Compute Systems Manager 導入・設定ガイド
- この節の構成
- B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
- B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
- B.2.3 Webサーバに関するプロパティ(user_httpsd.conf)
- B.2.4 Webコンテナサーバに関するプロパティ(usrconf.properties)
- B.2.5 Webコンテナサーバに関するプロパティ(workers.properties)
- B.2.6 シングルサインオン用Webサーバに関するプロパティ(user_hsso_httpsd.conf)
- B.2.7 データベースに関するプロパティ(HiRDB.ini)
- B.2.8 データベースに関するプロパティ(pdsys)
- B.2.9 データベースに関するプロパティ(def_pdsys)
- B.2.10 データベースに関するプロパティ(pdutsys)
- B.2.11 データベースに関するプロパティ(def_pdutsys)
- B.2.12 ユーザーアカウントに関するプロパティ(user.conf)
- B.2.13 LDAPディレクトリサーバとの連携に関するプロパティ(exauth.properties)
- B.2.14 LDAPディレクトリサーバとの連携に関するプロパティの設定例
- B.2.15 Kerberosサーバとの連携に関するプロパティ(exauth.properties)
- B.2.16 Kerberosサーバとの連携に関するプロパティの設定例
- B.2.17 監査ログに関するプロパティ(auditlog.conf)
- B.2.18 管理サーバをクラスタ構成にする場合に設定が必要なプロパティ(cluster.conf)
B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
Hitachi Command Suite共通コンポーネントの機能に関する設定を変更するには,Hitachi Command Suite共通コンポーネントのプロパティを変更します。プロパティを変更したあと,Compute Systems Managerを再起動すると,設定が反映されます。
重要
- Hitachi Command Suite共通コンポーネントのプロパティを変更すると,同じ環境で使用するすべてのHitachi Command Suite製品に変更が反映されます。
B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
Hitachi Command Suite共通コンポーネントのプロパティファイルと格納先ディレクトリの一覧を次の表に示します。
説明 プロパティファイル 格納先ディレクトリ Webサーバに関するプロパティファイル user_httpsd.conf
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\httpsd\conf
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf
user_hsso_httpsd.conf usrconf.properties
(Hitachi Command Suite共通コンポーネントのシングルサインオン用)
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\CC\server\usrconf\ejb\HBase64StgMgmtSSOService
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/CC/server/usrconf/ejb/HBase64StgMgmtSSOService
usrconf.properties
(Compute Systems Manager用)
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\CC\server\usrconf\ejb\ComputeSystemsManagerWebService
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/CC/server/usrconf/ejb/ComputeSystemsManagerWebService
workers.properties
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\CC\web\redirector
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/CC/web/redirector
データベースに関するプロパティファイル HiRDB.ini
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\HDB\CONF\emb
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/HDB/CONF/emb
pdsys
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\HDB\CONF
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/HDB/CONF
pdutsys def_pdsys
- Windows:
- <Hitachi Command Suite共通コンポーネントのディレクトリ>\database\work
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/database/work
def_pdutsys ユーザーアカウントに関するプロパティファイル user.conf
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\conf
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/conf
外部認証サーバとの連携に関するプロパティファイル exauth.properties クラスタに関するプロパティファイル cluster.conf 監査ログに関するプロパティファイル auditlog.conf
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\conf\sec
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/conf/sec
- B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
- B.2.3 Webサーバに関するプロパティ(user_httpsd.conf)
- B.2.4 Webコンテナサーバに関するプロパティ(usrconf.properties)
- B.2.5 Webコンテナサーバに関するプロパティ(workers.properties)
- B.2.6 シングルサインオン用Webサーバに関するプロパティ(user_hsso_httpsd.conf)
- B.2.7 データベースに関するプロパティ(HiRDB.ini)
- B.2.8 データベースに関するプロパティ(pdsys)
- B.2.9 データベースに関するプロパティ(def_pdsys)
- B.2.10 データベースに関するプロパティ(pdutsys)
- B.2.11 データベースに関するプロパティ(def_pdutsys)
- B.2.12 ユーザーアカウントに関するプロパティ(user.conf)
- B.2.13 LDAPディレクトリサーバとの連携に関するプロパティ(exauth.properties)
- B.2.15 Kerberosサーバとの連携に関するプロパティ(exauth.properties)
- B.2.17 監査ログに関するプロパティ(auditlog.conf)
- B.2.18 管理サーバをクラスタ構成にする場合に設定が必要なプロパティ(cluster.conf)
B.2.3 Webサーバに関するプロパティ(user_httpsd.conf)
user_httpsd.confファイルに記載するHitachi Command Suite共通コンポーネントのWebサーバ通信に関するプロパティの一覧を次の表に示します。
プロパティ 説明 ServerName <ホスト名> 管理サーバのホスト名またはIPアドレスを指定します。
