図4.1.4-1
ユーザとは、アプリケーションサーバが個人、アプリケーションに割り当てるIDのことです。ユーザは一つのグループに所属することができます。
WebOTXでは、ドメイン作成時に3つのデフォルトユーザ(admin、system、guest)が作成されます。これらの3つのアカウントのうち、adminのみをWebOTX運用管理に利用します。systemは、WebOTX内部で使用し、ユーザが利用することはできません。また、変更、削除も行わないでください。guestはJMSの運用ユーザです。
ユーザを新しく追加する場合は、 [ 4.3. ユーザ・グループの設定 ] を参照してください。
グループは共通の特性で分類されたユーザのカテゴリです。ユーザをグループに分類すると、ユーザからの大量のアクセスを制御することが容易になります。
WebOTXでは4.1.1節で述べたように、ドメイン作成直後にはadmin,system,guestユーザが作成されます。これらのユーザのうち、adminとsystemはotxadminグループに所属し、guestはanonymousグループに所属しています。WebOTXでは、WebOTXの運用管理を行うユーザはotxadminグループに所属していなければなりません。
グループを追加・削除する場合は、 [ 4.3. ユーザ・グループの設定 ] を参照してください。
ロールとは、ユーザ/グループが持つ役割の事です。ユーザ/グループに対してロールを割り当てることにより、そのユーザ/グループが実行できる処理を限定したり、アクセスできるデータを制御したりできます。
WebアプリケーションやEJBでは配備記述子を設定する事で、ユーザ/グループとロールのマッピングを行う事ができます。
ユーザは共通の特性によってグループ単位に分けることができます。複数のユーザをグループとしてまとめることで、ユーザの管理がしやすくなります。また、ロールはユーザ個人、またはグループに付与することができます。グループにロールを付与することは、そのグループに所属しているユーザ全員に同じロールを割り当てることと同じことになります。
例えば勤務管理システムでは、利用者(ユーザ、図ではA,B,C)は全員、Employee(従業員)というグループに所属していなければなりません。Employeeグループには毎日の勤務時間の登録、変更を行うことができるロールであるcommonというロールが付与されています。commonに加えて、管理職であるCにはManagerというロールが付与されていて、勤務時間の登録、変更に加えて、承認作業を行うことができます。
図4.1.4-1
レルムとは、ユーザおよびグループの情報を格納しているレポジトリを意味しています。WebOTXではこのレルムを利用し、ユーザの認証を行います。
WebOTXで使用できるレルムについて説明します。
WebOTXでは、次の3つのレルムをサポートしています。ドメイン作成直後のデフォルトでFileレルムを使用する設定になっています。
Fileレルムを使用する場合、WebOTXはユーザに関する情報(ユーザID、パスワード、グループ名)をkeyfileと呼ばれるファイルに書き込み、ローカルに保存しておきます。keyfileは${INSTANCE_ROOT}/config以下に保存されています。ドメイン作成直後の設定では、デフォルトでFileレルムを使用する設定になっています。Fileレルムの設定が不要な場合、または再設定を行う場合は [ 4.2. レルムの設定 > 4.2.1. Fileレルム ] を参照してください。運用管理コマンド、ツールを利用してユーザの管理を行うことができます。Fileレルムを利用する場合のユーザの追加、削除の方法は [ 4.3. ユーザ・グループの設定 > 4.3.1. Fileレルムを使用する場合 ] を参照してください。
なお、各ドメインに対しては、デフォルトで次の2つのFileレルムが設定されます。
LDAPレルムを使用する場合、WebOTXはLDAPサーバからユーザ情報を取得します。WebOTXでは、以下の二つのLDAPサーバと連携することができます。
(*1)Enterprise Directory ServerとはNECが提供しているLDAPサーバです。WebOTXのCD5枚目(Linuxは4枚目)からインストールすることができます。利用する場合は、セットアップカード(EDS_SetupCard.pdf) を参照して、WebOTXがインストールされている環境にインストールしてください。セットアップカードはCD4枚目(Linuxは3枚目)に含まれています。
LDAPレルムを使用するための設定方法は [ 4.2. レルムの設定 > 4.2.2. LDAPレルム ] 、Enterprise Directory Server(以下EDS)でのユーザ、グループ管理の方法については [ 4.3. ユーザ・グループの設定 > 4.3.2. LDAPレルムを使用する場合 ] を参照してください。OpenLDAPを利用する場合は、OpenLDAPのマニュアルを参照してください。
JDBCレルムを使用する場合、WebOTXは、JDBCドライバがアクセスするデータベースから、ユーザ情報を取得します。JDBCレルムを使用するための設定方法は [ 4.2. レルムの設定 > 4.2.3. JDBCレルム ] 、データベースでユーザ、パスワード等を管理するための表については [ 4.3. ユーザ・グループの設定 > 4.3.3. JDBCレルムを使用する場合 ] を参照してください。
Fileレルムの設定方法について説明します。Fileレルムの設定は、運用管理コマンド、または統合運用管理ツールから行います。
本節では運用管理コマンド(otxadminコマンド)を利用してFileレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。
ドメインが起動していない場合は起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
create-auth-realmコマンドを利用し、Fileレルムの設定を行います。以下にコマンド例を記載します。create-auth-realmコマンドの詳しい使い方は [リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-auth-realm --classname com.nec.webotx.enterprise.security.auth.realm.file.FileRealm
--property "file=${INSTANCE_ROOT}/config/keyfile:jaas-context=fileRealm" filesample
なお、propertyオプションで指定する項目は [4.2.1.3. Fileレルムで設定可能なオプション一覧] を参照してください。
・アプリケーションユーザの認証に使用するレルムを設定する場合
otxadmin > set server.security-service.default-realm=filesample
・WebOTX運用ユーザの認証に使用するレルムを設定する場合
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=filesample
ドメインを再起動することにより、設定が反映されます。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動していない場合は起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
削除するレルムをauth-realm-name、default-realmに設定していると削除を行うことができません。そのため、使用するレルムを変更する必要があります。以下にレルム名filesampleを削除するために、レルム名がldapというレルムを使用する例を記載します。適宜環境に合わせて変更してください。
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > set server.security-service.default-realm=ldap
