4. ユーザ管理

4.1. ユーザ管理の概要

4.1.1. ユーザ

ユーザとは、アプリケーションサーバが個人、アプリケーションに割り当てるIDのことです。ユーザは一つのグループに所属することができます。

WebOTXでは、ドメイン作成時に3つのデフォルトユーザ(admin、system、guest)が作成されます。これらの3つのアカウントのうち、adminのみをWebOTX運用管理に利用します。systemは、WebOTX内部で使用し、ユーザが利用することはできません。また、変更、削除も行わないでください。guestはJMSの運用ユーザです。

ユーザを新しく追加する場合は、 [ 4.3. ユーザ・グループの設定 ] を参照してください。

4.1.2. グループ

グループは共通の特性で分類されたユーザのカテゴリです。ユーザをグループに分類すると、ユーザからの大量のアクセスを制御することが容易になります。

WebOTXでは4.1.1節で述べたように、ドメイン作成直後にはadmin,system,guestユーザが作成されます。これらのユーザのうち、adminとsystemはotxadminグループに所属し、guestはanonymousグループに所属しています。WebOTXでは、WebOTXの運用管理を行うユーザはotxadminグループに所属していなければなりません。

グループを追加・削除する場合は、 [ 4.3. ユーザ・グループの設定 ] を参照してください。

4.1.3. ロール

ロールとは、ユーザ/グループが持つ役割の事です。ユーザ/グループに対してロールを割り当てることにより、そのユーザ/グループが実行できる処理を限定したり、アクセスできるデータを制御したりできます。

WebアプリケーションやEJBでは配備記述子を設定する事で、ユーザ/グループとロールのマッピングを行う事ができます。

4.1.4. ユーザ、グループ、ロールの関係

ユーザは共通の特性によってグループ単位に分けることができます。複数のユーザをグループとしてまとめることで、ユーザの管理がしやすくなります。また、ロールはユーザ個人、またはグループに付与することができます。グループにロールを付与することは、そのグループに所属しているユーザ全員に同じロールを割り当てることと同じことになります。

例えば勤務管理システムでは、利用者(ユーザ、図ではA,B,C)は全員、Employee(従業員)というグループに所属していなければなりません。Employeeグループには毎日の勤務時間の登録、変更を行うことができるロールであるcommonというロールが付与されています。commonに加えて、管理職であるCにはManagerというロールが付与されていて、勤務時間の登録、変更に加えて、承認作業を行うことができます。


図4.1.4-1

4.1.5. レルム

レルムとは、ユーザおよびグループの情報を格納しているレポジトリを意味しています。WebOTXではこのレルムを利用し、ユーザの認証を行います。

WebOTXで使用できるレルムについて説明します。

WebOTXでは、次の3つのレルムをサポートしています。ドメイン作成直後のデフォルトでFileレルムを使用する設定になっています。

4.2. レルムの設定

4.2.1. Fileレルム

Fileレルムの設定方法について説明します。Fileレルムの設定は、運用管理コマンド、または統合運用管理ツールから行います。

4.2.1.1. 運用管理コマンドから設定

本節では運用管理コマンド(otxadminコマンド)を利用してFileレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。

設定手順
1. ドメイン起動

ドメインが起動していない場合は起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. Fileレルムの設定

create-auth-realmコマンドを利用し、Fileレルムの設定を行います。以下にコマンド例を記載します。create-auth-realmコマンドの詳しい使い方は [リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。

otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-auth-realm --classname com.nec.webotx.enterprise.security.auth.realm.file.FileRealm
    --property "file=${INSTANCE_ROOT}/config/keyfile:jaas-context=fileRealm" filesample

なお、propertyオプションで指定する項目は [4.2.1.3. Fileレルムで設定可能なオプション一覧] を参照してください。

3. 使用するレルムの指定

・アプリケーションユーザの認証に使用するレルムを設定する場合

otxadmin > set server.security-service.default-realm=filesample

・WebOTX運用ユーザの認証に使用するレルムを設定する場合

otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=filesample
4. ドメインの再起動

ドメインを再起動することにより、設定が反映されます。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
削除手順
1. ドメイン起動

ドメインが起動していない場合は起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 使用するレルムの変更

削除するレルムをauth-realm-name、default-realmに設定していると削除を行うことができません。そのため、使用するレルムを変更する必要があります。以下にレルム名filesampleを削除するために、レルム名がldapというレルムを使用する例を記載します。適宜環境に合わせて変更してください。

otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > set server.security-service.default-realm=ldap
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=ldap
3.Fileレルムの設定を削除(必要がある場合)

delete-auth-realmコマンドを利用して、Fileレルムの設定を削除します。以下にコマンド例を記載します。ただし2の手順を行うだけで、使用するレルムを変更することができるので必須ではありません。delete-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。

otxadmin > delete-auth-realm filesample

注意:ドメイン作成時に設定されるデフォルトのFileレルムである、レルム名admin-realm、fileは削除しないでください。

4.ドメイン再起動

ドメインを再起動することにより、設定が反映されます。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.2.1.2. 統合運用管理ツールから設定

本節では統合運用管理ツールを利用してFileレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。

設定手順
1. ドメイン起動

ドメインが起動していない場合はコマンドから起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. Fileレルムの設定

統合運用管理ツールをdomain1に接続します。統合運用管理ツールの[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックします。表示されたメニューから[認証レルムの作成]を選択します。


図4.2.1.2-1

一般タブを選択し、レルム名に任意の名前を入力します。レルム名は任意に設定できます(本例ではfileとします)。また、クラス名にはcom.nec.webotx.enterprise.security.auth.realm.file.FileRealmを入力してください。