デフォルト値は,OSに設定されているホスト名です。
管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。
変更する場合は,ホスト名を指定することを推奨します。
SSL通信する場合は,証明書発行要求の作成時に指定したホスト名と同じにしてください。大文字と小文字は区別されます。Listen <ポート番号> HBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22015」です。
変更する場合は,Listen [::]:プロパティおよび#Listen 127.0.0.1:プロパティでも同じポート番号を指定してください。Listen [::]: <ポート番号> HBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22015」です。
変更する場合は,Listenプロパティおよび#Listen 127.0.0.1:プロパティと同じポート番号を指定してください。#Listen 127.0.0.1:<ポート番号> SSL通信用のパラメーター。SSL通信する場合で,かつ外部から管理サーバへの非SSL通信を遮断したい場合は,ListenプロパティとListen [::]:プロパティの行頭に#を追記してコメント行にしたあと,このプロパティの行頭にある#を削除してください。
HBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22015」です。
変更する場合は,ListenプロパティおよびListen [::]:プロパティと同じポート番号を指定してください。#Listen <ポート番号> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
SSL通信でHBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22016」です。
変更する場合は,#Listen [::]:プロパティでも同じポート番号を指定してください。#Listen [::]: <ポート番号> SSL通信用のパラメーター。SSL通信する場合も行頭の#は削除しないでください。
SSL通信でHBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22016」です。
変更する場合は,#Listenプロパティと同じポート番号を指定してください。#<VirtualHost <ホスト名>:<ポート番号>> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
<ホスト名>には,「*」を指定します。
<ポート番号>には,SSL通信でHBase 64 Storage Mgmt Web Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22016」です。# ServerName <ホスト名> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
管理サーバのホスト名を指定します。デフォルトはOSに設定されているホスト名です。
管理サーバのホスト名が変更になるときに見直しが必要です。
証明書発行要求の作成時に指定したホスト名と同じにしてください。大文字と小文字は区別されます。# SSLEnable SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 # SSLProtocol # SSLRequiredCiphers # SSLRequireSSL # SSLCertificateKeyFile <秘密鍵ファイルパス> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
RSA暗号用の秘密鍵ファイルを絶対パスで指定します。
パスにシンボリックリンクやジャンクションを指定しないでください。# SSLCertificateFile <証明書ファイルパス> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
RSA暗号用のサーバ証明書(認証局から返送された署名済みのサーバ証明書,または自己署名証明書)のファイルを絶対パスで指定します。
パスにシンボリックリンクやジャンクションを指定しないでください。# SSLECCCertificateKeyFile <秘密鍵ファイルパス> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
楕円曲線暗号用の秘密鍵ファイルを絶対パスで指定します。
パスにシンボリックリンクやジャンクションを指定しないでください。# SSLECCCertificateFile <証明書ファイルパス> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。
楕円曲線暗号用のサーバ証明書(認証局から返送された署名済みのサーバ証明書,または自己署名証明書)のファイルを絶対パスで指定します。
パスにシンボリックリンクやジャンクションを指定しないでください。# SSLCACertificateFile <認証局の証明書ファイルパス> SSL通信用のパラメーター。通常は行頭の#を削除する必要はありません。
チェインした認証局で発行されたサーバ証明書を使用して運用する場合に,行頭の#を削除して,チェインした認証局の証明書ファイルを絶対パスで指定します。複数の証明書(PEM形式)をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。ただし,パスにシンボリックリンクやジャンクションを指定しないでください。# </VirtualHost> SSL通信用のパラメーター。SSL通信する場合は,行頭の#を削除してください。 #HWSLogSSLVerbose On <Location /ComputeSystemsManager> 管理サーバに接続できる管理クライアントの情報を,user_httpsd.confファイルの最終行に登録します。
このプロパティで,管理サーバに接続できる管理クライアントの情報を設定する詳細については,表の下に示す「<Location /ComputeSystemsManager>の指定方法」を参照してください。<Location /ComputeSystemsManager>の指定方法
次の書式で記述します。
<Location /ComputeSystemsManager> order allow,deny allow from <管理クライアント> [<管理クライアント>...] </Location>
- order
- 必ず形式どおりに指定してください。余分な半角スペースやタブなどを挿入すると動作しません。
- allow from <管理クライアント> [<管理クライアント>...]
- 次のどれかの形式で<管理クライアント>を指定できます。
- ドメイン名,またはドメイン名の一部
- 完全なIPv4アドレス,またはIPv4アドレスの一部
- 「IPv4のネットワーク/ネットマスク」の形式
- 「IPv4のネットワーク/c」のCIDR形式
cは,ネットワークアドレスのビット数を表す10進の整数です。- 複数の管理クライアントのアクセスを許可するには,次のように指定します。
- 1つのallow fromで,複数の<管理クライアント>を指定する場合は,半角スペースで区切る
- allow fromの指定を複数行で記述する
- 管理サーバでHitachi Command Suite製品のGUIまたはCLIを使用する場合は,ローカルループバックアドレス(127.0.0.1またはlocalhost)も指定する必要があります。
hitachi.comドメイン内のすべてのコンピュータの管理クライアントからはアクセスできるようにし,かつ,そのほかのドメイン内にある管理クライアントはアクセスさせないようにするための指定例を,次に示します。
<Location /ComputeSystemsManager> order allow,deny allow from hitachi.com </Location>上記の例の場合,<管理クライアント>は次のどれかの形式で記述できます。
- ドメイン名(例:hitachi.datasystem.com)
- ドメイン名の一部(例:hitachi)
- 完全なIPv4アドレス(例:10.1.2.3 127.0.0.1)
- IPv4アドレスの一部(例:10.1 この場合,10.1.0.0/16と同じ意味になります)