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=ldap
delete-auth-realmコマンドを利用して、Fileレルムの設定を削除します。以下にコマンド例を記載します。ただし2の手順を行うだけで、使用するレルムを変更することができるので必須ではありません。delete-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。
otxadmin > delete-auth-realm filesample
注意:ドメイン作成時に設定されるデフォルトのFileレルムである、レルム名admin-realm、fileは削除しないでください。
ドメインを再起動することにより、設定が反映されます。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
本節では統合運用管理ツールを利用してFileレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。
ドメインが起動していない場合はコマンドから起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールをdomain1に接続します。統合運用管理ツールの[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックします。表示されたメニューから[認証レルムの作成]を選択します。
図4.2.1.2-1
一般タブを選択し、レルム名に任意の名前を入力します。レルム名は任意に設定できます(本例ではfileとします)。また、クラス名にはcom.nec.webotx.enterprise.security.auth.realm.file.FileRealmを入力してください。
図4.2.1.2-2
次にプロパティの設定を行います。[プロパティ]タブを選択します。[追加]ボタンを押してプロパティの追加を行います。[プロパティ名の編集]ダイアログが表示されるので、のプロパティは「プロパティ名=値」の形式で入力を行ってください。入力が完了した場合は[OK]ボタンを押します。
設定するプロパティの一覧については4.2.1.3節を参照してください。
図4.2.1.2-3
プロパティの設定が終わったら[実行]ボタンを押して、レルムの作成を行います。
図4.2.1.2-4
使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではfilesample)に変更し、[更新]ボタンを押します。
図4.2.1.2-5
[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではfilesampleに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。
図4.2.1.2-6
2、3の変更を反映させるため、ドメインを再起動してください。以下のコマンドから行います。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動していない場合はドメインを起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
削除を行うレルムをデフォルトレルムに設定していると、削除を行うことができません。まず、使用するレルムを変更します。
使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を作成手順の2でレルム名で指定した名前以外(本例ではldapに変更)に変更し、[更新]ボタンを押します。
図4.2.1.2-7
[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではldapに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。
図4.2.1.2-8
2の設定を行うことで使用するレルムを変更することができます。レルムの設定を完全に削除する場合は次の手順を行ってください。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックし、[認証レルムの削除]を選択してください。レルム名に削除するレルムの名前(本例ではfilesample)を入力し、[実行]ボタンをおしてください。
図4.2.1.2-9
設定を反映するためにドメインを再起動してください。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
create-auth-realmコマンドのpropertyオプションで指定するプロパティについて説明します。Fileレルムでは以下のオプションを必ず設定してください。
Fileレルムの設定では以下のプロパティが必須となります。
| プロパティ名 | 説明 | 値 |
| file | ユーザ情報が格納されているkeyfileの完全パスおよびkeyfileの名前 | ${INSTANCE_ROOT}/config/keyfile (keyfileの配置箇所、名前を変更した場合は適宜上記の値を変更してください。) |
| jaas-context | このレルムに使用するログインモジュールタイプ | fileRealm |
LDAPレルムの設定方法について説明します。LDAPレルムの設定は、運用管理コマンド、または統合運用管理ツールから行います。
本節では運用管理コマンド(otxadminコマンド)を利用してLDAPレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。
ドメインが起動していない場合は起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
create-auth-realmコマンドを利用し、LDAPレルムの設定を行います。以下にコマンド例を記載します。create-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-auth-realm --classname com.nec.webotx.enterprise.security.auth.realm.ldap.LDAPRealm
--property "directory=ldap\://localhost\:389:base-dn=c\=JP:jaas-context=ldapRealm" ldap
上記の例の\はUnix/Linux環境ではバックスラッシュに読み替えてください。
なお、propertyオプションで指定する項目は4.2.2.3節のLDAPレルムで設定可能なオプション一覧を参照してください。
otxadmin > set server.security-service.default-realm=ldap
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=ldap
ドメインを再起動することにより、設定が反映されます。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動してない場合は起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
削除するレルムをauth-realm-name、default-realmに設定していると削除を行うことができません。そのため、使用するレルムを変更する必要があります。以下にレルム名がfileというレルムを使用する例を記載します。適宜環境に合わせて変更してください。
{AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx
otxadmin > set server.security-service.default-realm=file
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=file
