itp secure webserverシステム管理者ガイド · -2 523346-001j 原典 document history...

523346

iTP Secure WebServerシステム管理者ガイドシステム管理者ガイドシステム管理者ガイドシステム管理者ガイド

概要本書では、iTP Secure WebServer のインストール、設定、および管理につ

いて説明します。また、CGI (Common Gateway Interface) アプリケーショ

ンと Java サーブレットの開発、およびそれらの iTP Secure WebServer 環境への統合についても説明します。本書は、コンパック NonStop システ

ム上で iTP Secure WebServer のインストール、設定、および管理を行う

必要がある経験豊富なコンパック NonStop システム管理者やオペレータ

を対象としています。

製品バージョン iTP Secure WebServer (リリース6.0)

サポートするリリース本書は、新版で特に示さない限り、D42、G03 およびそれ以降のすべて

のリリースを対象とします。Parallel Library TCP/IP を使用する場合は、

G06.08 以降を実行する必要があります。

マニュアル番号 523346-001J

発行 2002 年 12 月

日本ヒューレット・パッカード株式会社

-001J -1

　

-2

原　　典

Document History Edition Part Number Product Version Earliest Supported Release Published

First 142615 iTP Secure WebServer D42 (Release 3.3) March 1999Second 422876-001 iTP Secure WebServer D42 (Release 4.0) July 1999Third 425144-001 iTP Secure WebServer D42 (Release 4.1) February 2000Fourth 427022-001 iTP Secure WebServer (Release 5.0) December 2000Fifth 429506-001 iTP Secure WebServer (Release 5.1) August 2001Sixth 522659-001 iTP Secure WebServer (Release 5.1) November 2001Seventh 523346-001 iTP Secure WebServer (Release 6.0) July 2002

New editions incorporate any updates issued since the previous edition.

A plus sign(+) after a release ID indicates that this manual describes function added to thebase release, either by an interim product modification(IPM) or by a new product version ona .99 site update tape(SUT).

Copyright Copyright© 1993 by Tandem Computers Incorporated. Printed in the U.S.A. All rightsreserved. No part of this document may be reproduced in any form, including photocopyingor translation to another language, without the prior written consent of Tandem Computersincorporated.

Ordering Information For manual ordering information: domestic U.S. customers, call 1-800-243-6886;international customers, contact your local sales representative.

Document Disclaimer Information contained in a manual is subject to change without notice. Please check withyour authorized Tandem representative to make sure you have the most recent information.

Export Statement Export of the information contained in this manual may require authorization from the U.SDepartment of Commerce.

Examples Examples and sample programs are for illustration only and may not be suited for yourparticular purpose. Tandem does not warrant, guarantee, or make any representationsregarding the use or the results of the use of any examples or sample program in anydocumentation. You should verify the applicability of any example or sample programbefore placing the software into productive use.

U. S.Government Customers FOR U.S. GOVERNMENT CUSTOMERS REGARDING THIS DOCUMENTATION ANDTHE ASSOCIATED SOFTWARE;These notices shall be marked on any reproduction of this data, in whole or in part.NOTICE: Notwithstanding any other lease or license that may pertain to, or accompany thedelivery of, this computer software, the rights of the Government regarding its use,reproduction and disclosure are as set forth in Section 52.227-19 of the FARS ComputerSoftware-Restricted Rights clause.RESTRICTED RIGHTS NOTICE: Use, duplication or disclosure by the Government issubject to the restrictions as set forth in subparagraph(c)(1)(ii) of the Rights in TechnicalData and Computer Software clause at DFARS 52.227-7013.RESTRICTED RIGHTS LEGEND: Use, duplication or disclosure by the Government issubject to the restrictions as set forth in paragraph(b)(3)(B) of the Rights in Technical Dataand Computer Software clause at DAR 7-104.9(a). This computer software is submittedwith “restricted rights.” Use, duplication or disclosure is subject to the restrictions as setforth in NASA FAR SUP 18-52 227-79(April 1985) “Commercial Computer Software -Restricted Rights (April 1985).” If the contract contains the Clause at 18-52 227-74 “Rightsin Data General” then the “Alternate III” clause applies.U. S Government Users Restricted Rights—Use, duplications or disclosure restricted byGSA ADP Schedule Contract.Unpublished—All rights reserved under the Copyright Laws of the United States.

本書のプログラムを含むすべての内容は、著作権法上の保護を受けて

おります。著者、発行者の許諾を得ず、無断で複写、複製をすること

は禁じられております。

523346-001J

目　次

目　次

更新情報

マニュアル情報 ......................................................................................................................xvii

新規情報と変更内容 .............................................................................................................xviii

本書について

対象読者 .................................................................................................................................. xxi

本書の構成について ..............................................................................................................xxii

関連マニュアル .....................................................................................................................xxiii

参考文献 ................................................................................................................................ xxvi

インターネット上のリファレンス情報 .............................................................................. xxvi

表記規約 ...............................................................................................................................xxvii

略語 ........................................................................................................................................ xxxi

第 1 章 iTP Secure WebServer の概要

iTP Secure WebServer でサポートされている機能と標準規格........................................... 1-2

iTP Secure WebServer のアーキテクチャ ............................................................................. 1-5

Web クライアント .................................................................................................... 1-7

TCP/IP サブシステム ............................................................................................... 1-7

iTP Secure WebServer httpd ..................................................................................... 1-7

PATHMON プロセス ............................................................................................... 1-8

WID (WebSafe2 Interface Driver) ............................................................................ 1-8

ATP (Active Transaction Pages) ............................................................................... 1-8

Pathway CGI サーバ ................................................................................................. 1-8

汎用 CGI (Common Gateway Interface) サーバ ...................................................... 1-9

SSC (サーブレット・サーバ・クラス) ................................................................... 1-9

RLS (リソース・ロケータ・サービス) ................................................................... 1-9

iTP Secure WebServer Admin httpd ......................................................................... 1-9

Administration Server ................................................................................................ 1-9

iTP Secure WebServer 環境におけるその他の製品 ................................................ 1-9

520627-001J iii

目　次

iv

iTP Secure WebServer の暗号化...........................................................................................1-10

SSL (Secure Sockets Layer) と PCT (Private Communications Technology)

による暗号化 ...........................................................................................................1-10

WebSafe2 による暗号化 .........................................................................................1-10

第 2 章 iTP Secure WebServer のインストール

iTP Secure WebServer のシステム要件 .................................................................................2-1

サポートされるコンパック NonStop システム .......................................................2-1

ソフトウェア要件とオプション・ソフトウェア ....................................................2-2

ハードウェア要件 .....................................................................................................2-3

iTP Secure WebServer を実行するためのシステムの準備 ...................................................2-3

EMS (イベント管理サービス) テンプレートのインストール .............................................2-5

iTP Secure WebServer のインストールと設定 ......................................................................2-6

インストールの前に .................................................................................................2-7

インストールの開始 .................................................................................................2-7

IPSetup プログラムを実行する ................................................................................2-8

配布メディアから iTP Secure WebServer ソフトウェアをコピーする .................2-8

セットアップ・スクリプトの実行 ..........................................................................2-9

Parallel Library TCP/IP サポートのセットアップ .................................................2-10

WISP のインストール ............................................................................................2-11

リソース・ロケータのインストール .....................................................................2-11

インストールに関する留意事項 ............................................................................2-11

設定の確認.............................................................................................................................2-12

90 日間有効なテスト証明書.................................................................................................2-12

Administration Server と iTP Secure WebServer のテストの開始 ......................................2-13

SSL または PCT の暗号化方式を使用する場合..................................................................2-13

WebSafe2 の暗号化方式を使用する場合 ............................................................................2-13

安全でないバージョンを使用している場合 .......................................................................2-13

第 3 章 iTP Secure WebServer PATHMON 環境の計画

従来の TCP/IP：ディストリビュータ・プロセス ................................................................3-1

Parallel Library TCP/IP：自動受信機能.................................................................................3-2

Parallel Library TCP/IP サポートの移行に関する留意事項 ...................................3-2

520627-001J

目　次

PATHMON 環境の設定 ......................................................................................................... 3-3

httpd サーバのスレッディングに関する留意事項................................................................ 3-4

サーバの Pathway 環境に対するセキュリティ..................................................................... 3-5

設定ファイルを修正できるユーザ .......................................................................... 3-5

iTP Secure WebServer を起動 / 停止できるユーザ ................................................. 3-5

ディストリビュータ・プロセスが監視している TCP/IP ポート .......................... 3-6

CGI (Common Gateway Interface) アプリケーションのセキュリティに関する

留意事項 .................................................................................................................... 3-6

Pathway CGI サーバ・クラスに関する留意事項 ................................................... 3-6

セキュリティに関するその他の留意事項............................................................................. 3-7

キー・データベース・ファイルの保護 .................................................................. 3-7

サーバ・パスワードの保護 ..................................................................................... 3-7

コア・ダンプの保護 ................................................................................................. 3-8

キー・データベース・ファイルとコア・ダンプの移動における保護 ................. 3-8

第 4 章安全なトランスポートのための設定

Administration Server の安全な利用...................................................................................... 4-1

サーバ設定の概要................................................................................................................... 4-2

keyadmin ユーティリティの設定 ............................................................................ 4-2

サーバの設定 ............................................................................................................ 4-2

証明書の管理 .......................................................................................................................... 4-4

識別名 (DN) の書式化 .............................................................................................. 4-4

VeriSign 社の Global Server ID を使用した国際的な 128 ビット

SSL セッションのサポート ..................................................................................... 4-5

keyadmin ユーティリティによるキーと証明書の管理 .......................................... 4-6

iTP Secure WebServer によるサーバ証明書チェーンの使用............................................. 4-21

クライアント認証の管理 ..................................................................................................... 4-22

-requireauth オプションの利用 .............................................................................. 4-23

-requestauth オプションの利用 .............................................................................. 4-23

SSL 設定と PCT 設定の更新................................................................................................ 4-24

アクセスとプライバシの制御.............................................................................................. 4-25

Region コマンドを使用したコンテンツへのアクセスの指定 ............................. 4-25

CGI プログラムにおける SSL 環境変数と PCT 環境変数の利用 ....................... 4-26

520627-001J v

目　次

vi

暗号化と整合性チェックの制御 ..........................................................................................4-26

AcceptSecureTransport 指示語を使用した暗号化方式の利用 ..............................4-27

暗号化方式を使用する際の制約事項 .....................................................................4-28

第 5 章 WISP (WebSafe2 Internet Security Processor) の統合

SCT (Secure Configuration Terminal).....................................................................................5-3

WID (WebSafe2 Interface Driver)...........................................................................................5-3

iTP Secure WebServer が WISP (WebSafe2 Internet Security Processor) を使用する

方法 ..........................................................................................................................................5-3

フォルト・トレランス (耐障害性) を実現するための要件 ....................................5-4

WISP (WebSafe2 Internet Security Processor) の統合方法 ...................................................5-5

iTP Secure WebServer をインストールしていない場合 .........................................5-5

WebSafe2 暗号化に移行する場合 ............................................................................5-5

WISP (WebSafe2 Internet Security Processor) を旧バージョンから

アップグレードする場合 ..........................................................................................5-6

WISP (WebSafe2 Internet Security Processor) のインストール ..............................5-6

証明書に対する識別名 (DN) の用意 ........................................................................5-6

WID (Websafe2 Interface Driver) のインストール ..................................................5-6

WISP (WebSafe2 Internet Security Processor) を利用するための

iTP Secure WebServer の設定 ...................................................................................5-7

公開鍵 / 秘密鍵のペアの生成および証明書の取得 .................................................5-9

WebSafe2 暗号化でのサーバ証明書チェーンの使用方法 ..................................................5-15

SSL 3.0 ハードウェア暗号化の設定とバージョンの要件..................................................5-16

新しい証明書の取得 ...............................................................................................5-16

適切な WISP (WebSafe2 Internet Security Processor) ファームウェアの使用 ....5-18

新の WID (WebSafe2 Interface Driver) ソフトウェアのインストール ............5-18

WID (Websafe2 Interface Driver) 設定ファイルの更新 ........................................5-18

WISP (WebSafe2 Internet Security Processor) の追加設定 .................................................5-19

WebSafe2 からソフトウェア暗号化への切り替え .............................................................5-19

ソフトウェア暗号化からWebSafe2 (ハードウェア) 暗号化への切り替え .......................5-19

この後に習得すること .........................................................................................................5-20

520627-001J

目　次

第 6 章スクリプトを使用した iTP Secure WebServer の管理

httpd コマンド......................................................................................................................... 6-1

start スクリプトによる iTP Secure WebServer の起動 ......................................................... 6-2

stop スクリプトによる iTP Secure WebServer の停止 ......................................................... 6-3

restarth スクリプトによる iTP Secure WebServer の再起動 ................................................ 6-3

Parallel Library TCP/IP の場合 ................................................................................. 6-3

従来の TCP/IP の場合 .............................................................................................. 6-3

restart スクリプトによる iTP Secure WebServer の再起動 .................................................. 6-4

httpd コマンドの利用 ............................................................................................................. 6-4

構文 ............................................................................................................................ 6-4

説明 ............................................................................................................................ 6-5

iTP Secure WebServer と関連プロセスに対する PATHMON 環境の自動再起動 ............. 6-6

第 7 章 iTP Secure WebServer の設定

サーバの設定 .......................................................................................................................... 7-1

httpd 設定ファイル ................................................................................................... 7-2

Parallel Library TCP/IP とともに使用するためのサーバの設定 ........................... 7-7

安全なトランスポートの設定ファイル (httpd.stl.config) ....................................... 7-7

グローバルなセッション・キーのキャッシングの設定 ........................................ 7-7

その他の設定ファイル ............................................................................................. 7-9

サーバのコンテンツの管理 ................................................................................................. 7-10

URL のしくみ ......................................................................................................... 7-10

要求とコンテンツのマッピング ............................................................................ 7-11

ユーザ・ディレクトリの作成 ................................................................................ 7-16

Guardian ファイルの使用 ....................................................................................... 7-16

ファイル・キャッシュの制御.............................................................................................. 7-18

FileStatsCheckTime ................................................................................................. 7-19

CacheTime ............................................................................................................... 7-19

MaxFileCacheEntries .............................................................................................. 7-20

MaxFileCacheContentSize ...................................................................................... 7-20

NoCache Region コマンド ...................................................................................... 7-21

ログ・ファイルの管理 ......................................................................................................... 7-22

ログ形式の選択 ....................................................................................................... 7-22

520627-001J vii

目　次

vi

ログ用領域の確保 ...................................................................................................7-23

ログ・ファイルの循環使用 ....................................................................................7-24

サーバのエイリアス (別名) の設定......................................................................................7-26

エイリアスの機能 ...................................................................................................7-26

エイリアスのメリット ............................................................................................7-26

エイリアスの設定 ...................................................................................................7-26

サーバへのアクセスの制御 ..................................................................................................7-27

Region 指示語の使用 ..............................................................................................7-27

ホスト名 /IP アドレスによるアクセスの許可 ......................................................7-29

ホスト名 /IP アドレスによるアクセスの拒否 ......................................................7-29

クライアント認証の要求 ........................................................................................7-30

パスワードの管理 ...................................................................................................7-30

アクセスのリダイレクト ........................................................................................7-32

ディレクトリ・インデックス自動生成の有効化 ..................................................7-33

ログ記録の無効化 ...................................................................................................7-34

複数の Region コマンドの使用 ..............................................................................7-34

パターン変数 (リスト) の使用 ...............................................................................7-35

条件コマンドの使用 ...............................................................................................7-36

Tcl 変数の使用 ........................................................................................................7-37

バイト・レンジへの対応 ........................................................................................7-39

複数ホストへの対応 ...............................................................................................7-39

サーバ・エラー・メッセージのカスタマイズ ...................................................................7-43

クリッカブル・イメージのセットアップ ...........................................................................7-44

イメージ・マップ・ファイルの作成 .....................................................................7-44

ハイパーテキスト・アンカーの追加 .....................................................................7-46

セットアップされたイメージのテスト .................................................................7-46

SSI (サーバ・サイド・インクルード) のセットアップ .......................................7-47

WISP (WebSafe2 Internet Security Processor) を使用するためのサーバの設定 ...............7-53

WID (Websafe2 Interface Driver) 設定の更新 .......................................................7-53

設定への WISP (WebSafe2 Internet Security Processor) の追加 ...........................7-53

WID の設定ファイル ..............................................................................................7-53

WebSafe2 の設定ファイル .....................................................................................7-55

ii 520627-001J

目　次

第 8 章 CGI (Common Gateway Interface) プログラムの使用

iTP WebServer 環境での CGI への対応 ................................................................................ 8-2

汎用 CGI サーバ・クラス ........................................................................................ 8-2

Pathway CGI サーバ・クラス .................................................................................. 8-3

SSC (サーブレット・サーバ・クラス) ................................................................... 8-5

CGI の設定とプログラミング ............................................................................................... 8-5

CGI プログラムの設定 ........................................................................................................... 8-5

MIME タイプ ............................................................................................................ 8-6

サーバ・クラスへの MIME タイプのマッピング .................................................. 8-6

サーバ・クラスの設定 ........................................................................................... 8-10

プログラムへのアクセス制限 ................................................................................ 8-10

CGI 環境変数の受け渡し ..................................................................................................... 8-10

HTTP ヘッダ変数 ................................................................................................................. 8-19

入力の受け渡し..................................................................................................................... 8-21

コマンド行 .............................................................................................................. 8-22

クエリ文字列 .......................................................................................................... 8-22

追加パス情報 .......................................................................................................... 8-22

HTML フォーム ...................................................................................................... 8-23

出力の返送 ............................................................................................................................ 8-24

応答ヘッダ .............................................................................................................. 8-24

サーバ・ヘッダ ....................................................................................................... 8-26

非解析ヘッダ (Nonparsed ヘッダ) ......................................................................... 8-27

エラー情報のログ記録 ......................................................................................................... 8-27

CGI 標準ファイル環境 ......................................................................................................... 8-27

標準入力 .................................................................................................................. 8-27

標準出力 .................................................................................................................. 8-28

標準エラー .............................................................................................................. 8-28

標準ファイル環境のカスタマイズ ........................................................................ 8-28

CGI ライブラリ .................................................................................................................... 8-28

Pathway CGI コーディングの留意事項............................................................................... 8-31

CGI ライブラリのインクルード ............................................................................ 8-31

設計指針 .................................................................................................................. 8-32

Pathway CGI 実装の例 ......................................................................................................... 8-33

520627-001J ix

目　次

x

第 9 章 NSJSP (NonStop Servlets for JavaServer Pages) の使用

概要 ..........................................................................................................................................9-2

URL からサーブレットへのマッピング方法 ..........................................................9-4

J2EE (Java 2 Enterprise Edition) の概要.................................................................................9-5

Web コンテナ ............................................................................................................9-5

JSP (JavaServer Pages) .............................................................................................9-7

Web アプリケーション .............................................................................................9-8

WEB-INF サブディレクトリ ....................................................................................9-8

配置記述子 .................................................................................................................9-8

WAR (Web アーカイブ) ファイル ...........................................................................9-9

NSJSP (NonStop Servlets for JavaServer Pages) のアーキテクチャ.....................................9-9

NSJSP (NonStop Servlets for JavaServer Pages) のインストール ......................................9-12

インストールの前に ...............................................................................................9-12

インストールの開始 ...............................................................................................9-13

インストールの確認 ...............................................................................................9-16

NSJSP (NonStop Servlets for JavaServer Pages) の起動または再起動 ...............................9-17

考えられるエラー条件 ............................................................................................9-17

Web コンテナ環境と Web アプリケーション環境.............................................................9-17

Web コンテナの設定 ............................................................................................................9-18

servlet.config ............................................................................................................9-18

環境変数 ..................................................................................................................9-18

ファイルマップ .......................................................................................................9-18

Server 指示語 ...........................................................................................................9-19

iTP_server.xml .........................................................................................................9-20

web.xml ....................................................................................................................9-21

Web アプリケーションの設定 .............................................................................................9-24

新しい Web アプリケーションの追加 ...................................................................9-25

既存のアプリケーションの WAR ファイルを配置する ......................................9-25

新しいアプリケーションを作成する .....................................................................9-25

サーブレットのコンパイル ....................................................................................9-25

サーブレットの配置 ...............................................................................................9-26

アプリケーションとサーブレットへの要求のマッピング ..................................9-27

クライアント・プログラミングに関する留意事項............................................................9-28

520627-001J

目　次

サーブレットの呼び出し ....................................................................................... 9-28

要求情報の受け渡し ............................................................................................... 9-28

応答情報の受信 ....................................................................................................... 9-29

サーブレット・プログラミングに関する留意事項 ........................................................... 9-29

サーブレットのプログラミング環境 .................................................................... 9-29

NSJ (NonStop Server for Java) ............................................................................... 9-29

その他の Java 環境 ................................................................................................. 9-30

サーブレットと NSJSP の例およびリファレンス ................................................ 9-30

サーブレット API の使用 ....................................................................................... 9-31

iTP Secure WebServer 環境でサーブレットを使用しやすくするクラス ............ 9-31

特定の CGI 環境変数値の取得 ............................................................................... 9-32

コンテキスト管理 ................................................................................................... 9-32

マルチスレッド－ Java スレッドの生成 .............................................................. 9-33

要求と応答のストリーム ....................................................................................... 9-33

セキュリティに関する留意事項 ............................................................................ 9-34

国際文字セットのサポート ................................................................................... 9-34

予約済みクッキー名 ............................................................................................... 9-34

JSP (JavaServer Pages).......................................................................................................... 9-34

モデル / ビュー / コントローラ (MVC) 設計 ........................................................ 9-35

JSP 構文の基本 ....................................................................................................... 9-37

JSP コードの例 ....................................................................................................... 9-38

HTML フォームの処理方法 ................................................................................... 9-38

フォームの作成方法 ............................................................................................... 9-39

ログとエラー条件................................................................................................................. 9-40

サーブレットのロギング ....................................................................................... 9-40

設定および状態情報 ............................................................................................... 9-40

例外メッセージのフォーマット ............................................................................ 9-40

エラー・メッセージ ............................................................................................... 9-41

T0094 から T1222 への移行 ................................................................................................ 9-42

Web アプリケーションのディレクトリ構造への変換 ......................................... 9-43

servlet.config ファイルの変更 ................................................................................ 9-43

web.xml ファイルでのパラメータの再設定 ......................................................... 9-43

web.xml ファイルの変更 ........................................................................................ 9-43

520627-001J xi

目　次

xi

iTP_serve.xml ファイルの変更 ...............................................................................9-44

予約済みクッキー名 ...............................................................................................9-44

サーブレット・バージョン 2.0 から 2.2 への変更点 ...........................................9-44

Servlet バージョン 2.1 から 2.2 への変更点 ..........................................................9-45

その他の変更点 .......................................................................................................9-45

第10章 RLS (リソース・ロケータ・サービス) の使用

RLS (リソース・ロケータ・サービス) アーキテクチャ....................................................10-1

RLS (リソース・ロケータ・サービス) の設定 ...................................................................10-2

サーバ・クラスの定義 ............................................................................................10-2

データベースの作成 ...............................................................................................10-3

データベースの変更 ...............................................................................................10-5

RLS (リソース・ロケータ・サービス) のビルドとインストール ....................................10-5

第 11 章匿名セッションに対するセッション識別子の管理

匿名チケット.........................................................................................................................11-1

追跡 ........................................................................................................................................11-2

チケットと追跡の例 .............................................................................................................11-2

匿名チケット対応の設定......................................................................................................11-4

セッション識別子の有効化 ....................................................................................11-4

詳細設定オプション ...............................................................................................11-6

チケットの利用方法 .............................................................................................11-10

セッション識別子を使用したレポート作成 .....................................................................11-14

匿名セッション用の Tcl 変数の使用 .................................................................................11-15

第 12 章ブラウザからの iTP Secure WebServer の管理

Administration Server アーキテクチャ ................................................................................12-2

Administration Server のインストール ................................................................................12-2

Administration Server の呼び出し ........................................................................................12-2

Administration Server の設定 ...............................................................................................12-3

admin サーバ・クラスの定義 .................................................................................12-3

admin httpd サーバ・クラスの定義 .......................................................................12-3

Administration Server 画面 ...................................................................................................12-4

i 520627-001J

目　次

Welcome (ようこそ) ............................................................................................... 12-4

Current Server Information (現在のサーバ情報) ................................................... 12-5

Server Control (サーバ制御) : Start (起動) ............................................................. 12-6

Server Control (サーバ制御) : Restart (再起動) ..................................................... 12-7

Server Control (サーバ制御) : Stop (停止) ............................................................. 12-8

View Configuration Files (設定ファイルの表示) .................................................. 12-8

Edit Configuration File (設定ファイルの編集) ...................................................... 12-9

View EMS Logs (EMS ログの表示) .................................................................... 12-10

View Server Logs (サーバ・ログの表示) ............................................................ 12-12

Search Configuration Files (設定ファイルの検索) .............................................. 12-13

OSS Command (OSS コマンド) ........................................................................... 12-14

付録 A 設定指示語

Accept..................................................................................................................................... A-3

AcceptSecureTransport .......................................................................................................... A-6

SCF TCP/IP 設定 ................................................................................................................. A-10

AccessLog ............................................................................................................................ A-14

Browser................................................................................................................................. A-15

CacheTime............................................................................................................................ A-16

DefaultType .......................................................................................................................... A-17

DNSCacheSize ..................................................................................................................... A-18

DNSExpiration ..................................................................................................................... A-19

EncodingType....................................................................................................................... A-20

ErrorLog ............................................................................................................................... A-21

ExtendedLog......................................................................................................................... A-22

Filemap ................................................................................................................................. A-23

FileStatsCheckTime.............................................................................................................. A-25

IndexFile............................................................................................................................... A-26

InputTimeout ........................................................................................................................ A-27

KeepAliveTimeout ............................................................................................................... A-28

KeepAliveMaxRequest......................................................................................................... A-29

KeyDatabase......................................................................................................................... A-30

LanguagePreference ............................................................................................................. A-31

520627-001J xiii

目　次

xi

LanguageSuffix.....................................................................................................................A-32

MaxFileCacheContentSize ...................................................................................................A-33

MaxFileCacheEntries............................................................................................................A-34

MaxRequestBody..................................................................................................................A-35

Message.................................................................................................................................A-36

MimeType.............................................................................................................................A-39

Negotiation............................................................................................................................A-40

OutputTimeout ......................................................................................................................A-42

Pathmon ................................................................................................................................A-43

PathwayMimeMap................................................................................................................A-46

PidFile ...................................................................................................................................A-47

PutScript................................................................................................................................A-48

Region ...................................................................................................................................A-49

RegionSet ..............................................................................................................................A-66

ReverseLookup .....................................................................................................................A-67

RMTServer ...........................................................................................................................A-68

ScriptTimeout .......................................................................................................................A-69

Server ....................................................................................................................................A-70

ServerAdmin .........................................................................................................................A-77

ServerPassword.....................................................................................................................A-78

ServerRoot ............................................................................................................................A-79

SI_Default .............................................................................................................................A-80

SI_Department ......................................................................................................................A-81

SI_Enable ..............................................................................................................................A-82

SK_CacheExpiration.............................................................................................................A-83

SK_CacheSize.......................................................................................................................A-84

SK_GlobalCache...................................................................................................................A-85

SK_GlobalCacheTimeout .....................................................................................................A-86

User .......................................................................................................................................A-87

UserDir..................................................................................................................................A-88

WidTimeOut .........................................................................................................................A-90

v 520627-001J

目　次

付録 B エラー・メッセージ

付録 C サーバ・ログ・ファイル形式

アクセス・ログ形式 ...............................................................................................................C-1

アクセス・ログ・エントリ形式 ..............................................................................C-1

例 ...............................................................................................................................C-3

エラー・ログ形式...................................................................................................................C-3

HTTP (HyperText Transfer Protocol) ステータス・コード ..................................................C-3

拡張ログ形式 ..........................................................................................................................C-5

拡張ログ・エントリ形式 .........................................................................................C-5

例 ...............................................................................................................................C-8

付録 D ユーザセキュリティの概念

オープン・ネットワーク・セキュリティ............................................................................ D-1

暗号化 ....................................................................................................................... D-1

認証 ........................................................................................................................... D-2

暗号技術 ................................................................................................................................. D-3

秘密鍵 ( 共通鍵 ) システム ...................................................................................... D-3

公開鍵システム ........................................................................................................ D-3

鍵の証明書の管理.................................................................................................................. D-5

証明書の使用 ........................................................................................................... D-5

証明書の取得 ........................................................................................................... D-6

SSL (Secure Sockets Layer) ................................................................................................... D-7

SSL の機能 ............................................................................................................... D-7

SSL 2.0 に基づく SSL 3.0 プロトコル拡張 ............................................................ D-7

SSL の実装 ............................................................................................................... D-8

PCT (Private Communications Technology) ......................................................................... D-8

SSL と PCT の比較 ................................................................................................................ D-9

設計目標 ................................................................................................................... D-9

相対的な利点 ........................................................................................................... D-9

520627-001J xv

目　次

xv

付録 E Tcl (Tool Command Language) の基本

Tcl の構文規則 ....................................................................................................................... E-1

Tcl コマンド ........................................................................................................................... E-3

スクリプト・コマンド .......................................................................................................... E-4

付録 F HTTP/1.1 の機能の一覧

用語解説

索引

i 520627-001J

更新情報

5

更新情報

マニュアル情報

概要

本書では、iTP Secure WebServer のインストール、設定、および管理について説明します。CGI (Common

Gateway Interface) アプリケーションと Java サーブレットの開発、およびそれらの iTP Secure WebServer 環

境への統合についても説明します。本書は、コンパック NonStop システム上で iTP Secure WebServer のイ

ンストール、設定、および管理を行う必要がある経験豊富なコンパック NonStop システム管理者やオペレー

タを対象としています。

製品バージョン

iTP Secure WebServer (リリース 6.0)

サポートするリリース

本書は、新版で特に示さない限り、D42、G03 およびそれ以降のすべてのリリースを対象とします。

Parallel Library TCP/IP を使用する場合は、G06.08 以降を実行する必要があります。

マニュアル番号

523346-001J

発行

2002 年 12 月

マニュアル履歴

マニュアル番号製品バージョン発行

142615 iTP Secure WebServer D42 (リリース 3.3) March 1999

422876-001 iTP Secure WebServer D42 (リリース 4.0) July 1999

425144-001 iTP Secure WebServer D42 (リリース 4.1) February 2000

427022-001 iTP Secure WebServer (リリース 5.0) December 2000

429506-001 iTP Secure WebServer (リリース 5.1) August 2001

522659-001 iTP Secure WebServer (リリース 5.1) November 2001

523346-001 iTP Secure WebServer (リリース 6.0) June 2002

23346-001J xvii

更新情報

xv

新規情報と変更内容リリース 6.0 では、iTP Secure WebServer はサーブレットを含まず、これらは個別の製品になっていま

す。Servlets 2.0 はもう iTP Secure WebServer の基本アプリケーションの一部ではないので、NonStop Servlets

for JavaServer Pages (NSJSP) をクリーン・インストールすることができます。これにより、古いバージョ

ンのサーブレットを含むWebServer上にNSJSPをインストールした場合に生じる可能性があるインストー

ルの競合を回避できます。

iTP Secure WebServer 6.0 への更新に伴うマニュアルの変更点は、次のとおりです。

□ 1-1 ページの「柔軟性に優れた暗号化と認証」に、「Secure HTTP は、SSL および HTTP の両方のプロ

トコルの同時使用に対応しています。」という文章が追加されました。

□ 1-2 ページの「iTP Secure WebServer でサポートされている機能と標準規格」に、「Secure HyperText

Transfer Protocol (Secure HTTP)」が追加されました。

□ 2-2 ページの「ソフトウェア要件とオプション・ソフトウェア」のリストが変更されました。

□ 第 2 章「iTP Secure WebServer のインストール」および第 9 章「NSJSP (NonStop Servlets for JavaServer

Pages) の使用」に、IPSetup の情報が追加されました。さらに、これらの章に記述されているインストー

ル手順が変更されました。

□ 第 2 章「iTP Secure WebServer のインストール」で、T1222 への参照が NSJSP に変更されました。

□ ボリューム名 ZOSSUTL が、第 2 章「iTP Secure WebServer のインストール」では ZWEB に、第 9 章

「NSJSP (NonStop Servlets for JavaServer Pages) の使用」では ZNSJSP に変更されました。

□ 第 4 章「安全なトランスポートのための設定」に Secure HTTP の情報が追加されました。

□ 7-54 ページの「WID の設定ファイル」に、「keyadmin によって使用される WID の設定ファイルでは、

設定パラメータの後に余分な空白文字をいれないでください。サンプル・ファイルのようにしてくだ

さい。」という警告が追加されました。

□ 8-27 ページの「Location ヘッダ」の下に、次の内容が追加されました。

RLS (リソース・ロケータ・サービス ) は、リモート・サーバから送信された Location ヘッダを変更し

ないでクライアント・サーバに渡します。つまり、RLS は、リモート・サーバから送信された Location

ヘッダを変更しない設計になっています。したがって、ユーザがリモートの Web サーバを次のどちら

かに設定する必要があります。

l リダイレクト先の場所に関するヘッダを送信しない。

l iTP Secure WebServerフロント・エンド・サーバのDNS名 (または IPアドレス )とポートを正しく参照

するリダイレクト先の場所を送信する。

iii 523346-001J

更新情報

5

□ 第 8 章「CGI (Common Gateway Interface) プログラムの使用」の数箇所に、「CGI 環境は、各 CGI_main

の呼び出しに基づいて変化します。環境変数にアクセスするには、CGI_initialize() を使用する必要があ

ります。」という内容が追加されました。次の箇所を参照してください。

l 設計指針 (8-33 ページ)

l Pathway CGI サーバ・クラス (8-3 ページの「警告」)

l CGI 環境変数の受け渡し (8-11 ページの「警告」)

l CGI プロシージャ (8-28 ページ )

□ 8-11 ページの表 8-1「環境変数」が変更され、iTP Secure WebServer の安全なバージョンと安全でない

バージョンの両方の環境変数がすべて含まれました。また、「SSL、セッション識別子、および Secure

HTTP の環境変数は、iTP Secure WebServer の安全なバージョンだけに適用されます。」という文章が

追加されました。

□ 9-18 ページの「servlet.config」の下に、「サーブレット・サーバ・クラスの複数のインスタンスを設定

したり管理したりすることはできません」という備考が追加されました。

□ 次の箇所で、JavaServer Pages (JSP) のインスタンスが NSJSP (NonStop Servlets for JavaServer Pages) の

インスタンスに変更されました。

l 本書について

l 第 9 章「NSJSP (NonStop Servlets for JavaServer Pages) の使用」

□ NSJSP の機能について説明している第 9 章「NSJSP (NonStop Servlets for JavaServer Pages) の使用」で、

NonStop Servlets for JavaServer Pages™ (NSJSP™) に商標 (™) 記号が付加されました。

□ 9-44 ページで、見出しが「Servlet バージョン 2.0 から 2.1 への変更点」から「サーブレット・バージョ

ン 2.0 から 2.2 への変更点」に変更されました。

□ 9-29 ページの「NSJ (NonStop Server for Java)」からバッチ・トランスレータ (AOT (アヘッド・オブ・

タイム) コンパイルとも呼ばれる) が削除されました。NonStop Java の開発チームがこの機能をサポー

トしなくなったからです。

23346-001J xix

更新情報

xx
523346-001J

本書について

5

本書について

本書では、iTP (Internet Transaction Processing) Secure WebServer のインストール、設定、および管理に

ついて説明します。安全性の低いバージョン (iTP WebServer) および輸出版と輸出禁止版の iTP Secure

WebServer を取り上げています。本書では便宜上、この 3 種類のバージョンすべてを iTP Secure WebServer

と呼びます。

本書では、iTP Secure WebServer 環境の概要と World Wide Web の概念を説明しています。具体的には、

iTP Secure WebServer のセットアップ、設定ファイルの作成と修正、および必要なプロセスの起動を行う

方法について解説します。また、iTP Secure WebServer 環境における CGI (Common Gateway Interface)、

NSJSP (NonStop Servlets for JavaServer Pages)、および Servlets 2.2 のサポートについても説明します。

備考：この製品では、Open Market 社の Secure WebServer テクノロジ、および RSA Data Security 社のセキュ

ア・ソフトウェア・テクノロジを採用しています。

ここで説明する内容は、次のとおりです。

□ 対象読者 (xxi ページ)

□ 本書の構成について (xxii ページ)

□ 関連マニュアル (xxiii ページ)

□ 参考文献 (xxvi ページ)

□ インターネット上のリファレンス情報 (xxvi ページ)

□ 表記規約 (xxvii ページ)

□ 略語 (xxxi ページ)

対象読者

『iTP Secure WebServer System 管理者ガイド』は、コンパック NonStop システム上で iTP Secure WebServer

のインストール、設定、管理を行う、経験豊富なコンパック NonStop システム管理者およびオペレータを

対象としています。

本書の読者の前提は、次のとおりです。

□ コンパック製品を使い慣れていること。特に、OSS (Open System Services) 環境および NonStop TS/MP

の PATHCOM インタフェースに精通していること。

□ World Wide Web を利用できること、およびそれに精通していること。

□ Common Gateway Interface (CGI/1.1) 標準および HyperText Transfer Protocol (HTTP/1.0) に精通してい

ること。

□ Java 言語および Java 関連ツールに精通していること (Java サーブレットを利用する場合)。

23346-001J xxi

本書について

xx

□ 設定スクリプトの記述とその利用に精通していること。

□ TCP/IP プロトコル・ファミリに精通していること。

□ ネットワーク・セキュリティと認証方法に精通していること。

さらに、セキュアなコンピューティング・システムの運用経験も必要です。ネットワーク・セキュリティ

の基本概念については、付録 D「ユーザセキュリティの概念」を参照してください。

コンパック NonStop システムについての詳細な情報を得るには、次のマニュアルを参照してください。

□『Introduction to the NonStop K100 and K1000/K2000』または『Introduction to the NonStop

K10000/K20000』(先頭文字が "D" であるオペレーティング・システム・リリース (例 : D43)

を使用する場合)

□『G-Series Highlights and Migration Planning Guide』( 先頭文字が "G" であるオペレーティング・システ

ム・リリース (例 : G04) を使用する場合)

本書の構成について

第 1 章「iTP Secure WebServer の概要」－ iTP Secure WebServer と、コンパック NonStop Kernel オペ

レーティング・システムおよびその他のコンパック・データ通信サブシステムとの関係について説明しま

す。

第 2 章「iTP Secure WebServer のインストール」－ iTP Secure WebServer のインストール手順、および

ソフトウェアとハードウェアの要件について説明します。

第 3 章「iTP Secure WebServer PATHMON 環境の計画」－ Pathway 環境の設定手順について説明します。

第 4 章「安全なトランスポートのための設定」－ iTP Secure WebServer 環境における SSL (Secure Sockets

Layer) の設定について説明します。

第 5 章「WISP (WebSafe2 Internet Security Processor) の統合」－ Atalla WebSafe2 ユニットを iTP Secure

WebServer 環境に統合する方法について説明します。

第 6 章「スクリプトを使用した iTP Secure WebServer の管理」－製品添付のスクリプトを使用して iTP

Secure WebServer を管理する方法について説明します。また、iTP Secure WebServer の管理に使用するコ

マンドである httpdについても説明します。

第 7 章「iTP Secure WebServer の設定」－ iTP Secure WebServer の設定手順について説明します。

第 8 章「CGI (Common Gateway Interface) プログラムの使用」－ iTP Secure WebServer で既存の CGI

(Common Gateway Interface) プログラムを使用する方法について説明します。また、従来の CGI よりもス

ケーラビリティとパフォーマンスに優れた CGI アプリケーションを開発する方法についても説明します。

第 9 章「NSJSP (NonStop Servlets for JavaServer Pages) の使用」－ NSJSP (NonStop Servlets for JavaServer

Pages) の開発方法、および iTP Secure WebServer での使用方法について説明します。

第 10 章「RLS (リソース・ロケータ・サービス) の使用」－ RLS を使用してWebサーバを複製する方法

について説明します。

ii 523346-001J

本書について

5

第 11 章「匿名セッションに対するセッション識別子の管理」－ iTP Secure WebServer のチケッティン

グ・サービスの使用方法について説明します。

第 12 章「ブラウザからの iTP Secure WebServer の管理」－ iTP Secure WebServer Administration Server

を使用して、設定の作成と修正、エラーなどのイベントのモニタ、iTP Secure WebServer 環境の起動と停

止、その他の管理作業の実行、の各処理を行う方法について説明します。

付録 A「設定指示語」－ iTP Secure WebServer 設定ファイル中で指定できる、各設定指示語および関連

するコマンドと引数の構文について説明します。

付録 B「エラー・メッセージ」－ iTP Secure WebServer のエラー通知に関する一般情報について説明し

ます。メッセージは、『iTP Secure WebServer Operator Messages Manual』に記載されています。

付録 C「サーバ・ログ・ファイル形式」－サーバが生成するログ・ファイルの書式について説明します。

付録 D「ユーザセキュリティの概念」－安全な Web サーバのセットアップおよび管理に関する基本概

念について説明します。

付録 E「Tcl (Tool Command Language) の基本」－ Tcl の基本概念および言語要素について説明します。

付録 F「HTTP/1.1 の機能の一覧」－ iTP Secure WebServer でサポートされている HTTP/1.1 の機能を示

します。

「略語」(章末) －本書で使用されている略語と頭字語について説明します。

「用語解説」－ Compaq iTP Secure WebServer に関する用語を定義します。

「索引」－本書中のすべての主要項目に関するリファレンスおよびクロス・リファレンスです。

関連マニュアル

『iTP Secure WebServer Operator Messages Manual』では、iTP Secure WebServer および関連製品のコン

ポーネントによって通知されるオペレータ・メッセージについて記載しています。このマニュアルは、iTP

Secure WebServer 環境の操作を監視したり制御したりするシステム管理者とオペレータを対象としていま

す。

次のマニュアルには、コンパック NonStop システム、または iTP Secure WebServer と組み合せて利用で

きるその他の製品のインストール、設定、および管理に関する追加情報が記載されています。

TCP/IP 関連マニュアル

TCP/IP サブシステムの管理に固有の情報については、次のマニュアルを参照してください。

□『TCP/IP 構成および管理マニュアル』－ Compaq TCP/IP サブシステムのインストール、設定、および

管理について、記載しています。対象読者は、システム管理者、オペレータ、および、Compaq TCP/IP

サブシステムの実装についての基本知識が必要な方です。

23346-001J xxiii

本書について

xx

□『TCP/IP (Parallel Library) 構成および管理マニュアル』－ Parallel Library TCP/IP サブシステムの設定

および管理方法について記載しています。このマニュアルは、システム上で Parallel Library TCP/IP を

設定する際に『TCP/IP (Parallel Library) マイグレーション・ガイド』とあわせて使用してください。

『TCP/IP (Parallel Library) マイグレーション・ガイド』には、設定に影響を及ぼす可能性のある、移行

に関する留意事項が記載されています。

□『TCP/IP & IPX/SPX プログラミング・マニュアル』(以前の題名は『Tandem NonStop TCP/IP and IPX/

SPX Programming Manual』) － Compaq TCP/IP データ通信ソフトウェアとのプログラミング・インタ

フェースについて記載しています。

OSS (Open System Services) 関連マニュアル

OSS 環境に固有の情報については、次のマニュアルを参照してください。

□『オープン・システム・サービスユーザーズ・ガイド』－ OSS 環境 (シェル、ファイル・システム、ユー

ザ・コマンド) について記載しています。

□『オープン・システム・サービスインストレーション・ガイド』－コンパック NonStop Kernel OSS 環

境のインストールおよび設定の方法について記載しています。

□『オープン・システム・サービス管理およびオペレーション・ガイド』－コンパック NonStop Kernel

OSS 環境の管理および運用の方法について記載しています。

NonStop Transaction Services/MP (NonStop TS/MP) 関連マニュアル

PATHMON 環境の管理に固有の情報については、次のマニュアルを参照してください。

□『TS/MP System Management Manual』－ PATHMON 環境の設定と管理に使用される、PATHCOM コマ

ンドおよび TACL コマンドについて記載しています。管理機能のガイドラインと、パフォーマンス

適化のための PATHMON 環境の監視・調整に関する情報も含まれます。さらに、問題の診断および修

正方法について記載しています。

□『TS/MP Management Programming Manual』－プログラムからの PATHMON の起動、設定、および管

理の方法について記載しています。エラーなどの事象をオペレータに通知するイベント・メッセージに

ついても記載しています。

WebSafe2 関連マニュアル

WebSafe2 の詳細については、次の Atalla のマニュアルを参照してください。

□『WebSafe2 Internet Security Processor Installation and Operations Manual』(輸出版)

□『WebSafe2 Internet Security Processor Installation and Operations Manual』(米国版)

iv 523346-001J

本書について

5

NonStop Java 関連マニュアル

Compaq NSJ (NonStop Server for Java) の特徴については、次のコンパックのマニュアルを参照してくだ

さい。

□『NonStop Server for Java (NSJ) プログラマーズ・ガイド』

次の JavaSoft のマニュアルも参照してください。

□『JavaSoft Java Development Kit 1.1.6』

□『JavaSoft Java Language Specification 1.1』

NSJ (NonStop Server for Java) と NonStop SQL/MP の併用を検討している場合は、新の NonStop SQL/

MP マニュアル・セットを参照してください。

iTP WebReporter 関連マニュアル

WebReporter については、『iTP Secure WebServer WebReporter User’s Guide』を参照してください。

その他の関連マニュアル

次のマニュアルには、コンパック NonStop システムに関する詳細情報が記載されています。

□『Introduction to the NonStop K100 and K1000/K2000』－NonStop K100、K1000、K2000

の各サーバについて記載しています。対象読者は、管理者、非技術者、および、このシステムの概要を

必要とする方です。

□『Introduction to the NonStop K10000/K20000』－ K10000 サーバおよび K20000 サーバについ

て記載しています。対象読者は、管理者、非技術者、および、このシステムの概要を必要とする方です。

□『G-Series Highlights and System Migration Guide』－ G シリーズ・システムでサポートされているハー

ドウェアとソフトウェアの概要および、G シリーズ・システムへの移行方法が記載されています。対象

読者は、管理者、あるいはインストール、設定、操作、システム管理、保守などの作業やアプリケー

ション、ネットワーク、データベース・ファイルなどの移行作業に G シリーズ・リリースへの移行ま

たはアップグレードがどのように影響するかを理解する必要がある方です。

□『NonStop S-series Planning and Configuration Guide』－NonStop S シリーズ・サーバの導入計画と設

定の方法、およびサンプル・システムを使用したケース・スタディについて記載しています。具体的に

は、ServerNet System Area Network (ServerNet SAN)、NonStop S シリーズ・サーバで利用可能なハー

ドウェアとソフトウェアの設定、サイトの導入計画と準備、運用環境の作成、および既存のサーバに対

するハードウェアとソフトウェア設定の変更について記載しています。対象読者は、特定のサイトにお

いて、サーバとソフトウェア環境のインストール、設定、および保守を計画する立場にある方です。

□『iTP Active Transaction Pages (iTP ATP) プログラマーズ・ガイド』－コンパック NonStop サーバのサー

バ・サイド JavaScript 環境である iTP ATP (iTP Active Transaction Pages) の使用方法について記載して

います。このマニュアルには、iTP ATP のインストール手順や既存の NonStop TS/MP、NonStop

TUXEDO、NonStop SQL/MP、ソケット・アプリケーションなどへの Web ベースのインタフェースを

提供する ATP オブジェクトの使用手順が含まれています。

23346-001J xxv

本書について

xx

参考文献

Web に関するテクノロジおよび利用上の問題については、次の文献が役立ちます。

□『DNS and BIND』Albitz, Paul、Liu, Cricket 共著、O’Reilly & Associates (カリフォルニア州セバストポ

ル) 刊、1998 年

DNS (Domain Name Server) の利用に関する、有益な情報を記載しています。

□『Firewalls and Internet Security: Repelling the Wily Hacker』Cheswick, William R、Bellovin, Steven M 共

著、Addison-Wesley (マサチューセッツ州レディング) 刊、1994 年

安全なインターネット・サイトの運用に関する、実用的な情報を記載しています。

□『Practical UNIX and Internet Security』Garfinkel, Simson、Spafford, Gene 共著、O’Reilly & Associates

(カリフォルニア州セバストポル) 刊、1996 年

安全な UNIX サイトの運用に関する、実用的な情報を記載しています。

□『TCP/IP Network Administration』Hunt, Craig 著、O’Reilly & Associates (カリフォルニア州セバストポ

ル) 刊、1998 年

TCP/IP ネットワークに接続された UNIX システムを管理する方に役立ちます。

□『Managing Internet Information Services』Liu, Cricket ほか著、O’Reilly & Associates (カリフォルニア州

セバストポル) 刊、1994 年

World Wide Web、Gopher、FTP、Finger、WAIS、電子メール・サービスなどを使用するための、イン

ターネット・サーバのセットアップ方法について、記載しています。

□『Tcl and the Tk Toolkit』Ousterhout, John K 著、Addison-Wesley (マサチューセッツ州レディング) 刊、

1994 年

Tcl 言語について詳しく記載しています。この本の著者は Tcl 言語の開発者です。

次の文献は、Java サーブレットのプログラミングと J2EE 環境に関する有用な情報源です。Java サーブ

レットと J2EE については、第 9 章「NSJSP (NonStop Servlets for JavaServer Pages) の使用」で説明されて

います。

□『Professional Java Server Programming (J2EE Edition)』Subrahmanyam Allamaraju 他著、Wrox Press Ltd.

刊、2000 年

インターネット上のリファレンス情報

役に立つ URL を次に示します。これらの情報は、インターネット上で標準的な Web クライアントから

入手できます。

□ 総合リファレンス

http://www.w3.org

□ HTTP (HyperText Transfer Protocol) 関連

http://www.ics.uci.edu/pub/ietf/http/

vi 523346-001J

本書について

5

□ CGI (Common Gateway Interface) 関連

http://hoohoo.ncsa.uiuc.edu/cgi/

http://www.stars.com/

□ ネットワークおよびファイアウォール・セキュリティ関連

http://www.nai.com/nai_labs/asp_set/network_security.asp

□ VeriSign 社のデジタル ID 関連

http://www.verisign.com/idcenter/new/idplus1.html

□ RFC (Request for Comments) 関連

http://www.cis.ohio-state.edu/cs/Service/rfc/index.html

□ Java サーブレット関連

http://java.sun.com/products/servlet/download.html

□ Web テクノロジを詳しく理解するために役立つ書籍については、xxvi ページの「参考文献」を参照し

てください。

表記規約

一般構文表記

本書で使用する構文表記規約の要約を次に説明します。

大文字

キーワードと予約語を示します。これらの項目は表記に従い正確に入力しなければなりません。大カッ

コで囲まれていない項目は必須です。

MAXATTACH

イタリック体 (斜体) の小文字

ユーザ指定の変数項目を示します。大カッコで囲まれていない項目は必須です。

file-name

コンピュータ・タイプ

テキスト内においてコンピュータ・タイプ文字で表記された項目は、C およびオープン・システム・サー

ビス (OSS) のキーワードまたは予約語であることを示します。これらの項目は表記に従い正確に入力しな

ければなりません。大カッコで囲まれていない項目は必須です。

myfile.c

23346-001J xxvii

本書について

xx

イタリック体 (斜体) のコンピュータ・タイプ

テキスト内においてイタリック体 (斜体) のコンピュータ・タイプ文字で表記された項目は、ユーザが値

を与える C およびオープン・システム・サービス (OSS) の変数であることを示します。カッコで囲まれて

いない項目は必須です。

pathname

[ ] 大カッコ

オプションの構文項目を囲みます。

TERM [\system-name.]$terminal-name

INT[ERRUPTS]

大カッコで囲んだ項目のリストは、そのリストから 1 つの項目を選択するか、何も選択しないことを意

味します。これらの列挙項目はリストの両側を大カッコで囲って縦方向に改行して並べるか、または、大

カッコ内に縦線 ("|") で区切って横に並べられます。

FC [ num ]

FC [ -num ]

FC [ text ]

K [ X | D ] address-1

{ } 中カッコ

中カッコで囲んだ項目のリストは、リストから 1 つの項目を選択する必要があることを意味します。こ

れらの列挙項目はリストの両側を中カッコで囲って縦方向に改行して並べるか、または、中カッコ内に縦

線 ("|") で区切って横に並べられます。

LISTOPENS PROCESS { $appl-mgr-name }

{ $process-name }

ALLOWSU { ON | OFF }

| 縦線

大カッコまたは中カッコで囲んだリスト内で水平に並べた項目を区切ります。

INSPECT { OFF | ON | SAVEABEND }

.... 省略記号

大カッコまたは中カッコの直後の省略記号は、カッコ内の構文項目の並びを任意の回数繰り返すことが

できることを示します。

M address [ , new-value ]...

[ - ] {0|1|2|3|4|5|6|7|8|9}...

viii 523346-001J

本書について

5

単一の構文項目の直後に省略記号が続く場合は、その構文項目を任意回数繰り返すことができることを

示します。

"s-char..."

区切り記号

小カッコ、カンマ、セミコロンおよびここまでに説明されていない記号は、表記どおりに入力する必要

があります。

error := NEXTFILENAME ( file-name ) ;

LISTOPENS SU $process-name.#su-name

大カッコや中カッコなどの記号が引用記号で囲まれている場合は、その記号が省略できず、表記どおり

に入力しなければならないことを示します。

"[" repetition-constant-list "]"

項目間のスペース

隣接する項目が小カッコやカンマなどの区切り記号である場合を除き、項目の間には必ずスペースが必

要です。

CALL STEPMOM ( process-id ) ;

2 つの項目間にスペースが無い場合は、そこにスペースを挿入してはなりません。次に示す例では、ピ

リオド記号とほかの項目間にスペースを入れることはできません。

$process-name.#su-name

複数行にまたがる場合

コマンドの構文が長すぎて 1 行に収まらない場合、後続の各行は 3 つのスペースでインデントし、空行

で区切ります。この空行は、後続の行内の項目と、垂直に並んだ選択リスト内の項目とを区別します。

ALTER [ / OUT file-spec / ] LINE

[ , attribute-spec ]...

メッセージ表記

ここでは、本書で表示されるメッセージの表記規約の要約を説明します。

太字のテキスト

例中の太字のテキストは、端末からのユーザ入力を示します。

ENTER RUN CODE

?123

CODE RECEIVED: 123.00

入力後に Return キーを押す必要があります。

23346-001J xxix

本書について

xx

非斜体のテキスト

非斜体の文字、数字、および区切り記号は、そのテキストが表記どおりに表示されるか、返されること

を示します。

Backup Up.

イタリック体 (斜体) の小文字

値が表示されるか返される変数項目を示します。

p-register

process-name

[ ] 大カッコ

状況によって表示されるが、常に表示されるとは限らない項目を囲みます。

Event number = number [ Subject = first-subject-value ]

大カッコで囲んだ項目のリストは、表示される可能性がある項目のリストです。リスト内の 1 つ項目が

実際に表示されるか、どの項目も表示されない場合があります。リスト内の項目については、各項目を大

カッコで囲んで垂直に並べるか、リストを大カッコで囲んで各項目を縦線で区切って水平に並べています。

proc-name trapped [ in SQL | in SQL file system ]

{ } 中カッコ

中カッコで囲んだ項目のリストは、表示される可能性がある項目のリストです。リスト内の 1 つの項目

が実際に表示されます。リスト内の項目については、各項目を中カッコで囲んで垂直に並べるか、リスト

を中カッコで囲んで各項目を縦線で区切って水平に並べています。

obj-type obj-name state changed to state, caused by

{ Object | Operator | Service }

process-name State changed from old-objstate to objstate

{ Operator Request. }{ Unknown.}

| 縦線

大カッコまたは中カッコで囲んだリスト内で水平に並べた項目を区切ります。たとえば、次のよう

に表記されます。

Transfer status: { OK | Failed }

x 523346-001J

本書について

5

% パーセント記号

10 進数以外の数字の前に示されています。8 進数の前には % を表記し、2 進数の前には %B を表記し、

16 進数の前には %H を表記しています。

%005400

%B101111%H2F

P=%p-register E=%e-register

管理プログラミング・インタフェースの表記

ここでは、本書のプログラム用コマンド、イベント・メッセージ、およびエラー・リストの表で使用さ

れている表記規約の要約について説明します。

大文字

定義ファイルの名前を示します。この項目は表記どおりに正確に入力します。

ZCOM-TKN-SUBJ-SERV

小文字

データ定義言語 (DDL) のキーワードなど、表記の一部である語を示します。

token-type

略語

本書で使用する略語と頭字語を、以下に定義します。業界標準の用語とコンパック固有の用語の両方が

含まれます。

AOT. Ahead Of Time

APKB. Atalla Public Key Block

AWT. Abstract Windows Toolkit

ARPA. Advanced Research Project Agency

ATP. Active Transaction Pages

BSD. Berkeley Software Distribution

C. Country

CA. Certificate Authority

CBC. Cipher Block Chaining

CCITT. Consultative Committee for International Telegraph and Telephone

23346-001J xxxi

本書について

xx

CGI. Common Gateway Interface

CN. Common Name

CRL. Certificate Revocation List

CWD. Current Working Directory

DES. Data Encryption Standard

DN. Distinguished Name

DNS. Domain Name Server

EMS. Event Management Service (Compaq)

FBA. Forms Based Administration

FTP. File Transfer Protocol

GIF. Graphics Interchange Format

GUI. Graphical User Interface

HTML. HyperText Markup Language

HTTP. HyperText Transfer Protocol

HTTPD. HyperText Transfer Protocol Daemon

IEEE. Institute of Electrical and Electronics Engineers

IEN. Internet Engineering Note

IP. Internet Protocol

JDBC. Java Data Base Connectivity

JDK. Java Development Kit

JIT. Just-In-Time (Java compiler)

JNI. Java Native Interface

JSP. JavaServer Pages

JVM. Java Virtual Machine

KEK. Key Exchange Key

L. Locality

LAN. local area network

MAC. Message Authentication Code

MD5. Message Digest

MFK. Master File Key

xii 523346-001J

本書について

5

MIME. Multiple Internet Mail Extensions

NCSA. National Center for Supercomputing Applications

NSJSP. NonStop Servlets for JavaServer Pages

O. Organization

OLTP. Online Transaction Processing

OSS. Open System Services

OU. Organizational Unit

PAID. Process Accessor ID

PCT. Private Communications Technology

PDF. Portable Document Format

PEM. Privacy Enhanced Message

PKS. Public Key Certificate Standard

PPP. Point to Point Protocol

QIO. Queued Input Output

RFC. Request for Comments

RLS. Resource Locator Service

RSA. Rivest, Shamir, and Adelman

SCF. Subsystem Control Facility

SCT. Secure Configuration Terminal

SGC. Server Gated Cryptography (Microsoft)

SGML. Standard Generalized Markup Language

SHA1. Secure Hash Algorithm

SI. Session Identifier

SLIP. Serial Line IP

SMTP. Simple Mail Transfer Protocol

SSC. Servlet Server Class for Java

SSI. Server Side Include

SSL. Secure Sockets Layer

ST. State

TACL. Tandem Advanced Command Language

23346-001J xxxiii

本書について

xx

TAL. Transaction Application Language

Tcl. Tool Command Language

Tcl/CGI. Tool Command Language/Common Gateway Interface

TCP/IP. Transmission Control Protocol/Internet Protocol

TS/MP. Transaction Services/Massively Parallel

URL. Uniform Resource Locator

WID. WebSafe2 Interface Driver

WISP. WebSafe2 Internet Security Processor

X.509. CCITT Recommendation for security service

xiv 523346-001J

第 1 章　iTP Secure WebServer の概要

5

第 1 章 iTP Secure WebServer の概要

iTP Secure WebServerは、Web上で商用または情報提供用のオンライン業務を実行するための幅広いサー

ビスを提供します。iTP Secure WebServer は、基本的な Web 関連サービス以外にも、重要なサービスを提

供します。たとえば、アクセス制御、拡張されたログ記録機能、カスタマイズ可能なエラー・メッセージ、

ディレクトリ索引付けの自動化などです。

この章では、次の内容について説明します。

□ iTP Secure WebServer でサポートされている機能と標準規格 (1-2 ページ)

□ iTP Secure WebServer のアーキテクチャ (1-5 ページ)

□ iTP Secure WebServer の暗号化 (1-10 ページ)

iTP Secure WebServer の基本的な特徴は、次のとおりです。

□ 高性能

iTP Secure WebServer は高性能なマルチスレッド・アーキテクチャを採用しているので、複数のクライ

アントが同時にアクセスしても、応答時間は長くなりません。持続型接続により、要求のたびに接続す

る場合に比べて、パフォーマンスを大幅に向上できます。

□ 数レベルのキャッシング

パフォーマンスを向上させるために、iTP Secure WebServer はアクセスするファイルをキャッシュに格

納します。ディスク・ファイルへのアクセスは、Web サーバでも一般的でコストの高い操作の 1 つ

です。したがって、これらのファイルをメモリ内に保持することで、CPU 使用率を大幅に下げて、全

体のパフォーマンスを向上させることができます。すでにキャッシュに格納されているファイル・オー

プンだけでなく、ファイル情報や実際のファイル内容もキャッシュに格納できます。

□ 柔軟性に優れた暗号化と認証

iTP Secure WebServer は、HTTP、SSL、PCT、および WebSafe2 ユニットにより提供されるハードウェ

ア・ベースの暗号技術に対応しています。Secure HTTP は、SSL および HTTP の両方のプロトコルの

同時使用に対応しています。これらのオプションを使用すれば、サーバ～クライアント間の交信におけ

るプライバシと整合性を保護する上で、柔軟性を大限に発揮できます。iTP Secure WebServer は、暗

号化機能とデジタル署名の両方を実装しています。

□ 柔軟性に優れたアクセス制御

iTP Secure WebServer に対するアクセスを制御する際、ホスト名、時刻、ユーザ名、ブラウザのタイプ

とバージョン、認証方式などの要素を利用できます。

□ 優れた可用性

iTP Secure WebServer は、Compaq NonStop TS/MP を使用して高可用性を実現しています。NonStop TS/

MP を使用すれば、サーバ・クラスとして同一プロセスの複数インスタンスを実行できます。NonStop

TS/MP の設定により、負荷が大きくなるにしたがって新しいプロセスを作成したり、障害状態になっ

たプロセスを再起動できます。

23346-001J 1-1


1-

□ 拡張性

CGI、Java Servlets、および JavaServer Pages に基づくアプリケーションを作成すれば、iTP Secure

WebServer 環境を強化できます。iTP Secure WebServer は、NonStop TS/MP の並列処理の利点を活かし

て従来のCGIアプリケーションおよび常設アプリケーションにも対応しています。これらのアプリケー

ションは、Java などの広く普及しているプログラミング言語で記述できます。姉妹製品 iTP Active

Transaction Pages (ATP) により、サーバ・サイド JavaScript を使用して、NonStop TS/MP (Pathway)、

NonStop SQL/MP、NonStop TUXEDO、TCP/IP ソケットなどのアプリケーションに対する Web ベース

のインタフェースを開発できます。

□ ログ記録機能の強化

iTP Secure WebServer では、拡張ログ形式 (ELF) も使用できます。ELF には、各要求のアクセス、エ

ラー、およびセキュリティ情報が含まれ、Web クライアント・タイプ、参照している URL、および要

求の開始時刻と終了時刻に関するフィールドもあります。フィールドにはラベルが付いているので、解

析および新規フィールドの追加が容易です。iTP Secure WebServer では、他の Web サーバで広く使用

されている一般ログ形式 (CLF) も使用できます。

iTP Secure WebServer は、PTrace ユーティリティには対応していません。

□ イベント通知機能の強化

iTP Secure WebServer および関連する多くの構成要素は、Compaq EMS (イベント管理サービス) にイベ

ントを通知します。このメッセージにより、iTP Secure WebServer サブシステム、PATHMON 名、お

よび発生したイベントの種類を識別できます。

□ RLS (リソース・ロケータ・サービス)

このサービスにより、同一の URL へのアクセスに使用できる、相互に交換可能な Web サーバを複数定

義できます。リクエスタは、どのサーバが要求を処理したかを知る必要がありません。

iTP Secure WebServer でサポートされている機能と標準規格

□ 標準規格への準拠

iTP Secure WebServer 3.0 は、以下の標準規格に完全に準拠しています。

l Common Gateway Interface (CGI/1.1)

l Java Servlets 2.2 および JavaServer Pages 1.1 API

l HyperText Transfer Protocol (HTTP/1.0 および HTTP/1.1 の必須の機能)

l Secure HyperText Transfer Protocol (Secure HTTP)

l Secure Sockets Layer (SSL 2.0 と SSL 3.0)

SSL 3.0 Secure Transport Protocol は、ユーザが指定した、暗号化と整合性チェックの組み合わせに

対応しています。Web サーバ管理者は、iTP Secure WebServer で使用するセキュリティ・アルゴリ

ズム (暗号化方式 (サイファ)) を指定できます。

l Microsoft PCT (Private Communications Technology) バージョン 1 プロトコル

2 523346-001J


5

iTP Secure WebServer の単一インスタンスが現在サポートしているプロトコル群は、HTTP、SSL、お

よび PCT です。

□ セッション・キーのキャッシュ機能

PCT、SSL 2.0、SSL 3.0 をはじめとする、すべてのセキュア・トランスポート・プロトコルが含まれて

います。

□ グローバルなセッション・キーのキャッシング

httpd サーバ・クラスのすべてのインスタンス間で SSL セッション・キーのキャッシュを共有できるよ

うにして、SSL の全体のパフォーマンスを向上させます。これによりキャッシュ・ヒットを大限に

し、NonStop プラットフォームとの SSL 接続を確立するのに必要な CPU およびネットワーク・リソー

スを小限に抑えることができます。

□ X.509 version 3.0 証明書

□ SSL 3.0 および PCT におけるクライアント認証

クライアント認証にサポートするため、SSL の要求処理を拡張し、また PCT の要求処理を追加してい

ます。サーバは、Web クライアントに対して認証を要求できます。また、Region コマンドまたは CGI

変数を使用すれば、クライアント認証情報に基づいてアクセスを制限できます。

□ CRL (Certificate Revocation List)

iTP Secure WebServer の CRL を使用すれば、指定された証明書に関連付けられた秘密鍵が破損または

消失した場合に、サーバはその証明書を取り消すことができます。

□ ダイジェスト・アクセス認証

セキュリティを強化するため、CRAM (Challenge/Response Authentication Mechanism) を用意していま

す。この方式を使用すると、ユーザのパスワードはネットワーク上を流れません。

□ VeriSign 社の Global Server ID

iTP Secure WebServer (米国国内仕様版 ) では、VeriSign 社の Global Server ID がサポートされているの

で、Step-Up または SGC (Server Gated Cryptography) 機能を提供するブラウザで 128 ビット SSL セッ

ションが有効になります。Global Server ID により web サイトの正当性が保証されます。iTP Secure

WebServer における VeriSign 社の Global Server ID の使用法の詳細については、4-5 ページの「VeriSign

社の Global Server ID を使用した国際的な 128 ビット SSL セッションのサポート」を参照してください。

また、iTP Secure WebServer は、Global Server ID などの 1024 ビットキー長の証明書のハードウェア・

サポートも提供しています。この機能は Atalla WebSafe2 Internet Security Processor (WISPS) で利用で

きます。

□ 証明書チェーン

iTP Secure WebServer では、SSL 3.0 プロトコルを使用して、クライアントとの間で証明書チェーンを

送受信できます。証明書チェーンを使用すれば、2 階層を超える証明書階層を設定できます。証明書

チェーンは、ハードウェア暗号化 (WebSafe2 ユニットの使用) またはソフトウェア暗号化のために iTP

Secure WebServer で使用できます。

23346-001J 1-3


1-

□ セッションの追跡と認証

iTP Secure WebServer は、ユーザ・セッションを追跡する技術である " チケッティング " に対応してい

ます。iTP Secure WebServer は、匿名チケットを発行します。

iTP WebReporter ログ分析ツールを使用して、ユーザ・アクセスのパターンを詳細に示すレポートを生

成できます。

□ 仮想ホスト

iTP Secure WebServer では、単一の iTP Secure WebServer インスタンス内で複数のドメインを使用でき

ます。また、宛先ドメイン名に基づいて、カスタマイズされたコンテンツを返せます。このような機能

にサポートするため、さまざまな設定指示語 (Accept など) および設定指示語オプション (Region など)

が用意されています。

□ クリッカブル・イメージ機能の組み込み

クリッカブル・イメージに対するイメージマップを作成できます。これにより、ユーザは簡単にほかの

ページへ移動できます。

□ イメージ・マップにおける NCSA (National Center for Supercomputing Applications) 形式

iTP Secure WebServer は、CERN 形式以外に、NCSA 形式のイメージ・マップ・ファイルにも対応して

います。また、NCSA 形式のイメージ・マップにおけるポイント指示語も使用できます。

□ バイト・レンジ・プロトコル

iTP Secure WebServer は、HTTP に対して提唱される Byte Range Retrieval Extension をサポートしてい

ます。これは、たとえば、Adobe Acrobat Reader バージョン 3.0 以降のユーザに対して、1 度に全ペー

ジではなく、1 ページずつ PDF (Adobe Portable Document Format) 文書を表示できるということです。

この方法により、高品質の PDF 文書を HTML 文書のように表示できます。

□ エンコーディング (圧縮) タイプ

この機能により、iTP Secure WebServer で、圧縮されたファイルに対する適切なエンコーディング・タ

イプを返すことができます。

□ 管理サーバ

iTP Secure WebServer Administration Server は、Web ブラウザ・インタフェースによる管理機能を提供

します。このインタフェースは、iTP Secure WebServer の設定の定義、iTP Secure WebServer の起動と

停止、およびエラーなど重大イベントの監視に使用されます。

□ PUT、OPTIONS、および TRACE の要求メソッド

ブラウザまたは Web クライアント (HTTP/1.1 を使用 ) は、PUT 要求メソッドを使用して、特定のロケー

ションでのコンテンツの置換または作成を行います。

ブラウザまたは Web クライアントは、OPTIONS 要求メソッドを使用して、リソースに関連付けられた

オプションや要件、あるいはサーバの機能を確定します。その際、そのために必ずしもリソースの取得

や処理は行われません。

ブラウザまたは Web クライアントは、TRACE メソッドを使用して、要求チェーンの後に受信され

るデータを参照します。そのデータは、テストや診断情報に使用されます。

4 523346-001J


5

□ 持続型接続

URL ごとに新たに TCP/IP 接続 (たとえば、埋込み画像を取得する新しい接続) を確立するのではなく、

iTP Secure WebServer では、関連する一連の要求に対して持続型接続を確立できます。そのために、接

続タイムアウトを設定したり大要求数を指定することができます。

□ チャンク転送エンコード

ブラウザまたは Web クライアントで要求の長さを予想できない場合は、データをチャンク (塊) で iTP

Secure WebServer に送信できます。iTP Secure WebServer では、チャンクから要求が組み立てられて、

処理されます。

iTP Secure WebServer は、チャンク転送エンコードをサポートしています。

□ コンテンツ・ネゴシエーション

ページが複数の表現で利用可能な場合 (たとえば、テキストが複数の言語で利用可能な場合、あるいは

ファイルがさまざまな文字セットや圧縮形式で利用可能な場合) は、iTP Secure WebServer では、各要

求で送信された情報または iTP Secure WebServer の設定で指定された情報に基づいて、表現が選択され

ます。

iTP Secure WebServer のアーキテクチャ

図 1-1 に示す主要なコンポーネントを、図に従って説明します。iTP Secure WebServer 環境で利用でき

るほかの製品については、1-9 ページの「iTP Secure WebServer 環境におけるその他の製品」を参照してく

ださい。

図 1-1 は、従来の TCP/IP 環境のアーキテクチャを示しています。

新しい Parallel Library TCP/IP 製品を使用する場合は、アーキテクチャ上の環境は少し変わります。iTP

WebServer を自動受信機能とともに実行する場合、ディストリビュータ・コンポーネントは不要になりま

す。httpd サーバがディストリビュータに代わってリスニング機能と配信機能を実行します。ディストリ

ビュータ・サーバ・クラスは、PATHWAY 環境から完全に削除されます。したがって必要なプロセス・

ホップがすべてなくなるので、パフォーマンスが著しく向上します。

23346-001J 1-5


1-

図 1-1　iTP Secure WebServer のアーキテクチャ

6 523346-001J


5

Web クライアント

ブラウザなどの Web クライアントは、iTP Secure WebServer などの Web サーバに対してグラフィカル・

ユーザ・インタフェース (GUI) を提供するプログラムです。

TCP/IP サブシステム

コンパック NonStop TCP/IP サブシステムを使用すれば、NonStop システム上のプロセスは TCP/IP プロ

トコルで通信できます。利用できる TCP/IP には 2 つのバージョンがあります。それは、従来の TCP/IP と

Parallel Library TCP/IP です。

従来の TCP/IP

本質的に、従来の TCP/IP では各ポートに 1 つのリスニング・プロセスがあります。従来の TCP/IP 接続

は、ディストリビュータ・プロセスによって管理されます。ディストリビュータ・プロセスは、NonStop

TS/MP Pathsend 機能を使用して、すべての新しい接続の要求を TCP/IP プロセスから受信し、それを iTP

Secure WebServer へ配信します。

Parallel Library TCP/IP

本質的に、Parallel Library TCP/IP では同じポート上に複数のリスナ・ソケットがあります。Parallel

Library TCP/IP を使用すると、サーバはその固有の CPU から通信環境に直接アクセスできるので、Compaq

TCP/IP プロセスを含む CPU 経由で通信する必要がありません。これは、TCP/IP プロシージャを含むシス

テム・ライブラリにリンクして、サーバが固有のコンテキスト内で TCP/IP 関連の処理を行う関数を呼び出

すことで行われます。

iTP WebServer を自動受信機能とともに実行する場合、ディストリビュータ・コンポーネントは不要に

なります。httpd サーバがディストリビュータに代わってリスニングおよび配信機能を実行します。ディス

トリビュータ・サーバ・クラスは、PATHWAY 環境から完全に削除されます。したがって必要なプロセ

ス・ホップがすべてなくなるので、パフォーマンスが著しく向上します。

iTP WebServer を実行するには、Parallel Library TCP/IP 環境を正しく設定する必要があります。設定ファ

イル httpd.config 内の Server CPUS コマンドで指定されたすべての CPU 上で、Parallel Library TCP/IP が実

行されるようにします。つまり、TCPMAN を正しく設定して実行する必要があります。すなわち、Server

CPUS コマンドで指定されたすべての CPU 上で TCPMON (監視プロセス) を実行します。

従来の TCP/IP サブシステムと違って、Parallel Library TCP/IP を使用すれば、iTP WebServer はこれら

の各 CPU 上にリスニング・ソケットを作成できます。各 CPU 上にリスニング・ソケットを作成すると、

httpd サーバ自体にリスニング機能が備えられます。したがって、Parallel Library TCP/IP を従来の TCP/IP

サブシステムと一緒に使用することは許されません。TCPSAM プロセスと従来の TCP/IP プロセスの両方

がトランスポート・サービス・プロバイダとして指定されると、自動受信機能が無効になります。この場

合、iTP Webserver は従来の TCP/IP の設定に基づいて実行されます。

iTP Secure WebServer httpd

iTP Secure WebServer httpd の主な機能は、次の 2 つです。

□ ファイル・サーバ機能：httpd プロセスは、HTML 文書などのファイルの転送と格納を行います。

23346-001J 1-7


1-

□ メッセージ交換機能：httpd プロセスは、Web クライアントからアプリケーション・プログラムへメッ

セージを転送します。

httpd プロセスは、NonStop TS/MP 中のサーバ・クラスとして実装されているので、複数の httpd プロセ

スの並列動作が可能です。プロセス数は、負荷の変化に応じて自動的に増減します。また、NonStop TS/

MP は、障害状態になったサーバ・プロセスを再起動できます。(iTP Secure WebServer は、PATHCOM の

AUTORESTARTパラメータのデフォルト値を使用します。)

PATHMON プロセス

PATHMON プロセスは、サーバ・クラスと他のオブジェクト・タイプから成る PATHMON 環境の一元

的な監視と管理を行います。PATHMON 環境に使用できるパラメータ (個々のサーバ・クラスの属性など)

を設定するために、PATHMON 設定ファイルを作成します。設定した後は、PATHCOM ユーティリティ

を使用すれば、設定を変更したり PATHMON プロセスから情報を取得することができます。

同一 NonStop システム上で、複数の PATHMON 環境を稼動できます。たとえば、iTP Secure WebServer

Administration Server には、その管理対象の iTP Secure WebServer 環境から独立した、専用の PATHMON

環境が設定されます。同一システム上に複数の iTP Secure WebServer 環境がある場合でも、Administration

Server 用の PATHMON 環境は 1 つあれば十分です。各 PATHMON 環境には、独立した一意な名前の

PATHMON プロセスがあります。

WID (WebSafe2 Interface Driver)

WID は、WebSafe2 ユニットを利用してハードウェアによる暗号化を行う場合に必要です。

ATP (Active Transaction Pages)

ATP (Active Transaction Pages) は、コンパック NonStop システムのサーバ・サイド JavaScript 環境を提

供します。ATP オブジェクトを使用すれば、既存の NonStop TS/MP、NonStop TUXEDO、NonStop SQL/

MP、ソケット・アプリケーションなどに対する Web ベースのインタフェースを提供できます。

詳細については、『iTP Active Transaction Pages (iTP ATP) プログラマーズ・ガイド』を参照してください。

備考： iTP Secure WebServer は、Microsoft 社の ASP (Active Server Pages) または ADO (Activex Date Objects)に対応していません。

Pathway CGI サーバ

Pathway CGI 拡張機能は、CGI アプリケーションを NonStop TS/MP サーバ・クラスとして作成したり、

既存の NonStop TS/MP アプリケーションを iTP Secure WebServer 環境に統合したりするユーティリティ・

プロシージャです。

8 523346-001J


5

汎用 CGI (Common Gateway Interface) サーバ

CGI は、Web サーバとのインタフェースをとるアプリケーションの標準です。CGI アプリケーションは、

Perl、C、Kornシェルなど各種のコンピュータ言語(またはスクリプト)で記述できます。iTP Secure WebServer

は、NCSA CGI/1.1 に完全に準拠した汎用 CGI インタフェースを備えています。詳細については、第 8 章

「CGI (Common Gateway Interface) プログラムの使用」を参照してください。

SSC (サーブレット・サーバ・クラス)

Web コンテナとしても知られている SSC (サーブレット・サーバ・クラス ) を使用すると、CGI アプリ

ケーションを Java サーブレットとして記述できます。サーブレットは、SCC プロセスで実行されます。

NonStop TS/MP 上で動作するので、拡張性がありかつ持続的です。

RLS (リソース・ロケータ・サービス)

RLS により、Web サーバを複製できます。複製されたサーバは相互に交換可能かつ透過的であり、同じ

コンテンツとサービスにアクセスできます。これらの Web サーバは、同じプラットフォーム上でも異なる

プラットフォーム上でも動作します。RLS は、要求に応じる上でもパフォーマンスの良いサーバを選択

します。

iTP Secure WebServer Admin httpd

Admin httpd プロセスは、Web クライアントと iTP Secure WebServer Administration Server との間のイン

タフェースをとります。このプロセスは、iTP Secure WebServer の httpd と同じプログラムですが、iTP

Secure WebServer Administration PATHMON 環境で動作します。

Administration Server

Administration Server により、Web クライアントから各種の設定の実行および変更ができます。さらに、

iTP Secure WebServer 環境を制御したり監視できます。

iTP Secure WebServer 環境におけるその他の製品

ここまでで説明した構成要素以外にも、iTP Secure WebServer 環境で利用できる製品があります。

□ iTP Search Engine を使用すると、ASCII ファイルおよび PDF ファイルの集まりを定義できます。また、

スクリプト言語を使用して、高度な検索を実行できます。

□ WebReporter を使用すると、日常行っている Web サーバの監視、チューニング、トラブルシューティ

ングの一環として、ログ情報を分析できます。

23346-001J 1-9


1-

iTP Secure WebServer の暗号化

iTP Secure WebServer では、次の 3 種類の暗号化機能を利用できます。

□ SSL (Secure Socket Layer) による暗号化

□ PCT (Private Communications Technology) による暗号化

□ WebSafe2 による暗号化

SSL (Secure Sockets Layer) と PCT (Private Communications Technology) による暗号化

iTP Secure WebServer は、SSL 3.0 と PCT の各標準に準拠しており、SSL と PCT の暗号化機能が組み込

まれています。これらの暗号化機能を使用する場合、ほかにソフトウェアやハードウェアを揃える必要は

ありません。

SSL と PCT の各プロトコルにより、Web クライアントとサーバは相互に認証できます。また、両方の

パートナーが、単一のセッションに使用されその後破棄される秘密暗号鍵を使用して、交換データを保護

できます。クライアントまたはサーバを認証するには、許可された CA (認証機関) から取得した証明書を

示すだけで済みます。

SSL または PCT の暗号化機能を使用するには、サーバに対するキー・ペアを生成し、CA から証明書を

取得し、その証明書をインストールし、設定の変更を行います。具体的な方法については、4-6 ページの

「keyadmin ユーティリティによるキーと証明書の管理」で説明します。

WebSafe2 による暗号化

iTP Secure WebServer は、WebSafe2 による暗号化を提供するように設定できます。WebSafe2 ユニット

を使用する場合、Web クライアントとサーバは SSL プロトコルに従って通信しますが、サーバは複雑な解

読作業を WebSafe2 ユニットに渡します。

WebSafe2 ユニットは、次の理由により、サーバの暗号化情報に対して大限のセキュリティを実現しま

す。

□ WebSafe2 ユニットは、WebSafe2 ユニット本体にのみ格納されているキーを使用して、サーバの暗号

キーを暗号化します。

□ ネットワーク接続を利用して、WebSafe2 ユニットのコンテンツにアクセスしたり、WebSafe2 ユニッ

トを制御することはできません。

WebSafe2 ユニットはセンサを備えており、不正干渉や、温度と電圧における危険性の高い変動を検出し

ます。

iTP Secure WebServer には、WebSafe2 ユニットを使用するために必要なソフトウェアが同梱されていま

す。WebSafe2 ユニットを使用するには、この追加ソフトウェアを解凍して、設定変更を行い、サーバに対

するキー・ペアを生成します。そして、CA から証明書を新規に取得し、その証明書をインストールしま

す。この項目の詳細については、第 5 章「WISP (WebSafe2 Internet Security Processor) の統合」を参照し

てください。

10 523346-001J

第 2 章　iTP Secure WebServer のインストール

5

第 2 章 iTP Secure WebServer のインストール

この章では、iTP Secure WebServer を実行するにあたりコンパック NonStop システム側で準備する内容、

および iTP Secure WebServer のインストールと設定の方法について説明します。また、設定内容の確認お

よびサーバ・テストの実行の手順も説明します。

説明する項目は次のとおりです。

□ iTP Secure WebServer のシステム要件 (2-1 ページ)

□ iTP Secure WebServer を実行するためのシステムの準備 (2-3 ページ)

□ EMS (イベント管理サービス) テンプレートのインストール (2-5 ページ)

□ iTP Secure WebServer のインストールと設定 (2-6 ページ)

□ 設定の確認 (2-12 ページ)

□ 90 日間有効なテスト証明書 (2-12 ページ)

□ Administration Server と iTP Secure WebServer のテストの開始 (2-13 ページ)

□ SSL または PCT の暗号化方式を使用する場合 (2-13 ページ)

□ WebSafe2 の暗号化方式を使用する場合 (2-13 ページ)

□ 安全でないバージョンを使用している場合 (2-13 ページ)

iTP Secure WebServer のシステム要件

iTP Secure WebServer は、各種のコンパック NonStop システム上で動作します。また、標準のコンパッ

ク・サブシステムおよび LAN (ローカル・エリア・ネットワーク) コントローラは、iTP Secure WebServer

に対応しています。

サポートされるコンパック NonStop システム

iTP Secure WebServer は、次の NonStop システムに対応しています。

□ NonStop K シリーズ

□ NonStop S シリーズ

□ CLX/R シリーズ

□ OSS をサポートするすべてのシステム

23346-001J 2-1


2-

ソフトウェア要件とオプション・ソフトウェア

iTP Secure WebServer を使用する場合、次のコンパック・ソフトウェア製品が必要です。

□ NonStop オペレーティング・システムのバージョン D42 以降または G03 以降。NonStop オペレーティ

ング・システムのインストールについては、『Install User’s Guide』または『DSM/SCM ユーザーズ・ガ

イド』を参照してください。

□ OSS (Open System Services) ファイル・システムの D40 以降。OSS 環境の作成については、『オープン・

システム・サービス・インストレーションガイド』を参照してください。

□ ソケット・ライブラリと SCF (サブシステム制御ファシリティ) を含む TCP/IP の D40 以降または G06

以降。iTP Secure WebServer とコンパック NonStop システムの両方の IP アドレスをユーザの LAN の

DNS (ドメイン・ネーム・サーバ) に登録する必要があります。

TCP/IP と DNS のインストールおよび設定については、『TCP/IP Configuration and Management Manual』

を参照してください。

Parallel Library TCP/IP のインストールおよび設定については、『TCP/IP (Parallel Library) 構成および管

理マニュアル』を参照してください。

□ PATHMON および Pathsend の機能を備えた NonStop TS/MP サブシステムの D40 以降。TS/MP サブシ

ステムのインストールと設定については、『TS/MP System Management Manual』を参照してください。

□ NonStop SQL/MP の D42 以降。TSQLEXE、TSQLCAT、TSQLUTI、TSQLFIL、および TSQLMSG な

どが含まれています。この製品が必要になるのは、RLS (リソース・ロケータ・サービス) を利用する場

合だけです。

次のソフトウェア製品は、iTP Secure WebServer を使用する場合のオプションです。

□ NSJ (NonStop Server for Java) 2.0。iTP Secure WebServer 環境で Java サーブレットを使用する場合に必

要です。NSJ (NonStop Server for Java) 2.0 については、『NonStop Server for Java (NSJ) プログラマーズ・

ガイド』を参照してください。

□ NSJSP (NonStop Servlets for JavaServer Pages) の V10 以降。iTP Secure WebServer 環境で Java サーブ

レットを使用する場合に必要です。NSJSP については、第 9 章「NSJSP (NonStop Servlets for JavaServer

Pages) の使用」を参照してください。

□ NonStop Tuxedo。ATP (Active Transaction Pages) を使用して IEEE 浮動小数点のサポートを使用しない

場合に必要です。ATP についての詳細は、『iTP ATP プログラマーズ・ガイド』を参照してください。

□ WebSafe2 Interface Driver (WID)。WID は、WISP と iTP Secure WebServer との間のインタフェースを

提供します。WID は NonStop TS/MP サーバ・クラスなので、iTP Secure WebServer PATHMON 環境、

または同じ NonStop システム上の別の PATHMON 環境で実行できます。詳細は、2-11 ページの「WISP

のインストール」および 5-3 ページの「WID (WebSafe2 Interface Driver)」を参照してください。

コンパック製品のほかに、Netscape Navigator、Microsoft Internet Explorer などの Web クライアントが必

要です。安全なモードでサーバを稼動させる場合は、安全なモードでブラウザを使用する必要があります。

2 523346-001J


5

ハードウェア要件

NonStop サーバのハードウェア要件は、次のとおりです。

□NonStop K シリーズ・サーバの場合、3615 Ethernet コントローラまたは 3616 Token Ring コントローラ。

3615 Ethernetコントローラまたは3616 Token Ringコントローラのインストールについては、『Configuring

Controllers for NonStop Systems』を参照してください。

□NonStop S シリーズ・サーバの場合、E4SA アダプタ、GESA アダプタ、または TRSA アダプタ。

E4SA のインストールについては、『Ethernet Adapter Installation and Support Guide』を参照してくださ

い。TRSA のインストールについては、『Token-Ring Installation and Support Guide』を参照してくださ

い。GESA のインストールについては、『Gigabit Ethernet Adapter Installation and Support Guide』を参

照してください。

iTP Secure WebServer を実行するためのシステムの準備

ここでは、iTP Secure WebServer を実行するにあたって、NonStop システムを準備する手順を説明しま

す。iTP Secure WebServer は、TCP/IP プロセス $ZTC0 上で動作するようセットアップされます。$ZTC0

は、インストール時に設定されるポートを使用します。1 つの iTP Secure WebServer 環境で複数の TCP/IP

プロセスを使用できます。

1. OSS 環境がアクティブであることを確認します。STATUS コマンドを使用して、OSS ファイル・マネー

ジャ・プロセス $ZFMnnと OSS パイプ・サーバ・プロセス $ZPPnn (nnはプロセッサ番号) が各プロ

セッサ上で動作しているか確認します。

2. TCP/IP サブシステムが動作していることを確認します。SCF を使用して、ホスト名とホスト ID が指定

されていることを確認します。詳細については、『TCP/IP Configuration and Management Manual』を参


3. iTP WebServer 操作で Parallel Library TCP/IP を使用する場合は、次の説明を読んでください。

iTP Secure WebServer を実行するには、Parallel Library TCP/IP 環境を正しく設定する必要があります。

設定ファイル httpd.config 内の Server CPUS コマンドで指定されたすべての CPU 上で、Parallel Library

TCP/IP が実行されるようにします。つまり、TCPMAN を正しく設定して実行する必要があります。す

なわち、Server の CPUS コマンドで指定されたすべての CPU 上で TCPMON (監視プロセス) を実行し

ます。スタートアップの設定段階で、iTP Secure WebServer はこれらのプロセスが存在するか確認しま

す。さらに、少なくとも 1 つの TCPSAM (TCP ソケット・アクセス・ポイント) プロセスが実行されて

いる必要があります。これらのプロセスのすべてが実行されていなければ、自動受信機能は使用できま

せん。この場合、iTP Secure WebServer は従来の TCP/IP を使用して実行されます。

Parallel Library TCP/IP の設定については、『TCP/IP (Parallel Library) 構成および管理マニュアル』を参


このマニュアルは、特に LAN アダプタを設定する際に重要です。SAC (ServerNet Addressable Controller)

のアクセス・リストには、httpd サーバを実行するように設計されたすべての CPU をインクルードする

必要があります。これは更新情報ではありませんが、このリストには以前よりも多くの CPU をインク

ルードすることが必要になっているので、必ず設定を二重チェックしてください。従来の TCP/IP では、

TCP/IP プロセスは通常は 2 つの CPU、つまりプライマリ CPU とバックアップ CPU 上で動作します。

23346-001J 2-3


2-

Parallel Library TCP/IP を使用する場合、たとえばアプリケーションが他の 14 個の CPU 上で実行され

ている場合は、そのすべての CPU が Parallel Library TCP/IP に対応していてアクセス・リストに含まれ

ている必要があります。

Parallel Library TCP/IP に対応するということは、その CPU 上で TCPMON プロセスが実行されていな

ければならないということです。httpd サーバを正しく機能させるには、これらのプロセスがすべて正

しく実行されている必要があります。httpd プロセスを実行しようとしている CPU 上で TCPMON プロ

セスが実行されていない場合は、ソケット・エラーが報告されます。httpd サーバは、失敗してもバイ

ンド要求を再試行するように設計されています。バインドが何度も失敗する場合は、CPU が Parallel

Library TCP/IP に対応していない可能性があります。

□ 1 つの TCPSAM プロセスを使用する

システム内の任意の 2 つの CPU 上で、1 つの TCPSAM プロセス・ペアが実行されていることを確

認します。2 つ以上の IP アドレスを使用している場合でも、TCPSAM プロセス・ペアは 1 つだけ

使用してください。従来の TCP/IP プロセスとは違って、1 つの TCPSAM プロセスで Parallel Library

TCP/IP 環境に設定されているすべての IP アドレスにソケット・インタフェースを提供できます。2

つ以上の TCPSAM プロセスを使用すると、2 つの httpd サーバが同じポートにアクセスしようとす

るため、EADDRINUSE というソケット・エラーが発生する場合があります。

□ スタティック・サーバを使用する

スタティック・サーバは必要な数だけ実行してください。これも更新情報ではありません。ダイナ

ミック・サーバの生成はコスト高であり、特にダイナミック・サーバの生成を待機している要求の

応答時間に深刻な影響を及ぼします。さらに、ダイナミック・サーバは Deletedelay の設定が作用す

るときに 1 つまたは 2 つの接続を切断してしまう可能性があります。httpd サーバはすべて高いプロ

セス ID 番号 (HIGH PIN) のプロセスで動作するように設計されているので、スタートアップ時に

もっと多くのサーバを生成してもリソースの問題が生じることはありません。

□ Tandem_Receive_Depth に大きい値を指定する

値の範囲は 1 ～ 255、デフォルトは 50 です。より大きい値を指定すると、余分な Pathsend とソケッ

ト移動を回避できます。接続要求が元のリスニング・エージェントと異なる CPU 上で動作している

サーバに送信されると、ソケット移動が発生し、パフォーマンスが低下します。大きい値を指定す

ることで、ダイナミック・サーバの生成も回避できます。すでに多数の httpd サーバが実行されて

いる CPU 上でさらに httpd サーバを生成しても、負荷の分散にもパフォーマンスの向上にも役立ち

ません。負荷の分散は、アダプタ・レベルでラウンドロビン・フィルタを使用して処理されるよう

になりました。したがって、プロセスを追加すると、CPU のディスパッチ・コストがさらにかかっ

てしまう場合があります。

□ すべての Accept 指示語で -address コマンドを指定する

すべての Accept 指示語で -address コマンドを使用してください。従来の TCP/IP プロセスとは違っ

て、TCPSAM により、httpd サーバは Parallel Library TCP/IP 環境に設定されているすべてのサブ

ネットとインタフェース接続できます。Accept 指示語での「すべての IP アドレス」とは、文字ど

おりシステム全体に定義されているすべての IP アドレスです。これはユーザの予想を超える場合が

あります。

4 523346-001J


5

□ CPU にサーバを再分散させる

CPU がダウンすると、PATHMON はサーバ属性 NUMSTATIC に指定されたスタティック・サーバ

の数を維持するために、他の CPU 上の多数のスタティック・サーバを再起動しようとします。CPU

が再ロードされても、PATHMON は自動的には CPU にサーバを再分散しません。広範囲にわたる

再ロードが行われると、手動の再分散が必要になる場合があります。つまり、単純に 1 つまたは 2

つのサーバを停止したり、または、iTP WebServer を完全に再起動します。この動作も PATHWAY

システムにとって更新情報ではありませんが、アプリケーションからトランスポートに至るまです

べてが単一の CPU 内で垂直配置されているときは、明らかにこの操作が必要になります。

□ Restarth はもう使用できない

新しい製品のアーキテクチャでは、着信接続要求と httpd サーバ間のバッファ・ゾーンとして機能

するディストリビュータを使用しないので、新しいサーバはそれよりも前の httpd サーバが操作を

中止しなければ、ローカル・ポートにうまくバインドできません。したがって、Parallel Library TCP/

IP を使用する場合は、-restarth オプションはサポートされません。

4. ネットワーク上で DNS (ドメイン・ネーム・サーバ) が動作していない場合、DNS を設定して実行しま

す。TCP/IP 起動時に DNS を起動します。即座に起動できるように、ホスト名を完全に修飾し、DNS

エントリに一致させます。ホストIDは、ホスト名に対して定義されたIPアドレスを使用して設定します。

5. DNS を設定する際、ファイル $SYSTEM.ZTCPIP.RESCONF を修正し、使用している DNS ネーム・

サーバを指すようにします。DNS の起動については、『TCP/IP Configuration and Management Manual』


6. セキュリティ上の理由から、OSS 環境用に設定された Super ID (super.webmastr など) を追加し、ソフ

トウェアのインストール時には super.super ではなくこの Super ID を使用する必要があります。

7. 新規に作成した Super ID にログオンしてから、iTP Secure WebServer ソフトウェアをインストールし

ます。

TACL> LOGON super.webmastr

EMS (イベント管理サービス) テンプレートのインストール

iTP Secure WebServer をインストールする前に、EMS テンプレートをインストールします。テンプレー

トをインストールすると、iTP Secure WebServer が通知する各イベントは EMS 中に表示され、またログに

記録されます。その際、サブシステム識別子である TANDEM.WEBSERV. version、およびエラーなど

の事象を識別するイベント番号が付加されます。詳細および例については、「付録 B エラー・メッセージ」


EMS テンプレートをインストールしない場合、iTP Secure WebServer が通知するイベント・メッセージ

は、OSS によって生成されたかのように表示されます。各メッセージには、サブシステム識別子である

TANDEM.OSS.version、および重大度を表すイベント番号が付加されます。

iTP Secure WebServer のパックス・ファイルを解凍 (2-6 ページの「iTP Secure WebServer のインストー

ルと設定」で説明) した後に次の手順を実行します。

新しい EMS テンプレートのインストールは、次の手順で行います。

23346-001J 2-5


2-

1. super.super でログオンします。

TACL> logon super.super

2. $system.zweb.newres と $system.zweb.newnres の両ファイルの名前を変更します (例 : newres1 および

newnres1 に変更)。

3. NonStop K シリーズ・サーバを使用している場合は、次のコマンドを含む Compaq COUP (設定ユー

ティリティ・プログラム) を実行します。

ASSUME ALLPROCESSORS

ALTER EMS^TEMPLATES (RESIDENT newres1, NONRESIDENT newnres1)

NonStop S シリーズ・サーバを使用している場合は、次のコマンドを含む SCF (サブシステム制御ファ

シリティ) を実行します。

ALTER SUBSYS $zzkrn, NONRESIDENT_TEMPLATES newnres1

ALTER SUBSYS $zzkrn, RESIDENT_TEMPLATES newres1

4. テンプレート・スクリプトを実行し、新しいバージョンの newres および newnres を作成します。

5. 次のように install.EMS スクリプトを実行します。このスクリプトは、/usr/tandem/webserver/admin/conf

ディレクトリにあります。

: cd /usr/tandem/webserver/admin/conf

: ./install.EMS

install.EMS スクリプトは、適切な NonStop ディレクトリにテンプレート・ファイルを移動し、システ

ム・テンプレートとマージします。install.EMS を正しく機能させるには、Guardian CTOEDIT プログラ

ム (T8373 C ランタイム・ライブラリの一部) が必要です。

EMS テンプレートのインストールには、完了まで大 5 分かかる場合があります。

install.EMS スクリプトは、エラーと警告の数を表示し、エラーが発生すると終了します。エラーが発

生した場合は、LWEBDDL、LWEBTMPL、LTEMPLI、および LCOUP の各ファイルを確認すれば、詳

細情報がわかります。

テンプレートのインストール時に iTP Secure WebServer がすでに動作している場合、イベント・メッ

セージの表示は即時に変更されます。サーバを再起動する必要はありません。

iTP Secure WebServer のインストールと設定

iTP Secure WebServer をインストールする際、次のツールも併せてインストールされます。

□ iTP Secure WebServer Administration Server －このツールは、次の後工程で使用します。

l 設定ファイルの修正

l サーバ環境の起動、再起動、および停止

l イベント・メッセージの表示

6 523346-001J


5

□ セキュア・トランスポート・プロトコル

□ WISP (WebSafe2 Internet Security Processor) －そのデバイスに対する設定ファイルが存在する場合にイ

ンストールします。

□ RLS (リソース・ロケータ・サービス) －ファイル rmt.pway を前もって作成してある場合にインストー

ルします。

次の手順で、iTP Secure WebServer をインストールし、テストに使用する基本的な設定を用意します。後

から設定ファイルを個別に変更できますが、前述した準備がすべて完了していれば、基本的な設定をする

だけで、サーバの起動およびテストが可能です。

ソフトウェアのインストール手順は、その製品の配布メディアによって異なります。CD でソフトウェ

アを受け取った場合は、Readme.txtファイルを確認してください。また、製品のインストール前にSOFTDOC

を確認してください。下記のインストール手順は本書の発行時点では正確ですが、本書のコンテンツより

も Readme.txt ファイルまたは SOFTDOC のコンテンツが優先されます。

インストールの前に

□ 製品CDの readmeファイルを読み、システムにインストールされている製品またはこれからインストー

ルする製品がすべて正しいバージョンであるか確認します。

□ 自分のサイトが製品 CD の『IPSetup User’s Guide』に記載されている小限のハードウェアおよびソフ

トウェア要件を満たしていることを確認します。

□ iTP Secure WebServer をインストールするディレクトリ・パスを確認します。デフォルトのインストー

ル・ディレクトリは /usr/tandem/webserver/ です。

□ IPSetup プログラムを初めて使用する場合は、製品 CD の『IPSetup User’s Guide』にこのインストール・

ユーティリティに関する説明が記載されているので参考にしてください。このマニュアルのファイル名

は USRGUIDE.PDF です。

□ iTP Secure WebServer を古いバージョンからアップグレードする場合は、まず iTP Secure WebServer を

前回インストールしたときと同じユーザ ID でログオンする必要があります。それから 2-9 ページの

「セットアップ・スクリプトの実行」に従って ./setup を実行します。

インストールの開始

インストール・プログラム ./setup は、korn シェル・スクリプトです。このセットアップ・プログラム内

のすべてのオプションにはデフォルト値が用意されています。インストール中にデフォルト値をそのまま

利用するには Enter キーを押します。

iTP Secure WebServer は次のどちらかの方法でインストールできます。

□ IPSetup プログラムを実行する (2-8 ページ)

□ 配布メディアから iTP Secure WebServer ソフトウェアをコピーする (2-8 ページ)

23346-001J 2-7


2-

IPSetup プログラムを実行する

1. CD ドライブをダブルクリックして製品 CD を開きます。

2. ［View Readme file］ボタンをクリックします。NotePad (メモ帳)で readmeファイルが開かれます。readme

ファイル全体を読んでから次に進んでください。

3. ［IPSetup］ボタンをクリックして IPSetup を起動します。すると Welcom (ようこそ ) 画面と License

Agreement (使用許諾書) 画面が表示されます。インストールを続けるには、各画面で［Next］をクリッ

クします。

4. Placement Options 画面でラジオ・ボタン［NonStop Kernel RISC］をクリックします。［Use DSM/SCM

to complete installation on host］のチェックをはずして［Next］をクリックします。

5. Product Selection 画面で、インストールする製品として iTP Secure WebServer を選択します。そして

［ADD］ボタンをクリックし、［Next］をクリックします。

6. Host Information 画面の指示に従って、OSS ディレクトリである /usr に書き込みできるユーザ ID (たと

えば super.super) でログオンします。システム名またはシステム IP アドレスのどちらかを使用してログ

オンできます。［Next］をクリックします。

7. Host Target 画面で、作業用およびバックアップ用のサブボリュームとしてデフォルトの場所をそのま

ま使用するか、またはブラウズして場所を選択します。場所を決めたら、［Next］をクリックします。

8. Host File Placement 画面で、デフォルトのディスクの場所をそのまま使用するか、またはブラウズして

場所を選択します。場所を決めたら、［Next］をクリックします。

9. Placement Manifest 画面で、ファイルの場所を確認します。場所を変更するには、［Back］をクリック

して前画面に戻ります。場所を決めたら、［Next］をクリックします。この手順には、完了までに数分

かかる場合があります。

10. Placement Complete 画面で、チェック・ボックスを選択してリリース文書を表示することができます。

リリース文書は必ず確認してください。［Finish］をクリックして IPSetup の実行を終了します。

11. iTP Secure WebServer とともに新しい WebSafe2 Internet Security Processor (WISP) もインストールする

場合は、Websafe Interface Driver (WID; T7951) に対して同じ手順を繰り返してください。

12. IPSetup が完了したら、2-9 ページの「セットアップ・スクリプトの実行」に進みます。

配布メディアから iTP Secure WebServer ソフトウェアをコピーする

製品 CD に含まれている IPSetup を使用する場合は、次の手順は自動的に実行されるので無視してくだ

さい。そして IPSetup が完了したら、2-9 ページの「セットアップ・スクリプトの実行」に進んでください。

IPSetup を使用しない場合は、次の手順に従って配布メディアから iTP Secure WebServer ソフトウェア

をコピーしてください。

1. $ISV.ZWEB (ISV はインストール先のサブボリューム名) に製品ファイルをコピーします。

iTP Secure WebServer とともに新しい WebSafe2 Internet Security Processor (WISP) もインストールする

場合は、Websafe Interface Driver (WID; T7951) の製品ファイルもコピーします。

8 523346-001J


5

2. コンパック NonStop システムに SUPER.SUPER でログオンします。$ISV.ZWEB に移動し、次のように

TACL マクロである COPYOSS を使用して製品ファイルを解凍します。

TACL> LOGON SUPER.SUPERTACL> VOLUME $ISV.ZWEB

TACL> RUN COPYOSS T8997PAX

TACL> RUN COPYOSS T7951PAX (該当する場合)

COPYOSS は、次の場所にあるバージョン固有の OSS ディレクトリに T8997PAX ファイルのコンテン

ツを格納します。

/usr/tandem/webserver/<version>

<version>は、このリリースのバージョン情報 (vproc コマンドによる) です (例：T8997V60_26JUL02_

BASE_V600_1)。

COPYOSSは、次の場所にあるOSSディレクトリ構造にT7951PAXファイルのコンテンツを格納します。

/usr/tandem/webserver/

SOFTDOC ファイルである T8997V60 (T7951PAX を解凍した場合は T7951AAF も) はテキスト・ファ

イルであり、$ISV.SOFTDOC に保管するか、または FUP DUP や FUP RENAME コマンドを使用して

NonStop システム上の別の場所にコピーすることができます。

3. iTP Secure WebServer の一般的なインストールを完了するには、OSS ファイル・システム・ディレクト

リにあるセットアップ・スクリプトを実行します。

セットアップ・スクリプトの実行

セットアップ・スクリプトを実行するときは、SUPER.SUPER 以外の SUPER グループのユーザ ID を使

用してください。

1. EMS をインストールしないで使用している場合は、ここで 2-5 ページの「EMS (イベント管理サービス)

テンプレートのインストール」の手順に従ってインストールしてください。

2. 次のように OSS 環境に入ってからセットアップ・スクリプトを実行します。

例：

TACL> LOGON SUPER.WEBTACL> OSH

OSS: cd /usr/tandem/webserver/<version>OSS: ./setup

インストール・スクリプトを使用すると、Administration Server と iTP Secure WebServer をステップ・

バイ・ステップでインストールすることができます。製品はデフォルトでは /usr/tandem/webserver ディ

レクトリにインストールされます。SUPER グループのユーザ ID でログオンしている場合は、「WISP

のインストール」、または「リソース・ロケータのインストール」を実施する必要がなければデフォル

トの設定にすることができます。デフォルトの設定にすると、iTP Secure WebServer の管理インタフェー

スと iTP Secure WebServer の両方が実行を開始します。スクリプトは既存の設定ファイルを見つけると

それを自動的にバックアップします。

23346-001J 2-9


2-

/usr/tandem/webserver 以外の OSS ディレクトリに iTP Secure WebServer をインストールする場合は、

セットアップ・スクリプトのパラメータにインストール・ディレクトリを指定します。たとえば、次の

ように指定します。

OSS: ./setup /home/myuser/mywebserver

備考：

□ インストール先のパスをソース (インストール元) と同じパスにすることはできません。

□ iTP Secure WebServer をデフォルトの /usr/tandem/webserver 以外の OSS ディレクトリにインストールした

場合は、WID がインストールされていれば WID の設定も変更する必要があります。

セットアップ・スクリプトを実行したら、バージョン固有のディレクトリ(/usr/tandem/webserver/<version>

またはそのサブディレクトリ ) を削除または変更しないでください。そのディレクトリ・ツリーへの OSS

シンボリック・リンクが設定されているからです。これらのディレクトリまたはサブディレクトリのい

ずれかを削除した場合は、製品の PAX ファイルを解凍するところから始めて、製品全体を再インストー

ルする必要があります。

3. これで「Parallel Library TCP/IP サポートのセットアップ」、「WISP のインストール」、または「リソー

ス・ロケータのインストール」を実施することができます。

Parallel Library TCP/IP サポートのセットアップ

セットアップ・スクリプトは、従来の TCP/IP プロセスの存在チェック以外に、ターゲット・システム

上の TCPSAM プロセスの存在もチェックします。このスクリプトはユーザの意向を聞きます。その対話例

を次に示します。

If you wish to use Parallel Library TCPIP as your underlying transport

services, you need only one TCPSAM (TCP Socket Access Method) process.

