LDAPとWebブラウザを用いた端末情報協調管理システム

全文

(1)2006-ＤＳＭ－４０. 社団法人`情報処理学会研究報告. 2006／3／2９. IPSJSIGTechnicalReport. LＤＡＰとＷｅｂブラウザを用いた端末情報協調管理システム松原義継↑. し↑佐賀大学総合情報基盤センターネットワークに接続された端末の数が増え続けている～そのため，これら端末全てを. 管理することが難しくなっている．もし複数の管理者が端末管理を協同で行うならば，その情報は共有されなければいけない．端末に関する全ての情報を蓄積し，管理者間でそれを共有することは有益である．さらに，オンラインによる情報アクセ. スは利便性が高いそこで，著者はLDAＰとＷｅｂサーバにより端末情報を管理するシステムを開発した．LDAＰサーバは端末に関する情報を格納し，管理者たちはＷｅｂブラウザを通してその情報にアクセスする．. Anunifiedadministrationsystemoｍｅｒｍｉｎａｌ. ｉｎｆｂｒｍａｔｉｏｎｕｓｉｎｇＬＤＡＰａndWeb YOshitsuguMATsuBARAf ↑ComputerqMjVetu）ｏｒルCente7Y,Sd9qUnjtﾉersjtZノ Tbrminalsconnectedtonetworkareinincreasingnumbers・Managingtheseter‐. minalsasawholebecomesdifIicult、Ifsomeadministratorscooperatetomanage terminals，theymustsharetheinfbrmation・Itisbettertostoreallinfbrmation aboutterminalsandshareitamongadministratorsMoreoveritisconvenientto. accesstheinfbrmationonline，Sotheauthordevelopedaadministrationsystemof terminalsusingLDAPandWebservers，ＴｈｅＬＤＡＰserverstores、theinfbrmation aboutterminals・AdministratorsaccesstheinfbrmationthrOughWebbroWsers．. －１９－. (4).

(2) １はじめに. 情報名端末所有者名. ネットワークに接続される端末数の増加に伴い，. 所有者の区分(教員/職員）. 管理者が接続される端末を完全に把握することが. 端末の設置建物. 困難になりつつある．佐賀大学(以下,本大学)で. 端末の設置階数. は，把握されている分だけで端末数は3000台以. 端末の設置部屋の種類. 上存在する．一方で，それらを管理する管理者は. 端末の種類(端末/サーバ/ネットワーク機器）. 数人である．そのため，数人の教員が教員本来の. 端末のメーカ名. 仕事以外にボランティア的に行っている状態であ. 端末の機種名. る．このような状況下で，各管理者が個々に端末. 端末のＯＳ名ＬＡＮカードの製品名. を管理していたのでは，ウイルス等の障害が発生. ＬＡＮカードのＭＡＣアドレス. した場合に，その対応が遅れ気味になる．これが. 端末のホスト名. 演習室及び部局内のような閉じた場所ではなく，. 端末のサブドメイン名. 全学レベルになると対応の遅れが大規模な障害に. 接続の種類(手動/DHCP）. 発展する恐れがある．. 備考. そこで，管理者同士の効率的な協調体制が重要になってくる．ある端末でウイルス等の障害が発. 表１:端末情報一覧. 生した場合，学内での設置場所，ＯＳ，ユーザ等の情報を管理者同士で速やかに共有できるならば，その障害が全学に及ぼす影響を最小限に抑えることが期待できる．同時に，共有した情報を基に，端末管理業務がオンラインで協調して行えることが望ましい．. 著者は，全学のネットワークに接続される端末. の情報を複数の管理者で協調管理するためのシステムを開発した．今回，その機能を中心として報告する．. う．その際，この管理者はDNS情報の管理者と協調して，ホスト名及びIＰアドレスの重複の有無を. 確認する．これらに重複がある場合は，管理者は申請書に記入されているホスト名もしくはIＰア. ドレスの変更を行う．審査完了後は，その提出者への連絡及びその申請書の本センターでの保管を行う．併せて，この管理者の端末の中にあるデータベースへその申請書の内容が登録される．本. センター以外の組織は，その組織の独自の方法で端末を管理している．. ２現行の端末管理体制の概要本大学では,端末Ｉ情報の管理は，一部の部局を除. いて著者の所属する総合情報基盤センター(以下，本センター)の技術職員を主にして行われている．本センターが管理している端末数は2830台'であり，残り数百台は他の組織が管理している．本センターの管理下にある部署内で端末設置を希望する利用者は，設置申込書を本センターに提出する.申込書に記載する項目を表１に示す．. 端末情報管理者は，その申請書の内容を審査し，記入ミスの有無及び端末の設置場所の確認等を行 ’2006年２月２４日時点で，本センターのＤＮＳサーバに. ある端末で障害が発生した場合，関連する管理者同士が協調して対処する．例えば，ウイルスに感染した端末が学内に無差別に攻撃を行う場合を. 考える．ウィルスによる被害を最小限に食い止めるためには，その端末を速やかに特定し，ネットワークから切断する必要がある．この際，端末情. 報管理者のみがその端末の情報を閲覧できるのでは，作業に支障をきたす．端末情報の共有が不十分であることが原因で，管理者同士の協同が効率的に行われないこともある．障害が発生している現場に出向いた際は，その場で端末本体を見る. ことができず，事象の再現まで対策ができない場合もある．. 登録されている端末数. －２０－.

