この章では、ユーザーのネットワークに合わせて WebSEAL サーバーをカスタマイ ズするための、基本的な管理タスクと構成タスクのセットについて説明します。 61 ページの『第 3 章 拡張サーバー構成』も参照してください。
この章で扱うトピックは以下のとおりです。
v 21 ページの『サーバーに関する一般情報』
v 23 ページの『WebSEAL 構成ファイルの使用』
v 26 ページの『通信パラメーターの構成』
v 28 ページの『Web スペースの管理』
v 35 ページの『カスタム HTTP エラー・メッセージ・ページの管理』
v 38 ページの『カスタム・アカウント管理ページの管理』
v 40 ページの『Web サービスに対するマルチロケール・サポート』
v 42 ページの『クライアント・サイドとサーバー・サイドの証明書の管理』
v 47 ページの『デフォルトの HTTP ロギングの構成』
v 51 ページの『イベント・ロギングを使用した HTTP ロギングの構成』
v 52 ページの『WebSEAL 保守サービス・メッセージのロギング』
サーバーに関する一般情報
以下のセクションでは、WebSEAL サーバーに関する一般的な情報を示します。
v 21 ページの『WebSEAL をインストールするルート・ディレクトリー』
v 22 ページの『WebSEAL の開始と停止』
v 22 ページの『保護オブジェクト・スペース内で表される WebSEAL』
v 23 ページの『WebSEAL が HTTP/1.1 を戻す場合』
v 23 ページの『WebSEAL ログ・ファイル』
WebSEAL をインストールするルート・ディレクトリー
WebSEAL プログラム・ファイルは、次のルート・ディレクトリーにインストール
されます。
UNIX の場合:
/opt/pdweb/
Windows の場合:
C:¥Program Files¥Tivoli¥PDWeb¥
このパスを設定できるのは、Tivoli Access Manager for Windows のインストールの 場合です。 UNIX での Tivoli Access Manager のインストールには、このパスは設 定できません。
本書では、<install-path> 変数でこのルート・ディレクトリーを表します。
UNIX インストールの場合は、監査ファイルやログ・ファイルなどの拡張可能ファ イルは、次に示す独立したディレクトリーに収められます。
/var/pdweb/
WebSEAL の開始と停止
WebSEAL サーバー・プロセスを開始および停止するには、UNIX では pdweb コ
マンドを使用し、Windows では、「サービス制御パネル (Services Control Panel)」
を使用します。
UNIX の場合:
pdweb {start|stop|restart|status}
pdweb コマンドは次のディレクトリー内にあります。
/usr/bin/
たとえば、WebSEAL サーバーを停止した後で再始動するには、次のコマンドを使 用します。
# /usr/bin/pdweb restart Windows の場合:
「サービス制御パネル (Services Control Panel)」で WebSEAL サーバー・プロセス を選択し、該当のコントロール・ボタンを使用します。
保護オブジェクト・スペース内で表される WebSEAL
webseald.conf 構成ファイル内の server-name パラメーターは、Tivoli Access
Manager 保護オブジェクト・スペース内のこの WebSEAL サーバー・インスタンス
を表すポイントを指定します。
単一の WebSEAL サーバーのインストールの場合は、この値は、この WebSEAL サ
ーバーをインストールしようとしているマシンのホスト名を使用して、自動的に設 定されます。
たとえば、マシン (ホスト) 名が sales1 であるとすれば、パラメーター値は次のよ うに設定されます。
[server]
server-name = sales1
Tivoli Access Manager 保護オブジェクト・スペース内では、この WebSEAL サーバ ー・インスタンスは次のように表されます。
/WebSEAL/sales1
67 ページの『フロントエンド WebSEAL サーバーの複製』も参照してください。
同じマシン上に WebSEAL の複数のインスタンスがある場合は、この値は、複数の
WebSEAL サーバー・インスタンスを作成するための PDWeb_config スクリプト
(UNIX) または ivweb_setup スクリプト (Windows) の -i オプションによって設定 されます。
68 ページの『複数の WebSEAL サーバー・インスタンスの構成』も参照してくだ さい。
WebSEAL が HTTP/1.1 を戻す場合
HTTP/1.0 要求が junction 先バックエンド・サーバーに送られるのは、そのサーバ ーが状況として 400 (無効な要求) または 504 (サポートされない HTTP バージョ ン) を戻す場合か、クライアント・ブラウザーが要求の中で HTTP/1.0 を指定して いる場合のみです。
その他の場合は、バックエンド・サーバーが HTTP/1.1 を受け入れるのであれば、
WebSEAL は HTTP/1.1 要求を送ります。
しかし、WebSEAL が junction 先バックエンド・サーバーに HTTP/1.0 要求を送る (そしてそのバックエンド・サーバーが HTTP/1.0 応答を戻す) 場合でも、WebSEAL
は常に HTTP/1.1 応答をクライアント・ブラウザーに戻します。
WebSEAL ログ・ファイル