Therefore, the following lookup process will only list the first one it

encounters.

If you wish to use a TCPSAM process other than the one in the list, please　follow the manual configuration procedures.

Do you wish to use ONLY the Parallel Library TCPIP as your transport

services?

Type y/n (Default: n) #: y

Looking up running TCPSAM process on your system...please wait

従来の TCP/IP、Parallel Library TCP/IP、または両方を使用できます。何か一般的でない理由 (おそらく

iTP Secure WebServer 以外の理由) により両方を使用する必要がある場合は、iTP Secure WebServer の自動

受信機能を使用できません。したがってこの場合には、パフォーマンスはほとんど向上しません。

次のスクリプト例は、ユーザが Parallel Library TCP/IP の質問に Yes と答えている場合に続くもので、選

択メニューを示しています。実行されている TCPSAM プロセス ($ZSAM1) をスクリプトが見つけ、ユー

ザが設定を続けられるようにしている点に注目してください。

1) Skip configuring iTP WebServer (i.e., configuration exists)

2) Auto-configure iTP WebServer

Defaults:

TCP/IP process: /G/ZSAM1

TCP/IP Port: 80

10 523346-001J


5

TCP/IP Secure Port: 443

Test Certificate:

CN=Secure Transport Bootstrap Certificate,

OU=Testing Only - Do Not Trust for Secure Transactions,

OU=No Assurance - Self-Signed, OU=Generated <dateString>,

O=<organization>

Pathmon name: /G/zweb

Guardian Pathmon subvolume name: /G/system/zweb.

3) Perform manual configuration for iTP WebServer

Choose 1, 2 (Default) or 3 #:

従来の TCP/IP または両方のタイプを選択した場合は、別の対話が表示されます。

Parallel Library TCP/IP を使用する場合は、セットアップ・スクリプトの実行後に、設定ファイル内で

ACCEPT または ACCEPTSECURETRANSPORT コマンドを使用して TCPSAM プロセスを指定します。た

とえば、次のように指定します。

ACCEPT -TRANSPORT G/ZSAM1 -PORT 80 -ADDRESS 143.17.211.104

また、設定ファイルの Server 指示語を修正することも検討する必要があります。Parallel Library TCP/IP

用に新しい属性 DELETEDELAY <minutes> が用意されています。

WISP のインストール

iTP Secure WebServer をインストールしたら、-websafe オプションを指定して install.WS を実行するこ

とにより、WISP (WebSafe2 Internet Security Processor) デバイスをインストールできます。install.WS は /

usr/tandem/webserver/admin/conf ディレクトリにあります。これにより、既存の iTP Secure WebServer の設

定ファイルに WISP の設定情報が追加され、WISP 操作用に WID (WebSafe2 Interface Driver) と iTP Secure

WebServer が正しく設定されます。

install.WS を実行する前に、現在の設定ファイルをバックアップする必要があります。

リソース・ロケータのインストール

iTP Secure WebServer とともに、オプションのリソース・ロケータ機能をインストールできます。リ

ソース・ロケータ機能には、インストール前に検討すべき依存関係があります。RLS (リソース・ロケー

タ・サービス) の使用については、第 10 章「RLS (リソース・ロケータ・サービス) の使用」を参照してく

ださい。

インストールに関する留意事項

httpd サーバより新しいバージョンの libcgi.a で構築された Pathway CGI アプリケーションは、正しく動

作しません。問題が発生した場合は、httpd と libcgi.a が同じバージョンであるか確認してください。チェッ

クするには、ファイルに対して VPROC ユーティリティを実行します。

23346-001J 2-11


2-

設定の確認

OSS ファイル・システムを使用して、インストールが成功したことを確認します。インストール・ディ

レクトリで次のディレクトリ構造を確認します。デフォルトのインストール・ディレクトリは /usr/tandem/

webserver です。

/bin iTP Secure WebServer に関連するすべてのバイナリ・ファイルが格納されています。

/root デフォルト設定の場合に表示されるルート・ディレクトリです。ホーム・ページのサ

ンプル (index.sample.html) はこのディレクトリにあります。

/logs WebServer のログ・ファイルは、このディレクトリに配置されるように設定されます。

/admin Administration Server および関連ファイルがあります。

/conf 設定ファイルおよび起動 / 停止用スクリプトがあります。

/samples 次のサーバ・プログラムのサンプルがあります。

/Antarctic : ホーム・バンキングのデモ・プログラム。

/Cobol_Demo : COBOL の Pathway CGI プログラムのサンプル。

/C_Demo : C の Pathway CGI プログラムのサンプル。

/gif : index.sample.html が参照するグラフィック・イメージ。

/scripts : 標準の NCSA CGI プログラムのサンプル。

/SSL-sample-dir: このディレクトリ中の index.html にアクセスするには、SSL

のセキュリティが必要です。

90 日間有効なテスト証明書

インストール・スクリプトは、自己署名のテスト証明書を生成します。この証明書の有効期間は 90 日で

あり、ユーザが指定したパスワードで保護されます。この証明書はファイル /usr/tandem/webserver/conf/

test_key.db 中に格納されます。この証明書の保証程度は低いので、ブートストラップおよび安全なトラン

スポートの初期テストだけに使用してください。できるだけ早く、このテスト証明書を、信頼性の高い CA

(認証機関) が発行する有効な商用レベルの証明書に置き換えてください。

インストール・スクリプトが生成するテスト証明書の DN には、次の要素が含まれています。

CN=Secure Transport Bootstrap CertificateOU=Testing Only - Do not trust for Secure Transactions

OU=No Assurance - Self-SignedOU=Generated date time PDT yearO=comm.company.com

備考：90 日間有効なテスト証明書は、商用には利用できません。

12 523346-001J


5

備考：Microsoft Internet Explorer は、バージョンによっては自己署名のテスト証明書を受け入れません。

Administration Server と iTP Secure WebServer のテストの開始

次の手順に従って、設定を確認します。

1. 起動スクリプトを実行し、Administration Server を起動します。

: cd /usr/tandem/webserver/admin/conf: ./start

2. Web クライアントから、IP アドレスまたは DNS 名 (インストール時に指定したもの) を使用して

Administration Server に接続します。

Web クライアントは、iTP Secure WebServer Administration Server のホーム・ページを表示します。

3. ［View］ボタンをクリックして設定ファイルを表示するか、または［Edit］ボタンをクリックして設定

ファイルを編集します。

4. ［Start］ボタンまたは［Restart］ボタンをクリックし、iTP Secure WebServer を起動します。

5. EMS ログ・ファイル中のスタートアップ・メッセージを確認します。

Administration Server を別の方法で起動、停止、管理する方法の詳細については、第 6 章「スクリプト

を使用した iTP Secure WebServer の管理」を参照してください。準備を完了させるには、次のいずれかの

節で該当するものを読んでください。

SSL または PCT の暗号化方式を使用する場合

SSL (Secure Sockets Layer) または Microsoft PCT (Private Communications Technology) が提供する暗号化

方式を使用する場合は、第 4 章「安全なトランスポートのための設定」の手順に従って、CA から証明書

を取得し、実行時に使用する公開鍵 / 秘密キー・ペアを生成します。

WebSafe2 の暗号化方式を使用する場合

iTP Secure WebServer を WebSafe2 ユニットと共に使用する場合は、第 5 章「WISP (WebSafe2 Internet

Security Processor) の統合」の手順に従って、WebSafe2 ユニットを iTP Secure WebServer 環境に追加し、

CA から証明書を取得して、実行時に使用する公開鍵 / 秘密キー・ペアを生成します。

安全でないバージョンを使用している場合

安全でないバージョンの iTP Secure WebServer を使用している場合は、第 7 章「iTP Secure WebServer

の設定」を参照し、設定指示語を使用してサーバ環境をカスタマイズする方法を確認してください。

23346-001J 2-13


2-
14 523346-001J

第 3 章　iTP Secure WebServer PATHMON 環境の計画

5

第 3 章 iTP Secure WebServer PATHMON 環境の計画

この章では、iTP Secure WebServer PATHMON 環境を設定する際の基本項目について説明します。説明

するコンテンツは、次のとおりです。

□ 従来の TCP/IP：ディストリビュータ・プロセス (3-1 ページ)

□ Parallel Library TCP/IP：自動受信機能 (3-2 ページ)

□ PATHMON 環境の設定 (3-3 ページ)

□ httpd サーバのスレッディングに関する留意事項 (3-4 ページ)

□ サーバの Pathway 環境に対するセキュリティ (3-5 ページ)

□ セキュリティに関するその他の留意事項 (3-7 ページ)

従来の TCP/IP：ディストリビュータ・プロセス

Parallel Library TCP/IPを使用しない場合は、ディストリビュータを使用するように iTP Secure WebServer

を設定する必要があります。ディストリビュータ・プロセスとは、TCP/IP サブシステムから受信する新規

の接続要求を確認し、新規の要求を iTP Secure WebServer に配信するプロセスのことです。ディストリ

ビュータ・プロセスは、OSS プロセスとして動作します。また、NonStop TS/MP を使用して、オンライン

処理に必要なプロセス制御、持続性、およびスケーラビリティを実現します。

iTP Secure WebServer 設定ファイル (httpd.config) 中の Accept 指示語および AcceptSecureTransport 指示

語を使用して、ディストリビュータ・プロセスを設定します。設定ファイルに関しては第 7 章「iTP Secure

WebServer の設定」を参照してください。

ディストリビュータ・プロセスは、複数の TCP/IP トランスポート・プロセス上の複数のポートで新規

接続要求を監視し、その要求を httpd サーバ・クラス内のさまざまな iTP Secure WebServer プロセスに配

信できます。

ディストリビュータ・プロセスは、持続的に動作します。PATHMON はディストリビュータ・プロセス

を起動し、NonStop プロセス・ペアとしてではありませんが、それを持続的に維持します。ディストリ

ビュータ・プロセスに障害が発生した場合、PATHMON は新しいプロセスを自動的に作成します。

ディストリビュータ・プロセスは、起動されると、設定ファイル中で指定された TCP/IP プロセスを使

用して OPEN を確立し、設定されたポート上での接続要求の受信を監視します。

接続要求がいずれかのポートに到着すると、ディストリビュータ・プロセスは

SERVERCLASS_

SEND_()を実行し、この接続情報を PATHMON 環境中の iTP Secure WebServer プロセスのいずれかに

送信します。iTP Secure WebServer で要求が処理され、完了します。

ディストリビュータ・プロセスをサポートするのは、TCP/IP プロトコル・スタックだけです。

OSS 環境の詳細については、『オープン・システム・サービスユーザーズ・ガイド』を参照してくださ

い。また、Pathway 環境の詳細については、『TS/MP System Management Manual』を参照してください。

23346-001J 3-1


3-

Parallel Library TCP/IP：自動受信機能

iTP Secure WebServer を自動受信機能とともに実行する場合、ディストリビュータ・コンポーネントは

不要になります。httpd サーバがディストリビュータに代わってリスニング機能と配信機能を実行します。

ディストリビュータ・サーバ・クラスは、PATHWAY 環境から完全に削除されます。

httpd プログラムを実行すると、「start」スクリプトが実行されている間に一連の調査が行われ、新しい

アーキテクチャまたは古いアーキテクチャのどちらに従って iTP Secure WebServer を実行するか決定され

ます。すべてのチェックポイントを通過すると、iTP Secure WebServer が新しいアーキテクチャに従って

設定され、ディストリビュータなしで実行されます。いずれかのチェックポイントを通過できない場合は、

iTP Secure WebServer は従来の IP ソリューションである iTP Secure WebServer 5.0 として実行されます。

iTP Secure WebServer を実行するには、Parallel Library TCP/IP 環境を正しく設定する必要があります。

設定ファイル httpd.config内のServer CPUSコマンドで指定されたすべてのCPU上で、Parallel Library TCP/

IP が実行されるようにします。つまり、TCPMAN を正しく設定して実行する必要があります。すなわち、

Server CPUS コマンドで指定されたすべての CPU 上で TCPMON (監視プロセス) を実行します。スタート

アップの設定段階で、iTP Secure WebServer はこれらのプロセスが存在するか確認します。これらのプロ

セスのすべてが実行されていなければ、自動受信機能は使用できません。この場合、iTP Secure WebServer

は従来の IP ソリューションである iTP Secure WebServer 5.0 として実行されます。

従来の TCP/IP サブシステムと違って、Parallel Library TCP/IP を使用すれば、iTP Secure WebServer は

これらの各 CPU 上にリスニング・ソケットを作成できます。各 CPU 上にリスニング・ソケットを作成す

ると、httpd サーバ自体にリスニング機能が備えられます。したがって、Parallel Library TCP/IP を従来の

TCP/IP サブシステムと一緒に使用することは許されません。TCPSAM プロセスと従来の TCP/IP プロセス

の両方がトランスポート・サービス・プロバイダとして指定されると、自動受信機能が無効になります。

この場合、iTP Secure Webserver は完全に iTP Secure WebServer 5.0 として実行されます。

Parallel Library TCP/IP サポートの移行に関する留意事項

Parallel Library TCP/IP では、httpd サーバを正しく実行するには、PATHWAY 環境でそのサーバをスタ

ティック・サーバにする必要があります。要求の負荷がスタティック・サーバのキャパシティを超える場

合は、httpd サーバをダイナミック・サーバにすることができますが、要求を処理するのにより多くのシス

テム・リソースが必要になります。新しいサーバの作成中は、いくつかの要求に対する応答時間が長く

なる場合があります。実際のところ、これは今までのバージョン (iTP Secure WebServer 5.0 以前) にも当て

はまります。

さらに、PATHWAY がダイナミック・サーバを削除するときにいくつかの接続が切断されるというリス

クもあります。自動受信機能はディストリビュータに代わるものであり、さらに高いパフォーマンスを備

えています。httpd サーバがトランスポート層 (Parallel Library TCP/IP) から直接新しい接続要求を受信する

ので、ディストリビュータが新しい接続要求を受信してそれを httpd サーバに配信するよりもパフォーマン

スが向上します。

Parallel Library TCP/IP を使用すると、httpd サーバが新しい接続を取得するので、httpd サーバを削除す

ると、保留中の新しい接続 (その接続要求が httpd サーバに転送されているが、まだ httpd サーバによって

取得されていない) が中断される場合があります。残念ながら PATHWAY はこれらの保留中の接続を把握

しないので、ダイナミック・サーバがリンク・マネージャに接続していないときはそれを削除してしまう

可能性があります。

2 523346-001J


5

httpd サーバの終了前に保留中のすべての接続を完了するように、httpd サーバには遅延が長く組み込ま

れています。遅延がさらに長くなっています。しかし、タイミングのすき間がまだ存在する場合がありま

す。そのため、ダイナミック・サーバが削除されるまでの遅延をもっと長く指定できるように、新しい

Deletedelay サーバ指示語が用意されています。

Deletedelay の詳細は、付録 A-70 ページの「Server」に説明しています。

要求の負荷を調査してより適切な計画を立てれば、パフォーマンスにすぐれた中断のない Web サーバ環

境を実現できます。推奨される設定指針のいくつかを次に示します。

□ httpd サーバを実行する CPU と同数以上のスタティックな httpd サーバを指定します。たとえば、httpd

SERVERCLASS が CPU 0 ～ 5 (合計 6 個の CPU) 上で実行されるように設定されている場合、Numstatic

に 6 以上の値を指定する必要があります。実際、テストにより、CPU あたり 3 つの httpd サーバを実行

すればパフォーマンスがも高くなることが証明されています。

□ TANDEM_RECEIVE_DEPTH には、より高い値を指定する必要があります。サポートされている大

値は 255 です。CPU の速度によっては、値を高くするほど、新しい接続を受信するために再利用する

作成済みソケットの数が多くなり、CPU サイクルを節約できる可能性があります。50 以下の値では不

十分です。

□ 要求処理のピーク時間とオフピーク時間に合わせて、Deletedelay に適切な値を指定します。つまり、ダ

イナミック・サーバをピーク時間にだけ作成し、オフピーク時間に削除するように指定します。たとえ

ば、要求処理のピーク時間が午前 11 時～午後 6 時の場合、Deletedelay に 7 時間を指定すれば、ダイナ

ミック・サーバは午後 6 時を過ぎてから削除されます。しかし、ピーク時間が複数ある場合は、もっと

詳細に計画する必要があります。このような問題を回避するも良い方法は、httpd サーバをすべてス

タティック・サーバにすることです。

PATHMON 環境の設定

iTP Secure WebServer PATHMON 環境の設定は、ファイル httpd.config 中で指定します。この設定ファ

イルは、iTP Secure WebServer プロセス起動時に指定します。

ファイル httpd.config は、キーワードと値のペアで構成されています。設定ファイルのサンプルは、

httpd.config.sample という名前で /usr/tandem/webserver/conf ディレクトリに用意されています。このファ

イルには、すべてのキーワードとそのデフォルト値および範囲が記述されています。

設定ファイルには、空白、タブ、空白行、およびポンド記号 (#) で始まる行 (コメント行) を記述できま

す。キーワードは大文字と小文字の区別があり、定義どおりに正しく記述しなければ認識されません。キー

ワードの次には有効な値を記述します。

ファイル httpd.config のサンプルについては、第 7 章「iTP Secure WebServer の設定」を参照してくださ

い。このサンプルに含まれているコマンドは、iTP Secure WebServer を使用する場合に、コンパック NonStop

環境で不可欠なプロセスを設定するためのものです。この設定ファイルは、PATHMON プロセスを作成し、

アプリケーション・サーバとディストリビュータ・プロセスを設定します。

サーバ設定ファイル (httpd.config) 中で指定できる設定指示語の詳細については、付録 A「設定指示語」


23346-001J 3-3


3-

設定ファイルについて理解するには、PATHMON 環境の基本的な NonStop TS/MP アーキテクチャと特

徴についての知識が必要です。NonStop TS/MP の基本については、『NonStop TS/MP System Management

Manual』を参照してください。

httpd サーバのスレッディングに関する留意事項

次の 2 つの技術を個々に、または組み合わせて使用すれば、iTP Secure WebServer で多くの要求を同時

に処理できるようになります。

□ httpd サーバ・クラスで多数のサーバを作成可能にする。

□ 各サーバで同時に複数の要求を処理できるようにする。

複数のサーバを作成可能にするには、Server 設定指示語で Maxservers コマンドを使用します。このコマ

ンドでは、クラス内のサーバの総数を指定します。各サーバを単一スレッド対応にしたい場合は、WebServer

で処理しなければならない同時要求の大数に合わせて、Maxservers の値を大きくする必要があります。

各サーバ・プロセスでマルチスレッディングを作成可能にするには、TANDEM_RECEIVE_DEPTH 環境

変数を使用します。Server 設定指示語で Env コマンドを使用すれば、環境変数を指定できます。TANDEM_

RECEIVE_DEPTH の値は、単一の httpd プロセスが処理できる要求の大数です。

備考：受信深度は概念的に NonStop TS/MP リンク深度に類似していますが、リンク深度がサーバ・クラスあたり

255 の同時要求に限定されているのに対して、受信深度はプロセスあたり 255 の同時要求に限定されていま

す。したがって、Linkdepth コマンドの値に 1 を指定しても、httpd プロセスは、受信深度で指定した数の要

求を、該当するリンク上で同時に処理します。

同時要求の処理数を増やすには、サーバ・クラス内に複数のサーバを定義し、TANDEM_RECEIVE_

DEPTH を使用して各サーバをマルチスレッド対応にします。この場合、サーバ・クラスに対する同時要求

の大処理数は、TANDEM_RECEIVE_DEPTH の値と Maxservers の値の乗算で得られます。

iTP Secure WebServer で配布される設定ファイルでは、httpd サーバ・クラスは、複数のマルチスレッド

対応のサーバで構成されます。

サーバあたりのスレッド数を多くしてサーバ数を少なく設定すると、次のような利点が得られます。

□ プロセスでは、すべてのスレッドでスワップ領域などのシステム・リソースやファイルのオープン

(キャッシュ・ファイルのオープンなど) が共有されます。

□ 同じプロセスでスレッドを切り替える際に、システム・ディスパッチ機能が必要ありません。

サーバあたりのスレッド数を少なくしてサーバ数を多く設定すると、次のような利点が得られます。

□ CPU 間のロード・バランスの向上

□ CPU やプロセスの障害発生度の軽減、および優れた障害分離

TANDEM_RECEIVE_DEPTH 環境変数は、httpd 以外のサーバ・クラスには対応していません。

4 523346-001J


5

サーバの Pathway 環境に対するセキュリティ

iTP Secure WebServer に対して PATHMON 環境を設定する際には、PATHMON 環境自体のセキュリティ

を強化する手順について検討してください。以下の章で、ユーザ・データのセキュリティ管理方法および

安全なトランザクションについて説明しています。

□ 第 4 章「安全なトランスポートのための設定」

□ 第 5 章「WISP (WebSafe2 Internet Security Processor) の統合」

□ 第 6 章「スクリプトを使用した iTP Secure WebServer の管理」

次の節では、iTP Secure WebServer PATHMON 環境に関する検討課題を説明しています。

□ 設定ファイルを修正できるユーザ (3-5 ページ)

□ iTP Secure WebServer を起動/停止できるユーザ (3-5 ページ)

□ ディストリビュータ・プロセスが監視している TCP/IP ポート (3-6 ページ)

□ CGI (Common Gateway Interface)アプリケーションのセキュリティに関する留意事項 (3-6 ページ)

□ Pathway CGI サーバ・クラスに関する留意事項 (3-6 ページ)

設定ファイルを修正できるユーザ

デフォルトでは、/usr/tandem/webserver/admin/conf ディレクトリにアクセスできるのは、そのディレク

トリ構造の所有者だけです。この所有者は、第 2 章「iTP Secure WebServer のインストール」で説明した

ように、iTP Secure WebServer をインストールしたユーザ ID です。このディレクトリ所有者は、任意の

ユーザにこのディレクトリへのアクセスを許可できます。ただし、システム・スーパーバイザは、常にこ

のディレクトリにアクセスできます。

iTP Secure WebServer を起動 / 停止できるユーザ

デフォルトの iTP Secure WebServer 設定では、システム内のすべてのユーザは bin ディレクトリに対す

る実行アクセス権と読み取りアクセス権を持っています。したがって、だれでもファイル bin/httpd にアク

セスし、設定ファイルを指定して iTP Secure WebServer を起動できます。自分自身のサーバを起動できる

ユーザを制限するには、bin ディレクトリまたはファイル bin/httpd のいずれかまたは両方の、デフォルト

のセキュリティを変更します。

23346-001J 3-5


3-

ディストリビュータ・プロセスが監視している TCP/IP ポート

デフォルトの設定では、ディストリビュータ・プロセスは TCP/IP ポート番号 80 を監視します。別の

ポートを使用するには、ファイル httpd.config 中のポート指定を変更します。また、ディストリビュータ・

プロセスは複数のポートを監視することもできます。たとえば、ファイル httpd.stl.config 中で SSL (Secure

Sockets Layer) または PCT (Private Communications Technology) で使用するポートを指定できます。この

ポート番号のデフォルト値は 443 です。複数の IP アドレスとポート番号を指定するには、付録 A「設定指

示語」で説明している Accept指示語および AcceptSecureTransport指示語を使用します。要

求が安全なポートにだけ到着するようにするには、ファイル httpd.config を編集して Accept指示語を除

外し、サーバを再起動します。

iTP Secure WebServer Administration Server は、スクリプト install.WS からの入力要求に対する応答に指

定したポートを使用します。デフォルトでは、安全でないポートは 8088、安全なポートは 8089 です。

ポート 1 ～ 1024 (デフォルトの HTTP ポート (80) を含む) を使用できるのは、Super ID 特権を持つプロ

セスだけです。ポート 1024 ～ 65536 は、すべてのプロセスが使用できます。

ポート 1 ～ 1024 (デフォルト・ポートを含む) の場合、Super ID ユーザ (super.webmastr など) は、すべ

てのポートにアクセスできます。Super ID ユーザを使用して、iTP Secure WebServer のインストールや起

動を行います。セキュリティ上の理由から、super.super の利用は推奨できません。

CGI (Common Gateway Interface) アプリケーションのセキュリティに関する留意事項

システム管理者は、iTP Secure WebServer 環境の設定や起動を行うユーザ ID について、検討する必要が

あります。このユーザ ID により、iTP Secure WebServer 環境下のサーバ・クラスの、セキュリティ上の制

限事項が決まります。CGI プログラムと CGI スクリプトは、generic-cgi.pwayというサーバ・ク

ラスによって起動されます。generic-cgi.pwayの所有者は、次のように決まります。

1. iTP Secure WebServer 環境が Super ID で起動された場合、起動された CGI プロセスは Super ID の権限

を受け継ぐので、すべてのシステム関数にアクセスできます。ユーザが独自の CGI プログラムを作成

して実行できるようになっている場合は、この動作は望ましくありません。

2. iTP Secure WebServer 環境が Super ID で起動された場合、起動された CGI プロセスは、Super ID ユー

ザに対して設定されている制限事項を受け継ぎます。

3. iTP Secure WebServer 環境が Super ID 以外で起動された場合、CGI プログラムはそのユーザ ID に対す

るセキュリティによる制約を受けます。

Pathway CGI サーバ・クラスに関する留意事項

Pathway CGI アプリケーションは、iTP Secure WebServer 環境からそのユーザ ID を受け継ぎます。留意

事項は、汎用 CGI アプリケーションの場合と同じです。

6 523346-001J


5

セキュリティに関するその他の留意事項

システム管理者は、iTP Secure WebServer をインストールする前に、PATHMON 環境のセキュリティだ

けでなく、次のセキュリティ要件についても検討してください。

□ キー・データベース・ファイルの保護 (3-7 ページ)

□ サーバ・パスワードの保護 (3-7 ページ)

□ コア・ダンプの保護 (3-8 ページ)

□ キー・データベース・ファイルとコア・ダンプの移動における保護 (3-8 ページ)

キー・データベース・ファイルの保護

キー・データベース・ファイルは、keyadminなどのコマンドおよび KeyDatabase設定指示語で

指定するファイルです。このキー・データベース・ファイルには、秘密鍵および公開鍵証明書が格納され

ています。

キー・データベース・ファイルには、保護すべき機密情報が格納されています。iTP Secure WebServer

は、このキー・データベースを保護するため暗号化しています。また、このキー・データベースにアクセ

スする (つまりキー・データベースを解読する) にはパスワードが必要です。

キー・データベース・ファイルを保護する方法の 1 つは、そのパスワードを保護することです (この後の

「サーバ・パスワードの保護」を参照 )。また、このキー・データベース・ファイルに正しいファイル・ア

クセス権を設定して保護すべきです。このデータベース・ファイルは、サーバを実行するユーザが所有し、

モードは 600 に設定する必要があります。このモードでは、所有者だけに読み取り / 書き込みのアクセス

権が与えられます。

キー・データベース・ファイルを保護するもう 1 つの方法は、バックアップです。キー・データベー

ス・ファイルに変更が加えられるたびにバックアップします。バックアップしたファイルは、必要に応じ

て (データの重要性に応じて) 安全な場所に保管します。バックアップ・テープは、サーバ・マシンと同じ

建物内に保管しておけば十分な場合もありますが、オリジナル・ファイルが破損したために緊急に複製

ファイルを必要とする場合に備えて、別の建物などに保管したほうがよい場合もあります。

自社のセキュリティ要件に合うように、バックアップ・ファイルを作成および格納する部屋に対する入

室管理について検討します。また、バックアップ・ファイルを物理的または電子的に移動させる手段につ

いても検討します。

さらに、キー・データベースが格納されているサーバ・マシン自体も保護する必要があります。自社の

セキュリティ要件に従って、サーバが設置されている部屋を物理的に保護すること、およびネットワーク

経由でのサーバに対するアクセスを制限することについて検討します。

サーバ・パスワードの保護

キー・データベース・ファイルは、keyadmin ユーティリティを使用して指定したパスワードで暗号

化されます。iTP Secure WebServer は、実行時にファイルを解読し、ファイル内の格納情報にアクセスし

ます。サーバにパスワードを設定するには、ServerPassword設定指示語を使用します。

23346-001J 3-7


3-

iTP Secure WebServer のインストール時には、8 バイト以上のサーバ・パスワードが必要です。さらに、

keyadminユーティリティでも、大文字小文字混在またはすべて大文字のパスワードが必要です。

パスワードが設定ファイルまたは別のファイルに格納されている場合、そのファイルをキー・データベー

ス・ファイルと同等以上に注意深く保護します。ファイル保護、バックアップ、ネットワーク・アクセス、

物理的なアクセスなどについて検討してください (前述の「キー・データベース・ファイルの保護」を参照 )。

コア・ダンプの保護

どのサーバでも障害が発生してコア・ダンプが出力される可能性がありますが、iTP Secure WebServer

のコア・ダンプには、キーとサーバ・パスワードが含まれている場合があります。

コア・ファイルは、キー・データベース・ファイルやサーバ・パスワード・ファイルと同じように、注

意深く保護します。物理的にアクセスできるユーザ、バックアップ・テープへの保存、ファイル保護のコ

ンテンツなどについて検討します。コア・ファイルを分析するために物理的または電子的に移動する場合

は、移動手段の安全性についても検討します。

キー・データベース・ファイルとコア・ダンプの移動における保護

キー・データベース・ファイルやコア・ダンプを、公衆ネットワークで伝送しなければならない場合が

あります。たとえば、コンパックのサポート・サービスにトラブルシューティングの支援を要請するケー

スなどです。この場合、伝送方式が必ず自社のセキュリティ要件を満たすようにしてください。

コンパックのサポート部門は、すべてのキー・データベース・ファイル、コア・ファイル、および設定

ファイルを必要とします。これらのファイルには、何らかの形で暗号化して送信すべきパスワードが含ま

れています。

8 523346-001J

第 4 章　安全なトランスポートのための設定

5

第 4 章安全なトランスポートのための設定

SSL (Secure Sockets Layer) と Microsoft PCT (Private Communications Technology) の両プロトコルは、

Web のセキュリティを強化します。強化の内容は、プライバシを保護するための暗号化、および、サーバ

(オプションでクライアントも) の正当性を検証するための認証 ( キー証明書を使用) です。

この章では、設定手順の概要を示し、SSL と PCT に対するサーバの設定方法を説明します。説明する項

目は次のとおりです。

□ Administration Server の安全な利用 (4-1 ページ)

□ サーバ設定の概要 (4-2 ページ)

□ 証明書の管理 (4-4 ページ)

□ iTP Secure WebServer によるサーバ証明書チェーンの使用 (4-21 ページ)

□ SSL 設定と PCT 設定の更新 (4-24 ページ)

□ アクセスとプライバシの制御 (4-25 ページ)

□ 暗号化と整合性チェックの制御 (4-26 ページ)

この章では、SSL や PCT が提供している暗号化機能を使用するにあたって、iTP Secure WebServer を設

定する方法について説明します。iTP Secure WebServerのインストール(2-6 ページの「iTP Secure WebServer

のインストールと設定」を参照 ) および PATHMON 環境の設定 (3-3 ページの「PATHMON 環境の設定」

を参照) が完了した後、この章で説明する手順を実行します。

備考：安全でないバージョンの iTP WebServer は、SSL と PCT に対応していません。

iTP Secure WebServer は、HTTP (HyperText Transfer Protocol) 要求と Secure HTTP 要求において、SSL

要求と PCT 要求を同時に処理できます。

暗号化、認証、公開鍵、秘密鍵、CA (認証機関 ) など、セキュリティについては、次に進む前に付録 D

「ユーザセキュリティの概念」を参照してください。

Administration Server の安全な利用

iTP Secure WebServer Administration Server にアクセスするには、安全なトランスポート接続を使用して

ください。Server のキー・データベースの暗号化に使用されるパスワードを入力する場合があり、このパ

スワードを安全な方法で伝送する必要があるからです。

iTP Secure WebServer Administration Server が安全な接続からの要求だけを受け付けるようにするには、

ファイル httpd.adm.config を修正します。次の例に示すように、/admin/*領域に対する Region指示

語に RequireSecureTransportコマンドを追加します。

23346-001J 4-1


4-

Region /admin/* {RequireSecureTransportAllowHost *.company.comRequirePassword {WebServer Administration User}\

-userfile /conf/adm.passwdIndexFile index.html}

セキュリティをさらに強化するには、RequireSecureTransport 指示語の -auth オプションを

使用します。これにより、管理エリアにアクセスする際に Web クライアント証明書が必要となります。

サーバ設定の概要

ここでは、サーバを設定し、安全なトランスポート要求 (SSL と PCT の両方 ) の受け付けと応答を行う

ための作業を説明します。この設定は、この後の節に記載されている方法で行われます。

□ keyadmin ユーティリティの設定 (4-2 ページ)

□ サーバの設定 (4-2 ページ)

keyadmin ユーティリティの設定

keyadmin ユーティリティを使用して、安全なトランスポートを使用するようにサーバを設定する手

順は、次のとおりです。

1. 4-6 ページの「keyadmin ユーティリティによるキーと証明書の管理」で説明するように、サーバに対し

て公開鍵 / 秘密鍵のペアを生成します。keyadminユーティリティでキー・ペアが作成されます。作

成されたキー・ペアは、指定されたキー・データベース・ファイルに格納されます。

新規のキー・データベース・ファイルを作成する場合、ユーザが指定したパスワードが、キー・データ

ベース・ファイル内のデータの暗号化に使用されます。パスワードを忘れないでください。

2. 証明書要求を作成します。詳細については、4-8 ページの「証明書要求の作成」を参照してください。

3. キー・データベース・ファイルと証明書要求の両方のバックアップを作成します。

4. CA (認証機関) からキー・ペアの公開鍵部分に対する証明書を取得するために、証明書要求ファイルを

CA に電子メールで送信します。この手順については、4-9 ページの「証明書の要求」で説明します。

5. keyadminユーティリティで、取得した公開鍵証明書をキー・データベース・ファイルに格納します。

6. 証明書の追加後、キー・データベース・ファイルの新しいバックアップを作成します。また、証明書自

体のバックアップも作成します。

サーバの設定

keyadminユーティリティでサーバを設定した後に、次の手順に従って設定を完了します。

1. KeyDatabase設定指示語を使用して、キー・データベース・ファイルのパス名を指定します。

KeyDatabase 指示語の使用方法については、付録 A-30 ページの「KeyDatabase」を参照してくだ

2 523346-001J


5

さい。

2. キー・データベース・ファイル解読用パスワードを指定します。

ServerPassword指示語を使用して、キー・データベース・ファイル中のデータ解読のためにサー

バが使用するパスワードを指定します。次の方法で、このパスワードを取得できるようにします。

l 設定ファイル中で直接パスワードを指定する。

l 別のファイルから読み取る。

暗号化パスワードの指定例については、付録 A-78 ページの「ServerPassword」を参照してください。

ServerPassword 指示語を使用して指定したパスワードは、キー・データベース・ファイルの暗

号化に使用したパスワードと同じでなければなりません。このパスワードは、keyadminユーティリ

ティで指定したものです。

3. サーバで、SSL、PCT、またはその両方を使用できるようにします。

AcceptSecureTransport 設定指示語を使用して、SSL 接続、PCT 接続、またはその両方を

チェックするようにサーバを設定します。証明書の識別名 (DN) を指定する必要があり、この識別名を

サーバに対して使用するには、-certオプションを付加します。さらに、次のパラメータを指定でき

ます。

l トランスポート名

l ホスト名、アドレス、および使用ポート

l サーバが SSL、PCT、またはその両方を確認するか

l サーバがクライアント認証を要求するか、または必要とするか (あるいはそのどちらでもないか)

これらのオプションの詳細については、付録 A-6 ページの「AcceptSecureTransport」を参照してくださ

い。

備考：サーバは、Accept 指示語で指定したポートと AcceptSecureTransport 指示語で指定したポートの両方で、

接続をチェックします。

4. Region指示語で RequireSecureTransportコマンドを使用して、クライアントがサーバと

そのコンテンツにアクセスする方法を制御します。これについては、4-25 ページの「アクセスとプラ

イバシの制御」で説明します。

5. サーバを再起動します。

6. HTML 文書にセキュリティ属性を挿入します。

アンカー指定で HTTPS プロトコル指定子 (https) を使用して、SSL または PCT の使用を Web クラ

イアントに通知します。記述例を次に示します。

https://www.oregon-club.com/recipes

デフォルト設定 (ポート 443) 以外の SSL または PCT ポートを使用している場合は、次のようにポート

を指定します。

https://www.oregon-club.com:444/recipes

23346-001J 4-3


4-

証明書の管理

各 iTP Secure WebServer には、安全なトランザクションの暗号化と解読を行うための公開キー・ペアが

必要です。公開鍵には、認証機関 (CA) が証明書の形で署名します。この証明書は、特定の識別名 (DN) に

対する公開鍵のバインディングを検証します。この識別名は、個々の Web サーバを一意に識別します。(4-

9 ページの「証明書の要求」を参照。)

SSL と PCT の両方に対して、同じ証明書を使用できます。

ここでは、証明書の管理方法について説明します。説明する項目は次のとおりです。

□ 識別名 (DN) の書式化 (4-4 ページ)

□ VeriSign 社の Global Server ID を使用した国際的な 128 ビット SSL セッションのサポート (4-5 ページ)

□ keyadmin ユーティリティによるキーと証明書の管理 (4-6 ページ)

□ iTP Secure WebServer によるサーバ証明書チェーンの使用 (4-21 ページ)

識別名 (DN) の書式化

DN とは、個人または組織を識別し、特定のキーに関連付ける仕様のことです。DN は、会社名や会社の

所在地などのエンティティを識別する属性のリストで構成されます。例：

□ CN="Compedia, Inc."

□ ST=New Hampshire

CA は、DN を使用して、特定の個人または組織を特定のキーに正式にバインドします。DN における

個々の属性はカンマで区切って、個々の CA が要求する順序で指定します。

表 4-1 に、DN の一般的な属性を示します。

表 4-1　識別名 (DN) の一般的な属性

属性説明

CN 共通名 (Common Name)：証明書の所有者名。

OU 組織単位 (Organizational Unit)：所有者の組織の下位区分の名前。識別名には、複数の OU

を入れられます。複数の OU を入れる例は、この表の次に示してあります。

O 組織 (Organization)：所有者の組織の名前 (会社名)。

L 場所 (Locality)：組織が所属する、都市またはその他の地理的な場所。

ST 州 (State or Province)：米国やカナダの州、および他国における同等の行政区分。州名は、

省略せずに記述します。郵便用の省略形は使用できません。

C 国 (Country)：証明書の発行者が住んでいる国の ISO 国コード ( 例 : C=US)［※ 1］。

［※ 1］特定の DN において、これらの属性の一部を省略できる場合があります。省略できるかは、個々

の CA の要件によって異なります。ただし、一般に、CN、O、ST、Cは必須です。

4 523346-001J


5

次の例は、組織 (O) の名前が Compedia, Inc. であり、2 つの組織単位 (Marketing および Master-Project-

Group) を含む DN です。

CN=www.compedia.com,OU=Marketing,OU=Master-Project-Group,O="Compedia, Inc.",L=Portsmouth,ST=New Hampshire,C=US

この例で、組織 (O) フィールド中の引用符は、会社名中に含まれるカンマ文字 (Compedia と Inc.の間のカンマ) と、フィールドの区切り文字として使用されるカンマを区別します。

VeriSign 社の Global Server ID を使用した国際的な 128 ビット SSL セッションのサポート

iTP Secure WebServer (米国国内版) は、VeriSign 社の Global Server ID に対応します。Global Server ID

により、Netscape 社の International Step-Up または Microsoft 社の SGC (Server Gated Cryptography) 機能を

提供する 40 ビットの輸出版ブラウザやその他のクライアントで、128 ビット SSL セッションが有効になり

ます。

サーバまたはブラウザが米国外にある場合は、Global Server ID のような認可されたしくみを使用しなけ

れば、128 ビット暗号化は米国の輸出規制によって大きく制限されます。

Global Server ID により、トランザクションを国際的に安全に使用できます。ただし、米国の利用者市場

に限れば、使用されているブラウザの半数以上が、Netscape Navigator または Internet Explorer の 40 ビッ

ト SSL 輸出版です。

Global Server ID を使用すれば、128 ビット SSL 暗号化を使用して各種トランザクションを安全に処理で

きます。現時点では、このようなトランザクションとして以下のようなものがあります。(Global Server ID

を使用する場合の制約に関する固有の情報や新情報については、この後に示す VeriSign 社の Web ペー

ジを参照してください)。

□ 金融機関は、米国内外の顧客に対する安全なオンライン・バンキングやその他の金融サービスを提供で

きます。

□ 企業は、米国とカナダの中で、Global Server ID を使用できるブラウザや他のクライアントを用いて交

信できます。

□ 企業は、Global Server ID を使用できるブラウザや他のクライアントを使用する、米国やカナダの国外

従業員、子会社、パートナー、および固有な顧客と交信できます。

輸出版のブラウザのいくつかは、Global Server ID を検出すると、暗号が強化されるようになっていま

す。たとえば、Netscape Communicator (4.0 以降 ) の国際版は、有効な Global Server ID を提示する iTP

Secure WebServer とのトランザクションに使用される場合は、セッション単位に 128 ビット SSL 暗号化に

対応します。この場合、Netscape Communicator は、特定の iTP Secure WebServer での現行のトランザク

ションにおいて 40 ビットの SSL 暗号化から 128 ビットの SSL 暗号化に切り替えます。

キーの長さが 40 ビットを超えると、一般に暗号が強力になる (128 ビット暗号化メッセージの解読は、

40 ビット・メッセージの 309,485,009,821,345,068,724,781,056 倍困難) と考えられているので、Global Server

ID を使用すれば、世界中のアクセス・ユーザがトランザクションを安全に処理できます。さらに、Global

Server ID により、アクセス・ユーザに対して Web サイトの正当性が保証されます。

現時点では、Global Server ID を使用できるブラウザとその他クライアントは、次のとおりです。

□ Microsoft Internet Explorer 4.0 以降、または専用パッチ対応済みの 3.02 以降

23346-001J 4-5


4-

□ Netscape Navigator 4.0 以降

□ Microsoft Money 98

□ Intuit Quicken

Global Server ID は、米国内の適格な金融機関、企業、団体、大学、および政府機関で利用できます。

Global Server ID を使用する場合の制約に関する固有の情報や新情報については、VeriSign 社の次の Web

ページを参照してください。

http://digitalid.verisign.com/server/global/help/miscGlobalFAQ.htm

Global Server ID の登録については、VeriSign 社の次の Web ページにアクセスしてください。

http://digitalid.verisign.com/server/global

iTP Secure WebServer で VeriSign 社の Global Server ID を使用するには、サーバの Global Server ID を取

得して、それを通常の証明書とまったく同様にインストールします。証明書の取得とインストールについ

ては、この後の「keyadmin ユーティリティによるキーと証明書の管理」を参照してください。

Global Server ID に対応していないブラウザやその他のクライアントにサービスを提供するために、

Global Server ID と共に他のサーバ ID も引き続き使用できます。

keyadmin ユーティリティによるキーと証明書の管理

keyadmin ユーティリティを使用すれば、キー・ペアを生成したり、サーバのキー・データベース・ファ

イル内の証明書を管理することができます。ここでは、keyadmin ユーティリティの使用方法を説明し、次

のコンテンツについて記載しています。

□ キー・ペアの新規生成 (4-7 ページ)

□ 証明書要求の作成 (4-8 ページ)

□ 証明書の要求 (4-9 ページ)

□ キー・データベース・ファイルへの証明書の追加 (4-9 ページ)

□ 証明書の削除 (4-12 ページ)

□ 証明書の更新 (4-12 ページ)

□ 証明書の有効化と無効化 (4-12 ページ)

□ キー・データベース・ファイルのパスワードの変更 (4-13 ページ)

□ キー・データベース・ファイルのコンテンツ一覧の作成 (4-14 ページ)

□ デフォルトのルート証明書の更新 (4-15 ページ)

□ データベース・エントリのエクスポート (4-20 ページ)

□ keyadmin ユーティリティの情報の表示 (4-20 ページ)

keyadmin ユーティリティは、iTP Secure WebServer がインストールされているディレクトリ中の bin

ディレクトリにあります。

6 523346-001J


5

キー・ペアの新規生成

キー・ペアを生成する前に、次のものが必要です。

□ 申請先として選択した CA からの証明書要求フォーム

Web 上の CA のホーム・ページでこのフォームにアクセスできます。サポートされている CA の一覧に

ついては、次の URL で Web ページを参照してください。(SSL サーバ証明書を必要とすることを指定

してください。)

http://www.verisign.org

□ サーバの識別に使用する DN

□ サーバのキー・データベース・ファイルに関連付けられたパスワード。既存のキー・データベース・

ファイルを使用する場合は、そのデータベース・ファイルに関連付けられたパスワードが必要です。

キー・データベース・ファイルを新規に作成する場合は、パスワードを自分で決めます。

サーバのキー・データベース・ファイル、およびキー・データベース・ファイルの暗号化に使用するパ

スワードについては、付録 A-30 ページの「KeyDatabase」および付録 A-78 ページの「ServerPassword」を

参照してください。

キー・ペアを新規に生成するには、この後に示す keyadmin コマンドを使用します。この証明書を

WebSafe2 ユニットで使用する場合は、使用する keyadmin コマンドは少し異なります。WebSafe2 ユ

ニットで使用する場合のキー・ペアの生成については、5-10 ページの「ステップ 2. 公開鍵 / 秘密鍵のペア

と証明書要求の生成」を参照してください。

任意の順序で引数を入力できます。コマンド全体を 1 行で入力してください。継続文字が必要な場合は、

例に示すように、バックスラッシュ (\) 文字を使用します。ただし、バックスラッシュでは、行をまたがっ

て DN の値を指定することはできません。

bin/keyadmin -keydb keydb [-mkpair] -dn ’dn’　\[-length key-length]　[-verbose]

備考：bin/ プリフィックスは、keyadmin ユーティリティが格納されているディレクトリを示します。デフォルトは bin ディレクトリです。

コマンドの引数の機能は、次のとおりです。

-keydb keydb 新しいキー・ペアの秘密鍵部分と公開鍵部分 (およびキーの DN) を格納する、

キー・データベース・ファイルの名前。

指定したデータベースが存在しない場合、サーバはそのデータベースを作成

し、データベースが新規に作成されたことをユーザに通知します。

-mkpair サーバに対して、デフォルト値である 512 ビットのランダムなキー・ペアを生

成するよう指示します。このコマンドを発行すると、ランダムなキーストロー

クを求められます。このキーストロークのタイミングを使用して、ランダムな

数値コードを生成します。

-mkpair を省略した場合は、このコマンドがランダムなキー・ペアと証明

書要求の両方を生成することに注意してください。

23346-001J 4-7


4-

-dn’dn’ 新規のキー・ペアに対する完全な DN。この DN を単一引用符 (’ ’) で囲んで、

シェルの解釈の対象外にします。

CA の要求フォームに入力する値と同じフィールド値が、CA が指定する順番

と同じ順番で、含まれていることを確認します。また、カンマを含む値は二重

引用符 (" ") で囲みます。

keyadminコマンドは、DN フィールド中に次の文字を受け付けます。

A-Z a-z 0-9 (空白 ) ’ ( ) + , - . / : = ? #

-length key_len ビット単位でのキーの長さ。このオプションで、暗号キーのサイズを調節でき

ます。デフォルトのキー・サイズは 512 ビットです。小キー・サイズも 512

ビットです。大キー・サイズは 1024 ビットです。ただし、輸出版の iTP

Secure WebServer の場合は、512 ビットです。

-verbose コマンド文字列をサポートする情報がすべて表示されます。

keyadmin ユーティリティは、キー・データベース・ファイルに関連付けられたパスワードを尋ねて

きます。ユーザがキー・データベース・ファイルのパスワードを入力すると、keyadminユーティリティ

は新規のキー・ペアの秘密鍵部分と公開鍵部分を作成し、キー・データベース・ファイルに格納します。

次に、このキー・ペアをユーザが指定した DN にバインドします。

キーが長いほどセキュリティも強化されます。しかし、オブジェクトの暗号化にかかる時間も長くなり

ます。SSL または PCT をサポートするあらゆるブラウザに対して、デフォルトのキー長 (512 ビット) で問

題ありません。

証明書要求の作成

公開鍵の証明書要求を作成するには、この後に示す keyadminコマンドを使用します。




bin/keyadmin -keydb keydb -mkreq cert-req-file \-dn ’dn’[-life days] [-webmaster webmaster-name] \[-phone webmaster-phone-number] [-software software] [-verbose]

備考：bin/プリフィックスは、keyadmin ユーティリティが格納されているディレクトリを示します。デフォルト

は bin ディレクトリです。


-keydb keydb キー・ペアの秘密鍵部分と公開鍵部分 (およびキーのDN)を格納している、キー・

データベース・ファイルの名前。

-mkreq cert-req-file

指定された DN に対する証明書要求を生成し、コマンドに指定されたファイル

に書き込みます。キー・ペアは、既にデータベース中に存在している必要があ

ります。

8 523346-001J


5

-dn’dn’ キー・ペアに対する完全な DN。この DN を単一引用符 (’ ’) で囲んで、シェル

の解釈の対象外にします。





A-Z a-z 0-9 (空白 ) ’ ( ) + , - . / : = ? #

-life days 証明書の有効日数。デフォルト値は 365 日です。要求された有効期間は、生成

される証明書要求の中に挿入されます。CA は、証明書の発行時にこの有効期

間を調整できます。

-webmaster webmaster-name-phone webmaster-phone-number-software software

これらのコマンドに指定したプレーン・テキスト・フィールドを証明書要求に

追加します。これらのフィールド内の情報は、ユーザに対する便宜上のもの

で、keyadminコマンドには影響しません。


keyadminユーティリティは、公開鍵と DN を、-mkreq cert-req-fileで指定されたファイ

ルに書き込みます。このファイル内の情報は、PKCS #10 メッセージ形式でエンコードされます。

証明書の要求

証明書要求を作成してファイルに書き込んだ後、CA で用意されている手順 (Web ページ上など) に従っ

て、証明書を要求します。

VeriSign 社は、現在 iTP Secure WebServer 対応のデジタル証明書を発行している CA です。VeriSign 社

の証明書は、Secure HTTP と SSL 機能が拡張された Web ブラウザの両方で利用できます。詳細について

は、次の URL で VeriSign 社の Web ページを参照してください。

http://www.verisign.com/

CA は、証明書要求を処理した後、証明書が格納された PKCS #7 形式のファイルをユーザに電子メール

で送付します。

キー・データベース・ファイルへの証明書の追加

CA から証明書を受信した後は、それをサーバのキー・データベース・ファイルにインストールし、証

明書に含まれている非表示の文字 (改行文字など) をすべて削除してください。証明書を追加するには、こ

の後に示す keyadminコマンドを使用します。この証明書を WebSafe2 ユニットで使用する場合は、使

用するkeyadminコマンドは少し異なります。WebSafe2 ユニットで使用するための証明書のインストー

ルについては、5-13 ページの「ステップ 5. 証明書のインストール」を参照してください。

23346-001J 4-9


4-

キー生成 DN とは異なる DN を持つ証明書の追加

キーの生成中に使用された DN とは異なる DN を持つ証明書を追加できます。一般に、DN が発行元 CA

によって変更される場合に、この処理が行われます。

このような証明書を初めて追加するときは、新しい DN が含まれている newdn.txt というファイルが iTP

Secure WebServer によってルート・ディレクトリに作成されます。キーの生成中に使用された DN や既に

キー・データベース・ファイルに追加されている DN とは異なる DN を持つ証明書を後で追加する場合は、

そうした証明書の DN は、newdn.txt ファイルに追加されます。newdn.txt ファイルが作成されると、DN を

必要とするすべての keyadmin コマンドや AcceptSecureTransport 指示語で使用される DN

が、"newdn is" メッセージで示されます。AcceptSecureTransport指示語については、付録 A-6

ページの「AcceptSecureTransport」を参照してください。

newdn.txt ファイルのサンプルを以下に示します。


例に示すように、バックスラッシュ (\) 文字を使用します。

bin/keyadmin -keydb keydb -addcert cert-recv-file \[-force] [-root] [-verbose]




-keydb keydb ユーザが作成したキー・ペアが格納されているキー・データベース・ファイル

の名前。

-addcert cert-recv-file

CA から受信した新しい証明書が格納されている、エンコードされたファイル

の名前。

-force 証明書に何か問題 (期限切れなど ) がある場合でも、それを追加することを指

定します。

-root 証明書をルート証明書として処理します。


コマンドのサンプルを次に示します。

bin/keyadmin -keydb conf/mykeys -addcert my-cert.txt

DN used at the time of key generation is: CN=hima.lab201.tandem.com,OU=datakomhw, O=tandem, L=cupertino, ST=california, C=USNew DN in the certificate to be added is: CN=hima.lab201.tandem.com,SN=297-68-2381, OU=a-sign.datakom.at, OU=a-sign Server Light Demo CA,O=Datakom Austria GmbH, C=ATUse the new DN for all your commands requiring a DN for this certificate.

10 523346-001J


5

このコマンドは、証明書中の公開鍵が、データベース中の同じ識別名に関連付けれられた公開鍵と一致

することを確認することで、証明書が有効であることを保証します。それから、この証明書がデータベー

ス内に挿入されます。

この時点で、サーバの設定ファイルにある KeyDatabase、ServerPassword、AcceptSecureTransport の各設定指示語を更新していない場合は、更新してください。その後で、サーバ

を再起動します。

CA からの応答は、PKCS #7 メッセージ形式で常に配信されますが、keyadmin ユーティリティでは

次の形式でデータベースに項目を追加できます。

□ PKCS #7 形式のメッセージ

□ RADIX-64 でエンコードされた証明書

□ PEM (Privacy Enhanced Message) 形式のメッセージ

keyadmin ユーティリティで PEM 形式を読み取ることはできますが、VeriSign 社では、この形式の

サポートを終了しています。

例 4-1 は、証明書を PKCS #7 形式で示したものです。

例 4-1　PKCS #7 形式での証明書のサンプル

-----BEGIN CERTIFICATE-----

MIICPzCCAekCEAS/HreKrbhGuo00vaEFPcgwDQYJKoZIhvcNAQEEBQAwgakxFjAU

BgNVBAoTDVZlcmlTaWduLCBJbmMxRzBFBgNVBAsTPnd3dy52ZXJpc2lnbi5jb20v

cmVwb3NpdG9yeS9UZXN0Q1BTIEluY29ycC4gQnkgUmVmLiBMaWFiLiBMVEQuMUYw

RAYDVQQLEz1Gb3IgVmVyaVNpZ24gYXV0aG9yaXplZCB0ZXN0aW5nIG9ubHkuIE5v

IGFzc3VyYW5jZXMgKEMpVlMxOTk3MB4XDTk3MDgwNjAwMDAwMFoXDTk3MDgyMDIz

NTk1OVowgZsxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRIwEAYD

VQQHFAlDdXBlcnRpbm8xHzAdBgNVBAoUFlRhbmRlbSBDb21wdXRlcnMsIEluYy4x

ITAfBgNVBAsUGFRlc3QgYW5kIEV2YWx1YXRpb24gT25seTEfMB0GA1UEAxQWaElN

QS5sYWIyMDEudGFuZGVtLmNvbTBcMA0GCSqGSIb3DQEBAQUAA0sAMEgCQQCm17LN

l/GG+UYvlnWujFau+PXWF6WAMlsG1MfPk5fWsl7kXw862TKzMHGNBaRzTBbcONOW

PFv4NMBZYVZAWux9AgMBAAEwDQYJKoZIhvcNAQEEBQADQQB9gqo61uzQEd9YZ2vn

dVYd4FH7+1YSGOAmqUJ6yPbv52vmLvXJjZ8b6ENVL7cYvZ55RVhYBKhenCFIu2mu

Cbuk

-----END CERTIFICATE-----

23346-001J 4-11


4-

証明書の削除

サーバのキー・データベース・ファイルから証明書とキー・ペアを削除するには、この後に示す

keyadminコマンドを使用します。


バックスラッシュ (\) 文字を使用します。ただし、バックスラッシュでは、行をまたがって DN の値を指定

することはできません。

bin/keyadmin -keydb keydb -delete -dn ’dn’ [-root] [-verbose]



このコマンドは、証明書データベースから、指定された DN に関する情報をすべて削除します。



の名前。

-delete 証明書とキー・ペアをサーバのキー・データベース・ファイルから削除するこ

とを指定します。

-dn’dn’ キー・ペアに対する完全な DN。この DN を単一引用符 (’ ’) で囲んで、シェル






A-Z a-z 0-9 (空白 ) ’ ( ) + , - . / : = ? #


証明書の更新

iTP Secure WebServer に対して更新証明書を要求する場合は、キー・ペアを格納する新しいキー・デー

タベース・ファイルの名前を指定してキー・ペアを新規に生成し、その後で CA で用意されている手順

(Web ページ上など) に従って、生成された証明書要求 (-mkreq で指定したファイル内) を電子メールで CA

に送信すれば、要求が処理されます。

証明書の有効化と無効化

キー・データベース・ファイル中の証明書を無効にする場合や、無効にされた証明書を有効にする場合

は、この後の keyadminコマンドを使用します。




12 523346-001J


5

bin/keyadmin -keydb keydb {-disable | -enable} \

-dn ’dn’　[-root] [-verbose]





の名前。

-disable キー・データベース・ファイル内の証明書を無効にします。証明書はキー・

データベース・ファイルに残るので、後から必要に応じて有効にすることがで

きます。

-enable キー・データベース・ファイル内の証明書を有効にします。

-dn ’dn’ キー・ペアに対する完全な DN。この DN を単一引用符 (’ ’) で囲んで、シェル






A-Z a-z 0-9 (空白 ) ’ ( ) + , - . / : = ? #

-root 証明書をルート証明書として処理します。


キー・データベース・ファイルのパスワードの変更

この後に示す keyadminコマンドを使用して、サーバのキー・データベース・ファイルを暗号化する

パスワードを変更します。


バックスラッシュ (\) 文字を使用します。

bin/keyadmin -keydb keydb -chpw [-verbose]





の名前。

-chpw パスワードを変更することを指定します。


23346-001J 4-13


4-

keyadmin ユーティリティは、新しいパスワードを尋ねてきます。データベース・パスワードは、8

文字 (バイト) 以上で、すべて大文字か、大文字と小文字の組み合わせにする必要があります。

備考：keyadmin ユーティリティでキー・データベース・ファイルのパスワードを変更するときは必ず、設定ファイル

内の ServerPassword 指示語を同じパスワードに再設定して、サーバを再起動してください。詳細について

は、付録 A-78 ページの「ServerPassword」を参照してください。

キー・データベース・ファイルのコンテンツ一覧の作成

キーおよび証明書とその属性の一覧を生成するには、この後に示すkeyadminコマンドを使用します。




bin/keyadmin -keydb keydb -list [-dn ’dn’] \[-root | -nonroot] [-disabled | -enabled] [-verbose]



このコマンドは、キー・データベース・ファイル内の証明書の属性を一覧表示します。

オプションを指定しなければ、サーバはデータベース中のすべての証明書を表示します。すべて表示す

るのではなく、表示したい証明書の属性を指定するには、次のオプションのコマンド・コンポーネントを

使用します。2 つのオプションを同時に使用することはできません。



の名前。

-list キーと証明書の一覧を生成することを指定します。

-dn ’dn’ dnで示された DN に一致するエントリだけを表示します。

-root ルート証明書としてマークされたエントリだけを表示します。

-nonroot ルート証明書としてマークされていないエントリだけを表示します。

-disabled 無効なエントリだけを表示します。

-enabled 有効なエントリだけを表示します。


コマンドの例を次に示します。

bin/keyadmin -keydb conf/keys -list

このコマンドの出力結果は、次のようになります。

14 523346-001J


5

--------------------------------------

Distinguished Name:

OU: Secure Server Certification Authority

O: RSA Data Security, Inc.

C: US

State: Root Enabled

Private Key: Not present

Public Key: Present

Certificate: Present

------------------------------------

Distinguished Name:

CN: Secure Transport Bootstrap Certificate

OU: Testing Only - Do Not Trust for Secure Transactions

OU: No Assurance - Self-Signed

OU: Generated Wed Mar 5 17:36:57 EST 1997

O: fenway.tandem.com

State: Enabled

Private Key: Present

Public Key: Present


-------------------------------------

存在しないキー・データベース・ファイルに対して keyadmin -listsを指定すると、このコマン

ドは、そのユーティリティに組み込まれたルート証明書だけを一覧表示します。

デフォルトのルート証明書の更新

iTP Secure WebServer は、米国およびカナダで使用する場合のデフォルトのルート証明書に対応してい

ます。要求がサーバに到達し、クライアント認証が必要な場合、iTP Secure WebServer は、証明書がデフォ

ルトのルート証明書と一致するかを確認します。一致する場合、その要求を受け付けます。一致しない場

合は拒否します。受け付ける証明書を制限したり、米国とカナダ以外で使用される証明書を定義するには、

AcceptSecureTransport指示語で、サポートする DN を指定します。

iTP Secure WebServer の新リリースにおけるデフォルトのルート証明書を例 4-2 に示します。

例 4-2　デフォルトのルート証明書の例 (1/5 ページ)

-----------------------------------

Distinguished Name

OU: Class 4 Public Primary Certification Authority

O: Verisign, Inc.

C: US

State: Root Enabled

Private Key: Not Present

Public Key: Present


23346-001J 4-15


4-


-----------------------------------

Distinguished Name


O: Verisign, Inc.

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name


O: Verisign, Inc.

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name


O: Verisign, Inc.

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

CN: Entrust Demo Web CA

O: For Demo Purposes Only

OU: No Liability Accepted

L: Nepean

C: Ca

State: Root Enabled


Public Key: Present


16 523346-001J


5


-----------------------------------

Distinguished Name

OU: MALL

OU: internetMCI

O: MCI

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

CN: BBN Certificate Services Root CA 3

O: BBN Certificate Services Inc

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

CN: BBN Certificate Services Root CA 2

O: BBN Certificate Services Inc

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

OU: Secure Server Certification Authority


C: US

State: Root Enabled


Public Key: Present


23346-001J 4-17


4-


-----------------------------------

Distinguished Name

OU: Persona Certificate


C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

OU: Certificate Services

O: AT&T

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

OU: Directory Services

O: AT&T

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

OU: Transaction Services

O: AT&T

C: US

State: Root Enabled


Public Key: Present


18 523346-001J


5


-----------------------------------

Distinguished Name

CN: GTE CyberTrust Root

O: GTE Corporation

C: US

State: Root Enabled


Public Key: Present


-----------------------------------

Distinguished Name

CN: Open Market, Inc.

OU: No Assurance Beta Certificates

OU: For testing and evaluation use only

O: OMI Persona CA

L: Cambridge

ST: MA

C: US

State: Root Enabled


Public Key: Present


------------------------------------

keyadmin ユーティリティの -initdefaults オプションを使用すれば、キー・データベース・

ファイル中のデフォルトのルート証明書を更新できます。このオプションで、次の処理が行われます。

□ keyadminに新情報がある場合は、既存のルート証明書が更新されます。

□ データベースにないルート証明書が追加されます。

データベース中のデフォルトのルート証明書を更新するには、次のkeyadminコマンドを使用します。

keyadmin -keydb keydb -initdefaults [-verbose]



の名前。

-initdefaults キー・データベース・ファイル中のデフォルトのルート証明書を更新すること



通常、このオプションを実行する必要はありません。

23346-001J 4-19


4-

データベース・エントリのエクスポート

指定したキー・データベース・ファイル中のエントリを任意の名前のファイルに書き込むように要求で

きます。そうすると、この新しいファイルをキー・データベース・ファイルとして使用できます。




データベース・エントリをエクスポートするには、次のコマンドを使用します。

bin/keyadmin -keydb keydb -export key-file -dn ’dn’[-overwrite | -nooverwrite] [-verbose]



このコマンドは、新しいデータベースで使用するパスワードを尋ねてきます。



の名前。

-export key-file

指定されたファイル名のファイルにキーと証明書の一覧を生成することを指

定します。

-dn ’dn’ 特定の DN に関連付けられているキーを指定します。

-overwrite 既存のエントリに上書きすることを指定します。

-nooverwrite 既存のエントリに上書きしないことを指定します。


新しいデータベース中にエントリが既にある場合、keyadmin は、既存のエントリを上書きしてもよ

いか尋ねてきます。ただし、-overwriteオプションを指定した場合は、尋ねずに上書きしますが、エ

ントリを上書きしたことを示すメッセージは生成されます。

-nooverwrite オプションを指定した場合、keyadmin は、エントリを上書きしなかったことを

示すメッセージを生成します。

keyadmin ユーティリティの情報の表示

keyadminに関する情報を表示するには、次の keyadminコマンドを発行します。

bin/keyadmin -version [-verbose]



20 523346-001J


5

このコマンドは、実行中の keyadminユーティリティに関する次の情報を表示します。

□ ユーティリティ名 (keyadmin)

□ ユーティリティのバージョン番号

□ ユーティリティが作成されたオペレーティング・システム・プラットフォーム

iTP Secure WebServer によるサーバ証明書チェーンの使用

iTP Secure WebServer の SSL 3.0 プロトコルにより、証明書チェーンを送受信できます。証明書チェー

ン・オプションを使用すれば、2 階層を超える証明書階層を設定できます。サーバ証明書チェーンのサポー

トにより、iTP Secure WebServersで、証明書チェーンであるVeriSign社のGlobal Server IDを使用できます。

Global Server ID の詳細については、4-5 ページの「VeriSign 社の Global Server ID を使用した国際的

な 128 ビット SSL セッションのサポート」を参照してください。証明書と証明書チェーンの詳細につい

ては、付録 D-5 ページの「証明書の使用」を参照してください。

この機能を使用するために iTP Secure WebServer の設定を変更する必要はありません。ただし、クライ

アントとサーバの間の証明書チェーンの送信に SSL 3.0 のサポートが必要になるので、確実に新バージョ

ンの iTP Secure WebServer を使用してください。

セキュリティを強化するために WebSafe2 ユニットで証明書チェーンを使用することも可能です。その

場合、固有の設定の詳細については、5-15 ページの「WebSafe2 暗号化でのサーバ証明書チェーンの使用

方法」を参照してください。

サーバ証明書チェーンを作成するには、次の手順に従ってください。

1. 適切な CA からリーフ証明書と中間証明書を取得します。Global Server ID をサポートするために証明

書を使用する場合は、次の Web サイトで VeriSign 社から証明書を取得します。

http://www.verisign.com

2. VeriSign社から証明書チェーンが送信される場合、リーフ証明書はSERVER SUBSCRIBER CERTIFICATE

というテキストの後にあり、中間証明書は INTERMEDIATE CA CERTIFICATE というテキストの後に

あることに注意してください。

3. 次のようにリーフ証明書と中間証明書を格納します。

指定された証明書ファイル (例では cert.txt) にあるリーフ証明書 (----- BEGIN CERTIFICATE-----と ----- END CERTIFICATE -----というラベルの行を含む) を、次の例に示すよ

うに keyadminコマンドを使用して格納します。

keyadmin -addcert cert.txt

指定された証明書ファイル(例ではintermediate.txt)にある中間証明書(-----BEGIN CERTIFICATE

-----と ----- END CERTIFICATE -----というラベルの行を含む) を、次の例に示すよ

うに keyadminコマンドを使用して格納します。

keyadmin -addcert intermediate.txt

23346-001J 4-21


4-

keyadmin を使用して証明書を追加する方法の詳細については、4-9 ページの「キー・データベース・ファ

イルへの証明書の追加」を参照してください。

クライアント認証の管理

SSL 3.0 では、サーバは常にクライアントに対してサーバ自身の正当性を証明します。ただし、Web ク

ライアントがサーバに対してクライアント自身の正当性を証明するように要求するよう、サーバを設定す

ることもできます。

AcceptSecureTransport設定指示語は、サーバによるクライアント認証の制御方法を指定する

ためのオプションを、2 種類用意しています。

-requestauth サーバは、Web クライアントによる証明書の提示を要請します。Web クライ

アントは、証明書を示すか示さないかを選択できます。

-requireauth サーバは、Web クライアントによる証明書の提示を要求し、Web クライアン

トが拒否した場合は通信を終了します。

-requestauth オプションまたは -requireauthオプションを指定しない限り、クライアント

認証は発生しません。この 2 つのオプションのどちらかを指定すると、Region 設定指示語の中で Web

クライアントの認証情報を利用することで、iTP Secure WebServer へのアクセスを制限できます。クライ

アント認証を設定するには、RequireSecureTransport -authコマンドを使用するか、特定の

Region変数に基づいてアクセスを制限します。

iTP Secure WebServer は、Web クライアント証明書を要求して、それを Web クライアントから個別の証

明書または証明書チェーンとして受信した後に、クライアント認証のために次の手順を実行します。

1. クライアントが返した情報を使用して、内部証明書チェーンを作成します (SSL 2.0 または PCT の場合

は証明書、また SSL 3.0 の場合は証明書チェーン)。

2. 内部証明書チェーンを末尾から作成するため、証明書データベースから発行者の証明書を検索し、内部

証明書チェーンに追加します。このチェーンの作成は、ルート証明書としてマークされた証明書をサー

バがデータベースから取得するか、またはデータベース中のチェーン上に証明書の発行者が見つからな

くなるまで続きます。

3. リーフ証明書を初としてチェーン内の各証明書を検証し、チェーンが正しくフォーマットされている

か、証明書が有効期間内であるか、基本的制約 (Basic Constraints) とキー使用 (Key Usage) の拡張規則

に従っているか、またチェーン内の後続者が発行した有効な署名があるか、などを確認します。

4. この検証結果を各種の TCL/CGI (Tool Command Language/Common Gateway Interface) 変数に格納しま

す。

5. 適切なログ・メッセージを拡張ログ・ファイル (ELF) エントリに追加します。

この時点以後は、サーバの動作はその固有の設定によって異なります。この設定について

は、「-requestauth オプションの利用」の変数設定一覧の中で示します。

22 523346-001J


5

-requireauth オプションの利用

-requireauthオプションを設定している場合に、クライアントが無効な証明書を示した場合 (たと

えば、証明書が存在しない、証明書の中にエラーがある、偽造されている、有効期限が切れている、サー

バが認識していない認証機関によって発行された、など )、サーバは Web クライアントからの接続要求を

拒否し、エラー・ログ・ファイルと拡張ログ・ファイルにエラー・メッセージを出力します。

Webクライアントが有効な証明書を示した場合、サーバは接続を許可し、変数HTTPS_CLIENT_ STATUS

を有効に設定します。サーバは、HTTPS_CLIENT 関連の他の Tcl/CGI 変数も同時に設定します。Tcl/CGI

変数については、8-10 ページの「CGI 環境変数の受け渡し」を参照してください。

-requestauth オプションの利用

-requestauth オプションを設定すると、サーバは、クライアント証明書の状態に関わらず、Web

クライアント接続を許可します。さらに、サーバはクライアント証明書のステータス (証明書が有効か無効

か)を変数HTTPS_CLIENT_STATUSに設定します。サーバは、この変数を次の値のいずれかに設定します。

No certificate 証明書は存在しません。

Error in certificate 証明書にエラーがあります。

Not verified 証明書は、サーバが認識していない CA によって発行されました。

Forged 証明書は偽造されています。

Not valid yet サーバは、クライアント証明書または証明書チェーンを要求および受信しま

したが、証明書の開始日が未来の日付になっています。

Expired 証明書の有効期限が切れています。

Issuer certificate not CAtype

サーバは、クライアント認証を要求し、X509 version 3 の証明書を含むクラ

イアント証明書チェーンを受信しました。しかし、発行者証明書の中には CA

権限のないものがあります。これは、発行者証明書に基本的制約 (Basic

Constraints)拡張機能が含まれており、サブジェクト・タイプがEND_ENTITY

に設定されていることからわかります。

Max path lengthexceeded


イアント証明書チェーンを受信しました。しかし、発行者証明書の中に、サ

ブジェクト・タイプが CA に設定されている基本的制約 (Basic Constraints)

拡張機能が含まれており、さらに max path lengthが指定され、大

パス長を超えています。

Issuer can’t signcertificates


イアント証明書チェーンを受信しました。しかし、発行者証明書の中に、キー

使用 (Key Usage) 拡張機能が含まれており、証明書が証明書署名機能を持っ

ていない (ただし、証明書に署名するためにまだ使用されている) ものがあり

ます。

Valid certificate but withno extensions


イアント証明書チェーンを受信しました。しかし、発行者証明書の中に、基

本的制約 (Basic Constraints) 拡張機能もキー使用 (Key Usage) 拡張機能も含

まれていないものがあります。

23346-001J 4-23


4-

備考： iTP Secure WebServer は、証明書の正当性検証において複数エラーを発見した場合、初のエラーだけを

通知します。

SSL 設定と PCT 設定の更新

公開鍵 / 秘密鍵のペアの生成、および証明書のインストールを実行し、さらにキー・データベース・ファ

イルのパスワードを変更した後は、この新しい情報および keyadminユーティリティ実行時の DN を使

用して、設定ファイル httpd.stl.config を更新します。このファイルは、/usr/tandem/webserver/conf ディレ

クトリにあります。

httpd.stl.configの内容は、例 4-3 に示しています。例の後にその内容を簡単に説明します。指

示語の詳細については、付録 A「設定指示語」を参照してください。

例 4-3　安全なトランスポートのための httpd.stl.config ファイルのサンプル

# httpd.stl.config

# Configure the required Secure Transport information

#

# Disable transmission of SSLv3 close_notify alert messages to

# Microsoft browsers.

#

Region /* {

if {[info exists HEADER(user-agent)]

&& [string match "*MSIE*" $HEADER(user-agent)]} {

DisableCloseNotify

}

}

KeyDatabase $root/conf/test_key.db

ServerPassword WebServer

AcceptSecureTransport -transport /G/ZTC0 -port 443 -cert

{CN=Test Key, OU=Testing Only, O="Tandem Computers,Inc.",

ST=California,C=US}

Valid certificate but rootcertificates don’t match


イアント証明書チェーンを受信しました。Web クライアントが示したチェー

ンのルート証明書の中に含まれている公開鍵は、キー・データベース・ファ

イル中のルート証明書の公開鍵と一致します。しかし、この 2 つの証明書の

中には、一致しないフィールドがあります。この状態が発生するのは、ルー

ト証明書が更新されたのに、Web クライアントもキー・データベース・ファ

イルも、新しい証明書で更新されていない場合です。

Valid certificate サーバは、クライアント証明書またはクライアント証明書チェーンを要求お

よび受信しました。さらに、事前チェックはすべて通過しています。

24 523346-001J


5

Region /*/ssl-sample-dir {

RequireSecureTransport

}

KeyDatabase指示語は、キーと公開鍵証明書を格納するファイルを指定します。

ServerPassword指示語は、キー・データベース・ファイルの暗号化に使用されたパスワードを指

定します。このパスワードは、keyadmin ユーティリティ実行時に指定したパスワードと同じでなけれ

ばなりません。詳細については、4-13 ページの「キー・データベース・ファイルのパスワードの変更」を


AcceptSecureTransport指示語は、TCP/IP プロセス、DN、および SSL 接続と PCT 接続で使

用するポートを指定します。

備考：SSL と PCT で使用する標準のポートは 443 です。このポートを使用する場合、サーバを Super ID で起動

します。これについては、第 2 章「iTP Secure WebServer のインストール」を参照してください。

入力する DN は、証明書要求生成時に keyadminコマンドで指定した DN と同じものです。

Region指示語では、安全なサーバとその Web コンテンツへのクライアントのアクセス方法を制御で

きます。それぞれのコマンドは、中カッコで囲んで入力します。先ほどの例では、Region 指示語によ

り、SSL 接続または PCT 接続を使用するクライアントに対して、/ssl-sample-dirへのアクセスが

制限されます。

アクセスとプライバシの制御

Web クライアント～サーバ間の接続は、SSL および PCT により暗号化されます。Web クライアントは、

サーバの公開鍵証明書でサーバの正当性を検証できます。また、Web クライアント自体の正当性を証明す

るように、サーバが Web クライアントに要求することもできます。

サーバのアクセスとプライバシを制御するには、次の処理を実行します。

□ Regionコマンドを指定して、サーバの応答を制御します。

□ CGI プログラム中で SSL または PCT の変数を使用して、情報にアクセスします。

Region コマンドを使用したコンテンツへのアクセスの指定

Region指示語の RequireSecureTransport コマンドを使用して、SSL 接続または PCT 接

続、あるいはその両方だけがコンテンツの特定の領域にアクセスできるように指定できます。たとえば、

機密情報が傍受されるのを防ぐには、RequireSecureTransport コマンドを次のように使用でき

ます。

Region /recipes/* {RequireSecureTransport

}

この例では、サーバ上の /recipes領域中のオブジェクトに対するすべての要求を、SSL または PCT

で行う必要があります。

23346-001J 4-25


4-

アクセスをさらに制限するには、次の例のように、RequireSecureTransport コマンド

で -authオプションを使用して、クライアント認証を行うように要求します。

Region /recipes/* {RequireSecureTransport -auth

}

この例では、SSL または PCT を使用して認証されたクライアントだけが、サーバ上の /recipes/ の高機

密領域にあるオブジェクトにアクセスできます。Regionコマンドの詳細については、付録 A-49 ページ

の「Region」を参照してください。

Regionコマンド中で CGI 環境変数を使用することもできます。セキュリティ関連の CGI 変数は、す

べて Regionコマンド中で利用できます。

たとえば、次のコマンドでは、128ビット長のキーを使用するクライアントだけにアクセスを許可します。

Region /* {if {$HTTPS_KEYSIZE != 128} {Deny}

}

次の例では、Web クライアントの DN を使用しています。

set goodusers {CN=User 1, OU=Persona Certificate,\ O="RSA Data

Security, Inc.", C=US}lappend goodusers {CN=User 2, OU=Persona Certificate,\ O="RSAData Security, Inc.", C=US}RegionSet goodusers $goodusers

Region /* {RequireSecureTransport -auth $goodusers

}

このコマンドでは、goodusers で指定されたいずれかの DN を使用して証明書を提示したクライア

ントだけに、アクセスを許可します。

CGI プログラムにおける SSL 環境変数と PCT 環境変数の利用

SSL環境変数とPCT環境変数を使用して、CGIプログラムからの要求に関する情報にアクセスできます。

SSL 環境変数は、CGI プログラムから利用できます。SSL 環境変数の利用方式は、プログラミング言語

によって異なります。SSL 環境変数と PCT 環境変数の一覧、およびこの環境変数をプログラムで使用する

方法については、第 8 章「CGI (Common Gateway Interface) プログラムの使用」を参照してください。

暗号化と整合性チェックの制御

iTP Secure WebServer では、Web クライアントとサーバは、利用する暗号化アルゴリズムを協議できま

す。暗号化アルゴリズムのことを暗号化方式 (サイファ) といいます。採用した暗号化方式は、クライアン

ト～サーバ間に必要な暗号化と整合性チェックの両方を制御します。

暗号化により、伝送中のメッセージのプライバシが保護されます。整合性チェックは、伝送中にメッセー

ジが変更されなかったことを証明します。

26 523346-001J


5

AcceptSecureTransport 指示語を使用した暗号化方式の利用

iTP Secure WebServer では、WebServer でサポートさせる暗号化方式を指定できます。特定の暗号モー

ドを指定すると、接続ごとに大限のセキュリティが保証されます。

暗号化と整合性チェックは、AcceptSecureTransport指示語の引数 -ciphers で制御され

ます。引数 -ciphersの構文と使用方法については、付録 A-6 ページの「AcceptSecureTransport」を参


一般に、選択すべき暗号化方式は、iTP Secure WebServer の用途によって異なります。たとえば、会計

トランザクションやプライベートな個人データに対して使用する場合、Triple DES という暗号化方式を使

用すればセキュリティが強化されます。基本レベルのプライバシ保護を実現するには RC4 という暗号化方

式を使用すれば十分であり、処理速度への影響も小限で済みます。

iTP Secure WebServer の暗号化方式で使用されるハッシュ暗号化方式

iTP Secure WebServer における安全なトランスポートのポートに対する暗号化方式には、2 種類のハッ

シュ・アルゴリズムを利用できます。1 つ目の MD5 は、各種のインターネット・アプリケーションで長年

にわたり幅広く使用されています。もう 1 つは、米国政府が開発した SHA1 (Secure Hash Algorithm) です。

ほとんどのアプリケーションでは、どちらの暗号化方式でも十分なセキュリティを確保できます。

利用可能な暗号化方式の選択における協議

-ciphers オプションを使用して、iTP Secure WebServer が使用する一括暗号およびハッシュ・アル

ゴリズムを記述する Tcl の暗号化方式リストを指定します。-ciphersオプションを指定しない場合、暗

号化方式はデフォルトで設定されます。

接続用に協議される暗号化方式は、Web クライアント側リストの中でサーバがサポートする初の暗号

化方式です。たとえば、Web クライアント側リストが 1 2 3 4 の順で、サーバ側リストが 4 3 2 である場合、

暗号化方式 2 が選択されます。この理由は、この方式がクライアント側リストの先頭にあり、同時にサー

バ側リストにも存在するためです。

この概念を図 4-1 に示しています。

図 4-1　Web クライアント側とサーバ側のリストにおける暗号化方式の協議

23346-001J 4-27


4-

iTP Secure WebServer が対応している暗号化方式とハッシュ・アルゴリズムの一覧は、付録 A-6 ページ

の「AcceptSecureTransport」を参照してください。

暗号化方式を使用する際の制約事項

iTP Secure WebServer には、次の制約があります。

□ 輸出禁止版の iTP Secure WebServer は、40 ビットまたは 128 ビットのキーを使用する RC4/RC2 暗号化

方式に対応しています。

□ 輸出版の iTP Secure WebServer は、40 ビットのキーだけを使用する RC4/RC2 暗号化方式に対応してい

ます。

実際に使用されるキーは、Web クライアント側が選択します。iTP Secure WebServer がサポートしてい

るキー長に Web クライアントが対応していない場合、セッションは終了します。

28 523346-001J

第 5 章　WISP (WebSafe2 Internet Security Processor) の統合

5

第 5 章 WISP (WebSafe2 Internet Security Processor) の統合

この章では、Atalla WISP (WebSafe2 Internet Security Processor) の使用する際の、iTP Secure WebServer

の設定について説明します。


□ SCT (Secure Configuration Terminal) (5-3 ページ)

□ WID (WebSafe2 Interface Driver) (5-3 ページ)

□ iTP Secure WebServerがWISP (WebSafe2 Internet Security Processor) を使用する方法 (5-3 ページ)

□ WISP (WebSafe2 Internet Security Processor) の統合方法 (5-5 ページ)

□ WebSafe2 暗号化でのサーバ証明書チェーンの使用方法 (5-15 ページ)

□ SSL 3.0 ハードウェア暗号化の設定とバージョンの要件 (5-16 ページ)

□ WISP (WebSafe2 Internet Security Processor) の追加設定 (5-19 ページ)

□ WebSafe2からソフトウェア暗号化への切り替え (5-19 ページ)

□ ソフトウェア暗号化からWebSafe2 (ハードウェア) 暗号化への切り替え (5-19 ページ)

□ この後に習得すること (5-20 ページ)

備考：SSL (Secure Sockets Layer) 3.0 と PCT (Private Communication Technology) を同時に使用することはで

きません。

WISP で SSL 3.0 を使用するには、WISP ファームウェアのバージョン 2.6.11 以降および WID ソフトウェア

IPM AAC 以降を実行する必要があります。動作中のファームウェアのバージョンを調べるには、『WebSafe2Internet Security Processor Installation and Operations Manual』に記載されているように WebSafe2 1101ユーティリティ・コマンドを使用してください。バージョン文字列が 2611 でなければなりません。

キー長が 1024 ビットの証明書を使用するには、Atalla WISP ファームウェアのバージョン 2.761 を実行す

る必要があります。

WISP は暗号化用デバイスであり、iTP Secure WebServer の公開鍵と秘密鍵の暗号化および解読が実行

できます。WISPはEthernetネットワーク上にインストールされ、TCP/IPプロトコルで iTP Secure WebServer

と通信します。SLIP (Serial Line Internet Protocol) と PPP (Point-to-Point Protocol) には対応していません。

セキュリティ上の理由から、WISP はプライベート・サブネット上にインストールすることをお勧めしま

す。図 5-2 に、iTP Secure WebServer 環境の WISP を示します。

23346-001J 5-1


5-

図 5-2　iTP Secure WebServer 環境における WISP (WebSafe2 Internet Security Processor)

WISP には次のような特徴があり、プライベート通信において高レベルのセキュリティを実現します。

□ WISP は、MFK (Master File Key) により、iTP Secure WebServer の秘密鍵を暗号化します。WISP は、

この MFK のコピーだけを保持します。

□ WISP の内容は、ネットワークからはアクセスできません。

WISP は、業界標準の RSA アルゴリズムおよび DES アルゴリズムを使用して、公開鍵 / 秘密鍵の暗号化

および解読作業におけるサーバの負荷を軽減します。これらの作業を実行するうえで、WISP は、物理的、

論理的に安全な場所となり、鍵のかかったデータへの不正アクセスを防止します。WISP のコンテンツは、

MFK (Master File Key) によって保護されます。MFK は、初期化時に WISP にロードされます。WISP の初

期化および管理には、SCT (Secure Configuration Terminal) というデバイスを使用します。ネットワーク接

続では、WISP の制御やその内容へのアクセスはできません。

WISP は、不正干渉や、急激な温度変化および危険性の高い電圧変動を検出するためのセンサを備えて

います。

2 523346-001J


5

iTP Secure WebServer の SSL 3.0 プロトコルは、WebSafe2 の暗号化を利用して、iTP Secure WebServer

との間で証明書チェーンを送受信できます。証明書チェーンの送受信については、5-15 ページの「WebSafe2

暗号化でのサーバ証明書チェーンの使用方法」を参照してください。

SCT (Secure Configuration Terminal)

SCT は、メニュー型インタフェースを備えた携帯型デバイスであり、キー値の定義、WISP へのキーの

送信、および WISP に対する設定とユーティリティ機能の実行に使用されます。SCT は電源とアダプタを

備えているので、WISP に接続しない状態でもキーとパスワードを定義して格納できます。その後で SCT

と WISP を接続すれば、そのキーとパスワードは WISP に送信できます。

WID (WebSafe2 Interface Driver)

WISP を使用するには、WID ソフトウェアをインストールします。WID は、WISP と iTP Secure

WebServer との間のインタフェースを提供します。WID は NonStop TS/MP サーバ・クラスなので、iTP

Secure WebServer PATHMON 環境、または同じ NonStop システム上の別の PATHMON 環境で実行でき

ます。

WID プロセスは、WISP を 1 つだけ使用します。複数の WISP を同時に使用するには、WID サーバ・ク

ラス内に複数のプロセスを定義します。WID サーバ・クラス内に適正なサーバ数を定義するガイドライン

を、次に示します。

□ スタティック・サーバ数 (Numstatic) は、同時接続するセッション数の平均値と同数に定義します。サー

バ・クラスの Maxlinks と Linkdepth の属性の値は、1 でなければなりません。

□ 大サーバ数 (Maxservers) は、すべての WISP に対して大接続数 (現時点では各 WISP に 14) 以下の

数を定義します。

□ httpd (WebServer) プロセス数は、WID サーバ・クラス内のプロセス数以上の数を定義します。

設定の中に WISP が複数あり、WID サーバが 1 つだけある場合、WID は、設定の中で参照される順に

WISPを使用します。使用中のWISPに障害が発生した場合、WIDは、設定にある次のWISPを使用できます。

WISP の数は、WID プロセス数より少なくてもかまいません。つまり、複数の WID プロセスが、同じ

WISP を使用できます。

iTP Secure WebServerが WISP (WebSafe2 Internet Security Processor) を使用する方法

WISP は、iTP Secure WebServer が使用する公開鍵 / 秘密鍵のペアを生成します。また、秘密鍵を保護す

るために、MFK を使用してその秘密鍵を暗号化します。iTP Secure WebServer の動作中 WISP はクライア

ントから送信されるマスター・キーを解読します。これにより、サーバはセッション・キーを生成し、ク

ライアントとの通信時に使用できます。図 5-3 にこの動作を示します。

23346-001J 5-3


5-

図 5-3　WebSafe2 による安全な通信のセットアップ

Web クライアントは、通信のハンドシェイク・フェーズにおいて、iTP Secure WebServer にマスタ・キー

を送信します。その際、サーバの証明書と共に受信したサーバの公開鍵を使用して、そのマスタ・キーを

暗号化します。このキーは、サーバとクライアントの両方が使用するセッション・キーを生成するために、

その両方で使用されます。サーバは、暗号化されたマスタ・キーを解読するため、WISP に渡します。

WISP はこのマスタ・キーを解読しますが、KEK (Key Exchange Key) で保護してから、iTP Secure

WebServer に返します。KEK は、ほかのキーを暗号化するキーです。サーバは、マスタ・キーで、SERVER-

READ セッション・キーと SERVER-WRITE セッション・キーを生成します。

フォルト・トレランス (耐障害性) を実現するための要件

WISP に障害が発生した場合、暗号化機能をソフトウェアで行うようには自動的にはバックアップされ

ません。そのため、1 箇所に障害が発生しても動作を継続するように、ハードウェアをインストールおよ

び設定します。iTP Secure WebServer が動作する LAN (ローカル・エリア・ネットワーク) のほかに低限

必要な設定は、次のとおりです。

□ 2 台の WISP

□ 2 つの LAN セグメント

□ 2 台の 3615 Ethernet LAN コントローラ

□ 2 つの Ethernet 4 ServerNet アダプタ (E4SA)、または 2 つの Token-Ring ServerNet アダプタ (TRSA)

4 523346-001J


5

WISP (WebSafe2 Internet Security Processor) の統合方法

既に稼動している iTP Secure WebServer 環境に WISP を追加すれば、発生した問題の切り分けが容易に

なります。

iTP Secure WebServer をインストールしていない場合

iTP Secure WebServer をインストールしていない場合は、第 2 章「iTP Secure WebServer のインストー

ル」の手順に従って、システムの準備、ソフトウェアのインストールと設定を行い、初に WISP がない

状態でテストします。次に、この後の「WebSafe2 暗号化に移行する場合」の手順を実行します。

WebSafe2 暗号化に移行する場合

iTP Secure WebServer を既にインストールしており、SSL のソフトウェア暗号化機能を利用している場

合は、この手順を実行して WISP を iTP Secure WebServer 環境に統合します。

1. WISP をインストールします。

5-6 ページの「WISP (WebSafe2 Internet Security Processor) のインストール」を参照してください。

2. 取得する証明書に対する識別名 (DN) を用意します。

5-6 ページの「証明書に対する識別名 (DN) の用意」を参照してください。

3. PAX アーカイブから WID ソフトウェアをインストールします。

5-6 ページの「WID (Websafe2 Interface Driver) のインストール」を参照してください。

4. WISP を利用できるよう、iTP Secure WebServer を設定します。

5-7 ページの「WISP (WebSafe2 Internet Security Processor) を利用するための iTP Secure WebServer の

設定」を参照してください。

5. 公開鍵 / 秘密鍵のペアを生成し、証明書を取得します。

5-9 ページの「公開鍵 / 秘密鍵のペアの生成および証明書の取得」を参照してください。

備考：SSL の暗号化機能の中で使用されていた公開鍵 / 秘密鍵のペアと証明書は、iTP Secure WebServer が WISPと共に動作しているときには利用できません。この章の適切な手順に従って、公開鍵 / 秘密鍵のペアを生成

し、WISP と併用できる証明書を取得してください。

6. この証明書をインストールします。

7. クイックスタート手順を実行し、インストールと設定のコンテンツを検査します。

5-14 ページの「WISP (WebSafe2 Internet Security Processor) の統合の検証」を参照してください。

サーバが動作している場合は、サーバを再起動しないと設定の変更が有効になりません。

23346-001J 5-5


5-

WISP (WebSafe2 Internet Security Processor) を旧バージョンからアップグレードする場合

WISP ファームウェアをバージョン 2.4 以前からバージョン 2.5 以降にアップグレードする場合は、Atalla

の担当者に連絡して、ハードウェア・キー・データベースを新たに APKB (Atalla Public Key Block) 形式の

バージョンに変換する必要があります。

WISP (WebSafe2 Internet Security Processor) のインストール

WISP のセットアップと初期化に必要な手順については、『WebSafe2 Internet Security Processor

Installations and Operations Guide』を参照してください。WISP を iTP Secure WebServer 環境に統合する

際には、以下の作業が必要です。

□ 各 WISP への IP アドレスの割り当て。SCT を使用してアドレスを割り当てます。具体的には、Set IP

Address コマンドで IP アドレスを割り当て、次に Get IP Address コマンドで、入力したアドレスを確認

します。IP アドレスを確認した後に、WISP をいったんオフにし、再度オンにしてから、WebServer 設

定の中でそのアドレスを使用します。

□ 各 WISP への Superkey と MFK のロード。SCT を使用して、これらのキーを作成して、WISP にロー

ドします。

備考：同一の iTP Secure WebServer 環境内にある WISP は、すべて同じ Superkey と MFK を持っている必要が

あります。WISP が複数ある場合、それぞれは、同じ証明書を持つことも別々の証明書を持つこともできま

す。ただし、すべての WISP が同じ証明書を使用すれば、設定情報の管理がも単純になります。

□ WISP で SSL 3.0 のサービスを使用する場合は、WID の新のバージョンをインストールする必要があ

ります。固有の情報については、5-6 ページの「WID (Websafe2 Interface Driver) のインストール」を参


証明書に対する識別名 (DN) の用意

4-4 ページの「識別名 (DN) の書式化」にある指示を実行し、取得する証明書に対する DN を用意しま

す。この DN は、公開鍵 / 秘密鍵のペアの設定時および生成時に使用します。

WID (Websafe2 Interface Driver) のインストール

WIDソフトウェアをインストールするには、次のコマンドを使用してファイルT7951PAXを解凍しま

す。

$ISV.ZWEB.COPYOSS $ISV.ZWEB.T7951PAX

ここでの要素は次のとおりです。

ISV

インストール先ボリュームです。

COPYOSS

このコマンドで、アーカイブ中のすべてのファイルを /user/tandem/webserver ディレクトリに配置で

きます。

6 523346-001J


5

WISP (WebSafe2 Internet Security Processor) を利用するための iTP Secure WebServer の設定

WISP を利用できるよう iTP Secure WebServer を設定するには、<installation directory>/

admin/confディレクトリにある install.WS -websafeを実行します。

□ iTP Secure WebServer 環境の残りの部分を設定するときに同時に WISP も設定するには、スクリプト

install.WS を使用します。その際、新規に設定を行うか、既存の設定をアップグレードするかに

より、-upgradeオプションを指定するかが決まります。

□ WISP を既存の設定に追加するには、スクリプト install.WSに -websafeオプションを指定し

ます。(install.WS -upgrade を実行し、既存の iTP Secure WebServer を新しい iTP Secure

WebServer で置き換えている場合は、-websafeオプションを指定しないでください。このスクリプ

トは、WebSafe2 の設定を自動的に更新します。)

このスクリプトを実行する前に、SCF (Subsystem Control Facility) で、TCP/IP プロセスがプライベート

の WebSafe2 サブネットに対して指定されていることを確認してください (この確認手順は、デフォルトの

TCP/IP プロセス名である $ZTC0を使用する場合でも実行してください)。iTP Secure WebServer 設定時

に指定する TCP/IP プロセス名が、既に WebSafe2 サブネットに対して指定されていない場合、WID は起

動しません。また、iTP Secure WebServer は WISP と通信できません。

スクリプト install.WS は、DN、WISP の IP アドレス、および各アドレスに対する TCP/IP プロ

セス名を尋ねてきます。install.WSに -upgradeオプションまたは -websafeオプションを指

定して実行している場合、このスクリプトは古い設定を自動検出し、古い httpd.websafe.config を

httpd.websafe.

config.BAK という名前で保存し、ユーザが指定する新しい設定を実装します。

23346-001J 5-7


5-

例 5-1 は、install.WS スクリプトの実行例です。

例 5-1　WebSafe2 の install.WS スクリプトのサンプル

#: cd /usr/tandem/webserver/admin/conf

#: install.WS -websafe

This script installs WebSafe configuration files and sets up iTP

Webserver for WebSafe crypto. To revert to software crypto, simply

remove the file httpd.websafe.config in this directory and restart

the server.