- 「IPv4のネットワーク/ネットマスク」の形式(例:10.1.0.0/255.255.0.0)
- 「IPv4のネットワーク/c」のCIDR形式(例:10.1.0.0/16)
- (1) ポート変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (1) 管理サーバのホスト名変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (2) 管理サーバのIPアドレス変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- 5.2.2 管理サーバでSSL通信するよう設定する(管理クライアントとの通信路)
- 5.7.2 管理クライアントからの接続を制限する
- B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
- B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
B.2.4 Webコンテナサーバに関するプロパティ(usrconf.properties)
usrconf.propertiesファイルに記載するWebコンテナサーバとの通信に関するプロパティの一覧を次の表に示します。
usrconf.propertiesファイルは,Webコンテナサーバごとにあります。
Hitachi Command Suite共通コンポーネントのシングルサインオン用Webコンテナサーバに関するプロパティの一覧を次に示します。
表B-1 Hitachi Command Suite共通コンポーネントのシングルサインオン用Webコンテナサーバに関するプロパティ(usrconf.properties)
プロパティ 説明 webserver.connector.ajp13.port HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。
デフォルト値は,「22035」です。
変更する場合は,workers.propertiesのworker.HBase64StgMgmtSSOService.portプロパティに同じポート番号を指定してください。ejbserver.rmi.naming.port HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。
デフォルト値は,「22036」です。ejbserver.http.port HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。
デフォルト値は,「22037」です。ejbserver.rmi.remote.listener.port HBase 64 Storage Mgmt SSO Serviceで使用されるポート番号です。
デフォルト値は,「22038」です。Compute Systems Manager用Webコンテナサーバに関するプロパティの一覧を次に示します。
表B-2 Compute Systems Manager用Webコンテナサーバに関するプロパティ(usrconf.properties)
プロパティ 説明 webserver.connector.ajp13.port HCS Compute Systems Manager Web Serviceで使用されるポート番号です。
デフォルト値は,「22027」です。
変更する場合は,workers.propertiesのworker.ComputeSystemsManagerWebService.portプロパティに同じポート番号を指定してください。ejbserver.rmi.naming.port HCS Compute Systems Manager Web Serviceで使用されるポート番号です。
デフォルト値は,「22028」です。ejbserver.http.port HCS Compute Systems Manager Web Serviceで使用されるポート番号です。
デフォルト値は,「22613」です。ejbserver.rmi.remote.listener.port HCS Compute Systems Manager Web Serviceで使用されるポート番号です。
デフォルト値は,「22614」です。
B.2.5 Webコンテナサーバに関するプロパティ(workers.properties)
workers.propertiesファイルに記載するHitachi Command Suite共通コンポーネントのWebコンテナサーバとの通信に関するプロパティの一覧を次の表に示します。
プロパティ 説明 worker.ComputeSystemsManagerWebService.port Webサーバにアクセスするためのポート番号を指定します。
デフォルト値は,「22027」です。
変更する場合は,Compute Systems Manager用のusrconf.propertiesにあるwebserver.connector.ajp13.portプロパティに同じポート番号を指定してください。worker.HBase64StgMgmtSSOService.port Webサーバにアクセスするためのポート番号を指定します。
デフォルト値は,「22035」です。
変更する場合は,Hitachi Command Suite共通コンポーネントのシングルサインオン用のusrconf.propertiesにあるwebserver.connector.ajp13.portプロパティに同じポート番号を指定してください。
B.2.6 シングルサインオン用Webサーバに関するプロパティ(user_hsso_httpsd.conf)
user_hsso_httpsd.confファイルに記載するHitachi Command Suite共通コンポーネントのシングルサインオン用Webサーバとの通信に関するプロパティの一覧を次の表に示します。
プロパティ 説明 Listen HBase 64 Storage Mgmt Web SSO Serviceにアクセスするためのポート番号を指定します。
デフォルト値は,「22031」です。
B.2.7 データベースに関するプロパティ(HiRDB.ini)
Hitachi Command Suite共通コンポーネントのHiRDB.iniファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ 説明 PDNAMEPORT データベースが使用するポート番号を指定します。
デフォルト値は,「22032」です。
変更する場合は,pdsysのpd_name_portプロパティ,およびdef_pdsysのpd_name_portプロパティに同じポート番号を指定してください。PDHOST IPアドレスを指定します。通常は変更する必要はありません。
管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。
変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。
- (1) ポート変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (1) 管理サーバのホスト名変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (2) 管理サーバのIPアドレス変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
- B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
- B.2.8 データベースに関するプロパティ(pdsys)
- B.2.9 データベースに関するプロパティ(def_pdsys)
Hitachi Command Suite共通コンポーネントのpdsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ 説明 pd_name_port データベースが使用するポート番号を指定します。
デフォルト値は,「22032」です。
変更する場合は,HiRDB.iniのPDNAMEPORTプロパティ,およびdef_pdsysのpd_name_portプロパティに同じポート番号を指定してください。pdunit -x IPアドレスを指定します。通常は変更する必要はありません。
管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。
変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。
