Sun ONE Web Server 6.1 管理者ガイド |
「Global Settings」タブ
「Settings」タブには、次のページがあります。
「Configure Directory Service」ページLDAP (Lightweight Directory Access Protocol) というオープンシステムのサーバープロトコルに基づいて、Sun ONE Directory Server などのディレクトリサーバーでは、単一のソースからすべてのユーザー情報を管理することができます。ディレクトリサーバーを設定すると、ネットワークに容易にアクセスできる複数の場所から、ユーザーがディレクトリ情報を取得できるようになります。「Configure Directory Service」ページから、新しいディレクトリサービスを作成したり、既存のディレクトリサービスの編集や削除を行うことができます。
仮想サーバーごとに異なるディレクトリサービスを後から割り当てることができます。詳細については、「About Directory Services」およびオンラインヘルプの「「Pick Directory Services for Virtual Server」ページ」を参照してください。
次の各要素が表示されます。
Create New Service of Type: 選択肢は、次のとおりです。
New: 選択したタイプの新しいディレクトリサービスを作成します。
Delete: サービスを削除するには、対応するラジオボタンを選択し、「OK」をクリックします。これにより、dbswitch.conf ファイルからディレクトリサービスエントリは削除されますが、ファイル自体は削除されません。
Directory Service ID: ディレクトリサービスの名前。サービスの名前をクリックし、選択したサービスのタイプに対応する設定ページのプロパティを編集します。
Directory Service Type: 次のサービスのタイプを一覧表示します: LDAP、Key File、Digest File
OK: エントリを保存し、適切なエントリでserver-root/userdb/dbswitch.conf ファイルを更新します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「LDAP Directory Server Configuration」ページ「LDAP Directory Server Configuration」ページから、サーバーの基本的な LDAP 設定を行うことができます。
次の各要素が表示されます。
Directory Service ID: ディレクトリサービスの名前。これが設定しているただ 1 つのディレクトリサービスである場合、Directory Service ID は「default」に設定されます。
Host Name: LDAP サーバーの名前を指定します。ディレクトリサーバーがローカルマシンで稼動している場合であっても、ホスト名を入力する必要があります。
Port: サーバーの稼動時に使用するポートを指定します。ディレクトリサーバーで SSL を使用する場合、ディレクトリサーバーが SSL 用に使用するポートの番号を入力します。
Use Secure Sockets Layer (SSL) for connections: サーバーが、ディレクトリサーバーとの通信に SSL を使用するかどうかを指定します。「Yes」を指定する場合には、SSL 通信を使用するように管理サーバーを設定する必要があります。
Base DN: デフォルトのディレクトリ検索が行われ、管理サーバーのすべてのエントリがディレクトリツリーに配置される場所の識別名を指定します (例: o=sun.com)。DN は、ディレクトリサーバーのエントリ名を表す文字列です。
Bind DN: 管理サーバーがディレクトリサーバーへの最初のバインド (またはログイン) に使用する識別名を指定します (例: cn=Directory Manager)。バインドにより、接続時間に与えられるアクセス権のレベルが決定されます。バインド要求に使用する DN は、エイリアスエントリの DN としても使用できます。
このバインド DN は、ディレクトリの参照と検索だけに必要です。この DN および関連のパスワード (設定されている場合) は漏洩しやすいため、このフィールドには何も入力せず、ディレクトリサーバーを匿名で検索できるように設定することをお勧めします。ディレクトリへの匿名での検索を許可したくない場合、ここには、参照と検索だけを許可するバインド DN エントリを指定します。このフィールドには、ディレクトリサーバーのアクセス権に制限のないユーザー (ルート DN) は、指定しないでください。
Bind Password: 認証に使用するパスワードを指定します。
Save Changes: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Key File Configuration」ページ「Key File Configuration」ページでは、ディレクトリサービス名をキーファイルと呼ばれるテキストファイルとバインドすることができます。キーファイルは、file レルムで使用するユーザーやグループ認証の設定を格納します。
次の各要素が表示されます。
Directory Service ID: ディレクトリサービスの名前。 これが設定しているただ 1 つのディレクトリサービスである場合、Directory Service ID は「default」に設定されます。
File Name: キーファイルの名前。「Save Changes」をクリックすると、サーバーは、該当するファイルが存在するかどうかを確認します。存在しない場合、ファイルが作成されます。ファイルが作成できない場合、エラーメッセージが表示されます。