Copying files...please wait

Looking up running TCP/IP processes on your system...please wait

Enter a space separated list of TCP/IP processes which the iTP

WebServer will use. The process name must be entered in OSS format.

Default: /G/ZTC0 /G/ZTC2 /G/ZTC9

#:

Enter the TCP/IP SSLPort to be used with WebSafe(Default port 443).

#:

Enter the distinguished name(no default).

Example: CN=customer test key,OU=Persona Certificate,O="RSA Data

Security, Inc.",C=US.

Use double quotes (" ") around entry with embedded commas.

#:

Enter the IP address and TCP/IP name pairs for WebSafe boxes. One

Ip address/TCP name pair per line.

Maximum number pairs is 16. Enter a dot(.) when finished.

No default is provided.

Example: 172.16.71.30 $ZTC8.

#:

Enter the location of WID keyfile(Default is

/usr/local/webserver/conf/wid.keyfile).

Example: /usr/local/webserver/conf/wid.keyfile.

#:

Configuring...please wait

The WebSafe configuration is complete. Run the keyadmin utility to

obtain a certificate if you have not yet done so. Once you get the

certificate, restart the server to use WebSafe encryption.

8 523346-001J


5

このスクリプト install.WSは、httpd.websafe.configファイルのサンプルを使用してい

ます。このサンプル・ファイルのコンテンツは、第 7 章「iTP Secure WebServer の設定」に示しています。

このファイルを編集すれば、WebSafe2 の設定を変更できます。

必ず残りの作業を完了してから、WISP を再起動してください。

公開鍵 / 秘密鍵のペアの生成および証明書の取得

WISP は、公開鍵 / 秘密鍵のペアを生成し、コンパック NonStop システムに送信します。コンパック

NonStop システムでは、wid.config 中の keyfile 文によって指定されたファイルに、このキー・

ペアを格納します。証明書を取得するには、認定された CA (認証機関) に証明書要求を送信します。公開

鍵 / 秘密鍵のペアを生成し、証明書を取得するには、以下の手順を実行します。

1. バリアント 0 を使用して KEK (Ｋey Exchange Key) ペアを取得します。この KEK ペアは、公開鍵 / 秘

密鍵のペアを暗号化してコンパック NonStop システムに送信する際に使用されます。SCT を使用して

この KEK ペアを生成します。詳細については、この後の「ステップ 1. バリアント 0 を使用した KEK

(Key Exchange Key) の取得」を参照してください。

2. 公開鍵 / 秘密鍵のペアと証明書要求を生成します。この処理を実行するには、keyadminコマンドを

使用します。詳細については、5-10 ページの「ステップ 2. 公開鍵 / 秘密鍵のペアと証明書要求の生成」


3. CA に対して証明書の発行を依頼します。詳細については、5-12 ページの「ステップ3. CA (認証機関)

に対する証明書の要求」を参照してください。

4. バリアント 31 を使用して KEK を取得します。この処理を実行するには、SCT を使用します。詳細に

ついては、5-12 ページの「ステップ 4. バリアント 31 を使用した KEK ペアの取得」を参照してください。

5. keyadmin コマンドを使用して、CA から受信した証明書をインストールします。詳細については、

5-13 ページの「ステップ 5. 証明書のインストール」を参照してください。

ステップ 1. バリアント 0 を使用した KEK (Key Exchange Key) の取得

SCT の Calculate Crypto 関数を使用して、KEK を取得します。この後の手順を実行すると、2 倍長 (16

バイト)のKEKが2種類生成されます。つまり、クリア・テキストのKEKと、MFKで暗号化されたKEKです。

SCT と Calculate Crypto 関数の詳細については、『WebSafe Internet Security Processor Installation and

Operations Manual』を参照してください。このマニュアルでは、バリアント 0 を使用して KEK を取得す

る手順を説明しています。その手順を実行する際、2 倍長の KEK は長すぎて SCT の画面に表示できませ

ん。そこで、まず初に左部分を作成し、クリア・テキスト (暗号化されていないテキスト) を記録した後

に暗号表現を記録します。次に、右部分を作成し、クリア・テキストを記録した後に暗号表現を記録します。

1. 暗号キー MFK1 を選択します。

2. MFK1 の下にキーを定義します。

3. 2 倍長 (F2) を選択します。

4. キー部の数として 1 を入力します。

5. MFK を選択します。

23346-001J 5-9


5-

6. 入力バリアント 0 を入力します。

7. クリア・テキストの左部分を作成および記録します。ユーザ自身のクリア・テキストの KEK を入力す

るか、または SCT でユーザ用の KEK を生成できます。

8. 暗号表現の左部分を記録します。

9. クリア・テキストの右部分を作成および記録します。ユーザ自身のクリア・テキストの KEK を入力す

るか、または SCT でユーザ用の KEK を生成できます。

10. 暗号表現の右部分を記録します。

この手順が完了すると、SCT は暗号表現全体に対するチェック・ディジットを表示します。

この手順で作成したキーは、後で公開鍵 / 秘密鍵のペアをコンパック NonStop システムに送信する際に、

そのキー・ペアの暗号化に使用されます。

例

2 倍長のテキスト / 暗号表現のペアを作成する際の、SCT の抜粋を次に示します。この抜粋は、クリア・

テキストの左部分を作成した (または SCT を使用して生成した) 時点から始まっています。

F445 DF43 OK?

7980 97A1 630F ---- クリア・テキスト表現の左部分

20F6 4794 CkDig

70CC 73F2 630F ---- 暗号表現の左部分

A420 43A7 OK?

0B4F 8A61 7F6F ---- クリア・テキスト表現の右部分

0325 C682 CkDig?

4FF0 D6E2 7F6F ---- 暗号表現の右部分

Whole Key

Check digit: XXXX

ステップ 2. 公開鍵 / 秘密鍵のペアと証明書要求の生成

iTP Secure WebServer を、WebSafe2 暗号化と共に使用する場合は、WISP が生成した公開鍵 / 秘密鍵の

ペアだけを利用できます。keyadminユーティリティを使用すると、WISP は公開鍵 / 秘密鍵のペアを生

成し、その公開鍵を含む証明書要求を生成します。必要な引数を付加した構文を、次の例で示します。

任意の順序で引数を入力できます。継続文字が必要な場合は、例に示すように、バックスラッシュ (\) 文

字を使用します。ただし、バックスラッシュでは、行をまたがって DN の値を指定することはできません。

bin/keyadmin -websafegen [key-req-file] \-widconf wid-config-file -dn ’dn’ -kek_mfk0 kek-cryptogram \[-kek_clear kek-value] [-length key-length] [-verbose]

備考：bin/プリフィックスは、keyadmin ユーティリティが格納されているディレクトリを示します。

10 523346-001J


5

コマンドの構成要素は、次のとおりです。

-websafegen [key-req-file]

公開鍵 / 秘密鍵のペアと PKCS #10 証明書要求を生成し、コマンドで指定したファイルに証明書要

求を書き込むようにサーバに指示します。ファイル名が省略された場合は、デフォルトのファイル

名は cert-req.txtになります。

-widconf wid-config-file

ハードウェア暗号化用の W ID 設定ファイル。デフォルトでは、このファイルの名前は

wid.configになります。

-dn ’dn’

新規のキー・ペアに対する完全な DN。この DN を単一引用符 (‘ ’) で囲んで、シェルの解釈の対象

外にします。

CA の要求フォームに入力する値と同じフィールド値が、CA が指定する順番と同じ順番で含まれて

いることを確認します。また、カンマを含む値は二重引用符 (“ ”) で囲みます。


A-Z a-z 0-9 (空白 ) ’ ( ) + , - . / : = ? #

-kek_mfk0 wid-config-file

MFK バリアント 0 の下で暗号化された KEK。

-kek_clear kek-value

クリア・テキスト表現の KEK の値。コマンド行で kek-value を指定しなかった場合は、その

値の入力が求められます。keyadminにより、KEK のチェック・ディジットが計算され、それが

正しいか検証するように求められます。KEK のサイズは、16 バイト (32 桁の 16 進数) です。

-length key-length

ビット単位でのキーの長さ。このオプションにより、暗号キーのサイズを制御できます。デフォル

トのキー・サイズと小キー・サイズは 512 ビットです。大キー・サイズは 1024 ビットですが、

輸出版の iTP Secure WebServer の場合は 512 ビットです。

-verbose

コマンド文字列をサポートする情報がすべて表示されます。

例

keyadmin コマンドを入力し、リターン・キーを押すと、クリア・テキスト表現の KEK キーを入力

するよう求められます。応答はエコーされません。この後のサンプル・ダイアログは、正しい keyadmin構文と、keyadminから表示されるプロンプトを示しています。

-kek_mfk0の値は、暗号化された KEK の左部分と右部分で構成されています。この KEK を 5-10ペー

ジの「例」と比較してください。keyadminコマンドでは、入力したクリア・テキストの KEK はエコー

されません。ただし、今回の例では、KEK の値は、5-10 ページの「例」と一致したF445DF43798087A1A42043A70B4F8A61になります。チェック・ディジットが SCT 表示上の値と一致しない場合、この

コマンドを再実行し、クリア・テキストと暗号表現を正しく入力します。

23346-001J 5-11


5-

bin/keyadmin -verbose -websafegen \test-cert.req -widconf wid.config \-dn ’CN =testing,OU=web,O="Tandem Computers, Inc.", \L=Cupertino,ST=California,C=US’ \

-kek_clear F445DF43798097A1A42043A70B4F8A61 \-kek_mfk0 20F6479470CC73F20325C6824FF0D6E2 -length 512

Check digits of clear KEK: xxxxIs it correct (y or n)?: y

keyadmin ユーティリティでコマンドの実行が終了すると、コマンドが実行されたディレクトリ内に

cert-req.txtというファイルが生成されます。このファイルには、公開鍵と DN が含まれており、ど

ちらも PKCS #10 形式でエンコードされています。

ステップ 3. CA (認証機関) に対する証明書の要求

証明書の発行を要求するには、ファイル cert-req.txtを CA に電子メールで送付します。このプ

ロセスの詳細については、4-9 ページの「証明書の要求」を参照してください。

ステップ 4. バリアント 31 を使用した KEK ペアの取得

バリアント 31 を使用して KEK ペアを取得するために、以下の手順を実行します。

1. 暗号キー MFK1 を選択します。

2. MFK1 の下でキーを定義します。

3. 単一長さ (8 バイト) のキーに対応する 1 を選択します。

4. キーの部分の数として 1 を入力します。

5. MFK を選択します。

6. 入力バリアント 31 を入力します。

7. クリア・テキストの左の部分を作成して記録します。独自のクリア・テキストの KEK を入力するか、

SCT で生成することができます。

8. 暗号表現の左の部分を記録します。

9. クリア・テキストの右の部分を作成して記録します。独自のクリア・テキストの KEK を入力するか、

SCT で生成することができます。

10. 暗号表現の右の部分を記録します。

手順を終了すると、SCT にすべての暗号表現のチェック・ディジットが表示されます。

ユーザが取得する KEK ペアは、実行時に WISP が iTP Secure WebServer に送信するデータを暗号化す

る際に使用されます。これらのキーは、証明書のインストール時に入力するので、メモしておいてください。

12 523346-001J


5

ステップ 5. 証明書のインストール

CA から証明書を受信し、バリアント 31 を使用して KEK ペアを生成した後は、この証明書をインス

トールできます。インストールは keyadmin コマンドで行いますが、その際に引数 -websafeadd と

-kek_mfk31を指定します。

キーの生成中に使用された DN とは異なる DN を持つ証明書を追加できます。一般に、DN が発行元 CA

によって変更される場合に、この処理が行われます。

このような証明書を初めてインストールするときは、新しい DN が含まれている newdn.txt というファ

イルが iTP Secure WebSever によってルート・ディレクトリに作成されます。キーの生成中に使用された

DN や以前にインストールされている DN とは異なる DN を持つ証明書を後でインストールする場合は、そ

うした証明書の DN は、newdn.txt ファイルに追加されます。newdn.txt ファイルが作成されると、以後の

すべての keyadmin コマンドで使用される現在の DN がメッセージで示されます。この現在の DN は、

AcceptSecureTransport 指示語に使用するものです。AcceptSecureTransport 指示語については、付録 A-6

ページの「AcceptSecureTransport」を参照してください。

newdn.txt ファイルのサンプルを以下に示します。

bin/keyadmin -websafeadd cert-recv-file \-widconf config-file -kek_mfk31 kek-cryptogram \[-kek_clear kek-value] [-verbose]

備考：bin/プリフィックスは、keyadmin ユーティリティが格納されているディレクトリを示します。

コマンドの構成要素は、次のとおりです。

-websafeadd cert-recv-file

CA から受信した新しい証明書が格納されているエンコード済みファイルの名前。

-widconf wid-config-file

ハードウェア暗号化に使用する WID 設定ファイル。デフォルトでは、このファイルの名前は

wid.configになります。

-kek_mfk31 kek-cryptogram

MFK バリアント 31 の下で暗号化された KEK。

-kek_clear kek-value

クリア・テキスト表現の KEK の値。コマンド行で kek-value を指定しなかった場合は、その

値の入力が求められます。keyadminにより、KEK のチェック・ディジットが計算され、それが

正しいか検証するように求められます。KEK のサイズは、16 バイト (32 桁の 16 進数 ) です。

DN used at the time of key generation is: CN=hima.lab201.tandem.com,OU=datadev, O=tandem, L=cupertino, ST=california, C=USNew DN in the certificate to be added is: CN=hima.lab201.tandem.com,

SN=297-68-2381, OU=a-sign.datadev.com, OU=a-sign Server Light Demo CA,O=Datadev California, C=USUse the new DN for all your commands requiring a DN for this certificate.

23346-001J 5-13


5-

-verbose

コマンド文字列をサポートする情報がすべて表示されます。

例

次のコマンド・サンプルは、正しい keyadmin構文を示しています。

bin/keyadmin -verbose -websafeadd \test-cert.resp -widconf wid.config \-kek_mfk31 DCA519DB8A3EF822 -kek_clear 6BE0106B619EB3DF

備考：-kek_mfk31の値として入力する暗号表現、およびこのコマンドでクリア・テキストの KEK キーの入力

が求められたときに入力するクリア・テキストは、「ステップ 4. バリアント 31 を使用した KEK ペアの取得」

で説明したように、SCT の Calculate Crypto 関数と MFK を使用して生成します。別の方法で生成した暗号

表現とクリア・テキストを使用する場合、インストールする証明書は利用できません。また、iTP SecureWebServer は WISP と通信できません。

暗号表現とクリア・テキストの両方を入力する際は、注意が必要です。keyadmin ユーティリティが検出で

きる不一致 (または暗号表現とクリア・テキストの逆転) は、クリア・テキストに対するチェック・ディジッ

トが不正な場合に限ります。

WISP (WebSafe2 Internet Security Processor) の統合の検証

WISP の統合を確認し、テストを行うには、次の手順を実行します。

1. 起動スクリプトを実行し、iTP Secure WebServer を起動します。

: cd <installation directory>/conf

: ./start

起動スクリプトを実行すると、PATHMONプロセスがシステム上で動作します。デフォルト値は$ZWEB

です。

Web サーバが動作している場合、再起動スクリプトを実行していったんサーバを停止し、すぐに新しい

設定でサーバを起動します。

: cd <installation directory>/conf: ./restart

2. iTP Secure WebServer が動作していることを確認します。

: ps

ディストリビュータ、httpd、および generic-cgi.pway の各プロセスが動作していることがわかります。

デフォルトでは、5 つの httpd プロセスが起動されます。

3. Web クライアントを使用して、サーバの IP アドレス (または DNS 名) に接続します。

サーバは、ユーザが指定したポートを監視しています。

Web クライアントで <installation directory>/rootディレクトリを確認します。

サンプルのホーム・ページである index.sample.html が、ディレクトリ一覧に表示されます。

14 523346-001J


5

4. サーバを停止するために、<installation directory>/confディレクトリにある停止スク

リプトを実行します。

: ./stop

エラー・メッセージは表示されません。PATHMON プロセスおよび iTP Secure WebServer が起動した

その他のプロセスは、すべて停止されます。

5. サーバが停止したことを確認します。

: ps

ディストリビュータ、httpd、および generic-cgi.pway の各プロセスが動作していないことがわかりま

す。

EMS ログ・ファイルを調べると、httpd プロセスが $RECEIVE ファイルを閉じたことがわかります。

WebSafe2 暗号化でのサーバ証明書チェーンの使用方法

iTP Secure WebServer の SSL 3.0 プロトコルは、WebSafe2 暗号化を利用して、証明書チェーンを送受信

したり使用することができます。証明書チェーン・オプションを使用すれば、2 階層を超える証明書階層

を設定できます。サーバ証明書チェーンのサポートにより、iTP Secure WebServer で、証明書チェーンで

ある VeriSign 社の Global Server ID を使用できます。

Global Server ID については、4-5 ページの「VeriSign 社の Global Server ID を使用した国際的な 128 ビッ

ト SSL セッションのサポート」を参照してください。証明書と証明書チェーンの詳細については、付録 D-5

ページの「証明書の使用」を参照してください。

この機能を使用するために iTP Secure WebServer または WID の設定を変更する必要はありません。た

だし、クライアントとサーバの間の証明書チェーンの送信に SSL 3.0 のサポートが必要になるので、iTP

Secure WebServer と WID のどちらも必ず新バージョンを使用してください。

サーバ証明書チェーンを作成するには、次の手順に従ってください。

1. 適切な CA からリーフ証明書と中間証明書を取得します。Global Server ID に対応するために VeriSign

社から証明書を取得する場合は、次の Web サイトにアクセスしてください。

http://www.verisign.com

2. VeriSign 社から証明書チェーンが送信される場合、リーフ証明書は SERVER SUBSCRIBER

CERTIFICATE というテキストの後にあり、中間証明書は INTERMEDIATE CACERTIFICATE というテキストの後にあることに注意してください。リーフ証明書は、中間証明書

の前に追加しなければなりません。

3. 指定された証明書ファイル ( 例では cert.txt) にあるリーフ証明書 (----- BEGINCERTIFICATE -----と----- END CERTIFICATE -----というラベルの行を含む) を、

次の例に示すように keyadminコマンドを使用して格納します。

keyadmin -websafeadd cert.txt -widconf widconf -kek_mfk31 \kek_mfk31

23346-001J 5-15


5-

4. 指定された証明書ファイル (例ではintermediate.txt) にある中間証明書 (----- BEGIN

CERTIFICATE -----と ----- END CERTIFICATE -----というラベルの行を含む)を、

次の例に示すように keyadminコマンドを使用して格納します。

keyadmin -websafeadd intermediate.txt -widconf widconf \

-kek_mfk31 kek_mfk31

備考：keyadmin -websafeadd コマンドの詳細については、5-13 ページの「ステップ 5. 証明書のイン

ストール」を参照してください。

SSL 3.0 ハードウェア暗号化の設定とバージョンの要件

SSL 3.0 ハードウェア暗号化機能を使用する場合は、次の要件に従ってください。SSL 2.0 のサービスだ

けを使用している場合や、SSL 3.0 のソフトウェア暗号化だけを使用している場合は、こうした要件に従う

必要はありません。

新しい証明書の取得

WISP で SSL 3.0 の機能を使用する場合は、keyadmin ユーティリティを使用して新しい証明書を取

得する必要があります。Atalla では、他のプロトコルによって使用されるキー・タイプとは異なるキー・タ

イプで新しい SSL コマンドを設計しています。このように設計された機能により、他の Atalla WebSafe コ

マンドを使用しているユーザから機密データをクリア・テキスト形式で無断で検索できないようになって

います。

新しい証明書は、SSL 2.0 と SSL 3.0 のどちらのセッションでも使用できます。

新しい証明書の生成とインストールについては、5-9 ページの「公開鍵 / 秘密鍵のペアの生成および証明

書の取得」を参照してください。

旧バージョンのキーと証明書の使用

iTP Secure WebServer または WISP のファームウェアの旧バージョンで生成または設定が行われたキー

と証明書を使用する場合は、次のガイドラインに従ってください。

16 523346-001J


5

SSL 2.0 プロトコルを使用している場合は、次のガイドラインに従ってください。

iTP SecureWebServerバージョン

WISP (WebSafe2Internet Security

Processor) ファーム

ウェア・バージョン SSL 対応推奨措置

3.2 より前任意のバージョン SSL 2.0 のみセキュリティの強化のため必要

に応じて SSL 3.0 対応にアップ

グレード

3.2 2611 以降 SSL 2.0 と SSL 3.0 新しい証明書が必要

3.3 以降 2611 より前 SSL 2.0 のみセキュリティの強化のため必要

に応じて SSL 3.0 対応にアップ

グレード

2611 以降 SSL 2.0 と SSL 3.0 新しい証明書が必要

キーの生成元キーの生成元キーの生成元キーの生成元

keyadmin バージョン

WISP(WebSafe2

Internet SecurityProcessor)

ファームウェア・

バージョン

証明書を設定したWISP

(WebSafe2Internet Security

Processor)ファームウェア・

バージョン証明書の使用

iTP Secure WebServer 3.3 より前 2.4 以前 2.4 以前可能

iTP Secure WebServer 3.3 より前 2.4 以前 250 以降可能 (キー変換の完了

後 1)

iTP Secure WebServer 3.3 より前 250 以降 250 以降可能

任意のバージョン 250 以降 2.4 以前不可能 (APKB 形式が非

互換 2)

iTP Secure WebServer 3.3 250 以降 2611 以降可能

iTP Secure WebServer 3.3 任意のバージョン 2611 より前不可能 (APKB 形式が非

互換、つまり新しい

キー・タイプを古いコマ

ンドで使用できない 3)

iTP Secure WebServer 3.3 2.4 以前 2611 以降可能 (キー変換の完了

後 1)

1. キー変換については、Atalla に問い合せてください。

2. 使用可能な証明書を取得できる、この表の別の組み合せを使用してください。

3. 以前に取得した証明書を利用できる、この表の別の組み合せを使用してください。

23346-001J 5-17


5-

SSL 3.0 プロトコルを使用している場合は、次のガイドラインに従ってください。

適切な WISP (WebSafe2 Internet Security Processor) ファームウェアの使用

WISP がファームウェア・バージョン 2611 以降を使用していることを確認してください。キー長が 1024

ビットの証明書を使用するには、Atalla WISP ファームウェアのバージョン 2.761 を実行する必要がありま

す。

新の WID (WebSafe2 Interface Driver) ソフトウェアのインストール

5-6 ページの「WID (Websafe2 Interface Driver) のインストール」での説明に従って、新の WID ソフ

トウェアをインストールしてください。

WID (Websafe2 Interface Driver) 設定ファイルの更新

WID 設定ファイルに、使用する WISP の SSL バージョンを指定するオプションが追加されました。追

加オプションの構文は、次のどちらかです。

version = SSL2

キーの生成元キーの生成元キーの生成元キーの生成元

keyadmin バージョン

WISP(WebSafe2

Internet SecurityProcessor)

ファームウェア・

バージョン

証明書を設定したWISP

(WebSafe2Internet Security

Processor)ファームウェア・

バージョン証明書の使用

iTP Secure WebServer 3.3 より前任意のバージョン任意のバージョン不可能 (SSL 2.0 プロトコ

ルを使用するか、新しい

キーを生成する必要があ

る )

任意のバージョン 250 以降 2.4 以前不可能 (APKB 形式が非

互換 2)

iTP Secure WebServer 3.3 250 以降 2611 以降可能

iTP Secure WebServer 3.3 任意のバージョン 2611 より前不可能 (APKB 形式が非

互換、つまり新しい

キー・タイプを古いコマ

ンドで使用できない 3)

iTP Secure WebServer 3.3 2.4 以前 2611 以降可能 (キー変換の完了

後 1)

1. キー変換については、Atalla に問い合せてください。

2. 使用可能な証明書を取得できる、この表の別の組み合せを使用してください。

3. 以前に取得した証明書を利用できる、この表の別の組み合せを使用してください。

18 523346-001J


5

バージョン 2611 より前のファームウェアを使用している WISP の場合

version = SSL3

バージョン 2611 以降のファームウェアを使用している WISP の場合

このオプションが追加された WID 設定ファイルの例については、7-54 ページの「WID の設定ファイル」


WISP (WebSafe2 Internet Security Processor) の追加設定

WISP を追加インストールする場合は、7-54 ページの「設定への WISP (WebSafe2 Internet Security

Processor) の追加」を参照し、iTP Secure WebServer 環境にさらに WISP を追加する際の設定修正方法を習

得してください。追加された WISP を使用するには、Web サーバを 1 度停止した後で、再起動します。

WebSafe2 からソフトウェア暗号化への切り替え

設定の中に WISP があり、ソフトウェア暗号化に切り替える場合 (たとえば、PCT を利用する場合) は、

次の処理を実行します。

1. ソフトウェアで使用するために、新しいキーペアを生成し、新しい証明書を取得します。WebSafe2 SSL

暗号化に使用されるキー・ペアと証明書は、ソフトウェア暗号化には使用できません。キー・ペアの生

成とソフトウェア暗号化用の証明書の取得については、4-6 ページの「keyadmin ユーティリティによる

キーと証明書の管理」を参照してください。

2. ファイル httpd.websafe.config を削除するか、名前を変更します。

3. ファイル httpd.configに httpd.stl.configがインクルードされていること、および、ファイル httpd.stl.config

中にあるAcceptSecureTransport指示語に対して必要なオプションが指定されていることを確認します。

4. 第 6 章「スクリプトを使用した iTP Secure WebServer の管理」での説明に従って、iTP Secure WebServer


ソフトウェア暗号化から WebSafe2 ( ハードウェア) 暗号化への切り替え

初にソフトウェアでの SSL 暗号化を利用してから、WISP の使用に切り替える場合は、次の手順を実

行します。

□ WISP で使用するために、新しいキーペアを生成し、新しい証明書を取得します。ソフトウェア SSL 暗

号化で使用されるキー・ペアと証明書は、WebSafe2 暗号化には使用できません。キー・ペアの生成と

WebSafe2 暗号化用の証明書の取得については、5-9 ページの「公開鍵 / 秘密鍵のペアの生成および証明

書の取得」を参照してください。

□ スクリプト install.WS -websafe を実行します。

□ 第 6 章「スクリプトを使用した iTP Secure WebServer の管理」での説明に従って、iTP Secure WebServer


23346-001J 5-19


5-

この後に習得すること

iTP Secure WebServer の設定の詳細については、第 7 章「iTP Secure WebServer の設定」を参照してく

ださい。iTP Secure WebServer の管理方法については、第 6 章「スクリプトを使用した iTP Secure WebServer

の管理」を参照してください。

20 523346-001J

第 6 章　スクリプトを使用した iTP Secure WebServer の管理

5

第 6 章スクリプトを使用した iTP Secure WebServer の管理

この章では、httpdコマンドについて説明し、さらに用意されているスクリプトを使用して iTP Secure

WebServer 環境を管理する方法を説明します。


□ httpd コマンド (6-1 ページ)

□ start スクリプトによる iTP Secure WebServer の起動 (6-2 ページ)

□ stop スクリプトによる iTP Secure WebServer の停止 (6-3 ページ)

□ restarth スクリプトによる iTP Secure WebServer の再起動 (6-3 ページ)

□ restart スクリプトによる iTP Secure WebServer の再起動 (6-4 ページ)

□ httpd コマンドの利用 (6-4 ページ)

□ iTP Secure WebServer と関連プロセスに対する PATHMON 環境の自動再起動 (6-6 ページ)

この作業をブラウザから実行する方法については、第 12 章「ブラウザからの iTP Secure WebServer の

管理」を参照してください。

httpd コマンド

httpd コマンドは、iTP Secure WebServer 環境の起動、停止、および再起動を行います。このコマン

ドは、起動時に次の処理を実行します。

□ 設定ファイルを読み取り、そのコンテンツを検査します。この設定ファイルには、作成対象のエンティ

ティが記述されています。

□ PATHMON プロセスを作成し、iTP Secure WebServer 環境に対してプロセス管理サービスを提供しま

す。

□ iTP Secure WebServer (httpd サーバ) を NonStop TS/MP サーバ・クラスとして起動します。

□ トランスポート・サービス・プロバイダとサーバ CPU の設定を確認します。TCPSAM が指定されてい

て TCPMON がすべての CPU 上で実行されている場合は Parallel Library TCP/IP を使用し、それ以外の

場合はディストリビュータ・プロセスを NonStop TS/MP サーバ・クラスとして起動します。

□ 汎用 CGI サーバ、および Pathway CGI インタフェースを使用するその他の指定サーバをすべて起動し

ます。

23346-001J 6-1


6-

図 6-2 に、iTP Secure WebServer 環境の初期化のために作成および起動される、管理プロセスを示します。

図 6-2　WebServer の管理プロセス

iTP Secure WebServer 環境を停止する際、httpd プロセスはシャットダウン要求を PATHMON へ送信し

ます。PATHMON では、サーバ・クラスと PATHMON プロセスを順に停止します。

/usr/tandem/webserver/conf ディレクトリにある start、stop、restart の各スクリプトは、設定ファイル

httpd.config が示す単一の iTP Secure WebServer プロセスを管理します。これらのスクリプトは、そのまま

で、または修正して使用できます。自社専用のスクリプトの新規作成もできます。

start スクリプトによる iTP Secure WebServer の起動

iTP Secure WebServer を起動するには、/usr/tandem/webserver/conf ディレクトリにある

startスクリプトを実行します。このスクリプトは、設定ファイル httpd.config を使用して httpd プロセ

スを起動します。次のようにスクリプトを使用できます。

: cd /usr/tandem/webserver/conf: ./start

エラー・メッセージは表示されません。start スクリプト実行後、$ZWEB という PATHMON プロセスが

システム上で動作します。

2 523346-001J


5

stop スクリプトによる iTP Secure WebServer の停止

iTP Secure WebServer を停止するには、/usr/tandem/webserver/conf ディレクトリにある

stopスクリプトを実行します。このスクリプトは、ファイル httpd.config で起動されたプロセスを停止し

ます。次のようにスクリプトを使用できます。

: cd /usr/tandem/webserver/conf: ./stop

エラー・メッセージは表示されません。$ZWEB、および iTP Secure WebServer 環境で起動されたすべて

のプロセスが停止します。

restarth スクリプトによる iTP Secure WebServer の再起動

Parallel Library TCP/IP の場合

自動受信機能が選択されている場合は、iTP Secure WebServer はスタートアップ時の -restarth オプショ

ンをサポートしません。これは、ディストリビュータが削除されたため、iTP Secure WebServer が HTTPD

サーバを起動または停止している間にディストリビュータを使用して着信要求を配信することができない

からです。

-restarth オプションを指定すると、その機能がもうサポートされていないことを示す次のエラー・メッ

セージが表示されます。

httpd: (#617) Operation restarth is not supported with PTCPIP.

さらに、iTP Secure WebServer がディストリビュータと通信しようとすると、次のメッセージが表示さ

れる場合があります。

httpd: (#556) SERVERCLASS_SEND_ error: 233

httpd: (#545) could not verify if distributor is using port 80

httpd: (#556) SERVERCLASS_SEND_ error: 233

httpd: (#545) could not verify if distributor is using port 443

-restarth オプションは、前回の設定と新しい設定の両方で従来の TCP/IP プロセスをトランスポートとし

て使用している (自動受信機能が無効になっている) 場合だけ機能します。

従来の TCP/IP の場合

iTP Secure WebServer が既に動作している状態で、ファイル httpd.config の変更を反映させるために

WebServer を再起動する場合は、サーバを停止せずに新しい設定を反映できます。次のスクリプトを使用

します。

: cd /usr/tandem/webserver/conf

: ./restarth

エラー・メッセージは表示されません。

23346-001J 6-3


6-

restarthスクリプトは、httpd とディストリビュータ・プロセスの設定に対する変更だけに使用でき

ます。このスクリプトは、設定ファイルにおける次の種類の変更は無視します。

□ generic-cgi.pwayなど、その他のサーバ・クラスに対する引数

□ サーバ・クラスの新規追加、または既存のサーバ・クラスの削除

restarth の実行前に、PATHMON プロセスの優先度などの、PATHMON 自体の設定を修正しない

でください。

備考：Ksh (Korn シェル) スクリプトから restarth スクリプトを発行する場合、iTP Secure WebServer 環境の起動

に数分かかることがあります。起動時間を短縮するには、Pathway CGI プログラムから restarth スクリプト

を発行し、restarth スクリプトの実行直後に CGI_fflush プロシージャを呼び出します。

Pathway CGI プログラミングについては、第 8 章「CGI (Common Gateway Interface) プログラムの使用」


restart スクリプトによる iTP Secure WebServer の再起動

restarthスクリプトでは反映できない種類の変更を行う場合は、restartスクリプトを使用しま

す。restart スクリプトは、iTP Secure WebServer を停止後にすぐに再起動するので、iTP Secure

WebServer に影響を及ぼす設定上の変更内容がすべて反映されます。次のようにスクリプトを使用できま

す。

: cd /usr/tandem/webserver/conf: ./restart

エラー・メッセージは表示されません。restart スクリプトは、ファイル httpd.config 中で指定された

PATHMON プロセスをシャットダウンし、環境全体を再起動します。

httpd コマンドの利用

ユーザ固有のスクリプトの中で httpd コマンドを利用できます。あるいは、httpd コマンドを使用

して iTP Secure WebServer (httpd サーバ) を対話的に制御できます。

構文

httpdコマンドの構文は、次のとおりです。

-start

config-filenameで指定された設定を使用して、httpd サーバを起動します。

httpd {-start [-rollover] | -stop [-rollover] | -restart

[-rollover] | -restarth [-rollover]} config-filename

4 523346-001J


5

-stop

config-filenameで指定された設定を使用して、httpd サーバを停止します。

-restart

config-filenameで指定された設定を使用して、httpd サーバを停止し、再起動します。

-restarth

config-filenameで指定された設定を使用して、httpd サーバを動的に再設定します。サーバ

は停止されません。Parallel Library TCP/IP の設定では使用できません。

-rollover

現行のログ・ファイルが保存され、iTP Secure WebServer は新しいログ・ファイルに書き込みます。

この引数は、単独に指定するか、-start、-stop、-restart、-restarthなどの引数と

同時に指定することができます。

説明

httpdコマンドは、iTP Secure WebServer (httpd)プロセスを制御します。このコマンドにより、config-

filenameで指定された設定を使用して、httpd プロセスの起動、停止、再起動を行うことができます。ま

た、httpd プロセスによる新しいファイルへのロギングを開始できます。httpd オブジェクト・ファイルは、

/usr/tandem/webserver/bin ディレクトリにあります。デフォルトのファイル httpd.config は、/usr/tandem/

webserver/conf にあります。

httpd サーバを複数起動するには、次のように、引数 -startと固有の config-filenameを使用

します。

#!/bin/kshroot=${1:-/usr/tandem/webserver}server1=${2:-httpd1.config}server2=${2:-httpd2.config}$root/bin/httpd -start $root/conf/$server1

$root/bin/httpd -start $root/conf/$server2

iTP Secure WebServer の設定を動的に変更するには、サーバの設定ファイルを修正し、次に引数

-restarthを付加して httpdコマンドを使用します。引数 -restarthを付加すると、サーバは

停止することなく、設定ファイル中の指示語を再度読み取ります。指定された設定ファイルは、使用中の

ファイルでなければなりません。次の例では、ファイル httpd3.config中で指定されたサーバを動

的に再設定しています。

#!/bin/kshroot=${1:-/usr/tandem/webserver}server3=${2:-httpd3.config}$root/bin/httpd -restarth $root/conf/$server3

引数 -restarthにより、ディストリビュータ・プロセス、httpd プロセス、および SSC (サーブレッ

ト・サーバ・クラス) に対してのみ、設定上の変更が反映されます。PATHMON 設定に対する変更は指定

しないでください。引数 -restarthでは、次の種類の変更は反映されません。

□ generic-cgi.pway など、別のサーバ・クラスに対する引数

23346-001J 6-5


6-

□ サーバ・クラスの新規追加、または既存のサーバ・クラスの削除

□ Parallel Library TCP/IP の設定

引数 -rollover により、httpd プロセスは現在ログを記録しているファイルを保存し、新たな空の

ファイルにログを記録します。-rollover を使用すれば、ログ・ファイルをアーカイブして新しいロ

グ・ファイルにログを記録し始める際に、手動でログ・ファイルの名前を変更する必要がありません。引

数 -rollover が指定されると、AccessLog、ErrorLog、ExtendedLog の各指示語で指定された名前 (た

だし、この名前にタイムスタンプが付加される) で、現行のログ・ファイルが保存されます。

□ httpdコマンドに対する唯一の引数として -rolloverを使用する場合は、現行のログ・ファイル

は保存され、httpd プロセスは新しいファイルに対してログ記録を開始します。設定ファイル中でログ・

ファイル名が変更されている場合、iTP Secure WebServer はこの変更内容を無視し、古い名前を使用し

て新しいファイルを開きます。

□ -startと共に -rolloverを使用する場合は、iTP Secure WebServer の停止時に使用されていた

ログ・ファイルは、起動時に保存され、httpd プロセスは新しいファイルに対してログ記録を開始しま

す。設定ファイル中のログ・ファイル名が変更された場合、サーバは新しい名前を使用して新しいファ

イルを開きます。

□ -restart と共に -rollover を使用する場合は、iTP Secure WebServer 停止時に現行のログ・

ファイルは保存されます。また、iTP Secure WebServer が再起動されると、httpd プロセスは新しいファ

イルへのログ記録を開始します。設定ファイル中のログ・ファイル名が変更されている場合、サーバは

この新しい名前を使用して新しいファイルを開きます。

□ -restarthと共に -rolloverを使用する場合は、現行のログ・ファイルは保存され、httpd プロ

セスは新しいファイルへのログ記録を開始します。設定ファイル中でログ・ファイル名が変更されてい

る場合、サーバはこの新しい名前を使用して新しいファイルを開きます。

□ -stop と共に -rollover を使用する場合は、現行のログ・ファイルが保存された後、httpd プロ

セスが終了します。iTP Secure WebServer が再起動されると、httpdプロセスは新しいファイルへの

ログ記録を開始します。

備考：現行のログ・ファイルを保存するための空きディスク領域がない場合は、コマンド行にメッセージ (#580) が表示されます。ログの記録が停止し、iTP WebServer は、ログ・ファイルに書き込みできないことを EMS(イベント管理サービス) に通知します。この状況を回復するには、ログ用のディスク領域を増やすか、ログ・

ファイルが非常に大きい場合は、ログのアーカイブまたは削除を行い、httpd プロセスを再起動してください。

iTP Secure WebServerと関連プロセスに対するPATHMON環境の自動再起動

iTP Secure WebServer およびその関連プロセスは、PATHMON 環境で動作するので、障害状態になった

プロセスは自動的に再起動されます。これにより、サービスの持続性が確保されます。(オペレータが明示

的に停止したプロセスについては、PATHMON は自動的に再起動しません。)

6 523346-001J

第 7 章　iTP Secure WebServer の設定

5

第 7 章 iTP Secure WebServer の設定

この章では、デフォルトの iTP Secure WebServer 設定ファイルについて説明し、さらに設定指示語を使

用してサーバの動作を制御する方法を説明します。設定指示語の詳細については、付録 A「設定指示語」


この章で説明する内容は、次のとおりです。

□ サーバの設定 (7-1 ページ)

□ サーバのコンテンツの管理 (7-10 ページ)

□ ファイル・キャッシュの制御 (7-19 ページ)

□ ログ・ファイルの管理 (7-23 ページ)

□ サーバのエイリアス (別名) の設定 (7-27 ページ)

□ サーバへのアクセスの制御 (7-28 ページ)

□ サーバ・エラー・メッセージのカスタマイズ (7-44 ページ)

□ クリッカブル・イメージのセットアップ (7-45 ページ)

□ WISP (WebSafe2 Internet Security Processor)を使用するためのサーバの設定 (7-54 ページ)

サーバの設定

iTP Secure WebServerは、デフォルトの設定で出荷されます。デフォルトの設定は、/usr/tandem/webserver/

conf ディレクトリ中のファイル httpd.config に登録されています。設定を変更するには、指示語と呼ばれる

Tcl コマンドを httpd.config 中で入力または変更します。(Tcl の概要については、付録E「Tcl (Tool Command

Language) の基本」を参照してください。)

ファイル httpd.config の中には、file exists という条件文があります。この条件文で、別のファイル中の

指示語をインクルードできます。たとえば、SSL (Secure Sockets Layer) または PCT (Private Communication

Technology) を使用する場合に必要な指示語は、ファイル httpd.stl.config の中にあります。また、WISP

(WebSafe2 Internet Security Processor) に必要な指示語は、ファイル httpd.websafe.config の中にあります。

第 12 章「ブラウザからの iTP Secure WebServer の管理」で説明している iTP Secure WebServer

Administration Server を利用すれば、ブラウザの機能により設定ファイルを修正し、iTP Secure WebServer

環境を再起動して、新しい設定を適用できます。

23346-001J 7-1


7-

httpd 設定ファイル

次の例は、ファイル httpd.config のコンテンツを示しています。

例 7-1　ファイル httpd.config のサンプル (1/5 ページ)

#VERSION=3.0################################################################## This is an automatically generated configuration file for# the iTP WebServer## See the server documentation for more information.### The name of the machine that is running the HTTP server.## ServerName web.mis.tandem.com## Set the server root to the server’s installation directory.#set root /usr/tandem/webserverServerRoot $root

# The content negotiation may have value of NONE | LANG | MULT,# The default is NONE#Negotiation NONE

# LanguagePreference definition samples## LanguagePreference {en, fr, es}## LanguageSuffix definition samples#LanguageSuffix en .en## LanguageSuffix fr .fr# LanguageSuffix es .es# LanguageSuffix de .ger

# The default TCP/IP transport process that will be used is# /G/ztc0 the name is saved here because it is used in two places# in the configuration file.#

set transport /G/ztc0

# This is the file where the extended format server logs will

# be written.#

# This specifies the where the server’s process ID will be

# written.

2 523346-001J


5


#

PidFile $root/logs/httpd.pid

#

#

Procs 0

################################################################

#

# List of html files to look for when a client only specifies

# a directory name

#

IndexFile index.html index.htm home.html home.htm

################################################################

#

# Filemap: where to find the content (html files)

#

Filemap / $root/root

################################################################

# Enable directory browsing for all regions.

#

Region /* {

DirectoryIndex

}

# This adds Guardian files to the httpd

# Filemap /G /G

################################################################

#

# source the mime types configuration file

#

source $root/conf/mime-types.config

################################################################

#

#

# Prevent DNS lookups

#

ReverseLookup no

################################################################

#

#

# Configure information about the Pathway environment to be

# created.

23346-001J 7-3


7-


#

#

################################################################

#

#

# Pathmon Configuration information.

#

Pathmon /G/zweb {

Priority 170

PrimaryCPU 1

BackupCPU 0

Gsubvol /G/system/zweb

}

################################################################

#

#

# Attributes for servers may be stored in a variable and then

# used later.

#

#

set DefaultServerAttributes {

Priority 170

Numstatic 1

Maxservers 50

Linkdepth 1

CWD $root/bin

Maxlinks 1

}

################################################################

#

#

# Definition of the Generic-CGI server

#

Server $root/bin/generic-cgi.pway {

eval $DefaultServerAttributes

}

################################################################

#

#

# Configure the httpd server’s attributes

#

4 523346-001J


5


Server $root/bin/httpd {


CWD [pwd]

Arglist -server [HTTPD_CONFIG_FILE]

Env TANDEM_RECEIVE_DEPTH=50

Priority 170

Numstatic 5

Maxservers 50

MapDefine =TCPIP^RESOLVER^NAME /G/system/ztcpip/resconf

MapDefine =TCPIP^PROCESS^NAME $transport

}

################################################################

#

#

# Configure Resource Locator attributes

#

set rmt /bin/rmt/rmt.pway

if { [file exists $root$rmt]} {

Filemap $rmt $root$rmt

Server $root$rmt {

CWD $root/bin/rmt


}

RmtServer $rmt

}

################################################################

#

#

# End Resource Locator’s configuration

#

## Bring in any SSL/PCT related configuration information.#if { [file exists $root/conf/httpd.websafe.config] } {

source $root/conf/httpd.websafe.config} elseif { [file exists $root/conf/httpd.stl.config] } {

source $root/conf/httpd.stl.config}

#

23346-001J 7-5


7-


# The Accept directive configures the server to accept HTTP

# connections on a specified address and port. If no port is

# specified, the default port used is 80. Note - if you use a port

# below 1024, you must start the server within the SUPER group.

#

Accept -transport <TRANSPORT_INFO> -port <UNSECURE_PORT_INFO>

################################################################

#

# Custom configuration can be done here.

#

################################################################

#

#

# This does an existential check for a sampleservers.config file.

# If it is there, it will be included in the configuration.

#

if { [file exists $root/conf/sampleservers.config] } {

source $root/conf/sampleservers.config

}

################################################################

#

#

# This does an existential check for a local.config file. If

# it is there, it will be included in the configuration. By

# default, this file is NOT shipped with the product.

#

if { [file exists $root/conf/local.config] } {

source $root/conf/local.config

}

6 523346-001J


5

Parallel Library TCP/IP とともに使用するためのサーバの設定

Parallel Library TCP/IP をサポートするのに新しい設定指示語は必要ありません。

1. httpd.config で TCPSAM プロセスをトランスポート・プロセスとして指定する必要があります。たとえ

ば、次のように指定します。

Accept -transport /G/ZSAM1

2. httpd.stl.config ファイルも使用する場合は、安全なトランスポートを使用するために TCPSAM プロセ

スを指定する必要があります。たとえば、次のように指定します。

AcceptSecureTransport -transport /G/ZSAM1

3. オプションで、Server 設定指示語に新しいサーバ・コマンドである Deletedelay を追加するか検討しま

す。Server コマンドは、サーバが実行される PATHMON 環境の作成を制御します。ダイナミック・サー

バへの未使用リンクは、PATHMON に戻されます。Deletedelay コマンドは、これらの未使用リンクを

戻すまでに待機する時間 (分単位) を指定します。

Deletedelay の使用についての詳細は 3-2 ページの「Parallel Library TCP/IP サポートの移行に関する留

意事項」を、Server 設定指示語については付録 A-70 ページの「Server」を参照してください。

安全なトランスポートの設定ファイル (httpd.stl.config)

例 7-2 は、SSL または PCT を利用できるように iTP Secure WebServer を設定する方法を示しています。

このサンプル・ファイル httpd.stl.config は、iTP Secure WebServer で提供しています。SSL 設定の詳細に

ついては、第 4 章「安全なトランスポートのための設定」を参照してください。

備考：同一の WebServer 環境で、httpd.stl.config と httpd.websafe.config の両方を使用することはできません。

グローバルなセッション・キーのキャッシングの設定

グローバルなセッション・キーのキャッシングは、キャッシングのパフォーマンスを向上させるために

導入されています。現在のアーキテクチャでは、Web サーバ・プロセスの複数のインスタンスが Pathway

サーバ・クラスとして実行されます。各インスタンスは SSL セッション・キーのキャッシュをそれぞれ保

持しますが、iTP Secure WebServer 環境ではラウンド・ロビンにより負荷が分散されるので、SSL セッショ

ン・キーのキャッシュ・ヒットはめったに発生しません。この拡張機能は、httpd サーバ・クラスのすべて

のインスタンス間で SSL セッション・キーのキャッシュを共有できるようにして、SSL の全体のパフォー

マンスを向上させます。これによりキャッシュ・ヒットを大限にし、NonStop プラットフォームへの

SSL 接続を確立するのに必要な CPU およびネットワークのリソースを小限に抑えることができます。

グローバルなセッション・キーのキャッシングが必要な場合は、SK_GlobalCache 指示語 ( つまり

GlobalCache 変数) を ON に設定してサーバの設定を有効にする必要があります。各 httpd サーバ・プロセ

スでのセッション・キーのキャッシングが必要な場合は、GlobalCache 変数を OFF (デフォルト) に設定す

るか、または省略します。

MAXSERVERS の値は、常に 1 に設定する必要があります。これは、1 つのプロセス・サーバ・クラス

を意味します。また、MAXLINKS と LINKDEPTH の両方に、httpd サーバの MAXSERVERS と同じ値を

設定する必要があります。たとえば、次のように設定します。

23346-001J 7-7


7-

Server $root/bin/httpd { Server $root/bin/gcache {... Maxservers 1Maxservers 50 ---> Maxlinks 50... Linkdepth 50

} ...}

設定指示語 SK_CacheSize および SK_CacheExpiration はオプションです。これらは、変数 CacheSize お

よび CacheExpiration を定義することによって設定されます。SK_CacheSize のデフォルト値は 1000、SK_

CacheExpiration のデフォルト値は 86400 (24 時間) です。

備考：各 httpd サーバ・プロセスでセッション・キーのキャッシングを行う場合は、各プロセスが SK_CasheSizeエントリに基づいて固有のキャッシュを生成します。一方、グローバルなセッション・キーのキャッシング

を使用する場合は、その単一プロセス・サーバが SK_CasheSize エントリに基づいて単一のキャッシュを生

成します。SK_CasheSize の値を決める際は、この点を考慮してください。

デフォルトのPathsendタイムアウト値である1/2秒 (50/100秒)を変更するには、新しい指示語SK_Global

CacheTimeout を使用します。このタイムアウト値によって httpd サーバがグローバル・キャッシュ・サー

バからの応答を待機する時間が決まり、その時間を過ぎるとタイムアウト・エラーが発生します。

トレースを有効にするには、環境変数 TRACEFILE を定義する必要があります。これにより、httpd サー

バとの通信がすべてログに記録されます。このオプションは、問題が発生した場合だけ設定してください。

次の httpd.stl.config ファイルは、グローバル・キャッシングを有効にする例です。

例 7-2　httpd.stl.config ファイルのサンプル (1/2 ページ)

#VERSION=3.0# httpd.stl.config# Configure the required Secure Transport information## Disable transmission of SSLv3 close_notify alert messages to# Microsoft browsers.#Region /* {

if {[info exists HEADER(user-agent)]&& [string match "*MSIE*" $HEADER(user-agent)]} {DisableCloseNotify

}}

KeyDatabase $root/conf/test_key.dbServerPassword WebServer

AcceptSecureTransport -transport /G/ZTC0 -port 443 -cert{CN=Test Key, OU=Testing Only, O=Tandem Computers,Inc.,ST=California,C=US}


8 523346-001J


5

例 7-2　httpd.stl.config ファイルのサンプル (2/2 ページ)

RequireSecureTransport}## Optional Global Session Key Cache server configuration#

set GlobalCache OFF

#set CacheSize 1000#set CacheExpiration 86400

if { [string match "ON" $GlobalCache] } {

SK_GlobalCache $GlobalCache# SK_GlobalCacheTimeout 50

Server $root/bin/gcache {eval $DefaultServerAttributesMaxservers 1Maxlinks 50Linkdepth 50Numstatic 1

# Env TRACEFILE=$root/logs/gctrace.logEnv ERRORFILE=$root/logs/gcerror.logif {[info exists CacheSize]} {

Env SK_CacheSize=$CacheSize}if {[info exists CacheExpiration]} {

Env SK_CacheExpiration=$CacheExpiration}

}}

その他の設定ファイル

WISP (WebSafe2 Internet Security Processor) を使用する際に必要な設定ファイルについては、7-54 ペー

ジの「WISP (WebSafe2 Internet Security Processor) を使用するためのサーバの設定」を参照してください。

SSC (サーブレット・サーバ・クラス) を使用する際に必要な設定ファイルについては、9-12 ページの

「NSJSP (NonStop Servlets for JavaServer Pages) のインストール」を参照してください。

23346-001J 7-9


7-

サーバのコンテンツの管理

ここでは、サーバのコンテンツを管理する方法について説明します。説明する内容は、次のとおりです。

□ URL のしくみ (7-10 ページ)

□ 要求とコンテンツのマッピング (7-11 ページ)

□ ユーザ・ディレクトリの作成 (7-16 ページ)

□ Guardian ファイルの使用 (7-16 ページ)

URL のしくみ

iTP Secure WebServer 上のオブジェクトへのアクセスには、URL (Uniform Resource Locator) を使用しま

す。URL は、次の 5 つの要素で構成されます。

Web クライアントは、URL の初めの 3 つの要素 (方式、ホスト、ポート) を使用して、正しいサーバに

アクセスします。次に、パスを使用して、要求するオブジェクトをサーバに通知します。

例 7-3 に、URL のサンプルを示します。

例 7-3　URL のサンプル

1 2 3 4 5

http://www.widgets.com:8080/finance/home.cgi?money

この URL は、ホスト www.widgets.com 上でポート 8080 上の要求の受信をチェックしている HTTP サー

バに対して、要求を送信します。要求されているオブジェクトは、/financeディレクトリにあるCGI (Common

Gateway Interface) プログラム (home.cgi) です。クエリ文字列は money です。CGI プログラムについては、

第 8 章「CGI (Common Gateway Interface) プログラムの使用」で詳しく説明します。

No. URL の要素説明

1 方式サーバにアクセスする際に使用されるトランスポート方式 (例 : http)

2 ホストホスト・マシンの名前

3 ポート要求の送信先ホスト上のポート。ポート番号を指定しない場合、各方式に対

するデフォルトのポートであると見なされます (例 : HTTP の場合はポート

80)。

4 パスサーバ上のオブジェクト (文書、イメージ、ファイルなど) のパス名。

5 クエリ文字列クエリの追加情報 (オプション)

10 523346-001J


5

要求とコンテンツのマッピング

サーバのコンテンツをクライアントから利用できるようにするには、URL中のオブジェクト情報を、サー

バ上のオブジェクトが実際にある場所にマッピングします。このマッピングを実行するには、サーバ設定

ファイル (httpd.config) 中で Filemap指示語を指定します。

各 Filemap指示語には、次のように引数が 2 つあります。

Filemap url-prefix dir

これらの引数は次のとおりです。

url-prefix

この Filemap指示語が適用される、URL のプリフィックスを指定します。(例 : /admin/widgets)

dir

url-prefix に一致するすべてのオブジェクトが要求されたオブジェクトに対してリダイレク

トされる、サーバ・ディレクトリです。

Filemap 指示語は、一致した要求仕様 (オブジェクトのパス ) を、要求されたオブジェクトがある実

際の場所に変換します。この処理において、一致した URL プリフィックス (url-prefix) が要求送信

先のサーバ・ディレクトリ (dir) に置換されます。

Filemap指示語には、オプションが 2 つあり、どちらもシンボリック・リンクの処理に関係していま

す。Filemap指示語の使用方法については、付録 A-23 ページの「Filemap」を参照してください。

Filemap指示語の機能を説明するため、ホスト www.widgets.com上で動作しているサーバの設

定ファイル中で、次の Filemap指示語が指定されている場合を考えてみます。

Filemap /admin /usr/tandem/webserver/root

Web クライアント・ユーザが次の URL を使用してこのサーバにアクセスする場合

http://www.widgets.com/admin/info/welcome.html

サーバはこの要求を、サーバ上の次のファイルにマッピングします。

/usr/tandem/webserver/root/admin/info/welcome.html

サーバを再起動または再設定することなく、新しいコンテンツをサーバに追加できます。追加するには、

既存の Filemap指示語の中で指定されたディレクトリに新しいファイルを配置します。マッピングされ

たディレクトリに新しいファイルを配置した後、すぐにそのファイルにアクセスできます。

たとえば、office.htmlという新しいファイルを次のディレクトリに配置する場合を考えます。

/usr/tandem/webserver/root

次の URL を使用して、新しいファイルにすぐにアクセスできます。

http://www.widgets.com/admin/office.html

23346-001J 7-11


7-

複数の Filemap 指示語の利用

サーバ上の多数のファイルを利用できるようにするには、Filemap 指示語を複数使用します。

Filemap指示語は、同じ設定ファイル内に複数共存できます。ただし、各指示語が指定する照合用プリ

フィックスが重複しないことが条件です。

Filemap指示語を複数使用すれば、複数のディレクトリまたは複数のディスクにまたがるサーバのコ

ンテンツ領域を分割できます。たとえば、次の指示語を指定したとします。

Filemap /encyclopedia /usr/disk0

Filemap /dictionary /usr/disk7

Filemap /info /G/data1/web

この時、

http://my.server.com/encyclopedia/info/doc.html

という URL は、次のファイルを指します。

/usr/disk0/info/doc.html

また、

http://my.server.com/dictionary/entry/ants.html

という URL は、次のファイルを指します。

/usr/disk7/entry/ants.html

ディレクトリへのアクセスの操作

URL は、特定のオブジェクトの代わりにディレクトリを参照できます。たとえば、次の場合です。

http://my.server.com:8080/personal/tootie/

URL がディレクトリを参照する場合、サーバは要求されているディレクトリ中のインデックス・ファイ

ルを検索します。サーバがどのインデックス・ファイルを検索するかは、IndexFile 指示語の設定に

よって決まります。たとえば、サーバがディレクトリの要求を受信し、サーバ設定ファイル (httpd.config)

中で次の指示語が指定されている場合を考えます。

IndexFile index.html welcome.html

サーバはまず初に、指定されたディレクトリ中にある index.html というインデックス・ファイ

ルを検索します。このインデックス・ファイルが存在する場合、サーバはそのインデックス・ファイルの

コンテンツを Web クライアントに返します。存在しない場合は、指定された代替インデックス・ファイル

である welcome.html を検索します。この代替インデックス・ファイルも存在しない場合、サーバは

Web クライアントにエラー・メッセージを返します。(ただし、インデックス自動生成が指定されている場

合を除きます。7-34 ページの「ディレクトリ・インデックス自動生成の有効化」を参照してください。)

IndexFile指示語の詳細については、付録 A「設定指示語」を参照してください。

一般に、インデックス・ファイルは、サーバのコンテンツ全体を照会するホーム・ページを作成するた

めに使用されます。たとえば、設定ファイル中で次の指示語が指定されているとします。

12 523346-001J


5

Filemap / /usr/tandem/webserver/root/IndexFile index.html

また、Webクライアントが次のホーム・ページURLを使用して、このサーバに対する要求を行うとします。

http://www.widgets.com/

この時、サーバは、次のディレクトリ中に含まれる index.htmlを返します。

/usr/tandem/webserver/root

アクセスしたディレクトリ中にインデックス・ファイルが存在しない場合にインデックス・ファイルを

自動生成するように、サーバを設定できます。生成されたインデックス・ファイルは、アクセスしたディ

レクトリ中にあるすべてのファイルを示します。インデックス自動生成の詳細については、7-34 ページの

「ディレクトリ・インデックス自動生成の有効化」を参照してください。

コンテンツ・ネゴシエーション

場合によっては、同一コンテンツを別々の様式でさまざまなユーザに提示する方が合理的です。たとえ

ば、英語、ドイツ語、または日本語のいずれでテキストを受信するかどうかをユーザに選択させたい場合

があります。同様に、さまざまなクライアントが、異なる文字セットやファイル圧縮のオプションを選択

した方がよい場合があります。

こうしたニーズを満たすために、iTP Secure WebServer は、サーバ・ベースのコンテンツ・ネゴシエー

ションに対応しています。コンテンツ・ネゴシエーションには、以下のコンテンツが含まれます。

□ クライアントから送る要求に、クライアントの優先データ表現を指定する Acceptヘッダ (Accept、Accept-Language、Accept-Encoding、Accept-Charset) を追加できます。HTTP/

1.1 の仕様では、このようなヘッダ、およびさまざまなオプションの重み付けの方法を定義しています。

□ サーバ設定により、コンテンツ・ネゴシエーションが有効にされ、許可するコンテンツ・ネゴシエー

ションのタイプ (言語のみ、または複数の条件) が指定されます。

□ コンテンツ・ファイルは、同一コンテンツのさまざまな表現をサーバが区別できる方法で編成され、名

前が付けられます。

コンテンツ・ネゴシエーション用の設定指示語

iTP Secure WebServerは、次の3つの設定指示語に基づいてコンテンツ・ネゴシエーションを決定します。

□ Negotiation指示語では、サーバがコンテンツ・ネゴシエーションを実行するかどうかを指定しま

す。実行する場合は、言語のみに基づいて決定するか、エンコーディングと文字セットにも基づいて決

定するかを指定します。たとえば、次の指示語は、サーバが複数のコンテンツ・ネゴシエーション条件

を許可する必要があることを指定しています。

Negotiation Mult

□ LanguagePreference指示語では、要求に Accept-Languageヘッダが含まれていない場

合に、サーバが同一コンテンツのさまざまな言語表現の中から選択する方法を指定します。(要求に

Accept-Language ヘッダが含まれている場合は、サーバはそのヘッダの情報に従って選択しま

す。) たとえば、次の指示語は、サーバが英語を優先して選択することを指定しています。ただし、英

語版のコンテンツがない場合は、サーバはフランス語を選択します。

LanguagePreference {en,fr}

23346-001J 7-13


7-

□ LanguageSuffix指示語は、言語に対する RFC 2068 標準の略語 (米国英語の en-US、ドイツ語の

de など) とファイル拡張子をマッピングします。これらにより、ホスト上の該当言語のファイルが識別

されます。たとえば、次の指示語は、ドイツ語のファイルの拡張子が .ger になることを指定しています。

LanguageSuffix de .ger

これらの指示語の詳細については、付録 A「設定指示語」を参照してください。

RFC 2068 については、次の URL にアクセスしてください。

http://www.cis.ohio-state.edu/htbin/rfc/rfc2068.html

ネゴシエーション用のコンテンツの格納

同一コンテンツのさまざまな表現の中から選択する場合、サーバは、ファイルのコンテンツを調べるの

ではなく、コンテンツ表現オプションをサポートするパス構成要素またはファイル拡張子を検索します。

サーバの動作は、Negotiation 指示語でコンテンツ・ネゴシエーションとして言語のみ (Lang)、マ

ルチビュー (Mult)、またはコンテンツ・ネゴシエーションなし (None) を指定するかどうかによって、大

きく異なります。実際、ユーザは、選択するネゴシエーションの種類によって異なるコンテンツを格納す


言語のみ

設定で言語のみ (Lang) のコンテンツ・ネゴシエーションが指定されている場合は、サーバは要求 URL

を調べてから、次の処理を行います。

1. 要求されたファイルが、指定された場所 (URL と適切な Filemap指示語で確定) に存在する場合は、

サーバはそのファイルを返します。コンテンツ・ネゴシエーションは行われません。

2. 要求されたファイルが、指定された場所に存在しない場合は、サーバは、優先言語に対する RFC 2068

標準の略語の名前が付いたサブディレクトリを検索します。

たとえば、要求に次の URL が含まれているとします。

/us/ca/sj/store1/product.html

さらに Accept-Language ヘッダで、受け入れ可能な言語として英語 (en) の後にドイツ語 (de)

が指定されている場合は、サーバは初に次のサブディレクトリを検索します。

/store1/en/

このようなディレクトリが存在しない場合は、サーバは次のサブディレクトリを検索します。

/store1/de/

要求に Accept-Language ヘッダが含まれていない場合は、サーバは、LanguagePreference指示語の値を使用して検索の条件を設定します。設定に LanguagePreference 指示語が含まれ

ていない場合は、サーバは、ファイルが見つからなかったことを示す状態コードを返します。

3. 優先言語のサブディレクトリを設定した後、サーバは、要求されたファイルを検索して返します。も

重みの高い言語をサポートするディレクトリが見つかっても、そのディレクトリにファイルが存在しな

い場合は、サーバは、次の重みの言語のディレクトリ、またその次、という順にファイルを検索しま

す。ほとんどのブラウザでは、ファイルが返される可能性を高めるために、終的な言語タグとして

Accept-Languageヘッダに「任意の言語」を示す (*) を指定します。

14 523346-001J


5

言語のみのコンテンツ・ネゴシエーションを行うには、言語ごとに独立したサブディレクトリを定義し

ます。言語に対する RFC 2068 標準の略語をサブディレクトリ名として使用します。さらに、対応するサ

ブディレクトリに各言語でのテキストが含まれているファイルを格納します。RFC 2068 については、次の

URL にアクセスしてください。

http://www.csl.sony.co.jp/rfc/mirror/rfc2068.txt

マルチビュー

設定でマルチビュー (Mult) のコンテンツ・ネゴシエーションが指定されている場合は、サーバは要求

URL を調べてから、次の処理を行います。

1. 要求されたファイルが、指定された場所 (URL と適切な Filemap指示語で確定) に存在する場合は、

サーバはそのファイルを返します。コンテンツ・ネゴシエーションは行われません。

2. 要求されたファイルが、指定された場所に存在しない場合は、サーバは、要求ヘッダで指定された条件

と拡張子が一致するファイルを検索します。

Accept ヘッダは、優先コンテンツ・タイプを指定します。MIME タイプの表 (8-7 ページの例 8-1

「サーバ MIME タイプ」) に、対応するファイル拡張子を示しています。要求に Accept ヘッダが含

まれていない場合は、サーバは、コンテンツ・タイプに基づいたコンテンツ選択は行いません。

Accept-Languageヘッダまたは LanguagePreference指示語は、優先言語を指定します。

ただし、要求に Accept-Language ヘッダがない場合にのみ、LanguagePreference 指示

語が適用されます。LanguageSuffix 指示語は、対応するファイル拡張子を定義します。要求に

Accept-Language ヘッダが含まれておらず、設定ファイルに LanguagePreference 指示

語が含まれていない場合、あるいは優先言語に対する LanguageSuffix指示語が設定ファイルに

含まれていない場合は、サーバは、言語に基づいたコンテンツは選択は行いません。

Accept-Encoding ヘッダは、優先エンコーディングを指定します。MIME タイプの表 (8-7 ペー

ジの例 8-1「サーバ MIME タイプ」) に、対応するファイル拡張子を示しています。要求に Accept-Encodingヘッダが含まれていない場合は、サーバは、エンコーディングに基づいたコンテンツ選択

は行いません。

3. サーバは、コンテンツ・ネゴシエーション条件を満たすファイルを見つけると、そのファイルをクライ

アントに返します。

条件を満たすファイルがない場合は、サーバは、以下の条件に従っても近いファイルを返します。

条件を満たすという点で複数のファイルが等しい場合は、サーバは小のファイルを返します。

たとえば、要求に次の URL が含まれているとします。

/us/ca/sj/store1/product

優先順位タイプ

第一コンテンツ・タイプ

第二言語テンツ・タイプ

第三エンコーディンググ

23346-001J 7-15


7-

さらに、そのヘッダで基本設定として text/htmlと英語 (en) が指定されている場合は、サーバは

次のファイルを返します。

/us/ca/sj/store1/product.de.html

このファイルは、次のファイルに優先します。

/us/ca/sj/store1/product.en.avi

ただし、サーバが、ヘッダ条件に関して受け入れできないファイルを返すことはありません。

マルチビュー・コンテンツ・ネゴシエーションを実行するには、各ファイル名に、サポート済みのコン

テンツ・ネゴシエーション条件と一致する拡張子を 1 つ以上設定する必要があります。さまざまな言語の

ファイルを、それぞれの言語用の名前のサブディレクトリに格納しないでください。ただし、クライアン

トが、各 URL に明示的にサブディレクトリ名を追加する場合は除きます。

ユーザ・ディレクトリの作成

クライアントがサーバ経由でコンテンツを利用できるようにするための処理を、ホスト・マシン上の

OSS (Open System Services) アカウントが実行できるようにするには、プライベート・ユーザ・ディレクト

リを作成します。

ユーザ・ディレクトリを作成するには、サーバ設定ファイル (httpd.config) 中で次のように

UserDir指示語を指定します。

UserDir user-dir

ここでの引数は次のとおりです。

user-dir

ユーザのホーム・ディレクトリ中のサブディレクトリ。

ユーザ・ディレクトリに対する要求を通常の要求と区別するには、URL のパス部分の先頭にプリフィッ

クスとしてチルダ (~) を使用します。先頭がチルダであるパスは、適切なユーザ・ディレクトリに自動的

にマッピングされます。

たとえば、サーバの設定ファイル中で次の指示語が指定された場合を考えます。

UserDir public_html

次の URL が、ユーザ・ディレクトリ black中の public_html/home.htmlにマッピングされ

ます。

http://www.widgets.com/~black/home.html

参照されたユーザ・アカウントまたは user-dirがホスト・マシン上にない場合、サーバは " 見つか

らない " という結果を返します。設定ファイル中に UserDir指示語が指定されていない場合、サーバは、

先頭にチルダの付いた URL へのアクセスに対して、「見つからない」という結果を返します。

Guardian ファイルの使用

iTP Secure WebServer 環境におけるコンテンツは、常に OSS ネームスペースに置かれていましたが、URL

を使用して Guardian ファイルを参照することもできます。Guardian ファイルにはファイル拡張子がありま

せんが、参照するときに拡張子を指定できます。Guardian ファイルを使用する場合は、次の規則が適用さ

16 523346-001J


5

れます。

23346-001J 7-17


7-

□ ネームスペース /G または /E における URL に拡張子が含まれている場合は、iTP Secure WebServer は、

ファイルを開くときに拡張子を省略しますが、拡張子に応じた正しい MIME タイプを使用してファイ

ルを開きます。

例：

l URL が次のようになっているとします。

/G/vol/subvol/file.html

この場合は、次のファイルが html として開かれます。

/G/vol/subvol/file


/G/vol/subvol/file.txt

この場合は、次のファイルがテキストとして開かれます。

/G/vol/subvol/file

□ URLがPathway-CGIアプリケーションを表し、URLに拡張子が含まれている場合は、iTP Secure WebServer

は、拡張子に応じた PathwayMimeMap 指示語で指定されたサーバ・クラスに要求を送信します。

例：

/G/vol/subvol/serverclassname.pway

この場合は、ローカルの iTP Secure WebServer 環境でサーバ・クラス serverclassnameが呼

び出されます。ただし、拡張子 .pway を別のサーバ・クラスまたは PATHMON 環境に割り当てる

PathwayMimeMap指示語が設定に含まれている場合は除きます。

□ URL が Pathway-CGI アプリケーションを表し、URL に拡張子が含まれていない場合は、iTP Secure

WebServer は、DefaultType 設定指示語または Region コマンドによって指定された領域のデ

フォルトのタイプを使用してファイルを開きます。領域のデフォルトのタイプが application/x-httpd-Guardianになっている場合は、デフォルトの拡張子は .pway です。

備考：この機能が思うように動作しない場合は、設定ファイルを調べて、領域に対する DefaultType 指示語で確実

に application/x-httpd-Guardian を指定します。

例：


/G/vol/subvol/file

この場合は、次のファイルが、その領域のデフォルトのタイプとして開かれます。デフォルト・タ

イプは、DefaultType設定指示語または Regionコマンドによって指定されます。

/G/vol/subvol/file

18 523346-001J


5

l /G/vol/subvol/serverclassname

この場合は、.pway 拡張子を持つものとして処理されます。また、これにより、ローカルの iTP Secure

WebServer 環境でサーバ・クラス serverclassnameが呼び出されます。ただし、拡張子 .pway

を別のサーバ・クラスまたは PATHMON 環境に割り当てる PathwayMimeMap指示語が設定に

含まれている場合は除きます。

□ Pathway-CGI アプリケーションがネームスペース /G または /E にあり、そのアプリケーションに渡され

る引数 argv[0] に拡張子を持つ URL が含まれている場合は、iTP Secure WebServer は、引数の文字列か

ら拡張子を削除します。ただし、CGI 環境変数 (SCRIPT_NAME、HTTP_REFERRER など ) に拡張子

を保存します。

たとえば、次のようなアプリケーションがあるとします。

/G/vol/subvol/echo.atp

この場合は、argv[0] の文字列は次のようになります。

/G/vol/subvol/echo

ただし、SCRIPT_NAME に、このアプリケーションのアクセスに使用される URL と拡張子、つまり

/filemap/echo.atpが含まれます。

ファイル・キャッシュの制御

パフォーマンスを向上させるため、iTP Secure WebServer は、アクセスするファイルをキャッシュしま

す。キャッシュされたファイルは、15 分間開いたままになるので、その間はファイルを再度開く必要があ

りません。ファイルが開いている場合、そのファイルの保守作業や別のディレクトリへの移動はできませ

ん。

ファイル・オープンだけでなく、ファイル情報 (fstat 関数を呼び出すことにより取得される ) や実際の

ファイル・コンテンツもキャッシュに格納できます。

ITP Secure WebServer のデフォルト設定が、ファイル・キャッシングの拡張機能に合わせて変更されま

した。ファイル・キャッシングが無効の場合は、ITP Secure WebServer はこれまでのリリースと同様に動

作します。

しかし、メモリ消費量が増えるという理由で、ファイル・キャッシングの不使用を選択することも可能

です。デフォルト設定では、大 20MB のメモリが追加使用されます。

すべての httpd サーバ内のキャッシュ・エントリを検証するには、/conf ディレクトリにある vcache とい

うシェル・スクリプトを使用します。このスクリプトを実行すると、HTTPD はキャッシュに格納されてい

る情報を確認し、現在のファイル・コンテンツがクライアントに確実に提供されるようにします。ただし、

キャッシュ・エントリの検証プロセスはキャッシュ・テーブル全体を読み取るので、一時的にシステム・

リソースを消費することがあります。したがって、ファイルの更新はオフピーク時間に実施してください。

ファイル・キャッシングの処理に使用できる設定指示語として、次の 5 つがあります。

23346-001J 7-19


7-

FileStatsCheckTime

構文

FileStatsCheckTime <minutes>

説明

FileStatsCheckTime 指示語を使用して、ファイル状態情報 (fstat の呼び出しにより取得され

るファイル情報) をリフレッシュする間隔を指定します。つまり、キャッシュに格納されているファイル状

態は、FileStatsCheckTimeで指定された時間だけ使用されます。ファイルがこの時間内に更新され

た場合は、新のタイムスタンプとファイル・コンテンツが返されないことがあります。そのため、この

指示語の使用には注意が必要です。

FileStatsCheckTime に指定できる値の範囲は、-1 ～ 600 分 (10 時間 ) です。-1 を指定すると

チェックは行われません。0 (ゼロ) を指定すると、ファイルが要求されるたびにチェックが行われるので、

iTP Secure WebServer によって返されるタイムスタンプとファイル・コンテンツは常に新のものになり

ます。

備考：ディスク・ファイルを頻繁に更新しない場合は、-1 を指定してファイル更新後に vcache スクリプト

を実行してください。

デフォルト

FileStatsCheckTimeが設定されていない場合、60 (1 時間) が使用されます。

例

FileStatsCheckTime 120

CacheTime

構文

CacheTime <minutes>

説明

CacheTime 指示語を使用して、サーバがファイル・オープン、ファイル状態、または実際のファイ

ル・コンテンツをキャッシュに格納する時間 (分単位) を指定します。この指示語が設定ファイル内にあれ

ば、iTP Secure WebServer がアクセスしたファイルは、CacheTime指示語で指定された時間、メモリに

保持されます。

CacheTime に指定できる値の範囲は、0 (ゼロ ) ～ 600 (10 時間 ) です。0 を指定すると、ファイル・

キャッシングは無効になります。

20 523346-001J


5

デフォルト

CacheTime 指示語が設定されていない場合、サーバはファイルを約 60 分間 (1 時間 )、キャッシュに

格納します。

例

CacheTime 7

MaxFileCacheEntries

構文

MaxFileCacheEntries <num_entries>

説明

MaxFileCacheEntries指示語を使用して、サーバがファイル・オープン、ファイル状態、および

実際のファイル・コンテンツを保管するファイル・キャッシュ内に格納できる大エントリ数を指定しま

す。

大きい値を指定するほど、ファイル・キャッシュにより消費されるメモリ量が増える可能性があります。

また、小さい値を指定するほど、サーバがディスクから直接ファイルにアクセスする回数が増えます。し

たがって、Web サイトと CPU 上の物理メモリの設定を調査する必要があります。

MaxFileCacheEntries指示語は、設定ファイル内で 1 つだけ使用できます。

MaxFileCacheEntriesに指定できる値の範囲は 256 ～ 6000 です。

ファイル・オープンのキャッシングを無効にするには、CacheTime指示語に 0 を設定する必要があり

ます。

デフォルト

MaxFileCacheEntries 指示語が設定されていない場合、サーバはファイル・キャッシュに 2000

エントリを格納できるようにします。

例

MaxFileCacheEntries 5000

MaxFileCacheContentSize

構文

MaxFileCacheContentSize <num_kilobytes>

num_kilobytes には、KB 数 (1KB は 1024 バイト) を指定します。

23346-001J 7-21


7-

説明

MaxFileCacheContentSize指示語を使用して、ファイル・キャッシュ・エントリに格納できる

ファイル・コンテンツの大長を指定します。この指示語が設定ファイル内にある場合、コンテンツの長

さが num_kilobytes以下のファイルはサーバのファイル・キャッシュ内に完全に格納されます。コン

テンツの長さが num_kilobytesを超えるファイルは、ファイル・オープンとファイル状態だけキャッ

シュに格納され、実際のファイル・コンテンツはディスクから直接アクセスされます。

MaxFileCacheContentSizeに指定できる値の範囲は、0 (ゼロ) ～ 50KB (50 × 1024 バイト) で

す。0 (ゼロ) を指定すると、ファイル・コンテンツのキャッシングが無効になります。

デフォルト

MaxFileCacheContentSize指示語が設定されていない場合、サーバは 10 (10KB) を設定します。

例

MaxFileCacheContentSize 30

MaxFileCacheEntries と MaxFileCacheContentSize の両方の値によってファイル・

キャッシュの大サイズが決まります。たとえば、MaxFileCacheEntriesに3000、MaxFileCache

ContentSize に 30 を設定すると、ファイル・キャッシュの大容量は 90MB になります。Web サイ

ト上に存在するすべてのスタティック・ファイルと物理メモリの設定を調査してください。iTP Secure

WebServer が物理メモリを消費しすぎてページ・フォルトが多数発生すると、パフォーマンスが低下する

可能性があります。したがって、これらの指示語の適な設定を決めるには、チューニングが必要になる

場合があります。

NoCache Region コマンド

構文

Region URL_path {

[NoCache]

}

説明

Region指示語を使用して、パス・コンポーネントによるサーバへのアクセスを制御します。指定する

コマンドは、URL_pathと一致するすべての URL に適用されます。NoCacheコマンドは、URL_path

と一致するすべての URL に対するファイル・キャッシングを無効にする場合に使用します。つまり、その

領域内のファイル・オープン、ファイル状態、またはファイル・コンテンツは一切キャッシュに格納され

ません。

22 523346-001J


5

ファイル・キャッシングのメカニズムは、iTP Secure WebServer 上のすべてのディスク・ファイルに適

用されます。少数のディスク・ファイルを絶えず更新する必要がある場合は、ファイル・キャッシュの更

新も頻繁に行う必要があるので、iTP Secure WebServer 全体のパフォーマンスが低下する可能性がありま

す。NoCache Region コマンドを使用すると、これらのファイルのうち数ファイルをキャッシュに格

納しないようにし、スタティック・ファイルをより長時間キャッシュに格納しておくことによって、高い

パフォーマンスを維持できます。

しかし、Region指示語は、要求のたびに (この場合はファイル・アクセスのたびに) 評価されます。し

たがって、Region指示語が多すぎると、iTP Secure WebServer の効率が低下する可能性があります。

も良い方法は、絶えず更新されるファイルをすべて 1 つの領域内に保管することです。

デフォルト

Region 指示語が設定されていない場合、または Region 指示語内に NoCache コマンドがない場合、

サーバはアクセスされるファイルをすべてキャッシュに格納しようとします。

例

Region /h/dynamic_files/* {

NoCache

}

ログ・ファイルの管理

ここでは、ログ・ファイルの管理方法について説明します。説明する内容は、次のとおりです。

□ ログ形式の選択 (7-23 ページ)

□ ログ用領域の確保 (7-24 ページ)

□ ログ・ファイルの循環使用 (7-25 ページ)

ログ形式の選択

サーバのログ・ファイルとして選択できる形式は、次の 2 種類です。

□ 一般ログ形式 (CLF) (7-23 ページ)

□ 拡張ログ形式 (ELF) (7-24 ページ)

一般ログ形式 (CLF)

一般ログ形式 (CLF) は、アクセス・ログ・ファイルとエラー・ログ・ファイルによって使用される形式

であり、AccessLog設定指示語と ErrorLog設定指示語で指定されます (付録 A「設定指示語」を参

照)。この形式は、ほかの Web サーバおよび多くのログ分析ツールでも使用できます。このようなツールを

既に使用している場合や持っている場合は、CLF を使用することをお勧めします。

23346-001J 7-23


7-

WebReporter を使用する場合は、この後で説明する拡張ログ形式を使用することをお勧めします。

WebReporter の詳細については、『iTP Secure WebServer WebReporter Command Reference Manual』および

『iTP Secure WebServer WebReporter User’s Guide』を参照してください。

拡張ログ形式 (ELF)

拡張ログ形式 (ELF) は、拡張ログ・ファイルによって使用される形式であり、ExtendedLog設定指

示語で指定されます (付録 A-22 ページの「ExtendedLog」を参照)。ELF は、CLF では利用できない次のよ

うな機能を実現します。

□ 特定の要求に対するエラー情報とアクセス情報が、1 つのログ・エントリ内にすべて記録されます。情

報が統合されているので、別々の場所にあるエラー・ログ中のエントリとアクセス・ログ中のエントリ

を突き合わせる作業が不要です。

□ Web ブラウザの種類、参照元、要求の開始時刻 / 終了時刻のフィールドがあります。

□ 認証されたユーザの名前など、セキュリティ情報のフィールドがあります。

□ 情報フィールドに使用される名前 / 値のペアには、ログ記録フィールドを新規追加できます (たとえば

セキュリティ情報のフィールドなど )。

□ 総合的な書式であるので、新しいログ分析プログラムを容易に作成できます。

ログ分析プログラムを独自に作成する場合、または追加の情報フィールドを使用する場合は、ELF を使

用することをお勧めします。ELF を使用すれば、WebReporter を大限に利用できます。詳細については、

『iTP Secure WebServer WebReporter Command Reference Manual』および『iTP Secure WebServer WebReporter

User’s Guide』を参照してください。

CLF と ELF については、付録 C「サーバ・ログ・ファイル形式」で詳しく説明します。

ログ用領域の確保

サーバ・ログ・ファイルのサイズは急速に大きくなる可能性があるので、十分な領域を確保しておきます。

1 日あたりの合計要求数に対する、サーバ・ログ・ファイルのサイズの 1 日あたりの増加量の見積りを、

表 7-1 に示します。この表では、アクセス・ログ・ファイルに対する典型的なエントリのサイズが 100 バ

イト、拡張ログ・ファイルに対する典型的なエントリのサイズが 150 バイトであると仮定しています。エ

ラー・ログ・ファイルのサイズは、アクセス・エラーの頻度に依存します。表 7-1 では、エラー・ログ・

ファイルはアクセス・ログ・ファイルの 20% の割合で増加するものと仮定しています。

24 523346-001J


5

表 7-1　ログ・ファイルの必要容量

ログ・ファイルの循環使用

サーバ・ログ・ファイルのサイズが増加すると、ログ・ファイルの循環使用が必要になります。つまり、

古いファイルをアーカイブまたは削除し (どちらを行うかはユーザの方針による )、新しいファイルを作成

します。新のログ・ファイルを自動保存し、iTP Secure WebServer が新しいファイルへのログ記録を開

始できるようにする方法には、次に示すようにいくつかあります。

rollover スクリプトおよび rollstarth スクリプトを利用した、ログ・ファイルの循環使用

rolloverスクリプトまたは rollstarthスクリプトを使用して、httpd.config中で指定さ

れた iTP Secure WebServer のログ・ファイルを循環使用できます。rolloverスクリプトは、新のロ

グ・ファイルを保存し、iTP Secure WebServer に新しいファイルへの書き込みを開始させます。ただし、

iTP Secure WebServerの処理は継続します。rolloverスクリプトは、/usr/tandem/webserver/

confディレクトリから次のように実行します。

: cd /usr/tandem/webserver/conf: ./rollover

rollstarth スクリプトは、rollover スクリプトと同様の処理を行いますが、iTP Secure

WebServer を動的に再起動します。このため、iTP Secure WebServer を停止することなく設定変更を反映

できます。動的に反映できる設定変更については、第 6 章「スクリプトを使用した iTP Secure WebServer

の管理」で説明しています。rollstarthスクリプトは、次のように実行します。

: cd /usr/tandem/webserver/conf: ./rollstarth

httpd コマンドを利用したログ・ファイルの循環使用

サーバが別の設定ファイルを使用する場合、httpd コマンドに引数 -rollover を付加すれば、ロ

グ・ファイルを自動的に循環使用できます。引数 -rollover が付加された httpdコマンドは、指定

されたサーバに対する現行のログ・ファイルを保存し、新しいログ・ファイルへの書き込みを開始させま

す。引数 -rolloverの使用方法を次に示します。

要求 / 日アクセス・ログのサイズエラー・ログのサイズ拡張ログのサイズ

5,000 488KB 98KB 732KB

10,000 976KB 195KB 1.5MB

20,000 1.9MB 0.4MB 3.0MB

50,000 4.8MB 1.0MB 7.2MB

100,000 9.7MB 1.9MB 14.5MB

200,000 19.0MB 3.8MB 28.5MB

500,000 48.0MB 9.6MB 72.0MB

1,000,000 97.0MB 19.4MB 145.5MB

23346-001J 7-25


7-

たとえば、次のようなコマンドを実行するとします。

: httpd -rollover configfile_name

このコマンドは、現行のログ・ファイルを保存し、サーバを停止することなく新しいログ・ファイルへ

の書き込みを開始します。設定ファイル中でログ・ファイル名が変更されている場合でも、サーバは古い

名前を使用します。

次のようなコマンドを実行するとします。

: httpd -start -rollover configfile_name

このコマンドは、サーバを起動し、サーバ停止時点でのログ・ファイルを保存し、新しいログ・ファイ

ルを開きます。


: httpd -restarth -rollover configfile_name

このコマンドは、サーバを動的に再起動するので、設定変更が即時に反映されます。iTP Secure WebServer

は動作を継続し、サーバ起動時点でのログ・ファイルは保存され、新しいログ・ファイルが開かれます。


: httpd -restart -rollover configfile_name

このコマンドは、サーバを停止し、すぐに再起動します。サーバ停止時点での新のログ・ファイルが

保存され、再起動時に新しいログファイルが作成されます。

httpd コマンドについては、第 6 章「スクリプトを使用した iTP Secure WebServer の管理」、および

iTP Secure WebServer の参照ページで説明しています。

ログ・ファイルの命名規則

ログ・ファイルを自動的に循環使用する場合、現行のログ・ファイルは設定された名前で保存されます。

ただし、mm-dd-[y]yy.hh.mmという形式のタイムスタンプが、名前に付加されます。次の例のよう

に compressコマンドを使用すると、ファイルをアーカイブできます。

: cd /usr/tandem/webserver/logs: compress ../logs/elog11-23-96.19:34

: cd /usr/tandem/webserver/logs: compress ../logs/elog04-11-102.10:20

備考：タイムスタンプの年のフィールドは、1900 年以降の年数を表します。したがって、上の例では、初のタイ

ムスタンプは 1996 年に対応し、2 番目のタイムスタンプは 2002 年に対応します。

26 523346-001J


5

サーバのエイリアス (別名) の設定

サーバの URL を公開する際には、サーバ・マシンに対するエイリアス (別名) を登録します。ここで説

明する内容は、次のとおりです。

□ エイリアスの機能 (7-27 ページ)

□ エイリアスのメリット (7-27 ページ)

□ エイリアスの設定 (7-27 ページ)

エイリアスの機能

エイリアスとは、CNAMEとも呼ばれる、サーバの代替名のことです。CNAME とローカル名を DNS (ド

メイン・ネーム・サーバ) に登録します。たとえば、サーバのローカル名が次の名前であるとします。

aegean.compedia.com

DNS のエイリアスとして次の名前を選択するとします。

www.compedia.com

DNS を使用してこの名前を登録した後、www.compedia.comをサーバ名として公開できます。こ

のエイリアスに対して要求を送るユーザは、実際には aegean.compedia.comにアクセスすること

になります。

エイリアスのメリット

エイリアスを使用すると、柔軟性が向上します。サーバにエイリアスが登録されていれば、サーバを新

しいホスト・マシンに物理的に移す際に、新しいホスト名を反映するようサーバ名を変更する必要はあり

ません。エイリアスを使用しておらず、新しいホストに移動した場合は、すべてのサーバの URL を変更し

て新しいホストを指すようにし、さらに新しい URL をユーザに公開しなければなりません。

エイリアスの設定

サーバにエイリアスを設定する手順を、次に示します。

1. マシンのエイリアスを選択し、DNS にそのエイリアスを登録します。登録方法がわからない場合は、LAN

(ローカル・エリア・ネットワーク) 管理者に問い合わせるか、システム・マニュアルを参照してください。

2. エイリアスが登録されたことを確認します。システム上で nslookupコマンドを利用できる場合は、

このコマンドで確認できます。

3. サーバの設定ファイル (httpd.config) の中で、Accept指示語または AcceptSecureTransport指示語の -nameオプションでサーバのエイリアスを設定します (付録 A「設定指示語」を参照)。この

オプションにより、サーバを正しく指す URL を作成するように設定されます。

上記の例の場合、Accept指示語または AcceptSecureTransport指示語中に次の要素を含め

ます。

-name www.compedia.com

23346-001J 7-27


7-

設定ファイルを変更した後、7-1 ページの「サーバの設定」で説明したようにしてサーバを再起動します。

4. 変更後の設定をテストするため、URL 中で新しいエイリアスを使用してサーバにアクセスします。上

記の例のサーバの場合、Web クライアントを使用して次のページにアクセスします。

http://www.compedia.com/index.html

サーバへのアクセスの制御

ここでは、以下の作業を通じたサーバへのアクセスの制御方法および監視方法について説明します。

□ Region 指示語の使用 (7-28 ページ)

□ ホスト名 /IP アドレスによるアクセスの許可 (7-30 ページ)

□ ホスト名 /IP アドレスによるアクセスの拒否 (7-30 ページ)

□ クライアント認証の要求 (7-31 ページ)

□ パスワードの管理 (7-31 ページ)

□ アクセスのリダイレクト (7-33 ページ)

□ ディレクトリ・インデックス自動生成の有効化 (7-34 ページ)

□ ログ記録の無効化 (7-35 ページ)

□ 複数の Region コマンドの使用 (7-35 ページ)

□ パターン変数 (リスト) の使用 (7-36 ページ)

□ 条件コマンドの使用 (7-37 ページ)

□ Tcl 変数の使用 (7-38 ページ)

□ バイト・レンジへの対応 (7-40 ページ)

□ 複数ホストへの対応 (7-40 ページ)

Region 指示語の使用

サーバへのアクセスを制御するには、サーバの設定ファイル (httpd.config) 中の Region指示語の中で

コマンドを入力します。Region指示語は、サーバ・ファイル・ツリーの特定の場所にアクセスしようと

する、任意の要求または要求クラスに対して、そのコマンドを適用します。このようなサーバ・ファイル・

ツリーの特定の場所のことを、領域と呼びます。

Region指示語を使用すれば、サーバ上の任意の領域へのアクセスを制限できます。たとえば、特定の

ホストからの要求を拒否する、特定の要求に必要なセキュリティ属性を記述する、要求を別のロケーショ

ンにリダイレクトする、などの処理が可能です。Region指示語中で指定する領域には、サーバ上のすべ

てのファイルを含められますし、また、特定のディレクトリ・ツリーにあるファイルだけ、または特定の

拡張子 (.gif など) を持つすべてのファイルを含めることもできます。たとえば、/admin/*.cgi という領域へ

の要求に対するアクセスを拒否することができます。

Region指示語は、一致パターンとコマンド・リストで構成されます。このコマンドは、指定されたパ

ターンに一致する URL に適用されます。

28 523346-001J


5

Region pattern {region_command

.