delete-auth-realmコマンドを利用して、LDAPレルムの設定を削除します。以下にコマンド例を記載します。ただし2の手順を行うだけで、使用するレルムを変更することがでるので必須ではありません。delete-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。
otxadmin > delete-auth-realm ldap
ドメインを再起動することにより、設定が反映されます。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
本節では統合運用管理ツールを利用してLDAPレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。
ドメインが起動していない場合はコマンドから起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールをdomain1に接続します。統合運用管理ツールの[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックします。表示されたメニューから認証レルムの作成を選択します。
図4.2.2.2-1
一般タブを選択し、レルム名に任意の名前を入力します。レルム名は任意に設定できます。また、クラス名にはcom.nec.webotx.enterprise.security.auth.realm.ldap.LDAPRealmを入力してください。
図4.2.2.2-2
追加ボタンを押してプロパティの追加を行います。[プロパティ名の編集]ダイアログが表示されるので、のプロパティは「プロパティ名=値」の形式で入力を行ってください。入力が完了した場合はOKボタンを押します。プロパティの設定一覧は、4.2.2.3節に記載してあります。必須オプションは必ず指定してください。
図4.2.2.2-3
プロパティの設定が終わったら[実行]ボタンを押して、レルムの作成を行います。
図4.2.2.2-4
使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではldap)に変更し、[更新]ボタンを押します。
図4.2.2.2-5
[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではldapに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。
図4.2.2.2-6
2,3の変更を反映させるため、ドメインを再起動してください。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動していない場合はドメインを起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
削除を行うレルムを使用する設定になっていると、削除を行うことができません。まず、使用するレルムを変更します。
使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではfile)に変更し、[更新]ボタンを押します。
図4.2.2.2-7
[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではfileに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。
図4.2.2.2-8
2の設定を行うことで使用するレルムを変更することができます。レルムの設定を完全に削除する場合は次の手順を行ってください。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックし、[認証レルムの削除]を選択してください。レルム名に削除する作成手順2で指定したレルムの名前(本例ではldap)を入力し、[実行]ボタンをおしてください。
図4.2.2.2-9
設定を反映するためにドメインを再起動してください。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
create-auth-realmコマンドのpropertyオプションで指定するプロパティについて説明します。LDAPレルムの設定では、必須オプションと、任意に設定するオプションがあります。
LDAPレルムの設定では以下のプロパティが必須となります。
| プロパティ名 | 説明 | 指定する値 |
| base-dn | ユーザ情報が格納されているエントリをDN形式で指定します。 | 例:dc=users,dc=domains, dc=webotx,o=NEC, c=JP |
| directory | LDAPサーバが動作しているホスト名をLDAP URL形式で指定します。 | 以下のように指定してください。ldap://hostname:port 例:ldap://localhost:389 |
| jaas-context | 使用するログインモジュールのタイプです。 | ldapRealm |
LDAPレルムの設定では以下のプロパティを任意に設定することができます。設定しない場合はデフォルトの値が自動的に設定されます。
| プロパティ名 | 説明 | 既定値 |
| search-filter | ユーザ検索に使用されるフィルタ。 | uid=%s (%sはシステム内部で指定したユーザ名に変換されます。) |
| group-base-dn | グループの情報が格納されているエントリをDN形式で指定します。 | base-dnと同じです。 |
| group-search-filter | グループ検索に使用するフィルタです。 | uniquemember=%d (%dはシステム内部で指定したDNに変換されます。) |
| group-target | グループ名のエントリを含む属性名 | CN |
| search-bind-dn | search-filter検索を実行するために必要なオプションDNです。 | なし |
| search-bind-password | search-bind-dnで指定したDNのパスワードです。*1 | なし |
| authentification | LDAPサーバとの認証方式を指定します。利用できる認証方式は、simple(平文認証)、CRAM-MD5、DIGEST-MD5です。 | simple |
DN形式、CN等LDAPに関する表現についてはEDSのマニュアルを参照してください。
*1 V6.50.02より、パスワードの暗号化を行うことができるようになりました。暗号化の方法については、マニュアル [リファレンス集 運用管理・設定編 > 1. コンフィグレーション(設定一覧) > 1.2. 運用管理エージェント > 1.2.2. 運用管理エージェント設定項目一覧 ]を参照してください。
JDBCレルムの設定方法について説明します。JDBCレルムの設定は、運用管理コマンド、または統合運用管理ツールから行います。
本節では運用管理コマンド(otxadminコマンド)を利用してJDBCレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとし、データベースにはOracleを使用します。適宜環境に合わせて読み替えてください。
ドメインが起動していない場合は起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
create-auth-realmコマンドを利用し、JDBCレルムの設定を行います。以下にコマンド例を記載します。create-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。
{AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-auth-realm --classname com.nec.webotx.enterprise.security.auth.realm.jdbc.JDBCRealm
--property "driverName=oracle.jdbc.driver.OracleDriver:jaas-context=JDBCRealm