図4.2.1.2-2

次にプロパティの設定を行います。[プロパティ]タブを選択します。[追加]ボタンを押してプロパティの追加を行います。[プロパティ名の編集]ダイアログが表示されるので、のプロパティは「プロパティ名=値」の形式で入力を行ってください。入力が完了した場合は[OK]ボタンを押します。

設定するプロパティの一覧については4.2.1.3節を参照してください。


図4.2.1.2-3

プロパティの設定が終わったら[実行]ボタンを押して、レルムの作成を行います。


図4.2.1.2-4

3. 使用するレルムの変更

使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではfilesample)に変更し、[更新]ボタンを押します。


図4.2.1.2-5

[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではfilesampleに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。


図4.2.1.2-6

4. ドメイン再起動

2、3の変更を反映させるため、ドメインを再起動してください。以下のコマンドから行います。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
削除手順
1. ドメイン起動

ドメインが起動していない場合はドメインを起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 使用するレルムの変更

削除を行うレルムをデフォルトレルムに設定していると、削除を行うことができません。まず、使用するレルムを変更します。

使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を作成手順の2でレルム名で指定した名前以外(本例ではldapに変更)に変更し、[更新]ボタンを押します。


図4.2.1.2-7

[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではldapに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。


図4.2.1.2-8

3. レルムの削除(必要がある場合)

2の設定を行うことで使用するレルムを変更することができます。レルムの設定を完全に削除する場合は次の手順を行ってください。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックし、[認証レルムの削除]を選択してください。レルム名に削除するレルムの名前(本例ではfilesample)を入力し、[実行]ボタンをおしてください。


図4.2.1.2-9

4. ドメイン再起動

設定を反映するためにドメインを再起動してください。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.2.1.3. Fileレルムで設定可能なオプション一覧

create-auth-realmコマンドのpropertyオプションで指定するプロパティについて説明します。Fileレルムでは以下のオプションを必ず設定してください。

必須オプション

Fileレルムの設定では以下のプロパティが必須となります。

表4.2.1.3-1
プロパティ名 説明
file ユーザ情報が格納されているkeyfileの完全パスおよびkeyfileの名前 ${INSTANCE_ROOT}/config/keyfile
(keyfileの配置箇所、名前を変更した場合は適宜上記の値を変更してください。)
jaas-context このレルムに使用するログインモジュールタイプ fileRealm

4.2.2. LDAPレルム

LDAPレルムの設定方法について説明します。LDAPレルムの設定は、運用管理コマンド、または統合運用管理ツールから行います。

4.2.2.1. 運用管理コマンドから設定

本節では運用管理コマンド(otxadminコマンド)を利用してLDAPレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。

設定手順
1. ドメイン起動

ドメインが起動していない場合は起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. LDAPレルムの設定

create-auth-realmコマンドを利用し、LDAPレルムの設定を行います。以下にコマンド例を記載します。create-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。

${AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-auth-realm --classname com.nec.webotx.enterprise.security.auth.realm.ldap.LDAPRealm
--property "directory=ldap\://localhost\:389:base-dn=c\=JP:jaas-context=ldapRealm" ldap

上記の例の\はUnix/Linux環境ではバックスラッシュに読み替えてください。

なお、propertyオプションで指定する項目は4.2.2.3節のLDAPレルムで設定可能なオプション一覧を参照してください。

3. 使用するレルムの指定
otxadmin > set server.security-service.default-realm=ldap
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=ldap
4. ドメインの再起動

ドメインを再起動することにより、設定が反映されます。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
削除手順
1. ドメイン起動

ドメインが起動してない場合は起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 使用するレルムの変更

削除するレルムをauth-realm-name、default-realmに設定していると削除を行うことができません。そのため、使用するレルムを変更する必要があります。以下にレルム名がfileというレルムを使用する例を記載します。適宜環境に合わせて変更してください。

{AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx
otxadmin > set server.security-service.default-realm=file
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=file
3. LDAPレルムの設定を削除(必要がある場合)

delete-auth-realmコマンドを利用して、LDAPレルムの設定を削除します。以下にコマンド例を記載します。ただし2の手順を行うだけで、使用するレルムを変更することがでるので必須ではありません。delete-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。

otxadmin > delete-auth-realm ldap
4. ドメイン再起動

ドメインを再起動することにより、設定が反映されます。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.2.2.2. 統合運用管理ツールから設定

本節では統合運用管理ツールを利用してLDAPレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。

設定手順
1.ドメイン起動

ドメインが起動していない場合はコマンドから起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2.LDAPレルムの設定

統合運用管理ツールをdomain1に接続します。統合運用管理ツールの[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックします。表示されたメニューから認証レルムの作成を選択します。


図4.2.2.2-1

一般タブを選択し、レルム名に任意の名前を入力します。レルム名は任意に設定できます。また、クラス名にはcom.nec.webotx.enterprise.security.auth.realm.ldap.LDAPRealmを入力してください。


図4.2.2.2-2

追加ボタンを押してプロパティの追加を行います。[プロパティ名の編集]ダイアログが表示されるので、のプロパティは「プロパティ名=値」の形式で入力を行ってください。入力が完了した場合はOKボタンを押します。プロパティの設定一覧は、4.2.2.3節に記載してあります。必須オプションは必ず指定してください。


図4.2.2.2-3

プロパティの設定が終わったら[実行]ボタンを押して、レルムの作成を行います。


図4.2.2.2-4

3.使用するレルムの変更

使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではldap)に変更し、[更新]ボタンを押します。


図4.2.2.2-5

[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではldapに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。