- (1) ポート変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (1) 管理サーバのホスト名変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (2) 管理サーバのIPアドレス変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
- B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
- B.2.7 データベースに関するプロパティ(HiRDB.ini)
- B.2.9 データベースに関するプロパティ(def_pdsys)
B.2.9 データベースに関するプロパティ(def_pdsys)
Hitachi Command Suite共通コンポーネントのdef_pdsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ 説明 pd_name_port データベースが使用するポート番号を指定します。
デフォルト値は,「22032」です。
変更する場合は,HiRDB.iniのPDNAMEPORTプロパティ,およびpdsysのpd_name_portプロパティに同じポート番号を指定してください。pdunit -x IPアドレスを指定します。通常は変更する必要はありません。
管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。
変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。
- (1) ポート変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (1) 管理サーバのホスト名変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- (2) 管理サーバのIPアドレス変更時に編集するHitachi Command Suite共通コンポーネントのプロパティ
- B.2.1 Hitachi Command Suite共通コンポーネントのプロパティとは
- B.2.2 Hitachi Command Suite共通コンポーネントのプロパティの一覧
- B.2.7 データベースに関するプロパティ(HiRDB.ini)
- B.2.8 データベースに関するプロパティ(pdsys)
B.2.10 データベースに関するプロパティ(pdutsys)
Hitachi Command Suite共通コンポーネントのpdutdsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ 説明 pd_hostname IPアドレスを指定します。通常は変更する必要はありません。
管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。
変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。
B.2.11 データベースに関するプロパティ(def_pdutsys)
Hitachi Command Suite共通コンポーネントのdef_pdutsysファイルに記載するデータベースに関するプロパティの一覧を次の表に示します。
プロパティ 説明 pd_hostname IPアドレスを指定します。通常は変更する必要はありません。
管理サーバのホスト名,またはIPアドレスが変更になるときに見直しが必要です。
変更前のIPアドレスが指定されている場合は,ループバックアドレス127.0.0.1に変更してください。
B.2.12 ユーザーアカウントに関するプロパティ(user.conf)
Hitachi Command Suite共通コンポーネントのuser.confファイルに記載するユーザーアカウントに関するプロパティの一覧を次の表に示します。
プロパティ 説明 account.lock.system Systemアカウントを自動ロックおよび手動ロックの対象にするかどうかを指定します。
- 「true」:Systemアカウントもロックの対象になります。
- 「false」:Systemアカウントはロックの対象から外れます。
B.2.13 LDAPディレクトリサーバとの連携に関するプロパティ(exauth.properties)
exauth.propertiesファイルには,外部のLDAPディレクトリサーバと連携して通信するためのプロパティを記載します。
LDAPディレクトリサーバの情報を直接指定するか,DNSサーバに接続先のLDAPディレクトリサーバの情報を照会するかによって,設定するプロパティが異なります。
次に示すファイルをexauth.propertiesファイルのサンプルとして使用できます。
サンプルファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\sample\conf\exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/sample/conf/exauth.properties
サンプルファイルは,次の場所にコピーして使用してください。
ファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\conf\exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/conf/exauth.properties
重要
- プロパティを編集するときは,次の点に注意してください。
- 設定値は,大文字と小文字を区別してください。
- 設定値の先頭および末尾には半角スペースを入力しないでください。また,設定値は引用符(")で囲まないでください。
設定値にこれらの文字が含まれる場合,値は無視され,デフォルト値が採用されます。- サンプルファイルをコピーして使用する場合,プロパティの設定値を変更したときは,プロパティの行頭にある#を削除してください。#を削除しない場合,変更した値は無視され,デフォルト値が採用されます。
LDAPディレクトリサーバで認証する場合のexauth.propertiesファイルのプロパティ一覧を次の表に示します。
プロパティ 詳細 auth.server.type 外部認証サーバの種類を指定します。 デフォルト値は,「internal」です。
- 「ldap」:LDAPディレクトリサーバと連携する場合に指定します。
- 「internal」:LDAPディレクトリサーバと連携しない場合に指定します。
auth.server.name LDAPディレクトリサーバのサーバ識別名を指定します。接続プロトコルやポート番号などの設定をLDAPディレクトリサーバごとに区別するために付ける任意の名称です。
必ず1つ以上のサーバ識別名を指定してください。LDAPディレクトリサーバを複数指定する場合は,各サーバのサーバ識別名をコンマ(,)で区切って指定します。同じサーバ識別名は重複して登録しないでください。
- 指定できる値:64バイト以内の次の文字列
0~9 A~Z a~z ! # ( ) + - . = @ [ ] ^ _ { } ~- デフォルト値:なし
初期値として「ServerName」が設定されています。auth.ldap.multi_domain auth.server.nameプロパティでLDAPディレクトリサーバのサーバ識別名を複数指定する場合,各サーバがマルチドメイン構成であるか,冗長構成であるかを指定します。 デフォルト値は,「false」です。
- 「true」:マルチドメイン構成である場合に指定します。
- 「false」:冗長構成である場合に指定します。
auth.group.mapping 外部認可サーバとも連携するかどうかを指定します。 デフォルト値は,「false」です。
- 「true」:外部認可サーバとも連携する場合に指定します。
- 「false」:外部認可サーバと連携しない場合に指定します。
auth.ocsp.enable LDAPディレクトリサーバとStartTLS通信する場合に,OCSPレスポンダーまたはCRLを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。 デフォルト値は,「false」です。
- 「true」:証明書の有効性を検証する場合に指定します。
- 「false」:証明書の有効性を検証しない場合に指定します。
auth.ocsp.responderURL 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。