:connectionURL=jdbc\:oracle\:thin\:@ntserver\:1521\:ORCL:connectionName=scott
:connectionPassword=tiger:userTable=jdbc_user:userNameCol=userid:userCredCol=passwd
:userRoleTable=jdbc_role:roleNameCol=role" JDBCrealm
なお、propertyオプションで指定する項目は4.2.3.3節のJDBCレルムで設定可能なオプション一覧を参照してください。
otxadmin > set server.security-service.default-realm=JDBCrealm
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=JDBCrealm
JDBCドライバをディレクトリ ${INSTANCE_ROOT}/lib/ext に置く、もしくは ドメインのクラスパスに追加します。JDBCデータソースを利用する場合は、ドメイン起動後に [ リファレンス集 運用管理・設定編 > 1. コンフィグレーション(設定一覧) > 1.8. JDBCデータソース > 1.8.1. JDBCデータソース設定項目・設定方法 ] も参照して、設定してください。
ドメインを再起動することにより、設定が反映されます。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動してない場合は起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
削除するレルムをauth-realm-name、default-realmに設定していると削除を行うことができません。そのため、使用するレルムを変更する必要があります。以下にレルム名がfileというレルムを使用する例を記載します。適宜環境に合わせて変更してください。
{AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx
otxadmin > set server.security-service.default-realm=file
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=file
delete-auth-realmコマンドを利用して、JDBCレルムの設定を削除します。以下にコマンド例を記載します。ただし2の手順を行うだけで、使用するレルムを変更することがでるので必須ではありません。delete-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。
otxadmin > delete-auth-realm JDBCrealm
ドメインを再起動することにより、設定が反映されます。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
本節では統合運用管理ツールを利用してJDBCレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。
ドメインが起動していない場合はコマンドから起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールをdomain1に接続します。統合運用管理ツールの[domain1]-[アプリケーションサーバ]を右クリックします。表示されたメニューから認証レルムの作成を選択します。
図4.2.3.2-1
一般タブを選択し、レルム名に任意の名前を入力します。レルム名は任意に設定できます。また、クラス名にはcom.nec.webotx.enterprise.security.auth.realm.jdbc.JDBCRealmを入力してください。
図4.2.3.2-2
追加ボタンを押してプロパティの追加を行います。[プロパティ名の編集]ダイアログが表示されるので、のプロパティは「プロパティ名=値」の形式で入力を行ってください。入力が完了した場合はOKボタンを押します。プロパティの設定一覧は、4.2.3.3節に記載してあります。必須オプションは必ず指定してください。
図4.2.3.2-3
プロパティの設定が終わったら[実行]ボタンを押して、レルムの作成を行います。
図4.2.3.2-4
使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではJDBCrealm)に変更し、[更新]ボタンを押します。
図4.2.3.2-5
[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[認証レルム名]に作成手順の2で指定した名前以外(本例ではJDBCrealmに変更)に変更し、[更新]ボタンを押します。[認証レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。
図4.2.3.2-6
2,3の変更を反映させるため、ドメインを再起動してください。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動していない場合はドメインを起動します。
${AS_INSTALL}/bin/otxadmin start-domain domain1
削除を行うレルムを使用する設定になっていると、削除を行うことができません。まず、使用するレルムを変更します。
使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]ををクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではfile)に変更し、[更新]ボタンを押します。
図4.2.3.2-7
[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[認証レルム名]に作成手順の2で指定した名前以外(本例ではfileに変更)に変更し、[更新]ボタンを押します。[認証レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。
図4.2.3.2-8
2の設定を行うことで使用するレルムを変更することができます。レルムの設定を完全に削除する場合は次の手順を行ってください。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックし、[認証レルムの削除]を選択してください。レルム名に削除する作成手順2で指定したレルムの名前(本例ではJDBCrealm)を入力し、[実行]ボタンをおしてください。
図4.2.3.2-9
設定を反映するためにドメインの再起動を行ってください。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
create-auth-realmコマンドのpropertyオプションで指定するプロパティについて説明します。JDBCレルムの設定では、必須オプションと、任意に設定するオプションがあります。
JDBCレルムの設定では以下のプロパティが必須となります。JDBCドライバとJDBCデータソースのどちらを使うかで必須オプションが変わります。また、両方の設定がある場合は、JDBCデータソースの設定が優先されます。
|
プロパティ名 |
説明 |
指定する値 |
| jaas-context | 使用するログインモジュールのタイプです。 |
・JDBCRealm ・jdbcDigestRealm(※DIGEST認証で使用する場合のみ) |
| datasource-jndi | 使用するJDBCデータソース名を指定します。JDBCドライバを指定する設定より優先して使用します。 |
JNDI名で指定してください。 |
| user-table | ユーザ情報テーブルの名前 | 例:jdbc_user |
| user-name-column | ユーザ名を格納するフィールドの名前を指定します。 | 例: userid |