.

.}


pattern

URL のパス部分をサポートする文字列です。パターンの書式は、UNIX シェルで使用される書式と

同様で、パス名とワイルドカード (*) を使用できます。たとえば、パターンが * の場合は、サーバ

上のすべてのファイルを表します。*.cgi の場合は、拡張子が .cgi であるファイルを表します。ま

た、/admin/* の場合は、/admin ディレクトリ中のすべてのファイルを表します。

region_command

対応する領域へのアクセスに制約を加えるコマンドです。

通常、設定ファイル中には、Region 指示語が複数あります。要求の処理中、サーバは、現在の URL

と、設定ファイル中の各指示語の中にあるパターンとを比較します。比較は、先頭の指示語から順に行い

ます。一致した場合、サーバはその一致した指示語中のコマンドを、記述されている順に実行します。

Regionコマンドは、実行を完了させたり、結果コマンド (Deny、Redirect、Allowなど) を呼

び出すプロシージャです。Allow 以外の結果コマンドが呼び出された場合、コマンドの処理は停止しま

す。Allowが呼び出された場合、サーバは要求されたアクセスを即時に実行します。

Region指示語中のすべてのコマンドの実行が完了した場合、サーバは、現在の URL と、次の Region指示語中のパターンとの比較を続けます。一致した場合、サーバは対応するコマンドを前述のように処理

します。設定ファイル中のすべての Region 指示語の処理が完了したら、サーバは要求されたアクセス

の処理に進みます。ただし、以前に Allowが呼び出された場合は除きます。

1 つの設定ファイル中にある複数の Region指示語で、同じ一致パターンを指定できます。たとえば、

次のように指定します。

Region /foo {

command1command2

}Region /foo {

command3command4

}

クライアントからサーバへのアクセスを制御するコマンドについては、この後で説明します。このよう

なコマンドの詳細については、付録 A-49 ページの「Region」を参照してください。

23346-001J 7-29


7-

ホスト名 /IP アドレスによるアクセスの許可

クライアントのホスト名に基づいて、サーバ上の特定の領域に対するアクセスを許可できます。ホスト

名によってアクセスを制御するには、Region指示語において次のように AllowHostコマンドを使用

します。

AllowHost host_pattern host_pattern ...


host_pattern

クライアントのホスト名または IP アドレス。Web クライアントのホスト名または IP アドレスが指

定されたパターンに一致する場合、Region指示語中で指定された領域に対する Web クライアン

トはのアクセスが許可されます。それ以外のクライアントは、アクセスが拒否されます。

たとえば、ドメインが widget.com である別会社と共同で作業を行っており、別会社の社員と自社

の社員に対して、/secret-project ディレクトリ中の設計書へのアクセスを許可する場合を考えて

みます。自社のドメインが wonka.comである場合、次の指示語でアクセスを許可します。

Region /secret-project/* {

AllowHost *.widget.com *.wonka.com}

ホスト名のパターンが指定されていても、Web クライアントのホスト名が利用できない場合 (たとえば、

ホストの IP アドレスが DNS に登録されておらず、逆検索ができない場合 )、AllowHost コマンドは

Web クライアントからのアクセスを拒否します。

ホスト名 /IP アドレスによるアクセスの拒否

クライアントのホスト名に基づいて、アクセスを明示的に拒否できます。ホスト名に基づいてアクセス

を拒否するには、Region指示語において次のように DenyHostコマンドを使用します。

DenyHost host_pattern host_pattern ...


host_pattern

クライアントのホスト名または IP アドレス。Web クライアントのホスト名または IP アドレスが指

定されたパターンに一致する場合、Web クライアントは、Region 指示語中で指定された領域へ

のアクセスを拒否されます。

たとえば、ドメイン hackers.widget.comのユーザがサーバへの不正アクセスを試みた場合、次

の指示語でそのユーザを明示的に締め出せます。

Region * {DenyHost hackers.widget.com

}

ホスト名のパターンが指定されていても、Web クライアントのホスト名が利用できない場合 (たとえば、

ホストの IP アドレスが DNS に登録されておらず、逆検索ができない場合) は、DenyHostコマンドは機

能しません。

30 523346-001J


5

クライアント認証の要求

クライアント認証 (基本アクセスまたはダイジェスト・アクセス) を使用すれば、アクセスに必要なユー

ザ名とパスワードを要求できます。この方法でアクセスを制御するには、Region指示語において次のよ

うに RequirePasswordコマンドを使用します。

RequirePassword realm -userfile userfile


realm

Web クライアントがユーザ名とパスワードを尋ねる際に使用する文字列。たとえば、realmには

Compaq Account Name というテキスト文字列を指定します。

userfile

ユーザ名 / パスワードのデータベースを含むサーバ・ファイルの名前。

このファイルは、useradm ツールによって保守されます。このツールについては、この後の「パス

ワードの管理」で説明します。

ユーザが入力したユーザ名とパスワードが、指定されたパスワード・ファイル中のユーザ名 / パスワー

ドのペアのいずれかと一致した場合、Web クライアントは、Region 指示語中で指定されたサーバ領域

へのアクセスを許可されます。

例：

Region /recipes/secret {RequirePassword "Secret Recipes" -userfile \/home/data/passwords}

パスワードの管理

サーバのパスワード・ファイル中にあるパスワードを管理するには、iTP Secure WebServer に付属する

useradmユーティリティを使用します。このユーティリティにより、以下の作業を実行できます。

□ useradm ユーティリティのバージョンの確認 (7-31 ページ)

□ パスワード・ファイルの新規作成 (7-32 ページ)

□ パスワード・ファイルへの新規ユーザの追加 (7-32 ページ)

□ パスワード・ファイルからのユーザの削除 (7-32 ページ)

□ ユーザのパスワードの変更 (7-33 ページ)

useradmユーティリティは、/usr/tandem/webserver/binディレクトリにあります。

useradm ユーティリティのバージョンの確認

このユーティリティのバージョンを確認するには、次のように入力します。

useradm -version

23346-001J 7-31


7-


-version

useradmのバージョンを表示します。

パスワード・ファイルの新規作成

新しいパスワード・ファイルを作成するには、次のように入力します。

useradm create [-digest] file-name


-digest

ダイジェスト認証形式を指定します。

file-name

新しいパスワード・ファイルの名前。

パスワード・ファイルへの新規ユーザの追加

新しいパスワード・ファイルを作成するには、次のように入力します。

useradm add file-name [user-name] [password]


file-name

パスワード・ファイルの名前。

user-name

追加されるユーザの名前。

password

新規ユーザのパスワード。

ユーザ名とパスワードを指定しなかった場合は、それらの入力が求められます。

パスワード・ファイルからのユーザの削除

パスワード・ファイルからユーザを削除するには、次のように入力します。

useradm delete file-name [user-name]


file-name

パスワード・ファイルの名前。

user-name

削除されるユーザの名前。

32 523346-001J


5

ユーザ名を指定しなかった場合は、その入力が求められます。

ユーザのパスワードの変更

ユーザのパスワードを変更するには、初に delete オプションを使用して古い user-name エン

トリを削除します。次に、add オプションを使用し、ユーザ名が同じでも別のパスワードにして新しい

user-nameエントリを追加します。

パスワード管理の例

次のコマンドは、新しいパスワード・ファイルを作成してから、play-groupというパスワードを持

つユーザ tristenを追加します。

useradm create /usr/tandem/webserver/usersuseradm add /usr/tandem/webserver/users tristen play-group

アクセスのリダイレクト

Region指示語において Redirectコマンドを使用すれば、要求を代替 URL にリダイレクトできま

す。この機能が有用なのは、サーバのコンテンツ (一部または全体) を別のホスト・マシンへ移行する場合

です。新しい URL を公開しなくても、要求をその URL にリダイレクトすればよいのです。

Redirectコマンドの機能は、Filemapコマンドの機能に似ています。Filemap指示語では要求

を別のパスに変換しますが、Redirectコマンドは、要求を別の URL にリダイレクトします。

Redirect コマンドの status オプションを使用すれば、ファイルの移動が一時的か永続的かを指

定できます。リダイレクションによって要求が満たされると、iTP Secure WebServer は、この状態を HTTP

状態コードとしてクライアントに通知します。

要求を代替 URL にリダイレクトする方法は、次の 2 つがあります。

1. Redirectコマンドで、元のロケーションのものとは異なるファイル構造を持つ代替ロケーションに

要求をリダイレクトできます。

Redirect alt-url

この Redirect コマンドは、サーバに対して、指定されたオブジェクトに対する要求をリダイレク

トするよう指示し、完全修飾された代替 URL (alt-url) を指定します。たとえば、/info/stats.htmlというHTML 文書を別のホスト・マシン (www.widgets.com)上の/statsinfo.htmlに移動する場合は、次の Region指示語で、このファイルに対する要求をリダイレクトできます。

Region /info/stats.html {Redirect http://www.widgets.com/statsinfo.html

}

この例で、/info/stats.html に対する要求はすべて、http://www.widgets.com/statsinfo.htmlという URL に自動的にリダイレクトされます。

2. Redirect コマンドに -replace オプションを付加すると、元のロケーションと同じファイル構

造を持つ代替ロケーションに要求をリダイレクトできます。

Redirect [-replace /replace-spec] alt-url

-replace オプションを指定すると、/replace-spec で指定されたパス部分が、元の URL の

23346-001J 7-33


7-

前部から削除されます。元の URL の残りの部分が、代替 URL (alt-url) に追加されます。

-replaceオプションが有用なのは、ホスト間でファイル構造全体をそのまま移す場合です。

たとえば、次の Region指示語で、/info/stocks/*ディレクトリ中のすべてのオブジェクトに

対する要求を、新しいロケーションである http://quote.widgets.com/stocksにリダイ

レクトできます。

Region /info/stocks/* {

Redirect -replace /info/stocks　http://quote.widgets.com/stocks}

この例では、オブジェクト /info/stocks/quote/dec.html に対するすべての要求が、

http://quote.widgets.com/stocks/quote/dec.htmlというURLにリダイレクト

されます。

ディレクトリ・インデックス自動生成の有効化

サーバのディレクトリに対するインデックスの自動生成を有効にできます。インデックス自動生成を有

効にしている場合、インデックス・ファイルのないディレクトリへの要求が発生すると、サーバはインデッ

クスを自動生成します。

インデックス自動生成を有効にするには、Region指示語において DirectoryIndexコマンドを

使用します。たとえば次の指示語は、サーバ上のすべてのディレクトリへのインデックス生成を有効にし

ます。

Region * {DirectoryIndex

}

次の例は、インデックス自動生成が有効な場合に生成されるインデックスを示しています。

Name Last Modified Size

-------------------------------------------------------../ 26-Mar-95 10:14CVS/ 17-Mar-95 13:44a-very-long-file-name-test 17-Mar-95 12: OKsize-100000.html 17-Mar-95 12:15 97K

subdir/ 17-Mar-95 13:44test.html 17-Mar-95 12:15 OK

インデックス自動生成は、デフォルトでは無効になっています。インデックス・ファイルがない場合、

ディレクトリにアクセスしようとすると、サーバはエラーを返します。

DirectoryIndexコマンドの詳細については、付録 A-49 ページの「Region」を参照してください。

34 523346-001J


5

ログ記録の無効化

特定の要求のログ記録を無効にできます。要求のログ記録を無効にすると、その要求のエントリは、サー

バのログ・ファイル中に生成されません。この機能により、重要性の低いログ・エントリを省けます。た

とえば、自社内から行われる要求のログ記録や、特定の領域に対する要求のログ記録を無効にできます。

特定の要求に対するログ記録を無効にするには、Region指示語において次のように NoLogコマンド

を使用します。

NoLog [pattern pattern ...]


pattern

クライアントのホスト名または IP アドレス。Web クライアントのホスト名または IP アドレスが、

指定されたパターンのいずれかに一致する場合は、関連領域に対する要求のログ記録が無効になり

ます。パターンが指定されない場合は、関連領域に対するすべての要求のログ記録が無効になりま

す。

たとえば、自社のドメインが wonka.com であれば、次の指示語で、自社内から発行される要求に対

して、ログ記録を無効にできます。

Region * {NoLog *.wonka.com

}

.gifという拡張子を持つファイルだけに作用する要求に対して、ログ記録を無効にするには、次のよ

うに指定します。

Region *.gif {NoLog

}

NoLogコマンドでのホスト名指定は、指定されたホスト名に対して DNS (ドメイン・ネーム・サーバ)

逆検索が利用可能な場合にのみ機能します。

複数の Region コマンドの使用

Region指示語には、複数のコマンドを含めることができます。コマンドが複数ある場合、記述順に処

理されます。コマンドが "access denied"あるいは "password required"のような応答を返した場合、Region指示語は即時に終了し、その他のコマンドは、現在の要求に対しては処理されません。

Region 指示語中の、コマンドの順序は重要です。たとえば、ドメイン compedia.com のマシン

だけが特定の領域にアクセスできるようにし、さらに有効なユーザ名とパスワードを要求する場合を考え

てみます。これを行う方法の 1 つは、次の Region指示語を指定することです。

Region * {

RequirePassword "Access accountname" -userfile/server/root/user.db

AllowHost *.compedia.com}

23346-001J 7-35


7-

この例では、サーバはまず、アクセスに必要なユーザ名とパスワードを要求します。有効なユーザ名と

パスワードを受信した後にWebクライアントのホスト名を確認し、そのホスト名がドメインcompedia.com中にない場合は、アクセスを拒否します。

このコマンド順序で問題となるのは、ドメイン compedia.com内ではないユーザは、アクセスを拒

否される前にユーザ名とパスワードを尋ねられるという点です。この問題は、初に AllowHost コマ

ンドを指定すれば回避できます。

Region * {AllowHost *.compedia.comRequirePassword "Access accountname" -userfile

/server/root/user.db

}

このコマンド順序の場合、compedia.com 中にないホストは即時にアクセスを拒否されます。

compedia.com中のホストだけが、有効なユーザ名とパスワードの入力を尋ねられます。

サーバの設定ファイル中には、任意の数の Region指示語を入力できます。したがって、Region指

示語中の URL 一致パターンがどのように指定されているかによって、要求は複数の指示語によって処理さ

れることがあります。たとえば、設定ファイル中に次の Region指示語がある場合を考えます。

Region * {DirectoryIndex

}Region /admin/* {

AllowHost *.compedia.com}

/admin/ という URL パスへのアクセス要求は、両方の指示語中の URL 一致パターンに一致します。

この場合、各指示語中のコマンドは、設定ファイルでの出現順に適用されます。つまり、初に

Directory

Indexが処理され、次に AllowHostが処理されます。

パターン変数 (リスト) の使用

一致パターンのリストは、複数の Region 指示語間で共有できます。たとえば、あるホスト群に対し

て 2 つの異なる領域へのアクセスを拒否する場合は、同じホスト・パターン・リストを使用して、2 つの

Region指示語を指定できます。

Region /admin/* {DenyHost *.widgets.com *.compedia.com *.foo.com

}Region /testing/* {

DenyHost *.widgets.com *.compedia.com *.foo.com}

1 つの Region 指示語中に複数の一致パターンを含めることはできません。たとえば、上記の 2 つの

Region指示語を 1 つの Region指示語にまとめることはできません。

Region /admin/* /testing/* {DenyHost *.widgets.com *.compedia.com *.foo.com

36 523346-001J


5

}

パターン・リストの数が増えてくると、この方法は使用しづらくなります。リストを変更する場合、各

リストに対して同じ変更を加える必要があるからです。

代わりに、RegionSet 指示語で、パターン・リストを変数に割り当てることができます。割り当て

た後は、必要に応じてこの変数を Region コマンド中で利用できます。後でリストの変更が必要になっ

たら、そのリストを 1 度修正するだけで済みます。

RegionSet指示語は、次のように指定します。

RegionSet variable value


variable

変数の名前。

value

この変数に設定される値。

先ほどの例に戻ると、次の RegionSet指示語でも同じ結果が得られます。

RegionSet denyList "*.widgets.com *.compedia.com *.foo.com"Region /admin/* {

DenyHost $denyList}Region /testing/* {

DenyHost $denyList}

後でアクセス拒否リストの変更が必要になった場合は、RegionSet 指示語中にあるリストを変更す

るだけで済みます。

条件コマンドの使用

Tcl (Tool Command Language) の ifコマンドを使用すると、Region指示語中のコマンドを条件付き

で実行するよう指定できます。Tcl 言語の詳細については、付録 E「Tcl (Tool Command Language) の基本」

参照してください。if文の構文は次のとおりです。

if condition {

if-true} else {

if-false}

conditionが 0 でない (真である) 場合は、if-true文が実行されます。conditionが 0 の場

合は、(else句中の)if-false文が実行されます。(else句は必須ではありません。)

たとえば、ドメイン widget.com中の任意のホストからの要求は /widget-welcome.htmlに

リダイレクトし、その他のドメインからの要求はリダイレクトしないようにする場合を考えます。この場

合には、次のように、Tcl の if文と Tcl の HostMatchコマンドを使用できます。

23346-001J 7-37


7-

Region / {if [HostMatch *.widget.com] {

Redirect /widget-welcome.html}

}

この例では、Region指示語は、*.widget.comからのホーム・ページ要求を特定のホーム・ペー

ジにリダイレクトします。(Tcl の HostMatch コマンドについては、付録 A「設定指示語」で詳しく説

明します。)

Tcl 変数の使用

Region指示語中で Tcl 変数を使用すれば、要求に関する特定の情報をコマンドに与えることができま

す。たとえば、時刻、Web クライアントのホスト名、HTTP のヘッダ情報です。こうすることにより、コ

マンドは、この情報に基づいて要求の動作を修正できます。

表 7-2 に、Region指示語中で利用できる変数の一覧を示します。ただし、匿名セッションに対して使

用される変数は除きます。匿名セッションについては、付録 A-62 ページの「匿名チケットの属性」で説明

します。

表 7-2　Region 指示語で使用できる変数

変数説明

REMOTE_HOST 要求を発行する Web クライアントの名前。逆検索できない場合、この変数は

空白になります。

例 : aegean.compedia.com.逆検索については、付録 A-49 ページの「Region」を参照してください。

REMOTE_ADDR 要求元の Web クライアントの IP アドレス。

例 : 199.170.183.5

PATH この要求に対する URL パス。

例 : /home/index.html

QUERY_STRING この要求に対するクエリ文字列 (URL 中の「?」に続くテキスト)。

METHOD 現在の要求に対して使用されているメソッド。

例 : GET または POST

MINUTE 時間を超える分数 (0 ～ 59)。

HOUR 現地時間での時 (0 ～ 23)。

WEEKDAY 数値で表した曜日 (0 ～ 6)。日曜日は 0 である。

DAY 1 か月のうちの日 (1 ～ 31)。

MONTH 月 (1 ～ 12)。

YEAR 1900 年から数えた年数。

38 523346-001J


5

例 1：時刻の変数

たとえば、YEAR、MONTH、DAY、WEEKDAY、HOUR、および MINUTE の各変数を使用すれば、次

の例に示すように、時刻に基づいてさまざまな種類のアクセスを開始できます。

Region /pictures/* {if {$HOUR > 7 && $HOUR < 19} {

Redirect /come-back-later.html}

}

この例では、Region 指示語は /pictures領域へのアクセスを制限しています。7 ～ 19 時の間に

この領域にアクセスしようとすると、/come-back-later.htmlという文書へ振り向けられます。

例 2：REMOTE_HOST 変数と REMOTE_ADDR 変数

REMOTE_HOST変数 (要求元の Web クライアントのホスト名を含む)、または REMOTE_ADDR 変数

(Web クライアントの IP アドレスを含む) を、Tcl の switchコマンドで使用できます。

Region / {switch $REMOTE_HOST {

*.mit.edu {Redirect /mit/home.html}*.cornell.edu {Redirect /cornell/home.html}*.yale.edu {Redirect /yale/home.html}

*.wvu.edu {Redirect /wvu/home.html}}

}

この例では、switchコマンドは、各要求の発行元を基準にして、要求をさまざまなホーム・ページへ

振り向けます。

HEADER Web クライアントが送信した HTTP ヘッダのコンテンツ。この配列変数のイ

ンデックスはヘッダ名で構成されており、小文字に変換されます。末尾にコ

ロンは付きません。たとえば、User-agent: という HTTP ヘッダは、

HEADER (user-agent) として格納されます。

SERVER_ADDR セッションに対する仮想ホストの IP アドレス。

SERVER_PORT セッションに対するポート番号。

SERVER_NAME Accept指示語の引数 nameで指定されたとおりに、接続が受信されたア

ドレスに関連付けられた名前。ログ記録される名前は、Accept 指示語の

-nameまたは -addressの値です。(シンボリックな) 名前またはアドレ

スの引数がない場合、ログ記録される名前は、サーバが稼動しているマシン

のホスト名になります。

変数説明

23346-001J 7-39


7-

例 3：HEADER 変数

HEADER 配列変数は、Web クライアントが送信するすべての HTTP ヘッダを格納します。たとえば、

Web クライアントの種類と参照先 URL を含むヘッダです。配列要素のインデックスはヘッダ名で構成さ

れ、小文字に変換されます。末尾にコロンは付きません。たとえば、User-Agent:という HTTP ヘッ

ダは、HEADER(user-agent) という配列要素として格納されます。

クライアントは必ずしもヘッダを送信する必要がないので、HEADER変数を使用する Regionコマン

ドでは、Tclのinfo existsコマンドを使用して、HEADER配列エントリがあるかを初に確認します。

たとえば、Dinosaur/1.0というブラウザが特定の CGI プログラムを使用すると必ず障害状態にな

るので、Dinosaur/1.0 のユーザ全員を代替ページに振り向けたい、という場合を考えます。この場

合は、User-Agentというヘッダを使用して次のようにリダイレクトを発行できます。

Region /order.cgi {if {[info exists HEADER(user-agent)] && \

[string match "*Dinosaur/1.0" $HEADER(user-agent)]} {Redirect /order-dinosaur.cgi

}}

バイト・レンジへの対応

iTP Secure WebServer は、バイト・レンジ・アクセスに対応しています。このバイト・レンジ・アクセ

スは、常に有効です。バイト・レンジ・アクセスアクセスにも対応している Web クライアントは、要求さ

れるファイル中の任意の範囲を要求できます。バイト・レンジの詳細については、RFC2068 「Hypertext

Transfer Protocol-HTTP/1.1」のセクション 14.36 を参照してください。RFC 2068 は、次の URL で閲覧で

きます。


Web 上の大部分のデータはバイト・ストリームとして表されるので、バイト・レンジを使用して必要な

箇所だけを取り出せます。この機能が役に立つのは、ドキュメントの送信の中断後に再開して、欠落した

部分だけを転送する必要がある場合などです。バイト・レンジ要求は、通常は Web クライアントのソフト

ウェアによって生成されます。

具体的には、Adobe PDF (Portable Document Format) ヘルパー・アプリケーションは、バイト・レンジに

よって個々のページにアクセスします。こうした範囲を定義するテーブルは PDF ファイルの末尾にありま

す。(この機能を利用するには、Adobe Acrobat のバージョン 3.0 以降を使用してください。)

iTP Secure WebServer が要求範囲に対して応答すると、HTTP ステータス・コード 206, Partial Content が

返され、拡張ログ・ファイルに記録されます。

複数ホストへの対応

ここでは、同一のホスト・マシン上で複数ホストを使用する方法について説明します。同一マシンによ

る複数ホストの使用は、複数の組織に対して Web サーバをテストしたり運用するのに役立ちます。

複数ホストを使用する方法は、次の 2 つです。

□ 複数のサーバの導入 (7-41 ページ)

40 523346-001J


5

□ 仮想ホストの導入 (7-42 ページ)

複数のサーバの導入

同一マシン上で複数の Web サーバを設定する方法には、次の 2 つがあります。

□ 複数のポートの使用 (7-41 ページ)

□ 複数の IP アドレスの使用 (7-41 ページ)

どちらの場合も、別々の iTP Secure WebServer インスタンスを実行する必要があります。各インスタン

スは相互に独立しています。各インスタンスには、固有のインストール・ディレクトリがあり、このディ

レクトリに、そのサーバに固有の設定ファイル、ログ・ファイルおよびコンテンツ領域があります。

複数のポートの使用

同一マシン上で複数の iTP Secure WebServer を設定するも簡単な方法は、各サーバを別々のポートに

割り当てることです。このポート上でクライアントと接続します。特定のサーバをポートに割り当てるに

は、そのサーバの設定ファイル中にある Accept指示語に -portオプションを付加します。

たとえば、www.widgets.comという名前のホスト・マシン上で 2 つのサーバを設定している場合、

Accept指示語の -portオプションを使用して、あるサーバをポート 80 (デフォルトのポート) に割り

当て、別のサーバをポート 8000 に割り当てることができます。

Accept -transport /G/ZTC0 -port 80


クライアントは、次の URL でサーバにアクセスします。

http://www.widgets.com/http://www.widgets.com:8000/

初のサーバの URL では、ポート番号を指定する必要はありません。この理由は、デフォルトのポート

(80) が割り当てられているためです。Accept指示語の詳細については、付録 A-3 ページの「Accept」を


複数の IP アドレスの使用

複数のサーバを同一のホスト・マシン上で動作させるもう一つの方法は、各サーバを別々の IP アドレス

に割り当てることです。通常、ホスト上の個々のサーバは、すべてのローカル IP アドレスでの接続をチェッ

クしています。一方、同一マシン上で複数のサーバを実行し、各サーバが別々の IP アドレスでの接続を

チェックするようにも設定できます。これについては、「エイリアス IP アドレスの作成」で説明します。こ

のような動作を実現するには、必要な IP アドレスを作成し、各 iTP Secure WebServer 設定ファイル中で

Accept指示語に -addressオプションを付加します。

エイリアス IP アドレスの作成

NonStop TCP/IP では、エイリアス IP アドレス (仮想 IP アドレスとも呼ぶ) を定義できます。エイリアス

IP アドレスの定義方法については、付録 A-10 ページの「SCF TCP/IP 設定」を参照してください。エイリ

アス IP アドレス、およびコンパック NonStop システム上での TCP/IP 設定の詳細については、『TCP/IP

Configuration and Management Manual』を参照してください。

23346-001J 7-41


7-

特定の IP アドレスへのサーバの割り当て

1 つの IP アドレス上の接続だけを受け付けるよう、サーバを制限できます。また、同一ホスト上で稼動

する複数のサーバをそれぞれ別の IP アドレスに割り当てることができます。

サーバを特定の IP アドレスに割り当てるには、サーバの設定ファイル (httpd.config) 中で Accept指示

語に -addressオプションを付加します。

たとえば、2 つのサーバのうち一方の設定ファイル中で、次のように Accept指示語を指定します。

Accept -transport /G/ZTC0 -address 16.11.96.5

この場合、このサーバは、IP アドレス 16.11.96.5上の接続だけを受け付けるように制限されます。

同様に、もう一方のサーバの設定ファイル中で、次のように Accept指示語を指定します。


この場合、このサーバは、IP アドレス 16.11.96.6上の接続だけを受け付けるように制限されます。

Accept 指示語の -address オプションで、IP アドレスの代わりにホスト名を指定することもでき

ます。指定されたホスト名は、ローカル IP アドレスに対応している必要があります。サーバは、その IP ア

ドレスを自動的に使用します。たとえば、次のように指定します。

Accept -transport /G/ZTC0 -address www.widgets.com

別々の IP アドレスを割り当てられた各サーバは、相互に独立しています。各サーバには、固有の設定

ファイル、ログ・ファイル、およびコンテンツ領域があります。

Accept指示語の詳細については、付録 A-3 ページの「Accept」を参照してください。

仮想ホストの導入

複数ホストを使用するためのもう一つの設定方法は、1 つのサーバ・プロセスを複数の仮想ホストの中

に設定し、各仮想ホストが別々の IP アドレスまたはポート (あるいはその両方) での要求受信をチェックす

るようにすることです。1 つのサーバ・プロセスを設定して複数の仮想ホストを使用するには、次の作業

を行います。

□ 仮想 IP アドレスの作成 (7-41 ページの「エイリアス IP アドレスの作成」を参照)

□ 仮想ホストのセットアップ (7-42 ページ)

仮想ホストのセットアップ

1 つの iTP Secure WebServer を複数のサーバとして機能させるには、複数の仮想ホストをセットアップ

します。別々の IP アドレスまたはポート (あるいはその両方) 上で要求の受信をチェックするよう、各仮想

ホストを設定できます。また、サーバ上の指定された領域を管理するよう、各仮想ホストをマッピングで

きます。

仮想ホストを作成するには、Accept 指示語または AcceptSecureTransport 指示語 (あるい

はその両方) を使用して、特定の IP アドレスを特定のホスト名またはポート (あるいはその両方) に関連付

けます。次に、コンテンツ領域をこの仮想ホストに関連付けるため、Region指示語に引数 -hostまた

は -port (あるいはその両方) を付加して使用します。

42 523346-001J


5

例：

Accept -transport /G/ZTC0 -address www.baygroup.org -port 4986Region -host www.baygroup.org -port 4986 /* {Filemap / /groups/baygroup/www

}AcceptSecureTransport -transport /G/ZTC0 -address www.nerds.org\-cert {CN=Open Market Test Certificate MCI-1, OU=Open \Market,O=MCI, C=US} -port 8080

Region -host www.nerds.org -port 8080 /* {Filemap / /groups/nerds/www}

1つの設定ファイル中で、Accept指示語(またはAcceptSecureTransport指示語)とRegion指示語 (-host および -port を付加 ) の組み合せを任意の数だけ指定できます。Accept 指示語の詳

細については、付録 A-3 ページの「Accept」を参照してください。AcceptSecureTransport指示

語の詳細については、付録 A-6 ページの「AcceptSecureTransport」を参照してください。Region指示語

の詳細については、付録 A-49 ページの「Region」を参照してください。

数百、あるいは数千という多数の仮想ホストを設定している場合、各仮想ホストに対するファイルマッ

プ (およびその他の設定項目) を効率よく修正するには、次のように SERVER_NAME変数を使用します。

Region /* {

Filemap//root/$SERVER_NAME/}

この Region 指示語は、各仮想ホストのルートを、/root 中にあるその名前の付いたディレクトリ

にマッピングします。

1 台のホスト・マシンに 256 個の IP アドレスを設定している場合は、次のように指定します。

Accept -port 80

このようにすれば、256 個の IP アドレスの接続をすべてポート 80 で受け付けることができます。さら

に、次のように指定します。

Region /* {Filemap / /root/$SERVER_NAME/}

これにより、256 の仮想ホストを一括して設定できます。ここで $SERVER_NAMEは、仮想ホスト (IP

アドレス) の名前です。このアドレス上で、Accept指示語の引数 -addressと -nameで指定された

とおりに要求が受信されます。7-38 ページの表 7-2「Region 指示語で使用できる変数」を参照してください。

23346-001J 7-43


7-

サーバ・エラー・メッセージのカスタマイズ

ここでは、サーバ・アクセス・エラー・メッセージをカスタマイズする方法について説明します。エ

ラー・メッセージをカスタマイズして、説明の追加、別の言語の使用、回復措置の指示などを行うことが

できます。

サーバには、各アクセス・エラーに対してデフォルトのメッセージが用意されています。これについて

は、付録 A-36 ページの表 A-4「サーバ・アクセス・エラー」を参照してください。エラー・メッセージ

の文章は、HTML 形式でエンコードされており、アクセス・エラーが発生するたびにユーザに対して表示

されます。

たとえば、次のメッセージ (HTML 形式) は、ユーザが、アクセスしようとしたオブジェクトに対するア

クセス権を持っていない場合に表示されます。

<TITLE>Forbidden</TITLE><H1>Forbidden</H1>

You do not have permission to get the requested object.

このエラー・メッセージまたはその他のアクセス・エラー・メッセージの文章を変更するには、次のよ

うな Message設定指示語を使用します。

Message id text


id

メッセージ識別子 (付録 A-36 ページの表 A-4「サーバ・アクセス・エラー」を参照)。

text

HTML 形式にエンコードされたメッセージ。空白を含むメッセージや複数行にまたがるメッセージ

は、中カッコ ({}) で囲みます。

Message指示語を使用すると、サーバは、idで指定されたエラー状態が発生したときに、textを

返します。

たとえば、Message指示語で error-forbiddenというメッセージをカスタマイズするには、次

のようにします。

Message error-forbidden {<TITLE>Forbidden</TITLE><H1>Forbidden</H1>

You do not have permission to get the requested object.<P>For access information, contact <B>[email protected].</B><P><HR><ADDRESS>Widgets International, Inc.</ADDRESS>

}

また、error-short-redirectというメッセージをカスタマイズするには、次のようにします。

Message error-short-redirect {<TITLE>Redirection</TITLE><H1>Redirection</H1>This document can be found <A HREF="$url">elsewhere.</A><P>Your browser does not properly support long URLs.}

44 523346-001J


5

この例では、サーバは $urlをリダイレクト先の URL に置き換えます。

Message指示語の詳細については、付録 A「設定指示語」を参照してください。

クリッカブル・イメージのセットアップ

iTP Secure WebServer では、クリッカブル・イメージを使用できます。クリッカブル・イメージとは、特

定の URL にアクセスするためにクリックできる、インライン・イメージのことです。クリッカブル・イ

メージをクリックすると、Web クライアントは、ユーザが選択した座標と共にクエリをサーバに送信しま

す。サーバはイメージ・マップ・ファイルを使用して、座標にマッピングされているイメージ、およびイ

メージに関連付けられている URL を確定します。

クリッカブル・イメージのセットアップは、次の手順で行います。

1. イメージ・マップ・ファイルの作成

2. ハイパーテキスト・アンカーの追加

3. セットアップされたイメージのテスト

イメージ・マップ・ファイルの作成

クリッカブル・イメージをセットアップする際の初の手順は、イメージの特定の領域を特定の URL に

マッピングすることです。イメージ・マップ・ファイル中でこのマッピングを指定します。イメージ・マッ

プ・ファイルの拡張子は .mapです。

マッピングされるイメージは、既存のグラフィック・ファイル (kellie.gifなど) 中で定義します。

対応するイメージ・マップ・ファイル (kellie.map など ) を作成し、このファイルの中で、既存のイ

メージの特定の部分を特定の URL にマッピングします。

iTP Secure WebServer のイメージ・マップ・ファイルは、CERN 形式または NCSA 形式のどちらかを利

用できます。

イメージ・マップ指示語

イメージ中の特定の領域と特定の URL とのマッピングを指定するには、イメージ・マップ指示語を使用

します。イメージ・マップ指示語は、ピクセル座標 (x,y) の形でイメージの領域を指定します。この座標

は、イメージの左上隅を原点にしています。

先頭がポンド記号 (#) の行はコメント行なので、無視されます。

イメージ・マップ指示語は、以下の 4 つがあります。

rectangle (x1,y1) (x2,y2) url

この指示語は、左上の座標 (x1,y1) と右下の座標 (x2,y2) を使用して方形を定義します。たとえ

ば次のように定義します。

rectangle (30,30) (50,50) /offices/ceo.html

23346-001J 7-45


7-

circle (x1,y1) radius url

この指示語は、円の中心 (x1,y1) と半径 (radius) を使用して円を定義します。たとえば次の

ように定義します。

circle (100,100) 10 /target/bullseye.html

polygon (x1,y1) (x2,y2) (x2,y3) ... url

この指示語は、頂点を使用して多角形を定義します。たとえば、三角形の領域は次のように定義し

ます。

polygon (0,0) (0,10) (10,10) (0,0) /corner.html

頂点の数に制限はありません。

default url

この指示語は、選択された座標がイメージ・マップ中のどの領域とも一致しない場合に返される、

デフォルトの URL を定義します。デフォルトの指示語は、各イメージ・マップ・ファイルに対し

て必要です。

URL の書式

イメージ・マップ指示語中の URL は、完全 URL、サーバ相対 URL、相対 URL の 3 種類の書式で指定

できます。

完全 URL

完全書式の URL は、完全修飾されます。この書式では、アクセス方式とサーバ名の両方が含まれます。

例：

http://www.compedia.com/index.html

ftp://crl.dec.com/pub/misc/

サーバ相対 URL

サーバ相対書式の URL は、先頭がスラッシュ (/) であり、サーバ上のオブジェクトを参照します。

例：

/personal/unerd/home.html/feedback.cgi

相対 URL

相対書式のURLは、イメージ・マップ・ファイルの場所との相対的位置関係でオブジェクトを参照します。

例：

target.html

foundation/index.html

46 523346-001J


5

ハイパーテキスト・アンカーの追加

次に、ハイパーテキスト・アンカーを HTML のインライン・イメージに追加します。たとえば、次のよ

うに指定されたインライン・イメージを持つ HTML 文書があるとします。

<IMG SRC="kellie.gif">

このイメージをクリッカブルにするには、ISMAP タグと、サーバのイメージ・マップ・ファイルを参

照するハイパーテキスト・アンカーを追加します。

例：

<A HREF="kellie.map"><IMG SRC="kellie.gif" ISMAP></A>

この指定は、Web クライアントに対して、kellie.gif に対するクリックを有効にするよう指示し

ます。また、このイメージ中の任意の場所をユーザがクリックした場合に kellie.mapを検索するよう

指示します。

セットアップされたイメージのテスト

後に、セットアップされたクリッカブル・イメージをテストします。

Web クライアントを使用して、インライン・イメージを含む HTML 文書を開きます。イメージをクリッ

クすると、別の文書にリンクされます。クリックしても何も起こらない場合、ハイパーテキスト・アンカー

と ISMAPタグが正しくセットアップされているかを確認します。7-47 ページの「ハイパーテキスト・ア

ンカーの追加」を参照してください。

イメージ・マップ・ファイル中のすべての領域に対するハイパーテキスト・リンクを確認します。テス

ト中にサーバ・エラーが発生した場合は、イメージ・マップ・ファイル中にエラーがあるおそれがありま

す。問題の説明については、サーバのエラー・ログを参照してください。

例 7-4 に、イメージ・マップ・ファイルのサンプルのコンテンツを示します。

例 7-4　イメージ・マップのサンプル

#

# This is a sample image map file.

#

rectangle (50,50) (100,100) http://www.foo.com/

circle (200,50) 25 /secret-stuff.html

polygon (50,200) (50,250) (100,200) triangle.html

default /home.html

23346-001J 7-47


7-

例 7-4 で定義されたイメージ領域を、図 7-1 に示します。

図 7-1　イメージ・マップ領域

図 7-1 において、四角形の中の任意の座標を選択すると、http://www.foo.com/ にアクセスし

ます。同様に、円の中の任意の座標を選択すると、同じサーバ上の /secret-stuff.htmlにアクセ

スします。また、三角形の中の任意の座標を選択すると、イメージ・マップが格納されているディレクト

リ中の triangle.html というファイルにアクセスします。その他の座標を選択すると、デフォルト

の URL である /home.htmlにアクセスします。

SSI ( サーバ・サイド・インクルード) のセットアップ

SSI (サーバ・サイド・インクルード) を使用すると、指定された文書中にリアルタイムの情報または更新

された情報を挿入できます。このような情報には、以下のものがあります。

□ 別のファイル

□ CGI スクリプトまたは /bin/sh スクリプトからの出力

□ 現在の日付

□ 文書の終更新日

□ 別の文書のサイズまたは終更新日

48 523346-001J

5

SSI をセットアップするには、Web クライアントへ送信される HTML 出力を解析して SSI を検出し、そ

の SSI に従って動作するよう、サーバに指示します。サーバで文書を解析する場合は、サーバが文書を送

信する過程でファイルを解析する必要があるため、サーバの負荷が高くなり処理に時間がかかるおそれが

あることを考慮してください。さらに、クライアントがサーバのホスト・システム上でコマンドを実行す

るので、SSI にセキュリティ上のリスクが発生する場合があります。exec オプション (「SSI の利用の指定」

を参照) を無効にすれば、この危険性は低くなりますが、パフォーマンス上の問題は解決されません。

備考： iTP Secure WebServer では、SSI 用の .shtml ファイルで <servlet> タグはサポートされていません。この

タグは、Sun Microsystems 社によるサーブレット API 2.0 の実装の一部です。その他にサポートされてい

ない実装は、9-29 ページの「サーブレット・プログラミングに関する留意事項」に記載されています。

SSI の利用の指定

SSI と iTP Secure WebServer との併用を指定する場合、特定の領域中で SSI を有効にする、特定の領域

において SSI を部分的に有効にする、SSI を無効にする (デフォルト)、の 3 つの方法があります。

ユーザのホーム・ディレクトリ、およびアクセス権がなくてもユーザがファイルを挿入できるディレク

トリに対しては、SSI の利用を無効にすることをお勧めします。

SSI の利用は、デフォルトでは無効になっています。特定の領域 (exec を含む) において SSI を有効にす

るには、EnableIncludesコマンドを使用します。

例：

Region /* {EnableIncludes -restricted

}

ある領域において SSI を有効にすると同時に、exec の使用を無効にするには、引数なしで Enable

Includesコマンドを指定します。

例：

Region /*{EnableIncludes

}

SSI 文書のネスト数を制御するには、EnableIncludesコマンドに -nestingという引数を付加

します。デフォルトのネスト・レベルは 3 です。たとえば、次のコマンドは文書のネスト数を 1 レベルに

制限します。

Region /include/* {EnableIncludes -nesting 1

}

この時、文書が次のようにネストされていると、

Doc1.shtml: Doc2.shtml: Doc3.shtml: 

文書のインクルードは、Doc2.shtmlが Doc1.shtmlにインクルードされた後で停止します。ま

た、サーバのログ・ファイルにエラーが記録されます。

23346-001J 7-49

7-

EnableIncludes コマンドの詳細については、付録 A-51 ページの「Region コマンド」を参照してください。

特定の領域に対して SSI の利用を指定した後、サーバに対して、SSI を使用するために解析するファイ

ルの拡張子を通知します。サーバは内部的に、text/x-server-parsed-htmlという MIME タイ

プを使用して、解析すべきファイルを識別します。ファイルに対応させる拡張子をサーバに通知するには、

mime-types.config ファイル中で MimeType指示語を指定します。たとえば、サーバのデフォルトは次の

とおりです。

MimeType text/x-server-parsed-html shtml

この場合は、末尾が .shtml のファイルを解析することを示します。

mime-types.config ファイル中で指定されるデフォルトの MIME タイプの拡張子は、小文字です。した

がって、.SHTML という拡張子を持つファイルがある場合、SHTML という拡張子を、適切な MimeType指示語または Regionコマンドに追加した場合は除いて、このファイルはテキストとして表示されます。

付録 A-39 ページの「MimeType」を参照してください。

この他に、すべての .html ファイルを解析してもパフォーマンスに悪影響を及ぼす心配がない場合は、次

のように指定することもできます。

MimeType text/x-server-parsed-html html

この場合、サーバは、SSI を検索するためにすべての .html ファイルを解析します。サーバによる解析

は、Content-type: text/x-server-parsed-html というヘッダを返す CGI プログラムでも指定できます。

SSI 指示語

サーバに対する SSI 指示語は、HTML のコメントとして書式化されます。各 SSI 指示語の書式は、次の

とおりです。



ここでの commandは、次のいずれかです。

config

configコマンドは、ファイル解析のさまざまな面を制御します。このコマンドでは 3 種類のタグ

を使用できます。

errmsg

文書の解析中にエラーが発生したときに、どのメッセージを Web クライアントに返すかを

制御します。エラーが発生すると、そのエラーはサーバのエラー・ログおよび拡張ログに記

録され、Web クライアントにも返されます。

例：



サーバのデフォルトの動作は、SGML コメントとして書式化されたエラー・メッセージを返

すことです。errmsg 指示語を使用すると、errmsg の文章がそのまま Web クライアン

トに返されます。コメント中のメッセージが返されるのは、明示的に指定した場合だけです。

例：

errmsg="<!- -this is an error message -->"

50 523346-001J

5

timefmt

日付を与えるための新しい書式を、サーバに通知します。この文字列は、ほとんどのバー

ジョンの UNIX が備えている strftimeというライブラリ・コールと互換性があります。

例：

the day is: <br>

the year is: <br>the time is: <br>

the default string is: 

出力：

the day is: Wednesdaythe year is: 1996

the time is: 14:21:34the default string is: Wednesday, 31-Jan-96 14:21:34 EST

strftime(3) - "%z" (時間帯) の変換指定は、地域の時間帯を時間出力文字列に強

制的に挿入します。エコーされている時間が DATE_GMTの場合、strftime(3)を使用

しないでください。

sizefmt

ファイル・サイズ表示のための書式を指定します。有効な値は、bytes と abbrev の 2

つです。bytesは、書式化されたバイト数 (1,234,567のように書式化) を表示します。

abbrev は、このファイルが占有する KB または MB の数値で構成される、短縮バージョ

ンを表示します。

例：

size=

出力：

size=1,652,708

include

includeコマンドは、文書のテキストを解析された文書に挿入します。仮想ファイルとして指定

されたインクルード・ファイルは、その URL に適用される Regionコマンドに従います。このコ

マンドでは、2 種類のタグを使用できます。

virtual

ローカル・サーバから提供された文書に、仮想パスを与えます。この方法では、テキスト・

ファイル (プレーン・テキスト、HTML、解析された HTML など) だけにアクセスできます。

実行可能ファイルにはアクセスできませんが、別の解析済み文書にはアクセスできます。

例：



23346-001J 7-51

7-

file

#include を含む文書が発生するディレクトリに対して、相対パス名を与えます。./ とい

うパスは、このパス名の中では使用できません。絶対パスも使用できません。virtualオ

プションでは、CGI スクリプトを除く静的な文書にアクセスできます。

例：



echo

echoコマンドは、指定された CGI 環境変数または SSI 変数の値を出力します (11-15 ページの表

11-2「匿名セッションのための Region 指示語変数」を参照)。日付は、現在設定されている timefmt

の値で出力されます。このコマンドに対して有効なタグは、var だけです。var の値は、エコー

させる変数の名前です。

例：



exec

execコマンドは、与えられたシェル・コマンドまたは CGI スクリプトを実行し、その結果を文書

中に挿入します。CGIとして指定されたインクルード・ファイルは、そのURLに適用されるRegion

コマンドに従います。exec コマンドが有効なのは、EnableIncludes 指示語で -restricted オプションが付加されている場合だけです。exec コマンドで使用できるタグは、

次のとおりです。

cmd

/bin/sh (Bourne シェル ) を使用して与えられたコマンド文字列を実行し、その結果を文

書中に挿入します。解析する文書からは、7-38 ページの表 7-2「Region 指示語で使用できる

変数」で示したすべての変数にアクセスできます。

例：



cgi

与えられた CGI スクリプト (仮想パス名とアクセス制御で指定される ) を実行し、その結果

を文書中に挿入します。パス名は、generic-cgi.pway の場所に対して相対的に表さ

れます。たとえば、generic-cgi.pway が /usr/tandem/webserver/bin

ディレクトリにある場合、次のコマンドは、/usr/tandem/webserver/bin/test/test.

cgiに格納されている CGI プログラムを実行します。



サーバは、指定された HTML 出力が有効であるかをチェックするエラー・チェックを実行

しません。そのため、このタグの使用には注意が必要です。

制御下にない領域では、SSI の execコマンドの利用を無効にします。iTP Secure WebServer

は、Location:ヘッダの自動処理には対応していません。

サーブレットなどの Pathway CGI アプリケーションは、SSI を利用できません。

52 523346-001J

5

fsize

fsize コマンドは、特定のファイルのサイズを出力します。fsize コマンドで使用できるタグ

は、include コマンドと同じです。このコマンドの実行結果は、config コマンドで使用され

る sizefmtという引数に従って書式化されます。

例：



flastmod

flastmodコマンドは、特定のファイルの終更新日を出力します。その際、configコマンド

の timefmtという引数で指定された書式を使用します。flastmodコマンドで使用できるタグ

は、includeコマンドと同じです。

例：



SSI 環境変数

解析する文書に対して、CGI 変数 (8-11 ページの表 8-1「環境変数」を参照 ) 以外にも、11-15 ページの

表 11-2「匿名セッションのための Region 指示語変数」で示した変数を使用できます。

表 7-3　SSI 環境変数

SSI 変数説明

DOCUMENT_NAME 現在のファイル名。

DOCUMENT_URI この文書に対する仮想パス名 (例 : /docs/tutorials/foo.shtml)。

QUERY_STRING_UNESCAPED Web クライアントが送信した、シェルの特殊文字すべてがエ

スケープされている検索問合せの、エスケープされていない

バージョン。

DATE_LOCAL 現在の日付とローカルな時間帯。configコマンドの

timefmtパラメータに従います。

DATE_GMT DATE_LOCALと同じですが、グリニッジ標準時 (GMT) で

す。

LAST_MODIFIED 現在の文書の終更新日。timefmtに従います。

▲

23346-001J 7-53


7-

WISP (WebSafe2 Internet Security Processor)を使用するためのサーバの設定

第 2 章「iTP Secure WebServer のインストール」で説明したスクリプト install.WS を使用して、WISP

を使用できるようにサーバを設定します。スクリプトinstall.WSで、設定ファイル(wid.configおよびhttpd.

websafe.config) の作成および編集を行います。WISP を追加する場合は、これらの設定ファイルを編集す

る必要があります。既存の設定に WISP を組み込む場合は、スクリプト install.WS に -upgrade オプショ

ンまたは -websafe オプションを付加して実行します。

備考：ファイル httpd.config に、ファイル httpd.stl.config または httpd.websafe.config をインクルードすることが

できます。両方を同時にインクルードすることはできません。

WID (Websafe2 Interface Driver) 設定の更新

WID (WebSafe2 Interface Driver) の設定ファイル (wid.config) は、/usr/tandem/webserver/conf にあります。

ファイル wid.config には、WID が管理する WISP の IP アドレスと証明書とキーの情報を格納するファイ

ルの名前が登録されています。また、WID のトレース・ファイルとエラー・ログ・ファイルを指定する設

定パラメータ、および WISP からの応答を WID が待つ時間を指定するタイムアウト・パラメータも含まれ

ています。httpd コマンドに -rollover オプションを使用して起動した場合、トレース・ファイルとエラー・

ログ・ファイルは影響を受けません。

wid.config を編集する必要があるのは、WISP を設定ファイルに追加する場合、またはほかのパラメータ

の値を変更する場合です。この後に、WISP を追加する方法について説明します。

設定への WISP (WebSafe2 Internet Security Processor) の追加

WISP を設定に追加する場合、WISP の IP アドレスを wid.configに追加します。追加するには、ipパラメータを次の書式で使用します。

ip = ip_address [TCP/IP_process]

デフォルトの TCP/IP プロセスである $ZTC0 を使用し、かつ、$ZTC0 が、追加する WISP に対するサブ

ネットの設定に既に追加されている場合は、TCP/IP プロセス名を指定する必要はありません。

同じ iTP Secure WebServer 環境内にある WISP は、同じ Superkey と MFK (Master File Key) を持ってい

る必要があります。複数の WISP に、同じ証明書または別々の証明書を設定できます。すべての WISP が

同じ証明書を使用すれば、設定の管理がも簡単になります。この証明書は、wid.config 中の keyfile パラ

メータに割り当てられたファイル中に格納されます。

WID の設定ファイル

例 7-5 は、サンプルのファイル wid.config の内容を示しています。

注意：keyadmin によって使用される WID の設定ファイルでは、設定パラメータの後に余分な空白文字をいれな

いでください。サンプル・ファイルのようにしてください。

54 523346-001J


5

例 7-5　WID の設定ファイルのサンプル

# filename: wid.config.sample

# blank lines and lines starting with # are ignored

# address of WebSafe Atalla boxes, maximum of 16

# optional TCP/IP process name after IP address

# just add lines with ip = ip address for more Atalla

# boxes

ip = 172.16.10.11 $ZTC9

ip = 172.16.11.13 $ZTC9

# TCP/IP timeout value to the Atalla boxes in 0.01 seconds

# if not set, the default is 500

timeout = 300

# filename for storing certificate and key information

# this entry is required

keyfile = /usr/tandem/webserver/conf/wid.keyfile

# Atalla websafe box highest SSL version supported

# optional

# SSL3 for Atalla websafe boxes 2611 and above with SSL3 support

# SSL2 for Atalla websafe boxes prior to 2611

version = SSL3

# directory to write temporary wid files

# if not set, the default is /tmp

#logdir = /usr/tandem/webserver/logs

# if tracefile is set, all communication to and from

# Atalla boxes is logged

# optional and should be set only if problem arises

# tracefile = /usr/tandem/webserver/logs/widtrace.log

# if errorfile is set, wid errors are logged to this file

# optional but should be set to log errors

errorfile = /usr/tandem/webserver/logs/widerror.log

23346-001J 7-55


7-

WebSafe2 の設定ファイル

ここでは、httpd.websafe.config のコンテンツと、この設定ファイル中のパラメータを設定する方法につ

いて説明します。例 7-6 は、サンプルのファイル httpd.websafe.config のコンテンツを示しています。$root

は httpd.config ファイル中で定義されています。

例 7-6　WebSafe2 の設定ファイルのサンプル

#

# Configure the required SSL information using Websafe

#

###########################################################

#

# Definition of the WID server

#

Server $(root)/bin/wid {


Arglist $(root)/conf/wid.config

}

KeyDatabase $root/conf/test_keydb

ServerPassword WebServer9

AcceptSecureTransport -cert {CN=customer test key,OU=Persona

Certificate,O="RSA Data Security, Inc.",C=US} -port 443

-transport /G/ZTC0 -websafe wid -nopct


RequireSecureTransport

}

#Disable transmission of SSLv3 close_notify alert messages to

#Microsoft browsers.

#

Region /* {

if {[info exists HEADER(user-agent)]


DisableCloseNotify

}

}

56 523346-001J


5

各指示語について、以下に簡単に説明します。詳細については、付録 A「設定指示語」を参照してくだ

さい。

□ Server 指示語は、WID に対するサーバ・クラスを作成します。WID サーバ・クラスを iTP Secure

WebServerと同じPATHMON環境で実行したい場合は、httpd.websafe.config中にServer指示語を残しておきます。iTP Secure WebServer と同じ PATHMON 環境で実行しない場合は、WID

サーバ・クラスを実行させたい PATHMON 環境で、WID サーバ・クラスを起動させておきます。

□ KeyDatabase指示語と ServerPassword指示語は必須です。KeyDatabase指示語は、証

明書と秘密鍵が格納されているデータベースを指定します。ServerPassword 指示語は、キー・

データベースの暗号化に使用するパスワードを指定します。

□ AcceptSecureTransport指示語は必須です。

-websafe オプションを使用すると、iTP Secure WebServer は、WID に対するサーバ・クラスが存

在するかを確認します。また、WID と同じ所有者を持つプロセスからのメッセージに対して、WID が

受け付けと応答を行うかどうかも確認します。WID のサーバ・クラスが使用できない場合、エラー・

メッセージが生成され、httpdプロセスは起動しません。

-portオプションを使用すると、iTP Secure WebServer は、指定されたポート上で SSL 要求の受信を

チェックします。

-certオプションは、iTP Secure WebServer が使用する証明書の識別名 (DN) を指定します。

-transportオプションは、TCP/IP のプロセス名を指定します。

-nopctオプションは、WISP が PCT プロトコルに対応していないことを指定します。

□ Region 指示語は、パス部分を使用して、サーバへのアクセスを制御します。先ほどの例 7-6 の初

の Region 指示語は、SSL 接続するクライアントに対して、ssl-sample-dir という領域への

アクセスを制御します。2 番目の指示語は、close_notifyメッセージが Web クライアントへ送信

されないようにします。

以下のような場合は、httpd.websafe.configを変更する必要があります。

□ 別の PATHMON 環境で定義された WID サーバ・クラスを使用する場合。

7-58 ページの「既存の WID サーバ・クラスの利用」を参照してください。

□ グローバルなセッション・キー・キャッシュをサーバに設定する場合。

7-7 ページの「グローバルなセッション・キーのキャッシングの設定」を参照してください。

□ WID プロセスを複数個定義し、複数の WISP または同時に発生する SSL 要求をサポートする場合。

7-58 ページの「複数の WID プロセスの起動」を参照してください。

□ iTP Secure WebServer が WID からの応答を待つときの、タイムアウト値を設定する場合。

7-59 ページの「サーバが WID と通信する際のタイムアウト値の指定」を参照してください。

▲

23346-001J 7-57


7-

既存の WID サーバ・クラスの利用

WID に対して使用するサーバ・クラスが既に iTP Secure WebServer の Pathway システム外に存在してい

る場合、Serverの行をコメントにし、AcceptSecureTransport指示語の -websafeオプショ

ンで、必要なサーバ・クラスの名前を使用します。-websafeオプションの構文は、次のようになります。

-webSafe [pathmon_name:] serverclass_name


pathmon_name

PATHMON プロセスの名前。指定する PATHMON プロセスは、iTP Secure WebServer 環境と同じ

ノード上で動作させます。

serverclass_name

サーバ・クラスの名前。WID サーバ・クラスは、iTP Secure WebServer 環境に対して起動させます。

注意：ここで指定する WID サーバ・クラスの所有者が WebSafe のサーバ・クラスの所有者と異なる場合、iTPSecure WebServer は WID サーバ・クラスと通信できません。

複数の WID プロセスの起動

WID プロセスは、WISP を 1 つだけ使用します。ただし、複数の WID プロセスが同じ WISP を使用で

きます。WID プロセスが一度に処理できる SSL 要求は、1 つだけです。iTP Secure WebServer の設定に複

数の WISP がある場合、または、複数の SSL セッションが同時に発生する可能性がある場合は、パフォー

マンスを適化するために、WID サーバ・クラスのプロセスを複数定義します。Server 指示語中の

Numstatic属性を使用するか、または PATHCOM インタフェースを使用して、WID サーバ・クラス中

のプロセス数を次のように指定します。

Numstatic number


number

WID サーバ・クラスにおけるプロセスの数を指定します。指定可能な値は 1 ～ 4095 です。

Numstaticコマンドの使用例を、次に示します。

Server $(root)/bin/wid {eval $DefaultServerAttributes

Arglist $(root)/conf/wid.configNumstatic 2

Numstaticの値は、Maxserversの値以下にしてください。

Maxlinksと Linkdepthの値は 1 以下にしてください。

必要な WID プロセス数の決定については、5-3 ページの「WID (WebSafe2 Interface Driver)」を参照し

てください。

58 523346-001J


5

サーバが WID と通信する際のタイムアウト値の指定

WidTimeOut指示語を使用して、iTP Secure WebServer が WID サーバからの応答を待つ時間を指定

します。構文は次のとおりです。

WidTimeOut hundredths_of_seconds

WidTimeOut指示語がない場合、iTP Secure WebServer はデフォルト値の 5 秒を使用します。

23346-001J 7-59


7-
60 523346-001J

第 8 章　CGI (Common Gateway Interface) プログラムの使用

5

第 8 章 CGI (Common Gateway Interface) プログラムの使用

この章では、iTP Secure WebServer における CGI (Common Gateway Interface) プログラムの使用方法に

ついて説明します。説明する項目は次のとおりです。

□ iTP WebServer 環境でのCGIへの対応 (8-2 ページ)

□ CGI の設定とプログラミング (8-5 ページ)

□ CGI プログラムの設定 (8-5 ページ)

□ CGI 環境変数の受け渡し (8-10 ページ)

□ HTTP ヘッダ変数 (8-20 ページ)

□ 入力の受け渡し (8-22 ページ)

□ 出力の返送 (8-25 ページ)

□ エラー情報のログ記録 (8-28 ページ)

□ CGI 標準ファイル環境 (8-28 ページ)

□ CGI ライブラリ (8-29 ページ)

□ Pathway CGI コーディングの留意事項 (8-32 ページ)

□ Pathway CGI 実装の例 (8-34 ページ)

Web サーバは、CGI プログラムを使用して、クライアントから受け取った情報を解釈したり処理したり

します。CGI プログラムも、他のプログラムやリソースと交信します。

たとえば、Web クライアントでデータベースを検索する場合、CGI プログラムは、Web クライアントか

らキーワードなどの検索条件を入力として受信し、適切な検索メカニズムと交信して必要な情報を集めま

す。次に、CGI プログラムはこの情報を処理し、サーバを介して Web クライアントに返します。

CGI プログラムはさまざまな言語で記述できますが、もよく使用されるのは、Perl、Tcl、シェル・ス

クリプト (Korn シェルまたは Bourne シェル)、C、COBOL です。コンパックでは、C、C++、および Korn

シェル (OSS 経由) に対応しています。iTP Secure WebServer では、CGI 実行環境で Java サーブレットも使

用できます。

サーバが Web クライアントからの要求を受信すると、サーバは CGI プログラムを実行し、環境変数ま

たは標準入力を使用して、要求データを CGI プログラムに渡します。データは、CGI を介して CGI プログ

ラムに渡されます。要求データを処理すると、CGI プログラムは、要求されたオブジェクトまたはデータ

を標準出力を使用してサーバに渡します。サーバは、この出力を Web クライアントに渡します。図 8-1 は、

Web クライアント、Web サーバ、CGI、および CGI プログラムの関係を示しています。

23346-001J 8-1


8-

図 8-1　CGI の関係

iTP WebServer 環境での CGI への対応

iTP WebServer では、2 つの CGI 実行環境が用意されており、どちらにも従来の CGI を上回る利点があ

ります。

これらの環境は、次の 2 つです。

□ 汎用 CGI サーバ・クラス

□ Pathway CGI サーバ・クラス

さらに、SSC (サーブレット・サーバ・クラス) を使用して Java サーブレットを実行することもできます。

汎用 CGI サーバ・クラス

汎用 CGI サーバ・クラスは、NonStop TS/MP サーバ・クラスの 1 つで、ユーザが作成した NCSA CGI

1.1 仕様準拠の OSS (Open System Services) CGI プログラムの起動や管理を行います。汎用 CGI サーバ・

クラス以外の環境向けに作成した CGI プログラムは、変更を加えずに汎用 CGI サーバ・クラスと通信でき

ます。

図 8-2 に示すように、汎用 CGI サーバ・クラスは、NonStop TS/MP Pathsend プロトコルを標準の CGI

インタフェースに変換します。CGI プログラムは、使い慣れた stdin や stdout のファイル記述子および環境

変数を使用します。汎用 CGI サーバ・クラスを使用すれば、httpd プロセスにポーリング処理を実装する必

要はありません。

2 523346-001J


5

備考：CGI の要求と応答の長さは任意です。要求や応答が長い場合は、httpd プロセスと「Pathway CGI main」と

いうプロセスが、複数の Serverclass_send および応答のメッセージを交換します。

図 8-2　汎用 CGI サーバ・クラス

汎用 CGI 実行環境には、次の特徴と制約があります。

□ 汎用 CGI サーバ・クラス内のプロセス数と同じだけの CGI プロセスを、同時に実行できます。

□ .cgi プログラムは、汎用 CGI サーバが動作しているプロセッサで起動されます。

□ 標準 CGI と同様に、実行ごとに新しいプロセスが作成されます。

既存の .cgi プログラムや、さまざまな WebServer 環境で変更なしで動作するプログラムを実行するには、

汎用 CGI が適です。大きなアプリケーションの場合は、次に説明する Pathway CGI を使用すれば、さら

に優れたパフォーマンスを実現できます。

Pathway CGI サーバ・クラス

Pathway CGI サーバ・クラスを使用すると、従来の CGI や汎用 CGI よりもはるかに高いパフォーマンス

を得られます。これは、CGI プログラムが、独立プロセスとしてではなくユーザ作成の CGI_mainプロ

シージャとして、NonStop TS/MP サーバ・プロセス内で実行されるためです。

注意：プログラムが環境変数を読み取る必要がある場合は、CGI_initialize ルーチンを記述して、CGI_main が呼び

出されたときに getenv () コールにより WebServer の環境変数が返されるようにします。詳細は、8-33 ペー

ジの「設計指針」を参照してください。

▲

23346-001J 8-3


8-

Pathway CGI サーバ・クラスを作成するには、次のように CGI ライブラリを使用します。

□ C ライブラリ・ルーチンではなく次のライブラリ・ルーチンを使用し、標準入力、標準出力、および標

準エラー・ファイルにアクセスしてください。

l CGI_fread

l CGI_fwrite

l CGI_printf

l CGI_getc

l CGI_puts

□ アプリケーションの必要に応じてほかの CGI プロシージャを使用してください。8-29 ページの表 8-6

で、CGI ライブラリのすべてのプロシージャを説明しています。

CGI ルーチンのセマンティクスは、標準 C ライブラリの対応するルーチンと同じです。

□ 実行可能なプログラムを作成するには、アプリケーション・コードを CGI ライブラリ libcgi.aと

リンクしてください。

備考： iTP Secure WebServer (httpd プロセス) のバージョンより新しいバージョンの libcgi.a を使用して作成した

アプリケーションは、古い WebServer 環境では正しく実行しない場合があります。旧バージョンの libcgi.aで作成したアプリケーションは、iTP Secure WebServer の新バージョンでも正しく実行します。

CGI ライブラリは、図 8-3 に示すようにコンテキストに依存する Pathsend インタフェースを使用します。

Pathway CGI インタフェースは、OSS の標準入力、標準出力、および標準エラー・ファイルの動作をシミュ

レートします。

備考：CGI の要求と応答の長さは任意です。要求や応答が長い場合は、httpd プロセスと「Pathway CGI main」と

いうプロセスが、複数の Serverclass_send および応答のメッセージを交換します。

図 8-3　Pathway CGI インタフェース

4 523346-001J


5

SSC ( サーブレット・サーバ・クラス )

SSC (サーブレット・サーバ・クラス) は、Java サーブレットの実行手段を提供するものです。第 9 章

「NSJSP (NonStop Servlets for JavaServer Pages) の使用」で説明しています。

CGI の設定とプログラミング

iTP Secure WebServer 環境で CGI プログラムを使用するには、次のことを理解する必要があります。

□ CGI プログラムとサーバ・クラスの設定方法

8-5 ページの「CGI プログラムの設定」を参照してください。

□ 環境変数の受け渡し

8-10 ページの「CGI 環境変数の受け渡し」を参照してください。

□ 入力の受け渡し

8-22 ページの「入力の受け渡し」を参照してください。

□ 出力の返送

8-25 ページの「出力の返送」を参照してください。

□ エラー・ログ記録

8-28 ページの「エラー情報のログ記録」を参照してください。

□ CGI 標準ファイル環境

8-28 ページの「CGI 標準ファイル環境」を参照してください。

Pathway CGI を使用する場合は、8-32 ページの「Pathway CGI コーディングの留意事項」に記載されて

いるコーディングに関する留意事項にも注意してください。

CGI プログラムは、HTML 文書やグラフィックス・ファイルが格納されている共通のディレクトリに格

納できます。実行可能な CGI プログラムの名前には通常、拡張子 .cgi が付けられ、Pathway CGI アプリ

ケーションの名前には拡張子 .pway が付けられます。こうした規則を無効にするには、8-6 ページの「MIME

タイプ」で説明するように、MIME タイプ設定ファイルでほかの拡張子を定義します。

CGI プログラムの設定

多くの場合、iTP Secure WebServer を設定しなくても CGI プログラムを正しく使用できます。iTP Secure

WebServer に用意されている設定ファイルでは、.cgi 拡張子を持つあらゆるファイルを、汎用 CGI サーバ・

クラスで処理する CGI プログラムとして定義しています。CGI ファイルは、任意のディレクトリに格納で

きます。つまり、HTML 文書、イメージ・ファイル、およびその他のオブジェクトを格納しているディレ

クトリにも格納できます。

CGI プログラムの処理をカスタマイズしたり、Pathway CGI アプリケーションを新たに作成するには、

次のような、設定に関するさまざまな点を理解する必要があります。

23346-001J 8-5


8-

□ MIME タイプ (8-6 ページ)

□ サーバ・クラスへの MIME タイプのマッピング (8-6 ページ)

□ サーバ・クラスの設定 (8-10 ページ)

□ プログラムへのアクセス制限 (8-10 ページ)

MIME タイプ

cgi と pway の 2 つの MIME タイプは、iTP Secure WebServer 付属の CGI インタフェースによって CGI

プログラムとして解釈されます。この 2 つの MIME タイプは、conf/Mime-types.config ファイルで定義さ

れ、このファイルは httpd.config 内に設定されます。

ファイルの MIME タイプは、MimeType指示語によって定義されます。汎用 CGI と Pathway CGI の

アプリケーションの MIME タイプは、それぞれ次のとおりです。

□ MimeType application/x-httpd-guardian cgi

□ MimeType application/x-httpd-guardian pway

この設定は、次の方法でカスタマイズできます。

□ .cgi または .pway 拡張子を持つファイル以外のファイルを、CGI プログラムとして有効にします。次の

例は、拡張子が .pl のファイルもすべて CGI アプリケーションの MIME タイプを持つことを示してい

ます。

MimeType application/x-httpd-guardian pl

PathwayMimeMap pl generic-cgi

(PathwayMimeMap指示語が必要です。これについては、8-6 ページの「サーバ・クラスへの MIME

タイプのマッピング」で説明します。)

□ CGI プログラムのディレクトリ全体 (/cgi-bin/など) を定義します。

このようなディレクトリを定義するには、Region指示語で DefaultTypeコマンドを使用してく

ださい。たとえば、次のように指示語を指定します。

Region /cgi-bin/* {

DefaultType application/x-httpd-guardian}

これは、ディレクトリ /cgi-bin/内のファイルのうち、拡張子のないすべてのファイルを CGI プロ

グラムとして処理することを示します。

サーバ・クラスへの MIME タイプのマッピング

iTP Secure WebServer の初期設定では、拡張子が .cgi のファイルは、汎用 CGI サーバ・クラスによって

処理されます。汎用 CGI サーバ・クラスは、要求ごとに CGI プロセスを起動します。サーバ・クラスは、

httpd プロセスとの通信には NonStop TS/MP Pathsend 機能を使用しますが、CGI プログラムとの通信には、

標準の NCSA CGI インタフェースを使用します。

6 523346-001J


5

拡張子 .pway を持つプログラムは、NonStop TS/MP サーバ・クラスとして処理され、ファイル名がサー

バ・クラス名にマップされます。サーバ・クラス名は、パスのファイル名の部分から拡張子を除いて作成

されます。次の例では、サーバ・クラス名は userformになります。

/usr/tandem/webserver/root/userform.pway

サーバ・クラスは明示的な命名規則を使用するので、拡張子が .pway の CGI プログラムの名前は、英字

で始まる 15 バイト以内で、各システムで一意のものにしてください。

また、サーバ・クラス名は、OSS ファイル名と異なり大文字と小文字が区別されません。CGI プロセス

で指定する名前は、大文字と小文字の差異は無視して必ず一意になるようにしてください。

例 8-1 に示されているように、PathwayMimeMap設定コマンドで、MIME タイプをサーバ・クラス

にマップします。この例にはサーバ MIME タイプ・テーブルが含まれています。このテーブルは、NCSA

のパブリック・ドメイン HTTP サーバに付属するテーブルから得られます。PathwayMimeMap指示語

は、拡張子 .cgi を持つプログラムが、汎用 CGI サーバ・クラスによって処理されるよう指定します。また、

PathwayMimeMap指示語は、拡張子 .ab_demo を持つプログラムが、$ZAB PATHMON プロセスに定

義されたサーバ・クラスによって処理されるよう指定します。 SSI (サーバ・サイド・インクルード) の

MimeTypeと PathwayMimeMapは、iTP Secure WebServer に汎用 CGI サーバ・クラスを呼び出させ、

exec コマンドで CGI プログラムを実行する SSI 指示語を処理させます。 exec コマンドについては、7-50

ページの「SSI 指示語」を参照してください。

CGI プログラムはすべて application/x-httpd-guardianという MIME タイプを持ってい

ます。例 8-1 のその他のタイプは、CGI プログラムに影響しません。

例 8-1　サーバ MIME タイプ (1/3 ページ)

# VERSION=3.0

#

# This file contains the server MIME types table, and is

# derived from the table shipped with NCSA’s public domain

# HTTP server.

#

#

# These types enable CGI script processing, imagemaps, and

# server side includes.

#

#MimeType application/x-httpd-cgi cgi

#MimeType application/x-httpd-fcgi fcg fcgi

MimeType application/x-imagemap map

MimeType text/x-server-parsed-html shtml

# These Mime Types are for Servlet API 2.0 SSC

MimeType application/x-httpd-nsk ssc

# These Mime Types are for Pathway

MimeType application/x-httpd-guardian pway

# PathwayMap for Generic CGI programs do not remove!

23346-001J 8-7


8-


MimeType application/x-httpd-guardian cgi

PathwayMimeMap cgi generic-cgi

# PathwayMap for Server-side include

MimeType application/x-httpd-guardian zinclude

PathwayMimeMap zinclude generic-cgi

#

# This variable is the document MIME type returned if the

# server can find no matching extension in the MIME types table.

#

DefaultType text/plain

#

# This table maps file extensions into MIME types.

#

MimeType application/octet-stream bin

MimeType application/oda oda

MimeType application/pdf pdf

MimeType application/postscript ai eps ps

MimeType application/rtf rtf

MimeType application/x-mif mif

MimeType application/x-csh csh

MimeType application/x-dvi dvi

MimeType application/x-hdf hdf

MimeType application/x-latex latex

MimeType application/x-netcdf nc cdf

MimeType application/x-sh sh

MimeType application/x-tcl tcl

MimeType application/x-tex tex

MimeType application/x-texinfo texinfo texi

MimeType application/x-troff t tr roff

MimeType application/x-troff-man man

MimeType application/x-troff-me me

MimeType application/x-troff-ms ms

MimeType application/x-wais-source src

MimeType application/zip zip

MimeType application/x-bcpio bcpio

MimeType application/x-cpio cpio

MimeType application/x-gtar gtar

MimeType application/x-shar shar

MimeType application/x-sv4cpio sv4cpio

MimeType application/x-sv4crc sv4crc

MimeType application/x-tar tar

MimeType application/x-ustar ustar

MimeType audio/basic au snd

MimeType audio/x-aiff aif aiff aifc

8 523346-001J


5


MimeType audio/x-wav wav

MimeType image/gif gif

MimeType image/ief ief

MimeType image/jpeg jpeg jpg jpe

MimeType image/tiff tiff tif

MimeType image/x-cmu-raster ras

MimeType image/x-portable-anymap pnm

MimeType image/x-portable-bitmap pbm

MimeType image/x-portable-graymap pgm

MimeType image/x-portable-pixmap ppm

MimeType image/x-rgb rgb

MimeType image/x-xbitmap xbm

MimeType image/x-xpixmap xpm

MimeType image/x-xwindowdump xwd

MimeType text/html html htm

MimeType text/plain txt

MimeType text/richtext rtx

MimeType text/tab-separated-values tsv

MimeType text/x-setext etx

MimeType video/mpeg mpeg mpg mpe

MimeType video/quicktime qt mov

MimeType video/x-msvideo avi

MimeType video/x-sgi-movie movie

#

# Everything below this point has been added for version 1.1

#

MimeType x-world/x-vrml wrl

MimeType image/png png

#

# added for XML support

#

MimeType text/xml xml XML

MimeType text/xsl xsl XSL

#

#Encoding Types (for compression)

#

EncodingType x-gzip gz

EncodingType x-zip-compress Z

#

# Everything below this point has been added for version 2.0

#

MimeType audio/x-pn-realaudio ra ram

23346-001J 8-9


8-

サーバ・クラスの設定

汎用 CGI サーバ・クラスまたは Pathway CGI サーバ・クラスの設定には、Server指示語を使用しま

す。iTP Secure WebServer に付属する設定ファイルには、汎用 CGI サーバ・クラスの Server 指示語、

SSC (サーブレット・サーバ・クラス)、および Antarctic Bank デモ・アプリケーションが含まれています。

こうしたサーバ・クラスの設定を変更するには、サーバ・クラスを定義する Server 指示語を変更しま

す。たとえば、サーバ・クラスのプロセス数を変更できます。

次に示すのは、デフォルトの設定ファイル httpd.config からの例で、デフォルトのサーバ属性で汎用 CGI

サーバ・クラスを定義しています。

Server generic-cgi.pway {eval $DefaultServerAttributes}

サーバ・クラス名は、Server 指示語で指定する名前から .pway 拡張子を取り除いたものです。URL

の http://www.server.com/generic-cgi.pway は、汎用 CGI サーバ・クラスになります。

Pathway サーバ・クラスを追加する場合は、異なるディレクトリにおいて同じファイル名を使用しない

でください。ファイル名は、次の条件により有効なサーバ・クラス名に変換されます。

□ サーバ・クラス名は 15 バイト以内です。

□ 先頭文字は英字です。

□ アンダースコア文字 (_) は、Pathway サーバ・クラス名では使用できません。

Server 指示語の詳細については、付録 A「設定指示語」を参照してください。新しい SSC の定義の

詳細については、第 9 章「NSJSP (NonStop Servlets for JavaServer Pages) の使用」を参照してください。

プログラムへのアクセス制限

特定のサーバ領域の CGI プログラムにアクセスできないようにするには、Region指示語で Denyコ

マンドを使用します。たとえば、次のように指示語を使用します。

Region /~*.cgi* {Deny

}

これにより、ユーザ・ディレクトリ、つまり、スラッシュの後にチルダ (/~) で始まる URL によってア

クセスされる任意のディレクトリに格納されているすべての CGI プログラムにアクセスできなくなりま

す。

CGI 環境変数の受け渡し

サーバおよび現在の要求に関する記述情報を CGI プログラムに渡すには、環境変数を使用します。すべ

ての要求に対して用意されている変数と、特定の要求だけに用意されている変数があります。環境変数の

受け渡しについては、次の 3 つの表に記載されています。

□ 8-11 ページの表 8-1 に、汎用 CGI プログラムと Pathway CGI プログラムに適用できる標準的な環境変

数を示します。

□ 8-16 ページの表 8-2 に、iTP Secure WebServer 環境で利用できるその他の環境変数を示します。

10 523346-001J


5

□ 8-19 ページの表 8-3 に、特定のプログラム言語からの環境変数の使用方法を示します。

注意：CGI 環境は、各 CGI_main の呼び出しに基づいて変化します。環境変数にアクセスするには、8-33 ページ

の「設計指針」で説明しているように、CGI_initialize() を使用してください。

SSL、セッション識別子、および Secure HTTP の環境変数は、iTP Secure WebServer の安全なバージョ

ンだけに適用されます。

表 8-1　環境変数 (1/5 ページ)

環境変数説明

以下の環境変数は、個別の要求に対する変数ではありません。これらの変数は、すべての要求で同じで

す。

SERVER_SOFTWARE 要求に応答してゲートウェイを実行するサーバ・ソフトウェアの

名前とバージョン。

形式：name/version例：Tandem iTP Secure WebServer/4.1

SERVER_ADDR 接続を受け入れた仮想ホストの IP アドレス。

形式：/dir1/dir2/program_name例：/search/name.cgi

SERVER_NAME 自己参照 URL で使用されるサーバ・ホスト名、DNS エイリアス、

または IP アドレス。

形式：完全修飾ドメイン名または IP アドレス。

例：www.company.comまたは 199.170.183.2

GATEWAY_INTERFACE このサーバが従う CGI 仕様。

形式：CGI/revision例：CGI/1.1

以下の環境変数は、個別の要求に対応します。

SERVER_PROTOCOL この要求を伝えた情報プロトコルの名前とリビジョン。

形式：protocol/revision例：HTTP/1.0

SERVER_PORT 要求が送信されたポート番号。

形式：1 から 65535 までの数字。

例：80

PATH_INFO Web クライアントが渡す追加パス情報。CGI プログラムには、仮

想パス名の後に続く追加情報によってアクセスできます。この追

加情報はPATH_INFO変数に格納されています。この情報がURL

を介して伝えられた場合、この情報は、サーバでデコードされて

から CGI プログラムに渡されます。

形式：/dir1/dir2/dir3.../file例：/images/logo.gif

▲

23346-001J 8-11


8-


環境変数説明

PATH_TRANSLATED サーバが PATH_INFO に対して仮想パスから物理パスへのマッピ

ングを適用した後に得られる、PATH_INFO の物理パス名。

形式：/dir1/dir2/dir3.../file例：部分パス /images/logo.gif が、次のようなフル・パ

ス名になります。

/root/server/images/logo.gif

REQUEST_METHOD 要求を発行したメソッド。HTTP の場合、メソッドには、GET、

HEAD、POST などがあります。

形式：メソッド

SCRIPT_NAME 自己参照 URL で使用される、実行対象の CGI プログラムへの仮

想パス。

形式：/dir1/dir2/program_name例：/search/name.cgi

QUERY_STRING この CGI プログラムを参照する URL 内の疑問符 (?) に続く情報。

この情報はサーバではデコードされません。この変数は、コマン

ド行のデコーディングには関係なく、クエリ情報があるときは必

ず設定されます (8-24 ページの「HTML フォーム」を参照)。

REMOTE_HOST 要求を発行したホストの名前。iTP Secure WebServer がこの名前を

知らない場合は、この変数は設定されません。

この機能を使用するには、設定ファイルに ReverseLookup指

示語を yes という値と共に追加して、DNS 検索を有効にする必

要があります。

形式：machine.domain.category例：www.company.com

REMOTE_ADDR 要求を発行したリモート・ホストの IP アドレス。

形式：n.n.n.n例：199.170.183.2

AUTH_TYPE サーバがユーザ認証をサポートし、CGI プログラムが保護されて

いる場合は、この変数は、ユーザの確認に使用されるプロトコル

固有の認証方法になります。

例：basic

REMOTE_IDENT この変数はサポートされていません。

REMOTE_USER サーバがユーザ認証をサポートし、CGI プログラムが保護されて

いる場合は、この変数は、認証されたユーザ名になります。

例：sandeman

CONTENT_TYPE HTTP POST などの添付情報を伴うクエリの場合、この変数は

データのコンテンツ・タイプになります。

形式：type/subtype例：text/html

12 523346-001J


5


環境変数説明

CONTENT_LENGTH Web クライアントが渡すコンテンツの長さ (バイト)。

例：768

Secure HTTP の環境変数説明

SHTTP_AUTH_USER クライアントが共有秘密認証または暗号化を使用している場合

に、クライアントによって送信されるユーザ名が含まれます。ユー

ザ名とパスワードは、MAC (メッセージ認証コード) を使用して配

信されます。この環境変数は、環境変数 SHTTP_PROCESS に

AUTHENTICATED という文字列が含まれる場合だけ値を持ちま

す。

例：outband:tandem

SHTTP_HEADER_DATA クライアントによって送信された SHTTP ヘッダを CGI プログラ

ムに渡します。

環境変数説明

SHTTP_NONCE_ECHO コンマで区切られた nonce (その時だけ有効な情報 ) のリストが含

まれます。nonce は、サーバが安全なハイパーリンクの一部として

クライアントに送信する文字列です。クアイアントはユーザがリ

ンクを選択したときにこの nonce を返します。

クライアントは常にリンク内の nonce を返すので、nonce は安全な

セッションを追跡するのに役立ちます。

例：3cd7a0db76ff9dca48979e24c39b408c

SHTTP_PROCESS クライアントがサーバに要求を送信するときに使用するプライバ

シ拡張機能が含まれます。次の値が格納される可能性があります。

SIGNED－クライアントが文書にデジタル署名した場合

ENCRYPTED－クライアントが文書を暗号化した場合

NONE －クライアントが署名されていない文書を暗号化しないで

送信した場合

AUTHENTICATED－クライアントがサーバのキー・データベー

ス内にあるユーザ名とパスワードを送信した場合

これらのプライバシ拡張機能が 2 つ以上使用されている場合は、

_AND_で区切られます。

形式：value [ _and_ value]

例：SIGNED_AND_ENCRYPTED_AND_AUTHENTICATED

SHTTP_SIGNER 署名者の DN を含む文字列が含まれます。

例：CN=Open Market Test Client 102,OU=PersonaCertificate,O="RSA Data Security, Inc.",C=US

SHTTP_SIGNER_CERT_CHAIN

署名者の証明書チェーン (存在する場合) が含まれます。

例：表の後の例を参照

23346-001J 8-13


8-


環境変数説明

SHTTP_SIGNER_CHAIN_LEN 署名者の証明書チェーン (存在する場合) の長さが含まれます。

例：2

SHTTP_VERSION クライアントが使用している Secure HTTP のバージョンが含まれ

ます。

例：1.1

以下の SSL と PCT の環境変数は、個別の要求に対応します。

HTTPS_KEYSIZE このセッションの暗号化に使用するセッション・キーのビット数

が含まれます。

例：40

HTTPS_SERVER_ISSUER このサーバの証明書の発行者名が含まれます。

例：CN=Capulet、 O=Capulet’s House of Keys,C=Italy

HTTPS_SERVER_SUBJECT このサーバの証明書の DN が含まれます。

例：CN=Juliet, O=Capulet’s House of Keys,C=Italy

HTTPS この要求が SSL や PCT を使用しているかを示します。値は、ON

または OFF です。

例：off

HTTPS_CLIENT_CERT SSL または PCT のクライアント認証が使用された場合、この変数

には、Web クライアントが提示した証明書が含まれます。この証

明書は、radix-64 で ASCII にエンコーディングされます。

SSL 3.0 が使用された場合、この変数に格納された値は Web クラ

イアント証明書になります。これはその Web クライアントが送信

した証明書のチェーンから抽出されます。

HTTPS_CLIENT_CERTTYPE SSL または PCT のクライアント認証が使用された場合、この変数

には、使用した認証のタイプが含まれます。認定されうる値は、

X509 と X509V3 です。

例：X509V3

HTTPS_CLIENT_ERROR_DN SSL または PCT のクライアント認証が -requestauth オプ

ションと共に使用され、iTP Secure WebServer がクライアント証明

書の検証中にエラーを検出した場合、この変数には、エラーになっ

た証明書の DN が含まれます。

HTTPS_CLIENT_ISSUER SSL または PCT のクライアント認証が使用された場合、この変数

には、クライアント証明書の発行者の DN が含まれます。DN は、

クライアント証明書の中の発行者フィールドから取り出されま

す。

例：OU=PersonalCertificate,0="RSA DataSecurity,Inc.",C=US

14 523346-001J


5


環境変数説明

HTTPS_CLIENT_STATUS SSL または PCT のクライアント認証が使用された場合、この変数

には、クライアント証明書の検証状態が含まれます。

認定されうる状態値については、4-23 ページの「-requestauth オプ

ションの利用」を参照してください。

例：VALID

HTTPS_CLIENT_SUBJECT SSL または PCT のクライアント認証が使用された場合、この変数

には、Web クライアントの DN が含まれます。

例：CN=Juliet,O=Capulet’s House of Keys

HTTPS_PORT SSL または PCT の要求に使用するポート番号。

例：443

HTTPS_PROTOCOL 使用されたプロトコルを示します。認定されうる値は SSL と PCT

です。

例：SSL

以下の環境変数は、セッション識別子に関係します。

SI_DEPARTMENT 部門 ID (ASCII 表現 )。

SI_GROUP チケットに埋め込まれたグループ番号。グループ ID は、ユーザ・

データベースから取り出されます。この変数を使用すれば、カス

タマイズした Web ページを特定のユーザ・グループに公開できま

す。

例：45SI_GROUP 変数が存在するのは、有効なチケットが提示されて

いる場合に限ります。

SI_SI 全部のセッション識別子。

SI_UCTX チケットからの 2 ビットのユーザ・コンテキスト・フィールド。こ

のフィールドは、チケッティング・エージェントが使用します。

SI_UID コンテンツにアクセスしているユーザのユーザ ID。この値はチ

ケットから取り出されます。匿名のチケット以外は、ユーザ・デー

タベースからユーザ IDが取り出されます。この変数を使用すれば、

カスタマイズした Web ページを特定のユーザに公開できます。

例：967845SI_UID変数が存在するのは、有効なチケットが提示されている

場合に限ります。

23346-001J 8-15


8-

表 8-2　Pathway 固有の環境変数 (1/3 ページ)

環境変数説明

AUTOMATIC_FORM_DECODING

この変数により、QUERY_STRING 環境変数内にある、フォーム・エン

コードされたデータと名前 / 値のペアを、環境変数に格納できます。

この機能は、application/x-httpd-guardianという MIME タ

イプの CGI オブジェクトだけに適用できます。解析により、stdin ファイル

(または Pathway サーバの場合は疑似 stdin) からのフォーム・エンコード・

データを自動的にデコードします。したがって、解析のメカニズムは、

CONTENT_LENGTH環境変数の内容を適宜減少します。

形式：

Region /* {AddCGI AUTOMATIC_FORM_DECODING ON| OFF}

例：

フォーム・エントリの値を取得するには、次のように指定します。

<INPUT SIZE=30 NAME="First_Name"> <b>YourFirst Name </b> <br>

さらに、次のコマンドを使用します。

getenv ("First_Name");

この例では、環境変数は、名前 / 値のペアの名前の部分と同じ名前で作成

されます。

(次ページに続く)

16 523346-001J


5


環境変数説明

AUTOMATIC_FORM_DECODING (続き)

次のような URL があるとします。

http://www.yourserver.com/samples/Scripts/env.cgi?name=value&x=y

この URL では、QUERY_STRING 環境変数が name=value および x=y

という 2 つの特別な環境変数にデコードされます。この名前 / 値のペア

が、/samples/Scripts にある env.cgi プログラムに渡されると、次の内容

が返されます。

Env CGI Script

Environment info follows

SERVER_PORT 80

name value

SERVER_PROTOCOL HTTP/1.0

SERVER_NAME comm.loc201.company.com

HTTP_USER_AGENT Mozilla/1.1N (Macintosh; I;

PPC)

SERVER_SOFTWARE iTP Secure WebServer/1.1-SSL/

1.1

HTTPS OFF

REMOTE_ADDR 155.186.131.240

QUERY_STRING=name=value&x name=value&x=y

AUTOMATIC_FORM_DECODING ON

HTTP_ACCEPT */*, image/gif, image/x-xbitmap,

image/jpeg

PATH

/bin:/usr/bin:/usr/ucb:/usr/bsd:/usr/local/bin

x y

GATEWAY_INTERFACE CGI/1.1

REQUEST_METHOD GET

SCRIPT_NAME /samples/Scripts/env.cgi

23346-001J 8-17


8-


環境変数説明

FORM_DECODING_PREFIX

この環境変数は、AUTOMATIC_FORM_DECODING 環境変数の値が

ON のときに作成される環境変数の前に、プリフィックスを追加するの

に使用します。

形式：

Region /* {AddCGI AUTOMATIC_FORM_DECODING ONAddCGI FORM_DECODING_PREFIX your_prefix_}

例：

フォーム・エントリの値を取得するには、次のように指定します。

<INPUT SIZE=30 NAME="First_Name"> <b>YourFirst Name </b> <br>

さらに、次のコマンドを使用します。

getenv ("your_prefix_First_Name");

この例では、すべての環境変数の名前に your_prefix_というプリ

フィックスが追加されます。フォームでの名前と定義済みの環境変数の

名前が重複する場合に、プリフィックス・オプションが役立ちます。

18 523346-001J


5

表 8-3　環境変数のアクセス方法

TANDEM_CGI_FFLUSH_TIMER

この環境変数は、バッファリングされたデータを CGI プロセスで保持

してから、フラッシュして httpd プロセスに渡すまでの秒数を確定し

ます。（httpd プロセスでは、このデータをクライアントに送信します。）

この変数は、サーバ・クラスの設定に追加できますし、またCGI_set_fflush_timer プロシージャを使用してこの変数を設定すること

ができます。その両方を行うこともできます。

形式：

Server path {EnvTANDEM_CGI_FFLUSH_TIMER=value}

この変数の有効な値は 0 から 3600 までです。デフォルト値 (0) の場合、

CGI プロセスは、バッファリングされたデータをバッファの限界になる

まで保持します。その他の値の場合、CGI プロセスは、指定された秒数

待ってからバッファをフラッシュします。

例：

Server /dir5/flush.pway {EnvTANDEM_CGI_FFLUSH_TIMER=1}

フラッシュ・タイマは、SIGALARM シグナルを捕らえる OSS シグナ

ル処理ルーチンを使用します。アラーム・シグナルがプロセスに送信さ

れると、時間のかかる I/O 操作が中断され、エラーが発生する場合があ

ります。この場合、errno変数は 4004 (システム呼び出しの中断) に

設定されます。

独自の SIGALARM 処理を行うプログラムを作成する場合は、

TANDEM_CGI_FFLUSH_TIMERの値を 0 に設定します。

言語変数のアクセス方法

C/C++ 以下の方法で、getenvライブラリを呼び出します。

形式：

#include stdlib.hchar *variable =getenv("environment_variable_name")

例：

char *sname = getenv("SERVER_NAME")

Tcl 以下の方法で、環境変数にアクセスします。

形式：

$env(environment_variable_name)

例：

$env(cgi_dump.cgi)

23346-001J 8-19


8-

HTTP ヘッダ変数

iTP Secure WebServer は、定義済みの環境変数のほかにも、Web クライアントが送信した HTTP ヘッダ

行の環境変数を作成します。サーバは、これらの変数に名前を付けるために、大文字に変換したヘッダの

名前に HTTP_ というプリフィックスを追加します。ヘッダ名でのダッシュ (-) 文字はすべてアンダースコ

ア (_) 文字に変換されます。

たとえば、次のような Web クライアント・ヘッダがあるとします。

User-agent: WebBrowser/2.1

この場合、サーバは環境変数 HTTP_USER_AGENTを作成して、それに次のような値を設定します。

WebBrowser/2.1

複数のクライアント・ヘッダが同じ名前の場合、サーバは、共通名 (CN) を基に単一の環境変数を作成

します。たとえば、複数の Accept: ヘッダに対する変数は、HTTP_ACCEPT になります。この変数に設

定される単一値は、コンマで区切られた Web クライアント・ヘッダから成ります。たとえば、次のような

複数のクライアント・ヘッダがあるとします。

Accept: image/gifAccept: image/jpeg

この場合、サーバが環境変数 HTTP_ACCEPTに設定する値は、次のようになります。

image/gif, image/jpeg

サーバは、Authorization:、Content-length:、Content-type: などの、既に処理したヘッダの環境変数を省

略する場合があります。

表 8-4 に、共通して使用される HTTP ヘッダ環境変数をいくつか示します。

Bourne シェル以下の方法で、標準のシェル変数として環境変数にアクセスします。

形式：

variable=$environment_variable_name

例：

SNAME = $SERVER_NAME

Korn シェル以下の方法で、標準のシェル変数として環境変数にアクセスします。

形式：

variable=$environment_variable_name

例：

SNAME = $SERVER_NAME

Java HttpServletRequest クラスを介して環境変数にアクセスします。

20 523346-001J


5

表 8-4　HTTP ヘッダ変数のサンプル (1/2 ページ)

HTTP 変数のサンプル説明

HTTP_ACCEPT この変数は、Web クライアントが受け入れることのできる MIME

ヘッダを示します。

形式：

[ type/subtype, ] [ type/subtype, ] ...

