B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
Hitachi Command Suite共通コンポーネントの機能に関する設定を変更するには,Hitachi Command Suite共通コンポーネントのプロパティを変更します。プロパティを変更したあと,Compute Systems Managerを再起動すると,設定が反映されます。
関連項目
B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
Hitachi Command Suite共通コンポーネントのプロパティファイルと格納先ディレクトリの一覧を次の表に示します。
説明 | プロパティファイル | 格納先ディレクトリ |
---|---|---|
Webサーバに関するプロパティファイル | user_httpsd.conf |
|
user_hsso_httpsd.conf | ||
usrconf.properties (Hitachi Command Suite共通コンポーネントのシングルサインオン用) |
| |
usrconf.properties (Compute Systems Manager用) |
| |
workers.properties |
| |
データベースに関するプロパティファイル | HiRDB.ini |
|
pdsys |
| |
pdutsys | ||
def_pdsys |
| |
def_pdutsys | ||
ユーザーアカウントに関するプロパティファイル | user.conf |
|
外部認証サーバとの連携に関するプロパティファイル | exauth.properties | |
クラスタに関するプロパティファイル | cluster.conf | |
監査ログに関するプロパティファイル | auditlog.conf |
|
関連項目
B.2.3 Webサーバに関するプロパティ(user_httpsd.conf)
user_httpsd.confファイルに記載するHitachi Command Suite共通コンポーネントのWebサーバ通信に関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
ServerName <ホスト名> | 管理サーバのホスト名またはIPアドレスを指定します。 デフォルト値は,OSに設定されているホスト名です。 管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。 変更する場合は,ホスト名を指定することを推奨します。 SSL通信する場合は,証明書発行要求の作成時に指定したホスト名と同じにしてください。大文字と小文字は区別されます。 |
Listen <ポート番号> | HBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22015」です。 変更する場合は,Listen [::]:プロパティおよび#Listen 127.0.0.1:プロパティでも同じポート番号を指定してください。 |
Listen [::]: <ポート番号> | HBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22015」です。 変更する場合は,Listenプロパティおよび#Listen 127.0.0.1:プロパティと同じポート番号を指定してください。 |
#Listen 127.0.0.1:<ポート番号> | SSL通信用のパラメーター。SSL通信する場合で,かつ外部から管理サーバへの非SSL通信を遮断したい場合は,ListenプロパティとListen [::]:プロパティの行頭に#を追記してコメント行にしたあと,このプロパティの行頭にある#を削除してください。 HBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22015」です。 変更する場合は,ListenプロパティおよびListen [::]:プロパティと同じポート番号を指定してください。 |
#Listen <ポート番号> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 SSL通信でHBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22016」です。 変更する場合は,#Listen [::]:プロパティでも同じポート番号を指定してください。 |
#Listen [::]: <ポート番号> | SSL通信用のパラメーター。SSL通信する場合も行頭の#は削除しないでください。 SSL通信でHBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22016」です。 変更する場合は,#Listenプロパティと同じポート番号を指定してください。 |
#<VirtualHost <ホスト名>:<ポート番号>> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 <ホスト名>には,「*」を指定します。 <ポート番号>には,SSL通信でHBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22016」です。 |
# ServerName <ホスト名> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 管理サーバのホスト名を指定します。デフォルトはOSに設定されているホスト名です。 管理サーバのホスト名が変更になるときに見直しが必要です。 証明書発行要求の作成時に指定したホスト名と同じにしてください。大文字と小文字は区別されます。 |
# SSLEnable | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 |
# SSLProtocol | |
# SSLRequiredCiphers | |
# SSLRequireSSL | |
# SSLCertificateKeyFile <秘密鍵ファイルパス> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 RSA暗号用の秘密鍵ファイルを絶対パスで指定します。 