WebOTX Webサーバ運用ガイド

WebOTX Web サーバ 運 用 ガイド WebOTX Web サーバ 運 用 ガイド バージョン: 7.1 版 数 : 第 四 版 リリース: 2009 年 11 月 Copyright (C) 1998-2008 NEC Corporation. All rights reserved.

目 次 1. はじめに... 1 2. 機 能... 2 2.1. 機 能 概 要... 2 2.2. 基 本 機 能... 3 2.3. SSL 通 信 機 能... 3 2.4. LDAP 連 携 機 能... 3 2.5. IPv6 機 能... 4 2.6. 提 供 モジュール 一 覧... 4 2.7. その 他 の 機 能... 7 3. 定 義 情 報... 8 3.1. 定 義 情 報 ファイル... 8 3.2. 基 本 定 義... 8 3.2.1. ServerRoot...8 3.2.2. Listen...9 3.2.3. User/Group...9 3.2.4. DocumentRoot...9 3.2.5. ErrorLog...10 3.2.6. LoadModule...10 3.3. サーバ 動 作 に 関 する 設 定... 10 3.3.1. MaxClients...11 3.3.2. ThreadsPerChild...11 3.3.3. MinSpareThreads / MaxSpareThreads...12 3.3.4. StartServers...12 3.3.5. ServerLimit / ThreadLimit...12 3.3.6. MaxRequestsPerChild...13 3.3.7. MinSpareServers / MaxSpareServers...13 3.4. SSL... 13 3.4.1. SSLEngine...13 3.4.2. SSLCertificateFile...14 3.4.3. SSLCertificateKeyFile...14 3.4.4. SSLCACertificateKeyFile...14 3.4.5. SSLVerifyClient...14 3.5. 認 証 アクセス 制 御... 15 3.5.1. AuthType...15 3.5.2. AuthName...15 3.5.3. Order...15 3.5.4. Allow / Deny...16 i

3.6. LDAP 連 携... 16 3.6.1. AuthLDAPUrl...16 3.7. ログ 出 力... 17 3.7.1. CustomLog...17 3.7.2. LogFormat...17 3.7.3. LogLevel...19 3.8. その 他 の 定 義 情 報... 20 4. 運 用... 21 4.1. 起 動 停 止... 21 4.2. 定 義 情 報 の 参 照... 22 4.3. 定 義 情 報 の 更 新... 24 4.4. 定 義 情 報 の 追 加... 26 4.5. SSL 設 定 方 法... 28 4.6. ログファイルのローテーション... 33 4.7. アクセスログへリクエスト 処 理 時 間 の 出 力... 35 4.8. 最 大 同 時 接 続 数 の 変 更 方 法... 36 4.9. 特 定 クライアントに 対 するアクセス 制 限... 38 4.10. LDAP 連 携... 39 4.11. IPv6/IPv4 混 在 環 境 での 設 定... 40 4.12. 環 境 変 数 の 設 定... 41 4.13. 起 動 待 ち 合 わせ 時 間 の 設 定... 42 4.14. WebOTX Webサーバの 起 動 に 失 敗 した 場 合 の 対 処... 42 5. 注 意 制 限 事 項... 44 5.1. 64 ビットOSでの 提 供 バイナリ... 44 5.2. 追 加 変 更 インストール... 44 5.3. 複 数 行 の 定 義 情 報 の 更 新 追 加... 45 5.4. ディレクトリ 一 覧 表 示 機 能 の 無 効 化... 45 5.5. Windows 版 の 注 意 制 限 事 項... 46 5.5.1. サービス 名...46 5.5.2. Windowsファイアウォールの 設 定...46 5.5.3. Windows Server 2003 インストール 時 の 注 意 事 項...47 5.6. UNIX 版 の 注 意 制 限 事 項... 48 5.6.1. 必 要 パッケージ...48 5.6.2. WebOTX 運 用 ユーザ 利 用 時 の 注 意 事 項...48 5.6.3. Solaris 版 の 注 意 事 項...48 ii

1.はじめに WebOTX Application Server では Web サーバ 層 の 提 供 機 能 として Java ベースの 内 蔵 Web サーバと Apache HTTP Server ベースの WebOTX Web サーバをバンドルしています 本 書 では Apache HTTP Server ベースの WebOTX Web サーバを 運 用 するための 運 用 操 作 法 について 概 要 や 具 体 的 な 設 定 項 目 や 設 定 方 法 について 記 載 しています 対 象 読 者 このマニュアルは WebOTX Application Server を 使 って 運 用 環 境 を 構 築 するシステムエンジニア 日 々の 運 用 を 行 うオペレータを 対 象 と しています 表 記 について パス 名 表 記 本 書 ではパス 名 の 表 記 については 特 に OS を 限 定 しない 限 りセパレータはスラッシュ / で 統 一 しています Windows 環 境 におい ては \ に 置 き 換 えてください 環 境 変 数 表 記 インストールディレクトリやドメインルートディレクトリなど 環 境 によって 値 の 異 なるものについては 環 境 変 数 を 用 いて 表 します ${env} または $(env) で 表 しています 例 ) ${AS_INSTALL} : インストールディレクトリ ${INSTANCE_ROOT}: ドメインルートディレクトリ コマンド 操 作 について 本 書 中 では 運 用 操 作 に 用 いるコマンドの 詳 細 についての は 省 略 しています コマンドの 詳 細 は 運 用 管 理 コマンド 運 用 管 理 コマンドリファレンス を 参 照 してください 1

2. 機 能 ここでは WebOTX Web サーバが 提 供 する 機 能 について します 2.1. 機 能 概 要 WebOTX Web サーバとは WebOTX Application Server の Web サーバ 層 の 機 能 を 提 供 しており デファクトスタンダードである Apache HTTP Server の 次 のバージョンをバンドルしています (2007 年 12 月 現 在 ) Apache 1.3.39 Apache 2.0.61 WebOTX Web サーバでは Apache HTTP Server で 提 供 される 機 能 に 加 え 次 の 機 能 を 提 供 しています SSL 通 信 のサポート WebOTX Application Server 連 携 用 モジュールの 提 供 IPv6 環 境 での 動 作 サポート (Apache 2.0 のみ) WebOTX 運 用 管 理 ツール/コマンドから 定 義 情 報 の 参 照 更 新 (WebOTX V7.11 以 降 ) 利 用 者 は WebOTX のインストール 時 に 上 記 のどちらかのバージョンを 選 択 して WebOTX Web サーバをインストールすること ができます 次 の 例 は Windows 版 の WebOTX Application Server Web Edition のインストール 時 に Apache 2.0 ベース のイン ストールを 選 択 している 図 となります なお WebOTX Application Server では 本 Web サーバの 他 に Java ベースの Web サーバを 内 蔵 しており そちらも 利 用 可 能 で す さらに Internet Information Services(IIS) や Apache HTTP Server 1.3.39 以 降 2.0.61 以 降 Sun Java System Web Server 6.1 Sun ONE Web Server 6.0 以 降 と 連 携 させて 動 作 サポートしています 2

2.2. 基 本 機 能 WebOTX Web サーバは Apache HTTP Server が 提 供 する Web サーバ 動 作 に 関 する 基 本 機 能 を 提 供 します 主 に 次 の 機 能 があります HTTP/1.1 サポート Basic 認 証 /Digest 認 証 仮 想 ホスト 機 能 クライアントアクセス 制 御 CGI スクリプト 実 行 機 能 ログ 出 力 機 能 等 WebOTX Web サーバは Apache HTTP Server が 提 供 する Web サーバ 動 作 に 関 する 基 本 機 能 をすべて 提 供 します 2.3.SSL 通 信 機 能 SSL (Secure Sockets Layer) は 公 開 鍵 暗 号 方 式 を 利 用 してデータの 暗 号 化 を 行 う 公 開 鍵 と 秘 密 鍵 と 呼 ばれるキーの 対 を 利 用 して 情 報 の 暗 号 化 と 復 号 を 行 う 公 開 鍵 は 特 定 のアルゴリズムを 使 用 してデータを 暗 号 化 するためのものであり 他 社 に 配 布 可 能 である 秘 密 鍵 は 一 般 には 配 布 せず サーバ 上 に 安 全 が 保 たれた 状 態 で 保 管 する 必 要 がある SSL を 使 用 してサイトにクライアントが 接 続 すると サーバは 証 明 書 の 一 部 として 公 開 キーとそれに 付 随 する 情 報 を 送 信 し クラ イアントが 公 開 鍵 暗 号 方 式 を 利 用 してサーバの 身 元 を 確 認 する 証 明 書 は 認 証 局 (CA : Certificate Authority)によって 発 行 された 電 子 的 はドキュメントであり インターネット 上 で 個 人 または 企 業 の 身 元 を 保 証 するものであり 証 明 書 にはサイトの 公 開 鍵 が 含 まれているため クライアントはそれを 利 用 して サーバから 送 られてきたデータを 復 号 できる WebOTX Web サーバでは OpenSSL ライブラリを 利 用 した mod_ssl モジュールを 使 用 して SSL2.0/3.0, TLS1.0 を 利 用 して かつ 128Bit 以 上 の 暗 号 化 方 式 をサポートしたセキュアな Web サイトを 構 築 することができます また SSL クライアント 認 証 機 能 も 利 用 可 能 です クライアントが SSL を 利 用 したセキュアなサイトにアクセスするには 次 の 形 式 の URL を 指 定 します https://ホストアドレス[:ポート]/ホスト 内 資 源 アドレス HTTPS 接 続 の 場 合 ポートは 通 常 443 が 利 用 されます ポート 番 号 に 443 を 利 用 する 場 合 は 省 略 が 可 能 です 2.4.LDAP 連 携 機 能 LDAP (Lightweight Directory Access Protocol)サーバと 連 携 して HTTP 認 証 を LDAP エントリデータに 登 録 されたユーザで 行 う きことができます なお この 機 能 は Apache 2.0 でのみ 提 供 します また WebOTX Application Server では LDAP サーバとして EnterpriseDirectoryServer (EDS) をバンドルしており EDS に 登 録 したユーザを 利 用 して HTTP 認 証 を 行 うことができます 3