図4.2.2.2-6

4.ドメイン再起動

2,3の変更を反映させるため、ドメインを再起動してください。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
削除手順
1.ドメイン起動

ドメインが起動していない場合はドメインを起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2.使用するレルムの変更

削除を行うレルムを使用する設定になっていると、削除を行うことができません。まず、使用するレルムを変更します。

使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではfile)に変更し、[更新]ボタンを押します。


図4.2.2.2-7

[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[管理レルム名]に作成手順の2で指定した名前以外(本例ではfileに変更)に変更し、[更新]ボタンを押します。[管理レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。


図4.2.2.2-8

3. レルムの削除(必要がある場合)

2の設定を行うことで使用するレルムを変更することができます。レルムの設定を完全に削除する場合は次の手順を行ってください。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックし、[認証レルムの削除]を選択してください。レルム名に削除する作成手順2で指定したレルムの名前(本例ではldap)を入力し、[実行]ボタンをおしてください。


図4.2.2.2-9

4. ドメイン再起動

設定を反映するためにドメインを再起動してください。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.2.2.3. LDAPレルムで設定可能なオプション一覧

create-auth-realmコマンドのpropertyオプションで指定するプロパティについて説明します。LDAPレルムの設定では、必須オプションと、任意に設定するオプションがあります。

必須オプション

LDAPレルムの設定では以下のプロパティが必須となります。

表4.2.2.3-1
プロパティ名 説明 指定する値
base-dn ユーザ情報が格納されているエントリをDN形式で指定します。 例:dc=users,dc=domains,
dc=webotx,o=NEC, c=JP
directory LDAPサーバが動作しているホスト名をLDAP URL形式で指定します。 以下のように指定してください。ldap://hostname:port
例:ldap://localhost:389
jaas-context 使用するログインモジュールのタイプです。 ldapRealm
任意オプション

LDAPレルムの設定では以下のプロパティを任意に設定することができます。設定しない場合はデフォルトの値が自動的に設定されます。

表4.2.2.3-2
プロパティ名 説明 既定値
search-filter ユーザ検索に使用されるフィルタ。 uid=%s
(%sはシステム内部で指定したユーザ名に変換されます。)
group-base-dn グループの情報が格納されているエントリをDN形式で指定します。 base-dnと同じです。
group-search-filter グループ検索に使用するフィルタです。 uniquemember=%d
(%dはシステム内部で指定したDNに変換されます。)
group-target グループ名のエントリを含む属性名 CN
search-bind-dn search-filter検索を実行するために必要なオプションDNです。 なし
search-bind-password search-bind-dnで指定したDNのパスワードです。*1 なし
authentification LDAPサーバとの認証方式を指定します。利用できる認証方式は、simple(平文認証)、CRAM-MD5、DIGEST-MD5です。 simple

DN形式、CN等LDAPに関する表現についてはEDSのマニュアルを参照してください。

*1 V6.50.02より、パスワードの暗号化を行うことができるようになりました。暗号化の方法については、マニュアル [リファレンス集 運用管理・設定編 > 1. コンフィグレーション(設定一覧) > 1.2. 運用管理エージェント > 1.2.2. 運用管理エージェント設定項目一覧 ]を参照してください。

4.2.3. JDBCレルム

JDBCレルムの設定方法について説明します。JDBCレルムの設定は、運用管理コマンド、または統合運用管理ツールから行います。

4.2.3.1. 運用管理コマンドから設定

本節では運用管理コマンド(otxadminコマンド)を利用してJDBCレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとし、データベースにはOracleを使用します。適宜環境に合わせて読み替えてください。

設定手順
1. ドメイン起動

ドメインが起動していない場合は起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. JDBCレルムの設定

create-auth-realmコマンドを利用し、JDBCレルムの設定を行います。以下にコマンド例を記載します。create-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。

{AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx --port 6212
otxadmin > create-auth-realm --classname com.nec.webotx.enterprise.security.auth.realm.jdbc.JDBCRealm
            --property "driverName=oracle.jdbc.driver.OracleDriver:jaas-context=JDBCRealm
            :connectionURL=jdbc\:oracle\:thin\:@ntserver\:1521\:ORCL:connectionName=scott
            :connectionPassword=tiger:userTable=jdbc_user:userNameCol=userid:userCredCol=passwd
            :userRoleTable=jdbc_role:roleNameCol=role" JDBCrealm

なお、propertyオプションで指定する項目は4.2.3.3節のJDBCレルムで設定可能なオプション一覧を参照してください。

3. 使用するレルムの指定
otxadmin > set server.security-service.default-realm=JDBCrealm
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=JDBCrealm
4. JDBCドライバの配置

JDBCドライバをディレクトリ ${INSTANCE_ROOT}/lib/ext に置く、もしくは ドメインのクラスパスに追加します。JDBCデータソースを利用する場合は、ドメイン起動後に [ リファレンス集 運用管理・設定編 > 1. コンフィグレーション(設定一覧) > 1.8. JDBCデータソース > 1.8.1. JDBCデータソース設定項目・設定方法 ] も参照して、設定してください。

5. ドメインの再起動

ドメインを再起動することにより、設定が反映されます。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
削除手順
1. ドメイン起動

ドメインが起動してない場合は起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 使用するレルムの変更

削除するレルムをauth-realm-name、default-realmに設定していると削除を行うことができません。そのため、使用するレルムを変更する必要があります。以下にレルム名がfileというレルムを使用する例を記載します。適宜環境に合わせて変更してください。