パスにシンボリックリンクやジャンクションを指定しないでください。 |
# SSLCertificateFile <証明書ファイルパス> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 RSA暗号用のサーバ証明書(認証局から返送された署名済みのサーバ証明書,または自己署名証明書)のファイルを絶対パスで指定します。 パスにシンボリックリンクやジャンクションを指定しないでください。 |
# SSLECCCertificateKeyFile <秘密鍵ファイルパス> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 楕円曲線暗号用の秘密鍵ファイルを絶対パスで指定します。 パスにシンボリックリンクやジャンクションを指定しないでください。 |
# SSLECCCertificateFile <証明書ファイルパス> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 楕円曲線暗号用のサーバ証明書(認証局から返送された署名済みのサーバ証明書,または自己署名証明書)のファイルを絶対パスで指定します。 パスにシンボリックリンクやジャンクションを指定しないでください。 |
# SSLCACertificateFile <認証局の証明書ファイルパス> | SSL通信用のパラメーター。通常は行頭の#を削除する必要はありません。 チェインした認証局で発行されたサーバ証明書を使用して運用する場合に,行頭の#を削除して,チェインした認証局の証明書ファイルを絶対パスで指定します。複数の証明書(PEM形式)をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。ただし,パスにシンボリックリンクやジャンクションを指定しないでください。 |
# </VirtualHost> | SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 |
#HWSLogSSLVerbose On | |
<Location /ComputeSystemsManager> | 管理サーバに接続できる管理クライアントの情報を,user_httpsd.confファイルの最終行に登録します。 このプロパティで,管理サーバに接続できる管理クライアントの情報を設定する詳細については,表の下に示す「<Location /ComputeSystemsManager>の指定方法」を参照してください。 |
<Location /ComputeSystemsManager>の指定方法
次の書式で記述します。
<Location /ComputeSystemsManager>
order allow,deny
allow from <管理クライアント> [<管理クライアント>...]
</Location>
hitachi.comドメイン内のすべてのコンピュータの管理クライアントからはアクセスできるようにし,かつ,そのほかのドメイン内にある管理クライアントはアクセスさせないようにするための指定例を,次に示します。
<Location /ComputeSystemsManager>
order allow,deny
allow from hitachi.com
</Location>
上記の例の場合,<管理クライアント>は次のどれかの形式で記述できます。
関連項目
B.2.4 Webコンテナサーバに関するプロパティ(usrconf.properties)
usrconf.propertiesファイルに記載するWebコンテナサーバとの通信に関するプロパティの一覧を次の表に示します。
usrconf.propertiesファイルは,Webコンテナサーバごとにあります。
Hitachi Command Suite共通コンポーネントのシングルサインオン用Webコンテナサーバに関するプロパティの一覧を次に示します。
表B-1 Hitachi Command Suite共通コンポーネントのシングルサインオン用Webコンテナサーバに関するプロパティ(usrconf.properties)
プロパティ | 説明 |
---|---|
webserver.connector.ajp13.port | HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。 デフォルト値は,「22035」です。 変更する場合は,workers.propertiesのworker.HBase64StgMgmtSSOService.portプロパティに同じポート番号を指定してください。 |
ejbserver.rmi.naming.port | HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。 デフォルト値は,「22036」です。 |
ejbserver.http.port | HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。 デフォルト値は,「22037」です。 |
ejbserver.rmi.remote.listener.port | HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。 デフォルト値は,「22038」です。 |
Compute Systems Manager用Webコンテナサーバに関するプロパティの一覧を次に示します。
表B-2 Compute Systems Manager用Webコンテナサーバに関するプロパティ(usrconf.properties)
プロパティ | 説明 |
---|---|
webserver.connector.ajp13.port | HCS Compute Systems Manager Web Serviceで使用されるポート番号です。 デフォルト値は,「22027」です。 変更する場合は,workers.propertiesのworker.ComputeSystemsManagerWebService.portプロパティに同じポート番号を指定してください。 |
ejbserver.rmi.naming.port | HCS Compute Systems Manager Web Serviceで使用されるポート番号です。 デフォルト値は,「22028」です。 |