例：

image/gif, image/jpeg

HTTP_ACCEPT_CHARSET この変数は、Web クライアントが受け入れることのできる文字セッ

トを示します。

形式：

[ char-set-name, ] [ char-set-name, ] ...

例 :

iso-8859-5, Shift_JIS

HTTP_ACCEPT_LANGUAGE この変数は、Web クライアントが応答として優先する言語群を示し

ます。

形式：

[ language, ] [ language, ] ...

例：

da, en-gb

HTTP_HOST この変数は、要求されているリソースの IP ホストとポートを示しま

す。ポートは、その値が 80 以外の場合に要求されます。

形式：

host-name[:port ]

例：

www.w3.org:10300

23346-001J 8-21


8-

表 8-4　HTTP ヘッダ変数のサンプル (2/2 ページ)

入力の受け渡し

入力は、次の手段で CGI プログラムに渡されます。

□ コマンド行 (8-23 ページ)

コマンド行からの引数が変数引数リストに格納され、引数カウンタが適宜増加します。

□ クエリ文字列 (8-23 ページ)

AUTOMATIC_FORM_DECODINGが無効になっている場合、CGI プログラムは QUERY_STRING環境変数を介してデータを受信します。AUTOMATIC_FORM_DECODINGが有効になっている場合

は、データは、QUERY_STRING環境変数だけでなく、名前 / 値のペアごとに個々の環境変数にも格

納されます。

□ 追加パス情報 (8-23 ページ)

CGIプログラムは、PATH_INFOとPATH_TRANSLATEDの環境変数を介してデータを受信します。

HTTP 変数のサンプル説明

HTTP_RANGE この変数は、Web クライアントが取得できるバイト数 ( または範囲

が指定された場合はバイトの範囲) を指定します。

形式：

bytes=number-of-bytesまたは

bytes=range-of-bytes

パラメータの説明 :

range-of-bytes下限値と上限値をハイフン (-) で区切って指定します。

range-of-bytesで指定された上限バイト数をWebクライ

アントで取得できるようにする場合は、下限値を省略します。

例：

bytes=0-4990 から 499 までの範囲を指定します。

bytes=-250先頭から 250 バイトを指定します。

HTTP_USER_AGENT この変数は、サーバへのアクセスに使用されている Web クライアン

ト・ソフトウェアを示します。

形式：

browser-name/version

例：

Mozilla/4.0

22 523346-001J


5

□ HTMLフォーム (8-24 ページ)

CGI プログラムは、標準入力を通じて HTML フォームに入力されたデータを受信します。

この後で、CGI プログラムに入力を渡す手段について説明します。

URL エンコーディングの詳細については、RFC 1738 を参照してください。RFC 1738 を参照するには、

次の URL にアクセスしてください。


コマンド行

コマンド行インタフェースは、Korn シェルなどのシェル・プログラムからのコマンド行インタフェース

と同じです。このインタフェースは、OSS 環境から CGI プログラムを直接実行してデバッグするときだけ

に利用され、iTP Secure WebServer 実行環境とは無関係です。

クエリ文字列

入力を CGI プログラムに渡すには、次のように URL にクエリ文字列を添付します。

URL?query_string


query_string

英数字の文字列。

クエリ文字列内での空白文字はすべてプラス記号 (+) に置き換えられ、複数のクエリ文字列はアンパサ

ンド (&) で区切られます。サーバが QUERY_STRING環境変数に query_stringの内容を設定する

と、その内容は URL で指定した CGI プログラムに渡されます。

たとえば、次のようになります。

http://www.datamart.com/search.cgi?Albert+Einstein&Marie_Curie

この例では、Albert+Einstein&Marie_Curieという値が、QUERY_STRING変数に設定さ

れ、次に CGI プログラム search.cgiに渡されます。

追加パス情報

入力データを CGI プログラムに渡すには、次のように URL に追加パス情報を添付します。

URL/cgi_script/extra_path_info


extra_path_info

指定した CGI プログラム (cgi_script) に渡される情報です。追加パス情報の一般的な使用方

法は、データ・ファイルの相対パス名の指定です。

23346-001J 8-23


8-

iTP Secure WebServer は、extra_path_infoのコンテンツを PATH_INFO変数に格納します。

Filemap指示語で指定したマッピング情報を使用して、iTP Secure WebServer は、PATH_INFOパ

ス名も変換し、変換されたパス名を変数PATH_TRANSLATEDに設定します。PATH_INFOとPATH_TRANSLATEDの環境変数はどちらも CGI プログラム (cgi_script) で利用できます。

たとえば、要求 URL が次のようになっているとします。

http://www.company.com/search.cgi/misc/images

また、サーバの Filemap指示語が次のようになっているとします。

Filemap / /usr/tandem/webserver/root

この場合は、パス名 /misc/imagesが、PATH_INFO変数に設定されます。Filemap指示語で

マッピングを使用すると、サーバは PATH_INFO のコンテンツを /usr/tandem/webserver/root/misc/images に展開して、この展開されたパス名を変数 PATH_TRANSLATED に設定しま

す。

HTML フォーム

HTML フォームに入力したデータ項目から入力パラメータが作成され、これを通して入力データを CGI

プログラムに渡します。この入力パラメータは、標準入力を通じて CGI プログラムで読み取られます。

HTML フォームに入力した各データ項目には、値名が設定されます。次に、設定された名前とその値を

使用して、次の書式の入力パラメータが作成されます。

name=value&name=value...&name=value

ここでは、次の規則が使用されます。

□ 値の中の空白文字は、プラス記号 (+) に置き換えられます。

□ 等号 (=) は、特定の名前に値を設定します。

□ アンパサンド (&) は、個々のパラメータを区切ります。

たとえば、ユーザ名 (John J. Smith) と電子メール・アドレス ([email protected]) を入力と

して HTML フォームに入れると、これらのデータ項目は、次の形式の入力パラメータになります。

NAME=John+J.+Smith&[email protected]

入力パラメータは、要求どおりに正確に入力してください。

環境変数 CONTENT_LENGTHは、標準入力上のバイト数を表します。

フォームの入力パラメータの処理の詳細については、適切な HTML 資料を参照してください。

24 523346-001J


5

出力の返送

CGI プログラムが標準出力に書き込む出力は、すべてサーバが Web クライアントに渡します。この出力

には、次の 3 つの構成要素があります。

□ 少なくとも 1 つの HTTP 応答ヘッダ

このヘッダには、コンテンツ (データ)・タイプ、バイト数、期限切れ時刻などの、要求に対するサーバ

応答に関する記述情報が含まれます。

□ 空白行

この空白行は必須で、これ以降にコンテンツはありません。この要件は、RFC 822 で定められています。

RFC 822 を参照するには、次の URL にアクセスしてください。


□ 応答コンテンツ

応答コンテンツとは、Web クライアントに返される実際のオブジェクトのことです。コンテンツは、

HTML 文書、イメージ、または音声ファイルなどから成ります。

次に示すのは、CGI プログラムからの出力の簡単な例です。

Content-type: text/html

<HTML><HEAD>

<TITLE>出力例 </TITLE></HEAD><BODY>

This is the HTML document generated by a CGI grogram.

</BODY></HTML>

応答ヘッダ

CGI 応答で使用されるヘッダは、次の形式になります。

head_name:head_value

表 8-5 に、CGI 応答ヘッダを示します。

23346-001J 8-25


8-

表 8-5　CGI 応答ヘッダ

Web クライアントは、出力データ (MIME) タイプがわからない場合は、CGI プログラムの出力を正確に

解釈できません。したがって、CGI プログラムが生成したすべての応答に Content-type: ヘッダが

含まれていなければなりません。たとえば、次のようなヘッダです。

Content-type: text/html

クライアントは、解釈できないヘッダはすべて無視します。

ヘッダ名説明

Content-encoding:

データ圧縮コードを指定します。有効な値は次のとおりです。

● X-grip - GNU ZIP 圧縮

● X-compress - UNIX 標準の圧縮

Content-length: 出力データの長さをバイト単位で指定します。

このヘッダは省略可能です。

Content-type: 有効な MIME タイプをタイプ / サブタイプの形式で指定します。有効な

MIME タイプとサブタイプの詳細については、8-7 ページの例 8-1 を参照

してください。

注：CGI プログラムはすべてこのヘッダを送信する必要があります。

Expires: Web クライアントが出力を無効と見なす日付と時刻を指定します。

例：Monday, 13-Feb-95 12:00:00 GMT


Location: サーバまたはクライアントが検索する新しいファイルの場所を指定しま

す。検索はサーバのルート・ディレクトリから開始されます。


Log-.* CGI スクリプトが、特別な HTTP ヘッダを書き出すことで、iTP Secure

WebServer の拡張ログ・ファイルに名前と値のエントリを生成する必要が

あることを指定します。

例：Log-userid: bobmac

この例では、拡張ログ・ファイルに次のエントリを生成します。

(cgi-userid bobmac)


Status: 要求のステータスを指定します。有効なステータス・コードは、付録 C-3

ページの表 C-2「HTTP ステータス・コード」に示しています。

26 523346-001J


5

サーバ・ヘッダ

2 つのヘッダ (Location:と Status:) は、Web クライアントに直接にではなくサーバに情報を渡

すために CGI プログラムで使用されます。これらのヘッダにより、サーバは、Web クライアントへの応答

を変更できます。

Location ヘッダ

Location: ヘッダにより、サーバは Web クライアントを別の URL にリダイレクトさせます。この

リダイレクトは、Web クライアントが元の URL の代わりにアクセスする特定の URL を使用して行われま

す。たとえば、CGI プログラムが次のヘッダを返すとします。

Location: http://www.foo.com/home.html

このヘッダで、サーバは Web クライアントを次の URL にリダイレクトさせます。

http://www.foo.com/home.html

RLS (リソース・ロケータ・サービス) は、リモート・サーバから送信された Location ヘッダを変更しな

いでクライアント・サーバに渡します。つまり、RLS は、リモート・サーバから送信された Location ヘッ

ダを変更しない設計になっています。したがって、ユーザがリモートの Web サーバを次のどちらかに設定

する必要があります。

1. リダイレクト先の場所に関するヘッダを送信しない。

2. iTP Secure WebServer フロント・エンド・サーバの DNS 名 (または IP アドレス ) とポートを正しく参

照するリダイレクト先の場所を送信する。

Status ヘッダ

Status:ヘッダにより、サーバは特定のステータス応答を Web クライアントに返します。このステー

タス情報は、HTTP ステータス・コード (数値 ) とその後に続くコードの説明テキストから成っています。

たとえば、CGI プログラムにより、サーバが Web クライアントに次のような不正要求の応答を返す場合が

あります。

Status: 400 Bad RequestContent-type: text/html

<HTML><HEAD><TITLE>Bad Request</TITLE></HEAD><BODY>

You sent this server a bad request.

</BODY></HTML>

HTTP ステータス・コードの一覧については、付録 C-3 ページの表 C-2「HTTP ステータス・コード」を


23346-001J 8-27


8-

非解析ヘッダ (Nonparsed ヘッダ)

CGI プログラムは、非解析ヘッダ機能を使用して、Web クライアントに応答を直接返せます。

この機能を使用するには、CGI プログラムは、nph- で始まるファイル名 (nph-payment.cgi など ) にして

おきます。このマーカーは、CGI プログラムの出力を何も処理しないようサーバに指示します。

非解析機能を使用する CGI プログラムは、ステータスやヘッダ情報をすべて含んだ、完全な形の HTTP

応答を作成する必要があります。

エラー情報のログ記録

CGI プログラムの標準エラーを使用して、エラー情報をログに記録します。標準エラーに書き込まれる

出力はすべて、次の 2 つのどちらかまたは両方の場所に記録されます。

□ ErrorLogファイル

□ ExtendedLogファイル内の stderrフィールド

サーバ CGI プログラムからの標準エラーは、Web クライアントに返されません。

サーバ設定ファイル (httpd.config) 内の ErrorLog指示語や ExtendedLog指示語を指定して、エ

ラー・ロギングを制御します。エラー・ロギングを有効にする方法の詳細については、7-23 ページの「ロ

グ・ファイルの管理」を参照してください。

CGI 標準ファイル環境

UNIX と OSS 環境は内部的に多少異なりますが、CGI プログラムは、使い慣れた方法で標準ファイル環

境を使用できます。ここでは、両者の基本的な違いと、CGI プログラムで標準ファイル環境を使用する方

法を説明します。

NCSA CGI モデルでは、プロセス間通信が標準入力 (stdin) と標準出力 (stdout) のファイル記述子

を介して行われます。このファイル記述子はそれぞれ単方向の通信チャネルです。全二重の双方向プロセ

ス間通信は、両方のファイル記述子が同時に開かれている場合に実現できます。

Guardian $RECEIVE プロセス間通信モデルは、半二重のメッセージ・ベースのメカニズムであるという

点で POSIX モデルと大きく異なります。iTP Secure WebServer の CGI インタフェースは、全二重のスト

リーム動作をシミュレートするために、受信したメッセージを標準入力ストリームとして処理し、応答メッ

セージを標準出力ストリームとして処理します。

標準入力

httpd プロセスは、CGI アプリケーションの標準入力ファイルとして機能します。httpd プロセスは、HTTP

ヘッダの後に続くすべての要求データを、プログラムの標準入力ファイルを通じて汎用 CGI プログラムに

渡します。Pathway CGI アプリケーションは、CGI ライブラリを介してアクセスできる疑似標準入力ファ

イルを通じて、要求データを受信します。

28 523346-001J


5

標準出力

httpd プロセスは、CGI アプリケーションの標準出力ファイルとして機能します。httpd プロセスは、CGI

プログラムからの応答情報をすべて要求元に返します。

標準エラー

CGI ライブラリ機能を使用すれば、標準エラー・ファイルにアクセスできます。

標準ファイル環境のカスタマイズ

Server指示語に Stdin、Stdout、および Stderrオプションを使用すれば、CGI プログラムの

標準ファイル環境をカスタマイズできます。

Pathway CGI アプリケーションの場合、CGI ライブラリ・プロシージャは常に標準ファイルの代わりに

httpd プロセスを使用しますが、アプリケーションは、対応する C またはほかの言語のライブラリ機能

(printfなど) を使用して、Stdin、Stdout、および Stderrで指定されたファイルにアクセスし

ます。たとえば、SSC (サーブレット・サーバ・クラス) は、指定した標準出力ファイルとエラー・ファイ

ルをエラー・レポートに使用します。

CGI ライブラリ

汎用 CGI サーバ・クラスから呼び出される CGI プログラムは、C のライブラリ関数などの標準関数を使

用して、標準ファイル環境にアクセスします。

Pathway CGI アプリケーションは、CGI ライブラリを使用して、標準ファイルにアクセスします。

表 8-6 に、CGI ライブラリ内のプロシージャを示します。

表 8-6　CGI プロシージャ (1/3 ページ)

プロシージャ説明

CGI_Capture() このプロシージャは、POST 要求メソッドが返すフォーム・データ内、ま

たは GET 要求メソッドが返す QUERY_STRING内にある、エンコードさ

れた名前 / 値のペアをデコードします。名前 / 値のペアごとに環境変数を作

成して、変数の値を設定します。サーバの設定ファイル内に Region 指

示語AddCGI AUTOMATIC_FORM_DECODING ONコマンドを記述す

る代わりとして、CGI_Capture()が呼び出されることがあります。

CGI_feof() このプロシージャは、C ライブラリの feof()プロシージャに類似してい

ます。つまり、指定したストリームのファイルの終わり (EOF) 条件をテス

トして、EOF が検出されると、ゼロ以外の値を返します。

23346-001J 8-29


8-



CGI_fgets() このプロシージャは、C ライブラリの fgets()プロシージャに類似して

います。CGI_fgets() 関数は、ストリーム・パラメータで指定された

ストリームから文字列パラメータで指定された配列にデータを読み込みま

す。n-1 バイトが読み込まれるか、改行文字が読み込まれる、あるいはファ

イルの終わり (EOF) 条件が検出されるまで、データが読み込まれます。デー

タで表される文字列は、NULL 文字でターミネートされます。

CGI_main() このプロシージャは、ユーザ作成の CGI サーバ・クラスへのエントリ・ポ

イントとして使用されます。CGI 環境は、各 CGI_main の呼び出しに基

づいて変化します。詳細は、8-33 ページの「設計指針」を参照してください。

CGI_printf() このプロシージャは、C ライブラリの printf() プロシージャに類似し

ていますが、1 つ異なる点があります。出力が CGI クライアント・プログ

ラムに返されるとき、stdout ファイル記述子には送信されず、Pathway

CGI インタフェースを介する点です。

書き込みバッファの大サイズは、整数などの要素の拡張を含めて、32000

バイトです。printfの文字列がこのサイズを超えると、アプリケーショ

ンは、エラー・メッセージを出力して終了します。

CGI_fread() このプロシージャは、C ライブラリの fread()プロシージャに類似して

いますが、次の点で異なります。

stdin は、このプロシージャを呼び出すときに指定できる唯一のファイ

ル記述子です。しかし、実際のデータは、stdin からではなく Pathway

CGI インタフェースから読み取られます。

CGI_fwrite() このプロシージャは、write()プロシージャと似ていますが、次の点で

異なります。stdoutは、このプロシージャで使用する唯一のファイル記

述子ですが、データは、stdoutにではなく Pathway CGI インタフェース

に書き込まれます。

CGI_fflush() このプロシージャは、CGI プログラムから得たバッファ内のデータを、指

定したストリームに即座に書き込みます。指定したストリームが stdoutまたは stderr の場合、このプロシージャは、バッファ内のデータをす

べて httpd プロセスに即座に書き込み、fflush タイマーを再起動します。

30 523346-001J


5



CGI_set_fflush_timer()

このプロシージャは、stdout (実際には stdout をシミュレートする

$ RE C EI V E) がフラッシュされる間隔を指定します。

CGI_set_fflush_ timer() の呼び出しによって設定されたフ

ラッシュ間隔を変更するには、プログラムで

CGI_set_fflush_timer()の秒数を 0 (ゼロ) に設定して呼び出し

てから、CGI_set_fflush_timer() を 0 以外の値に設定して呼び

出し、新しいフラッシュ間隔を設定します。

このプロシージャを呼び出すと、新たに設定した値の方が、サーバ設定内

の TANDEM_CGI_SET_FFLUSH_TIMER の値よりも優先されます。

フラッシュ・タイマは、SIGALARM シグナルを捕えるシグナル処理ルー

チンを使用します。アラーム・シグナルがプロセスに送信されると、時間

のかかる I/O 操作が中断され、エラーが発生する場合があります。この場

合、errno変数は 4004 (システム呼び出しの中断) に設定されます。サー

バで独自の SIGALARM 処理を行わせる場合は、この値を 0 に設定してく

ださい。

プロセスに対して有効なアラーム・シグナルは、1 つだけです。アラーム機

能をカスタマイズして実装し、かつ fflush タイマも使用する場合は、適切

なタイミングで CGI_fflush() を呼び出す、アラーム・シグナル・ハ

ンドラを作成してください。

CGI_getc() このプロシージャは、CGI 入力ストリームから文字を取得します。これは

POSIX 関数の getc()と同じです。ただし、指定した CGI 入力ストリー

ムから次のバイトを返し、また定義されていた場合は、ファイル・ポイン

タをストリーム内の 1 バイト先に移動します。

CGI_puts() このプロシージャは、文字列を CGI 出力ストリームに書き込みます。これ

は、同様の POSIX 関数の同じ方法で処理します。

CGI_connection_abort()

このスタブ・プロシージャは、CGI サーバと httpd プログラムの間の接続が

切断されたとき呼び出されます。通常は、Web クライアントを使用するエ

ンド・ユーザが、送信されているすべてのデータを受信する前にアクティ

ブ・データ転送を停止した場合、あるいは 1 つの接続が設定済みの有効時

間より長く続き、httpd サーバ内部でタイムアウトが発生した場合に、この

プロシージャが呼び出されます。

ユーザ作成の接続中止ルーチンにより、進行中のトランザクションの適切

なクリーンアップが可能です。

CGI_initialize()

このスタブ・プロシージャは、サーバが立ち上がるたびに呼び出され、ユー

ザ作成の初期化コード (データベース・ファイルのオープンなど) を、起動

時に実行できます。環境変数を読み取るには、この関数を使用する必要が

あります。詳細は、8-33 ページの「設計指針」を参照してください。

CGI_terminate() このスタブ・プロシージャは、サーバの停止または中止の前に呼び出され、

ユーザ作成のクリーンアップ・コードを、プロセスを終了する前に実行で

きます。

23346-001J 8-31


8-

Pathway CGI コーディングの留意事項

Pathway CGI アプリケーションのコーディングにおいては、CGI ライブラリのインクルードの要件と、

NonStop TS/MP 実行環境の設計指針に従ってください。

CGI ライブラリのインクルード

作成するアプリケーションには、例 8-2 に示す cgilib.h ファイルをインクルードしなければなりません。

アプリケーションが複数のモジュールから成る場合は、CGI_main モジュール以外はすべて、インクルード

よりも前に次の定義を記述します。

#define _CGI_NO_EXTERNALS

例 8-2　cgilib.h ファイルのサンプル

#ifndef _CGILIB

#define _CGILIB

#ifndef _CGI_NO_EXTERNALS

extern void _MAIN (void);

int *DummyMainPTR = (int *) _MAIN

#endif

size_t CGI_fwrite(const void *buffer,size_t size,size_t

num_items,FILE *stream);

size_t CGI_fread (void *buf, size_t size,size_t num_items,FILE

*stream);

char *CGI_fgets(char *, int, FILE * stream);

int CGI_feof(FILE * stream);

int CGI_printf(const char *format, ...);

int CGI_getc(FILE * stream);

int CGI_puts(const char *buffer);

int CGI_main(int argc, char *argv[]);

void ErrorAbort(void);

void CGI_connection_abort(void);

void CGI_initialize(void);

void CGI_terminate(void);

int CGI_fflush(FILE * stream);

int CGI_set_fflush_timer(int seconds);

void CGI_Capture(void);

#endif /* CGILIB */

32 523346-001J


5

設計指針

ほとんどの CGI プログラムは、プログラムの環境をクリーンアップしません。HTTP 要求の完了と共に

プロセスが終了するという前提で、プログラムが記述されます。Pathway CGI プログラムは持続性がある

ので、コーディングの際は次の点に注意してください。

□ コードは、複数の CGI_mainの呼び出しに対して直列的に再利用できるように作成します。

□ CGI 環境は、各 CGI_main の呼び出しに基づいて変化します。環境変数にアクセスするには、次の

ように CGI_initialize()を使用します。

1. CGI プログラム内に CGI_initialize()ルーチンを記述する。

2. このルーチン内で getenv()を呼び出す。これにより、現在の環境変数が返される。

3. CGI_mainルーチン内でgetenv()を呼び出す。これにより、WebServerの環境変数が返される。

□ メモリ・リークとファイル・オープン・リークを監視する必要があります。

□ 状態情報はサーバで保持しないでください。

23346-001J 8-33


8-

Pathway CGI 実装の例

例 8-3 は、CGI プログラムを Pathway サーバ・クラスとして作成する方法を示しています。

例 8-3　example-form.c (1/3 ページ)

/*

This is a simple little test program that demonstrates how to

write a CGI routine as a Pathway Server Class.

This routine assumes that the forms data has been put into

the standard environment. The "Region" command that should

be used is:

Region /* {

AddCGI AUTOMATIC_FORM_DECODING ON

}

To retreive the value of the following filled out form entry:

<INPUT SIZE=30 NAME="First_Name" > <b>Your First Name</b> <br>"

Use:

getenv("First_Name");

OR

Region /* {

AddCGI AUTOMATIC_FORM_DECODING ON

AddCGI FORM_DECODING_PREFIX

your_prefix_

}

To retrieve the value of the following filled out form entry:

<INPUT SIZE=30 NAME="First_Name" > <b>Your First Name</b> <br>"

Use:

getenv("your_prefix_First_Name");

In the first example the environment variables will be made with the

same names as the name portion of the name value pair.

In the second example the names of all decoded from are prefixed

with the prefix "your_prefix_".

34 523346-001J


5


Using the prefix option can be useful if you expect duplication of

names on your form with default CGI parameters.

*/

#include <stdio.h>

#include <stdarg.h>

#include <stdlib.h>

#include <string.h>

#include <syslog.h>

#include <sys/types.h>

#include <cgilib.h>

extern char **environ;

int CGI_main(int argc,char *argv[])

{

static int get=0;

static int post=0;

int i=0;

int content_length=0;

int count_read;

char buffer[4096];

char *name=NULL;

char *equalsign=NULL;

int Test_Count=0;

/* Always print a header */

CGI_printf("Content-type: text/html\n\n");

/* This is a logical case on REQUEST_METHOD */

/* CASE=HEAD */

if (!strcmp(getenv("REQUEST_METHOD"),"HEAD")){

/* Nothing to do here */

/* CASE=GET */

}

else if (!strcmp(getenv("REQUEST_METHOD"),"GET")){

get++;

CGI_printf("<title>Template CGI Demo Form</title>");

CGI_printf("<h1>CGI Forms Demo</h1>\n");

CGI_printf("<FORM METHOD=\"POST\"ACTION=\"%s\">\n,

getenv("SCRIPT_NAME"));

}

23346-001J 8-35


8-


CGI_printf("<INPUT SIZE=30 NAME=\"First_Name\" > <b>Your First

Name</b> <br>");

CGI_printf("<INPUT SIZE=30 NAME=\"Last_Name\" > <b>Your Last

Name</b> <br>");

CGI_printf("The following entry will control the number of

test lines that are printed in the response.<BR>");

CGI_printf("<INPUT SIZE=6 NAME=\"Test_Count\" > <b>Test Line

count</b> <br>");

CGI_printf("<INPUT TYPE=\"submit\" VALUE=\"Send Message\"></

form><br></html>%c%c",LF,LF);

/* CASE=POST */

} else if (!strcmp(getenv("REQUEST_METHOD"),"POST")){

post++;

CGI_printf("<title>CGI Demo Form</title>\n);

CGI_printf("<h1>CGI Form Response</h1>\n");

CGI_printf("Get count: %d<BR>Post count: %d<BR>\n",get,post);

CGI_printf("<H2>Environment Variables</H2>\n);

/* This loop reads through the environment variables and

displays them

*/

for (i=0;environ[i];i++) {

strcpy(buffer,environ[i]);

equalsign=strchr(buffer,’=’);

*equalsign=0;

equalsign+=1;

CGI_printf("<b>%s</b> %s<BR>\n%c",buffer, equalsign);

}

Test_Count=atoi(getenv("Test_Count"));

if (Test_Count){

CGI_printf("<h2>Printing %d test lines.</h2>",Test_Count);

for (i=1;i<=Test_Count;i++){

CGI_printf("Test Line %d

....|...10....|...20....|...30....|...40....|...50<BR>",i);

}

}

/* CASE=DEFAULT FALL THROUGH */

} else {

CGI_printf("Unrecognized method ’%s’.\n",

getenv("REQUEST_METHOD"));

}

return 0;

}

36 523346-001J

第 9 章　NSJSP (NonStop Servlets for JavaServer Pages) の使用

5

第 9 章 NSJSP (NonStop Servlets for JavaServer Pages) の使用

この章では、iTP Secure WebServer 環境での NSJSP™ (NonStop Servlets for JavaServer Pages™) の使用

方法と、コンパック Nonstop システムで使用するサーブレットおよび JSP (JavaServer Pages) プログラムの

開発方法について説明します。この章は、次の節に分かれています。

□ 概要 (9-2 ページ)

□ J2EE (Java 2 Enterprise Edition) の概要 (9-5 ページ)

□ NSJSP (NonStop Servlets for JavaServer Pages) のアーキテクチャ (9-9 ページ)

□ NSJSP (NonStop Servlets for JavaServer Pages) のインストール (9-12 ページ)

□ NSJSP (NonStop Servlets for JavaServer Pages) の起動または再起動 (9-17 ページ)

□ Web コンテナ環境と Web アプリケーション環境 (9-17 ページ)

□ Web コンテナの設定 (9-18 ページ)

□ Web アプリケーションの設定 (9-24 ページ)

□ クライアント・プログラミングに関する留意事項 (9-28 ページ)

□ サーブレット・プログラミングに関する留意事項 (9-29 ページ)

□ JSP (JavaServer Pages) (9-34 ページ)

□ ログとエラー条件 (9-40 ページ)

□ T0094 から T1222 への移行 (9-42 ページ)

NSJSP (NonStop Servlets for JavaServer Pages) は、プラットフォームに依存しないサーバ・サイドのプロ

グラムです。Web サーバから HTTP プロトコルを介してクライアント・ブラウザに動的コンテンツを提供

することにより、Web ベースのアプリケーションの機能をプログラム的に拡張します。

NSJSP はサーブレット機能の拡張です。主に、サーブレットまたはその他のプログラマブル・リソース

からの動的コンテンツで変更される、静的コンテンツのテンプレートを提供します。

iTP Secure WebServer バージョン 5.1 以降向けのコンパックの NSJSP (コンパック製品番号 T1222) は、

Java サーブレット API 仕様のバージョン 2.2 と JavaServer Pages 仕様のバージョン 1.1 に準拠しています。

前バージョン (T0094) から移行する場合、サーブレットは変更しなくても実行できますが、T1222 では

サーブレット環境が大きく異なるので注意してください。また、インストールと設定の要件も完全に変更

になり、サーブレットのプロパティ・ファイルがなくなりました。移行についての詳細は、9-42 ページの

「T0094 から T1222 への移行」を参照してください。

23346-001J 9-1


9-

この章を利用するには、Java の言語とツール、および JavaSoft が定義しているサーブレット API (アプ

リケーション・プログラミング・インタフェース) についてある程度の知識が必要です。この章は、サーブ

レットまたは JSP のプログラミング方法を説明することを目的としていませんが、アドバイスと考え方を

示します。

また、サーブレット機能のインストールおよび使用の前にインストールして実行する必要のある、iTP

Secure WebServer 環境全般についての知識も必要です。

概要

ここでは、NSJSP (NonStop Servlets for JavaServer Pages) を起動して実行するのに必要な主なディレクト

リと設定を簡単に説明します (例では、ルート・ディレクトリをデフォルトの /usr/tandem/webserver として

います)。この説明を読めば、9-4 ページの「URL からサーブレットへのマッピング方法」の基本的な問題

に答えられます。

1は、NSJSP を起動して実行するのに必要な主なディレクトリと設定のロードマップを示しています。こ

れは、各要素の連携の概要を示すことを目的とし、特に「URL からアプリケーションおよびサーブレット

にどのように到達するか ?」という問題の答えを導き出します。

初の設定ファイルは、/usr/tandem/webserver の /conf ディレクトリにある servlet.config です。

□ servlet.config －各アプリケーション (関連サーブレットとリソースの集まり) に対してファイルマップ

を作成し、サーブレットをサーバ・オブジェクト・コードにマッピングする必要があります。たとえ

ば、myapp1 アプリケーションとそれに関連するサーブレットを追加するには、次のように指定します。

filemap /myapp1 $server_objectcode

また、次のように環境変数を設定して NSJSP のホーム・ディレクトリを指定する必要があります。

set env(SERVLET_JSP_HOME) /usr/tandem/webserver/servlet_jsp

他の 2 つの主な設定ファイルは、/servlet_jsp ディレクトリにあります。NSJSP のデフォルト・ルート・

ディレクトリは、/usr/tandem/webserver/servlet_jspです。/confサブディレクトリに次の2つの主な設定ファ

イルがあります。

□ iTP_server.xml －すべてのアプリケーションに対してコンテキスト・パスを設定する必要があります。

context path を使用してディレクトリ (アプリケーション ) 名を指定し、docbase を使用して

ルート (servlet_jsp) からそのアプリケーションへのパスを指定します。これにより、アプリケーション

名およびサーブレット名などのリソース名を含む URL は、そのリソースを確実に見つけることができ

ます。

□ web.xml －このファイルは、サーブレットと JSP の配置や制御に使用される xml コマンドを含んでい

るので、配置記述子 (Deployment Descriptor) として知られています。エイリアス (デフォルトはクラス

名)、値による初期化、MIME マッピング、Welcome (ようこそ) ページやエラー・ページなどを設定で

きます。

1.

2 523346-001J


5

例 9-1　ディレクトリと設定の概要

この例では、デフォルトのルート・ディレクトリ ($root) を /usr/tandem/webserver とする。

/usr/tandem/webserver

/conf

servlet.config set env (SERVLET_JSP_HOME)/usr/tandem/webserver/servlet_jsp

Filemap /myapp1 $server_objectcode

/usr/tandem/webserver/servlet_jsp

/conf

iTP_server.xml <Context path = "/myapp1" docbase=" webapps/myapp1"> </Context>

web.xml 例：<servlet-name>、<servlet-class>、<init-param>、<load-on-startup>

/usr/tandem/webserver/servlet_jsp/webapps

/myapp1

index.html 構造の一番上のレベルに静的リソースを配置するか、

/images またはリソースを分ける場合はサブディレクトリを使用する。

logo.gif

ourfounder.gif

/WEB-INF (必須) サーブレットと JSP によって直接提供されるリソー

スを格納する非公開のサブディレクトリ構造

/src ソース・ファイル用のディレクトリ

shoppingcart.java

/lib (必須) 配置される JAR ファイル用のディレクトリ

shopping.jar

/classes (必須) サーブレット・クラス・ファイルはすべてここに格

shoppingcart.class 納される。

login.class

23346-001J 9-3


9-

デフォルトでは、/webapps サブディレクトリにサーバ・アプリケーションが格納されます。iTP_server.

xml で docbaseを使用してこのパスまたは他の希望の場所を設定します。

Myapp1は例で使用したアプリケーションのサブディレクトリです。この(ルート)レベルには、index.html

などのファイルを格納したり、Web アプリケーションのリソースを管理するためのサブディレクトリ (グ

ラフィック・ファイルには /images など) を作成したりできます。

アプリケーションのディレクトリ構造には規則があります。

どのアプリケーションにも、WEB-INF サブディレクトリが必要です。これは必須のサブディレクトリで

す。非公開の領域なので、そのコンテンツをユーザが直接利用することはできません。WEB-INF は、サー

ブレット・クラス、アーカイブ、およびアプリケーション固有の配置記述子 web.xml ファイルを含む、サ

ブディレクトリの構造化されたセットです。このアプリケーション固有の web.xml ファイルは、/servlet_jsp/

conf ディレクトリ内の web.xml でグローバルに設定された値を上書きする場合に使用します。

Java クラス・ファイルは、/classes サブディレクトリにあります。これは必須のサブディレクトリです。

サーバは、どちらかの web.xml ファイルで設定されたクラス名またはエイリアスによってこのサブディレ

クトリからクラス・ファイルを探し、/lib サブディレクトリ内の JAR ファイルを展開してから /classes のク

ラス・ファイルを確定します。

Java のソース・ファイルを /src サブディレクトリに置くこともできます。これはオプションのサブディ

レクトリです。

詳細は、9-24 ページの「Web アプリケーションの設定」を参照してください。

URL からサーブレットへのマッピング方法

基本的な問題は、「URL からアプリケーションおよびサーブレットや JSP にどのようにマッピングする

か ?」ということです。

アプリケーション名とコンテキスト・パスにより、アプリケーション・サブディレクトリに到達できま

す。そのアプリケーション内のサーブレットまたは JSP を見つけるのにパスはもう必要ありません。配置

記述子である xml ファイル (web.xml) によってパスの残りの部分が定義されます。

アプリケーション・ディレクトリ (したがってサーブレットまたは JSP) の場所は、iTP_server.xml ファ

イル内の docbase属性で指定されます。

web.xml ファイルに xml 要素 <servlet-name> および <servlet-class> があれば、サーブ

レットまたは JSP にクラス名だけではなく任意の名前を付けることができます。これにより、Web ページ

(サーブレット名を使用) とその下にある Java コード (クラス名を使用) を分離できるので、メンテナンスが

容易になります。

また、web.xml ファイルに xml 要素 <servlet mapping>があれば、サーブレットまたは JSP に名

前を付ける必要もありません。1 つのサーブレットまたは JSP が常にアプリケーションの開始となるよう

にマッピングを設定できます。その場合は、URL で名前を指定する必要がありません。これは確かに便利

であり、安全性も増します。

詳細は、9-27 ページの「アプリケーションとサーブレットへの要求のマッピング」を参照してください。

4 523346-001J


5

J2EE (Java 2 Enterprise Edition) の概要

ここでは、クライアント・ブラウザと HTTP を介して通信する動的なアプリケーションの使用を可能に

する J2EE のコンセプトについて概説します。特に Web コンテナ、サーブレット、JSP、Java クラス、お

よび配置記述子について説明します。

iTP WebServer のサーブレットと JSP の実装は、J2EE に準拠するための重要なコンポーネントです。こ

れにより、Java ベースのNonStop 製品のサポートが可能になります。

完全な J2EE 環境におけるこれら以外のコンポーネントについての概要は、Sun Microsystems 社の J2EE

に関する Web サイトを参照してください。

J2EE アーキテクチャには、2 つのタイプのクライアントがあります。それは、Web クライアントとアプ

リケーション・クライアントです。アプリケーション・クライアントはクライアント・サーバ・モデルに

属します。クライアント・サーバ・モデルでは、「ファット」クライアントが GUI だけでなくアプリケー

ション・ロジックの大部分を提供します。一方、Web クライアントは新しい 3 階層モデルに属します。3

階層モデルでは、「シン」クライアント ( 一般的にはブラウザ) が GUI を提供し、ミドルウェア層が Web

サーバ上で GUI とデータベース間のアプリケーション・ロジックを提供します。ミドルウェア層自体は、

一般的にはモデル / ビュー / コントローラ (MVC) のアーキテクチャで設計された再利用可能なコンポーネ

ントに基づいています。このコンセプトについての詳細は、9-35 ページの「モデル / ビュー / コントロー

ラ (MVC) 設計」を参照してください。

Web クライアント・モデルは、一般的には http (Hypertext Transfer Protocol) を使用してブラウザとアプ

リケーション・ロジック間における要求と応答の関係を提供します。www.company.com/index.html などと

いったクライアントのリソース・ロケータ (URL) は、ドメイン名 (www.company.com) と URI (Universal

Resource Identifier) であるリソース名 (この場合は index.html) で構成されます。URI は、サーブレットを

見つけるために使用されるコンテキスト・パスを提供します。詳細は、9-27 ページの「アプリケーション

とサーブレットへの要求のマッピング」を参照してください。

http リソースは、初期のころはテキストまたはグラフィックからなる静的なページでした。そして各ク

ライアント要求に対して同じリソースが提供されていました。しかし現在では、動的なリソースを構築し

て使用することに重点が置かれています。動的リソースでは、同じリソースをそれぞれ異なるクライアン

ト要求に対して動的に変更できます。その例として、メールボックスがあります。メールボックスでは、

その構造と機能は同じですが、コンテンツは明らかにユーザごとに異なります。

動的コンテンツは、初期のころは CGI によって提供されていました。しかし、現在ではさらに強力で柔

軟性のあるサーブレット API と JSP プログラムが新しい Web アプリケーションにロジックを提供してい

ます。

Web コンテナ

J2EE は、Web ベースのアプリケーションの構築と実行のために、Web コンテナを提供しています。Web

コンテナは、次のコンテンツを含む Java の実行環境です。

□ アプリケーション－ Java サーブレットと NSJSP、クラス・ライブラリ、HTML または XML 文書など

のリソース、およびイメージ

□ サーブレット API と実行時管理。サーブレットおよび JSP の初期化、呼び出し、およびライフサイク

ル管理などが含まれます。

23346-001J 9-5


9-

□ MIME タイプ、サーブレットへの要求のマッピング、アクセス制御、およびサーブレットの初期化パラ

メータなどといったリソース定義を含む配置記述子 (web.xml ファイル)。この xml ファイルは、本質的

にはこれまでのバージョンのサーブレット (たとえばコンパック製品番号 T0094 での Servlets 2.0) で使

用されていたサーブレット・プロパティ・ファイルに代わるものです。

サーブレットをインスタンス化したり、iTP WebServer とサーブレット間の通信を提供したりするのは、

Web コンテナの役割です。Web コンテナは次のサービスを提供します。

□ サーブレットのインスタンス化

□ サーブレットの init()メソッドの呼び出し

□ service()メソッドの呼び出しによるユーザ要求の処理

□ サーブレットに対するガーベッジ・コレクション時の destroy()メソッドの呼び出し

□ JSP ファイルに対する同様のライフサイクルの管理

□ WAR (Web アーカイブ) ファイルの配置と作成

図 9-1　2 つのアプリケーションを含む J2EE Web コンテナ

VST901.vsd

Webコンテナ

アプリケーション #2

Javaサーブレット

配置記述子

Javaクラス

JSPページ

アプリケーション #1


配置記述子

Javaクラス

JSPページ

6 523346-001J


5

JSP (JavaServer Pages)

JSP (JavaServer Pages) は、Java サーブレット・モデルの一番上に位置するプレゼンテーション層のテク

ノロジであり、ダイナミック HTML の作成と管理を簡素化します。ページ・ベースというよりはコンポー

ネント・ベースの開発アプローチを採用しています。ページ・ベースの設計では、Web ページは、設計者

によって一般に作成されるプレゼンテーション・データを、プログラマによって一般に作成されるビジネ

ス・ロジックと統合します。

JSP を使用すると、ユーザ・インタフェースとコンテンツ生成を分離できるので、ページ設計者はペー

ジ・レイアウトを変更するときに、その下にあるプログラマブルな動的コンテンツを変更する必要があり

ません。さらに、プログラマブルなコンテンツ、つまりビジネス・ロジックを、Java Beans などの再利用

可能なコンポーネントの形式で記述できます。このようなページ・ロジックとその表示の分離、および再

利用可能なコンポーネント・ベースの設計のサポートにより、JSP は Web ベースのアプリケーションをよ

り迅速かつ容易に構築するための手段となっています。

NSJSP は、XML ライクなタグと Java プログラミング言語で記述されたスクリプトレットを使用して、

ページのコンテンツを生成するロジックをカプセル化します。さらに、ページがこれらのタグとスクリプ

トレットを使用してアクセスする Java Beans (サーバ・ベースのリソース) に、アプリケーション・ロジッ

クを常駐させることもできます。フォーマット (HTML または XML) タグはすべて応答ページに直接渡さ

れます。基盤となる JSP エンジン (実際には特殊化されたサーブレット自体) は、JSP タグ、スクリプトレッ

ト、および HTML を、Java サーブレットとして編成される Java コードに変換します。このサーブレット

は、Java バイトコードとしてプリコンパイルされるので、要求のたびにページを解釈する必要はありませ

ん。この Java コードは、ページが変更されると自動的に再コンパイルされます。上位レベルから見た JSP

を図 9-2 に示します。

図 9-2　JSP データ・フロー

VST902.vsd

クライアント・ブラウザ iTP WebServer

JSPページ


コンポーネント

最初の利用

2回目以降の利用

コンパイル

23346-001J 9-7


9-

JSP についての詳細は、9-34 ページの「JSP (JavaServer Pages)」を参照してください。

Web アプリケーション

Web アプリケーションは、サーブレット、HTML、イメージ、JSP、配置記述子、およびその他設定ファ

イルの集まりです。これらは、J2EE に準拠した Web サーバ上で完全なアプリケーションをホストするの

に必要なすべてのリソースです。

Web アプリケーションは、コンテナ・エンジンのルート・ディレクトリ ( デフォルトでは /usr/tandem/

webserver/servlet_jsp) 下のディレクトリ (一般的には webapps) に置く必要があります。

ここで、myapp1 というアプリケーションがあり、そのアプリケーション内のサーブレットの 1 つが

helloworld という名前であるとします。

この場合、ディレクトリ構造は次のようになります。

/servlet_jsp/webapps/myapp1

myapp1 は、Web アプリケーションのディレクトリ名です。

このディレクトリ・レベルには、index.html などのファイルを格納したり、Web アプリケーションのリ

ソースを管理するためのサブディレクトリ (グラフィック・ファイルには /images など) を作成したりでき

ます。

WEB-INF サブディレクトリ

WEB-INF サブディレクトリには、非公開のファイル、つまりブラウザ上への表示にユーザが直接利用す

ることができないファイルが含まれます。これらのファイルは、一般的には Java クラス・ファイルです。

サーブレットを配置するには、WEB-INF サブディレクトリを作成する必要があります。このディレクトリ

には、コンパイル済みのクラスを格納するための /classes サブディレクトリ、/lib サブディレクトリ、およ

びカスタマイズした web.xml ファイル (配置記述子) が含まれます。

webapps/myapp1/WEB-INF/web.xml

webapps/myapp1/WEB-INF/classes/helloworld.class

webapps/myapp1/WEB-INF/lib

ディレクトリ構造についての詳細は、9-24 ページの「Web アプリケーションの設定」を参照してくださ

い。

配置記述子

「デフォルト」バージョンの web.xml ファイルが提供されています。これは、すべてのサーブレットに

対して基本となるデフォルトのコンテキストと MIME タイプを設定するために使用され、Web コンテナが

初に起動されたときにサーブレットをプリロードして起動することができます。上記の myapp1 アプリ

ケーションのディレクトリ構造で示したように、特定のサーブレットまたは JSP 用にカスタマイズした

web.xml ファイルがある場合は、そのファイルの設定がデフォルト・バージョンの web.xml ファイルの設

定を上書きします。

iTP WebServer 上では、デフォルト・バージョンの web.xml ファイルは次のディレクトリにあります。

8 523346-001J


5

/usr/tandem/webserver/servlet_jsp/conf

WAR (Web アーカイブ) ファイル

Web アプリケーションは、WAR (Web アーカイブ) ファイルにパッケージ化することができます。この

方法を利用すれば、Javaクラス・ファイルおよび関連リソースを1つの配置単位として簡単に配布できます。

9-3 ページの例 9-1 で示したように、/myapp1 というアプリケーションがあるとします。この場合、WAR

ファイルを作成するには、次のようにアプリケーションのルートに移動します。

cd /servlet_jsp/webapps/myapp1

次のコマンドを実行すると、すべてのファイルとサブディレクトリが myapp1.war という 1 つのファイ

ルにまとめられます。-cオプションは新しいアーカイブを作成し、-fオプションはターゲット・ファイ

ル名を指定し (この例では同じ名前にするため * を指定)、そして -v (verbose) オプションで画面にファイ

ルを表示します。

jar -cf myapp1.war *

既存の WAR ファイルのコンテンツを表示するには、次のように実行します。

jar -tvf myapp1.war

WAR ファイルを配置する手順は、次のとおりです。

□ WAR ファイルを /servlet_jsp/webapps ディレクトリに置きます。

□ iTP_server.xml ファイルにコンテキスト・パスを追加します。次のように .war 拡張子を除いた WAR

ファイル名を使用します。

<Context path="/chat" docbase = "webapps/myapp1"> <\Context>

□ 次のように servlet.config ファイルに Filemap 指示語を追加します。

Filemap /myapp1 $server_objectcode

□ servlet.ssc と iTPSecure WebServer を再起動すると、WAR ファイルが配置されます。

NSJSP (NonStop Servlets for JavaServer Pages) のアーキテクチャ

ここでは、NSJSP (NonStop Servlets for JavaServer Pages) のアーキテクチャのバックグラウンドについて

説明します。HTML クライアント、iTP Secure WebServer プロセス、および Web コンテナ環境の関係を示

します。また、サーブレットのライフサイクルと NonStop TS/MP サーバ・クラスでサーブレットを実行す

る場合の利点についても説明します。

iTP Secure WebServer の実装は、マルチスレッドのプロセス外サーブレット・コンテナです。つまり、

iTP Secure WebServer の httpd プロセスの外側にある Java 仮想マシン (JVM) で実行される Java Web コン

テナです。このアーキテクチャを 9-11 ページの図 9-3 に示します。

iTP Secure WebServer は、本質的には他の J2EE 実装と同じ JVM 機能を提供しますが、複数の CPU に

拡張して NonStop™ コンピューティング環境を提供できるという点に特徴があります。

23346-001J 9-9


9-

iTP Secure WebServer プロセスは、数に関わらずすべての CPU にインストールできます。任意の 1 つの

CPU で 3 つの httpd プロセスを実行するようにしてください。他の CPU 上の他のプロセスは、負荷の分

散、必要なスループットを満たすための拡張、またはフォールト・トレランスのためのバックアップに使

用できます。

各 Web コンテナには、固有のサーブレット、JSP、およびその他のリソースを持つアプリケーションを

多数インクルードすることができます。これらのコンテナには、任意の CPU 上で実行されているどの httpd

プロセスを使用してもアクセスできます。コンテナとhttpdプロセスは、Pathway TS/MP 2.0環境の一部です。

iTP Secure WebServer ソフトウェアは、拡張性と信頼性を本質的に備えており、コンパック NonStop サー

バのデータベースとトランザクション・サービス・インフラストラクチャを利用できる Java サーブレット

の作成を可能にします。Java サーブレットは、NonStop TS/MP サーバ・プロセスとして実装されており、

スループットを増大させるために複数のプロセッサ・ノードに複製して自動的に負荷を分散させることが

できます。その結果、大量のサーブレット・ベースの Web トランザクションを同時に実行できるので、一

貫性のある応答時間を維持することができます。

Parallel Library TCP/IP (TCP/IP/PL) のサポートを追加すれば、完全な環境をさらに拡張することができ

ます。NonStop™ S シリーズ・サーバが採用しているアーキテクチャでは、システム内のすべて

のプロセッサがアダプタにアクセスできます。Parallel Library TCP/IP は、通信アダプタと ServerNet™ 接

続網を使用してアプリケーションを含むプロセッサにパケットを直接ルーティングするために、このアー

キテクチャを利用しています。パケットをアダプタから正しいプロセッサに直接ルーティングすることに

よって、Parallel Library TCP/IP は従来の TCP/IP アーキテクチャにおいてプロセス間で発生していたメッ

セージ・システムのホップを排除しています。

メッセージ・システムのホップを排除すれば、アプリケーションから回線までのパスの全長が短くなり

ます。また、パス長を短くすることで、各要求の遅延も短くなります。さらに、同じプロセッサ・コスト

で 1 秒間により多くの要求を処理でき、結果的にスループットが増大します。

従来の TCP/IP では、計算能力を高めるために複数のプロセッサでリスニング・アプリケーションの複

数のプロセス・インスタンスを実行する場合は、各プロセッサに異なる TCP/IP プロセス (リスニング・ア

プリケーションのプロセス・インスタンスあたり 1 プロセス) が必要でした。また、各 TCP/IP プロセスは

固有の物理ポート (PIF) を必要とし、外部には固有の IP ホストを提供しました。Parallel Library TCP/IP を

使用すれば、異なるプロセッサ上で実行されている複数のアプリケーション・プロセス・インスタンスを

1 つの IP ホストとして外部に提供することができます。それは、Parallel Library TCP/IP により同じ PIF を

使用してリスニング・アプリケーションの複数のプロセス・インスタンスを複数のプロセッサで実行でき

るからです。ServerNet™ では、クラスタ化されたシステム内のすべてのプロセッサが同じ PIF にアクセス

できます。そして Parallel Library TCP/IP では、異なるプロセッサ内のアプリケーションが同じ PIF にアク

セスして共通のリスニング TCP ポート番号を共有できます。

10 523346-001J


5

図 9-3　iTP Secure WebServer のサーブレット・アーキテクチャ

Webコンテナ

Webコンテナ

Webコンテナ

JSPページ

サーブレット

iTP WebServer

TCP/IP/PL

Webコンテナ

Webコンテナ

Webコンテナ

JSPページ

サーブレット

iTP WebServer

TCP/IP/PL

Webコンテナ

Webコンテナ

Webコンテナ

JSPページ

サーブレット

iTP WebServer

TCP/IP/PL

VST903.vsd

23346-001J 9-11

中嶋雅嗣

テキストボックス

NonStop CPU0

中嶋雅嗣


NonStop CPU1

中嶋雅嗣


NonStop CPUn

Administrator


FESA または E4SA

Administrator


ServerNet I/O

Administrator

線


9-

NSJSP (NonStop Servlets for JavaServer Pages) のインストール

NSJSP ソフトウェアのインストール手順は、製品の配布メディアによって異なります。CD でソフトウェ

アを受け取った場合は、Readme.txt ファイルを確認してください。製品をテープからインストールする場

合は、SOFTDOC を確認してください。次のインストール手順は本書の発行時点では正確ですが、本書の

コンテンツよりも Readme.txt ファイルまたは SOFTDOC の内容が優先されます。

NSJSP T1222 では、サーブレット API の実装が以前の T0094 SSC (サーブレット・サーバ・クラス) とは

まったく異なります。ここで説明するインストールを実行すると、T1222 製品が T0094 製品を置き換えま

す。したがって新しいインフラストラクチャで既存のサーブレット 2.0 アプリケーションを実行する場合、

移行に関するいくつかの留意事項があります。この製品をインストールする前にこれらの留意事項を把握

するには、9-42 ページの「T0094 から T1222 への移行」を参照してください。

インストールの前に

□ NSJSPをインストールする前に、次のソフトウェアのインストールと設定が完了していることを確認し

ます。

l NonStop オペレーティング・システムのバージョン G06 以降が実行されている NonStop システム上

の OSS 環境

l 『NonStop Server for Java (NSJ) Programmer’s Guide』で説明されている NSJ (NonStop Server for Java)

2.0 以降。

新しいバージョンの NSJ (NonStop Server for Java) をインストールするたびに、NSJ の「make」を

実行して NSJSP ソフトウェアを JVM にリンクさせる必要があります。詳細は、『NonStop Server for

Java (NSJ) Programmer’s Guide』を参照してください。

l iTP Secure WebServerのV50 IPM ABG以降。NSJSPのインストール後に iTP Secure WebServerを再

起動する必要があります。詳細は、第 2 章「iTP Secure WebServer のインストール」を参照してく

ださい。

□ この製品を使用するための要件が満たされていることを確認します (2-1 ページの「iTP Secure WebServer

のシステム要件」または NSJSP の README ファイルを参照 )。

□ インストール・ユーティリティの前提条件および製品固有のインストール要件が満たされていることを

確認します (NSJSP の README ファイルを参照 )。

□『IPSetup User Guide』が含まれている USRGUIDE.PDF ファイル (製品 CD の NSK_SW サブディレク

トリにあります) を確認します。このマニュアルには、個別製品のインストールのために CD に含まれ

ている IPSetup ユーティリティの使用手順が記述されています。このマニュアルを読んだり印刷したり

するには、Adobe Acrobat Reader (製品 CD に含まれています) が必要です。

□ DSM/SCM は、NSJSP ソフトウェアのインストールには使用できません。入力を求められたときに「use

DSM/SCM」オプションのチェックをはずしてください。

□ 製品の PAX ファイルを OSS 空間に完全に配置するには、入力を求められたときに「Extract files from

ustar archives to OSS file system」オプションが選択されていることを確認します。

12 523346-001J


5

□ TCP/IP および FTP が利用できない場合、または自動ファイル配置に問題がある場合は、『IPSetup User

Guide』のソフトウェアの手動配置に関する節に記述されている手順に従って、NonStop Kernel のファ

イルを手動で配置してください。

インストールの開始

製品 CD に含まれている IPSetup を使用する場合は、手順 1 と 2 をとばして手順 3 から実施してくださ

い。IPSetup を使用しない場合は、手順 1 と 2 を実施してから手順 3 に進んでください。

IPSetup を実行すると、次のバージョン固有の OSS ディレクトリに T1222PAX の内容が格納されます。

/usr/tandem/webserver/servlet_jsp/<version>

<version>は、このリリースのバージョン情報 (VPROCコマンドによる) (例：T1222V10_30JUN01_BASE_

V100_4)。

IPSetupは、単純に製品の PAX ファイルとSOFTDOC ファイルを製品の ISV (インストール・サブボリュー

ム) に移動して T1222PAX ファイルを解凍します。製品の PAX ファイルに対して COPYOSS マクロを実行

しても、現在の実行環境には一切影響がありません。

IPSetup についての詳細は、2-8 ページの「IPSetup プログラムを実行する」を参照してください。

1. T1222PAX ファイルを <$ISV>.ZNSJSPにコピーします。

2. コンパック NonStop システムに SUPER.SUPER でログオンします。そして <$ISV>.ZNSJSPに移動

し、TACL マクロである COPYOSS を使用して製品ファイルを解凍します。

TACL> LOGON SUPER.SUPER

TACL> VOLUME $ISV.ZNSJSP

TACL> RUN COPYOSS T1222PAX

COPYOSS は、以下のバージョン固有の OSS ディレクトリに T1222PAX ファイルのコンテンツを格納

します。


<version> は、このソフトウェア・リリースのバージョン情報です (例：T1222V10_30JUN01_BASE_

V100_4)。

COPYOSS は、単純に T1222PAX ファイルを解凍します。製品の PAX ファイルに対して COPYOSS マ

クロを実行しても、現在の実行環境には一切影響がありません。

3. SOFTDOC ファイルである T1222V10 はテキスト・ファイルであり、<$ISV>.SOFTDOCに保管する

か、または FUP DUP や FUP RENAME コマンドを使用して NonStop システム上の別の場所にコピーす

ることができます。

4. NSJSP の一般的なインストールを完了するには、まず setupjava スクリプトを実行し、それから setup

スクリプトを実行します。これらのスクリプトは次の OSS ファイル・システム・ディレクトリにあり

ます。


23346-001J 9-13


9-

両方のスクリプトは、OSS 環境変数の PATHに依存します。PATH変数には、OSS の /binディレク

トリと NSJ 2.0 の /binディレクトリを設定する必要があります。

例：

export PATH=$PATH:/bin:/usr/tandem/java/bin

PATH変数は、両方のスクリプトを実行する前に、正しく初期化してください。そうしなければ、「file

not found」エラーが発生し、インストールを完了できません。

setupjava

./setupjava スクリプトは、JVM (デフォルトは /usr/tandem/java) を更新して再リンクし、この

バージョンの NSJSP のソフトウェア・ライブラリとクラス・ファイルをインクルードします。デフォルト

では、./setupjava は /usr/tandem/javaにある JVM Java バイナリを更新します。JVM Java バイナ

リがデフォルト以外の場所にある場合は、./setupjava および ./setup スクリプトによってその場所の入力を

求められます。

注意： ./setupjava を実行すると、既存の T0094 SSC JVM バイナリのすべてのリンケージはバックアップされてか

らアンインストールされるので、既存の T0094 SSC サーブレット・アプリケーションを使用するには移行


1. 既存の T0094 SSC (サーブレット・サーバ・クラス) ソフトウェアをインストールしたときと同じユー

ザ ID を使用して ./setupjava スクリプトを実行します。T0094 SSC ソフトウェアがインストールされて

いない場合は、JVM NSJ 2.0ソフトウェアをインストールしたときと同じユーザIDを使用してください。

たとえば、SUPER.SUPER を使用して T0094 をインストールした場合は、次のように ./setupjava を実

行します。

TACL> LOGON SUPER.SUPER

TACL> OSH

OSS: cd /usr/tandem/webserver/servlet_jsp/<version>

OSS: ./setupjava

2. ./setupjavaスクリプトを実行したら、スクリプトによってエラーが報告されていないか確認します。誤っ

たユーザ ID を使用すると、./setupjava スクリプトは既存の T0094 SSC のライブラリとクラス・ファイ

ルを削除してバックアップすることができないので、T1222 NSJSP 環境は正しく実行されません。

./setupjava スクリプトを実行すると、サーブレットの jar ファイル (ServletJSPConnector.jar

と iTP_Servlet_JSP.jar) が、/usr/tandem/java/jre/libディレクトリに格納されま

す。

サーブレットの JNI (Java Native Interface) コード (libtandemservlet.a) は、/usr/tandem/

java/jre/lib/oss/posix_threadsディレクトリに格納されます。

Java バイナリは、サーブレットの JNI コード (libtandemservlet.a) をインクルードするよう

に自動的に再ビルドされます。

▲

14 523346-001J


5

./setupjava スクリプトは、COPYOSS を使用して初に製品をそのバージョン固有の場所に解凍したと

きに 1 回だけ実行してください。一般的に 2 回実行する必要があるのは、T1222 NSJSP のライブラリ

またはクラス・ファイル (あるいはその両方) を再インストールする必要がある場合だけです。

注意：T1222 NSJSPソフトウェアをデフォルトの/usr/tandem/javaのJVMバイナリに一度リンクしたら、COPYOSSユーティリティで古い T0094 SSC 製品を解凍しないでください。T0094PAX ファイルに対して COPYOSSを実行すると、デフォルトの /usr/tandem/java パスにある各種リンケージが更新され、NSJSP が使用できな

くなります。

NSJSPの実行中にT0094製品を解凍した場合は、/usr/tandem/java/lib/oss/posix_threads/libtandemservlet.aと /usr/tandem/java/lib/servletclasses.zip ファイルを削除し、それから NSJSP の ./setupjava スクリプトを

再実行してリカバリしてください。

EAS (Enterprise Application Server) 1.0 製品には T0094 SSC (Servlets 2.0) 製品が含まれているので注意

してください。NSJSP を先にインストールしてから EAS をインストールした場合は、T0094PAX ファイル

に対して COPYOSS ユーティリティを実行しないでください。NSJSP を EAS と一緒に使用したい場合は、

まず EAS ソフトウェアをインストールしてから NSJSP ソフトウェアをインストールすれば、この問題を回

避できます。

setup

./setup スクリプトを使用して、T1222 NSJSP をすでにインストールされている iTP Secure WebServer に

統合します。このスクリプトにより、インストール済みの iTP Secure WebServer の場所を入力するように

求められます。その場所に NSJSP を追加することになります。

1. iTP Secure WebServer をインストールしたときと同じユーザ ID を使用して ./setup スクリプトを実行し

ます。

たとえば、SUPER.WEB というユーザ ID を使用して iTP Secure WebServer をインストールした場合は、

次のように SUPER.WEB を使用して製品のこの部分をインストールします。

TACL> LOGON SUPER.WEB

TACL> OSH

OSS: cd /usr/tandem/webserver/servlet_jsp/<version>

OSS: ./setup

./setup スクリプトを実行すると、デフォルトの servlet.config ファイルが WebServer の /conf ディレクト

リに格納されます。スクリプトの実行時に既存の T0094 SSC の servlet.config ファイルがある場合は、

スクリプトによって、/conf ディレクトリ内にある既存の T0094 の servlet.config ファイルが自動的に

バックアップされます。また、T1222 NSJSP の設定ファイルがすでに存在する場合は、バックアップは

実行されず、その設定ファイルがそのまま保持されます。

デフォルトの /usr/tandem/java 以外の場所にある JVM バイナリを使用する場合は、環境を起動する前に

その場所を OSS 環境変数 JAVA_HOME に設定する必要があります。設定しなければ、デフォルトの

servlet.config ファイルは /usr/tandem/java にある Java バイナリを使用します。

./setupjavaと./setupスクリプトを一度実行したら、バージョン固有のディレクトリ(/usr/tandem/webserver/

servlet_jsp/<version>)またはそのサブディレクトリを削除したり変更したりしないでください。そのディ

レクトリ・ツリーへの OSS シンボリック・リンクが設定されているからです。これらのディレクトリま

たはサブディレクトリのいずれかを削除した場合は、製品の PAX ファイルを解凍するところから始め

て、製品全体を再インストールする必要があります。

▲

23346-001J 9-15


9-

2. WebServer の /bin/servlet.ssc バイナリのバージョン情報を VPROC で確認します。インストール・ディ

レクトリ名の<version>の部分と一致するバージョンのT1222 がインストールされていなければなりま

せん。一致していない場合は、インストール・エラーが発生しているので、次に進む前に修正する必要

があります。

NSJSP ソフトウェアを起動するときは、TCP/IP プロセスが実行されている必要があります。デフォル

トの NSJSP のインストールでは、実行されている TCP/IP プロセスの名前を $ZTC0 とします。$ZTC0

が実行されていない場合は、iTP WebServer の /conf ディレクトリにある servlet.config ファイルを変更

する必要があります。servlet.config ファイル内の「Server」指示語に、正しい TCP/IP プロセスの OSS

プロセス名を示す MapDefine を追加します。たとえば、TCP/IP プロセス名が $ZTCxx の場合は、次の

ように servlet.config ファイルを変更します。

Server $server_objectcode {...MapDefine =TCPIP^PROCESS^NAME /G/ZTCxx...

}

デフォルトの $ZTC0 または MapDefine で指定された有効な TCP/IP が使用できない場合は、Socket

Exception を示すエラー「Guardian or User Defined Error 14」(FENOTFOUND) が発生します。

3. start スクリプトを使用して iTP Secure WebServer を起動します (iTP Secure WebServer の SOFTDOC を

参照)。すると次の EMS メッセージが表示されます。

#7001: Servlet Server Class started

これで Web ブラウザから次の URL にある NSJSP のサンプル・ページにアクセスできます。

http://hostname:<portnumber>/samples/Servlets/

考えられるエラー条件：NSJSP のサーブレット・クラス・ファイル (iTP_Servlet_JSP.jar) とサーブレット JNI(libtandemservlet.a) は、同じバージョンでなければなりません。バージョンが異なると、

NSJSP 環境の起動に失敗し、エラーを報告するメッセージが OSS の syslog ファイルに

出力されます。

インストールの確認

1. WebServer の /bin/servlet.ssc バイナリのバージョン情報を VPROC で確認します。インストール・ディ

レクトリ名の<version>部分と一致するバージョンのT1222がインストールされていなければなりませ

ん。一致していない場合は、インストール・エラーが発生しているので、次に進む前に修正する必要が

あります。

2. OSS プロファイルを更新します。NSJSP のインストールが完了したら、Java CLASSPATH 環境変数に

servlet.jar ファイルを含めるように OSS プロファイルを更新する必要があります。

例：

/usr/tandem/webserver/servlet_jsp/lib/servlet.jar

このようにすれば、NSJSP 環境でサーブレットのコンパイルが成功します。

16 523346-001J


5

NSJSP (NonStop Servlets for JavaServer Pages) の起動または再起動

6-2ページの「start スクリプトによる iTP Secure WebServer の起動」の説明に従って iTP Secure WebServer

環境を起動することにより、NSJSP (NonStop Servlets for JavaServer Pages) を起動します。NSJSP が起動

すると、次のようなメッセージが EMS (イベント管理サービス) のログ・ファイルに出力されます。

NSJSP を再起動するには、第 6 章「スクリプトを使用した iTP Secure WebServer の管理」で説明してい

るように、restart スクリプトを使用するか、または stop スクリプトと start スクリプトを続けて実行します。

あるいは、PATHCOM ユーティリティを使用して NSJSP をフリーズ、停止、解除し、それから起動します。

考えられるエラー条件

□ NSJSP のクラス・ファイル (iTP_Servlet_JSP.jar) とサーブレット JNI (libtandemservlet.a) は、同じバー

ジョンでなければなりません。バージョンが異なると、NSJSP 環境の起動に失敗し、エラーを報告する

メッセージが OSS の syslog ファイルに出力されます。Administration Server を使用すれば (第 12 章「ブ

ラウザからの iTP Secure WebServer の管理」を参照)、イベント・メッセージを参照できます。

□ Parallel Library TCP/IP を使用している場合は、restarth スクリプトを使用して NSJSP の設定を動的に変

更することはできません。

Web コンテナ環境と Web アプリケーション環境

以下の設定手順では、Web コンテナと Web アプリケーションの設定を行います。

9-18 ページの「Web コンテナの設定」では、Web コンテナ環境をサポートするディレクトリ構造と設

定ファイルを示します。これらの設定ファイルにはデフォルト値が含まれています。ほとんどの場合、こ

れらのデフォルト値を変更する必要はありません。

9-24 ページの「Web アプリケーションの設定」では、アプリケーションのディレクトリ構造と、アプリ

ケーションをホストしてそのサーブレットを配置するために設定ファイルに対して行うべき変更を示しま

す。

TANDEM.WEBSERV.D42 007001 DAEMON NOTICEPID = 123456789 , PATHMON = $ZXXX (ssc) :

(#1) Servlet Server Class started. VersionProcedure = T1222_V10_30JUV01_BASE_X

23346-001J 9-17


9-

Web コンテナの設定

NSJSP のサーブレット・コンテナ環境と Web アプリケーションは、複数の設定ファイルによってサポー

トされています。Web アプリケーションは、サーブレット、HTML ページ、イメージ、JSP ページ、配置

記述子、およびその他の設定ファイルをまとめたものです。Web アプリケーションは、構造化されたディ

レクトリ階層として編成され、WAR (Web アプリケーション・アーカイブ) ファイルにパッケージ化した

り、WAR ファイルから解凍したりできます。3 つの主な設定ファイルを、次に簡単に説明します。これら

の設定ファイルにはデフォルト値が含まれています。ほとんどの場合、これらのデフォルト値を変更する

必要はありません。

servlet.config ファイルには、NSJSP のサーバ・クラスと iTP WebServer のファイルマップに必要な設定

情報が含まれています。このファイルは WebServer の /conf ディレクトリにあります。

iTP_server.xml ファイルには、iTP WebServer と連係する Web コンテナの初期属性が含まれています。

このファイルは、WebServer の /servlet_jsp/conf ディレクトリにあります。

web.xml ファイルには、サーブレットの設定コンテキストが含まれています。デフォルト・バージョン

は WebServer の /servlet_jsp/conf ディレクトリにあり、この環境にホストされているすべての Web アプリ

ケーションによって使用されます。各 Web アプリケーションは、固有の web.xml ファイルを作成し、その

ファイルをそのアプリケーション固有のサーブレットの初期化に使用できます。

servlet.config

このファイルには、サーブレット・サーバ・クラスとファイルマップに必要な設定情報が含まれていま

す。このファイルは、デフォルトでは /usr/tandem/webserver/conf ディレクトリにあります。

新しくインストールした T1222 を初めて実行するときは、セキュリティの目的上、./setupjava スクリプ

トによって既存の servlet.config ファイルが自動的にバックアップされます。ユーザはその後で、デフォル

ト値を変更 (例えば、ファイルマップの追加など) ができます。

備考：サーブレット・サーバ・クラスの複数のインスタンスを設定したり管理したりすることはできません。

環境変数

環境変数 SERVLET_JSP_HOME を変更する必要がある場合は、次のように設定します。

Set env(SERVLET_JSP_HOME) /usr/tandem/webserver/servlet_jsp

ファイルマップ

新しいアプリケーション (関連するサーブレット、JSP、およびその他のリソースの集まり ) を使用する

場合は、そのそれぞれに対して、対応するファイルマップを sevlet.config ファイルに追加する必要があり

ます。

たとえば、orders という新しいアプリケーションがあるとします。この場合、次のファイルマップを追

加する必要があります。

Filemap /orders $server_objectcode

18 523346-001J


5

Server 指示語

□ 多数のエントリの中で、Numstatic と Maxservers は Server 指示語で設定します。NSJSP プロセスはマ

ルチスレッドなので、デフォルトでは両方に 1 が設定されます。

セッションをサポートするには、Web コンテナ内のすべてのプロセスを静的なプロセスにする必要が

あります。つまり、Web コンテナの属性 Numstatic と Maxservers に同じ値を設定します。値が異なる

と、LINKMON がシステムの負荷に基づいて動的なサーブレット・サーバ・プロセスを追加起動しま

す。システムの負荷が軽くなったときに動的なサーブレット・サーバ・プロセスが停止すると、そのプ

ロセスが保持していたセッション・データがすべて消去されてしまいます。

次のエントリは、変更しないでください。

□ Arglistパラメータ。Server指示語のarglistパラメータは、次の設定を指定するために使用されています。

起動直後にサーブレット・サーバ・プロセスがロードするクラス・ファイル

org.apache.tomcat.startup.Tomcat

NSJSP のホーム・ディレクトリ

-Dtomcat.home=$env(SERVLET_JSP_HOME)

NSJSP 用にカスタマイズされた server.xml ファイルの名前

-f conf/iTP_server.xml

Java ルーチンのいずれかのオプション引数 (下記の一覧を参照 ) を Java の Arglist パラメータに追加す

ることを検討してください。次の例のように、サーブレットの前に Java の Arglist の引数を指定する点

に注意してください。

Arglist -Xnoclassgc -Xmx16m -D browserdebug=false\

-Djdbc.drivers=com.tandem.sqlmp.SQLMPDriver\

-Djdbc.drivers

NSJ (NonStop Server for Java) に対する SQL ドライバを指定します。 SQL/MP for Java を使用す

るサーブレットに対して必須です。このオプションが存在する場合は、com.tandem.sqlmp.SQLMP

Driver を指定する必要があります。

-Xmx maximum-heap-size [ k | m ]

maximum-heap-size

メモリ・アロケーション・プールの大サイズを設定します。この領域が、ガーベッジ・コ

レクション対象のヒープになります。1000 バイト以上の値を設定する必要があります。

servlet.config.sample ファイルでは、この値は 16MB に設定されています。

k

値がKバイト単位で読み取られるように設定します。kとmのどちらも指定しなかった場合、

値はバイト単位で読み取られます。

23346-001J 9-19


9-

m

値がメガバイト単位で読み取られるように設定します。k と m のどちらも指定しなかった場

合、値はバイト単位で読み込まれます。

-Xnoclassgc

オプションの引数 -Xnoclassgc は、Java クラスのガーベッジ・コレクションを無効にします。デ

フォルトでは、Java ランタイムは、未使用の Java クラス用領域の解放を要求します。このオプ

ション引数を追加すれば、潜在的なメモリ・リークの問題の防止に役立つ可能性があります。

-D browserdebug=false

この引数を指定すると、ブラウザにエラーの詳細が表示されます。デフォルトは false です。ある

要求に対して不明なエラーが表示された場合に、browserdebug に true を設定してサーバを再起動

し、要求を再実行します。

NSJ (NonStop Server for Java) についての詳細は、『NonStop Server for Java (NSJ) Programmer’s Guide』


iTP_server.xml

このファイルは、標準の server.xml ファイルを iTP WebServer で使用できるように変更したものです。

server.dtd で指定されている DTD (タグと構造のセット) を含む XML ファイルです。このファイルは、デ

フォルトでは /usr/tandem/webserver/servlet_jsp/conf ディレクトリにあります。

iTP WebServer に関する変更点

iTP_server.xml ファイル内の次のステートメントは、iTP WebServer で機能するように変更されていま

す。これらのステートメントは変更しないでください。

<RequestInterceptor

className="org.apache.tomcat.request.iTPWSFixHeaders" />

<RequestInterceptorclassName="org.apache.tomcat.request.iTPWSSessionInterceptor" />

<Connector className="org.apache.tomcat.service.SimpleTcpConnector">

<Parameter name="handler"value="org.apache.tomcat.service.http.

iTPWSHttpConnectionHandler"/>

<Parameter name="socketFactory"value="com.tandem.servlet.ReceiveServerSocketFactory"/>

<Parameter name="port" value="8080"/>

</Connector>

20 523346-001J


5

コンテキスト・パス

アプリケーションを追加するには、iTP_server.xml ファイルのコンテキスト・マネージャのセクション

にコンテキスト・パスを追加し、servlet.config ファイルに関連するファイルマップを追加する必要があり

ます。ここで、関連するサーブレット、JSP、およびその他のリソースを含む orders というアプリケーショ

ンを追加するとします。この場合、次のようにコンテキスト・パスを入力します。

<context path= "/orders" docbase="webapps/orders" debug= "0"></context>

context path は、コンテキスト、本質的にはサーブレットを見つけて実行しようとしている URL のパス

の先頭を示します。また、docbase は、アプリケーション用にデフォルトの webapps ディレクトリ以外の

場所を個別に作成するのに使用できます。

servlet.config では、サポートするファイルマップを次のように指定します。

Filemap /orders $server_objectcode

サーブレットの再ロード

iTP_server.xml ファイルで「reloadable」属性に true を設定すると、コンテナは変更されたサーブレット・

クラス (WEB-INF/classes ディレクトリ、または WEB-INF/lib ディレクトリ内の JAR ファイルからロード

されたクラス) を自動的に再ロードします。再ロード機能は、サーブレット・クラスの一番上のレベルに対

してだけ適用されます。つまり、ユーザ・サーブレット内で使用されているクラス内の変更には適用され

ません。

本番アプリケーションの場合は、自動再ロードを使用しないでください。要求のたびにチェックを行う

ため、余分なオーバヘッドが生じるからです。

例：

<Context path="/examples" docBase="webapps/examples"debug="0"reloadable="true" >

</Context>

ログ・ファイル

iTP_server.xml ファイルでは、下位のイベントに関するログを書き込むファイルの場所も設定します。詳

細は、9-40 ページの「ログとエラー条件」を参照してください。

web.xml

このファイルは、配置記述子として知られています。サーブレットの設定コンテキストが含まれます。

servlet_jsp/conf ディレクトリにはデフォルト・バージョンの web.xml があります。このファイルは、すべ

てのアプリケーションとそれに関連するリソースの動作を設定します。

また、特定のアプリケーションの WEB-INF サブディレクトリ内にも同じファイルを作成できます。こ

のファイルは、「グローバルな」web.xml ファイルの設定を上書きし、固有のサーブレット制御を行えるよ

うにします。

23346-001J 9-21


9-

デフォルト・バージョン

/usr/tandem/webserver/servlet_jsp/conf ディレクトリにある web.xml ファイルは、サーブレットと JSP の

デフォルトのパスのコンテキストと制御を定義します。ここでは、XML の制御要素をいくつか示します。

サーブレットのプリロード

web.xmlファイルで<load-on-startup>要素を使用すると、起動時にサーブレットのセットを自動的にロー

ドすることができます。

load-on-startup 要素は、そのサーブレットを Web アプリケーションの起動時にロードする必要があるこ

とを示します。この要素のコンテンツとして、サーブレットをロードする順番を正の整数で指定します。

値が小さいほど早い順番でロードされます。値が指定されていない場合、または指定された値が正の整数

でない場合は、コンテナが起動シーケンス内の任意の時点で自由にサーブレットをロードします。

例：

<servlet><ser<servlet-name>

<ser Snoop<ser</servlet-name><ser<servlet-class><ser SessionSnoop

<ser</servlet-class><ser <load-on-startup><ser 3<ser </load-on-startup>

</servlet>

この例では、サーブレット・クラス・ファイル SessionSnoop の優先順位に 3 が指定されています。3 よ

りも優先順位の高いファイルは SessionSnoop よりも早くロードされます。サーブレット・クラス名は

SessionSnoop ですが、URL はこれをサーブレット名 Snoop で参照しています。

セッション・タイムアウト値の定義

このパラメータは、2 つのバージョン (デフォルトとアプリケーション固有) の web.xml ファイルのどち

らでも指定できます。Web アプリケーションで生成されたすべてのセッションに対するデフォルトのセッ

ション・タイムアウト値は、web.xml ファイル要素 session-config および session-timeout を使用して定義で

きます。タイムアウト値は、整数を使用して分単位で指定します。

例：

<session-config><ses<session-timeout><ses<ses30

<ses</session-timeout></session-config>

22 523346-001J


5

アプリケーション・バージョンの web.xml

各アプリケーションは、そのルート・レベルのディレクトリに配置記述子 web.xml のコピーを置くこと

ができます。

例：

/webapps/myapp1/WEB-INF/web.xml

このファイルは、servlet_jsp/conf レベルにある web.xml ファイル内の設定を上書きします。

ここでは、両方の web.xml ファイルで使用される xml 要素の例をもう少し示します。

サーブレットの初期化

2 つのバージョンの web.xml ファイルのどちらでもサーブレットを初期化できます。

移植性が必要な場合は、アプリケーション・バージョンの web.xml に初期化を設定した方がよいでしょ

う。これは、WAR (Web アプリケーション・アーカイブ ) ファイルを作成したり解凍したりするときに使

用される配置記述子の場所にあります。

init-param 要素には、サーブレットの初期化パラメータとして名前と値のペアが含まれます。

例：

<servlet><servlet-name>

your alias servlet name</servlet-name><servlet-class>

your servlet name</servlet-class>

<init-param><param-name>name1</param-name><param-value>value1</param-value><param-name>name2</param-name>

<param-value>value2</param-value></init-param>

</servlet>

前述したように、サーブレット名はサーブレット・クラス名のエイリアス (別名) です。エイリアスを使

用すると、アプリケーション内のサーブレットへの URL 参照を変更することなくクラス名を変更できま

す。この機能が必要ない場合は、両方に同じ名前を使用してください。

23346-001J 9-23


9-

Web アプリケーションの設定

Web アプリケーションは、サーブレット、HTML ページ、イメージ、JSP (JavaServer Pages)、配置記述

子、およびその他の設定ファイルを 1 つに集めたものです。Web アプリケーションは、構造化されたディ

レクトリ階層として編成され、WAR (Web アプリケーション・アーカイブ ) ファイルにパッケージ化した

り、WAR ファイルから解凍したりできます。

ディレクトリ構造には、次の 2 つの部分があります。

□ 公開領域－クライアントにダウンロードしてブラウザ上で直接表示するために使用できるHTMLペー

ジおよびイメージなどのリソース用

□ ルートの WEB-INF にある非公開領域－ライフサイクルの管理に必要なリソースである、配置記述子

web.xml などの設定ファイル、サーブレット・クラス、およびライブラリ・ファイルが含まれる

サンプル・アプリケーションの NSK OSS 上ディレクトリ構造を次に示します。

/webapps/myapp1/index.html

login.jspimages/

companylogo.gifourfounder.gif

literature/

whitepaper.pdfWEB-INF/

web.xmlclasses/

shoppingcart.classcheckout.class

lib/xmltools.jar

src/

shoppingcart.javacheckout.java

この例の myapp1 には、ブラウザで表示するために直接アクセスできるファイル (gif および html ファイ

ルなど ) を含む公開領域があります。 JSP ファイルは直接表示できませんが、何かの理由により、API が

JSP ファイルを HTML ファイルと同じとみなして公開領域に配置できるようにしています。同様に、Java

ソース・ファイルも表示できませんが、この公開領域に配置できる場合があります。しかし本書の例では、

セキュリティ上、Java ソース・ファイルを WEB-INF サブディレクトリ内に配置しています。

WEB-INF 領域は、iTP WebServer からサーブレットおよび JSP ファイルに要求を転送する Web コンテ

ナによって制御されます。

ファイルを編成して制御するという Web コンテナ方式には、以前の「サーブレット・エンジン」方式よ

りも多くの利点があります。

24 523346-001J


5

Web コンテナは、このアプリケーション・ディレクトリ構造が使用されていれば、どこを探せばクラス

を見つけられるかわかります。したがって、クラスと JAR ファイルを明示的に CLASSPATH に追加する

必要はありません。また、各アプリケーションをコンテナ内の他のアプリケーションとは別に管理できる

ので、サーバ設定ファイル iTP_server.xml にコンテキストを追加するだけでアプリケーションを追加でき

ます。

各アプリケーションには固有のドキュメント・ルートがあります。したがって、それが各アプリケーショ

ン内のサーブレットなどのリソースへのコンテキスト・パスの先頭になります。

新しい Web アプリケーションの追加

iTP WebServer などのランタイムの本番システムにアプリケーションを追加するには、次の 2 つの方法

があります。

□ 既存のアプリケーションの WAR ファイルを配置する (9-25 ページ)

□ 新しいアプリケーションを作成する (9-25 ページ)

既存のアプリケーションの WAR ファイルを配置する

開発が完了したアプリケーションを WAR ファイルですでに所有している場合は、そのファイルを

webappsディレクトリに移動します。そしてiTP_server.xmlにコンテキスト・パスを設定してserverlet.config

にファイルマップを追加し、Web コンテナ (NSJSP プロセス) を再起動します。これにより、アプリケー

ションが自動的に配置されます。コンテナは、WAR ファイル名 (拡張子を除く ) をコンテキストとして使

用し、同じ名前のディレクトリを作成します。

新しいアプリケーションを作成する

iTP WebServer 環境で新しいアプリケーションを開発している場合は、次のようにする必要があります。

□ /webapps の下に適切なディレクトリ構造を作成します。他の場所に配置したい場合は、コンテキスト・

パスの docbase 属性を使用します。そのディレクトリに必要なサーブレットと JSP ファイルを格納しま

す。

□ 配置記述子用にローカル・バージョンのweb.xmlファイルを作成します。メインのデフォルトのweb.xml

ファイルに配置記述子を記述することもできますが、その場合は後で WAR ファイルを作成するのが難

しくなります (ローカル・バージョンの web.xml だけが WAR ファイルに含まれます)。

□ iTP_server.xml にコンテキスト・パスを設定します。

□ アプリケーション名にサポートするファイルマップを server.config に追加します。

□ NSJSP プロセスを再起動します。

サーブレットのコンパイル

NSJSP の Web コンテナ内のサーブレットをコンパイルするには、OSS 環境変数 CLASSPATH に次の

JAR ファイルを設定する必要があります。

/usr/tandem/java/jre/lib/iTP_Servlet_JSP.jar

23346-001J 9-25


9-

ここで、../webapps/yourapplicationname/WEB-INF/src という所定のソース・コードの場所を使用してい

るとします。この場合は、次のコマンドを入力してサーブレットをコンパイルします。

javac -d ../WEB-INF/classes/ *.java

*にはサーブレット名を指定します。このコマンドを実行すると、Javaファイルがコンパイルされ、/WEB-

INF/classes の下にクラス・ファイルが作成されます。

サーブレットの配置

配置記述子にサーブレット名とクラス名を入力します。サーブレットとクラスには同じ名前を使用でき

ます。またはサーブレット名を URL でエイリアスとして使用すれば、サーブレット・クラス名全体が表示

されません。このようにすると、次の例では、URL は startCartRequest ではなく start を参照できます。

配置記述子は、通常は /webapps/WEB-INF/ 内にあるアプリケーション・ディレクトリの一番上のレベル

にある web.xml ファイルです。

そのファイルの一部を次に示します。

<?xml version="1.0" encoding="ISO-8859"?>

<!DOCTYPE web-appPUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.2//EN""http://java.sun.com/j2ee/dtds/web-app_2.2.dtd">

<web-app>

<servlet><!used as an alias for the full servlet class name><servlet-name>start<servlet-name><!the fully qualified servlet class name>

<servlet-class>startCartRequest</servlet-class></servlet>

</web-app>

配置記述子は、次のような他のサーブレット・パラメータをカスタマイズするのに使用されます。

□ サーブレットの初期化 (9-23 ページ)

□ サーブレットのプリロード (9-22 ページ)

□ セッション・タイムアウト値の定義 (9-22 ページ)