{AS_INSTALL}/bin/otxadmin
otxadmin > login --user admin --password xxxxxx
otxadmin > set server.security-service.default-realm=file
otxadmin > set server.admin-service.jmx-connector.system.auth-realm-name=file
3. JDBCレルムの設定を削除(必要がある場合)

delete-auth-realmコマンドを利用して、JDBCレルムの設定を削除します。以下にコマンド例を記載します。ただし2の手順を行うだけで、使用するレルムを変更することがでるので必須ではありません。delete-auth-realmコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。

otxadmin > delete-auth-realm JDBCrealm
4. ドメイン再起動

ドメインを再起動することにより、設定が反映されます。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.2.3.2. 統合運用管理ツールから設定

本節では統合運用管理ツールを利用してJDBCレルムの設定を行う方法について説明します。以下の例では設定するドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxxとします。適宜環境に合わせて読み替えてください。

設定手順
1. ドメイン起動

ドメインが起動していない場合はコマンドから起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. JDBCレルムの設定

統合運用管理ツールをdomain1に接続します。統合運用管理ツールの[domain1]-[アプリケーションサーバ]を右クリックします。表示されたメニューから認証レルムの作成を選択します。


図4.2.3.2-1

一般タブを選択し、レルム名に任意の名前を入力します。レルム名は任意に設定できます。また、クラス名にはcom.nec.webotx.enterprise.security.auth.realm.jdbc.JDBCRealmを入力してください。


図4.2.3.2-2

追加ボタンを押してプロパティの追加を行います。[プロパティ名の編集]ダイアログが表示されるので、のプロパティは「プロパティ名=値」の形式で入力を行ってください。入力が完了した場合はOKボタンを押します。プロパティの設定一覧は、4.2.3.3節に記載してあります。必須オプションは必ず指定してください。


図4.2.3.2-3

プロパティの設定が終わったら[実行]ボタンを押して、レルムの作成を行います。


図4.2.3.2-4

3. 使用するレルムの変更

使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]をクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではJDBCrealm)に変更し、[更新]ボタンを押します。


図4.2.3.2-5

[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[認証レルム名]に作成手順の2で指定した名前以外(本例ではJDBCrealmに変更)に変更し、[更新]ボタンを押します。[認証レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。


図4.2.3.2-6

4. ドメイン再起動

2,3の変更を反映させるため、ドメインを再起動してください。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
削除手順
1. ドメイン起動

ドメインが起動していない場合はドメインを起動します。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 使用するレルムの変更

削除を行うレルムを使用する設定になっていると、削除を行うことができません。まず、使用するレルムを変更します。

使用するレルムの変更を行います。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]ををクリックします。デフォルトレルムの値を2のレルム名で指定した名前(本例ではfile)に変更し、[更新]ボタンを押します。


図4.2.3.2-7

[domain1]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[system]をクリックします。[認証レルム名]に作成手順の2で指定した名前以外(本例ではfileに変更)に変更し、[更新]ボタンを押します。[認証レルム名]を表示させるには、運用管理ツールの[システム]-[システム設定]-[属性の表示レベル]を「全レベルの情報を表示」に変更してください。


図4.2.3.2-8

3. レルムの削除(必要がある場合)

2の設定を行うことで使用するレルムを変更することができます。レルムの設定を完全に削除する場合は次の手順を行ってください。[domain1]-[アプリケーションサーバ]-[セキュリティサービス]を右クリックし、[認証レルムの削除]を選択してください。レルム名に削除する作成手順2で指定したレルムの名前(本例ではJDBCrealm)を入力し、[実行]ボタンをおしてください。


図4.2.3.2-9

4. ドメイン再起動

設定を反映するためにドメインの再起動を行ってください。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.2.3.3. JDBCレルムで設定可能なオプション一覧

create-auth-realmコマンドのpropertyオプションで指定するプロパティについて説明します。JDBCレルムの設定では、必須オプションと、任意に設定するオプションがあります。

必須オプション

JDBCレルムの設定では以下のプロパティが必須となります。JDBCドライバとJDBCデータソースのどちらを使うかで必須オプションが変わります。また、両方の設定がある場合は、JDBCデータソースの設定が優先されます。

表4.2.3.3-1

プロパティ名

説明

指定する値

jaas-context 使用するログインモジュールのタイプです。 ・jdbcRealm
・jdbcDigestRealm(※DIGEST認証で使用する場合のみ)
datasource-jndi 使用するJDBCデータソース名を指定します。JDBCドライバを指定する設定より優先して使用します。
JNDI名で指定してください。
user-table ユーザ情報テーブルの名前 例:jdbc_user
user-name-column ユーザ名を格納するフィールドの名前を指定します。 例: userid
password-column パスワードを格納するフィールドの名前を指定します。 例: passwd
group-table グループ情報テーブルの名前を指定します。 例: jdbc_group
group-name-column グループ名を格納するフィールドの名前を指定します。 例: group
任意オプション

JDBCレルムの設定では以下のプロパティを任意に設定することができます。設定しない場合はデフォルトの値が自動的に設定されます。

表4.2.3.3-2
プロパティ名 説明 既定値
group-table-user-name-column グループ情報テーブルのユーザ名を格納するフィールドの名前を指定します。 user-name-column の値
digest-algorithm データベースに保存するパスワードのダイジェスト方式を指定します。ダイジェスト方式にはMD5、SHA-1、SHA-256、SHA-384、SHA-512のいずれかを指定することができます。 NULL
(平文を使用)

※digest-algorithmプロパティを設定するとDIGEST認証ができなくなります。

4.3. ユーザ・グループの設定

4.3.1. Fileレルムを使用する場合

本節では、WebOTX運用ユーザの管理にFileレルムを利用する場合の、ユーザの追加、削除の方法について説明します。以下の例では、ドメイン名をdomain1、運用ユーザのIDをadmin、パスワードをxxxxxx、Fileレルム名をfilesampleとします。