ejbserver.http.port | HCS Compute Systems Manager Web Serviceで使用されるポート番号です。 デフォルト値は,「22613」です。 |
ejbserver.rmi.remote.listener.port | HCS Compute Systems Manager Web Serviceで使用されるポート番号です。 デフォルト値は,「22614」です。 |
関連項目
B.2.5 Webコンテナサーバに関するプロパティ(workers.properties)
workers.propertiesファイルに記載するHitachi Command Suite共通コンポーネントのWebコンテナサーバとの通信に関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
worker.ComputeSystemsManagerWebService.port | Webサーバにアクセスするためのポート番号を指定します。 デフォルト値は,「22027」です。 変更する場合は,Compute Systems Manager用のusrconf.propertiesにあるwebserver.connector.ajp13.portプロパティに同じポート番号を指定してください。 |
worker.HBase64StgMgmtSSOService.port | Webサーバにアクセスするためのポート番号を指定します。 デフォルト値は,「22035」です。 変更する場合は,Hitachi Command Suite共通コンポーネントのシングルサインオン用のusrconf.propertiesにあるwebserver.connector.ajp13.portプロパティに同じポート番号を指定してください。 |
関連項目
B.2.6 シングルサインオン用Webサーバに関するプロパティ(user_hsso_httpsd.conf)
user_hsso_httpsd.confファイルに記載するHitachi Command Suite共通コンポーネントのシングルサインオン用Webサーバとの通信に関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
Listen | HBase 64 Storage Mgmt Web SSO Serviceにアクセスするためのポート番号を指定します。 デフォルト値は,「22031」です。 |
関連項目
B.2.7 データベースに関するプロパティ(HiRDB.ini)
Hitachi Command Suite共通コンポーネントのHiRDB.iniファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
PDNAMEPORT | データベースが使用するポート番号を指定します。 デフォルト値は,「22032」です。 変更する場合は,pdsysのpd_name_portプロパティ,およびdef_pdsysのpd_name_portプロパティに同じポート番号を指定してください。 |
PDHOST | IPアドレスを指定します。通常は変更する必要はありません。 管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。 変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。 |
関連項目
B.2.8 データベースに関するプロパティ(pdsys)
Hitachi Command Suite共通コンポーネントのpdsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
pd_name_port | データベースが使用するポート番号を指定します。 デフォルト値は,「22032」です。 変更する場合は,HiRDB.iniのPDNAMEPORTプロパティ,およびdef_pdsysのpd_name_portプロパティに同じポート番号を指定してください。 |
pdunit -x | IPアドレスを指定します。通常は変更する必要はありません。 管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。 変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。 |
関連項目
B.2.9 データベースに関するプロパティ(def_pdsys)
Hitachi Command Suite共通コンポーネントのdef_pdsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
pd_name_port | データベースが使用するポート番号を指定します。 デフォルト値は,「22032」です。 変更する場合は,HiRDB.iniのPDNAMEPORTプロパティ,およびpdsysのpd_name_portプロパティに同じポート番号を指定してください。 |
pdunit -x | IPアドレスを指定します。通常は変更する必要はありません。 管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。 変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。 |
関連項目
B.2.10 データベースに関するプロパティ(pdutsys)
Hitachi Command Suite共通コンポーネントのpdutdsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
pd_hostname | IPアドレスを指定します。通常は変更する必要はありません。 管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。 変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。 |
関連項目
B.2.11 データベースに関するプロパティ(def_pdutsys)
Hitachi Command Suite共通コンポーネントのdef_pdutsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