(3) 本センター以外で端末を管理する場合，その管理者はボランティア的に管理を行っている場合が. 多い．そうした部署では，端末管理はその管理. データベースであり，そこに保存する情報には柔軟性がある．この柔軟性を利用して，本センターでは個人情報の集中管理の目的から，ウェブメール. 者にとって大きな負担となる．その結果，端末情. における署名やアドレス帳等の個人情報をLDAＰ. 報が更新されない等，管理が不十分になる恐れが. サーバに集約している[１１そこで,端末情報をそ. ある．. の使用者の属性の１つとしてLDAＰディレクトリに保存することで，情報管理をLDAＰサーバに集約することができる．. ３システムに必要な機能管理者は学内に設置されている全端末の情報を閲覧できるように，その‘情報を一元的に管理する必要がある．全端末の情報が一元管理されること. 都合で端末情報を複数箇所のLDAＰサーバに分散させる場合でも，ＬDAPがネットワーク対応であることから，ＬＤＡＰサーバ群全体として１つの端末情報管理システムを構築できる可能性がある．. は，効率的な管理を行う上で基本的である．. 全端末の情報は，学内の全管理者により共有する必要がある．管理者同士が問題解決のために速やかに協同できることで，その効率的な解決を実現できる．. 学内に設置されている端末は多種多様であり，管理者の端末も例外ではない颪そのため，特定の端末環境に依存せずに端末情報を管理する必要がある．端末環境に依存しないことで，管理者が学内のどの端末を用いても管理できる．. LDAPsenl. Ｗｅｂ聖vBr. AdmlnlgIraIor. ■Ⅱ■■■■■--1■■￣－－■■､'■■--'■■－－－'■■－－－￣■■￣－頁. AdmInIstrato「. 管理者には情報を編集できる端末に制限を設ける必要がある．担当部署以外の管理者が不注意で担当外の端末情報を編集することによる不要な混. 図１：システム概要図. 乱を避けることができる．. 4.2全体構成. ４システムの構成. システムの全体は，端末情報を格納するLDAＰ. 4.1システム構築の方針本システムでは，管理する場所及び管理端末の種類に柔軟性を持たせるために，インターフェー. ディレクトリを提供するサーバ，Ｗｅｂサービスを提供するサーバから構成される．システムを構成するプログラムの一覧を表２に示す．. スとしてWebブラウサを採用する(図1)．現在，. 殆ど全ての端末がＷｅｂブラウザを搭載しており，. 4.3編集範囲の概要. 無線ＬＡＮ環境の普及と併せて，学内の何処からでもＷｅｂブラウザによるネットワークアクセスが. できる．これにより，管理者がその場にある端末を利用して管理することができ，管理者が自分の無線ＬＡＮ端末を持参して管理することもできる．端末情報は，認証管理に導入したLDAＰサーバに保存する．ＬＤＡＰ自身は単にディレクトリ型. －２１－. 本システムでは，各管理者毎に端末情報を編集できる範囲を設定し，担当部署以外の管理者が誤って端末情報を編集できないようにする．これは，本来の管理者以外の管理者が不注意で編集することによる管理者同士のトラブルを回避するためで.