2.5.IPv6 機 能 IPv6 ネットワーク 環 境 での 動 作 をサポートします この 機 能 は Apache 2.0 でのみ 提 供 します IPv6/IPv4 ネットワーク 混 在 環 境 において それぞれ 別 々の IP アドレス ポートに 対 して 待 ち 合 わせが 可 能 です 待 ち 合 わせ 用 のポート 番 号 は IPv6/IPv4 で 同 一 にすることもできますし 別 々に 設 定 することもできます 2.6. 提 供 モジュール 一 覧 WebOTX Web サーバは Apache HTTP Server で 提 供 される 次 のモジュールを 提 供 しています デフォルトで 組 み 込 まれていない モジュールが 提 供 する 機 能 を 利 用 する 場 合 には LoadModule 指 示 子 により モジュールのロードを 行 う 必 要 があります Apache 2.0 モジュール (コアモジュール) http_core 機 能 概 要 (デフォルトで 組 み 込 まれている 機 能 ロードする 必 要 はありません) サーバのコア 機 能 を 提 供 します (UNIX)UNIX 版 の MPM モジュールは worker としています Worker は 複 数 のスレッド Worker を 有 するプロセスが 複 数 個 動 作 するモードです クライアントから 要 求 は 各 スレッド 上 で 受 け 付 けを 行 い 処 理 を 行 います mod_access mod_actions mod_alias mod_asis mod_auth mod_autoindex mod_cgid mod_dir mod_env mod_imap mod_include mod_log_config mod_mime mod_negotiation クライアントのホスト 名 IP アドレス その 他 のクライアントのリクエストに 基 づいたアク セス 制 御 機 能 を 提 供 します メディアタイプやリクエストメソッドに 応 じて CGI スクリプトを 実 行 する 機 能 を 提 供 しま す ホストファイルシステム 上 のいろいろな 違 う 場 所 をドキュメントツリーにマップする 機 能 と URL のリダイレクトを 行 う 機 能 を 提 供 します 自 分 用 の HTTP ヘッダの 書 かれているファイルを 送 信 します テキストファイルを 用 いたユーザ 認 証 機 能 を 提 供 します Unix の ls コマンドや Windows の dir シェルコマンドに 似 たディレクトリインデックスを 生 成 します 外 部 CGI デーモンを 使 用 した CGO スクリプトを 実 行 します URL に 指 定 される 最 後 のスラッシュ のリダイレクトと ディレクトリのインデックスファ イルを 扱 う 機 能 を 提 供 します CGI スクリプト 及 び SSI ページに 渡 される 環 境 変 数 を 変 更 する 機 能 を 提 供 します サーバサイドのイメージマップを 実 行 します サーバがパースする html ドキュメント(Server Side Includes) サーバへのリクエストのロギングを 行 います リクエストされたファイルの 拡 張 子 とファイルの 振 る 舞 い(ハンドラとフィルタ) 内 容 (MIME タイプ 言 語 文 字 セット エンコーディング)とを 関 連 付 けます コンテントネゴシエーション 機 能 を 提 供 します 4

mod_setenvif mod_so mod_status mod_userdir リクエストの 特 徴 に 基 づいた 環 境 変 数 の 設 定 を 可 能 にします 起 動 時 や 再 起 動 時 に 実 行 コードとモジュールをサーバにロードします サーバの 活 動 状 況 と 性 能 に 関 する 情 報 を 提 供 します ユーザ 専 用 のディレクトリを 提 供 します (オプションモジュール) デフォルトで 組 み 込 まれていません 利 用 するには LoadModule 指 示 子 により 別 途 ロードする 必 要 があります 右 欄 は W(Windows) H(HP-UX) L(Linux) S(Solaris)を 意 味 し 各 OS で 提 供 しているモジュールに をつけています W H L S mod_auth_digest MD5 ダイジェスト 認 証 を 利 用 したユーザ 認 証 機 能 を 提 供 します mod_auth_ldap LDAP ディレクトリに 格 納 されたデータベースを 利 用 して HTTP 基 本 認 証 を 許 可 します mod_cache URI をキーにしたコンテンツのキャッシュを 行 います - - - mod_cern_meta CERN httpd が 使 う 追 加 の HTTP ヘッダ 形 式 でメタ 情 報 を 指 定 でき るようにします - - - mod_cgi CGI スクリプトを 実 行 します - - - mod_charset_lite キャラクタセット - - - mod_dav 分 散 オーサリングとバージョン 管 理 (WebDAV) 機 能 を 提 供 します mod_dav_fs mod_dav のためのファイルシステムプロバイダを 提 供 します mod_deflate クライアントへ 送 られる 前 にコンテンツを 圧 縮 します - - - - mod_disk_cache URI をキーにしたコンテンツキャッシュストレージを 管 理 します - - - mod_dumpio すべての I/O をエラーログにダンプします - - - - mod_echo プロトコルモジュールの 概 要 を 示 すための 単 純 なエコーサーバを 提 供 します - - - - mod_expires ユーザの 指 定 した 基 準 に 基 づいた Expires と Cache-Control HTTP ヘッダの 生 成 をします mod_ext_filter レスポンスのボディをクライアントに 送 る 前 に 外 部 プログラムで 処 理 します mod_file_cache メモリ 内 にファイルの 静 的 なリストをキャッシュします - - - mod_headers HTTP リクエストヘッダとレスポンスヘッダをカスタマイズします mod_info サーバの 設 定 の 包 括 的 な 概 観 を 提 供 します mod_ldap (util_ldap) LDAP 連 携 用 モジュール mod_log_forensic サーバに 送 られたリクエストを forensic ロギングします - - - mod_logio リクエスト 毎 に 入 力 バイト 数 と 出 力 バイト 数 をロギングします - - - mod_mem_cache URI をキーにしたコンテンツキャッシュします - - - mod_mime_magic ファイルの 内 容 を 読 み 込 んで MIME タイプを 決 定 します - - - 5

mod_proxy HTTP/1.1 プロキシ/ゲートウェイサーバを 提 供 します mod_proxy_connect mod_proxy 関 連 モジュール mod_proxy_ftp mod_proxy で FTP をサポートするモジュール mod_proxy_http mod_proxy で HTTP をサポートするモジュール mod_rewrite URL の 書 き 換 えを 行 うリライトエンジンを 提 供 します ユーザが 入 力 したであろう 間 違 った URL を 大 文 字 小 文 字 の 区 別 mod_speling を 無 視 することと 一 つ 以 下 の 綴 り 間 違 いを 許 容 することで 修 正 を 試 みます mod_ssl SSL 通 信 用 のモジュール mod_suexec 指 定 されたユーザとグループで CGI スクリプトを 実 行 します - - - - mod_unique_id それぞれのリクエストに 対 する 一 意 な 識 別 子 の 入 った 環 境 変 数 を 提 供 します - - - mod_usertrack Cookie によりユーザの 追 跡 を 行 います mod_version バージョン 依 存 の 設 定 をします - - - mod_vhost_alias バーチャルホストに 関 する 動 的 な 設 定 を 提 供 します mod_jk-20 Web コンテナと 接 続 を 行 うコネクタモジュール mod_jk_om-20 (WebOTX 独 自 )マルチプロセス 対 応 の Web コンテナと 連 携 を 行 う ためのコネクタモジュール Apache 1.3 モジュール 概 要 ( 基 本 モジュール) (デフォルトで 組 み 込 まれています 別 途 ロードする 必 要 はありません ) Core Apache のコアモジュール mod_access クライアントのホスト 名 や IP アドレスによってアクセス 制 御 を 行 う mod_actions mod_alias mod_asis mod_auth mod_autoindex mod_cgi mod_dir mod_env mod_imap メディアタイプやリクエストメソッドによって CGI スクリプトを 実 行 します ホストファイルシステムのドキュメントツリーへのマッピング 及 び URL のリダイレクショ ンを 行 います HTTP ヘッダを 含 むファイルを 送 信 します テキストファイル 形 式 の 認 証 ファイルを 使 用 したユーザ 認 証 機 能 を 提 供 します 自 動 的 にディレクトリ 一 覧 を 作 成 します CGI スクリプトを 実 行 します ディレクトリの 取 り 扱 いについての 基 本 的 な 機 能 を 提 供 します CGI スクリプトに 渡 す 環 境 変 数 の 操 作 を 行 います イメージマップファイルを 取 り 扱 う 機 能 を 提 供 します 6

mod_include mod_log_config mod_mime mod_negotiation mod_setenvif mod_so mod_status mod_userdir (オプションモジュール) mod_ssl mod_headers mod_rewrite mod_usertrack mod_jk mod_jk_om mod_webotx SSI ドキュメントを 有 効 にします 標 準 的 な 書 式 により リクエストログを 記 録 します ファイルの 拡 張 子 を 利 用 してドキュメントタイプの 判 定 を 行 います コンテキストネゴシエーション 機 能 を 提 供 します クライアントの 情 報 を 元 に 環 境 変 数 をセットします 実 行 時 に Apache のモジュールを 動 的 読 み 込 みする 機 能 を 提 供 します サーバの 稼 動 状 況 を 表 示 します ユーザのホームディレクトリにアクセスする 機 能 を 提 供 します (デフォルトで 組 み 込 まれていません 利 用 するには LoadModule 指 示 子 を 利 用 してモ ジュールをロードする 必 要 があります ) OpenSSL ライブラリを 利 用 した SSL 通 信 機 能 を 提 供 します リソースに 任 意 の HTTP ヘッダを 加 えます 正 規 表 現 を 利 用 した URI からファイル 名 への 強 力 なマッピング 機 能 を 提 供 します Cookie によりユーザの 追 跡 を 行 います Web コンテナとの 接 続 を 行 うコネクタモジュール (WebOTX 独 自 )マルチプロセス 対 応 の Web コンテナとの 接 続 を 行 うコネクタモジュー ル (WebOTX 独 自 )WebOTX 画 面 テンプレート 機 能 を 用 いたサーバアプリケーションを WebOTX Web サーバ 上 で 実 行 するためのモジュール 2.7.その 他 の 機 能 その 他 の 機 能 の 詳 細 は 以 下 の Apache HTTP Server の Web サイトを 参 照 してください http://httpd.apache.org/docs/1.3/ http://httpd.apache.org/docs/2.0/ 7

3. 定 義 情 報 WebOTX Web サーバの 定 義 情 報 は 定 義 情 報 ファイル(httpd.conf)に 格 納 され Web サーバ 起 動 時 に 読 み 込 まれます 定 義 情 報 を 更 新 した 場 合 には 更 新 した 定 義 情 報 を 反 映 するには WebOTX Web サーバの 再 起 動 が 必 要 となります 3.1. 定 義 情 報 ファイル WebOTX Web サーバの 定 義 情 報 は httpd.conf ファイルに 格 納 されます 定 義 情 報 ファイルは WebOTX の ドメイン 毎 に 格 納 されるため ドメイン 毎 に 定 義 情 報 を 変 更 する 必 要 があります 格 納 場 所 <domain フォルダ>/config/WebServer/httpd.conf SSL 通 信 用 ライブラリをインストールした 場 合 SSL 設 定 に 関 する 定 義 情 報 は ssl.conf ファイルに 格 納 されます SSL 通 信 で 利 用 するポート 番 号 や 証 明 書 / 秘 密 鍵 ファイルを 変 更 する 場 合 このファイルに 定 義 された 情 報 を 変 更 する 必 要 が あります 格 納 場 所 <domain フォルダ>/config/WebServer/ssl.conf 3.2. 基 本 定 義 ここでは WebOTX Web サーバが 動 作 するために 設 定 する 必 要 がある 必 要 最 低 限 の 定 義 情 報 について します 定 義 情 報 ファイルには 次 の 定 義 が 含 まれている 必 要 があります ServerRoot Listen (または Port) User / Group DocumentRoot ErrorLog LoadModule 3.2.1.ServerRoot 名 前 ServerRoot WebOTX Web サーバが 動 作 するために 必 要 とするディレクトリを 設 定 します この 値 は 既 定 値 以 外 の 値 に 変 更 することはあり ません 書 式 8