pd_hostname | IPアドレスを指定します。通常は変更する必要はありません。 管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。 変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。 |
関連項目
B.2.12 ユーザーアカウントに関するプロパティ(user.conf)
Hitachi Command Suite共通コンポーネントのuser.confファイルに記載するユーザーアカウントに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
account.lock.system | Systemアカウントを自動ロックおよび手動ロックの対象にするかどうかを指定します。
|
関連項目
B.2.13 LDAPディレクトリサーバとの連携に関するプロパティ(exauth.properties)
exauth.propertiesファイルには,外部のLDAPディレクトリサーバと連携して通信するためのプロパティを記載します。
LDAPディレクトリサーバの情報を直接指定するか,DNSサーバに接続先のLDAPディレクトリサーバの情報を照会するかによって,設定するプロパティが異なります。
次に示すファイルをexauth.propertiesファイルのサンプルとして使用できます。
サンプルファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>¥sample¥conf¥exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/sample/conf/exauth.properties
サンプルファイルは,次の場所にコピーして使用してください。
ファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>¥conf¥exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/conf/exauth.properties
LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルのプロパティ一覧を次の表に示します。
プロパティ | 詳細 |
---|---|
auth.server.type | 外部認証サーバの種類を指定します。
|
auth.server.name | LDAPディレクトリサーバのサーバ識別名を指定します。接続プロトコルやポート番号などの設定をLDAPディレクトリサーバごとに区別するために付ける任意の名称です。 必ず1つ以上のサーバ識別名を指定してください。LDAPディレクトリサーバを複数指定する場合は,各サーバのサーバ識別名をコンマ(,)で区切って指定します。同じサーバ識別名は重複して登録しないでください。
|
auth.ldap.multi_domain | auth.server.nameプロパティでLDAPディレクトリサーバのサーバ識別名を複数指定する場合,各サーバがマルチドメイン構成であるか,冗長構成であるかを指定します。
|
auth.group.mapping | 外部認可サーバとも連携するかどうかを指定します。
|
auth.ocsp.enable | LDAPディレクトリサーバとStartTLS通信する場合に,OCSPレスポンダーまたはCRLを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。
|
auth.ocsp.responderURL | 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。 省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。 |
auth.ldap.<auth.server.nameの指定値>.protocol | LDAPディレクトリサーバ接続のプロトコルです。この項目は必須です。
|
auth.ldap.<auth.server.nameの指定値>.host※1 | LDAPディレクトリサーバのホスト名またはIPアドレスを指定します。この項目は必須です。 ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスを使用できます。 |
auth.ldap.<auth.server.nameの指定値>.port | LDAPディレクトリサーバのポート番号を指定します。 指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
|
auth.ldap.<auth.server.nameの指定値>.timeout | LDAPディレクトリサーバと接続するときの接続待ち時間を秒単位で指定します。
|
auth.ldap.<auth.server.nameの指定値>.attr | 認証で使用するユーザーIDの値が定義されている属性名(AttributeType)を指定します。この項目は必須です。
|
auth.ldap.<auth.server.nameの指定値>.basedn | LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)を指定します。この項目は必須です。 このDNより下の階層のユーザーエントリーが認証の対象となります。指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
半角スペース # + ; , < = > ¥ |
auth.ldap.<auth.server.nameの指定値>.retry.interval | LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数を指定します。
|
auth.ldap.<auth.server.nameの指定値>.retry.times | LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数を指定します。
|
auth.ldap.<auth.server.nameの指定値>.domain.name | LDAPディレクトリサーバが管理するドメインの名称を指定します。 次に示す構成の場合,この項目は必須です。
|