省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。auth.ldap.<auth.server.nameの指定値>.protocol LDAPディレクトリサーバ接続のプロトコルです。この項目は必須です。 「tls」を指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。
- 「ldap」:平文で通信する場合に指定します。
- 「tls」:StartTLS通信する場合に指定します。
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
auth.ldap.<auth.server.nameの指定値>.host※1 LDAPディレクトリサーバのホスト名またはIPアドレスを指定します。この項目は必須です。
ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスには,IPv4アドレスを使用できます。auth.ldap.<auth.server.nameの指定値>.port LDAPディレクトリサーバのポート番号を指定します。
指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
- 指定できる値:1~65535
- デフォルト値:389
auth.ldap.<auth.server.nameの指定値>.timeout LDAPディレクトリサーバと接続するときの接続待ち時間を秒単位で指定します。 「0」を指定した場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
- 指定できる値:0~120
- デフォルト値:15
auth.ldap.<auth.server.nameの指定値>.attr 認証で使用するユーザーIDの値が定義されている属性名(AttributeType)を指定します。この項目は必須です。 デフォルト値は,「sAMAccountName」です。
- 階層構造モデルの場合
ユーザーを一意に特定できる値が格納されている属性名を指定します。この属性に格納された値をHitachi Command Suite製品のユーザーIDとして使用します。※2
例:ActiveDirectoryを使用している場合で,WindowsのログオンIDをユーザーIDとして使用したいときは,WindowsのログオンIDが値として定義されている属性名「sAMAccountName」を指定します。- フラットモデルの場合
ユーザーエントリーのRDNの属性名を指定します。auth.ldap.<auth.server.nameの指定値>.basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)を指定します。この項目は必須です。
このDNより下の階層のユーザーエントリーが認証の対象となります。指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
- 階層構造モデルの場合
検索対象のユーザーエントリーをすべて含む階層のDNです。- フラットモデルの場合
検索対象のユーザーエントリーより1つ上の階層のDNです。
半角スペース # + ; , < = > \auth.ldap.<auth.server.nameの指定値>.retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数を指定します。
- 指定できる値:1~60
- デフォルト値:1
auth.ldap.<auth.server.nameの指定値>.retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数を指定します。 「0」を指定した場合,リトライされません。
- 指定できる値:0~50
- デフォルト値:20
auth.ldap.<auth.server.nameの指定値>.domain.name LDAPディレクトリサーバが管理するドメインの名称を指定します。
次に示す構成の場合,この項目は必須です。
- DNSサーバにLDAPディレクトリサーバの情報を照会する場合
- LDAPディレクトリサーバの情報を直接指定,かつ,外部認可サーバと連携する場合
auth.ldap.<auth.server.nameの指定値>.domain LDAPディレクトリサーバが管理するマルチドメイン構成用のドメインの名称を指定します。
ログイン時に,ユーザーIDを「<ユーザーID>@<このプロパティで指定したドメイン名>」の形式で入力すると,指定したドメインに属するLDAPディレクトリサーバが認証先となります。
LDAPディレクトリサーバのサーバ識別子ごとにドメイン名を指定する際は,ドメイン名が重複しないようにしてください。ドメイン名の大文字と小文字は区別されません。
LDAPディレクトリサーバがマルチドメイン構成の場合,この項目は必須です。auth.ldap.<auth.server.nameの指定値>.dns_lookup DNSサーバにLDAPディレクトリサーバの情報を照会するかどうかを指定します。 デフォルト値は,「false」です。
- 「true」:DNSサーバに照会する場合に指定します。
- 「false」:DNSサーバに照会しないで,直接指定する場合に指定します。
「true」を指定した場合でも,次の属性に値が設定されている場合は,DNSサーバに照会しないで,ユーザーが指定した値を使用してLDAPディレクトリサーバに接続します。LDAPディレクトリサーバがマルチドメイン構成の場合,DNSサーバにLDAPディレクトリサーバの情報を照会できません。そのため,このプロパティに「true」は指定しないでください。
- auth.ldap.<auth.server.nameの指定値>.host
- auth.ldap.<auth.server.nameの指定値>.port
- 注※1
- LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合は,host属性にはLDAPディレクトリサーバの証明書のCNと同じホスト名を設定してください。IPアドレスは使用できません。
- 注※2
- Compute Systems ManagerのユーザーIDとして使用できない文字列が値に含まれていない属性を指定してください。
B.2.14 LDAPディレクトリサーバとの連携に関するプロパティの設定例
LDAPディレクトリサーバと連携するためのプロパティの設定例を次に示します。接続の種類によっては,指定値が異なります。
LDAPディレクトリサーバの情報を直接指定する場合(外部認証サーバとだけ連携するとき):
auth.server.type=ldap auth.server.name=ServerName auth.group.mapping=false auth.ocsp.enable=false auth.ocsp.responderURL= auth.ldap.ServerName.protocol=ldap auth.ldap.ServerName.host=ldap.example.com auth.ldap.ServerName.port=389 auth.ldap.ServerName.timeout=15 auth.ldap.ServerName.attr=sAMAccountName auth.ldap.ServerName.basedn=dc=Example,dc=com auth.ldap.ServerName.retry.interval=1 auth.ldap.ServerName.retry.times=20 auth.ldap.ServerName.dns_lookup=falseLDAPディレクトリサーバをDNSサーバに照会する場合(外部認証サーバとだけ連携するとき):
auth.server.type=ldap auth.server.name=ServerName auth.group.mapping=false auth.ldap.ServerName.protocol=ldap auth.ldap.ServerName.timeout=15 auth.ldap.ServerName.attr=sAMAccountName auth.ldap.ServerName.basedn=dc=Example,dc=com auth.ldap.ServerName.retry.interval=1 auth.ldap.ServerName.retry.times=20 auth.ldap.ServerName.domain.name=EXAMPLE.COM auth.ldap.ServerName.dns_lookup=trueLDAPディレクトリサーバの情報を直接指定する場合(外部認可サーバとも連携するとき):