| password-column | パスワードを格納するフィールドの名前を指定します。 | 例: passwd |
| group-table | グループ情報テーブルの名前を指定します。 | 例: jdbc_group |
| group-name-column | グループ名を格納するフィールドの名前を指定します。 | 例: group |
JDBCレルムの設定では以下のプロパティを任意に設定することができます。設定しない場合はデフォルトの値が自動的に設定されます。
| プロパティ名 | 説明 | 既定値 |
| group-table-user-name-column | グループ情報テーブルのユーザ名を格納するフィールドの名前を指定します。 | user-name-column の値 |
| digest-algorithm | データベースに保存するパスワードのダイジェスト方式を指定します。ダイジェスト方式にはMD5、SHA-1、SHA-256、SHA-384、SHA-512のいずれかを指定することができます。 | NULL (平文を使用) |
※digest-algorithmプロパティを設定するとDIGEST認証ができなくなります。
本節では、WebOTX運用ユーザの管理にFileレルムを利用する場合の、ユーザの追加、削除の方法について説明します。以下の例では、ドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxx、Fileレルム名をfilesampleとします。
運用管理コマンド(otxadminコマンド)を利用して、ユーザの追加を行う方法について説明します。
ドメインが起動していない場合は起動してください。
${AS_INSTALL}/bin/otxadmin start-domain domain1
ユーザを追加する場合、create-file-userコマンドを利用します。create-file-userコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。作成するユーザは、ユーザID testuser、パスワード admpass、グループ testgrp、追加するFileRealm名はtestRealmとします。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-file-user --userpassword admpass --groups testgrp --authrealmname testRealm testuser
注意:--authrealmnameオプションを省略して実行すると、運用管理ユーザで使用するデフォルトのレルム(admin-realm)にユーザが追加されます。
現在使用されているレルムを確認するには以下のコマンドを実行してください。
・アプリケーションで使用しているレルムを確認する場合
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get server.security-service.default-realm
・運用管理ユーザで使用しているレルムを確認する場合
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get --visibility=3 server.admin-service.jmx-connector.system.auth-realm-name
作成したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。作成したユーザをアプリケーションで利用する場合、ドメインの再起動は必要ありません。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ユーザの追加で作成したユーザtestuserを削除する手順を説明します。
ドメインが起動していない場合は起動してください。
${AS_INSTALL}/bin/otxadmin start-domain domain1
ユーザを削除するにはdelete-file-userコマンドを利用します。delete-file-userコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス]を参照してください。以下の例では削除するユーザはtestuser、レルム名はfileとします。ユーザ名、レルム名は実際の環境に合わせて変更してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password admin
otxadmin > delete-file-user --authrealmname file testuser
注意:--authrealmnameオプションを省略して実行すると、運用管理ユーザで使用するデフォルトのレルム(admin-realm)からユーザを削除します。
現在使用されているレルムを確認するには以下のコマンドを実行してください。
・アプリケーションで使用しているレルムを確認する場合
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get server.security-service.default-realm
・運用管理ユーザで使用しているレルムを確認する場合
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > get --visibility=3 server.admin-service.jmx-connector.system.auth-realm-name
削除したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。削除したユーザをアプリケーションで利用される場合、ドメインの再起動は必要ありません。
otxadmin > exit
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールを利用して、ユーザの追加を行う方法について説明します。
ドメインが起動していない場合は起動してください。
${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールを起動し、ドメインに接続してください。
統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[新しいユーザの作成]を選択します。
図4.3.1.1-1
[アプリケーションサーバの操作]画面に、作成するユーザのユーザ名、グループ名、パスワード、レルム名を入力してください。ユーザアプリケーションで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[システム]の[認証レルム名]を確認してください。
図4.3.1.1-2
作成したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。作成したユーザがアプリケーションで利用する場合、ドメインの再起動は必要ありません。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
ドメインが起動していない場合は、起動してください
${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールを起動し、ドメインに接続してください。
統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[ユーザの削除]を選択します。
図4.3.1.1-3
[アプリケーションサーバの操作]画面が表示されますので、削除するユーザ名とレルム名を入力してください。ユーザアプリケーションで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[システム]の[認証レルム名]を確認してください。
図4.3.1.1-4