WebSEAL ログ・ファイルには、サーバーの警告メッセージやエラー・メッセージ
など、保守サービス・メッセージが記録されます。ログ・ファイルの名前と位置 は、webseald.conf 構成ファイルの [logging] スタンザ内で server-log パラメー ターにより定義します。
UNIX の場合:
[logging]
server-log = /var/pdweb/log/msg_webseald.log Windows の場合:
[logging]
server-log = C:/Program Files/Tivoli/PDWeb/log/msg_webseald.log
52 ページの『WebSEAL 保守サービス・メッセージのロギング』も参照してくださ い。
WebSEAL 構成ファイルの使用
以下のセクションでは、WebSEAL 構成ファイル (webseald.conf) について説明し ます。
v 23 ページの『webseald.conf 構成ファイル』
v 25 ページの『WebSEAL サーバーのルート・ディレクトリー』
webseald.conf 構成ファイル
webseald.conf 構成ファイル内にあるパラメーターを構成することによって、
WebSEAL の操作をカスタマイズすることができます。このファイルは次のディレ
クトリー内にあります。
UNIX の場合:
/opt/pdweb/etc/
Windows の場合:
C:¥Program Files¥Tivoli¥PDWeb¥etc¥
Tivoli Access Manager 構成ファイルは ASCII テキスト・ベースのファイルで、通 常のテキスト・エディターを使用して編集できます。この構成ファイルには、次の 形式のパラメーター・エントリーが含まれています。
parameter = value
Tivoli Access Manager の最初のインストール時には、ほとんどのパラメーターがデ フォルト値に設定されます。一部のパラメーターは静的なものであり、変化しませ ん。その他のパラメーターは、サーバーの機能とパフォーマンスをカスタマイズす るために変更できます。
各構成ファイルには、特定の構成カテゴリーに関する 1 つ以上のパラメーターを含 むセクション、つまりスタンザ が含まれています。スタンザの見出しは、次のよう に大括弧に入れて示されます。
[stanza-name]
たとえば、webseald.conf ファイルの中の [junction] スタンザは、WebSEAL junction に影響を与える構成設定を定義します。 [authentication-mechanisms] ス タンザは、WebSEAL がサポートする認証メカニズムと、それに関連した共用ライ ブラリー・ファイルを定義します。
構成ファイルには、各パラメーターの用途を説明するコメントが含まれています。
ある行がコメントであることを示すには、″#″ 文字が使用されます。コメント行は すべて ″#″ 文字で始まります。したがって、″#″ 文字はパラメーター値の中では使 用できません。
注: webseald.conf ファイルに変更を加えたら、新たな変更を認識させるために、
手動で WebSEAL を再始動する必要があります。 22 ページの『WebSEAL の
開始と停止』を参照してください。
次の表は、webseald.conf 構成ファイルに含まれているセクションとスタンザを要 約したものです。
セクション スタンザ
WEBSEAL GENERAL [server]
LDAP [ldap]
ACTIVE DIRECTORY [uraf-ad]
DOMINO [uraf-domino]
SSL [ssl]
JUNCTION [junction]
[filter-url]
[filter-events]
[filter-schemes]
[filter-content-types]
[filter-request-headers]
[script-filtering]
[gso-cache]
[ltpa-cache]
セクション スタンザ
AUTHENTICATION [ba]
[forms]
[token]
[certificate]
[http-headers]
[auth-headers]
[ipaddr]
[authentication-levels]
[mpa]
[cdsso]
[cdsso-peers]
[failover]
[failover-attributes]
[e-community-sso]
[e-community-domain-keys]
[reauthentication]
[authentication-mechanisms]
[ssl-qop]
[ssl-qop-mgmt-hosts]
[ssl-qop-mgmt-networks]
[ssl-qop-mgmt-default]
SESSION [session]
CONTENT [content]
[acnt-mgt]
[enable-redirects]
[cgi]
[cgi-types]
[cgi-environment-variable]
[content-index-icons]
[icons]
[content-cache]
[content-mime-types]
[content-encodings]
LOGGING [logging]
AUTHORIZATION API [aznapi-configuration]
[aznapi-entitlement-services]
POLICY DIRECTOR [policy-director]
[manager]
277 ページの『付録 A. WebSEAL 構成ファイル解説』を参照してください。