auth.server.type=ldap auth.server.name=ServerName auth.group.mapping=true auth.ocsp.enable=false auth.ocsp.responderURL= auth.ldap.ServerName.protocol=ldap auth.ldap.ServerName.host=ldap.example.com auth.ldap.ServerName.port=389 auth.ldap.ServerName.timeout=15 auth.ldap.ServerName.attr=sAMAccountName auth.ldap.ServerName.basedn=dc=Example,dc=com auth.ldap.ServerName.retry.interval=1 auth.ldap.ServerName.retry.times=20 auth.ldap.ServerName.domain.name=EXAMPLE.COM auth.ldap.ServerName.dns_lookup=falseLDAPディレクトリサーバをDNSサーバに照会する場合(外部認可サーバとも連携するとき):
auth.server.type=ldap auth.server.name=ServerName auth.group.mapping=true auth.ldap.ServerName.protocol=ldap auth.ldap.ServerName.timeout=15 auth.ldap.ServerName.attr=sAMAccountName auth.ldap.ServerName.basedn=dc=Example,dc=com auth.ldap.ServerName.retry.interval=1 auth.ldap.ServerName.retry.times=20 auth.ldap.ServerName.domain.name=EXAMPLE.COM auth.ldap.ServerName.dns_lookup=trueLDAPディレクトリサーバが冗長構成の場合:
auth.server.type=ldap auth.server.name=ServerName1,ServerName2 auth.ldap.multi_domain=false auth.group.mapping=false auth.ocsp.enable=false auth.ocsp.responderURL= auth.ldap.ServerName1.protocol=ldap auth.ldap.ServerName1.host=ldap1.example.com auth.ldap.ServerName1.port=389 auth.ldap.ServerName1.timeout=15 auth.ldap.ServerName1.attr=sAMAccountName auth.ldap.ServerName1.basedn=dc=Example,dc=com auth.ldap.ServerName1.retry.interval=1 auth.ldap.ServerName1.retry.times=20 auth.ldap.ServerName1.dns_lookup=false auth.ldap.ServerName2.protocol=ldap auth.ldap.ServerName2.host=ldap2.example.com auth.ldap.ServerName2.port=389 auth.ldap.ServerName2.timeout=15 auth.ldap.ServerName2.attr=sAMAccountName auth.ldap.ServerName2.basedn=dc=Example,dc=net auth.ldap.ServerName2.retry.interval=1 auth.ldap.ServerName2.retry.times=20 auth.ldap.ServerName2.dns_lookup=falseLDAPディレクトリサーバがマルチドメイン構成の場合:
auth.server.type=ldap auth.server.name=ServerName1,ServerName2 auth.ldap.multi_domain=true auth.group.mapping=false auth.ocsp.enable=false auth.ocsp.responderURL= auth.ldap.ServerName1.protocol=ldap auth.ldap.ServerName1.host=ldap1.example.com auth.ldap.ServerName1.port=389 auth.ldap.ServerName1.timeout=15 auth.ldap.ServerName1.attr=sAMAccountName auth.ldap.ServerName1.basedn=dc=Example,dc=com auth.ldap.ServerName1.retry.interval=1 auth.ldap.ServerName1.retry.times=20 auth.ldap.ServerName1.domain=example.com auth.ldap.ServerName1.dns_lookup=false auth.ldap.ServerName2.protocol=ldap auth.ldap.ServerName2.host=ldap2.example.com auth.ldap.ServerName2.port=389 auth.ldap.ServerName2.timeout=15 auth.ldap.ServerName2.attr=sAMAccountName auth.ldap.ServerName2.basedn=dc=Example,dc=net auth.ldap.ServerName2.retry.interval=1 auth.ldap.ServerName2.retry.times=20 auth.ldap.ServerName2.domain=example.net auth.ldap.ServerName2.dns_lookup=false
B.2.15 Kerberosサーバとの連携に関するプロパティ(exauth.properties)
exauth.propertiesファイルには,外部のKerberosサーバと連携して通信するためのプロパティを記載します。
Kerberosサーバの情報を直接指定するか,DNSサーバに接続先のKerberosサーバの情報を照会するかによって,設定するプロパティが異なります。
次に示すファイルをexauth.propertiesファイルのサンプルとして使用できます。
サンプルファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\sample\conf\exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/sample/conf/exauth.properties
サンプルファイルは,次の場所にコピーして使用してください。
ファイル格納先:
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\conf\exauth.properties
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/conf/exauth.properties
重要
- プロパティを編集するときは,次の点に注意してください。
- 設定値は,大文字と小文字を区別してください。
- 設定値の先頭および末尾には半角スペースを入力しないでください。また,設定値は引用符(")で囲まないでください。
設定値にこれらの文字が含まれる場合,値は無視され,デフォルト値が採用されます。- サンプルファイルをコピーして使用する場合,プロパティの設定値を変更したときは,プロパティの行頭にある#を削除してください。#を削除しない場合,変更した値は無視され,デフォルト値が採用されます。
Kerberosサーバで認証する場合のexauth.propertiesファイルのプロパティ一覧を次の表に示します。