auth.ldap.<auth.server.nameの指定値>.domain | LDAPディレクトリサーバが管理するマルチドメイン構成用のドメインの名称を指定します。 ログイン時に,ユーザーIDを「<ユーザーID>@<このプロパティで指定したドメイン名>」の形式で入力すると,指定したドメインに属するLDAPディレクトリサーバが認証先となります。 LDAPディレクトリサーバのサーバ識別子ごとにドメイン名を指定する際は,ドメイン名が重複しないようにしてください。ドメイン名の大文字と小文字は区別されません。 LDAPディレクトリサーバがマルチドメイン構成の場合,この項目は必須です。 |
auth.ldap.<auth.server.nameの指定値>.dns_lookup | DNSサーバにLDAPディレクトリサーバの情報を照会するかどうかを指定します。
「true」を指定した場合でも,次の属性に値が設定されている場合は,DNSサーバに照会しないで,ユーザーが指定した値を使用してLDAPディレクトリサーバに接続します。
|
関連項目
B.2.14 LDAPディレクトリサーバとの連携に関するプロパティの設定例
LDAPディレクトリサーバと連携するためのプロパティの設定例を次に示します。接続の種類によっては,指定値が異なります。
LDAPディレクトリサーバの情報を直接指定する場合(外部認証サーバとだけ連携するとき):
auth.server.type=ldap
auth.server.name=ServerName
auth.group.mapping=false
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.ldap.ServerName.protocol=ldap
auth.ldap.ServerName.host=ldap.example.com
auth.ldap.ServerName.port=389
auth.ldap.ServerName.timeout=15
auth.ldap.ServerName.attr=sAMAccountName
auth.ldap.ServerName.basedn=dc=Example,dc=com
auth.ldap.ServerName.retry.interval=1
auth.ldap.ServerName.retry.times=20
auth.ldap.ServerName.dns_lookup=false
LDAPディレクトリサーバをDNSサーバに照会する場合(外部認証サーバとだけ連携するとき):
auth.server.type=ldap
auth.server.name=ServerName
auth.group.mapping=false
auth.ldap.ServerName.protocol=ldap
auth.ldap.ServerName.timeout=15
auth.ldap.ServerName.attr=sAMAccountName
auth.ldap.ServerName.basedn=dc=Example,dc=com
auth.ldap.ServerName.retry.interval=1
auth.ldap.ServerName.retry.times=20
auth.ldap.ServerName.domain.name=EXAMPLE.COM
auth.ldap.ServerName.dns_lookup=true
LDAPディレクトリサーバの情報を直接指定する場合(外部認可サーバとも連携するとき):
auth.server.type=ldap
auth.server.name=ServerName
auth.group.mapping=true
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.ldap.ServerName.protocol=ldap
auth.ldap.ServerName.host=ldap.example.com
auth.ldap.ServerName.port=389
auth.ldap.ServerName.timeout=15
auth.ldap.ServerName.attr=sAMAccountName
auth.ldap.ServerName.basedn=dc=Example,dc=com
auth.ldap.ServerName.retry.interval=1
auth.ldap.ServerName.retry.times=20
auth.ldap.ServerName.domain.name=EXAMPLE.COM
auth.ldap.ServerName.dns_lookup=false
LDAPディレクトリサーバをDNSサーバに照会する場合(外部認可サーバとも連携するとき):
auth.server.type=ldap
auth.server.name=ServerName
auth.group.mapping=true
auth.ldap.ServerName.protocol=ldap
auth.ldap.ServerName.timeout=15
auth.ldap.ServerName.attr=sAMAccountName
auth.ldap.ServerName.basedn=dc=Example,dc=com
auth.ldap.ServerName.retry.interval=1
auth.ldap.ServerName.retry.times=20
auth.ldap.ServerName.domain.name=EXAMPLE.COM
auth.ldap.ServerName.dns_lookup=true
LDAPディレクトリサーバが冗長構成の場合:
auth.server.type=ldap
auth.server.name=ServerName1,ServerName2
auth.ldap.multi_domain=false
auth.group.mapping=false
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.ldap.ServerName1.protocol=ldap
auth.ldap.ServerName1.host=ldap1.example.com
auth.ldap.ServerName1.port=389
auth.ldap.ServerName1.timeout=15
auth.ldap.ServerName1.attr=sAMAccountName