ServerRoot directory-path 既 定 値 (Windows) ServerRoot C:/WebOTX/domains/domain1 (UNIX) ServerRoot /opt/webotx/domains/domain1 3.2.2.Listen 名 前 Listen (または Port) Webサーバが 利 用 するリクエスト 受 付 用 のポート 番 号 を 指 定 します Port 指 示 子 は Apache1.3 でのみ 有 効 で ポート 番 号 のみ を 設 定 します Listen 指 示 子 は Apache1.3/2.0 共 に 設 定 可 能 で ポート 番 号 だけの 設 定 と IP アドレスとポート 番 号 を 一 緒 に 設 定 することができます なお UNIX 版 において インストール 時 に WebOTX 運 用 ユーザで 利 用 する を 指 定 した 場 合 1024 以 下 のポート 番 号 は 指 定 できません 書 式 Listen [IP アドレス:]port Port port 設 定 例 ポート 番 号 8080 を 利 用 する 場 合 の 設 定 Listen 8080 IPv4 アドレスと IPv6 アドレスで 別 々のポート 番 号 を 指 定 する 場 合 の 設 定 (Apache2.0 のみ) Listen 0.0.0.0:8081 Listen [::]8082 3.2.3.User/Group 名 前 User Group UNIX 版 においてのみ 有 効 です WebOTX Web サーバがリクエストに 応 答 する 際 に 用 いるユーザ/グループ ID を 指 定 します WebOTX Application Server のインストールにおいて WebOTX 運 用 ユーザ を 利 用 する 選 択 をした 場 合 には この 設 定 値 も WebOTX 運 用 ユーザ に 変 更 する 必 要 があります 書 式 User unix-userid Group unix-groupid 設 定 例 User otxadmin Group otxadm 3.2.4.DocumentRoot 名 前 DocumentRoot 9

WebOTX Web サーバにアクセスした 場 合 のルートディレクトリを 指 定 します 書 式 DocumentRoot directory-path 設 定 例 (Windows) DocumentRoot C: WebOTX domains domain1 docroot (UNIX) DocumentRoot /opt/webotx/domains/domain1/docroot 3.2.5.ErrorLog 名 前 ErrorLog WebOTX Web サーバ 内 部 で 発 生 したエラーを 記 録 するファイル 名 を 指 定 します 書 式 ErrorLog errorlog-path 設 定 例 ErrorLog logs/webserver/error_log 3.2.6.LoadModule 名 前 LoadModule Apache のモジュールをロードし 使 用 モジュールリストに 追 加 します 書 式 LoadModule module-name module-path 設 定 例 LoadModule ssl_module /opt/webotx/webserver2/modules/mod_ssl.so 3.3.サーバ 動 作 に 関 する 設 定 ここでは 動 作 プロセス 数 に 関 する 設 定 を します Windows 版 のサーバ 動 作 は 1つの 子 サーバプロセス 上 で 複 数 のスレッドが 動 作 し 各 スレッド 上 でクライアントからのリクエスト を 受 け 付 けます UNIX 版 のサーバ 動 作 は Apache1.3 の 場 合 複 数 の 子 プロセスが 動 作 し 各 子 プロセス 上 でクライアントからのリクエストを 受 け 付 けます つまり 1 リクエストに 対 して1プロセスが 割 り 当 てられます Apache2.0 の 場 合 は 複 数 の 子 プロセスが 動 作 し さらに その 子 プロセス 上 で 複 数 のスレッドが 動 作 します 各 子 プロセス 上 のスレッドでクライアントからのリクエストを 受 け 付 けます つま り 1リクエストに 対 して1スレッドが 割 り 当 てられます そのため Windows と UNIX で 定 義 する 内 容 が 異 なります また Apache 1.3 と 2.0 でも 定 義 する 内 容 が 異 なります サーバ 動 作 に 関 連 する 主 な 設 定 は 以 下 の 指 示 子 となります 10

MaxClients ThreadsPerChild MinSpareThreads / MaxSpareThreads StartServers ServerLimit / ThreadLimit MaxRequestsPerChild MinSpareServers / MaxSpareServers 3.3.1.MaxClients 名 前 MaxClients WebOTX Web サーバが 処 理 できる 最 大 同 時 接 続 コネクション 数 を 設 定 します クライアントは この 値 を 超 えて 同 時 に 接 続 す ることはできません UNIX 版 の Apache 1.3 の 場 合 この 値 は リクエストに 応 じるために 起 動 される 子 プロセスの 最 大 数 となり ます UNIX 版 の Apache2.0 の 場 合 リクエストに 応 じることのできるスレッドの 総 数 となります Windows 版 の 場 合 この 設 定 値 は 無 効 です 書 式 MaxClients number 既 定 値 MaxClients 150 3.3.2.ThreadsPerChild 名 前 ThreadsPerChild Windows と UNIX で 意 味 が 異 なります Windows の 場 合 プロセス 内 で 動 作 するスレッド 数 となり WebOTX Web サーバが 処 理 できる 最 大 同 時 接 続 コネクション 数 を 意 味 します UNIX の Apache1.3 場 合 この 値 は 意 味 を 持 ちません UNIX の Apache2.0 の 場 合 1つのプロセス 内 で 動 作 するスレッド 数 を 意 味 します 書 式 ThreadsPerChild number 既 定 値 (Windows Aapache2.0) ThreadsPerChild 250 (Windows Apache1.3) ThreadsPerChild 150 (UNIX Apache2.0) ThreadsPerChild 25 11

3.3.3.MinSpareThreads / MaxSpareThreads 名 前 MinSpareThreads MaxSpareThreads (UNIX Apache2.0)アイドル 状 態 であるスレッドの 最 小 値 最 大 値 を 設 定 します アイドル 状 態 とは リクエストを 処 理 していない 状 態 のtことです アイドル 状 態 では この 範 囲 内 に 総 スレッド 数 が 収 まるように 起 動 しているプロセス 数 が 調 整 されます 書 式 MinSpareThreads number MaxSpareThreads number 既 定 値 MinSpareThreads 25 MaxSapareThreads 75 3.3.4.StartServers 名 前 StartServers 起 動 時 に 生 成 される 子 プロセス 数 を 設 定 します 書 式 StartServers number 設 定 例 / 既 定 値 (UNIX Apache2.0) StartServers 2 (UNIX Apache1.3) StartServers 5 3.3.5.ServerLimit / ThreadLimit 名 前 ServerLimit ThreadLimit (UNIX Apache2.0) 子 プロセスの 上 限 値 (ServerLimit) 子 プロセス 内 で 動 作 するスレッドの 上 限 値 (ThreadLimit)を 設 定 します 書 式 ServerLimit number ThreadLimit number 既 定 値 ServerLimit 16 ThreadLimit 64 12

3.3.6.MaxRequestsPerChild 名 前 MaxReqeuetsPerChild 個 々の 子 サーバプロセスが 稼 働 中 に 扱 うリクエスト 数 の 上 限 を 設 定 します ここで 指 定 した 数 のリクエストを 受 け 付 けた 後 で その 子 プロセスは 終 了 します 0 を 指 定 した 場 合 そのプロセスはリクエスト 数 の 上 限 を 超 えたことにより 終 了 することはありま せん 書 式 MaxRequestsPerChild number 設 定 例 / 既 定 値 MaxRequestsPerChild 0 3.3.7.MinSpareServers / MaxSpareServers 名 前 MinSpareServers MaxSpareServers (UNIX Apache1.3)アイドル 状 態 である 子 プロセスが 動 作 する 最 大 / 最 小 数 を 指 定 します アイドル 状 態 とは リクエストを 処 理 していない 状 態 のことです アイドル 状 態 では この 範 囲 内 に 総 プロセススレッド 数 が 収 まるように 起 動 しているプロセス 数 が 調 整 されます 書 式 MinSpareServers number MaxSpareServers number 設 定 例 / 既 定 値 MinSpareServers 5 MaxSpareServers 10 3.4.SSL SSL 通 信 を 行 う 場 合 定 義 情 報 ファイルに 定 義 する 主 な 設 定 を します SSL に 関 する 設 定 は ssl.conf ファイルに 格 納 されて います ssl.conf ファイルは SSL 通 信 用 パッケージをインストールすることで 追 加 されます SSLEngine SSLCertificateFile SSLCertificateKeyFile SSLCACertificateFile SSLVerifyClient 3.4.1.SSLEngine 名 前 SSLEngine SSL を 有 効 にする 通 常 <VirtualHost> 内 で 使 用 され 特 定 の 仮 想 ホストに 対 して SSL を 有 効 にします 13

書 式 SSLEngine On Off 設 定 例 <VirtualHost _default_:443> SSLEngine on </VirtualHost> 3.4.2.SSLCertificateFile 名 前 SSLCertificateFile SSL で 利 用 する 証 明 書 ファイルを 設 定 します 書 式 SSLCertificateFile path 既 定 値 SSLCertificateFile /opt/webotx/webserver2/conf/ssl.crt/sample.crt 3.4.3.SSLCertificateKeyFile 名 前 SSLCertificateKeyFile SSL で 利 用 する 秘 密 鍵 ファイルを 設 定 します 書 式 SSLCertificateKeyFile path 既 定 値 SSLCertificateKeyFile /opt/webotx/webserver2/conf/ssl.key/sample.key 3.4.4.SSLCACertificateKeyFile 名 前 SSLCACertificateKeyFile クライアント 認 証 を 行 う 場 合 SSL で 利 用 する 秘 密 鍵 ファイルを 設 定 します 書 式 SSLCertificateKeyFile path 既 定 値 SSLCertificateKeyFile /opt/webotx/webserver2/conf/ssl.key/client.key 3.4.5.SSLVerifyClient 名 前 SSLVerifyClient 14

クライアント 認 証 を 行 う 場 合 クライアントが 証 明 書 を SSL で 利 用 する 秘 密 鍵 ファイルを 設 定 します 書 式 SSLVerifyClient level 設 定 例 クライアント 認 証 を 行 わない 場 合 SSLVerifyClient none クライアントに 有 効 な 証 明 書 を 提 示 させる 場 合 SSLVerifyClient require 3.5. 認 証 アクセス 制 御 WebOTX Web サーバがサポートする 基 本 認 証 機 能 とホストベースのクライアントのアクセス 制 御 に 関 する 設 定 を 記 述 します AuthType AuthName Order Allow/Deny 3.5.1.AuthType 名 前 AuthType ユーザ 認 証 の 種 類 を 設 定 します Basic と Digest が 設 定 可 能 です 書 式 AuthType Basic Digest 既 定 値 AuthType Basic 3.5.2.AuthName 名 前 AuthName HTTP 認 証 の 認 可 領 域 の 表 示 ここで 指 定 した 文 字 列 が 大 部 分 のブラウザのパスワードダイアログに 表 示 されます 書 式 AuthName auth-domain 設 定 例 AuthName Input a username & password. 3.5.3.Order 名 前 Order デフォルトのアクセス 可 能 な 状 態 と Allow と Deny が 評 価 される 順 番 を 制 御 します 15

