリティ対策上、問題となる場合があります。本設定を有効に変更する場合には、十分な注意が必要です。

2.6. Windows 版の注意・制限事項

Windows 版の WebOTX Webサーバの注意・制限事項を記載します。

サービス名

Webサーバのインストールを行うと、次のサービスが自動的に登録されます。このサービスは、WebOTXのドメインの起動／停止と連動しているため、個別にサービスの起動属性等を変更する必要はありません。

表2.6-1
バージョン	サービス名
2.0	WebOTX WebServer2 domain名
2.2	WebOTX WebServer22 domain名

なお、WebOTXのアンインストール時に上記サービスが削除されない場合があります。
この場合には、次のサービスのレジストリ情報を削除してください。

\\HKEY_LOCAL_MACHINE\SYSTEM\CurrentConnnnrolSet\Services 配下
\WebOTXWebServer2domain名キーまたは
\WebOTXWebServer22domain名キー

Windows ファイアウォールの設定

Windows Server 2003 サービスパック1 以降および Windows Server 2003 R2 環境では、「Windowsファイアウォール」機能が標準実装され、デフォルトでは「無効」で設定されていますが、「有効」に設定した場合、ポートのブロッキングが発生し、外部ネットワークからの接続が拒否されるため、動作に影響があります。

「コントロールパネル」－「Windowsファイアウォール」において、「例外」タブを選択し、「プログラムの追加」または「ポートの追加」を実行して、例外設定を行ってください。
なお、Windows Server 2008 では、デフォルトで「Windowsファイアウォール」が有効となっているため、インストール時に本例外設定の登録が行われます。

プログラムの追加

表2.6-2
パス

${AS_INSTALL}\WebServer2\bin\apache.exe

${AS_INSTALL}\WebServer22\bin\httpd.exe
ポートの追加

表2.6-3
名前ポート TCP/UDP

HTTP

80 (※)

TCP

HTTPS

443(※)

TCP

表2.6-2
パス
${AS_INSTALL}\WebServer2\bin\apache.exe
${AS_INSTALL}\WebServer22\bin\httpd.exe

表2.6-3
名前	ポート	TCP/UDP
HTTP	80 (※)	TCP
HTTPS	443(※)	TCP

(※) インストール時に指定した、または、Webサーバが利用するポート番号を設定してください。

error.log

error.log に対して、rotatelogs.exe によるローテーションを設定している場合、Webサーバ起動時に生成された error.log ファイルを、Webサーバ動作中に削除しないでください。この error.log ファイルを削除する場合は、Webサーバを停止後に実行してください。なお、Webサーバ動作中にローテーションにより作成された error.log ファイルであれば、Webサーバ動作中の削除は可能です。

2.7. UNIX 版の注意・制限事項

UNIX 版の WebOTX Webサーバに関する注意・制限事項を記載します。

WebOTX 運用ユーザ利用時の注意事項

UNIX 版の場合、インストール時に「WebOTX 運用ユーザ」を利用する設定を行った場合、次の制限があります。

利用できるポート番号が OS によって制限されるため、1024 以下のポート番号を利用することはできません。

WebOTX運用ユーザ利用時でも 1024 以下のポート番号を利用したい場合には、 rootユーザで次のコマンドを実行し、ファイルの実行権限を変更する必要があります。

(Apche 2.0 利用時)
```
 >chmod +s /opt/WebOTX/WebServer2/bin/httpd
```
(Apache 2.2 利用時)
```
 >chmod +s /opt/WebOTX/WebServer22/bin/httpd
```

Linux 版での注意事項

WebOTX Webサーバの起動時に、webotx_agent.log に「セグメンテーション違反です $HTTPD -f $CONFFILE -d $SERVERROOT -k $ARGV」のメッセージが出力された場合、次の OS側設定を確認してください。

localhost が名前解決できるようにしてください。
/etc/hosts ファイルに、次の設定が無い場合は追加してください。

127.0.0.1 localhost