削除したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。削除したユーザがアプリケーションで利用される場合、ドメインの再起動は必要ありません。
(停止)
${AS_INSTALL}/bin/otxadmin stop-domain domain1
(起動)
${AS_INSTALL}/bin/otxadmin start-domain domain1
グループは、ユーザを作成する際に指定されたグループ名が新規の場合に、自動的に追加されます。 新規グループを追加したい場合は、新しいグループに所属させたいユーザを作成する際に、新グループ名を指定してください。 ユーザの追加手順は、4.3.1.1節を参照してください。
グループは、所属しているユーザがいなくなった場合に、自動的に削除されます。 グループを削除する場合は、所属しているユーザを削除、もしくは他のグループに所属させてください。 ユーザの削除手順は、4.3.1.1節を参照してください。ユーザの設定変更手順は、4.3.1.3節を参照してください。
運用管理コマンド(otxadminコマンド)を利用して、ユーザの設定変更を行う方法について説明します。
運用ユーザのグループ、パスワードの変更は、update-file-userコマンドで行います。 update-file-userコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス]を参照してください。 以下の例では変更するユーザはadmin1、レルム名はadmin-realmとします。 ユーザ名、レルム名は実際の環境に合わせて変更してください。
グループを変更する場合は以下のコマンドを実行します。 --groupsオプションで、新しいグループ名を指定してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --groups <新グループ名> --authrealmname admin-realm admin1
パスワードを変更する場合は以下のコマンドを実行します。 --userpasswordオプションで、新しいパスワードを指定してください。
${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > update-file-user --userpassword <新パスワード> --authrealmname admin-realm admin1
LDAPレルムを利用する場合、LDAPサーバへのユーザおよびグループの登録が必要です。 利用するLDAPサーバのマニュアルを参照して、ユーザおよびグループの登録を行ってください。
以下では、LDAPサーバとしてEnterprise Directory Server(以下EDS)を利用する場合について説明します。 WebOTXとEDSを連携させる場合は、WebOTXのセットアップカードに記載されているEDS初期化を行ってください。
EDSにユーザを追加、削除する方法はEDSの運用管理ツールから行うか、EDSのedloadコマンドを利用し、ldifファイルを読み込む方法があります。edloadコマンドを利用してユーザの追加、削除を行う方法については、EDSのマニュアル(ユーティリティ利用の手引1章)を参照してください。今回、運用管理ツールから追加を行う方法について説明します。
EDS Protocol Serverが起動していない場合は起動してください。
サービスマネージャから[EDS Protocol Server]を起動、またはコマンドプロンプトで
net start "EDS Protocol Server"
を実行してください。
/opt/nec/eds/bin/EDAGENT start
/opt/eds/bin/EDAGENT start
EDSの運用管理ツールを起動してください。
スタートメニューの[Enterprise Directory Server]-[運用管理ツール]を選択してください。
/opt/nec/eds/client/edsconsole
/opt/eds/client/edsconsole
を実行してください。HP-UX、Linuxで運用管理ツールを起動する場合、環境ファイルの作成が必要となります。環境ファイルの作成方法は、それぞれのOSに対応したEDSのセットアップカードを参照してください。
運用管理ツールを起動後、以下の情報を入力してください。
| 項目 | 説明 |
| サーバ名 | EDSが起動しているマシン名 |
| ユーザ名 | EDSに登録されているユーザ名をDN形式で入力 |
| パスワード | EDSインストール時に設定した管理者パスワード |
| 認証レベル | 保護つき簡易認証(CRAM-MD5) |
ユーザ名の例
EDSインストール直後にログインを行う場合は、管理ユーザを利用してください。DNは以下のようになります。
cn=ldapAdministrator,${ROOT_ENTRY}
Windowsの場合:EDSデータベース初期化ツール実行時
HP-UX/Linuxの場合:/opt/eds/bin/edinit(HP-UX),/opt/nec/eds/bin/edinit(Linux)実行時
図4.3.2.1-1
EDS初期化スクリプトを実行していない場合は以下のコマンドを実行してください。
${AS_INSTALL}/config/eds/edsinit.bat(edsinit) ${ROOT_ENTRY}
上記コマンドを実行すると、運用管理ツールには以下のように表示されます。
図4.3.2.1-2
usersを右クリックし、表示されるメニューから[利用者登録]を選択すると、[新規エントリ]が表示されます。
図4.3.2.1-3
図4.3.2.1-4
新規エントリ画面では構造クラスにinetOrgPersonを必ず指定してください。また、以下の属性値は必ず指定してください。
| 属性名 | 説明 |
| cn | 一般名。氏名、社員番号など |
| sn | 姓 |
| userPassword | 登録するユーザのパスワード。アプリケーション等の認証に利用 |
| uid | 登録するユーザのID。アプリケーション等の認証に利用 |
その他の属性については必要に応じて設定してください。
EDSサーバ、運用管理ツールの接続方法は、ユーザ作成を参照して、運用管理ツールの接続まで完了してください。
運用管理ツールにおいて、削除したいユーザ名を右クリックします。本例ではユーザ名testを利用します。
右クリックメニューから[削除]を選択します。
図4.3.2.1-5
右クリックメニューから[ユーザアカウント]-[無効にする]を選択します。
図4.3.2.1-6
EDSに新たにグループを作成、削除する方法について説明します。グループの作成、削除にはEDSの運用管理ツールを利用して行います。本例では、ユーザとして、ユーザ名:[test]を予め作成しているものとします。
EDS Protocol Serverが起動していない場合は起動してください。
サービスマネージャから[EDS Protocol Server]を起動、またはコマンドプロンプトで
net start "EDS Protocol Server"
を実行してください。
/opt/nec/eds/bin/EDAGENT start
/opt/eds/bin/EDAGENT start
EDSの運用管理ツールを起動してください。
スタートメニューの[Enterprise Directory Server]-[運用管理ツール]を選択してください。
/opt/nec/eds/client/edsconsole
を実行してください。HP-UX、Linuxで運用管理ツールを起動する場合、環境ファイルの作成が必要となります。環境ファイルの作成方法は、それぞれのOSに対応したセットアップカードを参照してください。
運用管理ツールを起動後、以下の情報を入力してください。
| 項目 | 説明 |
| サーバ名 | EDSが起動しているマシン名 |
| ユーザ名 | EDSに登録されているユーザ名をDN形式で入力 |
| パスワード | EDSインストール時に設定した管理者パスワード |
| 認証レベル | 保護つき簡易認証(CRAM-MD5) |
ユーザ名の例