書 式 Order ordering 設 定 例 以 下 の 例 では Allow from all の 後 で Deny from foo.domain.com が 設 定 されるため foo.domain.com 以 外 のクライアントからの アクセスを 許 可 します Order Allow,Deny Allow from all Deny from foo.domain.com 以 下 の 例 では Deny from foo.domain.com の 後 で Allow from all が 設 定 されるため すべてのクライアントからのアクセスを 許 可 します Order Deny,Allow Allow from all Deny from foo.domain.com 3.5.4.Allow / Deny 名 前 Allow Deny サーバのある 領 域 にアクセスできるホストを 制 御 します どのクライアントがサーバにアクセスできるかを 制 御 します Allow はアクセスを 許 可 するクライアントを Deny はアクセスを 拒 否 するクライアントを 指 定 します すべてのクライアント(all) ドメイン 名 (domain.com) IP アドレス(12.34.56.78) IP アドレスの 一 部 (12.34)およびネットワーク/ネット ワークマスクの 対 (12.34.0.0/255.255.0.0 または 12.34.0.0/16)を 指 定 することができます 書 式 Allow from all host env=env-variable Deny from all host env=env-variable 設 定 例 以 下 の 例 では foo.domain.com サブドメインにあるクライアント 以 外 の domain.com ドメインのすべてのクライアントからアクセ スが 許 可 されます Order Allow,Deny Allow from apache.org Deny from foo.apache.org 次 の3つの 設 定 は 同 じアドレス 群 に 対 するアクセス 許 可 の 設 定 となります Allow from 10.1 Allow from 10.1.0.0/255.255.0.0 Allow from 10.1.0.0/16 3.6.LDAP 連 携 LDAP 連 携 する 場 合 に 必 要 となる 定 義 情 報 を 記 載 します なお LDAP 連 携 機 能 は Apache2.0 でのみ 有 効 です AuthLDAPUrl 3.6.1.AuthLDAPUrl 名 前 AuthLDAPUrl 16

LDAP 連 携 で 使 用 する LDAP サーバの DN 情 報 を URL で 指 定 します ldap://host:port/basedn?attributes?scope?filter 書 式 AuthLDAPUrl url 設 定 例 ドメインの docroot に 対 するアクセスに 対 して LDAP 認 証 をかける 場 合 次 の 設 定 を 行 います <Directory /opt/webotx/domains/domain1/docroot> AuthType Basic AuthName Input a username & password. AuthLDAPUrl ldap://ldap-server/dc=users,dc=webotx,o=nec,c=jp?uid?sub Require valid-user </Directory> 連 携 する LDAP サーバ 上 に DN 情 報 として dc=users, dc=webotx, o=nec, c=jp が 設 定 されている 場 合 3.7.ログ 出 力 WebOTX Web サーバが 出 力 するログ 情 報 に 関 する 定 義 情 報 を 記 載 します CustomLog LogFormat LogLevel 3.7.1.CustomLog 名 前 CustomLog ログファイルの 名 前 と 書 式 を 設 定 します 書 式 CustomLog file pipe format nickname 既 定 値 CustomLog logs/webserver/access_log common CustomLog /opt/webotx/domains/domain1/logs/webserver/ssl_request_log %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x %r %b 3.7.2.LogFormat 名 前 LogFormat アクセスログに 出 力 するログの 出 力 書 式 を 設 定 します アクセスログ 情 報 には クライアントの IP アドレス URL 送 信 バイト 数 処 理 時 間 等 を 出 力 することができます 書 式 LogFormat format nickname 17

既 定 値 LogFormat %h %l %u %r %>s %b common %h アクセスを 行 ったマシンのホスト 名 (または IP アドレス)が 表 示 される %l リモートログ 名 通 常 は - が 表 示 される %u 認 証 リモートユーザ 名 認 証 処 理 を 行 った 場 合 に そのユーザ 名 が 表 示 される %r リクエストの 最 初 の 行 %>s ステータス 正 常 終 了 の 場 合 200 が 出 力 される %b HTTP ヘッダ 以 外 のサーバからクライアントに 送 られたバイト 数 common このログフォーマットを 表 すニックネーム CustomLog 指 示 子 に このニックネームを 指 定 することで このニックネームで 設 定 されたログフォーマット 情 報 が 出 力 される 設 定 可 能 な 値 指 示 子 %a リモート IP アドレス %A ローカル IP アドレス サーバからクライアントに 送 信 されたバイト 数 (HTTP ヘッダ 以 外 ) %b CLF 書 式 すなわち 1 バイトも 送 信 されなかった 場 合 - が 出 力 され る %B サーバからクライアントに 送 信 されたバイト 数 (HTTP ヘッダ 以 外 ) 応 答 が 終 了 したときに 接 続 ステータス %c X = 応 答 が 終 了 する 前 に 接 続 が 異 常 終 了 + = 応 答 が 送 られた 後 に 接 続 を 持 続 することが 可 能 - = 応 答 が 送 られた 後 に 接 続 は 切 られる %{FOOBAR}e 環 境 変 数 FOOBAR の 内 容 %f ファイル 名 %h リモートホスト 名 %H リクエストプロトコル %{Foobar}i サーバに 送 られたリクエストの Foobar: ヘッダの 内 容 %l (もしあれば identd からの)リモートログ 名 %m リクエストメソッド %{Foobar}n %{Foobar}o 他 のモジュールからのメモ Foobar の 内 容 応 答 の Foobar: ヘッダの 内 容 %p リクエストを 扱 っているサーバの 正 式 なポート 番 号 %P リクエストを 扱 った 子 プロセスのプロセス ID %q 問 い 合 わせ 文 字 列 ( 存 在 する 場 合 は 前 に? が 追 加 される そうで ない 場 合 は 空 文 字 列 ) %r リクエストの 最 初 の 行 %s HTTP ステータスコード 内 部 でリダイレクトされたリクエストは 18

元 々のリクエストのステータスが 表 示 される 最 後 のステータスを 表 示 する 場 合 は %>s と 設 定 する 正 常 終 了 の 場 合 200 が 出 力 さ れる %t 時 刻 CLF の 時 刻 の 書 式 ( 標 準 の 英 語 の 書 式 ) %{format}t Format で 与 えられた 書 式 による 時 刻 リクエストを 扱 うのにかかった 時 間 を 秒 単 位 で 切 り 捨 て 表 示 する %T 例 えば リクエストの 処 理 時 間 が 1 秒 未 満 の 場 合 は 0 が 表 示 され る %u リモートユーザ(auth による 認 証 されたユーザ ステータス(%s)が 401 の 場 合 は 意 味 がない 可 能 性 がある) %U リクエストされた URL パスで クエリ 文 字 列 は 含 まない %v リクエストを 扱 っているサーバの 正 式 な ServerName %V UseCanonicalName の 設 定 によるサーバ 名 3.7.3.LogLevel 名 前 LogLevel エラーログに 出 力 するログレベルを 設 定 します 書 式 LogLevel level 既 定 値 LogLevel warn なお level には 次 のレベルを 設 定 可 能 です レベル error.log への 出 力 例 emerg alert crit error 緊 急 - システ ムが 利 用 でき ない 直 ちに 対 処 が 必 要 致 命 的 な 状 態 エラー Child cannot open lock file. Exiting ( 子 プロセスがロックファイルを 開 けないために 終 了 した) getpwuid: couldn t determine user name from uid (getpwuid: UID からユーザ 名 を 特 定 できない) socket: Failed to get a socket, exiting child (socket: ソケットの 取 得 に 失 敗 したため 子 プロセスが 終 了 した) Permature end of script headers (スクリプトのヘッダが 足 りないままで 終 了 した) warn 警 告 child process 1234 did not exit, sending anther SIGHUP 19

notice Info debug 重 要 な 情 報 追 加 情 報 デバッグ ( 子 プロセス 1234 が 終 了 しないため SIGHUP を 再 送 した) httpd: caught SIGBUS, attempting to dump core in (httpd: SIGBUS シグナルを 受 け へコアダンプを 出 力 した) Server seems busy, (you may need to increase MaxClients) (サーバ 負 荷 が 高 い MaxClients の 値 を 増 やす 必 要 があるかも) Opening config file ( 設 定 ファイルを 開 いている ) 3.8.その 他 の 定 義 情 報 その 他 の 定 義 情 報 の 詳 細 については 次 の URL を 参 照 してください http://httpd.apache.org/docs/1.3/mod/ http://httpd.apache.org/docs/2.0/mod/ 20

4. 運 用 ここでは WebOTX Web サーバの 運 用 操 作 方 法 について 記 載 します また 特 定 の 機 能 を 利 用 する 場 合 の 設 定 方 法 を 記 載 しま す 4.1. 起 動 停 止 WebOTX Web サーバの 起 動 停 止 は WebOTX Application Server のドメインの 起 動 停 止 に 連 動 して 動 作 します WebOTX のドメインの 起 動 はサービスとして 登 録 されていますので 特 に Web サーバの 起 動 停 止 を 意 識 する 必 要 はありません なお WebOTX のドメインが 起 動 している 状 態 で WebOTX Web サーバのみを 単 独 で 起 動 停 止 を 行 う 場 合 には 統 合 運 用 管 理 ツールから 操 作 するか 次 のコマンドを 実 行 してください この 方 法 は WebOTX Web サーバの 定 義 を 変 更 した 場 合 に 有 効 です 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます 起 動 停 止 方 法 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し 右 クリックするか あるいは メニューバーの[ 操 作 ] を 選 択 します 2. 表 示 されるメニューから Web サーバの 起 動 を 選 択 すると WebOTX Web サーバが 起 動 します また Web サーバの 停 止 を 選 択 することで WebOTX Web サーバが 停 止 します 21

運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 起 動 停 止 方 法 1. WebOTX Web サーバを 起 動 するには 以 下 のコマンドを 実 行 します otxadmin>invoke server.webserver.start 2. WebOTX Web サーバを 停 止 するには 以 下 のコマンドを 実 行 します otxadmin>invoke server.webserver.stop 4.2. 定 義 情 報 の 参 照 WebOTX Web サーバの 定 義 情 報 のうち 動 作 に 必 要 な 一 部 の 定 義 情 報 は WebOTX の 統 合 運 用 管 理 ツールおよび 運 用 管 理 コ マンドから 参 照 することができます 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます 定 義 情 報 の 参 照 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 します 2. 定 義 情 報 タブ 定 義 情 報 (SSL) タブ アクセスログ タブを 選 択 することで 各 情 報 が 各 項 目 の 情 報 を 参 照 します 運 用 管 理 コマンド(otxadmin)からの 操 作 22

あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 定 義 情 報 の 参 照 1. WebOTX Web サーバの 定 義 情 報 を 取 得 するには 以 下 のコマンドを 実 行 します コマンドから 参 照 可 能 な 定 義 情 報 の 一 覧 については 以 下 の 表 を 参 照 してください otxadmin>get server.webserver.* WebOTX 運 用 管 理 コマンド(ツール)から 参 照 できる 定 義 情 報 の 一 覧 統 合 運 用 管 理 ツール での 属 性 名 ポート 番 号 バージョン 情 報 Server.WebServer.* Port Version Listen 指 示 の 設 定 値 を 取 得 します WebOTX Web サーバが 待 ち 合 わせを 行 うポート 番 号 を 表 します Web サーバのバージョン 情 報 を 表 示 します この 情 報 は httpd.conf には 定 義 されていません ServerName ServerName ServerName 指 示 子 の 設 定 値 を 取 得 します DocumentRoot 指 示 子 の 設 定 値 を 取 得 します ブラウザか DocumentRoot ErrorLog LogLevel 最 大 同 時 接 続 数 SSL(HTTPS) 通 信 の 使 用 の 有 無 HTTPS 通 信 用 ポー ト 番 号 アクセスログ 出 力 先 と 出 力 フォーマット DocumentRoot ErrorLog LogLevel MaxClients security-enabled ssl-port AccessLog ら 見 えるメインのドキュメントツリーになるディレクトリを 表 しま す ErrorLog 指 示 子 の 設 定 値 を 取 得 します Web サーバのエラー ログの 出 力 先 を 表 します LogLevel 指 示 子 の 設 定 値 を 取 得 します Web サーバのエラ ーログへの 出 力 レベルを 表 します UNIX 版 の MaxClients 指 示 子 あるいは Windows 版 の ThreadsPerChild 指 示 子 の 設 定 値 を 取 得 します 最 大 同 時 接 続 数 を 表 します SSL 通 信 を 利 用 しているかのどうかの 情 報 です 運 用 管 理 ツー ルでチェックされている(コマンドで true が 返 却 された) 場 合 SSL 通 信 を 利 用 します 運 用 管 理 ツールでチェックされていな い(コマンドで false が 返 却 された) 場 合 SSL 通 信 は 利 用 してい ません なお この 情 報 は httpd.conf に 定 義 されていません ssl.conf 内 の Listen 指 示 子 の 設 定 値 を 取 得 します SSL 通 信 用 のポート 番 号 を 表 します CustomLog 指 示 子 の 設 定 値 を 取 得 します アクセスログの 出 力 先 と 出 力 するフォーマット 情 報 のニックネーム 値 を 表 しま す 23

リクエスト 処 理 時 間 ( 秒 )) 情 報 の 出 力 アクセスログのロー テーション ローテーション 間 隔 AccesslogTat Rotatelog RotationTime LogFormat 指 示 子 に リクエスト 処 理 時 間 (%T)が 設 定 され ているかどうかの 情 報 を 取 得 します 運 用 管 理 ツールでチェッ クされている(コマンドで true が 返 却 された) 場 合 設 定 されてい ます 運 用 管 理 ツールでチェックされていない(コマンドで false が 返 却 された) 場 合 設 定 されていません CustomLog 指 示 子 にローテーション 出 力 が 設 定 されている かどうかの 情 報 です 運 用 管 理 ツールでチェックされている(コ マンドで true が 返 却 された) 場 合 ローテーション 出 力 が 設 定 さ れています 運 用 管 理 ツールでチェックされていない(コマンドで false が 返 却 された) 場 合 ローテーション 出 力 は 設 定 されてい ません 上 記 のアクセスログのローテーションが 設 定 されている 場 合 そのローテーション 時 間 を 秒 単 位 で 表 示 します 既 定 値 は 864000 秒 (= 24 時 間 )です 4.3. 定 義 情 報 の 更 新 (WebOTX V7.11 以 降 ) WebOTX Web サーバの 定 義 情 報 のうち 動 作 に 必 要 な 一 部 の 定 義 情 報 は 統 合 運 用 管 理 ツールおよび WebOTX のコマンドから 更 新 することができます 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます 定 義 情 報 の 更 新 24

1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 します 2. 定 義 情 報 タブ 定 義 情 報 (SSL) タブ アクセスログ タブの 各 項 目 を 更 新 します 例 えば ポート 番 号 を 8080 に 変 更 する 場 合 には 現 在 定 義 されているポート 番 号 の 項 目 ( 上 記 の 例 の 場 合 80 の 項 目 ) を 選 択 し 編 集 のボタンを 押 下 して 出 力 されたダイアログに 8080 を 設 定 します 3. 更 新 ボタンを 押 下 することで 定 義 情 報 ファイルの 情 報 が 更 新 されます 4. Web サーバの 再 起 動 または WebOTX の 再 起 動 を 行 うことで 更 新 された 情 報 が 反 映 されます 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 定 義 情 報 の 更 新 1. WebOTX Web サーバの 定 義 情 報 を 更 新 するには 以 下 のコマンドを 実 行 します 更 新 できる 定 義 情 報 については 以 下 の 表 を 参 照 してください otxadmin>set server.webserver.*=xxxx 例 えば ポート 番 号 を 8080 に 変 更 する 場 合 には 以 下 のコマンドを 実 行 します otxadmin>set server.webserver.port=8080 2. Web サーバの 再 起 動 または WebOTX の 再 起 動 を 行 うことで 更 新 された 情 報 が 反 映 されます WebOTX 運 用 管 理 コマンド(ツール)から 更 新 できる 定 義 情 報 の 一 覧 統 合 運 用 管 理 ツール での 属 性 名 ポート 番 号 Server.WebServer.* Port Listen 指 示 子 を 設 定 します WebOTX Web サーバが 待 ち 合 わせ を 行 うポート 番 号 を 設 定 します [IP アドレス:]ポート 番 号 の 形 式 で の 設 定 も 可 能 です 複 数 の 設 定 も 可 能 です ServerName ServerName ServerName 指 示 子 を 設 定 します DocumentRoot ErrorLog LogLevel 最 大 同 時 接 続 数 DocumentRoot ErrorLog LogLevel MaxClients DocumentRoot 指 示 子 を 設 定 します ブラウザから 見 えるメイ ンのドキュメントツリーになるディレクトリを 設 定 します ErrorLog 指 示 子 を 設 定 します エラーログの 出 力 先 を 設 定 しま す LogLevel 指 示 子 を 設 定 します エラーログに 出 力 するログレベ ルを 設 定 します UNIX 版 の MaxClients 指 示 子 あるいは Windows 版 の ThreadsPerChild 指 示 子 を 設 定 します 最 大 同 時 接 続 数 を 設 定 します 25

SSL(HTTPS) 通 信 の 使 用 の 有 無 HTTPS 通 信 用 ポー ト 番 号 アクセスログと 出 力 フォーマット リクエスト 処 理 時 間 ( 秒 ) の 出 力 アクセスログのロー テーション ローテーション 間 隔 security-enabled ssl-port AccessLog AccesslogTat Rotatelog RotationTime SSL 通 信 を 利 用 するかを 指 定 します SSL 通 信 を 利 用 する 場 合 true を 利 用 しない 場 合 には false を 設 定 します ssl.conf ファイル 内 の Listen 指 示 子 を 設 定 します SSL 通 信 用 で 利 用 するポート 番 号 を 設 定 します CustomLog 指 示 子 を 設 定 します アクセスログの 出 力 先 ファイ ル 名 と LogFormat 指 示 子 で 設 定 しているニックネームを 設 定 し ます LogFormat 指 示 子 に リクエスト 処 理 時 間 ( %T )を 追 加 します つまり アクセスログに リクエスト 処 理 時 間 ( 秒 ) の 情 報 を 出 力 しま す 出 力 する 場 合 には true を 出 力 しない 場 合 には false を 設 定 し ます CustomLog 指 示 子 にローテーション 設 定 を 行 い アクセスログ をローテーション 出 力 するかどうかを 設 定 します ローテーション 出 力 を 行 う 場 合 true を 行 わない 場 合 は false を 設 定 します アクセスログのローテーション 設 定 を 行 う 場 合 ローテーション 時 間 を 秒 単 位 で 設 定 します 既 定 値 は 86400( 秒 ) つまり 24 時 間 です 4.4. 定 義 情 報 の 追 加 (WebOTX V7.11 以 降 ) WebOTX Web サーバの 定 義 情 報 のうち 定 義 情 報 に 設 定 されていない 情 報 を 統 合 運 用 管 理 ツールおよ び WebOTX のコマンドから 追 加 することができます 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます 定 義 情 報 の 追 加 26

1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し 右 クリックするか あるいは メニューバーの[ 操 作 ] を 選 択 します 2. 表 示 されるメニューから 定 義 情 報 の 追 加 を 選 択 すると 定 義 情 報 の 追 加 ダイアログが 表 示 されます 3. 追 加 する 定 義 情 報 に 追 加 する 定 義 情 報 を 設 定 します 定 義 情 報 は < 指 示 子 > < 設 定 値 > の 形 式 で 指 定 する 必 要 があり ます なお < 指 示 子 >だけの 定 義 を 設 定 する 場 合 には < 指 示 子 >の 後 に 半 角 スペースを 設 定 してください 4. 実 行 のボタンを 押 下 することで 設 定 した 定 義 情 報 が 定 義 情 報 ファイルに 追 加 されます 5. Web サーバの 再 起 動 または WebOTX の 再 起 動 を 行 うことで 追 加 された 情 報 が 反 映 されます 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 定 義 情 報 の 追 加 1. WebTX Web サーバの 定 義 情 報 を 更 新 するには server.webserver.setdirective コマンドを 実 行 します なお 追 加 する 定 義 情 報 は < 指 示 子 > < 設 定 値 >の 形 式 で ダブルコーテーションで 囲 む 必 要 があります 例 えば ListenBackLog 512 という 定 義 情 報 を 追 加 するには 次 のように 指 定 します otxadmin>invoke server.webserver.setdirective ListenBackLog 512 また Win32DisableAcceptEx のような< 指 示 子 >だけの 定 義 を 追 加 する 場 合 には < 指 示 子 >の 後 に 半 角 スペースを 付 けて 次 のように 指 定 します otxadmin>invoke server.webserver.setdirective Win32DisableAcceptEx 2. Web サーバの 再 起 動 または WebOTX の 再 起 動 を 行 うことで 更 新 された 情 報 が 反 映 されます 本 節 で している 定 義 情 報 の 追 加 処 理 は Web サーバの 定 義 情 報 ファイル(httpd.conf ファイル)に 対 してのみ 有 効 です SSL 通 信 用 の 定 義 情 報 ファイル(ssl.conf)に 対 して 定 義 情 報 の 追 加 処 理 を 行 うことはできません 27

4.5.SSL 設 定 方 法 WebOTX Web サーバは OpenSSL ライブラリを 利 用 した mod_ssl モジュールと 連 携 することで SSL プロトコルを 利 用 した HTTPS 通 信 を 実 現 することができます HTTPS 通 信 を 行 うためには 次 の 設 定 が 必 要 です 1. SSL 通 信 用 ライブラリのインストール Windows 版 の 場 合 WebOTX Web サーバのインストールを 選 択 することで SSL 通 信 用 ライブラリも 同 時 にインストールされます SSL 通 信 用 ライブラリがインストールされているかの 確 認 は アプリケーションの 追 加 と 削 除 から SSL 通 信 用 ライブラリ(Web サ ーバ Ver1.3) または SSL 通 信 用 ライブラリ(Web サーバ Ver2.0) がインストールされているかを 確 認 してください UNIX 版 の 場 合 WebOTX のメディアから 次 のパッケージを 別 途 インストールします プラットフォーム ハ ーシ ョン インストールパッケージ HP-UX(IPF) Linux (x86) Linux (x64) Solaris 1.3 /MODSSL/HP_UX/MODSSL 2.0 /MODSSL/HP_UX/MODSSL2 1.3 /MODSSL/LINUX/modssl-2.8.xx.xx-1.i386.rpm 2.0 /MODSSL/LINUX/modssl2-2.00.xx.xx-1.i386.rpm 1.3 /MODSSL/LINUX/modssl-2.8.xx.xx-1.i386.rpm ( ) 2.0 /MODSSL/LINUX/modssl2-2.00.xx.xx-1.x86_64.rpm 1.3 /MODSSL/SUN/MODSSL 2.0 /MODSSL/SUN/MODSSL2 ( )Linux(x86) と 同 一 パッケージです 2. SSL 設 定 の 有 効 化 SSL 通 信 用 ライブラリをインストール 後 SSL 通 信 機 能 を 有 効 にするために WebOTX Application Server の 設 定 変 更 を 行 う 必 要 があります 次 の 手 順 により 設 定 変 更 を 行 ってください 28