□ MIME マッピング

HTTP プロトコルは、コンテンツを記述するのに MIME (Multipurpose Internet Mail Extensions) タイプ

を使用します。Web サーバは、クライアントに文書を送信するときに、ブラウザがその文書を正しく

表示できるように応答の中に文書のタイプを示すセクションを含める必要があります。ほとんどのブラ

ウザは、doc、pdf、gif などの拡張子から文書のタイプを推測できますが、配置記述子に定義を含める

のはよいプログラミング慣習です。

26 523346-001J


5

MIME マッピングは、応答を生成するサーブレットが HttpServletResponse オブジェクトに対して

setContextType() を使用して MIME タイプを指定する動的コンテンツの場合は必要ありません。し

かし、Web アプリケーションの公開領域にある静的コンテンツに対して MIME タイプ定義しておく

と役に立ちます。

デフォルトの MIME タイプは、ルート (デフォルトは /usr/tandem/webserver) の conf ディレクトリにあ

る mime-types.config ファイルで指定されています。ユーザはそのファイルに追加することができます。

その場合、追加した MIME タイプを ../servlet_jsp/conf ディレクトリにあるグローバルな web.xml ファ

イルにも追加する必要があります。

MIME タイプの設定方法を次の例に示します。

<web-app><mime-mapping>

<extension>doc</extension><mime-type>application/msword</mime-type>

</mime-mapping></web-app>

アプリケーションとサーブレットへの要求のマッピング

サーブレットへの要求のマッピングは、コンテキスト・パスの概念と密接な関係があります。

アプリケーションへの URL のマッピング

Web コンテナ内では、各アプリケーションにはコンテキストが関連付けられ、リソースはすべてそのコ

ンテキストに相対的です。コンテキスト・パスは、アプリケーション・ディレクトリのルート・レベルで

始まります。9-24 ページの「Web アプリケーションの設定」では、コンテキストはアプリケーション名で

ある /myapp1 です。

あるコンテキストを指定する、以下の URI を考えてみます。

http://www.company.com/myapplication

http://www.company.com は、www.company.com にある http スキームの URL です。URL パスは /

myapplication です。この 2 つで URI が形成されます。

このような www.hostname.com の表記以外に、URL を次の形式にすることもできます。

http://<hostname>:<portnumber>/myapplication

各 Web アプリケーションには、一意の URL パスのプリフィックス (たとえば /myapplication) をマッピ

ングする必要があります。Web コンテナは、このプリフィックスを使用して要求を Web アプリケーション

内のリソースにマッピングします。したがって、パス名はアプリケーション内のリソースを提供するため

のドキュメント・ルートとして役立ちます。

サーブレットへの URL のマッピング

マッピング・プロセスは、2 つの部分で構成されています。初の部分では、サーブレット名の認定と、

オプションで完全なサーブレット・クラス名のエイリアスの設定を行います。このようにすると、たとえ

ばサーブレット・クラス startCartRequest を参照するサーブレット名に start を設定できます。

23346-001J 9-27


9-

2 つ目の部分では、配置記述子の <servlet-mapping> 要素を使用します。これもオプションです。この要

素は、URL にサーブレット名 (またはクラス名) をインクルードするという通常のマッピングよりも複雑な

マッピングを行う場合に使用します。

アプリケーション名を含む URL を特定のサーブレットにマッピングする web.xml の例の一部を次に示

します。

<servlet-mapping><servlet-name>start</servlet-name><servlet-class>startCartRequest</servlet-class><url-pattern>/myapplication/*</url-pattern>

</servlet-mapping>

パスのマッピングは、コンテキストの URL パスに相対的です。ワイルドカード (*) を指定すると、/

myapplication パスを含むすべての URL が常に startCartRequest サーブレットに渡されます。

クライアント・プログラミングに関する留意事項

ここでは、HTML 文書でサーブレットを参照する方法と、サーブレットに要求を送信したりサーブレッ

トから応答を受信したりする方法について説明します。HTML 文書または Web クライアントにとっては、

サーブレットを使用する場合と他のタイプの CGI アプリケーションを使用する場合とでは、ほとんど違い

がありません。

この説明を読む前に、第 8 章「CGI (Common Gateway Interface) プログラムの使用」の内容をよく理解


サーブレットの呼び出し

サーブレットを呼び出すには、そのサーブレットの URL の参照を追加します。サーブレット URL の構

文についての詳細は、9-27 ページの「アプリケーションとサーブレットへの要求のマッピング」に説明し

ています。

要求情報の受け渡し

次のいずれかの手段で要求情報をサーブレットに渡せます。

□ URL に付加されたクエリ文字列。サーブレットは、このデータを受け取るために、環境変数 QUERY_

STRING を利用するか、またはサーブレットが HttpUtils クラスを使用する場合はハッシュ・テーブル

を利用します。

□ URL に付加された追加パス情報。サーブレットは、この情報を受け取るために、環境変数 PATH_INFO

と PATH_TRANSLATED を使用します。

□ HTML フォーム。サーブレットは、入力ストリームで HTML フォームからデータを受け取ります。

サーブレットは、9-31 ページの「サーブレット API の使用」に説明しているように、オブジェクトを介

して環境変数と入力ストリームにアクセスします。

28 523346-001J


5

応答情報の受信

サーブレットからの応答形式は、他の CGI プログラムからの出力形式と同じです。つまり、応答は、次

の要素で構成されています。

□ 1 つ以上の HTTP 応答ヘッダ

□ 1 行の空白行

□ 応答内容

ただし、サーブレット自体がこれらのすべての要素を生成する必要はありません。サーブレットがヘッ

ダ情報を提供しない場合は、サーブレット・メソッドが content-type:text/html というヘッダを挿入します。

サーブレットが空白行を追加しない場合は、サーブレット・メソッドが必要なキャリッジ・リターンとラ

インフィードを挿入します。

サーブレットが出力を生成する方法については、9-31 ページの「サーブレット API の使用」を参照して

ください。

サーブレット・プログラミングに関する留意事項

ここでは、サーブレットのプログラミングに使用する機能について説明します。たとえば、スレッディ

ングやコンテキスト管理にサーバ・クラスを使用することの意味を説明します。

サーブレットは、サーブレット API を使用して Web クライアントからの要求の受信や応答を行います。

また、他の NSJ (NonStop Server for Java) パッケージを利用して、NonStop SQL/MP データベースへのアク

セスなどの機能を実行します。NSJSP プロセスは NonStop TS/MP サーバ・クラスなので、サーブレット

は、このクラスの拡張性、持続性、およびパフォーマンスといった利点を継承します。

ここでは、サーブレット API 2.2 を使用する方法の概要を示します。サーブレット API 2.2 についての詳

細は、次の Web サイトの『Java Servlet API Specification, Version 2.2』を参照してください。


その他の API 文書も JavaSoft から入手できます。

NSJ を使用したプログラミングについては、『NonStop Server for Java (NSJ) Programmer’s Guide』を参


サーブレットのプログラミング環境

iTP Secure WebServer 環境用に新しいサーブレットを作成したり既存のサーブレットを変更したりする

には、2つの方法があります。それは、NSJ を使用する方法と、その他の標準のJava環境を使用する方法です。

NSJ (NonStop Server for Java)

NSJ (NonStop Server for Java) は、Sun Microsystems 社の JDK (Java Developer’s Kit) バージョン 2.0 に基

づいており、JavaSoft によって完全に Java に準拠しているものと認定されています。NSJ には、JVM (Java

仮想マシン) とアプレットビューアを除くあらゆる標準の Java ツールが含まれています。さらに、次の機

能も含まれています。

23346-001J 9-29


9-

□ SQL/MP for Java。この機能により、サーブレットが NonStop SQL/MP データベースにアクセスできる

ようになります。

□ NonStop TM/MP (NonStop Transaction Manager/MP) を使用したトランザクションの保護

□ JIT (ジャスト・イン・タイム) コンパイラ。クラスの使用ごとにバイト・コードを再解釈するのではな

く、クラスのロード時に Java バイト・コードをネイティブ・インストラクション・セットに変換する

ことにより、サーブレットのパフォーマンスを改善します。

NSJ は、NonStop システムの OSS 環境で動作し、POSIX pthreads パッケージなどの OSS の機能を使用

してマルチスレッドに対応しています。

NSJ についての詳細は、『NonStop Server for Java (NSJ) Programmer’s Guide』を参照してください。

その他の Java 環境

他の Java 環境でサーブレットを開発し、それを NonStop システム上で使用することもできます。サーブ

レットが使用する機能によっては、多少の修正が必要です。たとえば、次のような修正項目があります。

□ AWT (Abstract Windows Toolkit) は NSJ に含まれていますが、グラフィカルな出力を生成するクラスか

らは例外が返されます。

□ NSJ は、Java Beans の非表示のランタイム実行には対応していますが、グラフィカル・ユーザ・インタ

フェース (GUI) 操作を必要とするランタイム実行には対応していません。

□ NSJ でのトランザクションの保護は、JTS (Java Transaction Service) で定義された Current インタフェー

スに基づいていますが、それと全く同じではありません。

NSJ の準拠性および NSJ に対する Java プログラムの移植性の保証についての詳細は、『NonStop Server

for Java (NSJ) Programmer’s Guide』を参照してください。

iTP Secure WebServer環境でのサーブレットのスレッディングとコンテキスト管理の問題点については、

9-32 ページの「コンテキスト管理」または 9-33 ページの「マルチスレッド－ Java スレッドの生成」を参


サーブレットと NSJSP の例およびリファレンス

サーブレット・コンテナを一度インストールして起動すれば、Web ブラウザから次の URL にある NSJSP

(NonStop Servlets for JavaServer Pages) のサンプル・ページにアクセスできます。

http://hostname:<portnumber>/samples/Servlets/

このページからは、iTP Secure WebServer 環境で使用できるサーブレット API 2.2 (サーブレットと JSP)

のインタフェース、クラス、およびメソッドの一覧にアクセスできます。メソッドの一覧は、JavaSoft が

定義したパッケージ javax.servlet および javax.servlet.http のコンテンツに対応しています。

また、『Professional Java Server Programming (J2EE Edition)』(Wrox Press Ltd. 刊) を参照するか、また

は Sun Microsystems 社の Web サイトにアクセスすれば、サーブレット API 2.2 およびサーブレットと JSP

のプログラミングに関する有益な情報が得られます。

30 523346-001J


5

2.0 など前のリリースの Java サーブレットから移行する場合は、API の仕様をチェックし、これまでに使

用していたメソッドまたはインタフェースが非推奨になっていないかチェックする必要があります。9-42

ページの「T0094 から T1222 への移行」に変更点をまとめています。

サーブレット API の使用

サーブレット API には、サーブレットと Web クライアントとの交信を構成するインタフェース、クラ

ス、およびメソッドが含まれています。この後の節には、いくつかの API が例に示されています。

iTP Secure WebServer 環境でサーブレットを使用しやすくするクラス

HttpServlet

このクラスは、Web クライアントからの要求の受信、処理、および応答を行う service (ServletRequest,

ServletResponse) メソッドを上書きして GenericServlet クラスを拡張します。HttpServlet クラスは、init

(ServletConfig) メソッドと destroy() メソッドを GenericServlet クラスから継承します。

iTP WebServer 環境用に作成するサーブレットは、GenericServlet クラスまたは HttpServlet クラスを拡張

する必要があります。Web 環境では、HTTP プロトコルに対応した多くの機能を備える HttpServlet クラス

の方が望ましいといえます。ユーザのサーブレットは、必要な初期化を行うために init (ServletConfig) メ

ソッドを上書きし、アプリケーションの要求を処理するために service (ServletRequest,ServletResponse) メ

ソッドまたは service (HttpServletRequest, HttpServletResponse) メソッドを上書きし、そしてリソースを解

放するために destroy() メソッドを上書きする必要があります。

サーブレットでは、必要に応じて、doGet() メソッドと doPost() メソッドも使用してください。

HttpServletRequest

このクラスは、ServletRequest クラスを拡張します。ServletRequest クラスは、標準入力ストリームから

情報を取得するメソッドおよび各種ヘッダや環境変数の値を取得するメソッドを提供します。HttpServlet

Request クラスでは、HTTP プロトコル・ヘッダ情報と QUERY_STRING、PATH_INFO、および PATH_

TRANSLATED などの CGI 環境変数を取得するメソッドを定義します。

サーブレットで有効な CGI 環境変数すべての列挙を取得する場合は、次の文字列パラメータ値を指定し

て getAttribute() メソッドを使用してください。

"com.tandem.servlet.attribute_names"

HttpServletResponse

このクラスは、ServletResponse クラスを拡張します。ServletResponse クラスは、標準出力ストリームと

標準エラー・ファイルに書き込むメソッドを提供します。HttpServletResponse クラスでは、http 応答ヘッ

ダとエラー情報を Web クライアントに送信するメソッドを定義します。

独自の応答ヘッダを生成するには、サーブレットは、そのヘッダをすべて生成するまでは出力ストリー

ムにデータを書き込めません。ヘッダをすべて生成しなかった場合は、ServletOutputStream クラスは、次

のヘッダだけを送信します。

CONTENT_TYPE=text/html

23346-001J 9-31


9-

ServletException

このクラスは、サーブレット固有の例外を報告するメソッドを提供します。ユーザのサーブレットの

doGet() メソッドと doPost() メソッドは、このクラスまたはこのクラスから派生したクラスを使用して、エ

ラーを報告する必要があります。

HttpUtils

このクラスは、クエリ文字列またはその他のフォーム・エンコード・データを解析するメソッドを提供

します。

特定の CGI 環境変数値の取得

特定の CGI 環境変数の値を取得するには、次のような文字列パラメータ値を指定して getAttribute() メ

ソッドを使用します。

"com.tandem.servlet.parameter-name"

ここで、parameter-nameは、求める環境変数の名前です。

例 9-2 のコードの一部は、環境変数とその値の列挙を取得して出力する場合の getAttributeの使

用法を示しています。

例 9-2　getAttribute() メソッドを使用した環境変数の取得

out.println("</pre>");Enumeration x =

(Enumeration)req.getAttribute("com.tandem.servlet.attribute_names");out.println("<pre>");while (x.hasMoreElements()) {

String pn = (String)x.nextElement();out.println(pn +" = " + req.getAttribute(pn) );

}out.println("</pre>");

コンテキスト管理

同じサーブレットまたは JSP は同じ Web コンテナ内の複数のプロセスで実行できるので、サーブレッ

ト・クラスに対する一連の要求が必ずしも同じプロセスで処理されるとは限りません。このため、次の点

に注意してサーブレットを設計してください。

□ 1 つのサーブレットで保持したデータを、まとめてサーブレット・クラスに利用することを前提とした

設計はできません。クラス・データは、プロセス内だけで利用できます。

□ 1 つの要求によってメモリに作成されたコンテキストは、後続の要求で利用できるとは限りません。後

続の要求が同じデータ空間で実行されない場合があるためです。したがって、コンテキストを利用する

サーブレットは、戻る前にディスクにコンテキストを書き込むようにします。

32 523346-001J


5

セッション追跡機能 (サーブレット API の機能) を使用しない場合、1 つのプロセスが一連の要求を処理

するようにする唯一の方法は、Web コンテナを 1 つのプロセスに制限 (Maxservers=1) することです。これ

により、持続性は維持されますが、サーバ・クラスの拡張性の利点は失われます。セッションをサポート

するには、Web コンテナの属性 Numstatic と Maxservers に同じ値を設定する必要があります。

マルチスレッド－ Java スレッドの生成

NSJSP (NonStop Servlets for JavaServer Pages) 製品は、サーブレットまたは JSP 内からの Java スレッド

の生成にサポートします。

複数のユーザが同時にサーブレットにアクセスする場合、Web コンテナは各ユーザに対して新しいサー

ブレット・インスタンスを生成しません。クライアントがサーブレットにアクセスするときに、各スレッ

ド内で service() メソッドが呼び出されます。したがって、各クライアントはサーブレットのデータを共有

します。ほとんどの場合、これはクライアント・データを含まないサーブレットに対する複数の要求を処

理するためのも効率的な方法です。

マルチスレッドにするには、スレッドの同期を考慮する必要がある点に注意してください。すべてのク

ライアントはサーブレット内の各フィールドにアクセスすることができます。つまり、サーブレット内の

フィールドは各クライアントによって共有されます。フィールドにクライアント固有のデータが含まれて

いる場合は、そのフィールドへのアクセスを同期させる必要があります。

スレッドが Web コンテナ内から生成される環境で、サーバ・クラスの実行を停止する Pathway コマンド

または iTP WebServer コマンドを使用する場合も、注意を要します。Web コンテナを停止すると、その

Web コンテナ内で動作しているすべての実行スレッドが即座に停止されます。Web コンテナに対して

Pathway STOP コマンドが発行された場合は、すべてのスレッドの実行完了まで Web コンテナが停止せず

に待機できるようなランタイム・チェックは行われません。

必要であれば、SingleThreadModel インタフェースを使用すれば複数インスタンスでのシングル・スレッ

ドを使用することができます。

例：

public class myServlet extends HttpServlet implements SingleThreadModel

これは、myServlet をシングル・スレッドにします。そして myServlet のインスタンスが各ユーザ要求に

対して作成されます。

要求と応答のストリーム

iTP Secure WebServer の CGI インタフェースは、標準入力と標準出力をストリームとして実装していま

す。したがって、サーブレットへの要求またはサーブレットからの応答の長さに制限はありません。

Guardian のプロセス間通信メカニズムは、本質的にストリーム指向ではありません。Pathway CGI イン

タフェースは、ストリーム動作をシミュレートするために、一連のプロセス間メッセージをストリームと

して受け入れます。

23346-001J 9-33


9-

セキュリティに関する留意事項

Region 指示語を使用して URL を保護すれば、JSP またはサーブレットへのアクセスを制限できます。さ

らに、SAFEGUARD を使用すれば、NonStop システムの任意のディスク、ファイル、またはプロセスへの

アクセスも制限できます。

現在の製品バージョンでは、サーブレットはこのような基本的な保護以上に信頼性が高いとみなされて

います。サーブレットをローカルの iTP Secure WebServer 環境からロードする必要があるため、セキュリ

ティ違反を減らせます。ただし、セキュリティ違反を完全には排除できません。iTP Secure WebServer と

NSJSP がサーブレットの機能に加えるのは、NSJ (NonStop Server for Java) によって課される制限だけです。

Web コンテナは、PATHMON 環境のセキュリティ属性を継承します。

国際文字セットのサポート

iTP Secure WebServer は、サーブレット環境の入出力に対して国際文字セット (Unicode) をサポートしま

す。iTP Secure WebServer 環境においてサーブレットで国際文字セットを使用するのに、特別な設定は必

要ありません。

予約済みクッキー名

クッキー名「JSESSIONID」は、内部使用のために予約されています。サーブレット API 2.2 によれば、

セッション追跡クッキーの名前は「JSESSIONID」で、URL の変換で使用するセッション追跡パラメータ

の名前は「jsessionid」である必要があります。

JSP (JavaServer Pages)

ここでは、JSP (JavaServer Pages) の主な機能について概説し、分散型サーブレットを使用する理由、サー

ブレットを別のサーブレットにインクルードする方法、およびサーブレット間で応答を転送する方法を説

明します。JSP コードの簡単な例も示します。

JSP の概要については、9-7 ページの「JSP (JavaServer Pages)」に説明しています。ここでは、実装、モ

デル、および構文の基本について説明します。詳細は、java.sun.com などの Sun Microsystems 社の JSP に

関する Web サイトを参照してください。

一般的に JSP ページには、翻訳フェーズと要求処理フェーズがあります。翻訳フェーズは、NSJSP ペー

ジが初に要求されたときに、ページが変更されない限り一度だけ実行されます。その結果、サーブレッ

ト・インタフェースを実装する JSP ページの実装クラス・ファイルが生成されます。

JSP ページの実装クラス・ファイルは、同様にサーブレット・インタフェースを実装する HttpJSPBase

を拡張します。このクラスのサービス・メソッドである _jspService() は、本質的には JSP ページのコンテ

ンツをインライン化します。_jspService() を上書きすることはできませんが、ページ内にメソッド jspInit()

と jspDestroy() を実装すれば、イベントを初期化したり破棄したりすることができます。クラス・ファイ

ルを Web コンテナにロードすると、_jspService() メソッドがクライアント要求に応答します。デフォルト

では、_jspService() メソッドは、同時クライアント要求を処理している Web コンテナによって個別のス

レッドにディスパッチされます。

34 523346-001J


5

モデル / ビュー / コントローラ (MVC) 設計

JSP の利用法については、2 つの設計体系があります。その違いは、処理の大部分がどこで行われるかと

いう点です。1 つ目のアプローチでは、図 9-4 に示すように、Web ブラウザからの着信要求が、それを処

理してクライアントに応答を返す JSP ページに直接送信されます。このモデルでは、Java Beans を使用し

てデータ・アクセスが実行されるので、コンテンツと表示が分離されます。

図 9-4　NSJSP の基本モデル

このモデルは、単純なアプリケーションに適していますが、JSP ページですべての要求処理を行う必要

があります。したがって、各ページが個別にアプリケーション状態の管理、認証、およびセキュリティの

維持を行う必要があります。2 つ目のアプローチは、モデル / ビュー / コントローラ (MVC) 設計を採用す

ることです (図 9-5 を参照 )。このアプローチでは、処理はコントローラと表示コンポーネントに分散され

ます。表示コンポーネント、つまりビューは、HTML または XML の応答を生成する JSP ページであり、

この応答によってブラウザが使用するユーザ・インタフェースが決まります。コントローラ (サーブレット

または JSP ページ ) は、表示には全く関わらずに HTTP 要求の処理だけを行うフロント・エンドです。コ

ントローラは、表示コンポーネントが使用する Beans とその他のオブジェクトをインスタンス化します。

VST904.vsd

JSP

Java BeanまたはJavaサーブレット

要求

応答クライアント・ブラウザ

Webコンテナ

1

2

3

4

データ・ストレージ

23346-001J 9-35


9-

図 9-5　モデル / ビュー / コントローラ (MVC) 設計

この設計には、主に 2 つの利点があります。まず、表示コンポーネント内に処理ロジックがありません。

表示コンポーネントはコントローラによって作成されたオブジェクトまたは Beans を単純に取得し、JSP

の静的テンプレートに挿入する動的コンテンツを抽出します。したがって、表示とコンテンツが明確に分

離されます。さらに、コントローラによってアプリケーションへの単一のエントリ・ポイントが提供され

るため、状態とセキュリティの管理が容易になります。

これらの設計は、要求ディスパッチャを使用して容易に実装されます。要求ディスパッチャを使用する

と、サーブレットは別のサーブレットのサービスを利用できます。要求のディスパッチには、インクルー

ドと転送という 2 つのシナリオがあります。サーブレットの応答には、別のサーブレットの出力をインク

ルードできます。インクルードされたサーブレットはクライアントに出力を送信することだけ可能であり、

ヘッダ情報を変更することはできません。転送では、オリジナルのサーブレットはクライアントに出力を

送信できませんが、その代わりに、要求と応答を別のサーブレットに転送します。

ディスパッチのプログラミングは、次の 3 つ手順で行います。

1. getServletContext() を呼び出してサーブレット・コンテキストへの参照を取得します。その戻り値は、サー

ブレットがコンテナと通信するためのいくつかのメソッドを含む javax.servlet.ServletContext オブジェク

トです。getServletContext() メソッドは、サーブレットの init() メソッドに渡される ServletConfig オブ

ジェクトに対して呼び出され、一般的にはサーブレット・クラス内にフィールドとして格納されます。

2. 使用しているサーブレットの要求ディスパッチャ・オブジェクトへの参照を取得します。サーブレット

のパスと名前を取り込み、要求ディスパッチャ・オブジェクトを返す getRequestDispatcher (String name)


JSP

要求

応答

クライアント・ブラウザ

Webコンテナ

1

2

34

データ・ストレージ

Java BeanまたはJavaサーブレット

サーブレット

3

4

5

コントローラ

モデルビュー

VST905.vsd

36 523346-001J


5

3. RequestDispatcher オブジェクトの include または forward のどちらかのメソッドを呼び出します。どち

らのメソッドにも、引数として HttpServletRequest と HttpServletResponse の 2 つを指定します。

単純な JSP の include 指示語のコード例を、9-38 ページの「JSP コードの例」に示します。この例では、

前述したようにサーブレットをネイティブ Java で直接コーディングするよりも、JSP でのコーディングの

方がずっと簡単であることがわかります。

JSP 構文の基本

構文は、大きく 2 つに分類されます。それは、指示語とスクリプティング要素 (宣言、式、スクリプト

レットなど) です。

指示語

page 指示語

この指示語は、ユーザが記述するほとんどすべての JSP ソース・ファイルで使用される JSP タグです。

page 指示語は、JSP ソース・ファイル全体に適用される命令を JSP コンテナに渡します。たとえば、コン

パイル済みの JSP ファイルの一部となるコメント、NSJSP ソース・ファイルで使用されるスクリプティン

グ言語、ソース・ファイルがインポートするパッケージ、またはエラーや例外が発生したときに呼び出さ

れるエラー・ページなどを定義します。

include 指示語

この指示語は、別のファイルのコンテンツをメインの JSP ファイルの指示語が置かれている場所に挿入

します。この指示語を使用して、著作権情報、スクリプティング言語のファイル、または他のアプリケー

ションで再利用したいものなどをインクルードできます。また、include 指示語を使用すると、共通のペー

ジ・ヘッダまたはフッタなどといったより管理しやすい要素にコンテンツを分割できます。インクルード

されるページとして、静的な HTML ページまたはより多くの JSP コンテンツなどを指定できます。

スクリプティング要素

宣言

宣言では、JSP ページ内のメソッドまたは変数を定義できます。それらは、同じページ内の他のコード

にアクセスできます。

式

式は、<% = %> タグの間に定義される式の値を文字列に変換し、その値を動的に生成されたテキストと

して出力する単純な JSP タグです。式はテキストを生成するためのショートカットなので、println() メソッ

ドを呼び出してテキストを表示する必要はありません。

スクリプトレット

<% コード %> という形式で、JSP ページ内のどこにでも Java コードを記述できます。page 指示語の

import 属性を使用すれば、スクリプトレット・コード内からすべての Java API にアクセスできます。

23346-001J 9-37


9-

JSP コードの例

これは、Webページの開発でよく利用されている手法であるテンプレートの使用例です。1つ以上のサー

ブレットのサービスを使用します。このテンプレートは、include 指示語を使用して別のファイル内の

HTML を参照する JSP としてコーディングされています。

JSP コード：

<%-- Filename: "TemplateDemo.jsp" --%>

<HTML><BODY><CENTER> Welcome To My WebSite</CENTER><BR><P> The time is <% new java.util.Date().toString() %> </P>

<%@ include file = "Body.html" %></BODY></HTML>

Body.html という名前の HTML ファイルは、次のようになっています。

<BR>

<H1>This is text that will be included in the body of the HTML inthe JSP file</H1><BR>

HTML フォームの処理方法

Web アプリケーションの中でも基本的な部分は、おそらくユーザが情報を入力する HTML フォーム

でしょう。その情報として、顧客の名前や住所、検索エンジンに対して入力される単語や句、またはオン

ライン・カタログからの選択などが考えられます。

ユーザがフォームに入力する情報は、要求オブジェクト内に格納されてクライアントから JSP コンテナ

に送信されます。

図 9-6 は、Web コンテナ内におけるクライアントとアプリケーション間の一般的なデータ・フローを示

しています。

38 523346-001J


5

図 9-6　JSP アプリケーション内の要求と応答

Web コンテナは、JSP ファイルで指定されたサーバ・サイドのコンポーネントに要求オブジェクトを送

信します。この要求オブジェクトとして、サーブレット、内部の Java コード、または外部の Java Bean コー

ドなどが考えられます。コンポーネントは、通常はデータベースからデータを取得して要求を処理し、応

答を Web コンテナに返します。Web コンテナは応答オブジェクトを JSP ページに渡し、データはそこで

ページの HTML 設計に従って書式化されます。そして Web コンテナと iTP Secure WebServer は変更され

た JSP ページをクライアントに送信し、クライアントではユーザが Web ブラウザで結果を参照できます。

フォームの作成方法

JSP ソース・ファイルに HTML フォームを記述するには、JSP タグを使用すればフォームとサーバ・サ

イドのブジェクト間でデータを渡すことができます。その基本的な手順は次のとおりです。

□ JSP ソース・ファイルを記述し、HTML フォームを作成して各フォームの要素に名前を付けます。

□ Java ソース・ファイルに Bean を記述し、フォームの要素名をサポートするプロパティ、GET メソッ

ド、および SET メソッドを定義します。

□ JSP ソース・コードに <jsp:usebean> タグを追加して、Bean のインスタンスを作成するかまたは指定し

ます。

□ JSP ソース・コードに <jsp:setProperty> タグを追加して、HTML フォームから Bean のプロパティを設

定します。Bean には、サポートする SET メソッドが必要です。

□ <jsp:getProperty> タグを追加して、Bean からデータを取得します。Bean には、サポートする GET メ

ソッドが必要です。

VST906.vsd

クライアント・ブラウザ iTP WebServer JSPページコンポーネント

23346-001J 9-39


9-

ログとエラー条件

エラーは、OSS およびサーバ・ログ・ファイルに記録されます。

サーブレットのロギング

SSC プロセスは、設定および状態情報を標準出力 (stdout) ファイルに出力し、エラーおよび例外を EMS

ログとサーバ・ログ・ファイルに出力します。

設定および状態情報

NSJSP プロセスは、次の情報を標準出力ファイルに出力します。

□ NSJSP プロセスが起動されたこと、または起動に失敗したことを示すメッセージ

□ サーブレットまたはサーブレット・メソッドによって標準出力ファイルに書き込まれるメッセージ。た

とえば、デフォルトの init() メソッドは、それが呼び出されたことを報告するメッセージを書き込みま

す。

例外メッセージのフォーマット

起動中にエラーが発生すると、コンテナは次の要素からなる EMS メッセージを報告します。

□ OSS のマニュアル・セットに説明されているように、日付、時刻、プロセス名、および syslog の重大

度カテゴリを報告する行

□ SSC というプリフィックス。SSC は、NSJSP プロセスの「古い」名前ですが、エラー・メッセージで

はまだ使用されています。

□ SSCを識別するフィールド (サーブレットがURL参照に応じてロードされた場合)。URLのSSC名 (ssc-

name) の部分に一致します。SSC プロセスの開始中にエラーが発生した場合には、このフィールドは存

在しません。

□ 記述文字列。たとえば、「(#7001)Servlet Server Class started. Version Procedure = T1222V10_XXXX_XX」

というメッセージは、サーブレット・サーバ・クラス (NSJSP プロセス) が起動されたことを示します。

T1222 (NSJSP プロセス) 用の新しい EMS メッセージは、次のようになります。これらのメッセージの

詳細は、『iTP Secure WebServer Operator Messages Manual』にも説明しています。

Event #7001 Servlet Server Class started. Version Procedure =%VPROC%

%VPROC% は、バージョン・プロシージャ番号です。その NSJSP プロセスが起動されたことを示して

います。

Event #7002 Servlet Server Class object code vproc %VPROC1% doesnot match Class file vproc: %VPROC2% Terminating Server.

%VPROC1% および %VPROC2% は、2 つの T1222 製品コンポーネントのバージョン情報 (VPROC コ

マンドによる ) です。この場合は、NSJSP プロセスを再インストールする必要があります。

40 523346-001J

5

Event #7013 Servlet Server Class Object code call to %FUNC%failed. Terminating Server

%FUNC% は、失敗したネイティブ関数です。一般にこの関数は「processhandle_getmine_()」または

「getProcessInfo()」のどちらかです。NSJSP プロセスを再起動する必要があります。

エラー・メッセージ

次のログは、エラー条件の追跡に利用できます。

/usr/tandem/webserver/logs/servlet.log

これは、サーブレットの出力ファイル (NSJSP プロセスの STDOUT) です。

/usr/tandem/webserver/logs/servlet_error.log

これは、サーブレットのエラー出力ファイル (NSJSP プロセスの STDERR) です。

/usr/tandem/webserver/servlet_jsp/logs/tomcat.log

これは、内部の Tomcat または NSJSP エンジンのログです。

/usr/tandem/webserver/servlet_jsp/logs/jasper.log

これは NSJSP のログ・ファイルです。

/usr/tandem/webserver/servlet_jsp/logs/servlet.log

これはサーブレットのログ・ファイルです。

ここで、/usr/tandem/webserver/ は iTP Secure WebServer のデフォルトのインストール・ディレクトリで

す。パスの残りの部分も、設定可能です。下位のイベントに関するログを含むファイルの場所は、iTP_server

.xml ファイルで設定します。この設定ファイルの次の部分を書き換えます。

<xmlmapper:debug level="0" />

<Logger name="tc_log"

path="logs/tomcat.log"customOutput="yes" />

23346-001J 9-41


9-

<Logger name="servlet_log"path="logs/servlet.log"customOutput="yes" />

<Logger name="JASPER_LOG"path="logs/jasper.log"

verbosityLevel = "INFORMATION" />

サーブレットの例外についての概説は、次の Web サイトにある『Java Servlet API Specification, Version

2.2』を参照してください。


T0094 から T1222 への移行

ここでは、サーブレットの既存の設定を Java サーブレット 2.2 API 仕様と J2EE 環境に対応するように

変更する方法を説明します。

T1222 製品の移行に関する留意事項は、古い T0094 SSC がすでにインストールされている場合だけ適用

されます。T0094 がインストールされていない場合は、次の説明を無視して構いません。

既存の T0094 の設定を T1222 をサポートするように変更するときは、次の点に注意してください。

1. T1222 NSJSP 製品の使用中は、T0094 のライブラリとクラス・ファイルを Java CLASSPATH に含めな

いでください。T1222 NSJSP 製品をインストールすると、デフォルトの /usr/tandem/java ディレクトリ

にある既存の T0094 SSC のライブラリとクラス・ファイルが検出され、バックアップ用の場所に移動

されます。T1222 NSJSP をアンインストールして T0094 SSC を再インストールする場合以外は、これ

らのファイルを元の場所に戻さないでください。

2. 既存の T0094 の servlet.config ファイルは、T1222 NSJSP 製品では使用できません。T1222 NSJSP 製品

をインストールすると、既存の T0094 の設定ファイル servlet.config が検出され、バックアップ用の場

所に移動されます。

3. T0094 SSC バージョンのサーブレットと T1222 NSJSP バージョンのサーブレットを同じ iTP Secure

WebServer の設定に含めることはできません。

4. T1222 NSJSP のプロセス・インスタンスはマルチスレッド対応なので、servlet.config ファイルで静的

サーブレットと HTTPD サーバの数を一致させるという要件はなくなりました。

5. 既存の T0094 SSC アプリケーションを、WAR (Web アプリケーション・アーカイブ) のディレクトリ

構造を使用するように変換する必要があります。そのためには、T1222 NSJSP の servlet.config ファイ

ルに Filemap 指示語を追加し、XML ベースの設定ファイルである iTP_Server.xml にサーブレット・コ

ンテキストを追加する必要があります。

6. プロパティ・ファイルを使用する既存の T0094 SSC アプリケーションを Web アプリケーションに変換

し、プロパティ・ファイルをその変換された Web アプリケーション用の XML ベースの設定ファイル

web.xml に移行する必要があります。実際の Java サーブレット・アプリケーションのコードを変更す

る必要はありません。

42 523346-001J


5

Web アプリケーションのディレクトリ構造への変換

ディレクトリ構造とすべてのファイルの場所を、9-24 ページの「Web アプリケーションの設定」に説明

されている構造に変換してください。これにより、デフォルト設定の利点と WAR (Web アーカイブ) ファ

イルを利用できるようになります。

servlet.config ファイルの変更

□ 前バージョンの iTP WebServer の servlet.config ファイルがある場合、そのファイルはインストール・プ

ロセスの一環として自動的にバックアップされます。ファイル名は servlet.config.bkup に変更されます。

そしてインストール・プロセスにより、servlet.config.sample の情報をもとに新しい servlet.config ファ

イルが作成されます。この新しいファイルを変更して、ユーザ固有の servlet.config ファイルとして使

用します。

□ Server 指示語の Arglist パラメータの次のオプション引数がなくなりました。

propertyfile

verbose

version

web.xml ファイルでのパラメータの再設定

サーブレットのプロパティ・ファイルがなくなりました。Web コンテナ環境では、このサーブレット・

プロパティ・ファイルと同様の属性を設定するのに web.xml ファイルを使用します。次の変更点に注意し

てください。

□ 次のパラメータがサポートされなくなりました。

com.tandem.servlet.verbose

com.tandem.servlet.browserdebug

com.tandem.servlet.version

com.tandem.servlet.sessioncheckfrequency

com.tandem.servlet.sessioncleanup

□ 次のパラメータは、新しい XML 構文に従って web.xml ファイルで再設定する必要があります。

com.tandem.servlet.sessiontimeout を使用したセッション・タイムアウト値の定義

servlet-name.initArgs を使用したサーブレットの初期パラメータの定義

web.xml ファイルの変更

□ セッション・タイムアウト値の定義

これは、session-config 要素内の要素です。タイムアウト値は、整数 (分単位) で指定します。これまで

は分単位ではなく秒単位であったことに注意してください。XML 構文の例を次に示します。

<session-config><session-timeout>

30</session-timeout>

23346-001J 9-43


9-

</session-config>

□ サーブレットの初期パラメータの定義

init-param 要素には、サーブレットの初期化パラメータとして、名前と値のペアが含まれます。XML 構

文の例を次に示します。

<servlet><servlet-name>

your alias servlet name</servlet-name><servlet-class>

your servlet name

</servlet-class><init-param>

<param-name>name1</param-name><param-value>value1</param-value>

<param-name>name2</param-name><param-value>value2</param-value>

</init-param></servlet>

servlet-name は、servlet-class のエイリアスです。エイリアスを使用すると、アプリケーション内でのサー

ブレットへの URL 参照を変更することなくクラス名を変更できます。この機能が必要ない場合は、両方に

同じ名前を使用してください。

iTP_serve.xml ファイルの変更

これは新しいファイルなので、移行に伴う変更点はありません。このファイルの使用方法についての詳

細は、9-20 ページの「iTP_server.xml」を参照してください。

予約済みクッキー名

クッキー名「JSESSIONID」は、内部使用のために予約されています。サーブレット API 2.2 によれば、

セッション追跡クッキーの名前は「JSESSIONID」で、URL の変換で使用するセッション追跡パラメータ

の名前は「jsessionid」である必要があります。

サーブレット・バージョン 2.0 から 2.2 への変更点

2.0 など前のリリースの Java サーブレットから移行する場合は、2.2 API の仕様をチェックし、これまで

に使用していたメソッドまたはインタフェースが非推奨になっていないかチェックする必要があります。

変更点を次の一覧に示します。

非推奨のインタフェース

□ javax.servlet.http.HttpSessionContext は、セキュリティ上の理由で削除されました。

非推奨のメソッド

□ javax.servlet.ServletContext.getServlet (String) は、安全ではない可能性がありました。

44 523346-001J


5

□ javax.servlet.ServletContext.getServletNames() は、getServlet がなければ意味がありません。

□ javax.servlet.http.HttpSession.getSessionContext()

(HttpSessionContext が非推奨)

次のメソッドは、API 標準では非推奨です。

□ javax.servlet.ServletContext.log (Exception, String)

代わりに log (String, Throwable) を使用してください。

□ javax.servlet.ServletRequest.getRealPath (String)

代わりに ServletContext.getRealPath を使用してください。

□ javax.servlet.http.HttpServletRequest.isRequestedSessionIdFromUrl

代わりに isRequestedSessionIdFromURL を使用してください。

□ javax.servlet.http.HttpServletResponse.encodeRedirectUrl (String)

代わりに encodeRedirectURL を使用してください。

□ javax.servlet.http.HttpServletResponse.encodeUrl (String)

代わりに encodeURL を使用してください。

Servlet バージョン 2.1 から 2.2 への変更点

非推奨のメソッド

□ javax.servlet.UnavailableException.UnavailableException (Servlet servlet, String message) コンストラクタ

□ javax.servlet.UnavailableException.UnavailableException (int sec, Servlet servlet, String message) コンスト

ラクタ

□ javax.servlet.http.HttpSession.getValue (String name) メソッド

□ javax.servlet.http.HttpSession.getValueNames() メソッド

□ javax.servlet.http.HttpSession.setValue (String name, Object value) メソッド

□ javax.servlet.http.HttpSession.removeValue (String name) メソッド

その他の変更点

サーブレット 2.2 の仕様によれば、サーブレット・アプリケーションから次の 2 つの方法で getRealPath

メソッドを呼び出すことができます。

□ ServletRequest.getRealPath を使用する。ただし、これは非推奨のメソッド。

□ ServletContext.getRealPath を使用する。

iTP Secure WebServer のこれまでのリリースでは、getRealPath は常に httpd サーバに依存してパスを解

決していました。パスを正しく識別するには、servlet.ssc は httpd サーバにサーバ・ポートとサーバ名を渡

す必要があります。

23346-001J 9-45


9-

NSJSP リリースでは、サーバ・ポートとサーバ名の情報は、要求レベルでしか認識されません。この制

限により、servlet.ssc は getRealPath メソッドがコンテキスト・レベルから呼び出された場合は、httpd サー

バを起動することができません。

これは、getRealPath メソッドがコンテキスト・レベルから呼び出される場合は、パスがローカルに解決

されるため正確ではない可能性があるので、httpd サーバに渡されるリソースが識別されないということを

意味します。

46 523346-001J

第 10 章　RLS ( リソース・ロケータ・サービス ) の使用

5

第 10 章 RLS (リソース・ロケータ・サービス) の使用

RLS (リソース・ロケータ・サービス) は、複数の Web サーバを 1 つのサーバのように見せるオプション

機能です。たとえば、NonStop システム上の iTP Secure WebServer と Windows NT プラットフォーム上の

別の Web サーバを相互に使用して、同じコンテンツにアクセスできます。RLS は、特定の要求に対して利

用する Web サーバを選択します。選択条件は、次のとおりです。

□ どの Web サーバの応答時間が短だったか。

□ 該当の Web サーバが利用可能で、ビジー状態でないか。( 高のパフォーマンスの Web サーバが現在

利用できない、あるいはビジー状態の場合、RLSは次にパフォーマンスの高いWebサーバを選択します。)

RLS を使用すれば、複製サーバ機能を実装できます。要求を出すユーザやアプリケーションには、どの

Web サーバが応答したか、あるいは特定の Web サーバが利用可能だったかは知らされません。

RLS を使用する場合は、NonStop SQL/MP が RLS と同じシステムにインストールされ、動作している必

要があります。NonStop SQL/MP の D43 以降のバージョンを使用してください。

この章では、次のコンテンツについて説明します。

□ RLS (リソース・ロケータ・サービス) アーキテクチャ (10-1 ページ)

□ RLS (リソース・ロケータ・サービス) の設定 (10-2 ページ)

□ RLS (リソース・ロケータ・サービス) のビルドとインストール (10-5 ページ)

RLS (リソース・ロケータ・サービス) アーキテクチャ

RLS は、Pathway CGI サーバ・クラスとして実装されます。RLS とほかの iTP Secure WebServer コン

ポーネントとの交信手順は、次のとおりです。

1. ディストリビュータ・プロセスが、ネットワークから要求を受信します。

2. ディストリビュータ・プロセスは、この要求を httpd プロセスに送信します。

3. httpd プロセスは、この要求に応じられるか判断します。

4. httpd プロセスが要求に応じられる場合は、RLS を呼び出さずにこの要求を処理するので、これ以降の

ステップには進みません。httpd プロセスが要求に応じられない場合は、NonStop TS/MP Pathsend 機能

を使用して RLS を呼び出します。

5. RLS は、SQL データベースを使用して、この要求を処理できる Web サーバ群を確認します。

6. RLS は、サーバ群の中でパフォーマンスが高の Web サーバがリモート・システム上にある場合は、

TCP/IP でそのサーバに接続します。高のパフォーマンスのサーバが利用できない場合は、その次に

パフォーマンスの高いサーバに接続します。

7. RLS は、その後の意思決定に利用できるように、サーバからの応答時間情報を記録します。

23346-001J 10-1


10

RLS (リソース・ロケータ・サービス) の設定

ここでは、以下の作業をはじめとする、RLS の設定について説明します。

□ サーバ・クラスの定義 (10-2 ページ )

□ データベースの作成 (10-3 ページ )

□ データベースの変更 (10-5 ページ )

注意：RLS は、定義するサーバが同じコンテンツやサービスに実際にアクセスできるかを検証しません。Web サ

イトの管理者は、各複製サーバの機能と設定が同一または類似になるようにしてください。

サーバ・クラスの定義

RLS サーバ・クラスは、rmt.pwayと呼ばれます。例 10-1 に示すように、iTP Secure WebServer が提

供する httpd.config ファイルには、次のような RLS サーバ・クラスが定義されています。

例 10-1　RLS サーバ・クラスの定義

###############################################################

# Configure Resource Locator attributes

#

set rmt /bin/rmt/rmt.pway

if { [file exists $root$rmt]} {

Filemap $rmt $root$rmt

Server $root$rmt {

CWD $root/bin/rmt


Env PASSTHROUGH_CONTENT_LENGTH 50000

}

RmtServer $rmt

}

この設定において setで始まる初の行では、RLS オブジェクト・ファイルを示す Tcl 変数 rmtを定

義しています。これ以降、この変数を参照する場合は、変数にドル記号 ($) を付けます。

▲

-2 523346-001J


5

その次の if で始まる行では、このオブジェクト・ファイルが iTP Secure WebServer 環境のルート・

ディレクトリに存在しているか調べています。10-5 ページの「RLS (リソース・ロケータ・サービス) のビ

ルドとインストール」で説明しているように、このオブジェクト・ファイルをビルドしてインストールし

ている場合は、オブジェクト・ファイルはルート・ディレクトリに存在します。このオブジェクト・ファ

イルが存在しない場合は、RLS サーバ・クラスは作成されません。

Filemap 指示語は、オブジェクト・ファイルの URL を OSS ファイル・システムでの正しい場所に

マップします。

Server指示語は、サーバ・クラスとそのデフォルトのサーバ属性を定義します。任意のデフォルト属

性を上書きするには、サーバ・クラスを明示的に定義します。Maxservers は、httpd サーバ・クラス

のプロセス数以上である必要があります。Linkdepthと Maxlinksの値はそれぞれ 1 です。各 RLS

プロセスがシングル・スレッドで処理を行うためです。

PASSTHROUGH_CONTENT_LENGTH変数は、RLS がリモート・サーバから取り込んで Web クライ

アントに送信するコンテンツの大長を指定します。必要なコンテンツの長さがこの変数の値を超える場

合、RLS はこのコンテンツを取り込みませんが、Web クライアントが、リモート・サーバを識別するリダ

イレクト・パケットを送信します。この値は、0 から 2147483647 バイトまで設定できますが、デフォルト

値と推奨値は 32000 バイトです。ゼロ (0) 以下の値を指定すると、RLS は、値を 0 と見なして、すべての

場合にリダイレクト・パケットを送信します。2147483647 を超える値を指定すると、RLS は値 2147483647


備考：PASSTHROUGH_CONTENT_LENGTH の値を変更する場合は、10-5 ページの「データベースの変更」で

説明しているように、データベースを再作成して、rmt サーバ・クラスを再起動します。

RmtServer指示語は、iTP Secure WebServer のルート・ディレクトリからの相対的な RLS の URL パ

ス名を指定します。

AUTOMATIC_FORM_DECODINGは、設定ファイルで ON の値が指定されていても、サーバ・クラス

に対して常に無効です。

rmt.pway をユーザのアプリケーションで置き換えたり、rmt.pway を間違ってインストールする

と、Web クライアントがサーバ・エラーを表示します。

データベースの作成

RLS データベースをカスタマイズして、RLS が相互に使用する Web サーバを指定します。複製サーバ

は、データベースに反映させた共通のルート・ディレクトリを持ちます。

データベースをカスタマイズするには、/bin/rmtディレクトリのファイル dbload.sqlciを編

集します。make ユーティリティを実行して RLS をビルドすると、dbload内のデータが、DBACCESSというテーブルにロードされます。

このテーブルには、RLS が接続できる Web サーバごとに少なくとも 1 つのローが設定されています。各

ローには、以下のカラムが設定されています。

□ Filename

□ Ip_addr

□ Port

23346-001J 10-3


10

□ Tcpip

□ No_Servers

□ Relative_ID

ここで、各カラムについて説明します。

Filename

複製 Web サーバ群で共有されるプリフィックス (URL パス名の初の部分) です。Filenameの

値は、ルート・ディレクトリまたは Windows NT IIS Web サーバのルート・ディレクトリのエイリ

アス名を示します。このフィールドには、200 バイトを超える入力はできず、またワイルドカード

文字も付加できません。この値は、複製されていると見なされるすべての Web サーバで同じにしま

す。たとえば、3 つの複製サーバからなるサーバ群を定義するには、Filename の値がすべて同

じ 3 つのデータベース・レコードが必要です。複数のプリフィックスを同じ Web サーバにマップす

るには、そのサーバに対する複数のレコード中にそれぞれ異なる Filename値を入れます。

Ip_addr

リモート・サーバのアドレスを指定します。Ip_addr の値は、ドット付き 10 進数形式でのアド

レス (172.16.10.22) またはドメイン名 (net.myco.com) で、40 バイト以内です。

Port

リモート・サーバのポートを指定します。

Tcpip

RLS がリモート Web サーバへの接続時に使用する、ローカルの TCP/IP プロセスの名前です。シス

テム上のどの TCP/IP プロセスでも使用できます。このレコードで記述された Web サーバが RLS と

同じシステム上にある場合でも、TCP/IP プロセス名を指定する必要があります。ただし、RLS はそ

れを無視します。Guardian 形式、つまりドル記号 ($) を先頭にした 5 バイト以内の文字列 ($xxxxx)

でプロセス名を指定してください。

No_Servers

サーバ群における複製サーバの数です。各複製サーバは、独自のレコードで表されます。

No_Serversの値は各レコードで同じです。値は 50 以下です。

Relative_ID

レコード番号を設定します。このテーブル内の 2 つのレコードで、このフィールドを同じ値にはで

きません。初のレコードの値は 0 です。大レコード番号は 4294967295 です。dbload.sqlciの順にレコードを登録する必要はありませんが、レコード番号は間隔を空けない方が実用的です。た

とえば、5 つレコードを作成する場合は、0、1、2、3、4 という番号にしてください。

例：

次の例では、プリフィックス /WEB と /Images は、ドメイン名が net.myco.com である Web

サーバを呼び出します。同様に、プリフィックス /samples と /index.html は、IP アドレス

172.16.10.22 の Web サーバを呼び出します。RLS は、さまざまな TCP/IP プロセスを使用して、各サーバ

に接続します。プリフィックス /MlplSrvsは、2 つの Web サーバのうち、応答時間が短いと RLS が予

測するどちらのサーバでも呼び出せます。この場合、2 つの Web サーバは、共通の IP アドレスが示すよう

に、どちらも同じシステム上にあります。

-4 523346-001J


5

insert into =dbaccess values ("/WEB","net.myco.com",80,"$ztc2",1,2);insert into =dbaccess values ("/Images","net.myco.com",80,"$ztc2",1,1);insert into =dbaccess values ("/samples","172.16.10.22",3366,"$ztc0",1,0);insert into =dbaccess values ("/index.html","172.16.10.22",3366,"$ztc0",1,3);insert into =dbaccess values ("/MlplSrvs","172.16.10.22",3376,"$ztc0",2,4);insert into =dbaccess values ("/MlplSrvs","172.16.10.22",3366,"$ztc0",2,5);

データベースの変更

この後の「RLS (リソース・ロケータ・サービス) のビルドとインストール」で説明しているように、RLS

をビルドしてインストールする場合は、make ユーティリティで dbload.sqlci 内のデータをデータベースに

ロードしますが、その後で設定変更した場合の RLS の再インストールは必要ありません。ただし、管理者

は、定期的にデータベースの検査と更新を行い、Web サーバ設定の変更を確実に反映させてください。

データベース・ファイルの格納場所を変更せずにデータベースを更新するには、以下の手順に従ってく

ださい。

1. dbload.sqlci ファイルを更新します。

2. NonStop TS/MP PATHCOM ユーティリティを使用して、RLS サーバ・クラスを停止します。

3. OSS 環境に戻り、コマンド make dbloadを発行して、新しいデータを DBACCESS テーブルにロー

ドします。

4. PATHCOM ユーティリティを使用して、RLS サーバ・クラスを起動します。

データベースの格納場所を変更するには、以下の手順に従ってください。

1. iTP Secure WebServer 環境を停止します。

2. OSS の rmコマンドを発行して、ファイル rmt.pway を削除します。

3. コマンド make dbdeleteを発行して、既存のデータベースを削除します。

4. make ファイル内の DB_VOLUME と DB_SUBVOLUME の値を変更します。データベース・ファイル

は、指定した Guardian ボリュームとサブボリュームに作成されます。

5. コマンド makeを発行して、新しい rmt.pway と新しいデータベースを作成します。

6. iTP Secure WebServer 環境を再起動します。

RLS (リソース・ロケータ・サービス) のビルドとインストール

RLS をビルドしてインストールするには、OSS 環境で以下の手順に従ってください。

1. コマンド cd /bin/rmtを使用して、RLS ディレクトリに移動します。

2. $SYSTEM.ZWEB以外のディレクトリにデータベースを作成するには、makeファイル内のDB_VOLUME

と DB_SUBVOLUME の値を変更します。

データベースは、NonStop TM/MP によってオーディットされたボリュームに置く必要があります。

3. まだ Web サーバの情報が入力していない場合は、ファイル dbload.sqlci を編集して情報を入力します。

23346-001J 10-5


10

4. make ユーティリティを実行します。このステップでは、データベースをインストールして、コンパイ

ルとリンクを行ってオブジェクト・コードから実行可能ファイル rmt.pway を生成します。

5. RLS を別のディレクトリにインストールするには、次のコマンドで rmt.pway を移動します。

mv rmt.pway directory

このコマンドで、目的のディレクトリを指定します。rmt.pway はコピーしないでください。SQL クエ

リが含まれている実行可能プログラムは、コピーされると機能しなくなります。

6. コマンド cd /admin/confを使用して、設定ディレクトリに移動します。

7. iTP Secure WebServer 環境がまだインストールされていない場合は、./install.WS を使用して、インス

トール・スクリプトを実行します。

8. RLS 設定を変更する必要がある場合は、httpd.config ファイルを変更します。rmt.pway を移動した場

合は、httpd.config ファイルを変更します。

9. iTP Secure WebServer 環境を起動します。iTP Secure WebServer をインストールした直後は ./start を、

また iTP Secure WebServer 環境がすでに実行中の場合は ./restart を使用します。

-6 523346-001J

第 11 章　匿名セッションに対するセッション識別子の管理

5

第 11 章匿名セッションに対するセッション識別子の管理

この章では、iTP Secure WebServer をセットアップして、匿名チケット対応のセッション識別子を使用

する方法について説明します。


□ 匿名チケット (11-1 ページ)

□ 追跡 (11-2 ページ)

□ チケットと追跡の例 (11-2 ページ)

□ 匿名チケット対応の設定 (11-4 ページ)

□ セッション識別子を使用したレポート作成 (11-14 ページ)

□ 匿名セッション用の Tcl 変数の使用 (11-15 ページ)

匿名チケット

匿名チケットを使用すれば、Web サイトに対するアクセスを追跡できます。つまり、リソースへのアク

セス回数やアクセス元ユーザを特定できます。

チケットとは、ユーザを一意的に識別し、そのユーザがアクセスできるリソースを指定する文字列のこ

とです。チケットは、MAC (メッセージ認証コード) で保護されており、コピーや変更はほぼ不可能です。

チケットには、さまざまな形式がありますが、iTP Secure WebServer では、セッション識別子という種

類のチケットを使用します。

セッション識別子は、2 つのアットマーク (@@) に続く短い文字列です。たとえば、次のようになります。

@@Fz3H78Og56kCSf2s

この文字列内には、以下のような情報がエンコードされています。

□ MAC (メッセージ認証コード)

□ ユーザを一意に識別するユーザ ID

□ ユーザがアクセスを許可されている情報を示すグループ ID

□ チケットの有効期限

ユーザは、初にリソースを要求したときに、暗黙のうちにチケットを受信します。それ以降、Web ク

ライアントは後続の要求に対してこのチケットを自動的に送信します。このように、1 つのチケットを複

数の要求に使用できます。

23346-001J 11-1


11

追跡

従来のWeb技術では、Webサイトにおいて初から後まで1ユーザを追跡することは困難です。HTTP

プロトコルでは、Web リソースに対するあらゆる要求を個々の独立した接続として処理します。たとえば、

ユーザが 4 つのグラフィック・ファイルを含む Web ページを要求した場合、サーバは 5 つの独立した要求

として解釈します。つまり、HTML ファイルに 1 つの要求、4 つの画像ファイルに 1 つずつの要求です。

サーバは、5 つの要求がすべて同じユーザから発行されたことを示す情報を受信しません。サーバは、要

求元のブラウザの IP アドレスを受信しますが、これは当てになりません。プロキシ・サーバを使用してい

ると、多くのユーザが見かけ上同じ IP アドレスを持つためです。

コンテンツ・プロバイダの場合は、このために、自分のページへのユーザ・アクセス状況の分析が困難

になっています。各ファイルへのアクセス (ヒット) 回数をカウントすることはできますが、そのうちのど

れくらいが同一ユーザによって成されたのかを知ることは困難です。さらに、ある個人のアクセス傾向、

つまり、ユーザが要求した URL や、要求順序などを追跡する方法はありません。

チケットは、指定された期間ユーザを識別するので、1 つの Web セッション全体または複数の Web セッ

ションにわたってユーザの活動状況を追跡できます。

チケットと追跡の例

追跡のしくみを理解するために、次の例を考えます。

Universal Technology, Inc. という企業が、自社のマーケティングに関する資料をすべて Web 上に登録し

ているとします。Universal Technology 社は、このファイルへのアクセスを制限することなく、各ファイル

を参照するユーザ数や、も頻繁にアクセスされるリンクを知りたいと考えています。

Universal Technology 社は、このような情報を得るために、匿名チケット、つまり追跡情報は提供するけ

れども認証や権限は提供しないチケットをサポートするように、iTP Secure WebServer を設定します。

Universal Technology 社の iTP Secure WebServer は、リソースに対する要求を受信すると、ユーザ向け

のチケットを生成し、リソースの URL にチケットを追加して、ユーザのブラウザを同じコンテンツにリダ

イレクトします。Web クライアントは、今度はチケットが追加された要求を再送信します。

iTP Secure WebServer がチケットを検出すると、その妥当性を検査してチケットが改ざんされていない

ことや期限切れでないか確認してから、要求されたリソースを返します (図 11-1 を参照)。要求は、チケッ

トと共にサーバのログ・ファイルに記録されます。

-2 523346-001J


5

図 11-1　チケットの要求

これで、ユーザはリソースを 1 つ受信したので、別のリソースを要求します。このとき Web クライアン

トは、ユーザのチケットを保持しているので、図 11-2 に示すように、そのチケットを再利用できます。

図 11-2　チケットの使用方法

一方で、チケットはログに記録されます。このチケットには、ユーザを一意に識別するユーザ ID が含ま

れているので、この例の Universal Technology 社は、Web へのユーザのアクセス状況の追跡や分析を行う

ために、ログ・ファイルに基づいてレポートを生成します。

23346-001J 11-3


11

ログ・ファイルからのレポート生成の詳細については、『iTP Secure WebServer WebReporter User’s Guide』


この処理では、次の 2 つの点に注意してください。

□ チケットは、ほぼすべての Web クライアントで使用できますが、Web クライアント自体は、送信する

要求にチケットが含まれていることを認識しません。

□ この処理は、ユーザが意識する必要はありません。

匿名チケット対応の設定

ここでは、匿名チケットをサポートするように iTP Secure WebServer を設定する方法を説明します。コ

ンテンツの特定の領域に対してチケットをアクティブにすれば、一部のファイル・タイプの使用状況を追

跡して、その他のファイル・タイプを無視できます。たとえば、HTML ファイルへのアクセスは追跡して、

GIF ファイルは追跡しないようにすることができます。

コンテンツ・サーバを匿名チケットに対応させるには、サーバの設定ファイル (httpd.config) において設

定指示語と Region コマンドを使用してサーバを設定します。指示語とコマンドは、一部は必須でその

他はオプションです。ここでは、必須の設定について説明します。オプションの設定については、11-6 ペー

ジの「詳細設定オプション」で説明します。サーバ設定ファイル (httpd.config) に関する一般的な情報は、

付録 A「設定指示語」を参照してください。

匿名チケット対応に設定するには、次の手順に従ってください。

1. SI_Enable指示語でセッション識別子を有効にします。

2. SI_Default指示語で匿名チケットを有効にします。

3. SI_Department指示語で部門を初期化します。

4. Region 指示語で SI_RequestSI コマンドを使用して、1 つ以上の領域に対してチケットをアク

ティブにします。

セッション識別子の有効化

デフォルトでは、iTP Secure WebServer はセッション識別子を使用しません。次のように設定ファイル

内で SI_Enable指示語を使用して、明示的にセッション識別子を有効にします。

SI_Enable Yes

SI_Enable指示語が Noに設定されている場合は、URL 内のどのセッション識別子も URL の一部と

して処理されます。

SI_Enable指示語の詳細については、付録 A-82 ページの「SI_Enable」を参照してください。

匿名チケットの有効化

セッション識別子を有効にした後、匿名チケットも有効にするために、次のように SI_Default 指

示語と -EnableAnonymousTicketing属性を使用します。

-4 523346-001J


5

SI_Default -EnableAnonymousTicketing {0}

中カッコ内の数字 (この例では 0) はグループ ID です。グループ IDは、0 から 255 までの任意の整数です。

部門の初期化

追跡する領域は、部門の一部です。匿名チケットを使用する場合は、部門を初期化してから、設定指示

語で部門 ID を使用してください。

部門の初期化は、SI_Department指示語を使用して、次の形式で行います。

SI_Department DepartmentID

DepartmentIDには、どのような文字列も使用できますが、空白文字は使用できません。たとえば、


SI_Department Open_Department

領域に対するチケットのアクティブ化

匿名チケットをアクティブにする後の手順として、追跡する領域を指定するために、Region指示語

において SI_RequireSIコマンドを次の形式で使用します。

SI_RequireSI DepartmentID GroupID


DepartmentID

SI_Department指示語を使用して初期化した部門名です。

GroupID

-EnableAnonymousTicketing属性を使用して匿名チケットを有効にした際に指定したグ

ループ ID と同じです。

たとえば、次のように指定します。

Region /Open_Stuff/*.html {SI_RequireSI Open_Department 5

}

この例では、Regionコマンドにより、サーバは、ディレクトリ /Open_Stuff内の末尾が .htmlであるファイルのアクセスを追跡します。追跡する領域すべてに対して、同様に Region 指示語を指定


次の例には、追跡をアクティブにするために必要な指示語がすべて含まれています。

## Turn on Session Identifiers#SI_Enable YES

## Declare a department as allowing anonymous ticketing# to group 0. Because it is anonymous, we can pick any

23346-001J 11-5


11

# legal name we wish (that is, anything that does not# have a space in it).SI_Department Engineering -EnableAnonymousTicketing {0}#

# protect all *.htm* and *.cgi* files with anonymous##Region {*.htm*} {

SI_RequireSI Engineering 0}Region {*.cgi*} {

SI_RequireSI Engineering 0}

詳細設定オプション

ここでは、必要に応じてチケットの使用をカスタマイズする方法を説明します。以下の項目があります。

□ 匿名チケットの属性 (11-6 ページ)

□ 匿名チケットの有効期限の設定 (11-8 ページ)

□ ブラウザ・キャッシング (11-8 ページ)

□ プロキシ・サーバのチケットへの影響 (11-9 ページ)

匿名チケットの属性

各種チケット属性を使用すれば、表 11-1 に概説するようにチケットの動作を制御できます。

表 11-1　匿名チケット属性 (1/2 ページ)

属性説明デフォルト値

AnonymousTicketExpiration

匿名チケットの有効期限を指定する。 6 時間

CookiePersistence クッキーが発行されてからの有効期

限を秒数で指定する。

0 秒

EnableAnonymousTicketing

指定グループ ID で保護されたリソー

スに対して匿名チケットを利用可能

にする。

匿名チケットはすべて

のグループに対して無

効

PostExpirationExtension セッション識別子の有効期限の延長

時間 (秒)。クライアントがフォームを

GET して入力し、サーバに POST す

る時間を考慮する。

3 時間 (10,800秒)

RequireIP コンテンツ・サーバを参照するエイリ

アス一覧。

なし

-6 523346-001J


5

表 11-1　匿名チケット属性 (2/2 ページ)

表 11-1 に示した属性の指定には、次の 3 つの方法があります。

□ デフォルト属性

11-6 ページの表 11-1 に示したチケット属性のデフォルト値を変更するには、次のような形式で

SI_Default指示語を使用します。

SI_Default -attribute value [-attribute value]...


SI_Default -AnonymousTicketExpiration 7200

この指定では、有効期限を 2 時間 (7200秒) に変更します。SI_Default指示語を使用して設定した

属性は、指示語の後の領域すべてに適用されます。ただし、その後に部門別指示語または領域別指示語

で別の指定が行われた場合や、別の SI_Default指示語で再設定された場合は除きます。

□ 部門別属性

部門別属性を使用してデフォルト属性値を上書きするには、次のような形式で SI_Department指

示語を使用します。

SI_Department departmentID -attribute value [-attributevalue]...

たとえば、次の指示語は、部門 1 に対してのみクッキーの有効期限を 1000 秒に設定します。

CookiePersistence属性のデフォルト値は、ほかの部門にはそのまま有効です。

SI_Department 1 -CookiePersistence 1000

SI_Department 指示語を使用して設定した属性は、指定した部門内のすべての領域に適用されま

す。ただし、その後に領域別指示語で別の指定が行われた場合や、別の SI_Department指示語で

再設定された場合は除きます。

□ 領域別属性

デフォルト属性値と部門別属性値を上書きするには、Region指示語において次のような形式で

SI_Departmentコマンドを指定します。

属性説明デフォルト値

RewriteHtmlLinks サーバでの HTML 参照の相対参照へ

の変換を有効または無効にする。

6 時間

RewriteImageLinks サーバが、HTML 以外の参照を相対

参照または絶対参照に変換する。

0 秒

SignatureLength チケットに対する MAC (メッセージ

認証コード ) のビット長。この MAC

が長いほどチケットが改ざんされに

くくなります。

匿名チケットはすべて

のグループに対して無

効

23346-001J 11-7


11

SI_Department departmentID　-attribute value \[-attribute value]...

たとえば、次の Region指示語は、セッション識別子の有効期限を 1800 秒に指定します。

Region /info/* {SI_Department 1 -AnonymousTicketExpiration 1800

}

領域内のどの SI_Departmentコマンドも、同じ領域内の Region指示語のあらゆる

SI_RequireSI コマンドより先に指定します。SI_Departmentコマンドを使用して設定した

属性は、その属性が指定された領域内のコンテンツに対する要求にのみ適用されます。その他の要求に

ついては、デフォルトまたは部門別の属性が適用されます。

匿名チケットの有効期限の設定

デフォルトでは、匿名チケットの有効期限の値は 6 時間です。ユーザが期限切れのチケットを提示する

と、長時間アクセスしているユーザを追跡できるようにコンテンツ・サーバは同じユーザ ID で新しいチ

ケットを生成します。11-8 ページの「ブラウザ・キャッシング」で説明しているように、ブラウザ・キャッ

シングが有効な場合は、複数セッションにわたってユーザを追跡できます。

匿名チケットに対して別の有効期限を指定するには、次の形式で -AnonymousTicketExpiration属性を使用します。

-AnonymousTicketExpiration seconds

たとえば、次の指示語は、匿名チケットの有効期限を 1800 秒 (30 分) に設定します。


この属性は、SI_Default指示語または SI_Department指示語で、あるいは Region指示語

における SI_Department コマンドで使用できます。

セッション識別子仕様 1.0 では、有効期限を約 8.5 分間にしています。有効期限の範囲は、約 8.5 分 (510

秒) から 1 年 (約 3000 万秒) です。

ブラウザ・キャッシング

ブラウザの中にはキャッシング・メカニズムを持つものもあり、コンテンツ・サーバがチケットをなく

さないようにできます。キャッシュされた情報をクッキーといいます。キャッシングが有効なときは、サー

バでこのメカニズムを利用するかどうか指定できます。

Web クライアントがキャッシング・メカニズムを持つ場合、Web サーバは、任意の情報を保存するよう

に Web クライアントに指示できます。これをチケットに当てはめた場合、コンテンツ・サーバは、チケッ

トを Web クライアントのキャッシュに保存するように Web クライアントに指示できます。これにより、

Web クライアントは、サーバに要求を送信するときにキャッシュされた情報 (チケット) を自動的に送信し

ます。

キャッシングが特に役に立つのは、複数のセッションにわたってユーザを追跡したい場合です。キャッ

シングにより、ユーザはチケットをなくすことなく Web クライアントを終了したり、チケットを生成しな

いサーバ上のリソースを要求できます。

-8 523346-001J


5

プロキシ・サーバのチケットへの影響

多くの Web サーバやオンライン・サービスは、複数の Web ユーザに対する要求や応答をキャッシュす

る、プロキシ・サーバを利用しています。キャッシングにより、Web ユーザに対するパフォーマンスを飛

躍的に向上できますが、追跡や認証に対しては悪影響を及ぼす場合があります。

図 11-3 に示すように、プロキシはクライアントや Web サーバのグループの仲介役として機能します。

図 11-3　プロキシ

Web クライアントが URL の形式で要求を発行すると、プロキシはまずキャッシュをチェックして、該

当リソースが既にあるかを調べます。リソースがあれば、プロキシはそのリソースを Web クライアントに

返しますが、これは、Web サーバに接続せずに行われる場合もあります。要求されたリソースがキャッシュ

にない場合は、プロキシは、指定された Web サーバにこの要求を転送します。

プロキシを使用すると、Web ページへのアクセス回数を正確にカウントできなくなるのは、プロキシは

キャッシュからページを返して要求処理を高速化しますが、その頻度を知る方法がないためです。チケッ

トを使用すれば、この問題を大幅に削減できます。その理由は、各要求に固有のチケットを埋め込むこと

ができるためです。したがって、多くのユーザが同じ Web ページを要求した場合でも、プロキシに対して

は各要求が固有であるかのように表されます。たとえば、ユーザ X の要求は次のようになります。

http://www.acme.com/@@4RTgh67j8S23c5d3/info.html

また、ユーザ Y の要求は次のようになります。

http://www.acme.com/@@H9bF3f0Df36Gpp3Cd/info.html

23346-001J 11-9


11

したがって、プロキシは、同一ユーザが同一ページを 2 度目に要求した場合にのみ、キャッシュ内でペー

ジを見つけられます。ただし、この方法を利用できるのは、チケットが URL に組み込まれている場合に限

られます。デフォルトでは、クッキーが有効で Web クライアントがクッキーに対応している場合は、コン

テンツ・サーバは URL にチケットを挿入しません。

正確なアクセス回数が必要な場合は、アクセス回数を正確に追跡したい HTML ページに 1 つのポリシー

を指定し、追跡の不要なほかのタイプの参照に別のポリシーを指定できます。詳細については、11-12 ペー

ジの「HTML とイメージの参照」で説明します。

チケットの利用方法

チケットは、URL の一部としてまたはクッキー内でリソース要求に添付されます。たとえば、次の URL

にはチケットが含まれています。

http://www.acme.com/@@3jr7D&&j89WerfB6/index.htm

コンテンツ・サーバが、保護されたリソースに対する要求を受信すると、初に要求の URL 内を調べて

チケットを探します。チケットがない場合や、存在するチケットが無効な場合は、クッキーが有効であれ

ば、コンテンツ・サーバはクッキーをチェックします。クッキーを常に利用できるとは限りません。理由

としては、Web クライアントがクッキーに対応していない場合や、ユーザがまだチケットを受信していな

い場合があります。

コンテンツ・サーバは、有効なチケットを得られなかった場合にのみ、新しい匿名チケットを作成して

要求の URL に挿入します。

コンテンツ・サーバが URL またはクッキーから有効なチケットを検出すると、サーバは、期限切れにな

るまでチケットを保持します。そのため、ユーザがそれ以降要求を発行したときに、コンテンツ・サーバ

は同じチケットを使用して要求を有効にすることができます。コンテンツ・サーバは、次の 3 つの方法で

チケットを保持します。

□ URL 内にチケットを直接挿入する

□ Web クライアントに URL 内にチケットを挿入させる

□ クッキー内にチケットを格納する

サーバでのチケットの格納方法は指定できます。

チケットを URL に挿入できるのは、この後の「参照方法の動的な変換」で説明しているように、相対

URL の場合に限ることに注意してください。

iTP Secure WebServer のデフォルトのチケット利用方法

デフォルトでは、クッキーがサポートされているときは必ず iTP Secure WebServer はクッキーにチケッ

トを挿入します。Web クライアントがクッキーをサポートしていない場合は、サーバは、URL 内のチケッ

トを探します。初の文書がチケット付きの URL で参照された場合は、iTP Secure WebServer の指示によ

り、Web クライアントがチケットを後続の相対 URL すべてに自動的に挿入します。

HTML の参照すべてにチケットが挿入されるようにするため、コンテンツ・サーバは HTML の絶対参

照を相対参照に変換します。絶対参照と相対参照については、この後の「参照方法の動的な変換」で説明

します。この方法によって、チケットの有効期間を大にすることができます。

-10 523346-001J


5

この方法の弱点は、チケットを利用してアクセスしたリソースに対する正確なアクセス回数がログ・ファ

イル上に表示されない場合があることです。これは、11-9 ページの「プロキシ・サーバのチケットへの影

響」で説明したように、プロキシが原因です。

参照方法の動的な変換

URL は、相対パスまたは絶対パスで参照されます。相対参照は、基本となる文書を基準にしたリソース

の位置を表します。たとえば、図 11-4 に示すディレクトリ構造を考えます。

図 11-4　相対参照と絶対参照

コンテンツ・サーバの設定方法によっては、コンテンツ・サーバは、すべての参照をそのまま維持する

か、次のいずれかの方法で参照を変換します。

□ すべての絶対参照を相対参照に変換

□ 一部の絶対参照を相対参照に変換

□ 一部の相対参照を絶対参照に変換

参照方法が絶対パスか相対パスかで、チケットの有効期間に影響する場合があります。

23346-001J 11-11


11

HTML とイメージの参照

参照は、HTML の参照とイメージの参照の 2 つに分類されます。

HTML の参照には、以下のようなタグが含まれます。

□ <a href ="xxxx">

□ <form action ="xxxx">

□ <area href="xxxx">

□ <isindex action ="xxxx">

□ <img usemaps ="xxxx">

イメージの参照には、以下のようなタグが含まれます。

□ <img src="xxxx">

□ <body background ="xxxx">

□ <bgsound src="xxxx">

□ <img dynsrc="xxxx">

□ <input src="xxxx">

□ <meta url="xxxx">

□ <embed src="xxxx">

□ <applet codebase ="xxxx">

□ <script src="xxxx">

この 2 種類の違いが重要になるのは、HTML ファイルへのアクセスの追跡が必要で、かつイメージ・ファ

イルへのアクセスの追跡は不要な場合です。その場合、チケット属性を使用すれば、2 種類の参照を別々

に処理できます。

HTML の参照の変換

デフォルトでは、サーバは必要に応じて HTML の絶対参照を相対参照に変換します。特に次の場合です。

□ クッキーが利用できない場合や ForceTicketInUrl属性が有効になっている場合は、サーバはで

きるだけ絶対参照を相対参照に変換します。つまり、絶対参照が同じサーバ上のファイルを示している

場合は、サーバはこの絶対参照を相対参照に変換します。このようにすれば、Web クライアントがチ

ケットを URL に添付できます。

□ クッキーが有効になっており、かつ Web クライアントがクッキーをサポートしている場合で、さらに

ForceTicketInUrl属性が無効になっている場合は、サーバは HTML の参照を変換しません。

サーバは、ディスクに格納されているファイルは変更しません。その代わり、ファイルを Web クライア

ントに送信する際に、見つけた絶対参照をすべて変換します。

-12 523346-001J


5

この動作を変更するには、次の形式で -RewriteHtmlLinks属性を使用します。

-RewriteHtmlLinks {Relative | Off｝


Relative

デフォルトの動作を指定します。

Off

サーバが HTML の参照を変換しなくなります。

イメージの参照の変換

デフォルトでは、サーバはイメージの参照を変換しません。クッキーが使用できない場合やチケットを

強制的に URL に挿入している場合には、サーバがすべてのイメージの参照を絶対参照にするようにして、

チケットをイメージ・ファイルの URL に挿入しないことをお勧めします。このようにすれば、そのイメー

ジ・ファイルをプロキシ・サーバで確実にキャッシュできます。ただし、イメージの参照が行われた回数

を追跡したい場合には、すべてのイメージの参照を相対参照にします。

イメージの参照に対するコンテンツ・サーバの処置を指定するには、次の形式で

RewriteImageLinks属性を使用します。

-RewriteImageLinks {Absolute | Relative | Off}

たとえば、部門 5 でのイメージの参照をすべて絶対参照に変換するには、次のように入力します。

SI_Department 5 -RewriteImageLinks Absolute

23346-001J 11-13


11

セッション識別子を使用したレポート作成

セッション識別子の用途の 1 つは、特定のユーザによるコンテンツ・サーバのリソースへのアクセス状

況を追跡することです。サーバは、チケットを受信すると、そのチケットのユーザ ID とグループ ID をロ

グ・ファイルに記録するので、アクセス別のレポートを整理できます。

例 11-1 に示すように、Visit フィールドには、ユーザ ID、グループ ID、およびアクセスの開始時間

が記録されます。セッション識別子を利用したレポート作成の詳細については、『iTP Secure WebServer

WebReporter User’s Guide』を参照してください。

例 11-1　アクセス状況レポートのサンプル

Visit Duration Requests %Reqs Bytes Sent %Bytes

(all) (all)

-1001700702:03/04/96-13:44:33 Less than 1 min. 2 0.04 1032 0.00

-1006614320:03/04/96-10:11:27 1 - 3 min. 8 0.16 28167 0.11

-1008039334:03/04/96-13:29:22 Less than 1 min. 1 0.02 1006 0.00

-1009491827:03/04/96-13:02:54 Less than 1 min. 1 0.02 9564 0.04

-1016206840:03/04/96-03:12:41 Less than 1 min. 6 0.12 18178 0.07

-1016590095:03/04/96-09:58:24 1 - 3 min. 10 0.20 45376 0.18

-10203757:03/04/96-10:31:22 Less than 1 min. 1 0.02 693 0.00

-1027374366:03/04/96-13:51:11 3 - 5 min. 9 0.18 11722 0.05

-1027374366:03/04/96-14:24:47 5 - 10 min. 6 0.12 7464 0.03

-1037448415:03/04/96-12:17:34 20 - 30 min. 2 0.04 1006 0.00

-1038092476:03/04/96-06:52:26 50 - 60 min. 19 0.38 61571 0.24

-1040110926:03/04/96-10:11:18 Less than 1 min. 1 0.02 9509 0.04

-1041021790:03/04/96-08:19:28 Less than 1 min. 1 0.02 6919 0.03

-1041021790:03/04/96-12:12:27 1 - 3 min. 13 0.26 55171 0.22

-1049253885:03/04/96-09:09:12 Less than 1 min. 1 0.02 1006 0.00

-1051850526:03/04/96-14:20:02 10 - 20 min. 4 0.08 15110 0.06

-1057485701:03/04/96-10:31:44 Less than 1 min. 1 0.02 9509 0.04

-1061358985:03/04/96-14:05:46 1 - 3 min. 4 0.08 27028 0.11

-1062080264:03/04/96-13:48:12 Less than 1 min. 1 0.02 0 0.00

-1068541615:03/04/96-13:16:27 Less than 1 min. 1 0.02 4156 0.02

-1069859513:03/04/96-10:40:28 Less than 1 min. 3 0.06 3048 0.01

-1071206021:03/04/96-08:29:42 20 - 30 min. 17 0.34 79054 0.31

-14 523346-001J


5

匿名セッション用の Tcl 変数の使用

Region指示語の中で Tcl変数を使用すれば、匿名セッションの要求に関してコマンドに対する特定

の情報を指定できます。コマンドでは、この情報を基に要求する動作を変更できます。

表 11-2 は、Region指示語内で匿名セッションに使用できる変数の一覧を示しています。

表 11-2　匿名セッションのための Region 指示語変数

変数説明

SI_UID コンテンツにアクセスしているユーザのユーザ ID。この値は、チケットか

ら取り出されます (11-1 ページの「匿名チケット」を参照)。

この変数を使用すれば、カスタマイズした Web ページを特定のユーザに

公開できます。有効なチケットが提示されない場合は、SI_UID 変数に

は二重引用符 ("") が設定されます。

SI_Department ASCII 形式の部門 ID。

SI_SI セッション識別子全体。

SI_GROUP チケットに埋め込まれているグループ番号 (11-1 ページの「匿名チケット」

を参照)。

この変数を使用すれば、カスタマイズした Web ページを特定のユーザ・グ

ループに公開できます。有効なチケットが提示されない場合は、

SI_GROUP変数には -1が設定されます。

SI_UCTX チケットに埋め込まれているユーザ・コンテキスト (11-1 ページの「匿名

チケット」を参照 )。これはチケット・エージェントが設定した 2 ビット

の値で、これを使用すれば、コンテンツ・サーバに情報を伝達できます。

23346-001J 11-15


11
-16 523346-001J

第 12 章　ブラウザからの iTP Secure WebServer の管理

5

第 12 章ブラウザからの iTP Secure WebServer の管理

iTP Secure WebServer の Administration Server を使用すれば、ブラウザから複数の iTP Secure WebServer

環境の設定や動作を管理できます。この章では、次の内容について説明します。

□ Administration Server アーキテクチャ (12-2 ページ)

□ Administration Server のインストール (12-2 ページ)

□ Administration Server の呼び出し (12-2 ページ)

□ Administration Server の設定 (12-3 ページ)

□ Administration Server 画面 (12-4 ページ)

Administration Server 画面は、次の機能に対応しています。

□ iTP Secure WebServer 環境の起動

12-6 ページの「Server Control ( サーバ制御 ) : Start ( 起動 )」を参照してください。

□ iTP Secure WebServer 環境の再起動 (および新しいログ・ファイルへの切り替え)

12-7 ページの「Server Control ( サーバ制御 ) : Restart ( 再起動 )」を参照してください。

□ iTP Secure WebServer 環境の停止

12-8 ページの「Server Control (サーバ制御) : Stop (停止)」を参照してください。

□ 設定ファイルの表示

12-8 ページの「View Configuration Files (設定ファイルの表示)」を参照してください。

□ 設定ファイルの編集

12-9 ページの「Edit Configuration File (設定ファイルの編集)」を参照してください。

□ EMS イベントのモニタ

12-10 ページの「View EMS Logs (EMS ログの表示)」を参照してください。

□ ログ・メッセージのモニタ

12-12 ページの「View Server Logs (サーバ・ログの表示)」を参照してください。

□ 設定ファイルの検索

12-13 ページの「Search Configuration Files (設定ファイルの検索)」を参照してください。

□ OSS (POSIX 準拠) コマンドの発行

12-14 ページの「OSS Command (OSS コマンド)」を参照してください。

Administration Server の画面を使用するには、Web クライアントが Javascript に対応し、Javascript が有

効になっている必要があります。

23346-001J 12-1


12

Administration Server アーキテクチャ

Administration Server は、iTP Secure WebServer から独立した PATHMON 環境に定義します。

Administration Server 対応の PATHMON 環境は、以下の 3 つのサーバ・クラスから成ります。

□ ディストリビュータ・サーバ・クラス

ディストリビュータ・サーバ・クラスは、TCP/IP プロセスからの要求を受け入れて、それを admin httpd

サーバ・クラスのメンバに送信します。設定ファイルでは明示的にこのサーバ・クラスを定義しません。

□ admin httpd サーバ・クラス

Administration Server の PATHMON 環境での httpd サーバ・クラスは、iTP Secure WebServer の

PATHMON 環境でサポートするサーバ・クラスと同様です。ただし、admin httpd サーバ・クラスは、

Web クライアントと admin サーバ・クラスとの交信専用である点が異なります。

□ admin サーバ・クラス

admin サーバ・クラスとは、管理上の機能の実行または起動を行う Pathway CGI サーバ・クラスです。

admin サーバ・クラスは、要求を処理するために OSS スクリプトを実行することもあります。たとえ

ば、サーバの起動、再起動、または停止を行うために、admin サーバ・クラスは、第 6 章「スクリプト

を使用した iTP Secure WebServer の管理」で説明したスクリプトを使用します。

各システム上の単一の PATHMON 環境でこれらのサーバ・クラスを定義する必要がありますが、この

サーバ・クラスを使用すれば、システム上の任意の iTP Secure WebServer 環境を制御できます。

備考：インストレーション・プロシージャでは、同じシステム上に複数の Administration Server PATHMON 環境

がインストールされていることを検出できません。しかし、同じ Administration Server からローカルの

WebServer をすべて容易に管理できます。

Administration Server のインストール

第 2 章「iTP Secure WebServer のインストール」で説明したように、Administration Server サーバ・クラ

スをインストールするには、install.WS スクリプトを使用します。

Administration Server の呼び出し

Web クライアントから Administration Server を呼び出すには、インストレーション・プロシージャで指

定したホスト名とポート番号で構成される URL を指定します。

-2 523346-001J


5

Administration Server の設定

admin サーバ・クラスと admin httpd サーバ・クラスをファイル httpd.adm.config に定義し、管理用の安

全なトランスポートをファイル httpd.adm_stl.config に定義します。サンプルの設定ファイルは、iTP Secure

WebServer で提供されており、install.WS スクリプトで編集できます。

httpd.adm.config ファイルがシステム上に既に存在するときに install.WS スクリプトを実行すると、スク

リプトは、既存のスクリプトを置き換えるかを尋ねてきます。

admin サーバ・クラスの定義

admin サーバ・クラスは、admin.pway という名前のオブジェクト・コード・ファイルで、1 つのスタ

ティック・サーバ・プロセスだけで構成されている必要があります。この制約により、一度に 1 ユーザし

か設定ファイルを変更できません。サンプル設定を変更する場合は、次の指針に従ってください。

設定指示語の構文と意味については、付録 A「設定指示語」を参照してください。

admin httpd サーバ・クラスの定義

admin httpd サーバ・クラスには、$root/bin/httpd という名前のオブジェクト・コード・ファイルです。予

想される負荷をサポートする複数のスタティック・プロセスや、その他にピーク負荷を処理するダイナミッ

ク・プロセスを定義できます。サンプル設定を変更する場合は、次の指針に従ってください。

設定指示語パラメータまたはコマンド値

Server Numstatic 値を 1 に設定する

Maxservers 値を 1 に設定する

Linkdepth 2 より大きい値を設定する

Maxlinks 2 より大きい値を設定する


Server Numstatic 5 以上の値を設定する

Maxservers 50 以上の値を設定する

Linkdepth 2 以上の値を設定する

Maxlinks 2 以上の値を設定する

EnvTANDEM_RECEIVE_DEPTH

2 以上の値を設定する

23346-001J 12-3


12

設定指示語の構文と意味については、付録 A「設定指示語」を参照してください。

Administration Server 画面

これ以降では、Administration Server 画面とその使用方法を説明します。

□ Welcome (ようこそ) (12-4 ページ)

□ Current Server Information (現在のサーバ情報) (12-5 ページ)

□ Server Control (サーバ制御) : Start (起動) (12-6 ページ)

□ Server Control (サーバ制御) : Restart (再起動) (12-7 ページ)

□ Server Control (サーバ制御) : Stop (停止) (12-8 ページ)

□ View Configuration Files (設定ファイルの表示) (12-8 ページ)

□ Edit Configuration File (設定ファイルの編集) (12-9 ページ)

□ View EMS Logs (EMS ログの表示) (12-10 ページ)

□ View Server Logs (サーバ・ログの表示) (12-12 ページ)

□ Search Configuration Files (設定ファイルの検索) (12-13 ページ)

□ OSS Command (OSS コマンド) (12-14 ページ)

Welcome (ようこそ)

Administration Server を起動すると、［Welcome (ようこそ)］画面が表示されます。この画面では、設定

ファイルへのパス、つまり管理したい iTP Secure WebServer 環境を指定できます。

Region AddCGI AUTOMATIC_FORM_DECODING を有効

にする (必須)

AllowHost クライアントの DNS 名を指定する (推奨)

RequireSecureTransport 安全なバージョンのサーバでは必須

RequirePassword 推奨

Indexfile index.html と admin.pway を指定する


-4 523346-001J


5

表示項目

画面の左側には、Administration Server 機能のメニューが表示されます。

Server Control (サーバ制御)

Start (起動)

Restart (再起動)

Stop (停止)

Configuration (設定)

View Files (ファイルの表示)

Edit Files (ファイルの編集)

Event Logs (イベント・ログ)

EMS Logs (EMS ログ)

Server Logs (サーバ・ログ)

Tools and Utilities (ツールとユーティリティ)

Search (検索)

OSS Commands (OSS コマンド)

このメニューは、すべての画面で同じ位置に表示されます。

画面の右側には、Administration Server に関する一般的な情報が表示され、設定ファイルへのデフォル

ト・パスが示されます。

操作

設定ファイルの別セットを使用できるようにパスを変更するには、［Path (パス)］ボックスにパス名を上

書きしてください。パス名の長さは、ブラウザ側で定められている制約の範囲内で自由です。パスを指定

した後、［Change (変更)］ボタンをクリックしてください。

現在のサーバ環境に関する情報を取得するには、［Info (情報)］ボタンをクリックしてください。現在の

サーバ情報の画面が表示されます。

管理機能を要求するには、画面の左側のメニューから必要な機能をクリックして選択してください。こ

の要求は、選択したパスをサポートする設定に適用されます。

Current Server Information (現在のサーバ情報)

この画面は、現在のサーバ環境に関する情報を表示します。［Welcome (ようこそ)］画面からこの画面を

表示できます。

23346-001J 12-5


12

表示項目

この画面では、以下の見出しの下に情報が表示されます。

□ Server Path (サーバ・パス) :

この行には、［Welcome (ようこそ)］画面で指定したパスの bin ディレクトリのパス名が示されます。こ

の bin ディレクトリには、実行可能プログラムが格納されています。

ファイル httpd がこのパス上にあれば、バインダ・タイムスタンプ、バージョン・プロシージャ(VPROC)、

および iTP Secure WebServer のネイティブ・モードが表示されます。

ファイル httpd がこのパス上になければ、この見出しの下にエラー・メッセージが表示されます。

□ Configuration Files (設定ファイル) :

この行には、［Welcome (ようこそ)］画面で指定したパスの conf ディレクトリのパス名が示されます。

この conf ディレクトリには、iTP Secure WebServer 設定ファイルが格納されています。

設定ファイルごとのファイル名、サイズ、終変更日付が表示されます。

□ Server Log Files (サーバ・ログ・ファイル) :

この行には、［Welcome (ようこそ)］画面で指定したパスのログ・ディレクトリのパス名が示されます。

このログ・ディレクトリには、iTP Secure WebServer エラー・ログ・ファイルが格納されています。

エラー・ファイルごとのファイル名、サイズ、終変更日付が表示されます。

操作

この画面の内容は参考情報です。画面の左側のメニューから次に必要な機能を選択してください。

Server Control (サーバ制御 ) : Start (起動)

この画面から iTP Secure WebServer 環境を起動できます。この画面を表示するには、画面の左側のメ

ニューから［Start (起動)］を選択します。

表示項目

［Server Control (サーバ制御) : Start (起動)］というタイトル行が表示され、［Start Server (サーバの起動)］

ボタンをクリックすれば、サーバを起動できます。

Administration Server を使用して設定ファイルを編集してから初めてサーバを起動する場合は、画面に

は、「using edited configuration file (編集した設定ファイルを使用)」という行が表示されます。後にサー

バを起動してから設定ファイルを編集していない場合は、画面には、「using current configuration file (現在

の設定ファイルを使用)」という行が表示されます。

操作

表示された設定ファイルで iTP Secure WebServer 環境を起動するには、［Start Server (サーバの起動)］ボ

タンをクリックしてください。

-6 523346-001J


5

ほかの設定ファイル、たとえば、新しく編集したバージョンではなく以前のバージョンの設定ファイル

を使用するには、リストからファイルを選択してから、［Start Server (サーバの起動)］ボタンをクリックし

てください。

現時点ではサーバを起動しない場合は、メニューからほかの機能を選択してください。

操作の結果

iTP Secure WebServer 環境が問題なく起動すると、正常に起動したことを示すメッセージが画面に表示

されます。設定ファイルを編集した後でサーバを起動した場合は、以前のファイルが置き換えられたこと

も表示され、ファイルの以前のバージョンが格納されている場所が示されます。以前のバージョンのファ

イル名は、拡張子が .backup になります。

エラーのためにサーバが起動しない場合は、サーバが起動に失敗したことが画面に表示されます。画面

の下部には、起動中に iTP Secure WebServer がログに記録したメッセージが表示されます。設定ファイル

内のエラーを探して、それを修正してください。

備考：編集したファイルでサーバが正常に起動しなくても、Administration Server は、以前の設定を編集したファ

イルで置き換えます。サーバを正常動作に戻すには、新しい設定ファイルを削除し、拡張子が .backup の

ファイルの名前を変更して、再びサーバを起動してください。

Server Control (サーバ制御) : Restart (再起動)

この画面では、iTP Secure WebServer 環境の再起動や、iTP Secure WebServer のログ・ファイルの新しい

セットへの切り替えができます。この画面を表示するには、画面の左側のメニューから［Restart (再起動 )］

を選択します。

表示項目

利用できる再起動の機能とその動作が表示されます。次のような機能があります。

□ Restarth －サーバを停止せずに設定を変更する

□ Restart －サーバを停止してから起動する

□ Rollstarth －設定を変更し、サーバを停止せずに新しいログ・ファイルに切り替える

□ Rollover －設定の変更やサーバの停止を行わずに新しいログ・ファイルに切り替える

これらのオプションの詳細については、第 6 章「スクリプトを使用した iTP Secure WebServer の管理」

の対応するスクリプトの説明を参照してください。

Administration Server を使用して設定ファイルを編集してから初めてサーバを起動する場合は、画面に

は、「using edited configuration file (編集した設定ファイルを使用)」という行も表示されます。後にサー

バを起動してから設定ファイルを編集していない場合は、画面には、「using current configuration file (現在

の設定ファイルを使用)」という行が表示されます。

操作

新しく編集したバージョンではなく現在の設定ファイルを使用したい場合は、「using current configuration

file (現在の設定ファイルを使用)」を選択してください。

23346-001J 12-7


12

目的の設定ファイルが表示してから、必要な再起動機能のラジオ・ボタンをクリックしてください。次

に、［Submit (実行)］ボタンをクリックしてください。

操作の結果

iTP Secure WebServer 環境が問題なく再起動すると、正常に起動したことを示すメッセージが画面に表

示されます。設定ファイルを編集した後でサーバを再起動した場合は、以前のファイルが置き換えられた

ことも表示され、ファイルの以前のバージョンが格納されている場所が示されます。以前のバージョンの

ファイル名は、拡張子が .backup になります。

エラーのためにサーバを再起動できない場合は、サーバが再起動に失敗したことが画面に表示されます。

画面の下部には、起動中に iTP Secure WebServer がログに記録したメッセージが表示されます。設定ファ

イル内のエラーを探して、修正してください。

備考：編集したファイルでサーバが正常に再起動しなくても、Administration Server は、編集したファイルで以前

の設定を置き換えます。サーバを正常動作に戻すには、新しい設定ファイルを削除し、拡張子が .backup の

ファイルの名前を変更して、再びサーバを起動してください。

Server Control (サーバ制御) : Stop (停止)

この画面では、iTP Secure WebServer 環境を停止できます。この画面を表示するには、画面の左側のメ

ニューから［Stop (停止)］を選択します。

表示項目

［Server Control (サーバ制御) : Stop (停止)］というタイトル行が表示され、ボタンをクリックすればサー

バを停止できます。

操作

［Stop Server Now (サーバの停止)］ボタンをクリックして、サーバを停止してください。

操作の結果

iTP Secure WebServer 環境が問題なく停止すると、サーバが停止したことを示すメッセージが画面に表

示されます。エラーのためにサーバを停止できない場合は、画面には、サーバが停止に失敗したことが表

示されます。画面の下部には、この操作中に iTP Secure WebServer がログに記録したメッセージが表示さ

れます。問題を修正して、再試行してください。

現在の設定ファイルを変更したことで、サーバの停止エラーが発生することもあります。たとえば、設

定ファイルを編集して、実際に iTP Secure WebServer が使用しているポート番号以外の番号を指定した場

合、Administration Server は、停止する iTP Secure WebServer を決定できません。

View Configuration Files (設定ファイルの表示)