EDSインストール直後にログインを行う場合は、管理ユーザを利用してください。DNは以下のようになります。
cn=ldapAdministrator,${ROOT_ENTRY}
注意:${ROOT_ENTRY}はEDSインストール後の作業時に指定したルートエントリを指定してください。
Windowsの場合:EDSデータベース初期化ツール実行時
HP-UX/Linuxの場合:/opt/eds/bin/edinit(HP-UX),/opt/nec/eds/bin/edinit(Linux)実行時
図4.3.2.2-1
EDS初期化スクリプトを実行していない場合は以下のコマンドを実行してください。
${AS_INSTALL}/config/eds/edsinit.bat(edsinit) ${ROOT_ENTRY}
上記コマンドを実行すると、運用管理ツールには以下のように表示されます。
図4.3.2.2-2
usersを右クリックし、表示されるメニューから[グループ]-[新規作成]を選択すると、[新規エントリ]が表示されます。
図4.3.2.2-3
新規エントリ画面では構造クラスには、groupOfUniqueNamesを必ず指定してください。また、以下の属性値は必ず指定してください。
運用管理ツールを起動後、以下の情報を入力してください。
| 属性名 | 説明 |
| uniqueMember | グループを作成する場合は、作成時に必ず1ユーザをグループ所属させる必要がある。作成時に所属させるユーザのDN |
| cn | グループ名 |
その他の属性については必要に応じて指定してください。
図4.3.2.2-4
グループのアクセス権の設定をします。アクセス権の設定方法についてはEDSのマニュアル(運用の手引5章)を参照してください。
EDSサーバ、運用管理ツールの接続方法は、グループ作成を参照して、運用管理ツールの接続まで完了してください。
運用管理ツールにおいて、削除したいユーザ名を右クリックします。
右クリックメニューから[削除]を選択します。
図4.3.2.2-5
右クリックメニューから[ユーザアカウント]-[無効にする]を選択します。
図4.3.2.2-6
作成したユーザをグループに登録します。グループの作成方法は5.2.2節を参照してください。ここでは、予めotxadminグループが作成されているとします。
1. 作成したユーザ名を右クリックし、[グループ]-[グループへ加入]を選択します。
図4.3.2.3-1
2.[グループ選択]画面で登録したいグループを選択し[←追加]ボタンを押します。最後に[OK]ボタンを押すことで、グループへの追加は完了です。本例ではotxadminグループに追加しています。
図4.3.2.3-2
本節では、JDBCレルムを利用する場合の、ユーザの追加、削除の方法について説明します。ここではデータベースにOracleを使用することを前提としますが、操作はSQLで記述しますので、その他のデータベースでも利用することが可能です。
データベースのアプリケーションのインストール、データベースの作成方法、ログイン方法については、利用するデータベースのマニュアルを参照してください。
注意:JDBCに運用管理ユーザを作成する場合、ユーザ名がadmin、systemのユーザを作成する必要はありません。admin、systemはFileレルムのユーザを利用します。
ユーザおよびグループを登録するために、事前に次のようなテーブルを作成しておきます。
テーブル名:jdbc_user(任意)
| フィールド名 | データ型 | 内容 |
| userid(任意) | VARCHAR(10) | ユーザ名を登録します。※最大長はシステムの仕様に応じて適宜変更してください |
| passwd(任意) | VARCHAR(32) | パスワードを登録します。※最大長はシステムの仕様に応じて適宜変更してください |
| realm(任意) | VARCHAR(30) | レルム名を登録します。 DIGEST認証を行い、かつ複数のレルムがこのテーブルを参照する場合のみ必須フィールドとなります。 ※レルム名にはJDBCレルムのname値を登録します。 ※最大長はシステムの仕様に応じて適宜変更してください |
テーブル名:jdbc_role(任意)
| フィールド名 | データ型 | 内容 |
| userid(任意) | VARCHAR(10) | ユーザ名を登録します。※最大長はシステムの仕様に応じて適宜変更してください |
| role(任意) | VARCHAR(10) | ロール名を登録します。※最大長はシステムの仕様に応じて適宜変更してください |
コマンドを利用して、テーブルを作成する方法について説明します。
次のコマンドを実行します。
CREATE TABLE jdbc_user(userid VARCHAR(10), passwd VARCHAR(30), realm VARCHAR(30));
CREATE TABLE jdbc_role(userid VARCHAR(10), role VARCHAR(10));
※太字箇所は任意です
※データの長さは、必要な長さを指定します。
テーブルの作成で、作成したテーブルjdbc_userおよびjdbc_roleを削除する手順を説明します。
次の、コマンドを実行します。
drop table jdbc_user;
drop table jdbc_role;
データベースにSQLで、ユーザを追加、削除する方法について説明します。
次のコマンドを実行します。(ユーザ名:user1、パスワードpasswordの登録例です)
INSERT INTO jdbc_user(userid, passwd) values ('user01', 'password');
※同一のユーザ名のエントリが複数あった場合は、最初に一致したエントリを使用します。
※パスワードのダイジェストは、次のコマンドで生成することができます。
> cd ${AS_INSTALL}/modules
> java -cp ./web-core.jar org.apache.catalina.realm.RealmBase -a <ダイジェスト方式> <パスワード>
※ダイジェスト方式は3.3.1.JDBCレルムの設定で指定した方式を指定します。ダイジェスト方式にはMD5、SHA-1、SHA-256、SHA-384、SHA-512のいずれかを指定することができます。
ユーザの追加で、登録したユーザuser01を削除する手順を説明します。
次の、コマンドを実行します。
DELETE from jdbc_user where userid='user01';
SQLを利用して、ユーザの登録状況を確認する方法について説明します。
次の、コマンドを実行します。(ユーザ名 user01を確認する例です)
select * from jdbc_user where userid='user01';
データベースにSQLでグループの追加、削除する方法について説明します。グループは、ユーザ名とグループ名の組を1つエントリとして登録します。
SQLを利用して、グループを追加する行う方法について説明します。
INSERT INTO jdbc_role(userid, role) values ('user01', 'users');
グループの追加で作成したグループusersを削除する手順を説明します。
DELETE from jdbc_role where role='users';
・1人のユーザに複数のグループを設定する場合は、それぞれのグループに対して1つのエントリを作成してください。
UNIX系のOSでは、WebOTXのインストール時にシステム管理者権限をもつrootユーザとは別に、WebOTXの起動ユーザを指定してインストールが可能であり、推奨しています。WebOTX管理ユーザ(運用ユーザ)を設定することで、不用意なシステム権限領域へのアクセスを制御し、より強固なセキュリティの確保とOSのもつユーザ制限機能を利用することができます。
運用ユーザを変更するスクリプトを提供していますので、インストール後でも運用ユーザに変更することが可能です。