統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます SSL 通 信 の 有 効 化 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し 定 義 情 報 (SSL) タ ブの SSL(HTTPS 通 信 )の 使 用 の 有 無 をチェックします 2. 更 新 ボタンを 押 下 すると SSL 設 定 が 有 効 になります SSL で 利 用 するポート 番 号 を 変 更 する 場 合 HTTPS 通 信 用 の 定 義 情 報 ファイル の 項 目 で 表 示 されるファイルを 編 集 してください または HTTPS 通 信 用 のポート 番 号 の 項 目 を 更 新 します 3. WebOTX Web サーバを 再 起 動 することにより SSL 設 定 が 有 効 になります 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 SSL 通 信 の 有 効 化 1. WebOTX Web サーバの SSL 通 信 を 有 効 化 するには 以 下 のコマンドを 実 行 します otxadmin>set server.webserver.security-enabled=true 2. SSL 通 信 用 のポート 番 号 を 変 更 するには 以 下 のコマンドを 実 行 します 例 えば 8443 に 変 更 する 場 合 次 のコマンドを 実 行 します otxadmin>set server.webserver.ssl-port=8443 3. WebOTX Web サーバを 再 起 動 します otxadmin>invoke server.webserver.stop otxadmin>invoke server.webserver.start 29

3. HTTPS 通 信 の 接 続 確 認 WebOTX Web サーバでは SSL 通 信 用 ライブラリをインストールすることで HTTPS 接 続 評 価 用 の 証 明 書 ファイルと 秘 密 鍵 ファイ ルが 同 時 にインストールされます したがって インストール 直 後 でもローカルマシンのブラウザから SSL での 接 続 確 認 ができま す 1. ブラウザから 次 の URL を 指 定 します SSL 接 続 用 のポート 番 号 を 変 更 している 場 合 には そのポート 番 号 も 指 定 してくださ い 別 マシンから 接 続 確 認 を 行 う 場 合 には WebOTX をインストールしたホスト 名 を 指 定 してください https://localhost/manual/ 2. 例 えば Apache2.0 を 利 用 している 場 合 次 のような 画 面 が 表 示 されれば SSL で 接 続 できたことが 確 認 できます また ブラウザのステータスバーに SSL 接 続 中 であることを 意 味 する 鍵 マークが 表 示 されていることを 確 認 してください 鍵 マーク 3. ブラウザに 表 示 される 鍵 マークをクリックすることで WebOTX Web サーバの SSL 通 信 機 能 で 利 用 している 証 明 書 情 報 を 参 照 することができます ただし WebOTX Web サーバの SSL 通 信 ライブラリがインストールする 本 証 明 書 は 接 続 確 認 用 の 自 己 署 名 証 明 書 であるため 以 下 のように 信 頼 された 証 明 機 関 がこの 証 明 書 を 確 認 できません と 表 示 されます OK ボタンを 押 下 して 証 明 書 のダイアログを 終 了 させてください 30

4. なお Internet Explorer 7 (IE 7) を 利 用 した 場 合 次 の 画 面 (IE7 での HTTPS 接 続 画 面 -1)が 表 示 されます これは IE 7 で 証 明 書 のチェックが 厳 しくなったために 出 力 される 情 報 であり SSL での 接 続 ができないという 訳 ではありません このサイ トの 閲 覧 を 続 行 する( 推 奨 されません) を 選 択 すると さらに 次 の 画 面 (IE7 での HTTPS 接 続 画 面 -2)が 表 示 され アドレス バーに 証 明 書 エラー と 表 示 されます 本 件 は 信 頼 された 証 明 機 関 から 発 行 された 正 しい 証 明 書 を 利 用 することで 解 決 します 次 節 に 示 す 手 順 により 正 しい 証 明 書 を 入 手 してください IE7でのHTTPS 接 続 画 面 -1 IE7 での HTTPS 接 続 画 面 -2 31

4. 証 明 書 の 取 得 次 に 示 す 手 順 は CA 機 関 に 対 して 証 明 書 の 発 行 を 要 求 する 手 順 の 一 例 です この 例 では Linux 上 の OpenSSL コマンドを 利 用 して 秘 密 鍵 の 生 成 と 証 明 書 署 名 要 求 の 生 成 を 行 い CA 機 関 に 送 付 して 証 明 書 を 取 得 し WebOTX Web サーバへ 設 定 を 行 うまでの 手 順 を 記 載 します 詳 細 については 各 CA 機 関 での 証 明 書 の 取 得 方 法 (Apache の 場 合 )を 参 照 してください (ア) 秘 密 鍵 の 生 成 /usr/local/openssl/private に 秘 密 鍵 ファイル(server.key)を 生 成 します キー 生 成 のために ランダムな 情 報 が 含 まれている file1~file3 をあらかじめ 用 意 しておいてください >openssl genrsa rand file1:file2:file3 1024 out /usr/local/openssl/private/server.key 生 成 された 秘 密 鍵 ファイルにアクセス 権 の 設 定 を 行 います >chmod 400 /usr/local/openssl/private/server.key >chmod 700 /usr/local/openssl/private (イ) 証 明 書 署 名 要 求 の 生 成 証 明 書 著 名 要 求 (CSR)ファイルを 生 成 し CA 機 関 に 送 付 します >openssl req new key server.key out server.csr (ウ) 証 明 書 ファイルの 取 得 CA 機 関 から 返 信 された 証 明 書 ファイル(server.crt)を /use/local/openssl/certs に 格 納 し アクセス 権 を 設 定 します >chmod 400 /usr/local/openssl/certs/server.crt >chmod 700 /usr/local/openssl/certs (エ) 証 明 書 と 秘 密 鍵 の 設 定 証 明 書 ファイルと 秘 密 鍵 ファイルを WebOTX Web サーバに 設 定 します /opt/webotx/domains/domain1/conf/webserver/ssl.conf の SSLCertificateFile 指 示 子 に 入 手 した 証 明 書 ファイ ルを SSLCertificateKeyFile 指 示 子 に 秘 密 鍵 ファイルを 設 定 してください (ssl.conf) SSLCertificateFile /usr/local/openssl/certs/server.crt SSLCertificateKeyFile /user/local/openssl/private/server.key (オ) パスフレーズの 取 得 設 定 秘 密 鍵 作 成 時 にパスフレーズを 設 定 している 場 合 証 明 書 にアクセスするためにパスフレーズの 読 み 込 み 処 理 を 設 定 しておく 必 要 があります SSLPassPhraseDialog 指 示 子 を 参 照 し パスフレーズの 設 定 を 行 ってください また パス フレーズの 読 み 込 み 処 理 を 行 うスクリプト( 例 えば 次 の pass.sh のようなシェルスクリプト) 等 をあらかじめ 用 意 しておく 必 要 があります なお Windows の 場 合 には パスフレーズなしで 秘 密 鍵 を 作 成 してください (ssl.conf) SSLPassPhraseDialog exec:/usr/local/openssl/private/pass.sh <</usr/local/openssl/private/pass.sh( ) の 内 容 >> #!/bin/sh echo passphrase exit 0 ( )pass.shはアクセス 権 を 設 定 しておく 必 要 があります >chmod 500 /usr/local/private/pass.sh (カ) Web サーバの 再 起 WebOTX Web サーバまたはドメインの 再 起 動 を 行 います 32

4.6.ログファイルのローテーション WebOTX Web サーバの 出 力 するログファイルには クライアントからのアクセス 状 況 を 出 力 する access.log と Web サーバ 本 体 側 の 動 作 に 関 連 した 情 報 を 出 力 する error.log があります 既 定 値 の 設 定 のままで WebOTX Web サーバを 長 時 間 動 作 させたままにすると access_log に 出 力 されるログ 情 報 が 蓄 積 されて ディスク 領 域 を 大 きく 占 有 する 場 合 があります これを 解 消 するために access.log ファイルを 時 間 でローテーションすることが 考 えられます 次 の 例 では access.log ファイルを 24 時 間 (86400 秒 )でローテーション(1 日 毎 に access.log ファイルを 作 成 )させる 設 定 方 法 について 記 載 します なお 統 合 運 用 管 理 ツール/ 運 用 管 理 コマンドからの 操 作 は WebOTX V7.11 以 降 から 提 供 されている 機 能 です 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます アクセスログファイルのローテーション 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し アクセスログ タブ の アクセスログのローテーション をチェックします 2. ローテーション 間 隔 にローテーション 時 間 を 設 定 します 3. 更 新 ボタンを 押 下 することで 設 定 内 容 が 定 義 情 報 ファイルに 反 映 されます 4. Web サーバを 再 起 動 することにより 設 定 内 容 が 反 映 されます 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 33

アクセスログファイルのローテーション 1. WebOTX Web サーバのアクセスログのローテーション 設 定 を 有 効 にするには 以 下 のコマンドを 実 行 します otxadmin>set server.webserver.rotatelog=true 2. ローテーション 時 間 は 既 定 値 で 24 時 間 (=86400 秒 )が 設 定 されますが ローテーション 時 間 を 変 更 するには 以 下 のコマンド を 実 行 します 例 えば 1 週 間 (=604800 秒 )でローテーションさせる 場 合 は 次 のコマンドを 実 行 します otxadmin>set server.webserver.rotationtime=604800 3. 設 定 内 容 を 反 映 するには Web サーバの 再 起 動 が 必 要 です 上 記 の 設 定 により 定 義 情 報 ファイルに 次 の 設 定 が 追 加 されます なお 統 合 運 用 管 理 ツール/ 運 用 管 理 コマンドからの 操 作 ができない 場 合 には 定 義 情 報 ファイルを 直 接 編 集 し 次 の 設 定 を 行 ってください (UNIX:Apache2.0) CustomLog /opt/webotx/webserver2/bin/rotatelogs /opt/webotx/domains/domain1/logs/webserver/access_log 86400 common (Windows:Apache2.0) CustomLog C:/WebOTX/WebServer2/bin/rotatelogs.exe C:/WebOTX/domains/domain1/logs/WebServer/access.log 86400 common 上 記 の 設 定 により Web サーバの 再 起 動 を 実 施 することで 次 のログファイルが 順 次 生 成 されます access_log.1089207300 access_log.1083293700 access_log.1083380100 生 成 されたファイルのうち 小 さい 数 字 のものは 過 去 のログとなりますので ファイルの 移 動 / 削 除 等 が 可 能 となります なお SSL 通 信 用 の 定 義 情 報 ファイル(ssl.conf)に 定 義 されている ssl_request_log ファイルに 対 してローテーション 設 定 を 行 う 場 合 には 直 接 ssl.conf ファイルを 編 集 し 次 の 設 定 を 行 ってください (UNIX:Apache2.0) CustomLog /opt/webotx/webserver2/bin/rotatelogs /opt/webotx/domains/domain1/logs/webserver/ssl_request_log 86400 %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x %r %b (Windows:Apache2.0) CustomLog C:/WebOTX/WebServer2/bin/rotatelogs.exe C:/WebOTX/domains/domain1/logs/WebServer/ssl_request.log 86400 %t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x %r %b 34