4.3.1.1. ユーザの追加、削除

運用管理コマンドを利用する場合

運用管理コマンド(otxadminコマンド)を利用して、ユーザの追加を行う方法について説明します。

ユーザの追加
1. ドメイン起動

ドメインが起動していない場合は起動してください。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. ユーザの追加

ユーザを追加する場合、create-file-userコマンドを利用します。create-file-userコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス] を参照してください。作成するユーザは、ユーザID testuser、パスワード admpass、グループ testgrp、追加するFileRealm名はtestRealmとします。

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > create-file-user --userpassword admpass --groups testgrp --authrealmname testRealm testuser

注意:--authrealmnameオプションを省略して実行すると、運用管理ユーザで使用するデフォルトのレルム(admin-realm)にユーザが追加されます。

現在使用されているレルムを確認するには以下のコマンドを実行してください。

・アプリケーションで使用しているレルムを確認する場合

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > get server.security-service.default-realm

・運用管理ユーザで使用しているレルムを確認する場合

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > get --visibility=3 server.admin-service.jmx-connector.system.auth-realm-name
3. ドメイン再起動

作成したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。作成したユーザをアプリケーションで利用する場合、ドメインの再起動は必要ありません。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
ユーザの削除

ユーザの追加で作成したユーザtestuserを削除する手順を説明します。

1. ドメイン起動

ドメインが起動していない場合は起動してください。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. ユーザの削除

ユーザを削除するにはdelete-file-userコマンドを利用します。delete-file-userコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス]を参照してください。以下の例では削除するユーザはtestuser、レルム名はfileとします。ユーザ名、レルム名は実際の環境に合わせて変更してください。

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password admin
    otxadmin > delete-file-user --authrealmname file testuser

注意:--authrealmnameオプションを省略して実行すると、運用管理ユーザで使用するデフォルトのレルム(admin-realm)からユーザを削除します。

現在使用されているレルムを確認するには以下のコマンドを実行してください。

・アプリケーションで使用しているレルムを確認する場合

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > get server.security-service.default-realm

・運用管理ユーザで使用しているレルムを確認する場合

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > get --visibility=3 server.admin-service.jmx-connector.system.auth-realm-name
3. ドメイン再起動

削除したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。削除したユーザをアプリケーションで利用される場合、ドメインの再起動は必要ありません。

otxadmin > exit

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
統合運用管理ツールを利用する場合

統合運用管理ツールを利用して、ユーザの追加を行う方法について説明します。

ユーザの追加
1.ドメイン起動

ドメインが起動していない場合は起動してください。

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 統合運用管理ツールの接続

統合運用管理ツールを起動し、ドメインに接続してください。

3. ユーザの追加

統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[新しいユーザの作成]を選択します。


図4.3.1.1-1

[アプリケーションサーバの操作]画面に、作成するユーザのユーザ名、グループ名、パスワード、レルム名を入力してください。ユーザアプリケーションで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[システム]の[認証レルム名]を確認してください。


図4.3.1.1-2

4.ドメイン再起動

作成したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。作成したユーザがアプリケーションで利用する場合、ドメインの再起動は必要ありません。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1
ユーザの削除
1.ドメイン起動

ドメインが起動していない場合は、起動してください

${AS_INSTALL}/bin/otxadmin start-domain domain1
2. 統合運用管理ツールの接続

統合運用管理ツールを起動し、ドメインに接続してください。

3. ユーザの削除

統合運用管理ツールの[ドメイン名]-[アプリケーションサーバ]を右クリックし[ユーザの削除]を選択します。


図4.3.1.1-3

[アプリケーションサーバの操作]画面が表示されますので、削除するユーザ名とレルム名を入力してください。ユーザアプリケーションで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[セキュリティーサービス]-[デフォルトレルム]で確認できます。運用管理ユーザで使用しているレルム名は[ドメイン名]-[アプリケーションサーバ]-[管理サービス]-[JMXコネクタ]-[システム]の[認証レルム名]を確認してください。


図4.3.1.1-4

4. ドメイン再起動

削除したユーザがWebOTX運用ユーザの場合、設定を反映させるためにドメインを再起動してください。削除したユーザがアプリケーションで利用される場合、ドメインの再起動は必要ありません。

(停止)

${AS_INSTALL}/bin/otxadmin stop-domain domain1

(起動)

${AS_INSTALL}/bin/otxadmin start-domain domain1

4.3.1.2. グループの追加、削除

4.3.1.3. ユーザの設定変更

運用管理コマンドを利用する場合

運用管理コマンド(otxadminコマンド)を利用して、ユーザの設定変更を行う方法について説明します。

運用ユーザのグループ、パスワードの変更は、update-file-userコマンドで行います。 update-file-userコマンドの詳しい使い方は、[リファレンス集 運用管理・設定編 > 4. 運用管理コマンドリファレンス]を参照してください。 以下の例では変更するユーザはadmin1、レルム名はadmin-realmとします。 ユーザ名、レルム名は実際の環境に合わせて変更してください。

グループの変更

グループを変更する場合は以下のコマンドを実行します。 --groupsオプションで、新しいグループ名を指定してください。

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > update-file-user --groups <新グループ名> --authrealmname admin-realm admin1
パスワードの変更

パスワードを変更する場合は以下のコマンドを実行します。 --userpasswordオプションで、新しいパスワードを指定してください。

${AS_INSTALL}/bin/otxadmin
    otxadmin > login --user admin --password xxxxxx --port 6212
    otxadmin > update-file-user --userpassword <新パスワード> --authrealmname admin-realm admin1