Save Changes: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Digest File Configuration」ページ「Digest File Configuration」ページでは、ディレクトリサービスの名前とダイジェストファイルをバインドできます。
次の各要素が表示されます。
Directory Service ID: ディレクトリサービスの名前。これが設定しているただ 1 つのディレクトリサービスである場合、Directory Service ID は「default」に設定されます。
File Name: ダイジェストファイルの名前。「Save Changes」をクリックすると、サーバーは、該当するファイルが存在するかどうかを確認します。存在しない場合、ファイルが作成されます。ファイルが作成できない場合、エラーメッセージが表示されます。
Save Changes: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Restrict Access」ページ「Restrict Access」ページでは、管理サーバーへのアクセス制御を指定します。詳細は、「Setting Access Control Globally」を参照してください。
注
管理サーバーのアクセス制御を作成する前に、「Preferences」タブの「Distributed Administration」ページで管理グループを設定し、分散管理を有効にする必要があります。
次の各要素が表示されます。
For the ACL: ドロップダウンリストから ACL エントリを選択できます。
Go: データをロードします。
Create ACL: サーバーの ACL を作成します。
OK: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Access Control Rules for」ページ「Access Control Rules for」ページは、アクセス制御規則を設定するための、2 つのフレームに区切られています。選択したリソースにアクセス制御規則がすでに設定されている場合、その規則は上のフレームに表示されます。詳細は、「Setting Access Control Globally」を参照してください。
次の各要素が表示されます。
上部フレーム
上部フレームには、アクセス制御規則が表示されていて、それぞれ可能な設定をリンクとして示しています。リンクをクリックすると、ページが 2 つのフレームに分割されます。アクセス制御規則を設定するには、下部フレームを使用します。管理サーバーの ACL は、デフォルトでは、編集不可能な 2 つの deny 文から始まります。
次の要素は、上部フレームに表示されます。
Action
ユーザー、グループ、ホストに対して、アクセスを拒否するか許可するかを指定します。管理サーバーでは、アクセス制御規則の最初の 2 行は、admin グループを除く全員に管理サーバーのどの部分へのアクセスも認めないように設定されています。admin グループ以外のユーザーやグループにもアクセスを許可する場合は、「New Line」をクリックして、新規のアクセス制御規則を作成する必要があります。詳細は、「Setting Access Control Globally」を参照してください。
Users/Groups
「anyone」をクリックすると、ユーザーやグループの認証を指定することができます。下部フレームでは、ユーザーとグループの認証を設定することができます。デフォルトでは、admin グループ以外のユーザーおよびグループは、管理サーバーリソースにアクセスできません。詳細は、「Specifying Users and Groups」を参照してください。
From host
「anyplace」をクリックすると、規則に適用するコンピュータを指定することができます。下部フレームに、許可、または、拒否するホスト名のワイルドカードパターンや IP アドレスを入力することができます。詳細は、「Specifying the From Host」を参照してください。
Programs
管理サーバーのエリアへのアクセスを制限します。たとえば、「All Programs」を選択して、管理サーバーの設定に関連するすべてのページへのアクセスを制限することができます。エリアへのアクセスを制限する場合、ドロップダウンリストからプログラムグループの名前を選択します。タブのあるページへのアクセスを制限する場合、ページ名を「Program Items」に入力します。たとえば、「Access Control List Management」ページへのアクセスを制限するには、「Program Items」に「distacl」と入力します。詳細は、「Restricting Access to Programs」を参照してください。
Extra
カスタマイズされた ACL エントリを指定することができます。アクセス制御 API を使用して ACL をカスタマイズする場合、この機能を使用します。詳細は、「Writing Customized Expressions」を参照してください。
Continue
サーバーがユーザーのアクセスを許可するかどうか判定する前に、アクセス制御規則チェーンの次の行が評価されるよう指定します。アクセス制御エントリで複数の行を作成する際、最も一般的な制限から順に、より特定的な制限に移るようにすると、効率よく評価できます。
ゴミ箱アイコン
アクセス制御規則から対応する行を削除します。
注
ACL ファイルからすべての ACL 規則を削除することはしないでください。サーバーを起動するためには、少なくとも 1 つの ACL 規則が記述された ACL ファイルが、少なくとも 1 つ必要です。ACL ファイルから ACL 規則すべてを削除した場合、サーバーを再起動しようとすると、構文エラーが発生します。
Access control is on
アクセス制御を有効にするかどうかを指定します。
New Line
表の最後の行にデフォルトの ACL 規則を追加します。