4.7.アクセスログへリクエスト 処 理 時 間 の 出 力 アクセスログに リクエスト 処 理 時 間 の 情 報 を 出 力 することで Web サーバがそのリクエストを 受 け 付 けて レスポンスを 返 却 する までの 時 間 を 出 力 することができ 例 えば どのリクエスト(コンテンツ)に 対 する 処 理 に 時 間 がかかっているかを 調 査 するのに 役 立 つ 場 合 があります 次 の 例 では access.log ファイルにリクエスト 処 理 時 間 を 出 力 する 設 定 方 法 について 記 載 します なお 統 合 運 用 管 理 ツール/ 運 用 管 理 コマンドからの 操 作 は WebOTX V7.11 以 降 から 提 供 されている 機 能 です 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます リクエスト 処 理 時 間 の 情 報 出 力 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し アクセスログ タブ の リクエスト 処 理 時 間 ( 秒 ) 情 報 の 出 力 をチェックします 2. 更 新 ボタンを 押 下 することで 設 定 内 容 が 定 義 情 報 ファイルに 反 映 されます 3. Web サーバを 再 起 動 することにより 設 定 内 容 が 反 映 されます 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 35

リクエスト 処 理 時 間 の 情 報 出 力 1. WebOTX Web サーバのアクセスログのローテーション 設 定 を 有 効 にするには 以 下 のコマンドを 実 行 します otxadmin>set server.webserver.accesslogtat=true 2. 設 定 内 容 を 反 映 するには Web サーバの 再 起 動 が 必 要 です 上 記 の 設 定 により 定 義 情 報 ファイルに 次 の 設 定 が 追 加 されます なお 統 合 運 用 管 理 ツール/ 運 用 管 理 コマンドからの 操 作 ができない 場 合 には 定 義 情 報 ファイルを 直 接 編 集 し LogFormat 指 示 子 に %T を 追 加 してください LogFormat %h %l %u %t %r %>s %b %T common この 設 定 により アクセスログには 次 のログ 情 報 が 出 力 されます 最 後 の 項 目 がリクエスト 処 理 時 間 ( 秒 )となります なお 1 秒 未 満 でリクエスト 処 理 が 完 了 した 場 合 には 0 が 表 示 されます (アクセスログの 出 力 内 容 例 ) 127.0.0.1 - - [DD/MM/YYYY:HH:MM:SS +0900] GET / HTTP/1.1 403 339 0 127.0.0.1 - - [DD/MM/YYYY:HH:MM:SS +0900] GET /manual/ HTTP/1.1 200 7529 0 IP アドレス(%h) 認 証 リモートユーザ 名 (%u) リクエスト 行 (%r) 送 信 バイト 数 (%b) リモートログ 名 (%l) アクセス 時 刻 (%t) HTTP ステータス(%>s) 処 理 時 間 (%T) 4.8. 最 大 同 時 接 続 数 の 変 更 方 法 最 大 同 時 接 続 数 を 超 えた 場 合 次 のメッセージが error_log に 出 力 されます (UNUX) [error] server reached MaxClients setting, consider raising the MaxClients setting (Windows) [warn] Server ran out of threads to serve requests. Consider raising the ThreadsPerChild setting 最 大 同 時 接 続 数 を 増 やすには 定 義 情 報 の 次 の 設 定 を 変 更 する 必 要 があります なお 統 合 運 用 管 理 ツール/ 運 用 管 理 コマンドからの 操 作 は WebOTX V7.11 以 降 から 提 供 されている 機 能 です 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます 36

最 大 同 時 接 続 数 の 変 更 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し 定 義 情 報 タブの 最 大 同 時 接 続 数 の 値 を 変 更 します 2. 更 新 ボタンを 押 下 することで 設 定 内 容 が 定 義 情 報 ファイルに 反 映 されます 3. Web サーバを 再 起 動 することで 設 定 内 容 が 反 映 されます 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 最 大 同 時 接 続 数 の 変 更 1. WebOTX Web サーバのアクセスログのローテーション 設 定 を 有 効 にするには 以 下 のコマンドを 実 行 します otxadmin>set server.webserver.maxclients=250 2. Web サーバを 再 起 動 することで 設 定 内 容 が 反 映 されます なお 最 大 同 時 接 続 数 の 値 を 変 更 した 場 合 は 次 の 設 定 も 合 わせて 変 更 してください Web コンテナの 最 大 プロセッサ 数 (server.http-service.http-listener.ajp-listener-1.max-processors) プラグインモジュールの 最 大 リクエスト 処 理 数 (ドメインの config/webcont/workers.properties ファイルに 定 義 する workers.ajp13.cachesize) 37

なお 定 義 情 報 ファイルを 直 接 編 集 する 場 合 には 次 の 設 定 を 変 更 します Windows の 場 合 ThreadsPerChild 指 示 子 を 変 更 します この 値 は 子 プロセス 内 で 起 動 するスレッド 数 となります Windows 版 では クライアントから 受 け 付 けた1つのリクエストを1つのスレッド 上 で 処 理 します 最 大 で 4096 まで 設 定 可 能 です 既 定 値 は Apache1.3 で 50 Apache2.0 で 250 です UNIX Apache2.0 の 場 合 MaxClients 指 示 子 を 変 更 します MaxClients を 変 更 する 場 合 ThreadsPerChild/ServerLimit/ThreadLimit の 各 値 を 調 整 します この 値 は リクエストに 応 答 できる 全 プロセス 中 の 総 スレッド 数 の 最 大 値 となります UNIX 版 の Apache2.0 では 複 数 のスレッドが 動 作 するプロセスが 複 数 個 動 作 し クライアントから 受 け 付 けた1つのリク エストを1つのスレッド 上 で 処 理 します 既 定 値 は 150 です なお ServerLimit の 既 定 値 は 16 最 大 で 20000 ThreadLimit の 既 定 値 は 64 最 大 で 15000 まで 設 定 可 能 です また リクエスト 処 理 中 のプロセス 数 の 最 大 値 は MaxClients を ThreadsPerChild で 割 った 値 となります UNIX Apache1.3 の 場 合 MaxClients 指 示 子 を 変 更 します この 値 は リクエストに 応 答 するために 起 動 される 子 プロセスの 最 大 数 となります UNIX 版 の Apache1.3 では クライアントから 受 け 付 けた1つのリクエストを1つの 子 プロセス 上 で 処 理 します 最 大 で 4096 まで 設 定 可 能 です 既 定 値 は 150 です 4.9. 特 定 クライアントに 対 するアクセス 制 限 特 定 のクライアンに 対 してアクセス 制 限 をかける 場 合 次 の 設 定 を 追 加 します 定 義 情 報 ファイルを 直 接 編 集 してください 例 えば 次 の 設 定 例 では 特 定 のフォルダごとにアクセスを 許 可 するクライアントを 設 定 しています http://server/aaa にアクセスできるクライアントは yourdomain.com に 属 するマシンに 限 定 し http://server/bbb にアクセスでき るクライアントは anotherdomain.com に 属 するマシンに 限 定 しています <Directory /opt/webotx/domains/domain1/docroot/aaa> Order Deny,Allow Deny form all Allow from yourdomain.com </Directory> <Directory /opt/webotx/domains/domain1/docroot/bbb> Order Deny,Allow Deny form all Allow from anotherdomain.com </Directory> 次 の 設 定 例 では 特 定 のフォルダに 対 してアクセスを 拒 否 するクライアントを 設 定 しています http://server/ccc にアクセスできるクライアントは ccc.domain.com 以 外 に 属 するクライアントとなります ccc.domain.com に 属 するクライアントは http://server/ccc にアクセスできません <Directory /opt/webotx/domains/domain1/docroot/ccc> Order Allow,Deny Allow from all Deny from ccc.domain.com </Directory> 38

4.10.LDAP 連 携 (Apache2.0) WebOTX Web サーバは WebOTX Application Server にバンドルされている Enterprise Directory Server(EDS)と 連 携 動 作 が 可 能 であり EDS に 登 録 されたエントリ 情 報 を HTTP 認 証 に 利 用 することができます 定 義 情 報 ファイル(httpd.conf) において 次 の 設 定 を 追 加 します LoadModule ldap_module ${AS_INSTALL}/WebServer2/modules/mod_ldap.so LoadModule auth_ldap_module ${AS_INSTALL}/WebServer2/modules/mod_auth_ldap.so <Directory /opt/webotx/domains/domain1/docroot> AuthType Basic AuthName Enter username/password. AuthLDAPUrl ldap://ldap-server:ldap-port/dc=users,dc=webotx,o=nec,c=jp?uid?sub Require valid-user </Directory> 上 記 設 定 により ブラウザから http://server/ に 対 してアクセスが 行 われた 場 合 に 次 のダイアログが 出 力 されます ここで LDAP サーバに 登 録 されたユーザ/パスワードを 入 力 することで ブラウザからのアクセスが 可 能 となります 認 証 に 失 敗 した 場 合 には 次 のメッセージ(HTTP ステータスコード 401)がブラウザに 出 力 されます 39

4.11.IPv6/IPv4 混 在 環 境 での 設 定 (Apache2.0) Windows マシンに IPv4 と IPv6 のそれぞれの IP アドレスが 設 定 されている 環 境 において それぞれの IP アドレスに 対 して Web サーバでアクセス 受 付 を 行 う 場 合 Listen 指 示 子 を 利 用 して IPv4 と IPv6 のそれぞれの IP アドレスとポート 番 号 を 設 定 してください なお 統 合 運 用 管 理 ツール/ 運 用 管 理 コマンドからの 操 作 は WebOTX V7.11 以 降 から 提 供 されている 機 能 です 統 合 運 用 管 理 ツールからの 操 作 あらかじめ 統 合 運 用 管 理 ツールよりドメインと 接 続 しておきます ポート 番 号 の 設 定 1. WebOTX 管 理 ドメイン[<ホスト 名 >] - <ドメイン 名 > - アプリケーションサーバ - WebServer を 選 択 し 定 義 情 報 タブの ポート 番 号 の 値 を 更 新 します (Windows マシンの IPv4/IPv6 混 在 環 境 でポート 番 号 80 を 有 効 にする 場 合 ) 0.0.0.0:80 [::]:80 2. 更 新 ボタンを 押 下 することで 設 定 内 容 が 定 義 情 報 ファイルに 反 映 されます 3. Web サーバを 再 起 動 することで 設 定 内 容 が 反 映 されます 運 用 管 理 コマンド(otxadmin)からの 操 作 あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 40