4.3.1.4. WebOTX運用ユーザを変更する際の注意事項

4.3.2. LDAPレルムを使用する場合

LDAPレルムを利用する場合、LDAPサーバへのユーザおよびグループの登録が必要です。 利用するLDAPサーバのマニュアルを参照して、ユーザおよびグループの登録を行ってください。

以下では、LDAPサーバとしてEnterprise Directory Server(以下EDS)を利用する場合について説明します。 WebOTXとEDSを連携させる場合は、WebOTXのセットアップカードに記載されているEDS初期化を行ってください。

4.3.2.1. ユーザの追加、削除

EDSにユーザを追加、削除する方法はEDSの運用管理ツールから行うか、EDSのedloadコマンドを利用し、ldifファイルを読み込む方法があります。edloadコマンドを利用してユーザの追加、削除を行う方法については、EDSのマニュアル(ユーティリティ利用の手引1章)を参照してください。今回、運用管理ツールから追加を行う方法について説明します。

ユーザ登録
1. EDS Protocol Serverの起動

EDS Protocol Serverが起動していない場合は起動してください。

2. EDSの運用管理ツールの接続

EDSの運用管理ツールを起動してください。

を実行してください。HP-UX、Linuxで運用管理ツールを起動する場合、環境ファイルの作成が必要となります。環境ファイルの作成方法は、それぞれのOSに対応したEDSのセットアップカードを参照してください。

運用管理ツールを起動後、以下の情報を入力してください。

表4.3.2.1-1
項目 説明
サーバ名 EDSが起動しているマシン名
ユーザ名 EDSに登録されているユーザ名をDN形式で入力
パスワード EDSインストール時に設定した管理者パスワード
認証レベル 保護つき簡易認証(CRAM-MD5)

ユーザ名の例

EDSインストール直後にログインを行う場合は、管理ユーザを利用してください。DNは以下のようになります。

cn=ldapAdministrator,${ROOT_ENTRY}

Windowsの場合:EDSデータベース初期化ツール実行時

HP-UX/Linuxの場合:/opt/eds/bin/edinit(HP-UX),/opt/nec/eds/bin/edinit(Linux)実行時


図4.3.2.1-1

3. ユーザ登録

EDS初期化スクリプトを実行していない場合は以下のコマンドを実行してください。

${AS_INSTALL}/config/eds/edsinit.bat(edsinit) ${ROOT_ENTRY}

上記コマンドを実行すると、運用管理ツールには以下のように表示されます。


図4.3.2.1-2

usersを右クリックし、表示されるメニューから[利用者登録]を選択すると、[新規エントリ]が表示されます。


図4.3.2.1-3


図4.3.2.1-4

新規エントリ画面では構造クラスにinetOrgPersonを必ず指定してください。また、以下の属性値は必ず指定してください。

表4.3.2.1-2
属性名 説明
cn 一般名。氏名、社員番号など
sn
userPassword 登録するユーザのパスワード。アプリケーション等の認証に利用
uid 登録するユーザのID。アプリケーション等の認証に利用

その他の属性については必要に応じて設定してください。

ユーザの削除

EDSサーバ、運用管理ツールの接続方法は、ユーザ作成を参照して、運用管理ツールの接続まで完了してください。

1. ユーザ削除

運用管理ツールにおいて、削除したいユーザ名を右クリックします。本例ではユーザ名testを利用します。

右クリックメニューから[削除]を選択します。


図4.3.2.1-5

右クリックメニューから[ユーザアカウント]-[無効にする]を選択します。


図4.3.2.1-6

4.3.2.2. グループの作成、削除

EDSに新たにグループを作成、削除する方法について説明します。グループの作成、削除にはEDSの運用管理ツールを利用して行います。本例では、ユーザとして、ユーザ名:[test]を予め作成しているものとします。

グループの作成
1. EDS Protocol Serverの起動

EDS Protocol Serverが起動していない場合は起動してください。

2. EDSの運用管理ツールの接続

EDSの運用管理ツールを起動してください。

運用管理ツールを起動後、以下の情報を入力してください。

表4.3.2.2-1
項目 説明
サーバ名 EDSが起動しているマシン名
ユーザ名 EDSに登録されているユーザ名をDN形式で入力
パスワード EDSインストール時に設定した管理者パスワード
認証レベル 保護つき簡易認証(CRAM-MD5)

ユーザ名の例

EDSインストール直後にログインを行う場合は、管理ユーザを利用してください。DNは以下のようになります。

cn=ldapAdministrator,${ROOT_ENTRY}

注意:${ROOT_ENTRY}はEDSインストール後の作業時に指定したルートエントリを指定してください。

Windowsの場合:EDSデータベース初期化ツール実行時

HP-UX/Linuxの場合:/opt/eds/bin/edinit(HP-UX),/opt/nec/eds/bin/edinit(Linux)実行時


図4.3.2.2-1

3. グループ作成

EDS初期化スクリプトを実行していない場合は以下のコマンドを実行してください。

${AS_INSTALL}/config/eds/edsinit.bat(edsinit) ${ROOT_ENTRY}

上記コマンドを実行すると、運用管理ツールには以下のように表示されます。


図4.3.2.2-2

usersを右クリックし、表示されるメニューから[グループ]-[新規作成]を選択すると、[新規エントリ]が表示されます。


図4.3.2.2-3

新規エントリ画面では構造クラスには、groupOfUniqueNamesを必ず指定してください。また、以下の属性値は必ず指定してください。

運用管理ツールを起動後、以下の情報を入力してください。

表4.3.2.2-2
属性名 説明
uniqueMember グループを作成する場合は、作成時に必ず1ユーザをグループ所属させる必要がある。作成時に所属させるユーザのDN
cn グループ名