(4) ４４４４４. ＰＰＰＰＰ. ＬＤＡＰサーバアクセス用モジュール. ＨＨＨＨＨ. 共通モジュール. ＰＰＰＰＰ. 端末情報編集Webページ. 語叶叶叶叶叶４４言ＭＭＭＭＭＰＰ. メニュー選択用Ｗｅｂページ. 端末検索用Ｗｅｂページ. 装ＴＴＴＴＴＨＨ. 管理者ログアウト用Webページ. 実ＨＨＨＨＨＰＰ. 露. 管理者ログイン用Ｗｅｂページ. 表２:構成プログラム一覧. ある．なお，端末，情報を共有する目的から，端末. ぴ職員に対応するユーザ名毎に所有する端末の情. '情報の閲覧は全管理者が可能とする．. 報をその属性値として格納する(図3）. 本大学では部署毎にサブドメイン名が割り振ら. れ，管理者が置かれている．そこで，サブドメイ. ン名を管理単位として,そこから下部のサブドメ. ば管理範囲をsaga-u・ａｃｄＰとすることで全学の端末を管理できる．管理範囲をｃｃ・saga-uac・ｊｐ. ｍ：uidごmItubara,Cu二People,｡c三頭ga-U,｡c=ac,｡c二jp shadoWWaming：７ hdneDir色ctory：／home/staff/matLIbara cn：、旧tしわara. gecos：Yoshitg｣guMat毎｣､a｢ａｕｉｄ：Ⅱntしｂａｒａ. 蝋鱒. インに属する端末を編集範囲とする(図2)．本大学のドメイン名はsaga-uac・ｊｐであるが，例え. #matuba嵐,Ｐｅｏｐｌｅ,saga-u,ａｃ，ｊＰｌ. ｃｃ,saga-u.ac･｣ｐⅡOU8H(ﾛ旦駆'Fl8mllNtWlm2prKQVWc. --BTA2I;；１ｺ11s)O1YyBTO/E４．hN《pv；W3H千i6oTQ ERRP1煙MnDMFvn/5H■ｉｎｖｎＰＩ庇rlRlKwA. IiiHiiiDi1ii1i:W11l1ii蝿i鱗l1iiiiii鍵. とすれば本センターに接続されている端末全てを. 管理できる．管理範囲をedu・cc・saga-uac・ｊｐ. 図３:端末`情報のLDAＰサーバへの格納例. とすれば，本センターの教育用ネットワークに接続されている端末全てを管理できる．. ｓａｇａ－ｕａｃＩｐ. edu･cｃ. １／. 4.5メニューログインに成功すると，画面左上にメニューが. 表示される(図4）. ／. ｝….……….….………......…:！….…..….……………,..………...…. lmanJbaraiisaga-u,acjpli UI.qq化0ﾛﾛ｡1..,F■ﾛTjd-・■｡■！■■■ﾛGbDdbpUpbCQ･凸ﾛﾛﾛ■｡｡-●■●-■-DjDﾛ､. 鰯蛎羅鑓醗鰯鍵鋼;繊図２：管理範囲の１例. l1iI蕊薊繭ii読冒]l1lIiijiiiiiiiY1i1lr］. 4.4ＬＤＡＰサーバへの格納形式. 図４：メニュー画面の１例. 本センターでは認証`情報をLDAＰサーバで管. 上部には〉管理者のユーザ名及び管理範囲が表. 理しており，その構造はユーザ名を節とした木構. 示される．その下には，既存の端末`情報を容易に. 造となっている．本大学では，各端末は教員及び. 移行できるように，ＣＳＶ形式ファイルからのアッ. 職員の責任下に置かれる．本システムでは教員及. プロードポタンがある．. －２２－.