プロパティ 詳細 auth.server.type 外部認証サーバの種類を指定します。 デフォルト値は,「internal」です。
- 「kerberos」:Kerberosサーバと連携する場合に指定します。
- 「internal」:Kerberosサーバと連携しない場合に指定します。
auth.group.mapping 外部認可サーバとも連携するかどうかを指定します。 デフォルト値は,「false」です。
- 「true」:外部認可サーバと連携する場合に指定します。
- 「false」:外部認可サーバと連携しない場合に指定します。
auth.ocsp.enable LDAPディレクトリサーバとStartTLS通信する場合に,OCSPレスポンダーまたはCRLを使用してLDAPディレクトリサーバの電子署名証明書の有効性を検証するかどうかを指定します。 デフォルト値は,「false」です。
- 「true」:証明書の有効性を検証する場合に指定します。
- 「false」:証明書の有効性を検証しない場合に指定します。
auth.ocsp.responderURL 電子署名証明書のAIAフィールドに記載されたOCSPレスポンダー以外のOCSPレスポンダーで電子署名証明書の有効性を検証する場合に,OCSPレスポンダーのURLを指定します。
省略した場合は,AIAフィールドに記載されたOCSPレスポンダーに問い合わせます。auth.kerberos.default_realm デフォルトのレルム名を指定します。この項目は必須です。
GUIのログイン画面でレルム名を省略してユーザーIDを入力した場合に,この項目で指定したレルムに所属するユーザーとして認証されます。auth.kerberos.dns_lookup_kdc DNSサーバにKerberosサーバの情報を照会するかどうかを指定します。 デフォルト値は,「false」です。
- 「true」:DNSサーバに照会する場合に指定します。
- 「false」:DNSサーバに照会しないで,直接指定する場合に指定します。
「true」を指定した場合でも,次のすべてのプロパティに値を設定しているときは,DNSサーバに照会されません。
- auth.kerberos.realm_name
- auth.kerberos.<auth.kerberos.realm_nameの指定値>.realm
- auth.kerberos.<auth.kerberos.realm_nameの指定値>.kdc
auth.kerberos.default_tkt_enctypes Kerberos認証に使用する暗号タイプを指定します。 複数指定する場合は,コンマ(,)で区切ってください。
- 指定できる値:
- aes256-cts
- aes128-cts
- rc4-hmac
- des3-cbc-sha1
- des-cbc-md5
- des-cbc-crc
- デフォルト値:なし(DES-CBC-MD5での認証)
指定した暗号タイプのうち,管理サーバのOSとKerberosサーバの両方でサポートされているものが使用されます。auth.kerberos.clockskew 管理サーバとKerberosサーバ間の時刻の差の許容範囲を秒数で指定します。 指定した値よりも時刻に差がある場合,認証エラーになります。
- 指定できる値:0~300
- デフォルト値:300
auth.kerberos.timeout Kerberosサーバと接続するときの接続待ち時間を秒数で指定します。 「0」を指定した場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
- 指定できる値:0~120
- デフォルト値:3
auth.kerberos.realm_name レルム識別名を指定します。レルムごとにKerberosサーバの情報を区別するために付ける任意の名称です。
必ず1つ以上のレルム識別名を指定してください。レルム識別名を複数指定する場合は,各サーバのレルム識別名をコンマ(,)で区切って指定します。同じレルム識別名は重複して登録しないでください。auth.kerberos.<auth.kerberos.realm_nameの指定値>.realm Kerberosサーバに設定してあるレルム名を指定します。この項目は必須です。
プロパティの名称で,<レルム名>としている部分は,このプロパティの指定値で指定してください。auth.kerberos.<auth.kerberos.realm_nameの指定値>.kdc※1 Kerberosサーバの情報を次の形式で指定します。この項目は必須です。
<ホスト名またはIPアドレス>[:<ポート番号>]Kerberosサーバを複数指定する場合は,次のようにコンマ(,)で区切って指定します。
- <ホスト名またはIPアドレス>
ホスト名を指定する場合,IPアドレスへの名前解決ができることを事前に確認してください。IPアドレスは,IPv4アドレスで指定してください。- <ポート番号>
指定するポートがKerberosサーバで待ち受けポート番号として設定されていることを事前に確認してください。ポート番号を省略した場合,または指定したポート番号がKerberosサーバで使用できないポート番号である場合は,「88」を指定したと見なされます。
<ホスト名またはIPアドレス>[:<ポート番号>],<ホスト名またはIPアドレス>[:<ポート番号>],...auth.group.<レルム名>.protocol※2 LDAPディレクトリサーバ接続のプロトコルです。 Kerberosサーバの情報を直接指定する場合にだけ,StartTLSで通信できます。
- 「ldap」:平文による通信の場合に指定します。
- 「tls」:StartTLSによる通信の場合に指定します。
「tls」を指定する場合には,LDAPディレクトリサーバで次のどれかの暗号方式を使用できることを事前に確認してください。デフォルト値は,「ldap」です。
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- SSL_RSA_WITH_3DES_EDE_CBC_SHA
auth.group.<レルム名>.port LDAPディレクトリサーバのポート番号を指定します。
指定するポートが,LDAPディレクトリサーバで待ち受けポート番号として設定されていることを事前に確認してください。
- 指定できる値:1~65535
- デフォルト値:389
auth.group.<レルム名>.basedn LDAPディレクトリサーバの情報を検索する際に,起点となるエントリーのDN(BaseDN)を指定します。
このDNより下の階層のユーザーエントリーが認可の対象となります。検索対象のユーザーエントリーをすべて含む階層のDNを指定してください。
DNはRFC4514の規約に従って指定してください。例えば,次の文字がDNに含まれる場合は,1文字ごとに円記号(\)でエスケープする必要があります。
半角スペース # + ; , < = > \
指定した値はLDAPディレクトリサーバにそのまま渡されるため,BaseDNにエスケープが必要な文字が含まれる場合は,正しくエスケープしてください。
省略した場合は,Active DirectoryのdefaultNamingContext属性に指定されている値がBaseDNと見なされます。auth.group.<レルム名>.timeout LDAPディレクトリサーバと接続するときの接続待ち時間を秒単位で指定します。 「0」を指定した場合,タイムアウトしないで,通信エラーが発生するまで待ち続けます。
- 指定できる値:0~120
- デフォルト値:15
auth.group.<レルム名>.retry.interval LDAPディレクトリサーバとの通信に失敗した場合のリトライ間隔となる秒数を指定します。
- 指定できる値:1~60
- デフォルト値:1
auth.group.<レルム名>.retry.times LDAPディレクトリサーバとの通信に失敗した場合のリトライ回数を指定します。 「0」を指定した場合,リトライされません。
- 指定できる値:0~50
- デフォルト値:20
- 注※1
- 外部認可サーバの接続プロトコルにStartTLSを使用する場合は,外部認可サーバのサーバ証明書のCNと同じホスト名を設定してください。IPアドレスは使用できません。
- 注※2
- LDAPディレクトリサーバの接続プロトコルにStartTLSを使用する場合には,Hitachi Command Suite共通コンポーネントのセキュリティ設定が必要です。
B.2.16 Kerberosサーバとの連携に関するプロパティの設定例
Kerberosサーバと連携するためのプロパティの設定例を次に示します。接続の種類によっては,指定値が異なります。