その他の属性については必要に応じて指定してください。


図4.3.2.2-4

4. グループのアクセス権の設定

グループのアクセス権の設定をします。アクセス権の設定方法についてはEDSのマニュアル(運用の手引5章)を参照してください。

グループの削除

EDSサーバ、運用管理ツールの接続方法は、グループ作成を参照して、運用管理ツールの接続まで完了してください。

1.グループ削除

運用管理ツールにおいて、削除したいユーザ名を右クリックします。

右クリックメニューから[削除]を選択します。


図4.3.2.2-5

右クリックメニューから[ユーザアカウント]-[無効にする]を選択します。


図4.3.2.2-6

4.3.2.3. ユーザをグループに登録

ユーザをグループに登録

作成したユーザをグループに登録します。グループの作成方法は5.2.2節を参照してください。ここでは、予めotxadminグループが作成されているとします。

1. 作成したユーザ名を右クリックし、[グループ]-[グループへ加入]を選択します。


図4.3.2.3-1

2.[グループ選択]画面で登録したいグループを選択し[←追加]ボタンを押します。最後に[OK]ボタンを押すことで、グループへの追加は完了です。本例ではotxadminグループに追加しています。


図4.3.2.3-2

4.3.3. JDBCレルムを使用する場合

本節では、JDBCレルムを利用する場合の、ユーザの追加、削除の方法について説明します。ここではデータベースにOracleを使用することを前提としますが、操作はSQLで記述しますので、その他のデータベースでも利用することが可能です。

データベースのアプリケーションのインストール、データベースの作成方法、ログイン方法については、利用するデータベースのマニュアルを参照してください。

注意:JDBCに運用管理ユーザを作成する場合、ユーザ名がadmin、systemのユーザを作成する必要はありません。admin、systemはFileレルムのユーザを利用します。

4.3.3.1. データベーステーブルの作成、削除

ユーザおよびグループを登録するために、事前に次のようなテーブルを作成しておきます。

テーブル名:jdbc_user(任意)

表4.3.3.1-1
フィールド名 データ型 内容
userid(任意) VARCHAR(10) ユーザ名を登録します。※最大長はシステムの仕様に応じて適宜変更してください
passwd(任意) VARCHAR(32) パスワードを登録します。※最大長はシステムの仕様に応じて適宜変更してください
realm(任意) VARCHAR(30) レルム名を登録します。
DIGEST認証を行い、かつ複数のレルムがこのテーブルを参照する場合のみ必須フィールドとなります。
※レルム名にはJDBCレルムのname値を登録します。
※最大長はシステムの仕様に応じて適宜変更してください

テーブル名:jdbc_role(任意)

表4.3.3.1-2
フィールド名 データ型 内容
userid(任意) VARCHAR(10) ユーザ名を登録します。※最大長はシステムの仕様に応じて適宜変更してください
role(任意) VARCHAR(10) ロール名を登録します。※最大長はシステムの仕様に応じて適宜変更してください

コマンドを利用して、テーブルを作成する方法について説明します。

4.3.3.2. ユーザの追加、削除

データベースにSQLで、ユーザを追加、削除する方法について説明します。

4.3.3.3. グループの追加、削除

データベースにSQLでグループの追加、削除する方法について説明します。グループは、ユーザ名とグループ名の組を1つエントリとして登録します。

SQLを利用して、グループを追加する行う方法について説明します。

4.4. その他の管理ユーザ

4.4.1. 管理ユーザ設定(UNIX)

4.4.1.1. WebOTX管理ユーザ(運用ユーザ)の設定

UNIX系のOSでは、WebOTXのインストール時にシステム管理者権限をもつrootユーザとは別に、WebOTXの起動ユーザを指定してインストールが可能であり、推奨しています。WebOTX管理ユーザ(運用ユーザ)を設定することで、不用意なシステム権限領域へのアクセスを制御し、より強固なセキュリティの確保とOSのもつユーザ制限機能を利用することができます。

運用ユーザを変更するスクリプトを提供していますので、インストール後でも運用ユーザに変更することが可能です。

ただし、WebOTX管理ユーザを利用する場合には、OSの制限により、1024以下のポート番号を利用することができなくなります。HTTP/HTTPS用のポート番号を1024以下で設定している場合には、ポート番号の再設定等が必要になるため、注意が必要です。

なお、UNIX系OSにおける運用ユーザのパスワード変更によるWebOTXへの影響はありません。Windows OSの場合は [ 1. Windowsサービスとrcスクリプト > 1.4. Windowsサービスアカウントの変更 ] を参照してください。

インストール後の運用ユーザ変更手順
  1. rootユーザでログインします。
  2. WebOTXを停止します。
    # otxadmin stop-domain WebOTXAdmin
    
  3. WebOTXのWebOTX運用ユーザのユーザ、および、グループアカウントを作成します。

    ここでは説明の為に、ユーザ名を「admin」、 グループ名を「webotx」と設定します。アカウントの作成はシステム管理者に依頼するか、各OSの運用マニュアルを参照して登録を行ってください。

  4. 新しく作成したアカウントがtelnetなどで正しくログインできることを確認してください。
  5. rootユーザで以下のコマンドを実行します。
    # cd /opt/WebOTX/bin
    # ./otxown.sh
    ## Executing WebOTX Operation User Change script.
    Would you like to change as WebOTX Operation User? [y, n](default n)
    y
    Please input WebOTX Operation User name.
    admin
    Please input WebOTX Operation User group name.
    webotx
    **********************************************************
    * Change of WebOTX Operation User. To continue, input y. *
    * Input q to exit the installation. [y, q](default y)    *
    **********************************************************
    