auth.ldap.ServerName1.basedn=dc=Example,dc=com
auth.ldap.ServerName1.retry.interval=1
auth.ldap.ServerName1.retry.times=20
auth.ldap.ServerName1.dns_lookup=false
auth.ldap.ServerName2.protocol=ldap
auth.ldap.ServerName2.host=ldap2.example.com
auth.ldap.ServerName2.port=389
auth.ldap.ServerName2.timeout=15
auth.ldap.ServerName2.attr=sAMAccountName
auth.ldap.ServerName2.basedn=dc=Example,dc=net
auth.ldap.ServerName2.retry.interval=1
auth.ldap.ServerName2.retry.times=20
auth.ldap.ServerName2.dns_lookup=false
LDAPディレクトリサーバがマルチドメイン構成の場合:
auth.server.type=ldap
auth.server.name=ServerName1,ServerName2
auth.ldap.multi_domain=true
auth.group.mapping=false
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.ldap.ServerName1.protocol=ldap
auth.ldap.ServerName1.host=ldap1.example.com
auth.ldap.ServerName1.port=389
auth.ldap.ServerName1.timeout=15
auth.ldap.ServerName1.attr=sAMAccountName
auth.ldap.ServerName1.basedn=dc=Example,dc=com
auth.ldap.ServerName1.retry.interval=1
auth.ldap.ServerName1.retry.times=20
auth.ldap.ServerName1.domain=example.com
auth.ldap.ServerName1.dns_lookup=false
auth.ldap.ServerName2.protocol=ldap
auth.ldap.ServerName2.host=ldap2.example.com
auth.ldap.ServerName2.port=389
auth.ldap.ServerName2.timeout=15
auth.ldap.ServerName2.attr=sAMAccountName
auth.ldap.ServerName2.basedn=dc=Example,dc=net
auth.ldap.ServerName2.retry.interval=1
auth.ldap.ServerName2.retry.times=20
auth.ldap.ServerName2.domain=example.net
auth.ldap.ServerName2.dns_lookup=false
関連項目
B.2.15 Kerberosサーバとの連携に関するプロパティ(exauth.properties)
exauth.propertiesファイルには,外部のKerberosサーバと連携して通信するためのプロパティを記載します。
Kerberosサーバの情報を直接指定するか,DNSサーバに接続先のKerberosサーバの情報を照会するかによって,設定するプロパティが異なります。
次に示すファイルをexauth.propertiesファイルのサンプルとして使用できます。
サンプルファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>¥sample¥conf¥exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/sample/conf/exauth.properties
サンプルファイルは,次の場所にコピーして使用してください。
ファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>¥conf¥exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/conf/exauth.properties
Kerberosサーバで認証する場合のexauth.propertiesファイルのプロパティ一覧を次の表に示します。
プロパティ | 詳細 |
---|---|
auth.server.type | 外部認証サーバの種類を指定します。
|
auth.group.mapping | 外部認可サーバとも連携するかどうかを指定します。
|
auth.ocsp.enable | LDAPディレクトリサーバとStartTLS通信する場合に,OCSPレスポンダーまたはCRLを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。
|
auth.ocsp.responderURL | 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。 省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。 |
auth.kerberos.default_realm | デフォルトのレルム名を指定します。この項目は必須です。 GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。 |
auth.kerberos.dns_lookup_kdc | DNSサーバにKerberosサーバの情報を照会するかどうかを指定します。
「true」を指定した場合でも,次のすべてのプロパティに値を設定しているときは,DNSサーバに照会されません。
|
auth.kerberos.default_tkt_enctypes | Kerberos認証に使用する暗号タイプを指定します。