Kerberosサーバの情報を直接指定する場合(外部認証サーバとだけ連携するとき):
auth.server.type=kerberos auth.group.mapping=false auth.ocsp.enable=false auth.ocsp.responderURL= auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=RealmName auth.kerberos.RealmName.realm=EXAMPLE.COM auth.kerberos.RealmName.kdc=kerberos.example.com:88KerberosサーバをDNSサーバに照会する場合(外部認証サーバとだけ連携するとき):
auth.server.type=kerberos auth.group.mapping=false auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=true auth.kerberos.clockskew=300 auth.kerberos.timeout=3Kerberosサーバの情報を直接指定する場合(外部認可サーバとも連携するとき):
auth.server.type=kerberos auth.group.mapping=true auth.ocsp.enable=false auth.ocsp.responderURL= auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=RealmName auth.kerberos.RealmName.realm=EXAMPLE.COM auth.kerberos.RealmName.kdc=kerberos.example.com:88 auth.group.EXAMPLE.COM.protocol=ldap auth.group.EXAMPLE.COM.port=389 auth.group.EXAMPLE.COM.basedn=dc=Example,dc=com auth.group.EXAMPLE.COM.timeout=15 auth.group.EXAMPLE.COM.retry.interval=1 auth.group.EXAMPLE.COM.retry.times=20KerberosサーバをDNSサーバに照会する場合(外部認可サーバとも連携するとき):
auth.server.type=kerberos auth.group.mapping=true auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=true auth.kerberos.clockskew=300 auth.kerberos.timeout=3Kerberosサーバが冗長構成の場合:
auth.server.type=kerberos auth.group.mapping=false auth.ocsp.enable=false auth.ocsp.responderURL= auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=RealmName auth.kerberos.RealmName.realm=EXAMPLE.COM auth.kerberos.RealmName.kdc=kerberos.example.com:88,kerberos.example.com:88Kerberosサーバのレルム識別名を複数指定する場合:
auth.server.type=kerberos auth.group.mapping=false auth.ocsp.enable=false auth.ocsp.responderURL= auth.kerberos.default_realm=EXAMPLE.COM auth.kerberos.dns_lookup_kdc=false auth.kerberos.clockskew=300 auth.kerberos.timeout=3 auth.kerberos.realm_name=RealmName1,RealmName2 auth.kerberos.RealmName1.realm=EXAMPLE.COM auth.kerberos.RealmName1.kdc=kerberos1.example.com:88,kerberos1.example.net:88 auth.kerberos.RealmName2.realm=EXAMPLE.NET auth.kerberos.RealmName2.kdc=kerberos2.example.com:88,kerberos2.example.net:88
B.2.17 監査ログに関するプロパティ(auditlog.conf)
Hitachi Command Suite共通コンポーネントのauditlog.confファイルに記載する監査ログに関するプロパティの一覧を次の表に示します。
プロパティ 説明 Log.Facility 未使用(指定しても無視されます) Log.Event.Category 採取する監査事象の種別を指定します。
複数指定する場合は,コンマ(,)で区切ります。その場合,種別とコンマの間は半角スペースを空けずに詰めて指定してください。
指定されていない場合,監査ログは出力されません。
大文字,小文字は区別されません。
次に示す指定できる種別以外の名称を指定した場合は,無視されます。
- 指定できる種別:「StartStop」,「Authentication」,「ExternalService」,または「ConfigurationAccess」
- デフォルト値:指定なし
Log.Level 採取する監査事象の重要度(Severity)を指定します。
指定した値以下の重要度を持つ監査事象が,イベントログに出力されます。
次に示す指定できる値以外の数値,または,数値以外の文字を指定した場合は,デフォルト値が仮定されます。
- 指定できる値:0~7
- デフォルト値:6
監査事象の重要度とイベントログの種類の対応は,次の表のとおりです。
監査事象の重要度 イベントログの種類 0~3 エラー 4 警告 5~7 情報 auditlog.confファイルの例を次に示します。
# Specify an integer for Facility. (specifiable range: 1-23) Log.Facility 1 # Specify the event category. # You can specify any of the following: # StartStop, Failure, LinkStatus, ExternalService, # Authentication, ContentAccess, # ConfigurationAccess, Maintenance, or AnomalyEvent. Log.Event.Category Authentication,ConfigurationAccess # Specify an integer for Severity. (specifiable range: 0-7) Log.Level 6この例の場合,AuthenticationまたはConfigurationAccessの監査事象が出力されます。Windowsの場合,「エラー」,「警告」および「情報」の重要度を持つ監査ログが出力されます。Linuxの場合,分類がuserとしてsyslog.confファイルに定義されたsyslogファイルに,監査ログが出力されます。
B.2.18 管理サーバをクラスタ構成にする場合に設定が必要なプロパティ(cluster.conf)
Hitachi Command Suite共通コンポーネントのcluster.confファイルに記載するクラスタ構成の設定に関するプロパティの一覧を次の表に示します。
プロパティ 説明 mode 実行系ノードの場合は,「online」を指定します。
待機系ノードの場合は,「standby」を指定します。virtualhost 有効でアクセスできるIPアドレスが割り当てられている論理ホスト名※を指定します。
IPアドレスは指定できません。onlinehost 実行系ノードのホスト名※を指定します。
IPアドレスは指定できません。standbyhost 待機系ノードのホスト名※を指定します。
IPアドレスは指定できません。
- 注※
- 指定するホスト名からIPアドレスの名前解決ができることを確認してください。
All Rights Reserved. Copyright© 2014, 2016, Hitachi, Ltd.