  6. 設定がおわりましたら、/opt/WebOTX配下のファイルオーナが運用ユーザに設定されていることを確認します。
  7. サーバを再起動してください。

4.4.1.2. 複数のドメインを異なるユーザで運用

UNIX系のOSでは、複数のドメインを異なるユーザで運用する機能をサポートしています。ここではそのための手順を説明します。

ドメインごとに運用ユーザを変えたい時はこちらの設定をご検討ください。

設定の際の注意点

設定の際は、以下の点に注意してください。

  1. 各ドメインに設定するユーザは、すべてのドメイン間で同じグループに属している必要があります。
  2. 管理ドメイン「WebOTXAdmin」は、rootでなければなりません。
  3. ファイルの直接編集やディレクトリ等のオーナ・権限等の変更は、WebOTXが停止した状態で行ってください。
  4. ファイルを直接編集する際は、必ずバックアップを取ってください。
設定の手順

以下の環境を例にして設定方法を説明します。

表4.4.1.2-1
ドメイン種別 名前
管理ドメイン WebOTXAdmin -
一般ドメイン domain1 運用ユーザ オーナ otxadm
グループ otxadmin
一般ドメイン domain2 運用ユーザ オーナ otxadm2
グループ otxadmin
WebOTX制御ファイルの変更

ここでは、WebOTXの制御ファイルに関して、値の変更や権限の変更を行います。

  1. WebOTX配下のオーナ・グループをrootに戻す

    /opt/WebOTX/bin/otxown.shを用いて、WebOTX配下のオーナとグループをrootに戻してください。

  2. <INSTANCE_ROOT>配下のオーナ・グループを変更

    各ドメインの<INSTANCE_ROOT>配下のディレクトリ・ファイルのオーナとグループを各運用ユーザにそれぞれ変更してください。 マニュアルの例では、変更後は以下のようになります。

    表4.4.1.2-2
    ディレクトリ ファイルオーナ グループ
    /opt/WebOTX/domains/domain1 とその配下 otxadm otxadmin
    /opt/WebOTX/domains/domain2 とその配下 otxadm2 otxadmin
  3. グループの変更

    以下のディレクトリは、各運用ユーザすべてが読み込み・書き込みできる必要があります。 グループをrootから、運用ユーザの所属するグループに変更してください。 マニュアルの例では、変更後は以下のようになります。

    表4.4.1.2-3
    ディレクトリ ファイルオーナ グループ
    /opt/WebOTX/domains root otxadmin
    /opt/WebOTX/Trnsv とその配下 root otxadmin
  4. 必要なファイルの権限変更

    以下のディレクトリとファイルは、各運用ユーザすべてが読み込み・書き込みできる必要があります。 それらに対して、運用ユーザのオーナ/グループで書き込みができるようにファイル権限775を設定してください。

設定についての補足

設定について、以下の補足事項があります。

  1. Webサーバ設定の変更

    WebOTX運用管理ユーザをroot以外に設定した場合、OSの制約上1024番以下のポート番号は使用できません。もし、ポート番号1024番以下で内蔵型Webサーバを使用中のドメインがあれば、そのドメインに対して、1025番以降の現在のシステムで利用可能な番号に変更してください。

    下に示したdomain.xmlファイルを編集して、ポート番号を変更してください。

    編集する箇所は、<http-service>要素の以下のサブ要素です。idが"http-listener-1"、"http-listener-2"となっているhttpリスナのポートを変更してください。

    <http-listener accept-count="10" address="0.0.0.0"
    buffer-size="2048" connection-timeout="60000" default-virtual-server="server"
    enable-lookups="false"enabled="true" id="http-listener-1" limit-processors="15"
    max-processors="20" min-processors="5" port="80"
    protocol="HTTP/1.1" security-enabled="false" server-name="" xpowered-by="true">
    </http-listener>
    <http-listener accept-count="10" address="0.0.0.0"
    buffer-size="2048" connection-timeout="60000" default-virtual-server="server"
    enable-lookups="false"enabled="true"id="http-listener-2" limit-processors="15"
    max-processors="20" min-processors="5" port="443"
    protocol="HTTP/1.1" security-enabled="true" server-name="" xpowered-by="true">
    </http-listener>
    

    この設定は、パッチモジュールを適用する前にドメインが起動した状態から、以下のように統合運用管理ツールを用いて変更することもできます。

    [一般]画面内のポート番号を変更します。

    運用管理コマンドによる設定も可能です。

    # cd <INSTALLDIR>
    # bin/otxadmin
    otxadmin> start-domain --remote <ドメイン名>
    otxadmin> login --user <ユーザ名> --password <パスワード> --host <ホスト名> --port <管理ポート番号>
    otxadmin> set server.http-service.http-listener.http-listener-1.port=<ポート番号>
    otxadmin> set server.http-service.http-listener.http-listener-2.port=<ポート番号>
    otxadmin> stop-domain --remote <ドメイン名>
    

4.4.2. Windowsサービスアカウント

Windows版 WebOTX ASをインストールしたときに設定されるサービスのアカウント、パスワードを変更する場合は以下のように行ってください。

例) 「WebOTX Agent Service」サービスのアカウント、パスワードを変更する場合:

  1. Windowsのコントロールパネルから、[管理ツール]-[サービス]を実行する
  2. 「WebOTX Agent Service」を選択し、右クリックでプロパティを開き、[ログオン]タブを表示する
  3. 指定されているアカウントとパスワードを指定する

指定するアカウントはAdministrators権限が必要です。また、 "サービスとしてログオン" の権限を持っている必要があります。