指定した暗号タイプのうち,管理サーバのOSとKerberosサーバの両方でサポートされているものが使用されます。 |
auth.kerberos.clockskew | 管理サーバとKerberosサーバ間の時刻の差の許容範囲を秒数で指定します。
|
auth.kerberos.timeout | Kerberosサーバと接続するときの接続待ち時間を秒数で指定します。
|
auth.kerberos.realm_name | レルム識別名を指定します。レルムごとにKerberosサーバの情報を区別するために付ける任意の名称です。 必ず1つ以上のレルム識別名を指定してください。レルム識別名を複数指定する場合は,各サーバのレルム識別名をコンマ(,)で区切って指定します。同じレルム識別名は重複して登録しないでください。 |
auth.kerberos.<auth.kerberos.realm_nameの指定値>.realm | Kerberosサーバに設定してあるレルム名を指定します。この項目は必須です。 プロパティの名称で,<レルム名>としている部分は,このプロパティの指定値で指定してください。 |
auth.kerberos.<auth.kerberos.realm_nameの指定値>.kdc※1 | Kerberosサーバの情報を次の形式で指定します。この項目は必須です。 <ホスト名またはIPアドレス>[:<ポート番号>]
<ホスト名またはIPアドレス>[:<ポート番号>],<ホスト名またはIPアドレス>[:<ポート番号>],... |
auth.group.<レルム名>.protocol※2 | LDAPディレクトリサーバ接続のプロトコルです。
「tls」を指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。
|
auth.group.<レルム名>.port | LDAPディレクトリサーバのポート番号を指定します。 指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
|
auth.group.<レルム名>.basedn | LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)を指定します。 このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。 DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(¥)でエスケープする必要があります。 半角スペース # + ; , < = > ¥ 指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。 省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。 |
auth.group.<レルム名>.timeout | LDAPディレクトリサーバと接続するときの接続待ち時間を秒単位で指定します。
|
auth.group.<レルム名>.retry.interval | LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数を指定します。
|
auth.group.<レルム名>.retry.times | LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数を指定します。
|
関連項目
B.2.16 Kerberosサーバとの連携に関するプロパティの設定例
Kerberosサーバと連携するためのプロパティの設定例を次に示します。接続の種類によっては,指定値が異なります。
Kerberosサーバの情報を直接指定する場合(外部認証サーバとだけ連携するとき):
auth.server.type=kerberos
auth.group.mapping=false
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.kerberos.default_realm=EXAMPLE.COM
auth.kerberos.dns_lookup_kdc=false
auth.kerberos.clockskew=300
auth.kerberos.timeout=3
auth.kerberos.realm_name=RealmName
auth.kerberos.RealmName.realm=EXAMPLE.COM
auth.kerberos.RealmName.kdc=kerberos.example.com:88
KerberosサーバをDNSサーバに照会する場合(外部認証サーバとだけ連携するとき):
auth.server.type=kerberos
auth.group.mapping=false
auth.kerberos.default_realm=EXAMPLE.COM
auth.kerberos.dns_lookup_kdc=true
auth.kerberos.clockskew=300
auth.kerberos.timeout=3
Kerberosサーバの情報を直接指定する場合(外部認可サーバとも連携するとき):
auth.server.type=kerberos
auth.group.mapping=true
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.kerberos.default_realm=EXAMPLE.COM
auth.kerberos.dns_lookup_kdc=false
auth.kerberos.clockskew=300
auth.kerberos.timeout=3
auth.kerberos.realm_name=RealmName
auth.kerberos.RealmName.realm=EXAMPLE.COM
auth.kerberos.RealmName.kdc=kerberos.example.com:88
auth.group.EXAMPLE.COM.protocol=ldap
auth.group.EXAMPLE.COM.port=389
auth.group.EXAMPLE.COM.basedn=dc=Example,dc=com
auth.group.EXAMPLE.COM.timeout=15
auth.group.EXAMPLE.COM.retry.interval=1