ただし、WebOTX管理ユーザを利用する場合には、OSの制限により、1024以下のポート番号を利用することができなくなります。HTTP/HTTPS用のポート番号を1024以下で設定している場合には、ポート番号の再設定等が必要になるため、注意が必要です。
なお、UNIX系OSにおける運用ユーザのパスワード変更によるWebOTXへの影響はありません。Windows OSの場合は [ 1. Windowsサービスとrcスクリプト > 1.4. Windowsサービスアカウントの変更 ] を参照してください。
# otxadmin stop-domain WebOTXAdmin
ここでは説明の為に、ユーザ名を「admin」、 グループ名を「webotx」と設定します。アカウントの作成はシステム管理者に依頼するか、各OSの運用マニュアルを参照して登録を行ってください。
# cd /opt/WebOTX/bin # ./otxown.sh ## Executing WebOTX Operation User Change script. Would you like to change as WebOTX Operation User? [y, n](default n) y Please input WebOTX Operation User name. admin Please input WebOTX Operation User group name. webotx ********************************************************** * Change of WebOTX Operation User. To continue, input y. * * Input q to exit the installation. [y, q](default y) * **********************************************************
UNIX系のOSでは、複数のドメインを異なるユーザで運用する機能をサポートしています。ここではそのための手順を説明します。
ドメインごとに運用ユーザを変えたい時はこちらの設定をご検討ください。
設定の際は、以下の点に注意してください。
以下の環境を例にして設定方法を説明します。
| ドメイン種別 | 名前 | 値 | ||
|---|---|---|---|---|
| 管理ドメイン | WebOTXAdmin | - | ||
| 一般ドメイン | domain1 | 運用ユーザ | オーナ | otxadm |
| グループ | otxadmin | |||
| 一般ドメイン | domain2 | 運用ユーザ | オーナ | otxadm2 |
| グループ | otxadmin | |||
ここでは、WebOTXの制御ファイルに関して、値の変更や権限の変更を行います。
/opt/WebOTX/config/asenv.confに以下の一行を追加してください。
AS_MULTIUSER=TRUE
/opt/WebOTX/bin/otxown.shを用いて、WebOTX配下のオーナとグループをrootに戻してください。
各ドメインの<INSTANCE_ROOT>配下のディレクトリ・ファイルのオーナとグループを各運用ユーザにそれぞれ変更してください。 マニュアルの例では、変更後は以下のようになります。
| ディレクトリ | ファイルオーナ | グループ |
|---|---|---|
| /opt/WebOTX/domains/domain1 とその配下 | otxadm | otxadmin |
| /opt/WebOTX/domains/domain2 とその配下 | otxadm2 | otxadmin |
以下のディレクトリは、各運用ユーザすべてが読み込み・書き込みできる必要があります。 グループをrootから、運用ユーザの所属するグループに変更してください。 マニュアルの例では、変更後は以下のようになります。
| ディレクトリ | ファイルオーナ | グループ |
|---|---|---|
| /opt/WebOTX/domains | root | otxadmin |
| /opt/WebOTX/Trnsv とその配下 | root | otxadmin |
以下のディレクトリとファイルは、各運用ユーザすべてが読み込み・書き込みできる必要があります。 それらに対して、運用ユーザのオーナ/グループで書き込みができるようにファイル権限775を設定してください。
設定について、以下の補足事項があります。
WebOTX運用管理ユーザをroot以外に設定した場合、OSの制約上1024番以下のポート番号は使用できません。もし、ポート番号1024番以下で内蔵型Webサーバを使用中のドメインがあれば、そのドメインに対して、1025番以降の現在のシステムで利用可能な番号に変更してください。
下に示したdomain.xmlファイルを編集して、ポート番号を変更してください。
編集する箇所は、<http-service>要素の以下のサブ要素です。idが"http-listener-1"、"http-listener-2"となっているhttpリスナのポートを変更してください。
<http-listener accept-count="10" address="0.0.0.0" buffer-size="2048" connection-timeout="60000" default-virtual-server="server" enable-lookups="false"enabled="true" id="http-listener-1" limit-processors="15" max-processors="20" min-processors="5" port="80" protocol="HTTP/1.1" security-enabled="false" server-name="" xpowered-by="true"> </http-listener> <http-listener accept-count="10" address="0.0.0.0" buffer-size="2048" connection-timeout="60000" default-virtual-server="server" enable-lookups="false"enabled="true"id="http-listener-2" limit-processors="15" max-processors="20" min-processors="5" port="443" protocol="HTTP/1.1" security-enabled="true" server-name="" xpowered-by="true"> </http-listener>
この設定は、パッチモジュールを適用する前にドメインが起動した状態から、以下のように統合運用管理ツールを用いて変更することもできます。
[一般]画面内のポート番号を変更します。
運用管理コマンドによる設定も可能です。
# cd <INSTALLDIR> # bin/otxadmin otxadmin> start-domain --remote <ドメイン名> otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <管理ポート番号> otxadmin> set server.http-service.http-listener.http-listener-1.port=<ポート番号> otxadmin> set server.http-service.http-listener.http-listener-2.port=<ポート番号> otxadmin> stop-domain --remote <ドメイン名>
Windows版 WebOTX ASをインストールしたときに設定されるサービスのアカウント、パスワードを変更する場合は以下のように行ってください。
例) 「WebOTX Agent Service」サービスのアカウント、パスワードを変更する場合:
指定するアカウントはAdministrators権限が必要です。また、 "サービスとしてログオン" の権限を持っている必要があります。