ポート 番 号 の 設 定 1. WebOTX Web サーバのアクセスログのローテーション 設 定 を 有 効 にするには 以 下 のコマンドを 実 行 します otxadmin>set server.webserver.port=0.0.0.0:80,[::]:80 2. Web サーバを 再 起 動 することで 設 定 内 容 が 反 映 されます 上 記 の 操 作 を 行 うことで 定 義 情 報 ファイルには 次 の 設 定 が 反 映 されます #Listen 80 Listen 0.0.0.0:80 Listen [::]:80 なお それぞれ IP アドレスに 対 して 指 定 したポート 番 号 で 受 付 可 能 状 態 になっているかを 確 認 するには netstat コマンド 等 を 利 用 し 設 定 したポート 番 号 が LISTENING 状 態 となっていることを 確 認 してください 次 の 例 では IPv4 および IPv6 のそれぞれのアドレスに 対 してポート 番 号 80 が LISTENING 状 態 (リクエスト 受 付 可 能 状 態 )になっ ていることを 意 味 します >netstart an Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP [::]:80 [::]:0 LISTENING 0 4.12. 環 境 変 数 の 設 定 UNIX 版 において LoadModule 指 示 子 を 利 用 してモジュールの 動 的 ロードを 行 う 場 合 モジュールが 利 用 するライブラリをロードす るために あらかじめ 環 境 変 数 (LD_LIBRARY_PATH/SHLIB_PATH 等 )に 登 録 しておく 必 要 な 場 合 があります この 場 合 次 のファイルに 必 要 となる 環 境 変 数 を 追 加 してください (Apache 2.0) ${AS_INSTALL}/WebServer2/bin/envvars <<envvars の 内 容 >> LD_LIBRARY_PATH="xxx:/opt/WebOTX/WebServer2/lib:$LD_LIBRARY_PATH export LD_LIBRARY_PATH (Apache 1.3) ${INSTANCE_ROOT}/domain1/bin/apachectl <<apachectl の 内 容 >> SHLIB_PATH= xxx:$shlib_path export SHLIB_PATH 41

4.13. 起 動 待 ち 合 わせ 時 間 の 設 定 WebOTX Web サーバは WebOTX Application Server の 起 動 と 連 動 しており WebOTX Application Server の 起 動 と 同 時 に WebOTX Web サーバに 対 して アライブチェックモニタ 機 能 が 動 作 します WebOTX Web サーバの 起 動 タイミングとアライブチェックモニタの 開 始 タイミングによっては Web サーバが 完 全 に 起 動 する 前 に アライブチェックモニタ 機 能 が 動 作 するため Web サーバが 起 動 していない というログが 出 力 される 場 合 があります この 場 合 WebOTX Application Server の JavaVM のオプションに 次 の 設 定 を 行 うことで Web サーバ 起 動 後 にアライブチェック モニタ 機 能 を 開 始 する 時 間 ( 待 ち 合 わせ 時 間 )を 秒 単 位 で 指 定 することができます あらかじめ otxadmin コマンドを 起 動 し ドメインにログインしておきます otxadmin>login --user admin --password adminadmin --port 6212 otxadmin>create-jvm-options Dwebotx.webserver.startup_wait_count=xxx ( 秒 単 位 ) 4.14.WebOTX Web サーバの 起 動 に 失 敗 した 場 合 の 対 処 WebOTX Web サーバの 起 動 / 停 止 は WebOTX Application Server のドメイン 起 動 / 停 止 に 連 動 していますが ポートの 重 複 や 定 義 情 報 の 設 定 ミス 等 により 起 動 に 失 敗 する 場 合 があります WebOTX Web サーバの 起 動 に 失 敗 した 場 合 次 のファイルにエラーメッセージが 出 力 されますので その 内 容 を 確 認 し エラー 発 生 箇 所 を 修 正 し WebOTX Web サーバの 再 起 動 を 行 ってください エラー 出 力 先 ) /opt/webotx/domains/domain1/logs/webotx_agent.log /opt/webotx/domains/domain1/logs/webserver/webotx_websv.log エラーメッセージ 内 容 ) OTX05230002: execute ExecException occurred Error: com.nec.webotx.enterprise.util.execexception: abnormal sub process termination: Detailed Message: Error Message または OTX05230002: コマンドの 実 行 (execute)で 例 外 (ExecException)が 発 生 しました (com.nec.webotx.enterprise.syste.webserver) Error: com.nec.webotx.enterprise.util.execexception: abnormal sub process termination: Detailed Message: Error Message Error Message には 起 動 に 失 敗 した 原 因 を 意 味 するメッセージが 出 力 されます Web サーバの 起 動 に 失 敗 する 主 な 原 因 は 次 のことが 考 えられます ポート 番 号 の 重 複 => netstat an コマンドを 実 行 し Web サーバで 利 用 するポート 番 号 が 他 プロセスで 利 用 しているポート 番 号 と 重 複 していないかを 確 認 します 定 義 情 報 の 不 正 => <INSTANCE_ROOT>/bin/apachectl(.bat) configtest コマンドを 実 行 し 定 義 情 報 に 問 題 がないか を 確 認 します 必 要 ライブラリの 不 足 => UNIX の 場 合 ldd httpd を 実 行 し 必 要 ライブラリが 存 在 するかを 確 認 します 42

=> LoadModule 指 示 子 で ロードしているモジュールが 存 在 するか そのモジュールがリンクしているライブラリ へのパスが 有 効 になっているか( 環 境 変 数 に 登 録 されているか)を 確 認 します 失 敗 原 因 についての 詳 細 については 運 用 編 - 障 害 解 析 - 機 能 別 - Web サーバ(Apache HTTP Server ベース) を 参 照 してください 43

5. 注 意 制 限 事 項 ここでは WebOTX Web サーバの 注 意 制 限 事 項 を 記 載 します 5.1.64 ビット OS での 提 供 バイナリ Apache 2.0 では 64 ビット OS で 64 ビットバイナリを 提 供 します UNIX Apache 1.3 では 32/64 ビット OS に 係 わらず 32 ビットバイナリを 提 供 します プラットフォーム バージョン バイナリ Windows (x64) HP-UX (IPF) Linux (x64) 1.3 Windows(x64) 専 用 64 ビットバイナリ 2.0 Windows(x64) 専 用 64 ビットバイナリ 1.3 HP-UX(IPF) 専 用 32 ビットバイナリ 2.0 HP-UX(IPF) 専 用 64 ビットバイナリ 1.3 Linux(x86) 共 通 32 ビットバイナリ 2.0 Linux(x64) 専 用 64 ビットバイナリ Apache HTTP Server 用 の 連 携 モジュールを WebOTX 上 で 動 作 させる 場 合 には 32 ビット 用 か 64 ビット 用 を 確 認 し ビット 数 が 一 致 するモジュールを 利 用 してください 5.2. 追 加 変 更 インストール すでに WebOTX Application Server をインストール 済 みの 環 境 に Web サーバ 機 能 の 追 加 (または 1.3 から 2.0 へのバージョ ン 変 更 )を 行 う 場 合 には WebOTX メディアを 用 意 して メディアからインストーラを 起 動 してください また 既 存 のドメイン 環 境 に 対 して Web サーバ 機 能 の 追 加 / 変 更 を 行 う 場 合 には 追 加 / 変 更 インストールを 実 行 する 前 に 次 の 運 用 管 理 コマンドを 実 行 してドメインの 削 除 を 実 行 してください ドメインの 情 報 をそのまま 利 用 する 場 合 には ドメインの 定 義 情 報 のバックアップを 行 ってください >otxadmin delete-domain domain1 Windows 版 の 場 合 追 加 / 変 更 インストールを 実 行 することにより ドメインの 再 作 成 を 行 うか 聞 かれますので 再 作 成 を 行 ってく ださい UNIX 版 の 場 合 追 加 / 変 更 インストール 実 行 後 に ant コマンドを 実 行 して ドメインの 再 作 成 を 行 ってください ドメインの 再 作 成 方 法 については 運 用 編 を 参 照 してください 44

5.3. 複 数 行 の 定 義 情 報 の 更 新 追 加 定 義 情 報 の 指 示 子 によっては 複 数 行 の 設 定 が 必 要 なものがあります このような 定 義 情 報 の 更 新 追 加 をする 場 合 には 直 接 定 義 情 報 ファイルの 更 新 をしてください 例 えば 次 に 示 すようなコンテナ 指 示 子 の 設 定 を 行 う 場 合 には 直 接 定 義 情 報 ファイルを 更 新 してください 指 示 子 <Directory> <DirectoryMatch> <Files> <FilesMatch> <Localtion> <LocationMatch> <VirtualHost> <IfModule> 指 定 されたディレクトリに 対 する 各 種 設 定 を 行 います <Directory>と 同 様 です ディレクトリ 情 報 に 正 規 表 現 が 利 用 できます 指 定 されたファイルに 対 する 各 種 設 定 を 行 います <Files>と 同 様 です ファイル 情 報 に 正 規 表 現 が 利 用 できます 指 定 されたロケージョン(URL 情 報 )に 対 する 各 種 設 定 を 行 います <Location>と 同 様 です ロケージョン 情 報 に 正 規 表 現 が 利 用 できます 仮 想 ホストに 対 して 各 種 設 定 を 行 います 指 定 されたモジュールに 対 する 各 種 設 定 を 行 います SSL 通 信 用 のポート 番 号 を 複 数 設 定 する 場 合 それぞれのポート 番 号 に 対 して <VirtualHost>の 設 定 がそれぞれ 必 要 となりま す SSL 通 信 用 のポート 番 号 を 複 数 設 定 する 場 合 には SSL 通 信 用 の 定 義 情 報 ファイル(ssl.conf)を 直 接 編 集 してください 運 用 管 理 ツール/コマンドからの 定 義 情 報 の 追 加 処 理 は 定 義 情 報 ファイル(httpd.conf)に 対 してのみ 行 われます SSL 通 信 用 の 定 義 情 報 ファイル(ssl.conf)に 対 して 運 用 管 理 ツール/コマンドから 定 義 情 報 の 追 加 処 理 はできません SSL 通 信 用 の 定 義 情 報 ファイル(ssl.conf)に 定 義 されている 情 報 を 更 新 / 追 加 する 場 合 は エディタ 等 を 利 用 して 直 接 編 集 してください 5.4.ディレクトリ 一 覧 表 示 機 能 の 無 効 化 Webサーバの 定 義 情 報 ファイル(httpd.conf)において ディレクトリ 一 覧 表 示 機 能 を 無 効 (ディレクトリリスティングを 禁 止 )に 設 定 しています そのため ブラウザからWebサーバのDocumentRootディレクトリ(つまり http://localhost/)や DirectoryIndex 指 示 子 で 設 定 しているファイル(index.html)が 存 在 しないディレクトリにアクセスすると 以 下 のForbidden メッセージ(HTTPステータ スコード 403)が 返 却 されます Webサーバは 正 常 起 動 していますので 本 メッセージが 出 力 されることに 問 題 はありません 45