アクセス制御制限を、その前のアクセス制御制限と置き換えるときは、上向き矢印をクリックします。アクセス制御制限を、その後のアクセス制御制限と置き換えるときは、下向き矢印をクリックします。
Response when Denied
ユーザーがアクセスを拒否されたときに表示される応答メッセージを指定します。アクセス制御オブジェクトごとに、異なるメッセージを作成することができます。デフォルトでは、ユーザーには次のようなメッセージが送信されます。「FORBIDDEN. Your client is not allowed access to the restricted object.」 (FORBIDDEN. クライアントは要求されたオブジェクトへのアクセスを許可されていない) 詳細は、「Responding When Access is Denied」を参照してください。
Submit: エントリを保存します。
Revert: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
下部フレーム
下部フレームでは、上部フレーム内の ACL のアクセス制御規則を設定できます。
次の要素は、下部フレームに表示されます。
Allow/Deny
詳細は、「Setting the Action」を参照してください。
Allow: ユーザー、グループ、またはホストにアクセスを許可します。
Deny: ユーザー、グループ、またはホストにアクセスを拒否します。
Update: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
User/Group
詳細は、「Specifying Users and Groups」を参照してください。
Anyone (No Authentication): すべてのユーザーにリソースへのアクセスを許可します。認証は必要ありません。
Authenticated people only: 認証されたユーザーやグループに対してだけ、リソースへのアクセスを許可します。次のオプションから選択します。
Prompt for authentication: 認証ダイアログボックスで表示されるメッセージテキストを指定することができます。このテキストを使用して、ユーザーが入力する必要のある項目について説明することができます。オペレーティングシステムによっては、最初の 40 文字程度しか表示されない場合があります。Netscape Navigator や Netscape Communicator の場合、ユーザー名とパスワードは、キャッシュに取り込まれ、確認メッセージと関連付けられます。このため、同じ確認メッセージを持つサーバー領域 (ファイルとディレクトリ) にユーザーがアクセスする場合、ユーザー名とパスワードを入力し直す必要がありません。逆に、さまざまな領域ごとにユーザーに認証を義務付けたい場合、そのリソースの ACL 確認メッセージを変更する必要があります。
Update: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
From Host
詳細は、「Specifying the From Host」を参照してください。
Any place: すべてのマシンにリソースへのアクセスを許可します。
Only from: 次の内容に基づいて、アクセスを制限することができます。
マシンのホスト名や IP アドレスに一致するワイルドカードパターンを、フィールドに入力します。たとえば、指定ドメインのすべてのコンピュータに対してアクセスを許可するか、または拒否する場合、*.sun.com のように特定ドメイン内のすべてのホストと一致するワイルドカードパターンを指定します。
Update: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
Programs
詳細は、「Restricting Access to Programs」を参照してください。
All programs: ユーザーやグループに管理サーバーのすべてのタブにアクセスすることを許可します。
Only the following: 指定するユーザーやグループに、サーバーの特定領域へのアクセスを許可します。「Program Groups」ドロップダウンリストから領域を選択します。Control キーを押しながら名前をクリックすることで、複数のプログラムグループを選択することもできます。
Program Items: ページ名を「Program Items」フィールドに入力することで、特定のプログラムグループに含まれる該当ページへのアクセスを制限することができます。たとえば、「Access Control List Management」ページへのアクセスを制限するには、「Program Items」に「distacl」と入力します。詳細は、「Restricting Access to Programs」を参照してください。
Update: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
Customized Expressions
Customize expressions: テキストボックスに、ACL の表現を入力してカスタマイズできます。ACL ファイルの構文や構造を十分に理解していれば、この機能を利用することができます。表現のカスタマイズについて詳細は、「Writing Customized Expressions」および「ACL File Syntax」を参照してください。
Update: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
Access Denied Response
Respond with the Default File (Redirection Off): 次のメッセージが送信されます。「FORBIDDEN. Your client is not allowed access to the restricted object.」 (FORBIDDEN. クライアントは要求されたオブジェクトへのアクセスを許可されていない)