WebSEAL サーバーのルート・ディレクトリー
webseald.conf 構成ファイル内の server-root パラメーターは、WebSEAL サーバ ーのルート位置を定義するもので、これはこのファイル内の他のパラメーターの基 準となります。 webseald.conf 構成ファイル内で表される相対パス名は、すべてこ のルート・ディレクトリーを基準とするパスです。
UNIX の場合:
[server]
server-root = /opt/pdweb/www Windows の場合:
[server]
server-root = C:¥Program Files¥Tivoli¥PDWeb¥www 注: 通常は、このパス名は変更しないでください。
通信パラメーターの構成
以下のセクションでは、WebSEAL サーバーに関する概要を説明します。
v 26 ページの『HTTP 要求用の WebSEAL の構成』
v 26 ページの『HTTPS 要求用の WebSEAL の構成』
v 27 ページの『特定の SSL バージョンからの接続の制限』
v 27 ページの『HTTP/HTTPS 通信用のタイムアウト・パラメーター』
v 28 ページの『追加の WebSEAL サーバー・タイムアウト・パラメーター』
HTTP 要求用の WebSEAL の構成
WebSEAL は、通常、認証されていないユーザーからの多数の HTTP 要求を処理し
ます。たとえば、ご使用の公開 Web サイトにある選択された資料に対しては、匿 名ユーザーに、読み取り専用アクセスを可能にすることが一般的です。
TCP を介して HTTP 要求を処理するためのパラメーターは、webseald.conf 構成 ファイルの [server] スタンザに入っています。
HTTP アクセスの使用可能/使用不可
WebSEAL 構成時に、HTTP アクセスを使用可能または使用不可にします。
http = {yes|no}
IBM HTTP Server、WebSphere Application Server (これは IBM HTTP Server をイ ンストールします)、および WebSEAL は、どれもデフォルト・ポートとしてポート 80 を使用します。 IBM HTTP Server と同じシステムに WebSEAL をインストー ルする場合は、必ずこれらのいずれかのサーバーへのデフォルト・ポートを変更し てください。そのためには、httpd.conf 構成ファイルまたは webseald.conf 構成 ファイルを編集します。
HTTP アクセス・ポート値の設定
HTTP アクセス用のデフォルト・ポートは 80 です。
http-port = 80
たとえば、ポート 8080 に変更する場合は、次のように設定します。
http-port = 8080
HTTPS 要求用の WebSEAL の構成
SSL (HTTPS) を介して HTTP 要求を処理するためのパラメーターは、
webseald.conf 構成ファイルの [server] スタンザに入っています。
HTTPS アクセスの使用可能/使用不可
WebSEAL 構成時に、HTTPS アクセスを使用可能または使用不可にします。
https = {yes|no}
HTTPS アクセス・ポート値の設定
HTTPS アクセス用のデフォルト・ポートは 443 です。
https-port = 443
たとえば、ポート 4343 に変更する場合は、次のように設定します。
https-port = 4343
特定の SSL バージョンからの接続の制限
SSL (Secure Sockets Layer) バージョン 2、SSL バージョン 3、および TLS (Transport Layer Security) バージョン 1 の接続は、それぞれ別々に使用可能または 使用不可にすることができます。 特定の SSL および TLS バージョン用の接続を 制御するためのパラメーターは、webseald.conf 構成ファイルの [ssl] スタンザの 中にあります。デフォルトでは、SSL および TLS のすべてのバージョンが使用可 能にされます。
[ssl]
disable-ssl-v2 = { yes | no } disable-ssl-v3 = { yes | no } disable-tls-v1 = { yes | no }
HTTP/HTTPS 通信用のタイムアウト・パラメーター
WebSEAL は、SSL の IBM Global Security Kit (GSKit) インプリメンテーションを 使用します。WebSEAL が HTTPS クライアントから要求を受け取ると、GSKit SSL は初期ハンドシェークを確立し、セッション状態を維持します。
WebSEAL は、HTTP および HTTPS 通信用に以下のタイムアウト・パラメーター
をサポートします。これらのパラメーターは、webseald.conf 構成ファイルの [server] スタンザに入っています。
v client-connect-timeout
このパラメーターは、初期ハンドシェークが行われた後で、最初の HTTP または
HTTPS を待つために、WebSEAL が接続をオープン状態にしておく時間を指示し
ます。デフォルト値は 120 秒です。
[server]
client-connect-timeout = 120 v persistent-con-timeout
このパラメーターは、最初の HTTP 要求およびサーバー応答の後で、WebSEAL が HTTP 持続接続をオープン状態にしておく (シャットダウンしない) 最大秒数 を制御します。デフォルト値 5 秒です。
[server]
persistent-con-timeout = 5