この画面では、設定ファイルを表示できます。この画面を表示するには、画面の左側のメニューから

［View Files (ファイルの表示)］を選択します。

-8 523346-001J


5

表示項目

この画面には、設定ファイルへのパスとパス上のすべての設定ファイルの一覧が表示されます。

操作

設定ファイルの別セットを使用するには、［Path (パス)］ウィンドウのパス名に目的のパス名を上書きし

てから、［Change (変更)］ボタンをクリックしてください。パス名の長さは、ブラウザ側で定められている

制約の範囲内で自由です。

表示する設定ファイルを選択するには、設定ファイルをファイル名の一覧から選択してから、［View (表

示)］ボタンをクリックしてください。

操作の結果

［View (表示 )］ボタンをクリックすると、画面には、選択したファイルのパス名、ファイル名、終変

更日付、および内容が表示されます。このファイルをスクロールして参照できます。次に、画面の左側の

メニューから別の機能を選択してください。

Edit Configuration File (設定ファイルの編集)

この画面では、設定ファイルを編集して、iTP Secure WebServer 環境の設定を変更できます。

表示項目

この画面には、設定ファイルへのパスとパス上のすべての設定ファイルの一覧が表示されます。

操作

設定ファイルの別セットを使用するには、［Path (パス)］ウィンドウのパス名に目的のパス名を上書きし

てから、［Change (変更)］ボタンをクリックしてください。［Change (変更)］ボタンをクリックしてくださ

い。パス名の長さは、ブラウザ側で定められている制約の範囲内で自由です。

編集する設定ファイルを選択するには、設定ファイルをファイル名の一覧から選択してから、［Edit (編

集)］ボタンをクリックしてください。

操作の結果

［Edit (編集)］ボタンをクリックすると、画面には、選択したファイルの内容が表示されます。このファ

イルをスクロールして参照し、ブラウザを使用して編集できます。編集を終了した場合は、［Save (保存)］

ボタンをクリックして編集したファイルを保存してください。編集済みのバージョンは、以前のバージョ

ンと同じ名前で拡張子が .editing のファイルに格納されます。

［Cancel (キャンセル)］ボタンをクリックすると、ファイルの新しいバージョンは保存されませんが、画

面には表示されたままです。

新しい設定を使用するには、画面の左側のメニューから［Restart (再起動)］を選択してください。再起

動すると、次の処理が行われます。

□ 以前の設定ファイルは、名前が変更され、拡張子 .backup が付けられます。

23346-001J 12-9


12

□ 新しい設定ファイルは、名前が変更され、拡張子 .editing が削除されます。

□ 新しい設定ファイルは、再起動操作を行う前に以前のファイルに付いていた名前と同じになります。

たとえば、ファイル httpd.config を編集すると、httpd.config.editing という名前のファイルが作成されま

す。サーバを再起動すると、次のようにファイル名が変わります。

□ 既存の httpd.config ファイルは、httpd.config.backup になります。

□ 編集したファイル httpd.config.editing は、httpd.config になります。

こうした名前の変更は、正常に再起動しなくても行われます。

View EMS Logs (EMS ログの表示)

この画面では、イベントにより生じたイベント・メッセージのモニタ、または以前にログに記録した

メッセージの再調査を行えます。この画面を表示するには、画面の左側のメニューから［EMS Logs (EMS

ログ)］を選択します。

表示項目

この画面には、表示するイベントを選択する際の基準が、リストで表示されます。

コンテンツは次のとおりです。

□ イベント・ソース (コレクタまたはログ・ファイル) の入力

イベントの発生時にイベントをモニタしたい場合は、イベント・ソースはコレクタです。格納済みのイ

ベント・メッセージのログを再調査する場合は、イベント・ソースはログ・ファイルです。このリスト

項目に、コレクタ・プロセスまたはログ・ファイルの名前を入力します。エントリは、有効なコンパッ

クのプロセス名またはファイル名で、ファイルの完全修飾名の長さは 35 バイトまでです。

□ ログの表示対象日時の入力

日付を入力しない場合は、現在の日付になります。時刻を入力しない場合は、現在の時刻になります。

新のイベント・メッセージを取得するには、日付と時刻に何も入力しないでください。エントリの

大長は 19 バイトです。

□ フィルタ・ファイル名の入力

フィルタ・ファイルは、EMS フィルタ言語を使用した、メッセージの選択基準を指定します。EMS フィ

ルタ言語については、『EMS Manual』を参照してください。

Guardian ファイル名形式でファイル名を指定してください。大長は 35 バイトです。

□ フィルタ条件の入力

この項目では、複数のサブシステム所有者、サブシステム ID、およびイベント番号を指定できます。

サブシステム所有者は、通常は会社名で、大文字と小文字が区別されます。たとえば、コンパック・サ

ブシステムからのイベントを加えるには、すべて大文字で TANDEM と指定します。サブシステム所有

者名は、8 バイト以下です。先頭文字は英字で、その他は英数字です。複数のサブシステム所有者を指

定するには、値をコンマ (,) で区切ります。

-10 523346-001J


5

サブシステム ID は、イベント・メッセージを画面に表示したい製品を指定します。たとえば、iTP Secure

WebServer の EMS サブシステム ID は WEBSERV です。各サブシステム ID の大長は 8 バイトです。

複数のサブシステム ID を指定するには、値をコンマ (,) で区切りますが、エントリ全体の長さは 24 バ

イトまでです。

イベント番号は、画面に表示したいイベントの種類を指定します。1 つの番号またはコンマ (,) で区切

られた一連の番号を指定できます。ただし、複数のサブシステム ID を指定する場合は、1 つのイベン

ト番号しか指定できません。イベント番号の範囲は、-32637 から 32638 までです。エントリの大長

は 36 バイトです。

Pass オプションを使用すると、エントリが条件を満たす場合にメッセージを表示します。Fail オプショ

ンを使用すると、エントリが基準を満たさない場合にメッセージを表示します。

フィルタ条件を省略すると、すべてのイベントがこのテストを通過します。

□ 検索文字列の入力

ボックスに、各イベント・メッセージのテキストを検索する文字列を入力します。テキストに検索文字

列が含まれているメッセージだけが表示されます。文字列は、メッセージ・テキスト内のどこにあって

も検索できます。検索文字列の大長は 64 文字バイトです。アスタリスク (*) と疑問符 (?) 以外は、任

意の英数字または特殊文字を使用できます。

検索は、［Case Sensitive (大文字と小文字を区別)］というラベルのチェック・ボックスをオンにしない

限り、大文字と小文字は区別されません。

検索文字列を省略すれば、すべてのイベントがこのテストを通過します。

□ 表示オプションの入力

表示するイベントの大数は 9999 です。デフォルトは 10 です。

time order (表示順 ) により、メッセージを新しい順に表示するか、古い順に表示するかを決定します。

デフォルトでは、メッセージはタイムスタンプによる降順 (新しい順) で表示されます。

timeout (タイムアウト) は、後にメッセージを受信してから要求を完了するまでに待つ時間を決定し

ます。範囲は 0 から 9999 までで、デフォルト値は 20 秒です。

stop at EOF (EOF での停止) オプションは、ログ・ファイルの終わりで要求を完了するかどうかを決定

します。このオプションがオフの場合は、プログラムは、タイムアウトになるまで別のメッセージを待

ちます。この設定は、time order (表示順) が昇順の場合だけに適用されます。

line-size (行サイズ) オプションは、Web クライアントに表示する各メッセージの文字数を指定します。

この文字数を超えると、メッセージは次の行に折り返されます。このオプションを使用して、横スク

ロールせずに参照できるメッセージ・テキストの表示幅を調整してください。

indentation (インデント) オプションは、各イベント・メッセージの 2 番以降の行が、初の行から字下

げする量を指定します。初の行は、常に先頭カラムから始まります。

操作

条件を入力して、次のいずれかのボタンをクリックしてください。

□ 操作を開始する［Submit (実行)］ボタン

23346-001J 12-11


12

□ この画面に初に表示されていた値に戻す［Reset (リセット)］ボタン

□ この画面上の項目を詳しく説明する［Help (ヘルプ)］ボタン

イベント発生時のイベントの監視に限定された特定の簡易オプションを利用する場合は、［Operational

View (処理ビュー)］を選択してください。

フィルタ・ファイル、フィルタ条件、および検索文字列の組み合わせは自由です。項目の優先順位は、

次のとおりです。

1. フィルタ・ファイル

2. フィルタ条件

3. 検索文字列

操作の結果

［Submit (実行)］ボタンをクリックすると、1 行ずつのメッセージの一覧が表示されます。各行には、イ

ベントがレポートされた時刻、イベントをレポートしたプロセスの名前、サブシステムの名前、イベント

番号、およびメッセージ・テキストが表示されます。カラー・モニタでは、重大イベントは赤で、重大で

ないイベントは緑で表示されます。重大イベントには、アスタリスク (*) も付けられます。横にスクロール

すれば、ほかのテキストを参照できます。

メッセージのシーケンス番号部分をクリックすれば、そのメッセージのすべてのトークンを表示できま

す。この一覧は、トラブルシューティング以外に、フィルタ仕様の策定にも役立ちます。

［Cancel (キャンセル)］ボタンをクリックすれば、メッセージの表示を停止できます。

View Server Logs (サーバ・ログの表示)

この画面には、iTP Secure WebServer のエラー・ログが表示されます。この画面を表示するには、画面

の左側のメニューから［Server Logs (サーバ・ログ)］を選択します。

表示項目

この画面には、現在のパス名とパス上のログ・ファイルの一覧が表示されます。画面の下部には、以下

の要素が表示されます。

□ 表示操作を開始する［View (表示)］ボタン。

□ 表示するログ・メッセージの数を入力できるボックス。この値に制限はありません。デフォルト値は 10

です。

□ 使用するログ・ファイルを選択するスクロール・リスト。

操作

パスを変更するには、［Path (パス)］ウィンドウに値を上書きしてから、［Change (変更)］ボタンをクリッ

クしてください。パス名の長さは、ブラウザ側で定められている制約の範囲内で自由です。ログ・ファイ

ルの一覧が切り替わって、新しいパスが反映されます。

-12 523346-001J


5

パスの入力または変更を行ってから、表示する行数を入力し、スクロール・リストからファイルを選択

して、［View (表示)］ボタンをクリックしてください。

操作の結果

［View (表示 )］ボタンをクリックすると、画面には、選択したファイルのファイル名、パス名、および

終変更日付が表示されます。次に、前の画面での要求に応じてメッセージが一覧表示されます。各行に

は、日付、メッセージをログに記録したプロセスの ID、メッセージ番号、およびメッセージ・テキストが

表示されます。横にスクロールするとほかのテキストを、また下にスクロールするとほかのメッセージを

参照できます。

Search Configuration Files (設定ファイルの検索)

この画面では、文字列で設定ファイルを検索できます。この画面で特定の指示語の値を探せますが、

［View Configuration Files (設定ファイルの表示)］でのようにファイルを後までスクロールする必要はあ

りません。

この画面を表示するには、画面の左側のメニューから［Search (検索)］を選択します。

表示項目

この画面には、検索する設定ファイルへのパスと検索文字列を入力するボックスが表示されます。

操作

パスを変更するには、表示されている値に新しい値を上書きして、［Change ( 変更 )］ボタンをクリック


その次のボックスに、検索文字列を入力してください。文字列の長さは、ブラウザ側で定められている

制約の範囲内で自由です。検索は、［Case Insensitive (大文字と小文字を区別しない)］というラベルのチェッ

ク・ボックスをオンにしない限り、大文字と小文字は区別されます。［Search (検索)］ボタンをクリックす

ると、検索が開始されます。

操作の結果

指定した文字列がパス上の設定ファイルのいずれかに見つかった場合、画面には、［Search Results (検索

結果)］という見出しの下に、その文字列が含まれている各行が表示されます。結果には、見つかった設定

ファイルの名前を示すラベルが加えられます。

指定した文字列がパス上の設定ファイルに見つからなかった場合は、結果は表示されません。

文字列を入力しなかった場合は、「No search criteria entered (検索条件が入力されませんでした)」と表示

されます。

23346-001J 12-13


12

OSS Command (OSS コマンド)

この画面では、POSIX 準拠の OSS コマンドはすべて入力できます。ただし、その他のコマンドや実行

可能プログラム・オブジェクトは指定できません。

表示項目

この画面には、［OSS Command on Server (サーバの OSS コマンド)］というタイトル、POSIX 準拠のコ

マンドの入力を求めるプロンプト行、およびコマンド用のボックスが表示されます。

操作

小文字でコマンドを入力し、［Execute (実行)］ボタンをクリックしてください。

操作の結果

コマンドからの出力はすべて画面の下部に表示されます。

入力したコマンドがシステム上にない場合や、間違って入力した場合は、エラー・メッセージが表示さ

れます。

コマンドを入力せずに［Execute (実行)］ボタンをクリックすると、「No command entered (コマンドが入

力されなかった)」というエラー・メッセージが表示されます。

-14 523346-001J

付録 A　設定指示語

5

付録 A 設定指示語

この付録では、サーバ設定ファイル (httpd.config) で指定できる設定指示語を説明します。設定ファイル

の使用に関する基本的情報については、第 7 章「iTP Secure WebServer の設定」を参照してください。

以下の設定指示語があります。

□Accept (付録A-3 ページ) □OutputTimeout (付録A-42 ページ)

□AcceptSecureTransport (付録A-6 ページ) □Pathmon (付録A-43 ページ)

□AccessLog (付録A-14 ページ) □PathwayMimeMap (付録A-46 ページ)

□Browser (付録A-15 ページ) □PidFile (付録A-47 ページ)

□CacheTime (付録A-16 ページ) □PutScript (付録A-48 ページ)

□DefaultType (付録A-17 ページ) □Region (付録A-49 ページ)

□DNSCacheSize (付録A-18 ページ) □RegionSet (付録A-66 ページ)

□DNSExpiration (付録A-19 ページ) □ReverseLookup (付録A-67 ページ)

□EncodingType (付録A-20 ページ) □RMTServer (付録A-68 ページ)

□ErrorLog (付録A-21 ページ) □ScriptTimeout (付録A-69 ページ)

□ExtendedLog (付録A-22 ページ) □Server (付録A-70 ページ)

□Filemap (付録A-23 ページ) □ServerAdmin (付録A-77 ページ)

□IndexFile (付録A-26 ページ) □ServerPassword (付録A-78 ページ)

□InputTimeout (付録A-27 ページ) □ServerRoot (付録A-79 ページ)

□KeepAliveTimeout (付録A-28 ページ) □SI_Default (付録A-80 ページ)

□KeepAliveMaxRequest (付録A-29 ページ) □SI_Department (付録A-81 ページ)

□KeyDatabase (付録A-30 ページ) □SI_Enable (付録A-82 ページ)

□LanguagePreference (付録A-31 ページ) □SK_CacheExpiration (付録A-83 ページ)

□LanguageSuffix (付録A-32 ページ) □SK_CacheSize (付録A-84 ページ)

□MaxRequestBody (付録A-35 ページ) □User (付録A-87 ページ)

□Message (付録A-36 ページ) □UserDir (付録A-88 ページ)

□MimeType (付録A-39 ページ) □WidTimeOut (付録A-90 ページ)

□Negotiation (付録A-40 ページ)

23346-001J 付録 A-1


付

iTP Secure WebServer の以前のリリースでサポートしていた指示語、および新しい指示語で置き換えら

れた指示語を表 A-1 に示します。

表 A-1　置き換えられた指示語

以前にサポートしていた指示語後継の新しい指示語

Port Accept (付録A-3 ページ)

ServerAddress Accept (付録A-3 ページ)

AcceptSecureTransport (付録A-6 ページ)

ServerName Accept (付録A-3 ページ)


SSLName AcceptSecureTransport (付録A-6 ページ)

SSLPort AcceptSecureTransport (付録A-6 ページ)

Transport Accept (付録A-3 ページ)


WebSafe AcceptSecureTransport (付録A-6 ページ)

録 A-2 523346-001J


5

Accept

構文

Accept -transport transport-name [-address server-addr] [-nameserver-name] [-port port-num]

解説

Accept 指示語を使用して、指定されたトランスポートとポートを通じて HTTP 接続を受け入れるよ

うに iTP Secure WebServer (server-name) を設定します。

Accept指示語は、以下の引数を使用します。

-transport transport-name

トランスポート名 (transport-name) は、OSS 形式 (つまり、/G/ が先行) での TCP/IP プロセ

ス名です。

1 つの transport-nameが必須です。

-address server-addr

-address引数を使用して、指定されたアドレス (server-addr) で接続を受け入れるように

サーバを設定します。指定するアドレスには、数字の IP アドレス、あるいは DNS (ドメイン・ネー

ム・サーバ ) に登録されている有効な名前またはエイリアスを指定できます。-address 引数が

指定されない場合は、iTP Secure WebServer は、その iTP Secure WebServer マシンにおいて現在有

効なすべての IP アドレスでの接続を受け入れます。

次の例は、httpd プロセスの設定例です。$ZTC0 プロセスに関連する任意のアドレスでメッセージ

を受信する方法、$ZTC1 プロセスで指定されたアドレスを使用する方法、および $ZTC2 プロセス

で DNS 名 www.goblet.comにバインドされた IP アドレスを使用する方法を示しています。

-transport /G/ZTC0-transport /G/ZTC1 -address 120.1.2.13

-transport /G/ZTC2 -address www.goblet.com

server-addr が、TCP/IP 設定により TCP/IP プロセス名に関連付けられた IP アドレスでない

場合は、httpd プロセスの起動時にエラーがレポートされます。このエラー・メッセージでは、サー

バが、TCP/IP プロセス名、IP アドレス、およびポート (-port 引数で指定 ) の組み合わせにバイ

ンドできないことをレポートします。

server-addr が DNS 形式で指定されると、その DNS 名にマップされている各 IP アドレスへ

のバインドが試行されます。アドレスが使用できないために失敗したバインドは無視されます。成

功したバインドはすべて保持されます。バインドがひとつも成功していない場合は、エラーがレポー

トされ、httpd プロセスは起動しません。

DNS 形式を使用するには、リゾルバ設定ファイル $SYSTEM.ZTCPIP.RESCONF をセットアップし

て、ネーム・サーバの正しい IP アドレスを登録します。このアドレスが、DNS で定義されるエン

ティティとなります。

23346-001J 付録 A-3


付

-name server-name

-name引数を使用して、サーバの参照に使用される名前を指定します。iTP Secure WebServer は、

自己参照 URL の生成が必要な時にこの名前を使用します。たとえば、リダイレクトする場合です。

指定する名前は、DNS (ドメイン・ネーム・サーバ) に登録されている有効な名前またはエイリアス

です。エイリアスの設定の詳細については、システム管理者またはネットワーク管理者に問い合わ

せてください。-name 引数が指定されていない場合、iTP Secure WebServer は、-address が

指定されていればサーバ・アドレス (server-addr) を使用します。-addressが指定されて

いなければ、iTP Secure WebServer が動作しているマシンのホスト名が使用されます。

-port port-num

-port引数を使用して、指定されたポート (port-num) で接続をチェックするようにサーバを設

定します。

HTTP 接続用の標準のポート番号は 80 です。別のポートを選択する場合は、$SYSTEM.ZTCPIP.SERVICES ファイルを調べて、そのポートがまだ別のサービスに割り当てられていないことを確

認してください。

1024 未満のポート番号を選択する場合は、root (スーパユーザ) だけが iTP Secure WebServer を起動

できます。-port引数が指定されていない場合は、80 が使用されます。

Accept指示語は、iTP Secure WebServer 設定ファイル内にいくつでも指定できます。安全なトランス

ポートだけを使用する場合は、Accept指示語の代りに AcceptSecureTransport指示語を使用


SCF TCP/IP 設定

複数の IP アドレスを 1 つの TCP/IP プロセスと関連付けるには、以下の例に示すように、SCF ALTER

SUBNETコマンドと ADDALIASパラメータを使用してください。

SCF> ALTER SUBNET $ZTC0.#SN1, ADDALIAS 120.1.1.12, &SCF> SUBNETMASK %hFFFF0000

このコマンドは、IP アドレス 120.1.1.12 をサブネット $ZTC0 # SN1 に追加します。SUBNETMASK パ

ラメータは必須です。IP アドレスは、個々に ALTER SUBNETコマンドで追加します。

次に示すように、DELETEALIASパラメータを使用すれば、ADDALIASパラメータによってサブネッ

トに追加された IP アドレスを削除できます。

SCF> ALTER SUBNET $ZTC0.#SN1, DELETEALIAS 120.1.1.12

IP アドレスは、個々に ALTER SUBNETコマンドで削除します。

デフォルト値

デフォルト値はありません。少なくとも1つのAccept指示語またはAcceptSecureTransport指示語を指定してください。

録 A-4 523346-001J


5

例

デフォルトのポート 80 を使用して、$ZTC0 プロセスに関連付けられた任意のアドレスで HTTP 接続を

受け入れるには、次のように指定します。

Accept -transport /G/ZTC0

別のポートを使用して、$ZTC0 プロセスに関連付けられた任意のアドレスで HTTP 接続を受け入れるに

は、次のように指定します。


デフォルトのポート 80 を使用して、$ZTC1 プロセスに関連付けられた特定のアドレスで HTTP 接続を



デフォルトのポート 80 を使用して、DNS 名 www.goblet.com にバインドされた IP アドレスで HTTP 接

続を $ZTC2 プロセスで受け入れるには、次のように指定します。

Accept -transport /G/ZTC2 -address www.goblet.com

デフォルトのポート 80 を使用して、$ZTC0 プロセスに関連付けられた任意のアドレスで HTTP 接続を

受け入れ、また $ZTC1 プロセスに関連付けられた特定のアドレスで HTTP 接続を受け入れ、さらに DNS

名 www.goblet.com にバインドされた IP アドレスでの HTTP 接続を $ZTC2 プロセスで受け入れるには、次

の 3 つの Accept指示語が必要です。

Accept -transport /G/ZTC0Accept -transport /G/ZTC1 -address 120.1.2.13Accept -transport /G/ZTC2 -address www.goblet.com

23346-001J 付録 A-5


付

AcceptSecureTransport

構文

AcceptSecureTransport -transport transport-name -cert cert-name[-address server-addr] [-ciphers list-of-ciphers][-name server-name][-port port-num]

[-websafe pathmon:server-class][-nossl][-nosslv2][-nosslv3][-nopct][-requestauth/-requireauth]

解説

AcceptSecureTransport指示語を使用して、指定したトランスポート (transport-name)

やポート (port-num) で、SSL または PCT あるいはその両方の接続を受け入れるようにサーバを設定し

ます。

AcceptSecureTransport指示語を使用すれば、一方の仮想ホストが WebSafe2 暗号化を、また

もう一方の仮想ホストがソフトウェア暗号化を利用するように設定できます。

AcceptSecureTransport指示語は、以下の引数を使用します。

-transport transport-name

トランスポート名 (transport-name) は、OSS 形式 (つまり、/G/ が先行) での TCP/IP プロセ

ス名です。

1 つの transport-nameが必須です。

-cert cert-name

-cert引数を使用して、仮想ホストに関連付けられた SSL や PCT の要求に使用される証明書の識

別名 (cert-name) を指定します。識別名は、キー・データベース・ファイル内の名前と一致す


-cert引数は必須です。

-address server-addr

-address引数を使用して、指定されたアドレス (server-addr) で接続を受け入れるように

サーバを設定します。このアドレスには、数字の IP アドレス、または DNS (ドメイン・ネーム・

サーバ ) に登録されている有効な名前かエイリアスを指定できます。-address 引数が指定され

ていない場合は、iTP Secure WebServer は、その iTP Secure WebServer マシンにおいて現在有効な

すべての IP アドレスでの接続を受け入れます。

次の例は、httpd プロセスの設定例です。$ZTC0 プロセスに関連する任意のアドレスでメッセージ

を受信する場合、指定されたアドレスを$ZTC1プロセスで使用する場合、およびDNS名www.goblet.

com にバインドされた IP アドレスを $ZTC2 プロセスで使用する場合を示しています。

-transport /G/ZTC0 -cert DN

-transport /G/ZTC1 -address 120.1.2.13 -cert DN-transport /G/ZTC2 -address www.goblet.com -cert DN

録 A-6 523346-001J


5

server-addr が、TCP/IP 設定により TCP/IP プロセス名と関連付けられた IP アドレスでない

場合は、httpd プロセスの起動時にエラーがレポートされます。このエラー・メッセージでは、サー

バが、TCP/IP プロセス名、IP アドレス、およびポート (-port 引数で指定 ) の組み合わせにバイ

ンドできないことをレポートします。

server-addr が DNS 形式で指定されると、その DNS 名にマップされている各 IP アドレスへ

のバインドが試行されます。アドレスが使用できないために失敗したバインドは、無視されます。

成功したバインドはすべて保持されます。バインドがひとつも成功していない場合は、エラーがレ

ポートされ、httpd プロセスは起動しません。

DNS 形式を使用するには、リゾルバ設定ファイル $SYSTEM.ZTCPIP.RESCONF をセットアップし

て、ネーム・サーバの正しい IP アドレスを登録してください。

-ciphers list-of-ciphers

-ciphers引数を使用して、iTP Secure WebServer が使用する一括暗号化を記述する暗号化方式

(サイファ) の Tcl リストとハッシュ・アルゴリズムを指定します。暗号化に使用できる暗号化方式

には、次のものがあります。

RC4

RC2

DES

Triple DES

RC4 を除いて、これらの暗号化方式は CBC (Cipher Block Chaining) モードで処理され、それぞれが

暗号化の前にデータのブロックを変更します。RC2 の場合は、キー・サイズを指定できます。

iTP Secure WebServer でサポートされている暗号化方式－ハッシュのアルゴリズムのペアを表 A-2

に示します。

表 A-2　プロトコル別での暗号ペアのサポートの有無 (1/2 ページ)

暗号ペアグローバル

に許可SSL 2.0 SSL 3.0 PCT

RC4-MD5 なしありありあり

RC4-SHA1 なしなしありあり

DES-CBC3-SHA1 なしなしありあり

DES-CBC3-MD5 なしあり * なしあり

DES-CBC-SHA1 なしなしありあり

DES-CBC-MD5 なしありなしあり

RC2-CBC-MD5 なしありなしあり

RC2-CBC-SHA1 なしなしなしあり

EXP-RC4-MD5 ありありありあり

23346-001J 付録 A-7


付

表 A-2　プロトコル別での暗号ペアのサポートの有無 (2/2 ページ)

整合性を調べる場合は、MD5 または SHA の暗号化方式を使用できます。

-name server-name

-name引数を使用して、サーバの参照に使用される名前を指定します。iTP Secure WebServer は、

自己参照 URL の生成が必要なときにこの名前を使用します。たとえば、HTML ファイル内のアン

カーを指定する場合です。

指定する名前は、DNS (ドメイン・ネーム・サーバ) に登録されている有効な名前またはエイリアス

です。エイリアスの設定の詳細については、システム・マニュアルを調べるか、ネットワーク管理

者に問い合わせてください。-name 引数が指定されていない場合、iTP Secure WebServer は、-addressが指定されていればサーバ・アドレス (server-addr) を使用します。-addressが指定されていなければ、iTP Secure WebServerが動作しているマシンのホスト名が使用されます。

-port port-num

-port 引数を使用して、指定されたポート (port-num) で接続をチェックするようにサーバを

設定します。

SSL接続やPCT接続用の標準のポート番号は443です。別のポートを選択する場合は、$SYSTEM.

ZTCPIP.SERVICES ファイルを調べて、そのポートが別のサービスに割り当てられていないこ

とを確認してください。

1024 未満のポート番号を選択する場合は、root (スーパユーザ) だけが iTP Secure WebServer を起動

できます。-port引数が指定されていない場合は、デフォルトのポート番号 443 が使用されます。

-websafe pathmon:server-class

-websafe 引数を使用すれば、仮想ホストで WebSafe2 ユニットを使用できます。これは、ほか

の仮想ホストが WebSafe2 を使用しない場合でも可能です。また、複数の仮想ホストが、複数の異

なる WID サーバ・クラスを使用するようにも設定できます。pathmon:server-classを使

用して、PATHMON プロセスの名前と WebSafe2 ユニットを制御する WID サーバ・クラスの名前

を指定します。PATHMON プロセス名を省略すると、サーバ・クラスは、httpd プロセスと同じ

PATHMON 環境にあると見なされます。

-websafe引数には -nopctオプションが必須です。これは、WebSafe2 ユニットが現在は PCT

プロトコルに対応していないためです。

暗号ペアグローバル

に許可SSL 2.0 SSL 3.0 PCT

EXP-RC4-SHA1 ありなしなしあり

EXP-RC2-CBC-MD5 ありありありあり

EXP-RC2-CBC-SHA1 ありなしなしあり

* ファームウェア 2611 以上で WebSafe2 ユニットを使用している場合は、サポートしています。

録 A-8 523346-001J


5

-nossl

-nosslv2-nosslv3-nopct

-nossl、-nosslv2、-nosslv3、または -nopct のオプションは、それぞれ SSL または

PCT の要求の拒否に使用します。デフォルトでは、SSL と PCT の要求はどちらも受け入れられま

す。WebSafe2 ユニットは PCT プロトコルに対応していないため、WebSafe2 の設定では -nopctオプションが必須です。

表 A-3では、受信する可能性のある SSL のClient-Hello 応答メッセージのタイプに基づく iTP Secure

WebServer の処置を、設定オプションごとに説明しています。この表で示されている CGI 環境変数

HTTPS_PROTOCOL_VERSIONの設定の詳細については、8-11 ページの表 8-1「環境変数」を


表 A-3　SSL のバージョンに基づく WebServer の処置

-requestauth-requireauth

-requestauthオプションを使用して、Web クライアントに認証を求めます。このオプション

は、Web クライアントに認証を要求するだけで、Web クライアントが認証情報を提示する必要はあ

りません。ただし、Region指示語での RequireSecureTransport -authコマンドは、

認証のないアクセスを禁止します。

Client-Hello メッセージ設定 : SSL 2.0 のみ

(-nosslv3)設定 : SSL 3.0 のみ

(-nosslv2)設定 : SSL 2.0および SSL 3.0

SSL 2.0 での SSL 2.0 の

Client-Hello接続は許可される。

ネゴシエーション・プロト

コルは SSL 2.0。

HTTPS_PROTOCOL_VERSIONは 2 に設定さ

れる。

接続は拒否される。

エラー・メッセージは、エ

ラー・ログ・ファイルと拡

張ログ・ファイルに記録さ

れる。

接続は許可される。




れる。

SSL 3.0 での SSL 2.0 の

Client-Hello接続は許可される。




れる。





れる。





れる。

SSL 3.0 接続は拒否される。

エラー・メッセージは、エ

ラー・ログ・ファイルと拡

張ログ・ファイルに記録さ

れる。





れる。





れる。

23346-001J 付録 A-9


付

-requireauthオプションを使用して、Web クライアントに認証証明書を求めます。Web クラ

イアントが認証情報を提示しない場合は、接続は中止されます。

-requestauthと -requireauthのオプションのどちらかを指定してもよいし、どちらも

指定しなくてもかまいません。デフォルトでは、どちらも指定されていません。

AcceptSecureTransport指示語は、iTP Secure WebServer 設定ファイル内にいくつでも指定で

きます。安全なトランスポートを必要としない場合は、この指示語の代わりに Accept 指示語を使用し

てください。

SCF TCP/IP 設定

複数の IP アドレスを 1 つの TCP/IP プロセスと関連付けるには、以下の例に示すように、SCF ALTER

SUBNETコマンドと ADDALIASパラメータを使用してください。

SCF> ALTER SUBNET $ZTC0.#SN1, ADDALIAS 120.1.1.12, &

SCF> SUBNETMASK %hFFFF0000

このコマンドは、IP アドレス 120.1.1.12 をサブネット $ZTC0 # SN1 に追加します。SUBNETMASK パ

ラメータは必須です。IP アドレスは、個々に ALTER SUBNETコマンドを使用して追加します。

以下に示すように、DELETEALIASパラメータを使用すれば、ADDALIASパラメータを使用してサブ

ネットに追加された IP アドレスを削除できます。

SCF> ALTER SUBNET $ZTC0.#SN1, DELETEALIAS 120.1.1.12

各 IP アドレスは、個々に ALTER SUBNETコマンドを使用して削除します。

デフォルト値

AcceptSecureTransport指示語が指定されない場合は、iTP Secure WebServer は、SSL または

PCT の接続を受け入れません。

例

デフォルトのポート 443 を使用して、DNS 名 www.directory.net にバインドされたすべての IP アドレス

で SSL および PCT の接続を $ZTC0 プロセスで受け入れるには、次のように指定します。

AcceptSecureTransport -cert {CN=Juliet,O=Capulet’s House ofKeys} -transport /G/ZCT0 -address www.directory.net

デフォルトのポート 443 を使用して、アドレス 199.170.183.18 での SSL 接続だけを $ZTC0 プロセスで


AcceptSecureTransport -cert {CN=Juliet,O=Capulet’s House ofKeys} -transport /G/ZTC0 -address 199.170.183.18 -nopct

デフォルトの 443 以外のポートを使用して、また Web クライアントに認証を求めて、DNS 名 www.

directory.net にバインドされた IP アドレスで PCT 接続だけを $ZTC0 プロセスで受け入れるには、次のよ

うに指定します。

録 A-10 523346-001J


5

AcceptSecureTransport -cert {CN=Juliet,O=Capulet’s House ofKeys} -transport /G/ZTC0 -address www.directory.net -port 4430-nossl -requireauth

デフォルトのポートを使用して、DNS 名 www.directory.net と www-1.directory.net にバインドされた IP

アドレスで SSL と PCT の接続を受け入れるには、次のように指定します。

AcceptSecureTransport -cert{CN=www.directory.net,O=D"Directory, Inc.",ST=Massachusetts,C=US} -transport /G/ZTC0-address www.directory.net

AcceptSecureTransport -cert {CN=www-1.directory.net,O="Directory, Inc.",ST=Massachusetts, C=US}-transport /G/ZTC0 -address www-1.directory.net

HTTP 接続にポート 80 と 8080 使用し、SSL/PCT 接続にポート 443 と 4430 を使用して、DNS 名 www.

directory.net にバインドされた IP アドレスで SSL と PCT の接続を $ZTC0 プロセスで受け入れるには、次

のように指定します。

Accept -transport /G/ZTC0 -address www.directory.net

AcceptSecureTransport -cert {CN=Juliet,O=Capulet’s House ofKeys} -transport /G/ZTC0 -address www.directory.net

Accept -transport /G/ZTC0 -address www.directory.net -port 8080

AcceptSecureTransport -cert {CN=Juliet,O=Capulet’s House ofKeys} -transport /G/ZTC0 -address www.directory.net -port 4430

安全なトランスポート・プロトコル (ポート 443) のサポート例

SSL 2.0、SSL 3.0、および PCT の接続を受け入れるには、次のように指定します。

AcceptSecureTransport -transport /G/ZTC0 -cert {CN=...}

SSL 2.0 と PCT の接続を受け入れるには、次のように指定します。

AcceptSecureTransport -transport /G/ZTC0 -cert {CN=...}\

-nosslv3

SSL 3.0 と PCT の接続を受け入れるには、次のように指定します。

AcceptSecureTransport -transport /G/ZTC0 -cert {CN=...} \-nosslv2

SSL 2.0 と SSL 3.0 の接続を受け入れるには、次のように指定します。

AcceptSecureTransport -transport /G/ZTC0 -cert {CN=...} \-nopct

PCT 接続だけを受け入れるには、次のように指定します。

AcceptSecureTransport -transport /G/ZTC0 -cert {CN=...}\-nosslv2 -nosslv3

23346-001J 付録 A-11


付

または

AcceptSecureTransport -transport /G/ZTC0 -cert {CN=...}\-nossl

暗号化方式のサポート例

Triple DES ( も安全な接続) だけを許可するには、次のように指定します。

AcceptSecureTransport -transport /G/ZTC0 -cert {DN=...}\-port 4433 -ciphers {DES-CBC3-MD5 DES-CBC3-SHA1}

SSLv2 の暗号化方式をすべて許可するには、以下のように指定します。

#set SSLv2_CipherList {

RC4-MD5RC2-CBC-MD5DES-CBC3-MD5DES-CBC-MD5EXP-RC4-MD5

EXP-RC2-CBC-MD5}AcceptSecureTransport -transport /G/ZTC0 -cert {DN=....}\-ciphers $SSLv2_CipherList

#

使用可能な暗号化方式をすべて許可するには、次のように指定します。

#set cipherList {

DES-CBC3-SHA1

DES-CBC-SHA1RC2-CBC-SHA1RC4-SHA1RC4-MD5

RC2-CBC-MD5DES-CBC3-MD5DES-CBC-MD5EXP-RC4-MD5EXP-RC2-CBC-MD5

EXP-RC4-SHA1EXP-RC2-CBC-SHA1

}AcceptSecureTransport -transport /G/ZTC0 -cert {DN=....}\

-ciphers $cipherList#

録 A-12 523346-001J


5

グローバル・クライアントをすべて拒否し、暗号化しない場合は、次のように指定します。

set cipherList {DES-CBC3-SHA1DES-CBC-SHA1

RC4-MD5RC-SHA1RC2-CBC-SHA1RC2-CBC-MD5

DES-CBC3-MD5DES-CBC-MD5

}AcceptSecureTransport -transport /G/ZTC0 -cert {DN=....}\

-ciphers $cipherList#

グローバル・サーバが設定できる暗号だけを許可するには、次のように指定します。

#set globalCiphers {

EXP-RC4-MD5EXP-RC2-CBC-MD5EXP-RC4-SHA1EXP-RC2-CBC-SHA1

}

AcceptSecureTransport -transport /G/ZTC0 -cert {DN=....}\-ciphers $globalCiphers#

RC4 グローバル暗号化方式でのアクセスを拒否するには、次のように指定します。

#

Region /* {if {$HTTPS_CIPHER == "EXP-RC4-MD5"} {

Deny}

}

23346-001J 付録 A-13


付

AccessLog

構文

AccessLog pathname

解説

AccessLog 指示語でサーバ・アクセス・ログ・ファイルのパス名を設定します。このログ・ファイ

ルには、クライアント要求に関する情報が、ほかの HTTP サーバ・ソフトウェアでも使用されている一般

的な形式で記録されます。この形式の詳細については、付録 C「サーバ・ログ・ファイル形式」を参照し

てください。別の形式でのアクセス情報の記録については、付録 A-22 ページの「ExtendedLog」を参照し

てください。

AccessLog指示語は、設定ファイル内で 1 つだけ使用できます。

サーバ・エラーとアクセス・エラーの記録については、7-23 ページの「ログ・ファイルの管理」を参照


デフォルト値

なし。AccessLog指示語を設定しない場合は、アクセス・ログ・ファイルは生成されません。

例

AccessLog /usr/tandem/webserver/logs/access.log

録 A-14 523346-001J


5

Browser

構文

Browser agent -redirectlimit url-length

解説

Browser 指示語を使用して、指定したブラウザ (agent) がサポートする HTTP リダイレクト URL

の大長 (url-length) を指定します。多くのブラウザでは、HTTP リダイレクト操作で指定した URL

の長さに制限 (128 バイトなど) を設定しています。agent引数は、HTTP の User-Agent: フィールドのコ

ンテンツと一致します。

たとえば、次の指示語は、*NCSA Mosaic* と一致する名前を持つブラウザのリダイレクト URL の大

長を 128 バイトに指定します。

Browser "*NCSA Mosaic*" -redirectlimit 128

複数の Browser指示語をサーバ設定ファイル (httpd.config) 内で使用できます。こうした指示語には、

部分的に重なる agentパターンが設定されている場合があります。たとえば、次の場合です。

Browser "*NCSA*" -redirectlimit 128Browser "*NCSA Mosaic*" -redirectlimit 256

User-Agent: のコンテンツが複数の agentパターンに一致する場合は、サーバは、一致するパターンが

も長い Browser指示語を使用します。たとえば、User-Agent: に文字列 NCSA Web Browser が含まれ

ている場合は、サーバは、上記の初の Browser 指示語 (リダイレクト制限が 128) を使用しますが、

User-Agent: に文字列 NCSA Mosaic が含まれている場合は、サーバは、上記の 2 番目の Browser指示語

(リダイレクト制限が 256) を使用します。

サーバは、Browser指示語で与えられた情報を使用して、Web クライアントが正しく動作するように

HTTP リダイレクト操作を変更します。リダイレクト URL が、そのブラウザで使用できるリダイレクト制

限より短い場合は、サーバは、Web クライアントを新しいロケーションに向ける HTTP リダイレクト結果

を返します。リダイレクト URL が、そのブラウザで使用できるリダイレクト制限より長い場合は、サーバ

は、ユーザが新しいロケーションにアクセスするためのリンクを含んでいるページを返します。このリン

ク・ページは、付録 A-36 ページの「Message」で説明しているように、カスタマイズできます。

リダイレクト操作の詳細については、付録 A-49 ページの「Region」で Redirectコマンドの説明を


デフォルト値

Browser指示語が指定されない場合、サーバは、リダイレクト操作の URL 長を無制限と見なします。

例

Browser "*WebRover V1.0*" -redirectlimit 1024

23346-001J 付録 A-15


付

CacheTime

構文

CacheTime minutes

解説

CacheTime指示語を使用して、iTP Secure WebServer がオープンするファイルをキャッシュする分数

を指定します。この指示語が設定ファイル内にあれば、iTP Secure WebServer がアクセスしたファイルは、

CacheTime指示語で指定された時間内はオープンされたままになります。

CacheTimeには、0 (ゼロ) から 600 (分) までの値を設定できます。CacheTime指示語で 0 の値を

指定すれば、ファイル・キャッシングは無効になります。

デフォルト値

CacheTime指示語がない場合、iTP Secure WebServer は、アクセスするファイルを約 60 分間オープ

ンしたままにします。

例

CacheTime 7

録 A-16 523346-001J


5

DefaultType

構文

DefaultType mime-type

解説

DefaultType指示語を使用して、要求されるファイルに MIME タイプが設定されていない場合 (付

録 A-39 ページの「MimeType」を参照 ) や、要求されるファイルにファイル拡張子がない場合に、サーバ

が返す MIME タイプ識別子を指定します。mime-type引数には、text/html などの有効な MIME タイプ

を指定できます。

DefaultType指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

DefaultType text/plain

例

DefaultType text/html

23346-001J 付録 A-17


付

DNSCacheSize

構文

DNSCacheSize entry-num

解説

DNSCacheSize指示語を使用して、サーバがインターネット DNS (ドメイン・ネーム・サーバ) から

のホスト名やアドレスをキャッシュに格納する際の、許容エントリ数 (entry-num) を設定します。

エントリ (entry-num) の数を大きくすると、より多くのメモリがキャッシュに費やされますが、数

を小さくすると、サーバは頻繁に DNS に問い合わせます。

DNSCacheSize指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

DNSCacheSize 1000

例

DNSCacheSize 2000

録 A-18 523346-001J


5

DNSExpiration

構文

DNSExpiration life-secs

解説

DNSExpiration指示語を使用して、任意のエントリをサーバの DNS キャッシュに保持できる大

秒数 (life-secs) を設定します。

サーバ DNS キャッシュ内の各エントリには、エントリが作成されてからの有効期限が設定されます。こ

の有効期限の大値は、DNSExpiration 指示語で設定されます。どのエントリも、DNS サーバで設

定された存続時間の値が DNSExpiration 指示語で設定された値より小さい場合は、有効期限を短く

することができます。

DNSExpiration指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

DNSExpiration 21600

つまり、秒単位の表記で 6 時間を設定しています。

例

DNSExpiration 24000

23346-001J 付録 A-19


付

EncodingType

構文

EncodingType code-type extension-list

解説

EncodingType指示語を使用して、エンコーディング・タイプの識別子 (code-type) を指定しま

す。この識別子は、extension-list で示した拡張子と同じ拡張子のファイルを要求する Web クラ

イアントに返されます。返されたエンコーディング・タイプは、ファイルのコンテンツを参照するのに必

要なデコーディングの種類を、Web クライアントに示します。通常、このデコーディングは圧縮展開の一

種です。

extension-list内の項目は、空白文字で区切られます。

たとえば、サーバ設定ファイル (httpd.config) に次の指示語が含まれているとします。

EncodingType x-zip-compress Z

この場合は、拡張子が .Zのファイルを参照する URL には、サーバが、要求されたファイルと共に x-zip-

compress というコンテンツ・エンコーディング・タイプを返します。

要求されたファイルが index.html.Z であれば、サーバは、x-zip-compress というコンテンツ・エンコー

ディング・タイプと text/html という MIME タイプを返します。

EncodingType指示語でも多く使用される 2 つの圧縮タイプは、x-gzip と x-zip-compress です。こ

の 2 つのエンコーディング・タイプは、サーバで提供されている conf/mime-types.config ファイルで指定さ

れます。

デフォルト値

なし。要求されたファイルに EncodingType指示語が設定されていない場合、サーバは、要求され

たファイルを送信する際にコンテンツ・エンコーディング行を送信しません。

例

EncodingType x-gzip gz

録 A-20 523346-001J


5

ErrorLog

構文

ErrorLog filename

解説

ErrorLog 指示語でサーバ・エラー・ログ・ファイルのパス名を設定します。このログ・ファイルに

は、アクセス・エラーとサーバ・エラーに関する情報が、ほかの Web サーバ・ソフトウェアでも使用され

ている一般的な形式で記録されます。この形式の詳細については、付録 C「サーバ・ログ・ファイル形式」

を参照してください。別の形式でのエラー情報の記録については、付録 A-22 ページの「ExtendedLog」を


ErrorLog指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

なし。ErrorLog指示語を設定しない場合は、エラー・ログ・ファイルは生成されません。

例

ErrorLog /usr/tandem/webserver/logs/errors

23346-001J 付録 A-21


付

ExtendedLog

構文

ExtendedLog filename

解説

ExtendedLog指示語で拡張ログ・ファイルの名前を設定します。拡張ログ・ファイルは、アクセス・

ログ・ファイルとエラー・ログ・ファイルの役割を組み合わせたもので、コンテキスト内のあらゆるエラー

情報および関連する要求の情報が記録されます。このファイルには、組み合わされた情報が拡張ログ形式

(ELF) で記録されます。このログ形式は、拡張性があり、簡単に解析できます。ELF の詳細については、付

録 C「サーバ・ログ・ファイル形式」を参照してください。

ExtendedLog指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

なし。ExtendedLog指示語を設定しない場合は、拡張ログ・ファイルは生成されません。

例

ExtendedLog /usr/tandem/webserver/logs/httpd.log

録 A-22 523346-001J


5

Filemap

構文

Filemap [-symlink-disable] [-symlink-owner] prefix dir

解説

Filemap 指示語を使用して、URL をホスト・マシン上の特定のディレクトリにマップします。URL

に prefix で始まるパス要素がある場合は、サーバは、URL パスを dir 内のファイルの名前に変換し

ます。サーバは、この名前を構成するために prefixを dirで置き換えます。

dirに、存在しないディレクトリが指定されている場合は、サーバは起動しません。

オプションは、次のとおりです。

-symlink-disable

このオプションは、指定されたディレクトリ内のファイルへのシンボリック・リンクを無効にしま

す。iTP Secure WebServer は、シンボリック・リンクを含むパスへのアクセスの応答として、ファ

イルが見つからなかったことを示すメッセージを返します。

-symlink-owner

このオプションは、機能的に -symlink-disableオプションに類似しており、シンボリック・

リンクを無効にします。ただし、対象となるシンボリック・リンクの所有者が、シンボリック・リ

ンクが示すファイルの所有者である場合は除きます。

Filemap指示語の例を考えてみます。

Filemap /admin /usr/tandem/webserver/root

/admin で始まる要素を持つ URL は、ディレクトリ /usr/tandem/webserver/root 内のファイルへの参照に

変換されます。たとえば、次のような URL があるとします。

http://my.server.com/admin/welcome.html

この URL は、ファイル /usr/tandem/webserver/root/welcome.html にマップします。

設定ファイルに複数の Filemap指示語を入力できます。その際、各指示語で異なるプリフィックスを

指定できます。この機能により、サーバのコンテンツ領域を複数のディレクトリやディスクに分割できま

す。たとえば、指示語を次のように指定したとします。

Filemap /encyclopedia /usr/disk0Filemap /dictionary /usr/disk7

Filemap /accounts /G/data/accounts

ここで、次のような URL があるとします。

http://my.server.com/encyclopedia/info/doc.html

この URL は、ファイル /usr/disk0/info/doc.html を参照します。

23346-001J 付録 A-23


付

また、次のような URL があるとします。

http://my.server.com/dictionary/entry/aardvark.html

この URL は、ファイル /usr/disk7/entry/aardvark.html を参照します。

複数の Filemap 指示語を設定ファイル内で使用できます。2 つの Filemap 指示語に部分的に重複

するプリフィックスがある場合は、より多くの文字が URL パスと一致するプリフィックスを使用して、

ファイルが変換されます。たとえば、次のような部分的に重なる Filemap指示語を考えてみます。

Filemap /personal /usr/disk/personalFilemap /personal/payne /udir/payne

この場合に、次のような URL があるとします。

http://my.server.com/personal/info.html

この URL は、ファイル /usr/disk/personal/info.html を参照します。

また、次のような URL があるとします。

http://my.server.com/personal/payne/info.html

この URL は、ファイル /udir/payne/info.html を参照します。

Region指示語での Filemapコマンドは Filemap指示語と同等ですが、次の点が異なります。

□ Region指示語での Filemapコマンドは領域内だけに適用されます。

□ Region指示語での Filemapコマンドは、同じプリフィックスを持つ Filemap指示語に優先し

ます。

デフォルト値

なし。少なくとも 1 つの Filemap指示語を設定ファイル内に設定します。

例

Filemap / /usr/tandem/webserver/webstuff

録 A-24 523346-001J


5

FileStatsCheckTime

構文

FileStatsCheckTime <minutes>

解説

FileStatsCheckTime指示語を使用して、ファイル状態情報 (fstat 関数の呼び出しにより取得され

るファイル情報) をリフレッシュする間隔を指定します。つまり、キャッシュに格納されているファイル状

態は、FileStatsCheckTimeで指定された時間だけ使用されます。ファイルがこの時間内に更新され

た場合は、新のタイムスタンプとファイル・コンテンツが返されないことがあります。そのため、この

指示語の使用には注意が必要です。

FileStatsCheckTimeに指定できる値の範囲は、-1～600分 (10時間)です。-1を指定するとチェッ

クは行われません。0 (ゼロ ) を指定すると、ファイルが要求されるたびにチェックが行われるので、iTP

Secure WebServer によって返されるタイムスタンプとファイル内容は常に新のものになります。

備考：ディスク・ファイルを頻繁に更新しない場合は、-1 を指定してファイル更新後に vcache スクリプトを実行


デフォルト値

FileStatsCheckTime指示語が設定されていない場合、60 (1 時間) が使用されます。

例

FileStatsCheckTime 120

23346-001J 付録 A-25


付

IndexFile

構文

IndexFile filename1 filename2 ...

解説

IndexFile 指示語を使用して、URL がファイルではなくディレクトリを参照するときにサーバが返

すファイルを指定します。通常、IndexFile 指示語は、インデックスを含むファイルや、URL で参照

されるディレクトリの内容の記述を含むファイルに対して設定されます。

たとえば、サーバが次のような URL を受信するとします。

http://www.myserver.com/foo/

また、サーバ設定ファイル (httpd.config) で次のように指定されているとします。


この場合、サーバは、受信した URL (ディレクトリ /foo 内の特定のファイルが指定されていない) への

応答として、以下に示す URL が指定されたかのように、/foo 内の index.html という名前のファイルを探し

ます。

http://my.server.com/foo/index.html

このファイルがない場合は、以下に示す URL が指定されたものとして、サーバは、IndexFile指示

語で指定された 2 番目のファイルを /foo内で探します。

http://my.server.com/foo/welcome.html

これらのファイルが存在しない場合、あるいは IndexFile 指示語が設定ファイルで指定されていな

い場合、また Region 指示語の DirIndexコマンドがない場合は、サーバは、アクセスが拒否された

ことを示すエラー・メッセージを Web クライアントに返します。

IndexFile指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

なし。

例


録 A-26 523346-001J


5

InputTimeout

構文

InputTimeout time-in-seconds

解説

InputTimeout指示語を使用して、サーバが接続を切断する前に Web クライアントからの要求の受

信を待つ期間 (秒) を設定します。

InputTimeout指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

InputTimeout 120

つまり、秒単位の表記で 2 分を設定します。

例

InputTimeout 60

23346-001J 付録 A-27


付

KeepAliveTimeout

構文

KeepAliveTimeout timeout-value

解説

KeepAliveTimeout指示語を使用して、iTP Secure WebServer が持続型の TCP/IP 接続を終了する

前に要求を待つ秒数を指定します。KeepAliveTimeout 指示語は、設定ファイル内で 1 つだけ使用

できます。

持続型接続は、パフォーマンスを向上させるために HTTP/1.1 プロトコルに導入された機能です。HTTP

の以前のバージョンでは、URL に対する各要求は、そのたびに新しい接続を生成していました。多くの場

合、ページの処理にはさまざまな要求 (グラフィックス・ファイルをテキストのページに含める場合など )

が必要になるので、複雑なページをロードするには、かなりの時間がかかる可能性があります。サーバが

持続型接続をサポートしている場合は、ユーザが要求した時点で接続が確立され、クライアントからサー

バへの一連の関連した要求に対する接続は、開かれたままになります。

この指示語を使用すれば、サーバがクライアントからの次の要求を待つ時間を制御できます。時間切れ

になった場合は、サーバは接続を閉じます。新たな要求がクライアントから送信された場合は、サーバは

新しい接続を作成します。ユーザが、サービスの中断を感じることはありません。

timeout-valueは、0 秒から InputTimeout指示語の値までの範囲になります。値が 0 の場合

は、サーバは持続型接続を生成しません。つまり、サーバは以前のリリースでのように動作します。

デフォルト値

KeepAliveTimeout 15

例

KeepAliveTimeout 30

録 A-28 523346-001J


5

KeepAliveMaxRequest

構文

KeepAliveMaxRequest integer-value

解説

KeepAliveMaxRequest指示語を使用して、iTP Secure WebServer が持続型接続を閉じる前に処理

する必要のある要求の数を指定します。

持続型接続は、パフォーマンスを向上させるために HTTP/1.1 プロトコルに導入された機能です。HTTP

の以前のバージョンでは、URL に対する各要求は、そのたびに新しい接続を生成していました。多くの場

合、ページの処理にはさまざまな要求 (グラフィックス・ファイルをテキストのページに含める場合など )

が必要になるので、複雑なページをロードするには、かなりの時間がかかる可能性があります。サーバが

持続型接続をサポートしている場合は、ユーザが要求した時点で接続が確立され、クライアントからサー

バへの一連の関連した要求に対する接続は、開かれたままになります。

この指示語を使用すれば、サーバが 1 回の接続で受け入れる要求の数を制御できます。この数を上回っ

た場合は、サーバは接続を閉じます。次の要求を受信すると、サーバは新しい接続を作成します。ユーザ

が、サービスの中断を感じることはありません。

integer-value は、2 から 256 までの範囲になります。0 未満または 257 以上の値を指定すると、

エラー・メッセージが出力されます。値が 0 または 1 の場合は、持続型接続が無効になります。

デフォルト値

KeepAliveMaxRequest 100

例

KeepAliveMaxRequest 50

23346-001J 付録 A-29


付

KeyDatabase

構文

KeyDatabase key-database-filename

解説

KeyDatabase指示語を使用して、iTP Secure WebServer の証明書と秘密鍵を保持するデータベース・

ファイルの名前を指定します。この指示語は、WebSafe2 ユニットを使用する際には必須です。

KeyDatabase 指示語は、設定ファイル内で 1 つだけ使用できます。httpd.stl.config ファイルと

httpd.websafe.config ファイルを同時に設定ファイルにインクルードすることはないので、それぞれに KeyDatabase指示語を指定します。

例

KeyDatabase $root/conf/keys

録 A-30 523346-001J


5

LanguagePreference

構文

LanguagePreference language-tags

解説

LanguagePreference 指示語を使用して、iTP Secure WebServer 環境または領域に対するコンテ

ンツ・ネゴシエーションを決定する場合にサーバが優先的に使用する自然言語を指定します。コンテンツ・

ネゴシエーションは、HTTP/1.1 の仕様で定義されているプロトコル機能です。

サーバがこの指示語を利用するのは、設定ファイルに Negotiation 指示語と Lang または Multの引数が記述されている場合や、クライアントが Accept-Language ヘッダなしで要求を送信する場合に限

ります。

language-tagsは、少なくとも 1 つの RFC 2068 の言語タグから成ります。複数のタグを指定する

には、各タグを空白文字なしにコンマで区切って、そのリストを中カッコ ({ }) で囲みます。タグは、優先

する順に指定します。

コンテンツ・ネゴシエーションの詳細については、付録 A-40 ページの「Negotiation」を参照してくだ

さい。



デフォルト値

この指示語を指定する場合は、少なくとも 1 つの言語タグを指定する必要があります。この指示語を省

略し、要求に Accept-Language ヘッダが含まれていない場合、サーバでは、言語に基づくコンテンツ・ネ

ゴシエーションは実行されません。

例

LanguagePreference {de,en-us}

この例では、ドイツ語のコンテンツを 1 番目に優先し、米語のコンテンツを 2 番目に優先します。

23346-001J 付録 A-31


付

LanguageSuffix

構文

LanguageSuffix language-tag .lang-abbreviation

解説

LanguageSuffix 指示語を使用して、言語タグをサポートするファイル拡張子を指定します。

LanguageSuffix指示語を利用するのは、設定ファイルに Negotiation指示語と Mult引数が記

述されている場合に限ります。

language-tagは、1 つの RFC 2068 の言語タグから成ります。.lang-abbreviationは、iTP

Secure WebServer 環境において、指定された言語のファイルの拡張子に使用される文字列で、先頭は必ず

ピリオドです。

複数の言語タグに対してファイル拡張子を指定するには、この指示語の複数のインスタンスを使用しま

す。それぞれの領域で異なるファイル拡張子を指定するには、LanguageSuffixを Regionコマンド

として使用します。

コンテンツ・ネゴシエーションの詳細については、付録 A-40 ページの「Negotiation」を参照してくだ

さい。



デフォルト値

この指示語を指定しなかった場合は、サーバでは、言語に基づくコンテンツ・ネゴシエーションは実行

されません。

例

LanguageSuffix en .enLanguageSuffix de .gerLanguageSuffix es .es

LanguageSuffix fr .fr

録 A-32 523346-001J


5

MaxFileCacheContentSize

構文

MaxFileCacheContentSize <num_kilobytes>

解説

MaxFileCacheContentSize指示語を使用して、ファイル・キャッシュ・エントリに格納できる

ファイル内容の大長を指定します。この指示語が設定ファイル内にある場合、内容の長さが

num_kilobytes以下のファイルはサーバのファイル・キャッシュ内に完全に格納されます。内容の長

さが num_kilobytesを超えるファイルは、ファイル・オープンとファイル状態だけキャッシュに格納

され、実際のファイル内容はディスクから直接アクセスされます。

num_kilobytesには、KB 数 (1KB は 1024 バイト) を指定します。指定できる値の範囲は、0 (ゼロ)

～ 50KB (50 × 1024 バイト) です。0 (ゼロ) を指定すると、ファイル・コンテンツのキャッシングが無効に

なります。

デフォルト値

MaxFileCacheContentSize指示語が設定されていない場合、サーバは 10 (10KB) を設定します。

例

MaxFileCacheContentSize 30

MaxFileCacheEntries と MaxFileCacheContentSize の両方の値によって大のファイ

ル・キャッシュ・サイズが決まります。たとえば、MaxFileCacheEntriesに3000、MaxFileCache

ContentSize に 30 を設定すると、ファイル・キャッシュの大容量は 90MB になります。Web サイ

ト上に存在するすべてのスタティック・ファイルと物理メモリの設定を調査してください。iTP Secure

WebServer が物理メモリを消費しすぎてページ・フォルトが多数発生すると、パフォーマンスが低下する

可能性があります。したがって、これらの指示語の適な設定を決めるには、チューニングが必要です。

23346-001J 付録 A-33


付

MaxFileCacheEntries

構文

MaxFileCacheEntries <num_entries>

解説

MaxFileCacheEntries指示語を使用して、サーバがファイル・オープン、ファイル状態、および

実際のファイル・コンテンツを保管するファイル・キャッシュ内に格納できる大エントリ数を指定しま

す。

大きい値を指定するほど、ファイル・キャッシュにより消費されるメモリ量が増える可能性があります。

また、小さい値を指定するほど、サーバがディスクから直接ファイルにアクセスする回数が増えます。し

たがって、Web サイトと CPU 上の物理メモリの設定を調査する必要があります。

MaxFileCacheEntries指示語は、設定ファイル内で 1 つだけ使用できます。

MaxFileCacheEntriesに指定できる値の範囲は 256 ～ 6000 です。

ファイル・オープンのキャッシングを無効にするには、CacheTime指示語に 0 を設定する必要があり

ます。

デフォルト値

MaxFileCacheEntries 指示語が設定されていない場合、サーバはファイル・キャッシュに 2000

エントリを格納できるようにします。

例

MaxFileCacheEntries 5000

録 A-34 523346-001J


5

MaxRequestBody

構文

MaxRequestBody integer-value

解説

MaxRequestBody 指示語は、iTP Secure WebServer がチャンク転送エンコーディングを利用して連

続して転送したデータから生成できるメッセージの大サイズを指定します。

チャンク転送エンコードとは、クライアントがメッセージを一連のチャンク (それぞれに固有のサイズ・

インジケータを持つ塊) としてサーバに送信できるようにする HTTP/1.1 の機能のことです。サーバは、す

べてのチャンクを 1 つのメッセージにまとめて、必要な Content-Length ヘッダを追加してから、CGI アプ

リケーションにメッセージを渡す必要があります。この機能は、クライアントがデータを動的に生成する

場合や、何らかの理由 (暗号化など) で総メッセージ長を予測できない場合に役に立ちます。

integer-valueは、iTP Secure WebServer が受信メッセージのチャンクを 1 つにまとめるために割

り当てるバッファのサイズを決定します。この値は、32 から 1024 (キロバイト) までの範囲で指定します。

iTP Secure WebServer がチャンク・メッセージを受信しても、バッファを割り当てることができない場

合は、サーバはエラー (413 要求エンティティ長の超過 ) を記録してチャンク要求を拒否し、接続を閉じま

す。一般に、バッファの割り当ての失敗は、利用可能なメモリの変動が原因ですが、このエラーが繰り返

し発生する場合は、この指示語に対する値を小さくして試してください。

iTP Secure WebServer が妥当なサイズのバッファを割り当てることができても、チャンクを受信した結

果、生成されたメッセージがバッファのサイズを超える場合は、サーバは要求を拒否 (413 要求エンティ

ティ長の超過) してそのメッセージを破棄します。

チャンク・メッセージには、メッセージ本体の後にトレーラ (追加部分) を含めることができます。大

サイズは、メッセージに追加されているトレーラ以外のメッセージ本体だけに適用されます。

デフォルト値

MaxRequestBody 128

例

MaxRequestBody 256

23346-001J 付録 A-35


付

Message

構文

Message message-id text

解説

Message指示語を使用して、特定のメッセージ (message-id) に関連付けるテキスト (text) を設

定します。この指示語により、サーバ・メッセージをカスタマイズできます。たとえば、メッセージを特

定の言語、ロケール、アプリケーションに合わせられます。

Message指示語を使用すれば、表 A-4 に示すメッセージをカスタマイズできます。

表 A-4　サーバ・アクセス・エラー (1/2 ページ)

メッセージ ID 説明

error-unauthorized ユーザ名やパスワードなどの認証が必要なオブジェクトにアクセスしよ

うとした場合に、Web クライアントに返される HTML テキスト。

デフォルトのテキスト :

Browser not authentication-capable orauthentication failed.

error-badrequest 不正な形式または誤った形式の HTTP 要求を送信した Web クライアン

トに返される HTML テキスト。


Your client sent a query that this servercould not understand.

error-forbidden Webクライアントがアクセスを許可されていないオブジェクトにアクセ

スしようとした場合に、Web クライアントに返される HTML テキスト。


You do not have permission to get therequested object.

error-notfound 存在しないオブジェクトにアクセスしようとしたWebクライアントに返

される HTML テキスト。


The requested object was not found on thisserver.

録 A-36 523346-001J


5

表 A-4　サーバ・アクセス・エラー (2/2 ページ)

必要な数だけ Message 指示語を設定できます。複数の Message 指示語を同じメッセージ ID に対

して設定した場合は、サーバは、後に設定されている指示語を使用します。

デフォルト値

サーバには、すべてのサーバ・メッセージについてデフォルト値が組み込まれています。

メッセージ ID 説明

error-redirect サーバが HTTP リダイレクト応答を返すときの HTML テキスト。メッ

セージのテキスト中にある文字列 $url は、リダイレクト先の URL で置

き換えられます。通常、このテキストはユーザに表示されませんが、リ

ダイレクトをサポートしていない古いブラウザは、このメッセージを表

示する場合があります。


You see this message because your browserdoesn’t support automatic redirectionhandling.

error-server Webクライアントの要求の処理中にサーバで内部エラーが発生した場合

に、Web クライアントに返される HTML テキスト。


The server encountered an internal error andwas unable to complete your request.

error-shortredirect

サーバが HTTP リダイレクト応答を返し、その URL が Web クライアン

トで使用できる URL の長さを超える場合に返される、HTML テキスト。

メッセージのテキスト中にある文字列 $url は、リダイレクト先の URL

で置き換えられます。


This document can be found elsewhere. You seethis message because your browser doesn’tsupport automatic redirection handlingproperly.

error-security-retry

Web クライアントが、要求に対して正しいセキュリティ・オプションを

使用していなかった場合に返される HTML テキスト。


The cryptographic enhancements on the requestwere insufficient. Please try again withappropriate options.

23346-001J 付録 A-37


付

例

Message error-forbidden {<TITLE>Access Denied</TITLE><H1>Access Denied</H1>You have been denied access.

}Message error-shortredirect {

<TITLE>Redirection</TITLE><H1>Redirection</H1>This document can be found <A HREF=\"$url\">elsewhere.</A><P>Your browser does not properly support long URLs.

}

録 A-38 523346-001J


5

MimeType

構文

MimeType mime-type extension-list

解説

MimeType指示語を使用して、extension-list内の拡張子に一致する拡張子のファイルを要求

する Web クライアントに返される MIME タイプを指定します。返される MIME タイプにより、要求され

たファイル (テキスト、オーディオ、ビデオ、イメージなど) のデータのタイプが Web クライアントに示さ

れます。Web クライアントは、MIME タイプをチェックすることで、受け取ったデータをオーディオなど

のデータとして正しく表せます。


MimeType image/gif gif

この場合は、拡張子が .gif のファイルを参照するあらゆる URL には、サーバは、image/gif の MIME タ

イプを要求されたファイルと共に返します。

extension-listに複数の項目がある場合は、空白文字で項目を区切ってください。

備考：サーバに付属するデフォルトの設定ファイル内の MIME タイプに対する拡張子のマッピングは、小文字に

なっています。したがって、.HTML のような大文字で表された拡張子は、大文字の拡張子を正しい MIME タ

イプに明示的にマップしない限り、テキストとして処理されます。

特殊なサーバ機能を有効にするには、次の MIME タイプを使用してください。

application/x-imagemap

この MIME タイプは、ファイルをイメージ・マップとして処理することを示します。

application/x-httpd-guardian

この MIME タイプは、ファイルを CGI プログラムとして処理することを示します。

必要な数だけ MimeType 指示語を設定すれば、サーバ上のすべてのファイル・タイプについてタイ

プ情報を指定できます。多くの一般的なファイル拡張子に対する MimeType指示語は、conf/mime-types.

config ファイルで提供されています。

iTP Secure WebServer のサポートする MIME タイプの詳細な一覧は、8-7 ページの例 8-1 を参照してく

ださい。MIME タイプの詳細については、xxvi ページの「参考文献」を参照してください。

デフォルト値

要求されたファイルに適合する MIME ファイルがなければ、サーバは、DefaultType指示語で指定

したデフォルトの MIME タイプを返します。

23346-001J 付録 A-39


付

Negotiation

構文

Negotiation { None | Lang | Mult }

解説

Negotiation 指示語を使用して、iTP Secure WebServer で、要求されたページの表現を選択する方

法を指定します。たとえば、1 つのコンテンツが複数の言語で利用可能な場合、サーバはユーザの優先言

語でそのコンテンツを提供できます。コンテンツ・ネゴシエーションは、HTTP/1.1 の仕様で定義されてい

ます。該当するドキュメントに記載されているように、iTP Secure WebServer では、サーバによるコンテ

ンツ・ネゴシエーションをサポートしています。マルチビュー・ネゴシエーション・オプションは、Apache

HTTP/1.1 サーバの機能のため、HTTP/1.1 の仕様では定義されていません。

引数 Noneを指定した場合は、サーバはコンテンツ・ネゴシエーションを実行しません。この場合、ク

ライアントから要求されたファイルが指定された URL に存在していなければ、サーバは、エラー・ステー

タス (404) をクライアントに返して、リソースがないことを通知します。

引数 Langを指定した場合は、サーバは言語タグに基づいてコンテンツを選択します。言語タグは RFC

2068 の言語の略語から成り、必要に応じてハイフン (-) とサブタグが続きます。サブタグには、RFC 2068

の国コードまたはその他の登録コードを指定できます。たとえば、コード en-US は米語を示し、コード fr

はフランス語を示します。クライアントは、Accept-Language ヘッダで優先言語タグを指定します。要求に

そのようなヘッダが含まれていない場合、サーバは、LanguagePreference 指示語で指定された値

を使用します。この機能をサポートするには、ターゲット・ディレクトリに、言語タグをサポートする名

前のサブディレクトリが用意されている必要があります。たとえば、クライアントがページ /store1/

welcomeのフランス語表現を要求する場合は、サーバはディレクトリ /store1/fr/内でファイルを検索します。



Accept-Language ヘッダが存在する場合は、サーバは、そのヘッダ内の言語タグと一致するサブディレ

クトリを検索します。タグの優先順位を指定するために、HTTP/1.1 では、タグごとに q 値の概念を定義し

ています。サーバは、q 値の降順にサブディレクトリを検索します。q 値が指定されていない場合は、サー

バは、Accept-Language ヘッダ内の言語タグの記述順にサブディレクトリを検索します。

引数 Multを指定した場合は、サーバは、言語タグに基づくだけでなく、要求内の他のヘッダにも基い

て、指定した条件がターゲット・ディレクトリ内のファイル拡張子 (サブディレクトリではない) と一致す

るコンテンツを選択します。たとえば、クライアントがページ /store1/welcome に対してフランス語の

HTML 表現を要求する場合は、サーバは、/store1/welcome.fr.html または /store1/welcome.html.fr という名

前のファイルを期待します。要求で指定されたすべての条件に一致するファイルがない場合は、サーバは、

条件に対して次のように高から低の優先度までの重みを付けます。

□ Acceptヘッダのコンテンツまたはメディアのタイプ (audio/basic、text/htmlなど)

□ Accept-Languageヘッダの自然言語 (en、deなど)

□ Accept-Encodingヘッダのコンテンツ・エンコーディング (compress、gzipなど)

録 A-40 523346-001J


5

要求に Accept-Language ヘッダが含まれていない場合は、サーバは、LanguagePreference指示語

で指定された値を使用します。

備考：マルチビュー・コンテンツ・ネゴシエーションの条件として言語を使用するには、LanguageSuffix 指示語を

追加して、各言語タグをファイル拡張子にマッピングする必要があります。

WebServer 環境のそれぞれの領域で異なるコンテンツ・ネゴシエーション・ポリシーを利用するには、

Regionコマンドとして Negotiationを使用します。

デフォルト値

この指示語を省略した場合、デフォルト値は None (コンテンツ・ネゴシエーションなし) です。

例

引数 Multを指定し、該当ディレクトリ janedoe に、ファイル xyz.html、xyz.en.html、および xyz.gif が

あるとします。

クライアントは、以下の Accept ヘッダで /usr/janedoe/xyz という URL を要求します。

□ Accept:image/jpeg, text/html, */*

□ Accept-language:en, fr, es

□ Accept-encoding: gzip

この要求を処理するために、サーバは、名前が「xyz」で始まるすべてのファイルを検出してから、要

求ヘッダを使用して、も一致するファイルを選択します。この場合、も一致するファイルは

xyz.en.htmlで、このファイルが Acceptヘッダと Accept-Languageヘッダにおける条件を

満たしています。

23346-001J 付録 A-41


付

OutputTimeout

構文

OutputTimeout time-in-seconds

解説

OutputTimeout指示語を使用して、要求されたファイルをサーバがクライアントに送信する際にか

けられる時間 (秒) を設定します。この制限時間内にファイル全体が送信されなかった場合は、要求は中止

され、接続が切断されます。

OutputTimeout指示語は、設定ファイル内で 1 つだけ使用できます。

大値は 4294967295 (符号なし long 型整数の許容大値) です。

デフォルト値

OutputTimeout 1200


例

OutputTimeout 240

録 A-42 523346-001J


5

Pathmon

構文

Pathmon process-name {[Priority number]

[PrimaryCPU number][Hometerm file-name][BackupCPU number][Gsubvol oss-pathname]

[Hometerm file-name][MaxServerClasses number][MaxServerProcesses number][Security security-attribute] }

解説

Pathmon 指示語は、PATHMON プロセスの設定に必要です。PATHMON の設定の詳細については、

『NonStop TS/MP System Management Manual』または『NonStop TS/MP Management Programming Manual』


Pathmon process-name

iTP Secure WebServer環境を制御するPATHMONプロセスのOSSパス名です。process-nameは、英字 1 文字とその後に 1 文字から 3 文字の英数字を続けた構成にします。この名前には、文字

列 /G/ を先頭に付けます。process-nameはホスト上で一意でなければなりません。

Pathmon指示語の例は、次のとおりです。

Pathmon /G/zweb

これ以降の Pathmon属性は、Web サーバを実行する Pathway サブシステムの作成制御に使用します。

Priority number

PATHMON プロセスの実行優先度を指定します。

numberには、1 から 199 までの値を指定できます。この属性を省略すると、PATHMON プロセ

スの優先度は、PATHMON プロセスを起動する httpd プロセスと同じになります。

Priority属性の例は、次のとおりです。

Priority 150

この属性は省略可能です。

23346-001J 付録 A-43


付

Hometerm file-name

このシステム上で実行している PATHMON プロセスが使用する Guardian ホーム端末の名前を指定

します。Hometerm 属性を指定しない場合は、デフォルトのホーム端末は、このマシンの上で

PATHMON プロセスを起動したプログラムと関連付けられたホーム端末になります。PATHMON

ホーム端末に非同期端末を使用することをお勧めします。

Hometerm属性の例は、次のとおりです。

Hometerm $terma


PrimaryCPU number

PATHMON プロセスを実行するプライマリ・プロセッサを指定します。

PrimaryCPU属性の例は、次のとおりです。

PrimaryCPU 1

この属性は必須です。

BackupCPU number

PATHMON プロセスを実行するバックアップ・プロセッサを指定します。

BackupCPU属性の例は、次のとおりです。

BackupCPU 2


Gsubvol oss-pathname

NonStop TS/MP ログ・ファイルとコントロール・ファイルに使用される OSS パス名を指定します。

oss-pathname は、/G ディレクトリで始まり、その後に Guardian ボリュームとサブボリュー

ム名を続けます。

Gsubvol属性の例は、次のとおりです。

Gsubvol /G/system/zweb


MaxServerClasses number

PATHMON 環境でのサーバ・クラスの許容大数を指定します。

MaxServerClasses属性の例は、次のとおりです。

MaxServerClasses 25

この属性は省略可能です。 iTP Secure WebServer 環境の場合は 2 未満の値を、あるいは iTP

Administration Server 環境の場合は 3 未満の値を設定しないでください。

録 A-44 523346-001J


5

MaxServerProcesses number

iTP Secure WebServer 環境でサーバ・クラスすべてに対して定義できるサーバの大数です。

PATHMON 環境におけるサーバ・クラスの MaxServersの合計が、定義されたサーバの大数

を超えないようにしてください。

MaxServerProcesses属性の例は、次のとおりです。

MaxServerProcesses 2

この属性は省略可能です。 iTP Secure WebServer 環境の場合は 2 未満の値を、あるいは iTP

Administration Server 環境の場合は 3 未満の値を設定しないでください。

Security security-attribute

Pathway オブジェクトの状態を直接変更する PATHCOM コマンドを発行できるユーザを指定しま

す。セキュリティ属性は、標準の Guardian セキュリティ属性と同じです。値は、次のとおりです。

Pathmon指示語で Security属性を指定しなければ、デフォルト値は O です。

Security属性の例は、次のとおりです。

Security G


A 任意のローカル・ユーザ

G グループ・メンバまたは所有者

O 所有者のみ

- ローカルの Super ID

N ローカルまたはリモートの任意のユーザ

C 所有者の所属グループの任意のメンバ (所有者と同じグループ ID を持つローカルまた

はリモートのユーザ)

U 所有者のユーザ・クラスの任意のメンバ (所有者と同じグループ ID とユーザ ID を持つ

ローカルまたはリモートのユーザ)

23346-001J 付録 A-45


付

PathwayMimeMap

構文

PathwayMimeMap mime-type { pathmon[:serverclassname] |serverclassname }

解説

PathwayMimeMap指示語は、定義済みのMIMEタイプと、そのタイプのファイルを処理できるNonStop

TS/MP サーバ・クラスの名前とを関連付けます。

mime-type

MimeType指示語で、application/x-httpd-guardian という MIME タイプになるように定義されてい

る拡張子。

pathmon

PATHMON プロセスの、OSS ファイル形式 (つまり、/G/が前に付く ) での名前。PATHMON 名

は、サーバ・クラスが httpd プロセスと同じ PATHMON 環境にある場合は、省略可能です。

serverclassname

有効な NonStop TS/MP サーバ・クラス名。サーバ・クラス名を指定しない場合は、サーバ・クラス

は、拡張子を除いたファイルと同じ名前を持つと見なされます。たとえば、ファイル logon.ab_demo

は、PATHMON 名の示す PATHMON 環境で logon というサーバ・クラスが参照します。

例

以下に、PathwayMimeMap 指示語の例を示します。初の例はサーバ・クラス名を指定しており、

2 番目は PATHMON 名を、また 3 番目は両方を指定しています。

PathwayMimeMap tcl tcl-server

PathwayMimeMap userapp /G/UAPathwayMimeMap userapp2 /G/UA:ua2-server

次の例は、PathwayMimeMap指示語とそれをサポートする MimeType指示語との関係を示してい

ます。MimeType 指示語は、PathwayMimeMap 指示語より先に指定しますが、例に示しているよう

に、PathwayMimeMap指示語の直前に指定する必要はありません。以下の 2 つの MimeType指示語

は、拡張子が cgi と ab_demo のファイルが、application/x-httpd-guardian という MIME タイプであることを

示しています。サポートする PathwayMimeMap指示語は、拡張子が cgi のファイルは generic-cgi サー

バ・クラスで処理され、拡張子が ab_demo のファイルは PATHMON プロセス /G/ZAB または $ZAB の管

理下のサーバ・クラスで処理されることを示しています。

MimeType application/x-httpd-guardian cgiPathwayMimeMap cgi generic-cgi

MimeType application/x-httpd-guardian ab_demoPathwayMimeMap ab_demo /G/ZAB

録 A-46 523346-001J


5

PidFile

構文

PidFile filename

解説

PidFile指示語を使用して、サーバがサーバ・プロセス ID を記録するファイルを設定します。

PidFile指示語は省略可能です。PidFile指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

なし。PidFile指示語を設定しなければ、プロセス ID ファイルは作成されません。

例

PidFile /usr/tandem/webserver/httpd.pid

23346-001J 付録 A-47


付

PutScript

構文

PutScript CGI-script-filename

解説

PutScript 指示語を使用して、HTTP/1.1 プロトコルで定義されている PUT メソッドを iTP Secure

WebServer がサポートできるようにします。PUT メソッドは、新しいページを格納するか、ホスト上の既

存のページを置き換えます。

この指示語を使用しない場合、クライアントがコンテンツをホストにアップロードするには、FTP (File

Transfer Protocol) または POST 要求メソッドを使用します。FTP、POST、および PUT の操作の違いは、次

のとおりです。

□ FTP は、指定された場所にファイルをコピーします。設定ファイル内の Filemap指示語は、URL と

サーバ上のファイル位置の間の対応関係を決定します。

□ POST は、要求内の URL で指定されたリソースにデータ (フォームからの入力など) を送信します。た

とえば、URL では、データを受け入れるアプリケーション、データを転送するゲートウェイ、または

項目を追加できるリソース (ニュースグループ、データベースなど) を指定できます。

□ PUT が POST と異なるのは、要求で送信されたコンテンツが、指定された URL の下に格納され、その

場所に格納されているコンテンツを置き換えるという点です。

クライアントがサーバ上のコンテンツを直接更新できる場合には、明らかにセキュリティが問題となり

ます。PUT を安全に使用するには、セキュリティに配慮した CGI スクリプトを用意する必要があります。

このスクリプトで、クライアントを認証し、要求された更新の実行をクライアントに対して許可するかを

決定するために必要なそのほかの機能を実行します。このスクリプトには、環境変数 PATH_INFO、

PATH_TRANSLATED、および SCRIPT_NAME を加える必要があることに注意してください。変数 CGI-

script-filenameは必須で、サーバに対して、または領域内でこうした機能を実行するスクリプトの

場所を指定します。

iTP Secure WebServer は、以下のいずれかの場合に、PUT 要求を受信した時点でクライアントにエラー

を返します。

□ 要求を利用するサーバまたは領域に対してPutScript指示語が指定されていない場合は、iTP Secure

WebServer はエラー (404 見つからない) を返します。

□ PutScript要求が指定されていても、CGI-script-locationが指定されていない場合は、起

動に失敗します。

□ PutScript要求が指定されていても、指定されたスクリプトが見つからない場合は、iTP Secure

WebServer はエラー (404 見つからない) を返します。

□ クライアントが HTTP/1.1 以降に対応していない場合は、iTP Secure WebServer はエラー (400 不正な要

求) を返します。

録 A-48 523346-001J


5

Region

構文

Region [options] URL-path {[AddCGI env-var value]

[AllowHost -noexsit host-pattern][DefaultType mime-type][Deny -noexist][DenyHost -noexist host-pattern]

[DirectoryIndex][DisableCloseNotify][EnableIncludes [-restricted] [-nesting level]][EncodingType code-type extension-list][Filemap [-symlink-disable] [-symlink-owner] prefix path]

[HostMatch pattern pattern][IndexFile filename1 filename2...][LanguagePreference language-tags][LogItem item-name item-value]

[Message message-id text][MimeType mime-type extension-list][Negotiation {None | Lang| Mult}][NoCache Region][NoLog]

[OutputTimeout time-in-seconds][Priority priority-increment][PutScript CGI-script-location][Redirect [status] [-replace /replace-spec] target-url]

[RequiredFileExtension [-noexist] file-extension][RequirePassword realm -userfile userfile][RequireSecureTransport [-nossl -nopct -auth [user-list]][ScriptTimeout time-in-seconds][SendHeader header]

[SI_Department departmentID -attribute value[-attribute value ...]]

[SI_RequireSI departmentID group-list][UserDir [-symlink-disable][-symlink-owner] user-dir]

}

解説

Region指示語を使用して、パスによるサーバへのアクセスを制御します。指定するコマンドは、URL-pathと一致する URL に適用されます。たとえば、特定のクラスのユーザに対して、サーバの特定の領域

へのアクセスを拒否できます。

23346-001J 付録 A-49


付

Region指示語により、サーバ上の複数のオブジェクト、たとえば、すべての .cgi ファイルに同じアク

セス制御を適用できます。

Region指示語で Tcl 変数を使用すれば、日時、Web クライアント・ホスト名、HTTP ヘッダ情報など

の要因に従って操作を変えられます。詳細については、7-38 ページの「Tcl 変数の使用」を参照してくだ

さい。

options

Region指示語は、2 つのオプションを使用できます。

-host host-addr

-hostオプションを使用すると、host-addrと関連付けられた IP アドレスで接続を受

けた場合にのみ Region指示語が呼び出されます。

-port port-num

-port オプションを使用すると、port-num のポートで接続を受けた場合にだけ

Region指示語が呼び出されます。

これらのオプションにより、特定の領域を仮想ホストとして指定できます。複数ホストの使用の詳

細については、7-40 ページの「複数ホストへの対応」を参照してください。

URL-path

指定する URL パターンには、実際の URL パターンと一致させるために特殊な文字を追加できます。

このような特殊な文字を表 A-5 に示します。

表 A-5　URL パターン・マッチング文字

正規表現説明

* 空文字列を含めて、文字列中のあらゆる文字シーケンスと一致します。

? 文字列中の任意の 1 文字と一致します。

[chars] chars で与えられたセット内の 1 文字と一致します。chars 内に x-y 形式の

シーケンスがある場合は、x と y を含めて、その間のどの文字とでも一致

します。

\x x という 1 文字と一致します。この方法により、パターン内の *?[]\ という

文字を特殊文字として解釈しないようにできます。

録 A-50 523346-001J


5

パターン・マッチング・メカニズムは、UNIX シェルでファイル名の拡張に使用されているメカニズム

と同じです。表 A-6 に、いくつかの例を示します。

表 A-6　URL パターン・マッチングの例

Region コマンド

Region指示語は、Regionコマンドと呼ばれる特殊なコマンドを利用して、指示語で指定した URL

パスと一致する、サーバ上の領域に対するアクセスを制御します。指定できる Region コマンドは、以

下のとおりです。

AddCGI env-var value

AddCGIコマンドは、指定された領域内のすべての CGI プログラムに対して、指定された CGI 環

境変数 (env-var) をデフォルト値 (value) に設定します。たとえば、次のように指定します。

Region /* {AddCGI CGI_LIBRARY /usr/tandem/webserver/lib

}

この例では、領域 /* 内のすべての CGI プログラムに対して、環境変数 CGI_LIBRARY が /usr/

tandem/webserver/lib に設定されます。

AddCGIコマンドの設定は、CGI プログラムでないサーバ・オブジェクトには影響しません。

CGI 環境変数の詳細については、第 8 章「CGI (Common Gateway Interface) プログラムの使用」を


AllowHost [-noexist] host-pattern ...

AllowHostコマンドは、Web クライアントのホストまたは IP アドレスが、指定されたホスト・

パターン (host-pattern...) のどれとも一致しない場合に「アクセス拒否」のメッセージを

返します。Web クライアントのホスト名または IP アドレスが一致しない場合は、この指示語内にあ

る他のコマンドは評価されません。ホスト・パターンを指定する際には、付録 A-50 ページの表 A-

5 に示す特殊な正規表現を使用できます。

-noexistオプションを指定すると、AllowHostコマンドは、「アクセス拒否」のメッセージ

ではなく「見つからなかった」というメッセージを返します。

たとえば、次の指示語でのコマンドは、サーバの /admin/ セクションへのアクセスをドメイン

company.com 内のホストに制限します。

Region /admin/ {AllowHost *.company.com

}

/admin/* このパターンは、文字列 /admin/で始まるあらゆるURLパスと一致します。

*.cgi このパターンは、.cgi という拡張子で終わるあらゆる URL パスと一致しま

す。

/images/*.gif このパターンは、images ディレクトリ以下にあって拡張子が .gif のあらゆ

る URL パスと一致します。

23346-001J 付録 A-51


付

DefaultType mime-type

DefaultTypeコマンドは、所定の領域内のすべてのファイルに対して、デフォルトの MIME タ

イプ (mime-type) を設定します。指定したタイプは、MIME タイプ拡張子 (付録 A-39 ページの

「MimeType」を参照 ) が一致しないファイルや拡張子のないファイルに対して、サーバによって返

されます。DefaultType コマンドは、DefaultType 設定指示語 ( 付録 A-17 ページの

「DefaultType」を参照) で指定したデフォルト値に優先します。


Region /cgi-bin/* {

DefaultType application/x-httpd-guardian}

この例では、ディレクトリ/cgi-bin内のあらゆるファイルのデフォルトのMIMEタイプは、application/

x-httpd-guardian に設定されます。

Deny [-noexist]

Deny コマンドは、「アクセス拒否」のメッセージを Web クライアントに返します。Region 指

示語内にある他のコマンドは評価されません。

-noexist オプションを指定すると、Deny コマンドは、「アクセス拒否」のメッセージではな

く「見つからなかった」というメッセージを返します。

たとえば、次の指示語でのコマンドは、ディレクトリ /admin の下のオブジェクトに対して要求を行

うクライアントのアクセスをすべて拒否します。

Region /admin/* {Deny

}

DenyHost [-noexist] host-pattern ...

DenyHostコマンドは、Web クライアントのホストまたは IP アドレスが、指定されたホスト・パ

ターン (host-pattern...) のいずれかと一致する場合に「アクセス拒否」メッセージを返し

ます。Web クライアントのホスト名または IP アドレスが一致する場合は、この指示語内にある他

のコマンドは評価されません。ホスト・パターンを指定する場合は、付録 A-50 ページの表 A-5 に

示す特殊な正規表現を使用できます。

-noexistオプションを指定すると、DenyHostコマンドは、「アクセス拒否」のメッセージで

はなく「見つからなかった」というメッセージを返します。

たとえば、次のコマンドは、ドメイン server.org のあらゆるホストに対して、サーバ上のすべての

オブジェクトへのアクセスを拒否します。

Region * {DenyHost *.server.org

}

DirectoryIndex

DirectoryIndexコマンドにより、ディレクトリ・インデックスを自動生成できます。要求が、

インデックスがないディレクトリを参照している場合は、ディレクトリ内のファイルのインデック

スが自動生成されます。

録 A-52 523346-001J


5

たとえば、次の指示語でのコマンドにより、ディレクトリ /personal の下のディレクトリ要求に対し

て、インデックスを自動生成できます。

Region /personal/* {DirectoryIndex

}

DisableCloseNotify

DisableCloseNotify コマンドを使用すると、iTP Secure WebServer は、SSL 3.0 の接続を

切断する前の、切断通知の警告を送信しません。

ブラウザが接続終了の警告を受信するとハングしてしまうような場合には、この Region コマン

ドにより切断通知の警告が無効にします。

デフォルトでは、切断通知の警告は、SSL 3.0 の接続を切断する前に送信されます。

Region指示語で DisableCloseNotifyを使用するには、次のように指定します。

Region /* {if {[info exists HEADER(user-agent)]


DisableCloseNotify}

}

EnableIncludes [-restricted] [-nesting level]

EnableIncludesコマンドを使用すると、特定の領域でのSSI (サーバ・サイド・インクルード

)を全面的に、または部分的に使用できます。サーバでのSSIのセットアップについては、7-48 ペー

ジの「SSI (サーバ・サイド・インクルード) のセットアップ」を参照してください。

EnableIncludesコマンドは、次の引数を受け入れます。

-restricted

-restricted引数を使用して、execコマンド (7-50 ページの「SSI 指示語」を参照) の

使用を含めて、指定の領域で SSI を全面的に使用できるようにします。-restricted引数なしで EnableIncludesコマンドを指定すると、SSI は指定の領域に対して使用で

きますが、execコマンドは使用できません。

-nesting level

-nesting引数を使用して、文書インクルードでの許容ネスティング・レベル数 (level)

を指定します。デフォルト値は 3 で、これは、文書 1 が文書 2 を含むことができ、文書 2 が

文書 3 を含むことができ、文書 3 が文書 4 を含むことができる、つまり 4 つの文書でネス

ティング・レベルが 3 になる、という意味です。

デフォルトでは、SSI は使用できません。

Region指示語で EnableIncludesを使用するには、次のように指定します。

Region * {EnableIncludes -restricted -nesting 1}

23346-001J 付録 A-53


付

EncodingType code-type extension-list

EncodingTypeコマンドは、extension-list内の拡張子に一致する拡張子のファイルを

要求する Web クライアントに返される、エンコーディング・タイプの識別子 (code-type) を指

定します。返されたエンコーディング・タイプは、ファイル・コンテンツを参照するのに必要なデ

コーディングの種類を、Web クライアントに示します。通常、このデコーディングは圧縮展開の一

部です。

extension-list内の項目は、空白文字で区切られます。

EncodingType コマンドは、指定された領域に関して、EncodingType 指示語で同じ項目

に設定されたグローバル指定に優先します。EncodingType 指示語の使用方法の詳細について

は、付録 A-20 ページの「EncodingType」を参照してください。

Filemap [-symlink-disable] [-symlink-owner] prefix path

Filemap コマンドは、URL をホスト・マシン上の特定のディレクトリやファイルにマップしま

す。URL に prefix で始まるパス要素がある場合は、iTP Secure WebServer は、その URL パス

を pathで指定された新しいパス名に変換します。iTP Secure WebServer は、新しいパス名を作成

するために、prefixの後に続く URL 要素をパスに追加します。


-symlink-disable

このオプションは、指定されたディレクトリ内でのファイルへのシンボリック・リンクを無

効にします。iTP Secure WebServer は、シンボリック・リンクを含むパスへのアクセスの応

答として、「見つからなかった」というメッセージを返します。

-symlink-owner

このオプションは、-symlink-disable オプションと同様に、シンボリック・リンク

を無効にします。ただし、対象となるシンボリック・リンクの所有者が、シンボリック・リ

ンクの示すファイルの所有者である場合を除きます。

Filemap コマンドは、指定された領域に関して、Filemap 指示語で同じ項目に設定されたグ

ローバル指定に優先します。Filemap指示語の使用方法の詳細については、付録 A-23 ページの

「Filemap」を参照してください。

HostMatch pattern pattern ...

HostMatchコマンドは、Web クライアントのホスト名または IP アドレスが指定されたパターン

(pattern) のいずれかと一致する場合は、真を示す 1 を返します。どれとも一致しない場合は、

偽を示す 0 を返します。たとえば、次のように指定します。

Region / {

if [HostMatch *.widget.com] {Redirect /widget-welcome.html

}}

この例では、*.widget.com からのホーム・ページ要求は、特別なホーム・ページにリダイレクトさ

れます。

録 A-54 523346-001J


5

IndexFile filename1 filename2 ...