(5) 大量の端末情報を登録する際，もしくは他のソ. 検索結果は，新規登録の項目と併せて画面に一. フトウェアで既に登録されている端末情報を移行. 覧表示される．その一覧の中から編集する端末名. する際，それを一括アップロードできると作業効. を選択すると，その端末の編集画面が図６のよう. 率が向上する．本センターでは端末情報はファイ. に表示される．新規登録を選択した場合は，端末. ルメーカー社のFileMaker[2]で管理されているの. 情報が空白となっている編集画面が表示される．. で，これから作成されたＣＳＶ形式ファイルを一. 個人情報. 括アップロード可能である．. Ｉユーザ－ｍｍ負bjhT2. 撹豊…………:ｉｌ鵬i識ｆ２鍛卜:…………il損…………. 4.6端末情報検索. ホスト情報. 本システムでは，管理における多様な状況下に応じて，端末,情報を検索する５つの方法を提供し. ている(図5)鄙. 申請日；2005察｡Ｉ洞ｎＢｉＢ. ｌ鱗1瀬：￣~!{鑑…蕊一…………￣い－J ホスト名：ii:サブﾄﾞﾒｲﾝ名：ijccsa9缶uacJp. i設置場所；舞繍麹ｾﾞﾌﾀご………………蕊…蕊 .__.｡._..….,ﾛｰｰｰ.-..--2勺･〆･Fm･･･や⑪｡1..qP-...千,･･ｻﾞ｡.｡｡･･･-･qAPo唖山ｑｏｑｑ､｡■-Q･只平一■jL･ｏｕｑ⑭Pβ､夕･･･qPロタロＤＡＣ角q￥鐸Q･'･･poF･ＱＤＱ□■■Qローーヘ゛･-､H･ﾛPFP-o. I設置場所の種類：ｊサーバ室蟻. i潤織j鱗…－鯛|i…7蕊…￣…￣一一・．.......,.,..、，.`．｡．...,..､-...:9.-唾｡-.4..･PqFofq伝>タキ几････ＪＱ－･ひ.｡,-,..00.。..,,,｡．.､--‐･ロ..･･･`一････｡.-,,. ……………...…….…...….…~…?｡:驚;::::韓冒:：:芒:::い：:已扁:;弓:::;::::9薪:÷::::且:７８;a識..………･…･…..…………･……………`. 検索. :メーカー名：. 灘. ,.．,..．.．．..-..-….….＄･戸午pA･P･ＡＣ..．pや..･･ﾀﾞﾛｪ….０．･Ｐ…ＰＣ.･･Ｆ･･･,￥｡｡…CO.●,.●９．．．…-...,.......,.......,... ．Ｙ－Ｐ－～･･--,,-ザーマヴ.｡…,.~。｡..….,.．｡. ;○毛;－－－鰄璽§……鍵…Ｐ．＿Ｔ－－－. ｉ鱸急?…………………ｻﾞ:…蟇……………:……::………. Ⅱアドレス(正規表現可)：. ､△…,．,．~･･･．….｡..｡.■妃JD:。L一二゜.B」6ｳﾞ,･･6：。：OB必･ロ｡『･ｳﾞ…ろ`岸二Ｆ･ｹﾞ。■-:きちｏ6.-｡b…；ず●･･･品北･P｡▽･あめ;畠占.＆グ:･･ず』ず..：詫・:.:｡￣8.~:：･. 麺｛團カード：iInteIB255gPrp/100日hemet. に二Ｘ二二二;ｉ二二二二!(こく二二）］. i虻!；:iDiiiiir)}:鷺ｉｉｉ二;竃ｉＨｉｉ;鴬=鴬ｉｌ三ll. maaEアドレス：. …………･･･・巳｡。…･…・・…。。…･巳………・；HP:弐二･:弓:邑号も:：:ろ:渋窮。｡…｡。…・・・・・……・・…・・・￣・….．..￣一・・・・…・…・・・・・……￣・－－．.￣￣・￣￣..．. ;､ｱﾄﾞし霜11当方法:：手助蕊. 1鰯蝿鯛曇：鰯bii1篭:鐘霧iｉｊｉ１. :.…….…～………`….…巫騨蕊露;:.:.:.;・蕊:::灘:::::;…:…::ii…霊:…:::！…－…………. 亜アドレス.；￣１－；j■Ｌｉ￣ｉ. －－:i:鵲i：iir::！;;｢:鐺:::;>;:！』:二;i鱒:黙:!:韓:;!:蟹：::::ｴ!;ＨＩｒ－:.:…:…… ：松原の蘭発・研究・翼験用マシン銭. ホスト名(正規表現可）. ’6零：. ;………~~…~……￣………~……. 《……－－…－－. 潅蕊－－i*鋼鰐間纏i：順位Ｉ赤スト老……. ;艫￣■灘…ﾐｰｒｒ鐸議…~|;－－１－￣蕊！………い;…鰯；11…－－… 11……:鱗……!…;…蕊…::…:……：･･…･･:｡:｡:.:｡:‐Ｆ１?･９１;｡:・・-F｡????！…9°Ｆ､9....K゜･P:BYg9P?????