Respond with the Following URL:(Redirection On): これを選択すると、ACL ごとに異なるメッセージを作成することができます。URL の絶対パス、または相対 URL を入力します。
Update: エントリを保存します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Cron Control」ページ (UNIX/Linux)「Cron Control」ページでは、server-root/config/schedulerd ファイルにあり、Sun ONE Web Server にスケジュールされているすべての Cron ジョブに対して、起動と停止の制御ができます。
詳細は、「Using schedulerd Control-based Log Rotation (UNIX/Linux)」を参照してください。
次の各要素が表示されます。
Start: schedulerd を起動し、スケジュールされているすべての cron ジョブを開始します。
Stop: schedulerd に定義されているすべての cron ジョブを停止します。
Restart: schedulerd に定義されているすべての cron ジョブを再起動します。
Help: オンラインヘルプを表示します。
「SNMP Master Agent Community」ページ (UNIX/Linux)コミュニティ文字列とは、SNMP エージェントが認証に使用するための特別なパスワードのことです。つまり、ネットワーク管理ステーションは、このエージェントに送信される各メッセージと一緒に特別のパスワードを送信する必要があるということです。この結果、エージェントは、そのネットワーク管理ステーションが情報の取得を承認されているかどうかを確認できます。コミュニティ文字列は、SNMP パケットでの送信時に秘匿されることはなく、ASCII テキストで送信されます。このため、コミュニティ文字列を定期的に変更するようお勧めします。マスターエージェントは、コミュニティ文字列を認証に使用します。
「Community Strings」ページから、コミュニティの作成、編集、削除を実行することができます。
詳細は、「Configuring the Community String」を参照してください。
次の各要素が表示されます。
Community: 作成するコミュニティの名前を指定します。
Operation: 新しいコミュニティのアクセス権を指定します。次の中から選択します。
Current communities: 現在、サーバーに定義されているすべてのコミュニティを表示します。コミュニティを変更するには、コミュニティの行にある「Edit」をクリックします。コミュニティを削除するには、コミュニティの行にある「Remove」をクリックします。
OK: エントリを保存します。
Reset: 変更を取り消し、ページ内の各要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「SNMP Master Agent Trap」ページ (UNIX/Linux)「Manager Entries」ページから、SNMP トラップの送信先の作成、編集、および削除を実行できます。SNMP トラップとは、SNMP エージェントがネットワーク管理ステーションに送信するメッセージのことです。たとえば、インタフェースの状態が稼動状態から停止状態に変更されると、SNMP エージェントはトラップを送信します。SNMP エージェントは、ネットワーク管理ステーションのアドレスを把握しているため、トラップの送信先を判断できます。SNMP マスターエージェントに関する、トラップの送信先は、サーバーマネージャで 設定できます。
詳細は、「Configuring Trap Destinations」を参照してください。
次の各要素が表示されます。
Manager station: ネットワーク管理ソフトウェアを実行する、システムの名前を指定します。
Trap port: ネットワーク管理システムが、トラップの受信に使用するポート番号を指定します (通常は 162)。
With community: トラップに使用するコミュニティ文字列を指定します。
Current manager entries: サーバーに定義されているすべてのマネージャステーションを表示します。マネージャステーションを変更するには、マネージャステーションの行にある「Edit」をクリックします。マネージャステーションを削除するには、マネージャステーションの行にある「Remove」をクリックします。
OK: エントリを保存します。
Reset: 変更を取り消し、ページ内の各要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「SNMP Master Agent Control」ページ (UNIX/Linux)マスター SNMP エージェントは、サブエージェントとネットワーク管理ステーション間の情報を交換します。マスターエージェントは、やりとりをするサブエージェントと同じホストマシン上で動作します。1 台のホストマシンに複数のサブエージェントをインストールすることができます。すべてのサブエージェントは、マスターエージェントと通信できます。SNMP マスターエージェントをインストールしたあと、「SNMP Master Agent Control」ページから、SNMP マスターエージェントの起動、停止、再起動を実行できます。
詳細は、次のセクションを参照してください。
次の各要素が表示されます。
Start: SNMP マスターエージェントを起動します。
Stop: SNMP マスターエージェントを停止します。
Restart: SNMP マスターエージェントを再起動します。
Help: オンラインヘルプを表示します。