auth.group.EXAMPLE.COM.retry.times=20
KerberosサーバをDNSサーバに照会する場合(外部認可サーバとも連携するとき):
auth.server.type=kerberos
auth.group.mapping=true
auth.kerberos.default_realm=EXAMPLE.COM
auth.kerberos.dns_lookup_kdc=true
auth.kerberos.clockskew=300
auth.kerberos.timeout=3
Kerberosサーバが冗長構成の場合:
auth.server.type=kerberos
auth.group.mapping=false
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.kerberos.default_realm=EXAMPLE.COM
auth.kerberos.dns_lookup_kdc=false
auth.kerberos.clockskew=300
auth.kerberos.timeout=3
auth.kerberos.realm_name=RealmName
auth.kerberos.RealmName.realm=EXAMPLE.COM
auth.kerberos.RealmName.kdc=kerberos.example.com:88,kerberos.example.com:88
Kerberosサーバのレルム識別名を複数指定する場合:
auth.server.type=kerberos
auth.group.mapping=false
auth.ocsp.enable=false
auth.ocsp.responderURL=
auth.kerberos.default_realm=EXAMPLE.COM
auth.kerberos.dns_lookup_kdc=false
auth.kerberos.clockskew=300
auth.kerberos.timeout=3
auth.kerberos.realm_name=RealmName1,RealmName2
auth.kerberos.RealmName1.realm=EXAMPLE.COM
auth.kerberos.RealmName1.kdc=kerberos1.example.com:88,kerberos1.example.net:88
auth.kerberos.RealmName2.realm=EXAMPLE.NET
auth.kerberos.RealmName2.kdc=kerberos2.example.com:88,kerberos2.example.net:88
関連項目
B.2.17 監査ログに関するプロパティ(auditlog.conf)
Hitachi Command Suite共通コンポーネントのauditlog.confファイルに記載する監査ログに関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
Log.Facility | 未使用(指定しても無視されます) |
Log.Event.Category | 採取する監査事象の種別を指定します。 複数指定する場合は,コンマ(,)で区切ります。その場合,種別とコンマの間は半角スペースを空けずに詰めて指定してください。 指定されていない場合,監査ログは出力されません。 大文字,小文字は区別されません。 次に示す指定できる種別以外の名称を指定した場合は,無視されます。
|
Log.Level | 採取する監査事象の重要度(Severity)を指定します。 指定した値以下の重要度を持つ監査事象が,イベントログに出力されます。 次に示す指定できる値以外の数値,または,数値以外の文字を指定した場合は,デフォルト値が仮定されます。
|
監査事象の重要度とイベントログの種類の対応は,次の表のとおりです。
監査事象の重要度 | イベントログの種類 |
---|---|
0~3 | エラー |
4 | 警告 |
5~7 | 情報 |
auditlog.confファイルの例を次に示します。
# Specify an integer for Facility. (specifiable range: 1-23)
Log.Facility 1
# Specify the event category.
# You can specify any of the following:
# StartStop, Failure, LinkStatus, ExternalService,
# Authentication, ContentAccess,
# ConfigurationAccess, Maintenance, or AnomalyEvent.
Log.Event.Category Authentication,ConfigurationAccess
# Specify an integer for Severity. (specifiable range: 0-7)
Log.Level 6
この例の場合,AuthenticationまたはConfigurationAccessの監査事象が出力されます。Windowsの場合,「エラー」,「警告」および「情報」の重要度を持つ監査ログが出力されます。Linuxの場合,分類がuserとしてsyslog.confファイルに定義されたsyslogファイルに,監査ログが出力されます。
関連項目
B.2.18 管理サーバをクラスタ構成にする場合に設定が必要なプロパティ(cluster.conf)
Hitachi Command Suite共通コンポーネントのcluster.confファイルに記載するクラスタ構成の設定に関するプロパティの一覧を次の表に示します。
プロパティ | 説明 |
---|---|
mode | 実行系ノードの場合は,「online」を指定します。 待機系ノードの場合は,「standby」を指定します。 |
virtualhost | 有効でアクセスできるIPアドレスが割り当てられている論理ホスト名※を指定します。 IPアドレスは指定できません。 |
onlinehost | 実行系ノードのホスト名※を指定します。 IPアドレスは指定できません。 |
standbyhost | 待機系ノードのホスト名※を指定します。 IPアドレスは指定できません。 |
関連項目