･-..,..9.°Ｆ･9.9.9.9…?･９．９．９．日･P･官・. ユーザー、(正規表現可）. DNS付帯情報. 『詞－－－－－１１－－－－－－－１. ■1打率、■. ;!………灘;L……ｊｌｉ－彙鍵鴬…＿…－－. i;エエ蕊籔ｴWゴパ点蕊；ニエ:ユエ｣〈. :曇導戦費lpI辱漫鱒灘､露i:綾〔霧. 建物：. H1:;:::::::寵:;::::二:麹ｷﾋﾞ:γ::::;:::::::::i･へ:::::舞瀞!.….::i:::;:鍋羨:::;…:::…. !:HHiiiiiiriii蕊:iiiHi。ｉｉｉｌｉｉｉｌ蕊：iii鷺Ⅲi:iiiiii. 図６:端末Ｉ情報編集画面の１例. 蕊. ■ＧＢ■●凸■●゛■■●印◆●｡●●■■▼P●●PE-●●凸O■●. 4.7端末情報登鏡｝. Macアドレス：. ｛二二二Ｘ）二二〈Ｘ二二二に:二二!:(二二二Ｘ二二二1１. 新規登録の場合は，編集画面下に「確認」ボタ. ;fmM1A鱈蕊:馳蕊#愚蕊灘::１蕊,鐘議. ンが表示される．情報を入力後，そのボタンをクリックすると，以下の内容に関してその書式チェックが行われる．. 図５:端末'情報検索画面の１例それぞれ，ＩＰアドレス，ホスト名，ユーザ名，. 建物，そしてＭＡＣアドレスに基づく検索を行え. る．ＩＰアドレス，ホスト名及びユーザ名の場合は，ＬＤＡＰにおける正規表現検索が可能である．. －２３－. ・ホスト名. ・サブドメイン名 ●ＩＰアドレス.

(6) ●ＭＡＣアドレス. これらの中から１つでもその書式に誤りが見つか. ると，その行を赤色で表示し，再入力を促す．書. 式チェックを通過すると，編集画面下に「登録」ボタンが表示されるので，それをクリックすること. 情報ファイルを生成する方法[４１，DNSサーバからLDAＰサーバにＤＮＳ情報を直接参照する方法. [5]がある．端末情報管理とDNS情報管理を統合することにより，ＤＮＳ情報の管理コスト軽減も期待できる．. で実際に登録される．登録後，編集画面に「情報更新」ボタンが表示されるので，これをクリックすることで端末情報検索画面の内容が更新され，登録された端末が新たに検索結果一覧の中に追加. 参考文献 [1]松原義継,只木進一LDAＰによる情報管理機能を有するウェブメールソフトウェアの開発．. される．. 学術`情報処理研究,No.８，ｐｐ83-88,2004．. 4.8端末情報変更及び削除端末情報検索画面で既存の端末名を選択した場. 合は，編集画面下に「変更」及び「削除」ボタン. [２１ファイルメーカー株式会社FileMaker・ http://www､filemakerco.』p/鼠 [3]松原義継,只木進一.Webブラウザを用いた. が表示される．「編集」ボタンをクリックした場合. dns管理システムの開発.情報処理学会研究会. は，書式チェックの後にその端末'情報が更新され. 報告2001-ＤＳＭ-021,ｐｐ31-36,2001.. る．「削除」ボタンをクリックした場合は，その端. 末情報は削除される．編集及び削除後は，登録時. １４]ldap2dns. http://projectsalkaloidnet/，. と同じく編集画面に「情報更新」ボタンが表示される．. [５１LDAPsdbback-endfbrBIND9・ http://www､venaasno/ldap/bind-sdb/、. ５まとめと議論学内に散在する管理者が協調して学内に設置されている端末の情報を集中管理すシステムを開発した．. 端末情報を教職及び職員の個人情報と位置付けることで，認証情報を管理しているLDAＰサーバ中の１属性として端末情報が管理される．管理. はＷｅｂブラウザを用いて行われ，学内のどこでも管理可能である．. 管理者には管理する端末をサブドメイン単位で. 柔軟に設定でき，これにより担当外の管理者が不注意で端末情報を編集するリスクをなくしている．. 端末情報の中にはホスト名,IＰアドレスがあり，これらはＤＮＳ情報そのものである．本センター. では，DNS情報はＤＮＳサーバの中に独立して存在しており，Ｗｅｂブラウザを用いて管理されてい. る[３１．DNS情報とLDAＰとの連携に関する研究が存在し，LDAＰサーバ中の端末'情報からＤＮＳ. －２４－.

(7)