IndexFileコマンドは、iTP Secure WebServer が、URL が特定のファイルではなくディレクト

リを参照するときに返すファイルを指定します。通常、IndexFile指示語は、URL で参照され

るディレクトリのコンテンツについてのインデックスやその他の記述を含むファイルに対して設定

されます。

IndexFileコマンドは、指定された領域に関して、IndexFile指示語で同じ項目に設定され

たグローバル指定に優先します。IndexFile 指示語の使用方法の詳細については、付録 A-26

ページの「IndexFile」を参照してください。

LanguagePreference language-tags

LanguagePreferenceコマンドは、iTP Secure WebServer 環境または領域に対するコンテン

ツ・ネゴシエーションを決定する場合にサーバが優先的に使用する自然言語を指定します。コンテ

ンツ・ネゴシエーションは、HTTP/1.1 の仕様で定義されているプロトコル機能です。

サーバがこの指示語を利用するのは、設定ファイルに Negotiation 指示語と Lang または

Multの引数が記述されている場合や、クライアントが Accept-Language ヘッダなしで要求を送信

する場合に限ります。

language-tagsは、少なくとも 1 つの RFC 2068 の言語タグから成ります。複数のタグを指定

するには、各タグを空白文字なしにコンマで区切ります。タグは、優先する順に指定し、そのリス

トを中カッコ ({ }) で囲みます。



LanguagePreferenceコマンドは、指定された領域に関して、LanguagePreference指

示語で同じ項目に設定されたグローバル指定に優先します。LanguagePreference 指示語の

詳細については、付録 A-31 ページの「LanguagePreference」を参照してください。

LogItem item-name item-value

LogItem コマンドを指定すれば、ユーザ定義のログ項目 (item-name) に関連付けられた値

(item-value) が、現在の要求に対して拡張ログ・ファイルに書き込まれます。拡張ログ・ファ

イルは、ExtendedLog指示語を使用してアクティブにすることもできます。ExtendedLog指

示語の詳細については、付録 A-22 ページの「ExtendedLog」を参照してください。

たとえば、このコマンドを次のように指定するとします。

LogItem reason "Attempt to access from bad referring host"

この場合は、ユーザ定義のログ項目 reason が「Attempt to access from bad referring host」という値

と共に、現在の要求に対して拡張ログ・ファイルに記録されます。

Message message-id text

Message コマンドを使用して、特定のメッセージ (message-id) にテキスト (text) を関連

付けます。このコマンドにより、iTP Secure WebServer メッセージをカスタマイズできます。たと

えば、メッセージを特定の言語、ロケール、アプリケーションに合わせられます。

Messageコマンドは、指定された領域に関して、Message指示語で同じメッセージに設定され

たグローバル指定に優先します。Message指示語の使用方法の詳細については、付録 A-36 ペー

ジの「Message」を参照してください。

23346-001J 付録 A-55


付

メッセージ・テキストの大長は 4K バイトです。

MimeType mime-type extension-list

MimeTypeコマンドを使用して、extension-list内の拡張子に一致する拡張子のファイル

を要求する Web クライアントに返される MIME タイプ識別子 (mime-type) を指定します。返さ

れる MIME タイプにより、要求されたファイル (テキスト、オーディオ、ビデオ、イメージなど) の

データのタイプが Web クライアントに示されます。これにより、Web クライアントは、データを

オーディオなどのデータとして正しく解釈できます。extension-list内の項目は、空白文字

で区切られます。

mime-types.config ファイルで指定されているデフォルトの MIME タイプ拡張子は、小文字になって

います。拡張子が大文字で .HTML のファイルは、MimeType指示語または MimeTypeコマン

ドに対する拡張子として大文字の HTML を追加しない限り、テキストとして表示されます。

MimeType コマンドは、指定された領域に関して、MimeType指示語で同じ項目に設定された

グローバル指定に優先します。MimeType 指示語の使用方法の詳細については、付録 A-39 ペー

ジの「MimeType」を参照してください。

Negotiation {None | Lang | Multi}

Negotiation 指示語は、iTP Secure WebServer で、要求されたページに対して有効な表現を選

択する方法を指定します。たとえば、1 つのコンテンツが複数の言語で利用可能な場合、サーバは

ユーザの優先言語でそのコンテンツを提供できます。コンテンツ・ネゴシエーションは、HTTP/1.1

の仕様で定義されています。該当するドキュメントに記載されているように、iTP Secure WebServer

では、サーバによるコンテンツ・ネゴシエーションをサポートしています。

Negotiation コマンドは、指定された領域に関して、Negotiation 指示語で同じ項目に設

定されたグローバル指定に優先します。Negotiation 指示語の使用方法の詳細については、

付録 A-40 ページの「Negotiation」を参照してください。

NoCache

NoCache指示語は、URL_pathと一致するすべての URL に対するファイル・キャッシングを無

効にする場合に使用します。つまり、その領域内のファイル・オープン、ファイル状態、またはファ

イル・コンテンツは一切キャッシュに格納されません。

ファイル・キャッシングのメカニズムは、iTP Secure WebServer 上のすべてのディスク・ファイル

に適用されます。少数のディスク・ファイルを絶えず更新する必要がある場合は、ファイル・キャッ

シュの更新も頻繁に行う必要があるので、iTP Secure WebServer 全体のパフォーマンスが低下する

可能性があります。NoCache コマンドを使用すると、これらのファイルのうち数ファイルを

キャッシュに格納しないようにし、スタティック・ファイルをより長時間キャッシュに格納してお

くことによって、高いパフォーマンスを維持できます。

ただし、Region 指示語は、要求のたびに (この場合はファイル・アクセスのたびに ) 評価されま

す。したがって、Region指示語が多すぎると、iTP Secure WebServer の効率が低下する可能性が

あります。も良い方法は、絶えず更新されるファイルをすべて 1 つの領域内に保管することです。

Region指示語が設定されていない場合、または Region指示語内に NoCacheコマンドがない

場合、サーバはアクセスされるファイルをすべてキャッシュに格納しようとします。

録 A-56 523346-001J


5

例：

Region /h/dynamic_files/* {NoCache}

NoLog

NoLog コマンドは、現在の要求のログ記録を無効にします。サーバ・アクセス・ログ、エラー・

ログ、または拡張ログのファイルにエントリは生成されません。

たとえば、次のコマンドは、.gifという拡張子で終わるすべてのファイルのログ記録を無効にします。

Region *.gif {NoLog

}

OutputTimeout time-in-seconds

OutputTimeout コマンドは、要求されたファイルを iTP Secure WebServer がクライアントに

送信する際にかけられる長時間 (time-in-seconds) を設定します。この制限時間内にファイ

ル全体が送信されなかった場合は、要求は中止され、接続が切断されます。デフォルト値は、1200

秒 (20 分) です。大値は、4294967295 (符号なし long 型整数の許容大値) です。

OutputTimeoutコマンドは、指定された領域に関して、OutputTimeout指示語で設定さ

れたグローバル指定に優先します。OutputTimeout 指示語の使用方法の詳細については、付

録 A-42 ページの「OutputTimeout」を参照してください。

Priority priority-increment

Priority コマンドは、CGI プログラムを強制的に低いプロセス優先度で実行させます。

priority-incrementの値 (0 から 20) が高いほど、優先度は低くなります。Priorityコ

マンドが設定されていない場合、または値が 0 に設定されている場合は、対象となる CGI プログラ

ムは、iTP Secure WebServer と同じ優先度で実行します。

たとえば、次のコマンドは、すべての CGI プログラム (*.cgi) を強制的に低の優先度で実行します。

Region *.cgi {Priority 20

}

PutScript CGI-script-filename

PutScript コマンドは、サーバが PUT 要求を処理することを示し、クライアントの認証やほか

に必要な検証機能を実行するスクリプトの場所を指定します。

PutScript コマンドは、指定された領域に関して、PutScript 指示語で同じ項目に設定され

たグローバル指定に優先します。PutScript指示語の使用方法の詳細については、付録A-48ペー

ジの「PutScript」を参照してください。

Redirect [status] [-replace /replace-spec] target-url

Redirect コマンドは、要求されたオブジェクトに対応して指定された URL (target-url)

を返すようにサーバに指示します。たとえば、HTML 文書 /info/stats.html を別のホスト・マシンの

/statsinfo.html に移動した場合は、次の Redirect コマンドを使用すれば、この文書に対するす

べての要求をリダイレクトできます。

23346-001J 付録 A-57


付

Region /info/stats.html {Redirect http://www.widgets.com/statsinfo.html

}

status変数は、指定されたリダイレクションが一時的か永続的かを示します。したがって、値は

一時的な場合と永続的な場合があります。リダイレクションによって要求が満たされると、要求さ

れたファイルが永続的に移動された場合は、サーバは状態コード 301 をクライアントに返しますが、

要求されたファイルが一時的に移動された場合は、状態コード 302 を返します。この変数と省略し

た場合には、サーバは一時的な移動として動作し、状態コード 302 を返します。

-replace 引数により、ディレクトリ全体に対する要求をリダイレクトできます。この引数を指

定すると、/replace-specで指定された URL 要素が、要求された URL の先頭から削除されま

す。次に、要求された URL の残りの部分がターゲット URL に添付されます。

たとえば、次の Redirectコマンドを使用すれば、ディレクトリ /info/stocks/ の下にあるすべて

のオブジェクトに対する要求を、新しいロケーション http://quote.widgets.com/stocks にリダイレク

トできます。

Region /info/stocks/* {Redirect -replace /info/stocks

http://quote.widgets.com/stocks

}

RequiredFileExtension [-noexist] file-extension

RequiredFileExtensionコマンドは、領域のコンテンツの要求に使用する URL 内のファイ

ル拡張子を制限します。たとえば、このコマンドを使用して、ATP スクリプトがテキストとしてダ

ウンロードされないようにすることができます。URL 内のファイル拡張子を制限する機能は、コン

テンツが /G または /E ネームスペースにある場合に特に重要です。その理由は、それらのネームス

ペースに格納されたファイルには拡張子がないためです。

-noexist 引数を指定すれば、受信した URL が領域に対して不正な拡張子を持っていた場合に

レポートされるエラーを制御できます。このオプションを指定した場合は、不正な拡張子を持つ要

求に対して「ファイルが見つからなかった」という応答が返されます。このオプションを省略した

場合は、不正な拡張子を持つ要求に対して「アクセスが拒否された」という応答が返されます。

file-extension変数には、必要な拡張子を指定します。(値の中にピリオドは入れないでくだ

さい。)

たとえば、次のコマンドは、/G で始まる URL すべてに拡張子 .html を設定するように要求します。

要求内の URL にほかの拡張子が設定されている場合は、サーバは、「アクセスが拒否された」とい

うエラーをブラウザに返します。

Region /G* {RequiredFileExtension html

}

次のコマンドは、/G で始まる URL すべてに拡張子 .html を設定するように要求します。要求内の

URL にほかの拡張子が設定されている場合は、サーバは、「ファイルが見つからなかった」という

エラーをブラウザに返します。

録 A-58 523346-001J


5

Region /G* {RequiredFileExtension -noexist html

}

次のコマンドは、名前が「atp」で終わる Guardian サブボリュームを参照する URL に、拡張子 .atp

を設定するように要求します。要求内の URL にほかの拡張子が設定されている場合は、サーバは、

「アクセスが拒否された」というエラーをブラウザに返します。

Region /G/vol/*atp/* {RequiredFileExtension atp

}

次のコマンドは、名前が「atp」で終わる Guardian ファイルを参照する URL に、拡張子 .atp を設定

するように要求します。要求内の URL にほかの拡張子が設定されている場合は、サーバは、「アク

セスが拒否された」というエラーをブラウザに返します。

Region /G/vol/*atp {RequiredFileExtension atp

}

RequirePassword realm -userfile userfile

RequirePasswordコマンドは、有効なユーザ名とパスワード (HTTP 基本認証) を備えたクラ

イアントにアクセスを制限します。realmは、ユーザの Web クライアントがユーザ名とパスワー

ドの入力を求めるときに示されるテキスト文字列です。userfile は、ユーザ名 / パスワード・

データベースを格納しているサーバ・ファイルの名前です。

Web クライアントが有効なユーザ名とパスワードを与えない場合は、指示語内にある他のコマンド

は評価されません。

たとえば、次の指示語でのコマンドでは、サーバ上のディレクトリ /private/ にアクセスする場合に

ユーザ名とパスワードが必要です。

Region /private/* {RequirePassword "Access username" -userfile

/server/passwords}

ユーザ名 / パスワード・データベースは、ASCII テキスト・ファイルに格納されます。ポンド記号

(#) で始まる行は注釈で、無視されます。ユーザ名 / パスワードのエントリは、ユーザ名とパスワー

ド 2 つの要素から成り、コロン (:) で区切られます。各エントリは 1 行で記述されます。パスワード

は暗号化された形式で格納されます。たとえば、次のようになります。

##WebServer user database file#fred:bDzuF2kRWwkw2

brian:KFPjGuWCnLxBY

useradm ユーティリティを使用すれば、ユーザ名 / パスワード・データベースの作成、およびエン

トリの追加や削除ができます。useradm ユーティリティの使用方法の詳細については、7-31 ページ

の「パスワードの管理」を参照してください。Region指示語の使用方法の詳細については、7-28

ページの「サーバへのアクセスの制御」を参照してください。

23346-001J 付録 A-59


付

RequireSecureTransport [-nossl -nopct -auth [user-list]]

RequireSecureTransportコマンドは、SSL や PCT の安全なトランスポート・プロトコル

を接続に使用するように要求します。このコマンドは、iTP Secure WebServer の初期のバージョン

で利用できる RequireSSLコマンドに代わるものです。

RequireSecureTransportコマンドでは、以下のオプションが使用できます。

-nossl

SSL を使用した接続を禁止します。

-nopct

PCT を使用した接続を禁止します。

-auth [user-list]

クライアントの認証を必要とします。ユーザのオプション・リスト (user-list) には、受

け入れ可能なクライアント DN の Tcl リストを指定できます。リストが指定されていない場

合は、任意の認証を使用できます。Web クライアントの証明書は、iTP Secure WebServer が

妥当性を検証します。(iTP Secure WebServer が証明書の妥当性を検証ができない場合にアク

セスを許可するには、領域内または CGI プログラム内の CGI 変数を使用してください。)

認証が必要ない場合や、認証が AcceptSecureTransport 指示語で要求された場合に

RequireSecureTransport -authを使用すると、エラーになります。

以下の例は、Region 指示語で RequireSecureTransport を使用する方法を示していま

す。

名前が /secure で始まる領域への保護されていない接続を禁止するには、次のように指定します。

Region /secure* {RequireSecureTransport

}

名前が /SSL/ で始まる領域への PCT 接続を禁止するには、次のように指定します。

Region /SSL/* {RequireSecureTransport -nopct

}

名前が /PCT で始まる領域への SSL 接続を禁止するには、次のように指定します。

Region /PCT* {RequireSecureTransport -nossl

}

ScriptTimeout time-in-seconds

ScriptTimeoutコマンドは、CGI プログラムが出力を Web クライアントに送信する際の、iTP

Secure WebServer での許容時間 (秒) を設定します。デフォルト値は 300 秒です。1073741824 より

大きい値を指定しないでください。設定された時間内にプログラムが終了しなかった場合は、要求

は中止され、接続が切断されて、CGI プロセスに終了信号が送信されます。

ScriptTimeoutコマンドは、指定された領域に関して、ScriptTimeout指示語で設定さ

れたグローバル指定に優先します。ScriptTimeoutコマンドの使用方法の詳細については、付

録 A-60 523346-001J


5

録 A-69 ページの「ScriptTimeout」を参照してください。

SendHeader header

SendHeaderコマンドでは、指定された HTTP ヘッダ (header) が、Web クライアント要求に

対するサーバの応答に追加されます。HTTP ヘッダを使用して、特定のクライアント機能 (キャッシ

ングなど ) を有効または無効にしたり、クライアントの動作を変更できます。たとえば、次のよう

に指定します。

SendHeader "Pragma: nocache"

クライアントによるヘッダの認識は、クライアントによって異なります。特定のクライアントに関

するヘッダ認識については、該当するクライアントのマニュアルを参照してください。

SI_Department departmentID -attribute value [-attribute value ...]

SI_Departmentコマンドは、SI_Department指示語 (付録 A-81ページの「SI_Department」

を参照 ) と同じように機能しますが、指定された領域だけに適用できます。このコマンドは、付録

A-62 ページの「匿名チケットの属性」で示されたすべての属性を受け入れます。

SI_Departmentコマンドを含まない領域は、iTP Secure WebServer または部門のデフォルトの

属性を継承します。

Region指示語で SI_Departmentコマンドを使用するには、次のように指定します。

Region /foo/* {SI_Department 5 -ForceTicketInUrl OnSI_RequireSI 5 20 30

}

SI_RequireSI department-id group-list

SI_RequireSI コマンドは、領域を保護します。領域内のリソースの要求は、有効なチケット

を持つユーザだけに許可されます。

チケットの MAC (メッセージ認証コード) は、部門 ID (department-id) で示された適切な機密

性を保ってエンコードされる必要があります。

チケットで指定したグループ ID は、group-list に示されたグループのいずれかと一致してい

る必要があります。group-list に複数のグループ ID が含まれている場合は、も広範囲のグ

ループを初に指定し、も限定的なグループを後に指定してください。

このコマンドには、デフォルト値はありません。

Region指示語で SI_RequireSIコマンドを使用するには、次のように指定します。

RequireSI 1 10 20

この例は、領域を部門 1 のグループ 10 またはグループ 20 のメンバになっているユーザだけがアク

セスできるようにしています。

UserDir [-symlink-disable] [-symlink-owner] user-dir

UserDirコマンドは、URL がチルダ (~) で始まる場合に必ずアクセスするユーザ・ディレクトリ

(user-dir) の名前を設定します。チルダ (~) で始まる URL は、指定されたローカルなユーザ・

ディレクトリ内にある指定ディレクトリにマップされます。

23346-001J 付録 A-61


付


-symlink-disable

このオプションは、指定されたディレクトリ内のファイルへのシンボリック・リンクを無効

にします。iTP Secure WebServer は、シンボリック・リンクを含むパスへのアクセスの応答

として、「見つからなかった」というメッセージを返します。

-symlink-owner

このオプションは、-symlink-disable オプションと同様に、シンボリック・リンク

を無効にします。ただし、対象となるシンボリック・リンクの所有者が、シンボリック・リ

ンクの示すファイルの所有者である場合を除きます。

UserDirコマンドは、指定された領域に関して、UseDir指示語で同じ項目に設定されたグロー

バル指定に優先します。UserDir 指示語の使用方法の詳細については、付録 A-88 ページの

「UserDir」を参照してください。

匿名チケットの属性

SI_Departmentおよび SI_Defaultという Regionコマンド (および指示語) と共に使用する

チケット属性は、次のとおりです。

□ -CookiePersistence time-in-seconds (付録A-63 ページ)

□ -EnableAnonymousTicketing {GroupID GroupID ...} (付録A-63 ページ)

□ -PostExpirationExtension add-seconds (付録A-63 ページ)

□ -RequireIP (付録A-64 ページ)

□ -RewriteHostAlias "alias-name alias-name ..." (付録A-64 ページ)

□ -RewriteHtmlLinks { Relative | Off } (付録A-65 ページ)

□ -RewriteImageLinks { Absolute | Relative | Off } (付録A-65 ページ)

□ -SignatureLength { 32 | 64 | 128 } (付録A-65 ページ)

-AnonymousTicketExpiration time-in-seconds

AnonymousTicketExpiration属性は、iTP Secure WebServer により生成されたセッショ

ン識別子の有効時間を指定します。この時間を超えると、セッション識別子は無効になります。期

限切れのセッション識別子を使用してアクセスしようとした場合は、iTP Secure WebServer は新し

いチケットを発行します。

この属性は、匿名チケット (11-1 ページの「匿名チケット」を参照) に対して有効です。

セッション識別子仕様 1.0 では、有効期限フィールドに 16 ビットを割り当てています。この 16 ビッ

トの範囲で特定の有効な値を設定するために、コンテンツ・サーバは、8.5 分の増分で有効期限を設

定します。このため、有効期限が 0 から 511 までのどのような値であっても、次の 8.5 分の境界が

有効期限になります。同様に、512 から 1023 までのどのような値であっても、有効期限は次の境界

値である 17 分になります。

有効期限時の範囲は、約 8.5 分から 1 年までです。

録 A-62 523346-001J


5

次のデフォルト値が適用されます。

-AnonymousTicketExpiration 21600

ここで、21600秒は 6 時間に相当します。

SI_DefaultというRegionコマンドで-AnonymousTicketExpirationを使用する

には、次のように指定します。


-CookiePersistence time-in-seconds

CookiePersistence属性は、クッキーが発行されてから、クッキーが有効な状態を保つ秒数

を指定します。(この時間をクッキーの持続時間といいます。)

持続時間が 0 より大きいクッキーは、複数のブラウザ・セッションに渡って Web クライアントに格

納できます。このため、セッションが匿名かにかかわらず、ブラウザを再起動すればセッションを

継続できます。

この属性は、匿名チケット (11-1 ページの「匿名チケット」を参照) だけに対して有効です。非匿名

チケットの場合は、チケット・エージェントが、チケットの有効期間を管理します。


-CookiePersistence 0

SI_Default という Region コマンドで -CookiePersistence を使用するには、次の


SI_Default -CookiePersistence 1800

-EnableAnonymousTicketing {GroupID GroupID ...}

EnableAnonymousTicketing 属性は、指定されたグループがアクセスできる領域に対して

匿名チケットを有効にします。匿名チケットにより、認証の実行や権限なしに要求を追跡できます。

匿名チケットの詳細については、11-1 ページの「匿名チケット」を参照してください。

匿名チケットを有効にする指示語またはコマンドでの部門 ID には、空白文字を含まない、あらゆ

る文字列を指定できます。

グループを 1 つだけ含める場合は、中カッコ ({}) を省略できます。

グループ ID を省略すると、指定された部門内のすべての領域に対して匿名チケットを無効にしま

す。

デフォルト値では、匿名チケットは使用されません。

SI_Departmentという Regionコマンドで -EnableAnonymousTicketingを使用

するには、次のように指定します。

SI_Department Mydepartment -EnableAnonymousTicketing { 10 20 30 }

-PostExpirationExtension add-seconds

PostExpirationExtension 属性は、POST メソッドを使用する要求に対して、指定され

た秒数 (add-seconds) をセッション識別子の標準の有効時間に加えます。

23346-001J 付録 A-63


付

PostExpirationExtension属性は、クライアントに対してフォームを取得 (GET) して記

入し、iTP Secure WebServer にそのフォームを送信 (POST) するための、十分な時間を与えます。

PostExpirationExtension属性で時間を追加しなければ、セッション識別子は、Web ク

ライアントがフォームを送信 (POST) する前に期限切れになり、コンテンツ・サーバが、再認証の

ために POST メッセージをチケット・エージェントにリダイレクトする場合があります。その結果、

POST メッセージからのデータは失われます。

PostExpirationExtensionで適当な追加秒数を設定すれば、送信機能 (POST) が確実に動

作します。デフォルト値は 3 時間です。


SI_Default -PostExpirationExtension 10800

SI_Defaultという Regionコマンドで -PostExpirationExtensionを使用するに

は、次のように指定します。

SI_Default -PostExpirationExtension 3600

-RequireIP

RequireIP属性を使用すれば、iTP Secure WebServer が、セッション識別子のための MAC での

Web クライアント IP アドレスを省略できます。これが役に立つのは、Web クライアントの IP アド

レスが要求ごとに変わる場合です。セッション識別子やデジタル・レシートで IP アドレスを省略す

れば、そのようなクライアントに対して、要求ごとに新しい匿名ユーザ ID でのチケットが再発行

されなくなります。

-RequireIP属性値を指定しなかった場合、デフォルトはサーバで設定された値になります。

SI_Departmentという Regionコマンドで -RequireIPを使用するには、次のように指

定します。

SI_Department 4567 -RequireIP

-RewriteHostAlias "alias-name alias-name ..."

RewriteHostAlias属性を使用すれば、iTP Secure WebServer のエイリアスを指定できます。

エイリアスは、DNS (ドメイン・ネーム・サーバ) でホスト名の省略が認められている一部の組織で

役に立ちます。

たとえば、ホスト名 www.universal.com は、universal.com または universal に省略できます。こうし

たバリエーションの両方をサポートするには、次のように指示語を入力します。

SI_Default -RewriteHostAlias \"http://www.universal.com \

http://universal.com \http://universal"

この例では、iTP Secure WebServer は、www.universal.com、universal.com、または universal へのす

べての参照を iTP Secure WebServer への参照になるように変換します。

この属性の設定が重要になるのは、参照の相対化が有効になっている場合です。その理由は、iTP

Secure WebServer が自己参照だけを相対化するためです。つまり、この指示語は別の意味では、参

照を相対化する必要のあるホストのリストを指定するものです。

デフォルト値はありません。

録 A-64 523346-001J


5

SI_Departmentという Regionコマンドで -RewriteHostAliasを使用するには、次


SI_Department 4567 -RewriteHostAlias \"http://www.universal.com http://universal"

-RewriteHtmlLinks { Relative | Off }

RewriteHtmlLinks属性は、コンテンツ・サーバが以下の処理を行うかどうかを制御します。

□HTML の絶対参照を相対参照に変換する。

□HTML の参照の変換を行わない。

詳細については、11-12 ページの「HTML の参照の変換」を参照してください。


-RewriteHtmlLinks Relative

SI_Departmentという Regionコマンドで -RewriteHtmlLinksを使用するには、次


SI_Department 5 -RewriteHtmlLinks Off

-RewriteImageLinks { Absolute | Relative | Off }

RewriteImageLinks属性は、コンテンツ・サーバが以下の処理を行うかどうかを制御します。

□イメージの絶対参照を相対参照に変換する。

□イメージの相対参照を絶対参照に変換する。

□イメージの参照の変換を行わない。

詳細については、11-12 ページの「HTML の参照の変換」を参照してください。


-RewriteImageLinks Off

SI_Department という Region コマンドで -RewriteImageLinks を使用するには、


SI_Department 5 -RewriteImageLinks absolute

-SignatureLength { 32 | 64 | 128 }

SignatureLength 属性は、チケットの MAC (メッセージ認証コード ) のビット長を指定しま

す。MAC が長いほど、チケットが改ざんされにくくなります。


-SignatureLength 32

SI_Departmentという Regionコマンドで -SignatureLengthを使用するには、次の


SI_Department 5 -SignatureLength 128

23346-001J 付録 A-65


付

RegionSet

構文

RegionSet variable value

解説

RegionSet 指示語を使用して、変数 (variable) に後続の Region コマンドが参照できる値

(value) を設定します。この指示語は、複数の Regionコマンドでの使用に必要な値、たとえば、アク

セスを許可されたホストのリストを格納する場合に役立ちます。たとえば、次のように指定します。

RegionSet allowedHosts "*.company.com *.foo.com"Region /* {

AllowHost $allowedHosts

}

この例では、変数 allowedHostsには、「*.company.com *.foo.com」という複合的な値が設定され

ます。次に、この値は、Regionコマンド AllowHostにおける allowedHostsによって参照され

ます。

RegionSet指示語は、設定ファイル内にいくつでも指定できます。

デフォルト値

なし。

例

RegionSet startTime 7RegionSet denyList "*.widgets.com *.company.com *.foo.com"

録 A-66 523346-001J


5

ReverseLookup

構文

ReverseLookup { yes | no }

解説

ReverseLookup指示語を使用して、Web クライアントの IP アドレスをホスト名に変換するリバー

ス・ルックアップ (逆検索) を有効または無効にします。CGI プログラム内やホスト・ベースのアクセス制

御に Web クライアント・ホスト名が必要な場合に必ず、また Web クライアント・ホスト名をログ・ファ

イルに記録したい場合に、逆検索を有効にします。

Web クライアント・ホスト名がそのような目的に必要でない場合は、逆検索を無効化すれば、サーバ・

パフォーマンスを改善できます。

ReverseLookup指示語は、設定ファイル内に 1 つだけ使用できます。

デフォルト値

ReverseLookup yes

すべてのクライアント接続に対して設定されます。

例

ReverseLookup no

23346-001J 付録 A-67


付

RMTServer

構文

RMTServer pathname

解説

RMTServer 指示語を使用して、 iTP Secure WebServer のルート・ディレクトリに相対的な RLS (リ

ソース・ロケータ・サービス) の URL パス名を指定します。この URL は、このサービスを実装している

サーバ・クラス rmt.pwayを示します。

RLSの設定の詳細については、第 10 章「RLS (リソース・ロケータ・サービス) の使用」を参照してく

ださい。

デフォルト値

なし。

例

RMTServer /bin/rmt/rmt.pway

録 A-68 523346-001J


5

ScriptTimeout

構文

ScriptTimeout time-in-seconds

解説

ScriptTimeout指示語を使用して、CGIプログラムが出力をWebクライアントに送信する際のサー

バでの許容時間 (秒) を設定します。プログラムが設定された時間内に終了しなかった場合は、要求は中止

され、接続が切断されて、このプログラム・プロセスに終了信号が送信されます。

ScriptTimeout指示語は、設定ファイル内で 1 つだけ使用できます。

1073741824 より大きい値を指定しないでください。

デフォルト値

ScriptTimeout 300


例

ScriptTimeout 300

23346-001J 付録 A-69


付

Server

構文

Server object-code-path {

[Arglist argument ...]

[CPUS cpu# cpu#...][CWD oss-pathname][Debug { ON | OFF } ][Deletedelay minutes]

[Env name=value][Hometerm file-name][Linkdepth max-number][Mapdefine define-name guardian-pathname]

[Maxlinks max-number][Maxservers max-number][Numstatic max-number][Priority priority-value][Security security-attribute]

[Stdin file-name][Stdout file-name][Stderr file-name] }

解説

Server 指示語は、PATHMON プロセスによって追加され、起動されるアプリケーション・サーバを

設定する場合に必要です。PATHMON の設定の詳細については、『NonStop TS/MP System Management

Manual』または『NonStop TS/MP Management Programming Manual』を参照してください。

Server object-code-path

アプリケーション・サーバのサーバ・クラスの名前を指定します。

object-code-pathは、ディレクトリ / ファイル名 / 拡張子に分かれます。ファイル名の部分

は、自動的にサーバ・クラス名の作成に使用されます。拡張子はファイル名の部分から取り除かれ、

その結果が Pathway サーバ・クラス名の規則に照らしてチェックされます。

拡張子を取り除いた後の object-code-pathの大バイト数は 15 です。先頭の文字は、アン

ダースコア (_) 以外の英字または有効な文字です。

拡張子 (ファイル名中のピリオド (.) 以降のテキスト ) があれば、それは取り除かれます。この結果

のトークンが、サーバ・クラス名として使用されます。

たとえば、次のようになります。

Server /cw/xyz.pway

xyz サーバ・クラスを作成します。

録 A-70 523346-001J


5

Server foo

foo サーバ・クラスを作成します。

Server コマンド

次に示す Server コマンドは、サーバを実行する PATHMON 環境の作成を制御します。数多くの

Serverコマンドとその関係の詳細については、『NonStop TS/MP System Management Manual』を参照し

てください。

Arglist argument ...

NonStop カーネル OSS (Open System Services) のスタートアップ引数リスト、つまり、OSS サーバ・

プロセスが利用できる argv []配列内のコンマ区切りの文字列のリストを指定します。

Arglist コマンドには 0 から 24,000 バイトまでの文字を指定できます。また、ヌル文字列も有

効です。

次の Arglistコマンドの例は、httpd サーバ・クラスの定義の一部です。

Arglist -server [HTTPD_CONFIG_FILE]

このコマンドは省略可能です。

CPUS cpu# cpu#...

サーバ・プロセスの実行を許可するプロセッサを指定します。

利用できるすべてのプロセッサを指定する場合、または CPUS コマンドを追加しない場合は、

PATHMON プロセスがプロセッサを選択します。

CPUSコマンドの例は、次のとおりです。

CPUS 0 1 2


CWD oss-pathname

OSS サーバ・プロセスの現在の作業ディレクトリの絶対 OSS パス名を指定します。この値によっ

て、サーバ・クラス内のほかの OSS サーバ・プロセス属性に指定された相対パス名を変換します。

CWDコマンドの例は、次のとおりです。

CWD $root/root/pathway-cgi


Debug { ON | OFF }

このサーバ・クラス内のサーバが、デバッグ・モードで起動するかどうかを指定します。

ON

サーバは、デバッグ・モードで起動します。

OFF

サーバは、デバッグ・モードで起動しません。

23346-001J 付録 A-71


付

このコマンドを省略した場合は、デフォルト値は OFFです。

このコマンドは省略可能で、NonStop TS/MP アプリケーションをデバッグする場合だけに使用され

ます。このコマンドを使用した場合、Stdin、Stdout、および Stderrの指示語でほかのファ

イル名が指定されていても、標準入力、標準出力、および標準エラー・ファイルに対してホーム端

末が使用されます。

Deletedelay minutes

ダイナミック・サーバへの未使用リンクは、リンク・マネージャによって PATHMON プロセスに

戻されます。Deletedelayは、これらの未使用リンクを戻すまでに待機する時間 (分単位) を指

定します。minutesに指定できる値の範囲は、0 ～ 1080 (18 時間は PATHWAY の大許容値) で

す。このコマンドを省略して自動受信機能を有効にした場合、デフォルト値は 60 (1 時間) となりま

す。このコマンドを省略して自動受信機能を有効にしない場合は、デフォルト値は 10分 (従来のTCP/

IP と同様) となります。

備考：ダイナミック・サーバのリンクがすべて戻されると、ダイナミック・サーバは停止します。

Deletedelay を使用する理由についての詳細は、3-2 ページの「Parallel Library TCP/IP サポー

トの移行に関する留意事項」を参照してください。

Env name=value

ユーザ定義の環境変数を名前 / 値のペアでサーバに渡せます。この値は、サーバが初期化されるた

びに再初期化されます。


Hometerm oss-pathname

このシステムで実行中のサーバ・プロセスが使用する、Guardian ホーム端末の名前を指定します。

Hometermコマンドを指定しない場合は、デフォルトのホーム端末は、このマシンで PATHMON

プロセスが使用するホーム端末です。PATHMON ホーム端末には、非同期端末を使用することをお

勧めします。

Hometermコマンドの例は、次のとおりです。

Hometerm /G/terma


Linkdepth max-number

この Server指示語で定義されたクラス内のサーバ・プロセスに対して、特定の LINKMON プロ

セスから同時にリンクできる大数を指定します。LINKMON プロセスは、その LINKMON プロ

セスと同じ CPU にあるすべてのリクエスタのリンクを管理します。

Linkdepthの値は、Maxlinksの値以下にしてください。大値は 255 です。

このコマンドを省略した場合は、デフォルト値は 1 です。

備考：1-7 ページの「iTP Secure WebServer httpd」に説明している負荷分散の強化を実現するには、httpd設定の Linkdepth コマンドの値を 1 (デフォルト値) に設定する必要があります。

録 A-72 523346-001J


5

通常は、Linkdepthコマンドを使用してマルチスレッド・サーバを許可しますが、マルチスレッ

ドでないサーバの場合は Linkdepthのデフォルト値 1 を使用してください。

次の Linkdepthコマンドにより、各 LINKMON プロセスから、サーバ・クラス内の任意のサー

バに対して 2 つの同時要求ができます。

Linkdepth 2

MapDefine define-name oss-pathname

サーバに一連の定義を反映できます。

MapDefineコマンドの例は、次のとおりです。

MapDefine =TCPIP^PROCESS^NAME /G/ztc0MapDefine =abc /G/system/sql

ここで、初のトークンは有効な定義名で、2番目のトークンはOSS形式のGuardianファイル名です。


Maxlinks max-number

すべての LINKMON プロセス、つまりすべての CPU でのリクエスタと、この Server指示語で

定義されたクラス内のサーバ・プロセスとの間で可能となる、同時リンクの大数を指定します。

max-numberは、1 から 4096 までの値にします。このコマンドは、1 つのサーバ・プロセスに対

する同時送信操作の大数を確立します。LINKMON プロセスは、サーバとほかの LINKMON プ

ロセスとの間にいくつのリンクがあるかは、チェックしません。

この属性の値が大きすぎると、サーバ・プロセスに対する要求がサーバのキューに投入される可能

性があります。たとえば、Maxlinksを 20 にすると、サーバの処理を待つ同時要求が大 20 に

なります。このときトランザクション・サービス時間が 1 秒であれば、応答時間が 20 秒を超えるこ

とがあります。


次の Maxlinks コマンドは、結合されているすべての CPU からサーバ・クラス内の任意のサー

バへの同時要求を 3 つだけ許可します。

Maxlinks 3


Maxservers max-number

同時に実行できるこのサーバ・クラス内のサーバの大数を指定します。

max-number は、1 から 4095 までの値にします。このコマンドを省略した場合は、デフォルト

値は 1 です。

オペレーティング・システムは、後に定義済みのプロセス名が使用された後、$Xnnn、$Ynnn、ま

たは $Znnn という形式でプロセス名を設定します。

Maxserversコマンドの例は、次のとおりです。

Maxservers 5


23346-001J 付録 A-73


付

備考：セッションをサポートするには、SSC の属性 Numstatic と Maxservers に同じ値を設定する必要が

あります。

Numstatic max-number

このサーバ・クラス内のスタティック・サーバの大数を指定します。

max-numberは、1 から 4095 までの値にします。

Maxserversの値から Numstaticの値を引いた数が、サーバ・クラスのダイナミック・サー

バ数です。LINKMON プロセスのダイナミック・サーバへのリンクが、PATHMON によって認め

られるのは、リンク要求がスタティック・サーバでは満たされない場合です。ダイナミック・サー

バ・プロセスが PATHMON によって起動されるのは、リンク要求があったときだけです。START

SERVER コマンドでは起動されません。

Numstaticの値は、Maxserversの値以下にしてください。


Numstaticコマンドの例は、次のとおりです。

Numstatic 2


備考：セッションをサポートするには、SSC の属性 Numstatic と Maxservers に同じ値を設定する必要が

あります。

Priority priority-value

サーバの作成時に使用される、実行優先度を指定します。

priority-valueは、1 から 199 までの値を指定できます。このコマンドを省略した場合、デ

フォルト値は、PATHMON セクションで PATHMON プロセスに対して指定された優先度です。

Priorityコマンドの例は、次のとおりです。

Priority 150


Security security-attribute

Pathsend リクエスタからサーバ・クラスにアクセスできるユーザを、サーバの所有者との関係で指

定します。

セキュリティ属性は Guardian ファイル・セキュリティ属性と同じです。値は、次のとおりです。

A －任意のローカル・ユーザ

G －グループ・メンバまたは所有者

O －所有者のみ

- －ローカルの Super ID

録 A-74 523346-001J


5

N －ローカルまたはリモートの任意のユーザ

C －所有者の所属グループの任意のメンバ(所有者と同じグループIDを持つローカルまたはリモー

トのユーザ)

U －所有者のユーザ・クラスの任意のメンバ (所有者と同じグループ ID とユーザ ID を持つローカ

ルまたはリモートのユーザ)

サーバに Securityコマンドを指定しない場合は、デフォルト値は O です。

Securityコマンドの例は、次のとおりです。

Security O


Stdin file-name

サーバに標準入力ファイルを指定します。値は OSS パス名です。標準ファイルを指定しない場合、

プロセスは標準ファイル環境なしに起動します。

Stdin を指定する場合は、Stdout と Stderr も指定します。Debug 指示語を指定すると、

Stdinに指定した値にかかわらず、ホーム端末が標準入力ファイルになります。

次の例は、標準入力ファイルとしてホーム端末を、また標準出力ファイルと標準エラー・ファイル

として 2 つのログ・ファイルを指定しています。

set env(HOMETERM) [exec tty]eval $DefaultServerAttributesStdin $env(HOMETERM)Stdout /web/xyz/startup/t8997/logs/stdout.logStderr /web/xyz/startup/t8997/logs/stderr.log

定義しているサーバが CGI サーバ・クラスの場合、ホーム端末を標準入力ファイルとして指定する

ことが有用なのは、iTP Secure WebServer 環境外でプログラムをデバッグする場合だけです。iTP

Secure WebServer 環境での CGI サーバ・クラスには、/dev/null の値を指定してください。

Stdout file-name

サーバに標準出力ファイルを指定します。値は OSS パス名です。標準ファイルを指定しない場合

は、プロセスは、標準ファイル環境なしで起動します。

Stdout を指定する場合は、Stdin と Stderr も指定します。Debug 指示語を指定すると、

Stdoutに指定した値は有効にはなりません。



set env(HOMETERM) [exec tty]

eval $DefaultServerAttributesStdin $env(HOMETERM)Stdout /web/xyz/startup/t8997/logs/stdout.logStderr /web/xyz/startup/t8997/logs/stderr.log

23346-001J 付録 A-75


付

Stderr file-name

サーバに標準エラー・ファイルを指定します。値は OSS パス名です。標準ファイルを指定しない場

合は、プロセスは、標準ファイル環境なしで起動します。

Stderr を指定する場合は、Stdin と Stdout も指定します。Debug 指示語を指定すると、

Stderrに指定した値は有効にはなりません。



set env(HOMETERM) [exec tty]eval $DefaultServerAttributesStdin $env(HOMETERM)Stdout /web/xyz/startup/t8997/logs/stdout.logStderr /web/xyz/startup/t8997/logs/stderr.log

録 A-76 523346-001J


5

ServerAdmin

構文

ServerAdmin mail-addr

解説

ServerAdmin 指示語を使用して、サーバ管理者の電子メール・アドレス (mail-addr) を設定し

ます。

デフォルト値

なし。

例

ServerAdmin [email protected]

23346-001J 付録 A-77


付

ServerPassword

構文

ServerPassword password

解説

ServerPassword指示語を httpd.stl.config ファイル内で使用して、キー・データベース・ファイル

の暗号化に使用されるパスワードを指定します。この指示語は、WebSafe2 ユニットの使用時には必須です。

ServerPassword で指定したパスワードは、keyadmin ユーティリティで指定した、キー・データ

ベース・ファイルの暗号化に使用するパスワードと一致している必要があります。keyadmin ユーティリ

ティで、キー・ファイルの暗号化に使用したパスワードを変更する場合は、パスワードが確実に一致する

ように ServerPasswordを使用してください。

指示語で明示的にパスワードを指定するか、KeyDatabase 指示語を使用してパスワードを読み取る

ファイルの名前を指定します。 KeyDatabase 指示語の詳細については、付録 A-30 ページの

「KeyDatabase」を参照してください。

keyadmin を実行してパスワードを変更した後、ServerPassword指示語を使用して新しいパスワー

ドを指定します。

iTP Secure WebServer を再起動すると、パスワードが再利用されます。パスワードを変更する場合は、

WebServer を単に再起動するのではなく、環境の停止と起動を実行します。

ServerPassword 指示語は、設定ファイル内で 1 つだけ使用できます。httpd.stl.config ファイルと

httpd.websafe.config ファイルは同時に設定に追加できないので、それぞれに ServerPassword指示語


デフォルト値

なし。

例

ServerPassword StartDate2812

録 A-78 523346-001J


5

ServerRoot

構文

ServerRoot directory

解説

次のどちらかに対して ServerRoot指示語を設定できます。

□ iTP Secure WebServer の実行中にカレント・ディレクトリとして指定されるディレクトリ。

□ iTP Secure WebServer がクラッシュした場合に、iTP Secure WebServer プロセスのコア・ファイルが格

納されるディレクトリ。

書き込み可能のディレクトリを指定します。

ほかの指示語にファイルの相対パス名が含まれる場合は、これらのパスは、ServerRoot指示語で指

定したディレクトリを基準にします。


ServerRoot /var/httpdRegion * {RequirePassword "Your account" -userfile user.db

}

この場合、iTP Secure WebServer は、users.db のフル・パス名を次のように想定します。

/var/httpd/users.db

ServerRoot指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

デフォルト値は、サーバが起動されたディレクトリです。

例ServerRoot /usr/tandem/webserver

23346-001J 付録 A-79


付

SI_Default

構文

SI_Default -attribute value [-attribute value ...]

解説

SI_Default指示語を使用して、1 つ以上のデフォルトのチケット属性を指定します。チケット属性

のリストについては、付録 A-62 ページの「匿名チケットの属性」を参照してください。

デフォルト値

なし。

例

SI_Default -SignatureLength 128

録 A-80 523346-001J


5

SI_Department

構文

SI_Department departmentID [-attribute value -attribute value...]

解説

SI_Department指示語を使用して、部門を初期化し、匿名チケットを後から使用できるようにしま

す。部門を初期化すれば、Regionコマンドの departmentID値を使用して、コンテンツを複数の管

理領域に分割できます。

この指示語を使用すれば、部門別のチケット属性も指定できます。詳細については、11-7 ページの「部

門別属性」を参照してください。

付録 A-49 ページの「Region」の SI_Departmentという Regionコマンドも参照してください。

デフォルト値

なし。

例

SI_Department 25

SI_Department 25 -EnableAnonymousTickets

23346-001J 付録 A-81


付

SI_Enable

構文

SI_Enable { On | Off }

解説

SI_Enable指示語を使用して、iTP Secure WebServer でのセッション識別子の使用を有効または無効

にします。

デフォルト値

SI_Enable On

例

SI_Enable Off

録 A-82 523346-001J


5

SK_CacheExpiration

構文

SK_CacheExpiration time-in-seconds

解説

SK_CacheExpiration指示語を使用して、各エントリがセッション・キー・キャッシュ内で有効

になっている時間 (秒) を指定します。この値 (time-in-seconds) は、エントリが初にキャッシュ

に加えられたときに、エントリごとに設定されます。

有効期限は大 24 時間 (デフォルト値) に設定できます。時間を 24 時間以上に設定すると、警告メッ

セージが出力され、実際の有効期限は 24 時間に設定されます。

iTP Secure WebServer は、エントリが期限切れになった場合やキャッシュがいっぱいになった場合は、エ

ントリをセッション・キー・キャッシュから削除します。キャッシュがいっぱいの場合は、期限切れのエ

ントリがすべて削除されます。

有効な値は正の整数です。無効な値を設定すると、iTP Secure WebServer は、設定ファイルの処理中に

エラー・メッセージを出力し、起動が失敗します。値に負の整数を設定すると、エラー・メッセージが出

力されます。

SK_CacheExpiration または SK_CacheSize の値を 0 に設定すると、セッション・キーの

キャッシングは無効になります。これらの設定指示語の一方が 0 に設定されると、警告メッセージが出力

されます。したがって、セッション・キーのキャッシングを無効化するには、両方の指示語を 0 に設定す


デフォルト値

SK_CacheExpiration 86400

つまり、秒単位の表記で 24 時間を設定します。

デフォルト値は、設定ファイルで SK_CacheExpirationを指定しない場合に使用されます。

例

SK_CacheExpiration 100

この例は、キャッシュの有効期限を 100 秒に設定しています。

23346-001J 付録 A-83


付

SK_CacheSize

構文

SK_CacheSize size

解説

SK_CacheSize 指示語を使用して、セッション・キー・キャッシュのサイズを指定します。このサ

イズは、キャッシュが一度に保持できるエントリの大数に換算されたものです。

iTP Secure WebServer は、キャッシュがエントリの大数に達したときに、削除できるエントリが見つ

からない場合は、キャッシュのサイズを 1 つ増やして新しいエントリを割り当てます。したがって、キャッ

シュ内の実際のエントリ数は、この指示語で指定した大サイズより多くなる可能性があります。

有効な値は正の整数です。無効な値を設定すると、iTP Secure WebServer は、設定ファイルの処理中に

エラー・メッセージを出力し、起動が失敗します。値に負の整数を設定すると、エラー・メッセージが出

力されます。

SK_CacheExpiration または SK_CacheSize の値を 0 に設定すると、セッション・キーの

キャッシングは無効になります。これらの設定指示語の一方が 0 に設定されると、警告メッセージが出力

されます。したがって、セッション・キーのキャッシングを無効化するには、両方の指示語を 0 に設定す


デフォルト値

SK_CacheSize 1000

デフォルト値は、設定ファイルで SK_CacheSizeを指定しない場合に使用されます。

例

SK_CacheSize 100

この例は、キャッシュ・サイズを 100 エントリに設定しています。

録 A-84 523346-001J


5

SK_GlobalCache

構文

SK_GlobalCache {On|Off}

解説

SK_GlobalCache 指示語を使用して、グローバル・セッション・キー・キャッシュ・サーバを有効

にするかまたは無効にします。

デフォルト値

SK_GlobalCache Off

例

SK_GlobalCache On

23346-001J 付録 A-85


付

SK_GlobalCacheTimeout

構文

SK_GlobalCacheTimeout hundredths-of-seconds

解説

SK_GlobalCacheTimeout指示語は、SK_GlobalCache指示語と組み合わせて使用できます。

httpd サーバがグローバル・セッション・キー・キャッシュ・サーバからの応答を待機する時間を指定します。

デフォルト値

SK_GlobalCacheTimeout 50

1/100 秒単位の表記で 0.5 秒を指定します。

例

SK_GlobalCacheTimeout 100

録 A-86 523346-001J


5

User

構文

User user-name

解説

User指示語を使用して、サーバが実行される OSS ユーザ名を設定します。この指示語が有効なのは、

サーバがルート (super.super) として起動される場合だけです。サーバは、super.super 以外で起動されると、

警告メッセージを送信します。

user-name引数は、サーバを管理するシステム上の、有効なユーザ名にします。セキュリティ上の理

由から、実行するサーバに対して特に super.super 以外のアカウントを作成する必要があります。ユーザ名

の作成の詳細については、システム管理者に問い合わせるか、システム・マニュアルを参照してください。

User指示語は、設定ファイル内で 1 つだけ使用できます。

デフォルト値

なし。User指示語を設定しない場合は、サーバは、サーバを起動したユーザ名の下で動作します。

例

User httpd

備考：httpd プロセスだけが、User 指示語で切り替えられます。したがって、アプリケーション・サーバのセキュ

リティの値が正しく設定されていない場合に Pathway サーバまたは汎用 CGI サーバと通信すると、httpd プ

ロセスが Pathsend エラー 904 を検出する可能性があります。この問題を回避するには、適切なセキュリ

ティの値を使用するように Pathway サーバまたは汎用 CGI サーバを設定してください。セキュリティ値に

ついては、付録 A-70 ページの「Server」を参照してください。Pathsend エラー 904 の詳細については、

『NonStop TS/MP Pathsend and Server Programming Manual』を参照してください。

23346-001J 付録 A-87


付

UserDir

構文

UserDir [-symlink-disable] [-symlink-owner] user-dir

解説

UserDir指示語を使用して、URL がチルダ (~) で始まる場合に必ずアクセスするユーザ・ディレクト

リ (user-dir) の名前を設定します。UserDirが設定されると、チルダ (~) で始まる URL へのアクセ

スは、指示したローカル・ユーザのホーム・ディレクトリ内の指定ディレクトリにマップされます。


-symlink-disable

このオプションは、指定されたディレクトリ内のファイルへのシンボリック・リンクを無効にしま

す。iTP Secure WebServer は、シンボリック・リンクを含むパスへのアクセスの応答として、「見つ

からなかった」というメッセージを返します。

-symlink-owner

このオプションは、-symlink-disable オプションと同様に、シンボリック・リンクを無効

にします。ただし、対象となるシンボリック・リンクの所有者が、シンボリック・リンクの示すファ

イルの所有者である場合は除きます。

この指示語には、対応する Region コマンドもあります。そのコマンドは、領域内にある場合は、こ

の指示語に優先します。Region指示語での UserDirコマンドの使用方法の詳細については、付録 A-

51 ページの「Region コマンド」を参照してください。

たとえば、UserDirで hypertext というディレクトリが設定され、Web クライアントが次の URL にア

クセスするとします。

/~black/home.html

この場合、iTP Secure WebServer は、この要求を Black のホーム・ディレクトリ内のファイル hypertext/

home.html にマップします。Black のホスト UNIX マシン上のホーム・ディレクトリが /udir/black であると

すると、iTP Secure WebServer は、次のファイルにアクセスします。

/udir/black/hypertext/home.html

同様に、クライアントが次の URL にアクセスするとします。

/~white/home.html

さらに同じホスト UNIX マシン上の White のホーム・ディレクトリが /udir/white であるとすると、iTP

Secure WebServer は、次のファイルにアクセスします。

/udir/white/hypertext/home.html

UserDir指示語は、設定ファイル内で 1 つだけ使用できます。

録 A-88 523346-001J


5

デフォルト値

なし。UserDir が設定されていない場合は、チルダ (~) で始まる URL へのアクセスはすべて拒否さ

れます。

例

UserDir public_html

23346-001J 付録 A-89


付

WidTimeOut

構文

WidTimeOut hundredths-of-seconds

解説

WidTimeOut 指示語は、WebSafe 指示語と共に使用されます。この指示語は、WID (WebSafe2

Interface Driver) が WebSafe2 ユニットからの応答を待つ時間を指定します。WidTimeout指示語は省略

可能です。

デフォルト値

WidTimeOut 500

つまり、10 ミリ秒単位の表記で 5 秒を設定します。

例

WidTimeOut 200

録 A-90 523346-001J

付録 B　エラー・メッセージ

5

付録 B エラー・メッセージ

iTP Secure WebServer は、EMS (イベント管理サービス) にエラー・メッセージをレポートします。EMS

は、ほとんどのコンパック製品からのエラーの取り込みおよび分析を行うための統一インタフェースです。

iTP Secure WebServer エラー・ログ・ファイルが定義され、オープンされている場合は、各メッセージの

テキスト部分はこのエラー・ログ・ファイルにも出力されます。

以下の iTP Secure WebServer コンポーネントが、エラーを EMS にレポートします。

□ WebServer (httpd プロセス)

このメッセージは、イベント番号が 1000 未満で、識別子 httpd が含まれています。

□ セキュリティ・サブシステム (SSL と PCT)

このメッセージは、イベント番号が 1000 から 1999 の間で、識別子 stl が含まれています。

□ ディストリビュータ・プロセス

このメッセージは、イベント番号が 2000 から 2999 の間で、識別子 dist が含まれています。

□ Common Gateway Interface (CGI サーバ・プロセスと CGI ライブラリ)

このメッセージは、イベント番号が 3000 から 3999 の間で、識別子 cgi が含まれています。

□ 暗号化サブシステム (WID (Websafe2 Interface Driver) プロセス)

このメッセージは、イベント番号が 4000 から 4999 の間で、識別子 wid が含まれています。

□ RLS (リソース・ロケータ・サービス)

このメッセージは、イベント番号が 5000 から 5999 の間で、識別子 rls が含まれています。

□ WebSafe2

このメッセージは、イベント番号が 6000 から 6999 の間で、識別子 wsf が含まれています。

□ SSC ( サーブレット・サーバ・クラス)

このメッセージは、イベント番号が 7000 から 7999 の間で、識別子 ssc が含まれています。

iTP Secure WebServer コンポーネントからのすべての EMS メッセージには、WEBSERV という SSID (サ

ブシステム ID) が設定されます。メッセージはすべて $0 という名前の EMS プライマリ・コレクタに送信

されます。

EMS メッセージの表示には、さまざまなインタフェースを利用できます。テキストを表示するには、サ

ブボリューム $SYSTEM.ZWEB 内のテンプレート・ファイル NEWNRES と NEWRES を探すようにシス

テムを設定します。この設定は、iTP Secure WebServer インストール・スクリプトで行います。メッセー

ジをプログラムで処理するための、フィルタやアプリケーションも作成できます。$SYSTEM.ZWEB 内の

ファイル ZWEBDDL、ZWEBC、ZWEBTAL、ZWEBCOBOL、および ZWEBTACL には、各種プログラ

ム言語に必要な宣言が含まれています。

23346-001J 付録 B-1

付録 B　エラー・メッセージ

付

EMS の対話型インタフェースやプログラム・インタフェースについては、『EMS マニュアル』を参照し

てください。特定の iTP Secure WebServerイベント・メッセージについては、『iTP Secure WebServer Operator

Messages Manual』を参照してください。

備考： iTP Secure WebServer に EMS テンプレートをインストールしない場合は、iTP Secure WebServer コン

ポーネントからの EMS メッセージには、OSS のサブシステム ID と、重大度のレベルを表す 0 から 10 まで

のイベント番号が設定されます。この動作は、以前の iTP Secure WebServer リリースと一貫性があります

が、メッセージの認識や処理が困難になります。

録 B-2 523346-001J

付録 C　サーバ・ログ・ファイル形式

5

付録 C サーバ・ログ・ファイル形式

この付録では、iTP Secure WebServert が生成する、次のログ・ファイルに使用される形式を説明します。

□ アクセス・ログ形式 (付録C-1 ページ)

□ エラー・ログ形式 (付録C-3 ページ)

□ HTTP (HyperText Transfer Protocol) ステータス・コード (付録C-3 ページ)

□ 拡張ログ形式 (付録C-5 ページ)

ファイル内のエントリは、別個の構成要素として構成されます。構成要素はファイル・タイプによって

変わります。

iTP Secure WebServer と共に使用する一部の製品やコンポーネントは、設定、ステータス、およびエラー・

メッセージを、指定した別のファイルに出力できます。たとえば、SSC (サーブレット・サーバ・クラス )

は、設定とステータス情報を標準出力ファイルに出力し、エラーと例外情報を標準エラー・ファイルに出

力します。SSC による出力については、第 9 章「NSJSP (NonStop Servlets for JavaServer Pages) の使用」を


アクセス・ログ形式

アクセス・ログ・ファイルには、サーバの要求履歴を記録します。このファイル内の情報は、一般ログ

形式 (CLF) で構成されます。CLF は、ほかの Web サーバでも使用され、ログの分析やレポートの生成に

幅広く利用できる数多くのツールでサポートされています。

アクセス・ログ・ファイルの格納場所は、サーバ設定ファイル内の AccessLog 指示語で指定されま

す。この指示語が明示的に設定されていない場合は、アクセス・ログ・ファイルは生成されません。

アクセス・ログ・エントリ形式

アクセス・ログ・ファイル内の 1 つのエントリは、1 行の ASCII テキストから成ります。エントリには

1 つのクライアント要求がログとして記録され、エントリは次の 7 つの情報フィールドから成ります。

フィールド 1 host-name

フィールド 2 -

フィールド 3 user-name

フィールド 4 time

フィールド 5 request

フィールド 6 http-status

フィールド 7 bytes-sent

23346-001J 付録 C-1


付

表 C-1 は、アクセス・ログ・エントリに出力されるフィールドを説明しています。

表 C-1　アクセス・ログ・フィールド

フィールド説明

host-name 要求を行う Web クライアントのホスト名を示します。Web クライアントのホ

スト名がドメイン・ネーム・サーバから取得できない場合は、サーバは、代わ

りに Web クライアントの IP アドレスを出力します。

- インターネット認証プロトコル (RFC 931 で定義 ) で指定されている、Web ク

ライアント・ユーザ名を出力します。サーバは、Web クライアント・ユーザ名

フィールドをサポートしていないので、このフィールドにハイフン (-) を 1 つ

設定します。



user-name ユーザが、アクセスするためにパスワードと共に入力したユーザ名を出力しま

す。ユーザがユーザ名を入力しなかった場合や有効なユーザ名を入力しなかっ

た場合は、このフィールドにハイフン (-) が設定されます。

time 要求の時刻を万国標準時 (UTC、別名グリニッジ標準時 (GMT)) で出力します。

このフィールド内の後の構成要素は、サーバの現地時間と UTC との時間差

を時と分で示します。

request Web クライアントの要求を出力します。たとえば、次のように出力されます。

GET /dirsite.gif HTTP/1.0

要求フィールドは、以下の項目から成ります。

□ HTTP メソッド：

通常、メソッドは GET、POST、または HEAD です。この例の場合のメ

ソッドは GET です。

□ アクセス対象の URL：

この例の場合は、/dirsite.gif。

□ Web クライアントのプロトコル・バージョン：

この例の場合は、HTTP/1.0。

http-status Web クライアントに返される HTTP ステータス・コードを出力します。200 は、

正常な結果 (エラーなしで完了) を示します。その他のステータス・コードの詳

細については、表 C-2 を参照してください。

bytes-sent Web クライアントに送信されたバイト数を出力します。

録 C-2 523346-001J


5

例

次の例は、アクセス・ログ・ファイルにおける代表的なエントリを示しています。

150.180.13.54 - - [24/Jan/1995:12:27:13 -0500] "GET /dirsite.gifHTTP/1.0" 200 7114

quinton.jax.org - - [24/Jan/1995:12:27:14 -0500] "GET / HTTP/

1.0" 200 1280

tucano.cv.com - - [24/Jan/1995:12:27:16 -0500] "POST /dir/search.cgi HTTP/1.0" 200 15691

エラー・ログ形式

エラー・ログ・ファイルには、要求エラーとサーバ・エラーが記録されます。このファイル内の情報は、

一般ログ形式 (CLF) で構成されます。CLF は Web サーバでも一般的に使用されており、幅広く普及して

いるログ分析用ツールやレポート生成用のツールでもサポートされています。

エラー・ログ・ファイルの格納場所は、サーバ設定ファイル内の ErrorLog 指示語で指定されます。

この指示語が明示的に設定されていない場合は、エラー・ログ・ファイルは生成されません。

HTTP (HyperText Transfer Protocol) ステータス・コード

表 C-2 は、拡張ログ・ファイルやアクセス・ログ・ファイルに出力される可能性のある HTTP ステータ

ス・コードを挙げています。

表 C-2　HTTP ステータス・コード (1/2 ページ)

ステータス・

コード説明

100 続行。サーバが要求の前の部分を受信したので、クライアントは次の部分を送信する必

要があります。

200 正常な結果。要求はエラーなしに完了しました。

201 作成済み。新しいオブジェクトが作成されました。

204 コンテンツなし。要求は正常に処理されましたが、応答に新しい文書がありません。た

だし、現在の文書に適用されるメタ情報が含まれている可能性があります。

206 不完全なコンテンツ。サーバが、バイト・レンジの要求を実行しました。

301永続的な移動。要求されたリソースは、現在新しい場所にあります。要求はリダイレク

ションによって達成されますが、今後のリソースの要求は新しい URL を使用する必要

があります。

302検出と一時的な移動。要求されたリソースを、一時的に別の場所に移動します。要求は

リダイレクションによって達成されますが、今後のリソースの要求は元の URL を使用


23346-001J 付録 C-3


付

表 C-2　HTTP ステータス・コード (2/2 ページ)

ステータス・

コード説明

304変更なし。要求されたオブジェクトが、Web クライアントの「If-modified-since」ヘッ

ダで指定された日付の後に変更されませんでした。

400 不正な要求。Web クライアントが、サーバが解釈できない要求を送信しました。

401 権限なし。要求には、要求されたリソースにアクセスするためのユーザ名やパスワード

のような権限が必要です。

403禁止。要求されたオブジェクトへのアクセスが許可されていません。たとえば、

WebServer 設定で、この領域へのアクセスが制限されている可能性があります。

404

見つからない。要求されたオブジェクトがサーバ上に見つかりません。あるいは、アク

セスが拒否されました。たとえば、WebServer 設定で、この領域へのアクセスが制限さ

れている可能性があります。ただし、いくつかの設定コマンドには -noexist オプション

があり、それを使用していることで、アクセス拒否ではなく、ファイルが見つからない

というステータスになっている可能性があります。

405 許可されていないメソッド。要求で、このリソースに対して許可されていないメソッド

を指定しています。

406受け入れ不能。要求されたリソースが、Accept ヘッダで指定された属性に応じていま

せん。たとえば、コンテンツが、要求された言語では利用できません。

412前提条件の失敗。要求されたリソースが、要求ヘッダ (If-Modified-Since など) で指定さ

れた条件を満たしませんでした。

413 要求エンティティ長の超過。サーバは、要求を処理できません。

416 要求範囲外。要求で指定された範囲がリソース内にありません。たとえば、バイト・レ

ンジ指定の開始位置の値が、要求されたリソースの長さを超えています。

417 予測の失敗。サーバが、Expect ヘッダで指定された条件を満たすことができません。

420セキュリティ再試行。要求に関する安全な HTTP 拡張はサーバに受け入れられませんで

したが、別の拡張で再試行すれば、受け入れられる可能性があります。

421 偽造ヘッダ。安全な HTTP 要求が正しく形成されませんでした。

500Web クライアントの要求の処理中に、サーバで内部エラーが発生しました。内部エラー

は、通常、設定の問題か、エラーを返す CGI スクリプトが関係しています。

501 実行不能。サーバが要求を実行できません。

505未サポートの HTTP バージョン。要求で、サーバがサポートしていないプロトコル・

バージョンを指定しています。

録 C-4 523346-001J


5

拡張ログ形式

拡張ログ・ファイルは、アクセス・ログ・ファイルとエラー・ログ・ファイルの役割を組み合わせたも

ので、要求とエラーに関する情報が記録されます。この形式では、関連する要求のコンテキスト内にエラー

が記録されます。

拡張ログ・エントリ形式

拡張ログ・ファイル内のエントリは、1 行の ASCII テキストから成ります。エントリは、次のように、

タグ logの後に続く item-nameと item-valueから成るいくつかの項目で構成されます。

log {item-name1 item-value1} {item-name2 item-value2} ...

表 C-3 は、拡張ログ・エントリに出力される可能性のある項目を挙げています。

表 C-3　拡張ログ項目 (1/3 ページ)

名　前説明

method 現在の要求に対応して Web クライアントが送信した HTTP メソッドが含

まれます。通常、このメソッドは HEAD、GET、または POST です。Web

クライアントの要求がサーバによって完全に受信されなかった場合は、こ

の項目はありません。

url Web クライアント要求の URL の部分が含まれます。たとえば、次のよう

な値です。

/personal/payne/home.html

Web クライアントの要求がサーバによって完全に受信されなかった場合

は、この項目はありません。

agent Web クライアントのブラウザ・ソフトウェアの名前が含まれます。たとえ

ば、次のような値です。

NCSA Mosaic for the X Window System/2.4

Web クライアントのブラウザ・ソフトウェアがこの情報をサーバに送信し

ない場合は、この項目はありません。

referrer 現在の要求に対するリンクを含むページの URL が含まれます。たとえば、

次のような値です。

http://www.directory.net/index.html

Web クライアントのブラウザ・ソフトウェアがこの情報をサーバに送信し

ない場合は、この項目はありません。

host Web クライアント・マシンのホスト名が含まれます。ホスト名が利用でき

ない場合は、この項目には、ASCII 表示の IP アドレスが含まれます。この

フィールドは、すべての要求で使用されます。

stderr CGI スクリプトが標準エラー・ログに書き込む出力が含まれます。

error 要求でエラーを発生したときに生成されたエラー・メッセージが含まれま

す。

23346-001J 付録 C-5


付


名　前説明

status 現在の要求に対する HTTP ステータス値 (ステータス・コード) が含まれ

ます。HTTP ステータス・コードの詳細については、付録 C-3 ページの表

C-2 を参照してください。

bytes Web クライアントに返されるバイト数が含まれます。

exit CGI スクリプトがゼロ以外の終了ステータスで終了するときに生成された

終了ステータスが含まれます。

signal CGI スクリプトを終了させたシグナルの番号が含まれます。

start 現在の要求の開始タイムスタンプが含まれます。この値は、1970 年 1 月 1

日からの秒数が小数で表されます。

keysize 使用する暗号キーのサイズが含まれます。

end 現在の要求の終了タイムスタンプが含まれます。この値は、1970 年 1 月 1

日からの秒数が小数で表されます。

si-departmentid 部門番号が含まれます。

si-si セッション識別子全体が含まれます。

si-uid チケット内のユーザ ID が含まれます。

si-group チケット内のグループ番号が含まれます。

si-uctx チケット内のユーザ・コンテキスト・フィールドが含まれます。

issuer クライアント証明書の発行者の識別名 (DN) が含まれます。DN は、クライ

アント証明書内の発行者フィールドから取り出されます。クライアント認

証が要求されたにもかかわらず Web クライアントが認証情報を提示しな

かった場合や、証明書の検証中に問題が見つかった場合、このフィールド

は存在しますが何も設定されません。

cipher 接続に使用された暗号化方式のタイプが含まれます。例えば、次のような

値です。

EXP-RC4-MD5

録 C-6 523346-001J


5


項目値には、空白 (空白文字、タブ、および改行) を含めてすべての文字が使用されます。空白を含んで

いる値には、中カッコ ({}) が付きます。たとえば次のようになります。

{WinMosaic/Version 2.0 (ALPHA 2)}

値の中で対になっていない 1 文字の中カッコやバックスラッシュ ({, }, \) が使用されている場合は、そ

の文字の前に必ずバックスラッシュ (\) を付けます。場合によっては、これらの文字が対になっていても、

各文字の前にバックスラッシュを付ける場合があります。たとえば次のようになります。

{Here’s a brace: \{; and another \}; all done!}

名　前説明

client-status クライアントの認証が行われる場合は、クライアント証明書ステータスが

含まれます。値は、以下のとおりです。

□ no-certificate

□ error-in-certificate

□ not-verified

□ forged

□ not-valid-yet

□ expired

□ issuer-not-ca

□ max-path-exceeded

□ issuer-cant-sign

□ valid-but-root-certificates-don’t-match

□ valid-no-extensions

□ valid

それぞれの値の詳細については、4-23 ページの「-requestauth オプション

の利用」を参照してください。

client-error-dn クライアントの認証において、証明書の検証中に問題が見つかった場合に、

エラーになっている証明書の識別名 (DN) が含まれます。

security 使用されているセキュリティ・プロトコルが含まれます。SSLV2、SSLV3、

または PCTのいずれかです。

client クライアントの認証が行われる場合に、クライアント証明書の subject

フィールドから取り出された識別名 (DN) が含まれます。クライアント認

証が要求されたにもかかわらず認証情報が提示されない場合、このフィー

ルドは存在しますが何も設定されません。

23346-001J 付録 C-7


付

例

次の例は、拡張ログ・ファイルでの代表的なエントリを示しています。

log {start 793224627.766481} {method GET} {url /~payne}{bytes 0} {error {file not found}}......{status 404} {end 793224627.818003} {host n8kei.tiac.net}

この例では、start、method、url、bytes、error、status、end、および hostがエン

トリ項目になっています。これらの各項目の直後にその項目のログとして記録された値が続いています。

たとえば、methodの値は GET です。

備考：拡張ログ形式の将来のバージョンでは、log 以外のタグで始まるエントリが含まれる可能性があります。ロ

グ・ファイルを読み取るプログラムは、認識できないタグは無視するように作成してください。

録 C-8 523346-001J

付録 D　ユーザセキュリティの概念

5

付録 D ユーザセキュリティの概念

この付録では、iTP Secure WebServer のセットアップと管理に関連する以下の基本概念を説明します。

□ オープン・ネットワーク・セキュリティ (付録D-1 ページ)

□ 暗号技術 (付録D-3 ページ)

□ 鍵の証明書の管理 (付録D-5 ページ)

□ SSL (Secure Sockets Layer) (付録D-7 ページ)

□ PCT (Private Communications Technology) (付録D-8 ページ)

□ SSL と PCT の比較 (付録D-9 ページ)

オープン・ネットワーク・セキュリティ

ここでは、オープン・ネットワーク上のセキュリティ・システムに関連する次のセキュリティ項目につ

いて説明します。

□ 暗号化 (付録D-1 ページ)

□ 認証 (付録D-2 ページ)

暗号化

暗号化とは、適切な解読鍵にアクセスできるユーザだけが読める形式に、データを変換する処理のこと

です。暗号化では、プライバシ確保のために、特定のユーザ以外には情報を見せないようにします。たと

えば、競争入札データが競合他社に漏れないように、入札データを暗号化してから公衆通信リンク経由で

発注元にそのデータを送信します。あるいは、非公開のレシピを筋向かいのレストランから隠すために、

レシピのレコードを暗号化してハード・ディスクに格納できます。

一般に、暗号化のしくみは次のようになります (図 D-1 を参照)。ロミオがジュリエットに私的なメッセー

ジを公衆通信リンク経由で送信するとします。ロミオは暗号鍵でメッセージ (平文)を暗号化してから、ジュ

リエットに暗号化されたメッセージ (暗号文 ) を送信します。ロミオが使用した暗号鍵に関連付けられた解

読鍵を使用すれば、ジュリエットはロミオの暗号文を判読できる形式に解読できます。

23346-001J 付録 D-1


付

図 D-1　基本的な暗号化

ジュリエットの父親キャプレットが送信中にロミオの暗号文を傍受しても、ジュリエットの解読鍵にア

クセスするか、ほかの手段でコードを解読しない限り、ロミオのメッセージを読めません。

ジュリエットの解読鍵には、ロミオがジュリエットへのメッセージを暗号化するときに使用する鍵と同

じものか、または公開鍵 / 秘密鍵のペアの秘密鍵の部分が使用されます。つまり、ロミオがジュリエット

の公開鍵を使用して自分のメッセージを暗号化し、ジュリエットは、その公開鍵に関連付けられた秘密鍵

を使用してそのメッセージを解読します。

公開鍵については、付録 D-3 ページの「公開鍵システム」を参照してください。

認証

認証とは、暗号化を補完するものです。暗号化が情報を盗用から保護するのに対し、認証は情報を詐称

者から保護します。対象となる受信者だけがメッセージを読めるようにしても十分ではなく、メッセージ

の送信者が実際に本人であるかの確認も必要です。暗号化を単独で使用すると、メッセージを、本物の送

信者からの本物のメッセージのように思わせることができます。

認証では一般にデジタル署名が使用されます。デジタル署名とは、印刷された文書の手書きの署名とほ

とんど同じ役割のデジタル文書用のデータ・ブロックのことです。デジタル署名は、一意かつ偽造不能で

す。多くの認証システムは、(1) 一意かつ偽造不能なデジタル署名をメッセージに付加する方法、および (2)

メッセージに付加されたデジタル署名の信頼性を検証する方法、という 2 つの部分から成ります。

キャプレットは、ロミオになりすましてジュリエットにメッセージを送信できます。さらにキャプレッ

トは、ジュリエットの公開暗号鍵を使用してメッセージを暗号化することもできます。ただし、ジュリエッ

トがメッセージのデジタル署名を検査すると、ロミオの署名とは一致しないことに気付きます。したがっ

て、ジュリエットは、偽のメッセージを受信したことがわかります。

デジタル署名は偽造できないので、署名の否認はできません。つまり、デジタル署名をメッセージに付

加すると、後で「その署名は偽造されたもので、自分はそのメッセージを送信していない」との主張はで

きません。

録 D-2 523346-001J


5

暗号技術

ここでは、次の 2 つの主要な暗号技術を紹介します。

□ 秘密鍵 (共通鍵) システム (付録D-3 ページ)

□ 公開鍵システム (付録D-3 ページ)

秘密鍵 (共通鍵) システム

秘密鍵システムでは、メッセージの送信者と受信者はそれぞれ同じ鍵を使用します。送信者はある鍵で

メッセージを暗号化し、受信者はその鍵で暗号化されたメッセージを解読します。

鍵の弱点

秘密鍵システムは、両者が同じ鍵を所有する点で本質的に脆弱です。1 つの鍵を、不注意にあるいは悪

意から他人の手に渡らないように、両者の間で交信することが必要です。交信する両者が互いに近ければ、

そのような危険性は高くありません。実際には、両者が物理的に離れた場所にいることが多いので、通信

システムなどの第三者からその鍵が他人の手に渡らないように注意深く両者の間で交信する必要がありま

す。

キー管理

鍵の保護と管理を行う仕事をキー管理といいます (付録 D-7 ページの「SSL (Secure Sockets Layer)」を

参照)。秘密鍵による暗号方式を使用する際には、この方式の本質的な弱点のため、キー管理が非常に重要

になります。

公開鍵システム

公開鍵システムでは、送信側と受信側にはそれぞれ、公開鍵およびそれに関連付けられた秘密鍵という

鍵のペア (キー・ペア) が割り当てられます。キー・ペアの所有者は、個人的に通信したい送信者に自分の

公開鍵を配布しますが、秘密鍵は非公開にします (図 D-2 を参照)。送信者は、所有者の公開鍵を使用して

自分のメッセージを暗号化し、次に所有者は、自分の秘密鍵を使用してそのメッセージを解読します。

つまり公開鍵システムでは、暗号化メカニズムの半分 (公開鍵) だけが通信のために両者で共有され、残

りの半分 (秘密鍵) は、その所有者が所有したままになります。どちらの鍵も、もう一方の鍵がなければ意

味はありません。

公開鍵暗号方式は、プライバシ (暗号化) と認証 (デジタル署名) の両方に使用されます。

23346-001J 付録 D-3


付

図 D-2　公開鍵システム

暗号化

暗号化する場合、公開鍵システムは次のように機能します。ジュリエットに私的なメッセージを送信す

るために、ロミオは公開ディレクトリ内のジュリエットの公開鍵を探します。この公開鍵を使用して、ロ

ミオは自分のメッセージを暗号化してから、そのメッセージを通常の (保護されていない) 通信チャネル経

由でジュリエットに送信します。ロミオのメッセージを受信すると、ジュリエットは、自分の公開鍵に一

意に関連付けられた秘密鍵でそのメッセージを解読します。

ジュリエットしか自分の秘密鍵にアクセスできないので、ほかの誰もロミオのメッセージを解読できま

せん。ジュリエットの父親キャプレットは、ロミオのメッセージを傍受してもそれを読めません。ただし、

キャプレットがジュリエットの秘密鍵にアクセスできる場合は別です。

セッション鍵

公開鍵システムによるデータの暗号化は、計算に時間がかかるのでコスト高になります。DES (Data

Encryption Standard) のような技術に基づく秘密鍵 (共通鍵) システムは、公開鍵システムよりも高速です。

時間の節約のため、ロミオは、ジュリエットの公開鍵で自分のメッセージを暗号化する代わりに、秘密

鍵 (共通鍵) の技術に基づいてランダムな鍵を生成してから、この鍵 (セッション鍵) で自分のメッセージを

暗号化できます。ロミオは、ジュリエットの公開鍵で自分のセッション鍵を暗号化した後に、ジュリエッ

トに、暗号化されたメッセージと暗号化されたセッション鍵の両方を送信します。ジュリエットは、暗号

化されたメッセージと鍵を受信すると、自分の秘密鍵でロミオのセッション鍵を解読してから、そのセッ

ション鍵でロミオのメッセージを解読します。メッセージの交信のための手順は多くなりますが、かかる

時間は少なくなります。

録 D-4 523346-001J


5

ダイジェストの機能

メッセージ全体を暗号化してデジタル署名を生成する場合も計算に時間がかかるのでコスト高になりま

す。この計算を高速化するために、多くの署名システムでは、初にメッセージの「ダイジェスト」を計

算します。ダイジェストとは、128 ビットなどのビット列で、任意の 2 つのダイジェストが同一である確

率が非常に小さくなるよう作成されます。メッセージ・ダイジェストを基にメッセージを再作成したり、

同じダイジェストで別のメッセージを探すことは、本質的に不可能です。

ロミオは、自分のメッセージからダイジェストを生成した後、メッセージ全体にではなくダイジェスト

に署名します。ジュリエットは、ロミオのメッセージとメッセージに添付されたダイジェストを受信する

と、ダイジェストの計算および署名の検証を個別に実行してロミオの署名を検証します。

認証

認証を行う場合、公開鍵システムは次のように機能します。ロミオとジュリエットは、自分たちが受信

するメッセージが、ジュリエットの父親などの他人からではなく実際にお互いからのメッセージあること

を確認したいと思っています。ロミオへのメッセージを生成するとき、ジュリエットは、自分の秘密鍵と

テキストのメッセージの両方を必要とする特別な計算を行います。この計算の結果であるデジタル署名を

メッセージに付加し、それをロミオの公開鍵で暗号化してロミオに送信します。

相手のロミオは、ジュリエットのメッセージを解読すると、それが本当にジュリエットからのメッセー

ジかを確認したいと思っています。ジュリエットのメッセージの信頼性を検証するために、ロミオは、ジュ

リエットのメッセージ、デジタル署名、および公開鍵で特別な計算を行います。予想どおりの計算結果が

得られた場合は、ジュリエットのデジタル署名が本物とわかります。予想どおりの結果でない場合は、そ

のメッセージを無視しなければならないことがわかります。

鍵の証明書の管理

証明書とは、個人またはほかのエンティティに公開鍵が結合されていることを証明するデジタル文書の

ことです。この証明書により、特定の公開鍵が実際に特定の個人に属していることが検証できます。証明

書を使用すれば、詐称者が鍵を使用して他人になりすますことができなくなります。

証明書のも簡単な形式では、証明書に公開鍵と名前が記載されます。一般に使用される場合は、証明

書には、鍵の有効期限、証明書を発行した CA (認証機関) の名前、証明書のシリアル番号、およびその他

の情報が記載されます。も重要な証明書には、証明書の発行者のデジタル署名が記載されます。

CA は、証明書を発行して、その秘密鍵で証明書に署名します。

証明書の使用

公開鍵証明書を使用すれば、証明書に結合された公開鍵が信頼できるものになります。公開鍵証明書の

受信者は、その証明書を使用して、証明書の所有者の署名だけでなく証明書自体も検証できます。このよ

うなレベルの検証により、証明書はあらゆる偽造の可能性や虚偽表示に対して保証されます。

2 つ以上の証明書が 1 つのメッセージに添付されるときは、ある証明書が前の証明書の信頼性を証明し

ます。このような認証の階層を証明書チェーンといいます。このようなチェーンの後に、ほかの CA か

らの証明書がなくても信頼できる高レベルの CA があります。(図 D-3 を参照)

23346-001J 付録 D-5


付

図 D-3　証明書のチェーン

認証のも安全な形態では、送信する署名付きメッセージすべてに複数の公開鍵証明書を添付します。

送信者がメッセージの受信者と親密になるほど、多数の証明書をメッセージに添付する必要性は薄れます。

たとえば、ジュリエットはロミオへの初のメッセージと共に多数の証明書をロミオに送信するかもしれ

ませんが、その後ロミオがジュリエットの初のメッセージに添付された証明書をすべて検証した後は、1

つの証明書を送信すればよいのです。

も実用的な方法は、チェーン内の高レベルの証明書の発行者が受信者にわかるように、十分な長さ

の証明書のチェーンをメッセージに添付することです。

PKCS (Public Key Certificate Standards) に従って、すべての署名は署名者の公開鍵を確認する証明書を示

します。つまり、各署名には、証明書の発行者の名前と証明書のシリアル番号が含まれます。したがって、

証明書がメッセージに添付されなくても、検証者は証明書のチェーンを使用して公開鍵のステータスを確

認できます。

証明書の取得

公開鍵証明書を取得するために、ジュリエットは初に独自のキー・ペアを生成します。次に、ジュリ

エットは、身分を証明する有力な証拠と共にキー・ペアの公開鍵の部分を適切な CA (認証機関) に送信し

ます。ジュリエットの身分証明をチェックすると、CA は、ジュリエット・キャプレットと彼女の公開鍵と

の結合を証明する証明書をジュリエットに送信します。さらに、CA 独自の公開鍵を検証する証明書の

チェーンもジュリエットに送信します。付録 D-5 ページの「証明書の使用」で説明したように、ジュリエッ

トは証明書チェーンを使用して、自分の公開鍵の正当性を示せます。

CA は、要求元の身分証明を検証する場合に、各種の証明のフォームを要求します。ある CA では運転免

許証が必要であり、別の CA では証明書要求フォームの公証書が必要かもしれません。さらに別の CA では

指紋が必要かもしれません。たとえば、Apple Computer 社の OCE (Open Collaborative Environment) では、

証明書要求フォームが公証人により認証されている必要があります。

録 D-6 523346-001J


5

SSL (Secure Sockets Layer)

ここでは、SSL (Secure Sockets Layer)を紹介します。以下の項目について説明します。

□ SSL の機能 (付録D-7 ページ)

□ SSL 2.0 に基づく SSL 3.0 プロトコル拡張 (付録D-7 ページ)

□ SSL の実装 (付録D-8 ページ)

SSL の機能

SSL (Secure Sockets Layer) プロトコルは、SSL が適用できるあらゆるセッション中の Web クライアン

トとサーバの間のすべての通信に対するチャネル・セキュリティを提供します。

SSL は、Web クライアントとサーバとの間に、次のタイプのセキュリティを提供します。

プライベート秘密 (共通) 暗号の鍵を定義するための単純なハンドシェイクの後は、Web クライア

ントとサーバの間のメッセージはすべて暗号化されます。

認証済みサーバは、常にその公開鍵証明書で認証されます。Web クライアントは、任意でサー

バに認証情報を送ります。

高信頼メッセージ・トランスポートは、MAC (メッセージ認証コード ) を使用して、確実に

メッセージが送信中に変更されないようにします。

SSL と HTTP は異なるプロトコルであり、通常はそれぞれ 443 と 80 のような別々のポート番号を使用

します。そのため、iTP Secure WebServer は、暗号化で保護されたクライアントと標準的なクライアント

を同時に処理できます。つまり、一部の情報は暗号化されない形式でユーザに提供でき、その他の情報は

暗号化された形式だけで提供できます。

SSL 2.0 に基づく SSL 3.0 プロトコル拡張

SSL 3.0 には、SSL 2.0 の機能に加えて、次のような数多くの拡張機能が追加されています。

□ 必要なハンドシェイク・メッセージを少なくしたので、高速にハンドシェイクできます。

□ ほかの鍵交換と暗号化アルゴリズム (Diffie-Hellman、Fortezza など) にも対応しています。ただし、iTP

Secure WebServer は、RSA キー交換アルゴリズムだけに対応しています。

□ Fortezza カードの形態でハードウェア・トークンに対応しています。これは、暗号対応のスマート・

カードの一般的なサポートに向けた第一歩です。

□ 改良されたクライアント証明書要求プロトコルが追加されました。これによりサーバは、クライアント

証明書の発行を委託する CA (認証機関 ) のリストを指定できます。Web クライアントは、その CA の

いずれかが署名した証明書を返します。ただし、サーバがこのような証明書を受け取らない場合は、接

続ハンドシェイクは失敗します。また、ユーザは接続ごとに証明書を選択せずに済みます。証明書要求

プロトコルの詳細については、4-9 ページの「証明書の要求」を参照してください。

23346-001J 付録 D-7


付

SSL の実装

次のようにして、サーバ上に SSL を実装します。

1. サーバを設定して、SSL セキュリティ・プロトコルが使用できるようにします。

2. Regionコマンドを使用して、特定のサーバ・コンテンツで SSL を使用するように設定します。

たとえば、ファイル secret-recipes.html に安全にアクセスできるようにするには、サーバ設定ファイル

(httpd.config) に次の指示語を追加します。

Region /cookbook/secret-recipes.html {RequireSecureTransport

}

非公開のレシピにアクセスする HTML 文書内では、以下のようにしてこのファイルを参照します。

Here are the <a href="https://cookbooks.org/cookbook/secret-recipes.html">secret recipes</a>!

SSL 接続を有効にして、SSL 接続で使用する証明書を指定するには、サーバ設定ファイル (httpd.config)

内に AcceptSecureTransport指示語を指定します。

AcceptSecureTransport指示語は、次の例のように、サーバ上のすべての領域のデフォルトの証

明書を設定します。

AcceptSecureTransport -cert {CN=Juliet,O=Capulet’s House ofKeys}

PCT (Private Communications Technology)

PCT (Private Communications Technology) プロトコルとは、SSL プロトコルの Microsoft バージョンのこ

とです。2 つのプロトコルはよく似ており、同じポートを使用して要求を受け付けます。

S S L または P C T、あるいはその両方を受け入れるようにサーバを設定するには、

AcceptSecureTran

sport設定指示語を使用します。デフォルトでは、この指示語は SSL と PCT の両方を受け入れます。た

とえば、PCT 要求だけを許可するには、次の指示語を使用します。

AcceptSecureTransport -nossl

AcceptSecureTransport という Region コマンドを使用すれば、特定の領域へのアクセスを

SSL または PCT の要求に制限できます。この場合も、デフォルトではこの指示語は両方のタイプの要求を

許可します。たとえば特定の領域内への SSL 要求だけを許可するには、次のスクリプトを使用します。

Region /cookbook/secret-recipes.html {RequireSecureTransport -nopct

}

PCT や SSL あるいはその両方に対するサーバ処理または領域アクセスの受け入れ制限を除けば、SSL と

PCT の実装は同じです。

録 D-8 523346-001J


5

SSL と PCT の比較

ここでは、SSL と PCT の設計と相対的な利点を比較します。

設計目標

SSL は、すべての通信に対して、Web クライアントとサーバの間に安全なチャネルを提供するよう設計

されています。Web クライアントとサーバの間のデータ・ストリーム全体が暗号化されます。クライアン

トとサーバは、個々の文書へのセキュリティ強化の適用について協議しません。ほとんどの場合、クライ

アントは信頼できる CA が発行したサーバの証明書を検証できますが、サーバが同様にクライアントを認

証することはできません。

PCT の設計目標は SSL の設計目標とよく似ていますが、さらに SSL プロトコルのセキュリティの改善

も設計目標とされました。詳細については、PCT と SSL プロトコルの仕様書を参照してください。

相対的な利点

SSLとPCTは共にプライベート通信を提供します。認証を求めるためにユーザ名とパスワードを暗号化

されたメッセージに取り込んで送信する際には、SSL と PCT のどちらも使用できます。

サーバのプロトコルを選択する際には、相対的な利点のほかに、クライアントが使用しているプロトコ

ルも考慮する必要があります。サーバが、両方のプロトコルに対応できることが理想的です。

23346-001J 付録 D-9


付
録 D-10 523346-001J

付録 E　Tcl (Tool Command Language) の基本

5

付録 E Tcl (Tool Command Language) の基本

この付録では、Tcl (Tool Command Language)の基本概念および言語要素について説明します。これらは、

iTP Secure WebServer の設定スクリプトを記述する際に知っておく必要があります。

iTP Secure WebServer の設定スクリプトは、Tcl (Tool Command Language) で記述されます。サーバの設

定ファイル中で新しい指示語を指定した場合、サーバを再起動するまでは有効になりません。これについ

ては、第 6 章「スクリプトを使用した iTP Secure WebServer の管理」を参照してください。

ある特定の要件に対して iTP Secure WebServer を設定するには、設定スクリプトを作成します。このス

クリプトには、Tcl コマンド構文で表される一連の指示語が含まれます。別のファイルにあるスクリプト・

ソースをカスタマイズし、オプション機能の設定を記述できます。オプション機能としては、安全なトラ

ンスポートや Java サーブレットのサポートなどがあります。すべての設定スクリプトのコンテンツと場所

については、第 7 章「iTP Secure WebServer の設定」を参照してください。

Tcl は完成度の高いプログラミング言語ですが、この付録で説明する Tcl コマンドのサブセットと機能だ

けで、ほとんどのニーズに対して十分な内容となっています。ここで書かれている以外の Tcl コマンドと

機能について知る必要がある場合は、Tcl に関するリソースを参照してください (xxvi ページの「参考文献」

を参照)。

iTP Secure WebServer の設定スクリプトを Tcl で作成するには、次の各項目の基本要素および概念を理

解しておく必要があります。

□ Tcl の構文規則 (付録E-1 ページ)

□ Tcl コマンド (付録E-3 ページ)

□ スクリプト・コマンド (付録E-4 ページ)

Tcl の構文規則

Tcl スクリプトは、ファイルに書かれるコマンドとコメントで構成されます。次の構文規則が適用され

ます。

□ コメントは、先頭がポンド記号 (#) である単一の行で構成されます。コメントは実行されません。

たとえば、次の 4 行はコメントなので、Tcl インタプリタはこの行を実行しません。

## The following directive specifies the# location of the server contents

#

□ コマンド中に引数が複数個ある場合、各引数を空白またはタブで区切ります。

たとえば、次の Filemap設定指示語には引数が 2 つあり、タブで区切られています。

Filemap /personal/unerd/ /udir/unerd

23346-001J 付録 E-1


付

□ 引数自体に空白またはタブが含まれている場合は、その引数を二重引用符 (") または中カッコ ({ }) で区

切ります。中カッコで引数を区切る場合、その引数の中では、コマンドまたは変数の代入 (後述) は行わ

れません。

例：

Message error-forbidden {

<TITLE>Access Denied</TITLE><H1>Access Denied</H1>You have been denied access.

}

□ 中カッコで区切られた引数は、ネストできます。このような引数で、コマンドを構成できます。

例：

Region / {

if [HostMatch *.widget.com] {Redirect /widget-welcome.html

}}

□ コマンドが複数個ある場合は、セミコロン (;) または行末で区切ります。

例：

puts stdout "Hello world!" ; exit

□ バックスラッシュ (\) は、次の文字を文字通りに解釈することを示します。この機能が役立つのは、コ

マンドの引数の中に特殊文字 ($ [ ] など ) がある場合です。行の後のバックスラッシュは、そのコマ

ンドが次の行に続くことを示します。

例：

DenyHost *.openmarket.com *.foo.com *.bar.com *.widgets.com \

*.unerd.org

□ 変数名の前にドル記号 ($) がある場合は、変数の代入を示します。名前の付いた変数の値は、その名前

に代入されます。

たとえば、次の例では、パスは /httpd/logs/httpd.log になります。

set root /httpdExtendedLog $root/logs/httpd.log

□ コマンドが大カッコで区切られている場合、コマンドの代入を示します。区切られたコマンドは、即時

に実行されて、その戻り値は大カッコで区切られたコマンドに代入されます。

たとえば、次の例では、[pwd] が /httpd/logs になる場合、パスは /httpd/logsに設定されます。

set path [pwd]

録 E-2 523346-001J


5

Tcl コマンド

ここでは、Tcl コマンド全般、および設定スクリプト中で通常使用される各 Tcl コマンドについて説明し

ます。

Tcl コマンドは、コマンド・プロシージャ (キーワード) とその後ろに付く引数で構成されます。引数が

存在しない場合もあります。

例：

puts stdout "Hello world!" ; exit

この例において、puts は 2 つの引数を持つコマンド・プロシージャです。2 つの引数とは、stdout と

文字列 Hello world! です。putsは、Hello world! を標準出力に書き込みます。2 番目のプロシージャであ

る exitには、引数はありません。exitは、Tcl スクリプトを終了させるだけです。

Tcl コマンドには、5 種類の引数があります。

□ 数値

数値引数は、整数または浮動小数点数で構成されます。Tcl のコマンド・プロシージャは、数値の引数

が単一の値であるとみなします (例 : 13 または 1.34)。式は、Tcl のコマンド・プロシージャ expr に

よって評価される場合に、引数の中で使用できます。exprは、単一の値を返します。

例：

set my_num [expr 2*3]

Tcl は、C 言語で使用される算術演算子、論理演算子、ビット演算子、関係演算子を数値演算関数に加

えて提供します。ただし、関係演算子が文字列の比較にも使用される点が異なります。

□ 文字列

文字列引数は、ASCII 文字の並びで構成されます。空白も含まれます。

例：

"Access Denied!"

引用符が必要です。

□ リスト

リスト引数は、空白で区切られた要素で構成されます。

例：

"*.status.com *.money.com *.power.com"

引用符が必要です。

23346-001J 付録 E-3


付

□ スクリプト

コマンド引数は、埋め込まれた Tcl スクリプトにすることができます。Tcl スクリプト引数は、必ず中

カッコで区切られます。

Tcl スクリプト引数は、この後の例のようにネストできます。iTP Secure WebServer のコマンド・プロ

シージャ (設定指示語) の一部は、Tcl スクリプト引数を使用します。Tcl スクリプト引数は、Tcl のルー

プ・プロシージャおよび分岐プロシージャの中でも広く使用されています。

例：

Region / {if [HostMatch *.widget.com] {

Redirect /widget-welcome.html}

}

□ 変数

Tcl には、2 種類の変数があります。つまり、スカラ変数と連想配列です。これらの変数は、割り当て

られた値を格納します。その値は、後続コマンドの中で参照されます。

Tcl 変数に値を割り当てるには、setコマンドを使用します。たとえば、次のコマンドは、/usr/tandem/

webserver という値を変数 root に割り当てます。

set root /usr/tandem/webserver

変数に値が設定されたら、そのあとの Tcl スクリプトの中でこの値を参照できます。参照するには、変

数名の前にドル記号 ($) を付加します。このような変数の参照を、変数の代入と呼びます。たとえば、

変数 root が、直前の setコマンドによって割り当てられた値を保持している場合、

ExtendedLog $root/logs/httpd.log

というコマンド (設定指示語 ) 中の root に対する参照は、root の現在の値 (/usr/tandem/webserver) で置

き換えられます。

結果的に、ExtendedLog設定指示語は次のパスを指定することになります。

/usr/tandem/webserver/logs/httpd.log

スクリプト・コマンド

ここでは、iTP Secure WebServer に対する設定スクリプトを記述する際に使用される、Tcl のコア・コマ

ンドについて説明します。

pid

pidコマンドは、サーバの起動プロセスのプロセス ID (数値 ) を返します。この ID は、設定ファ

イルまたはログ・スクリプトに対して一意のファイル名を作成する際に役立ちます。このコマンド

が返すプロセス ID は、サーバのデーモン・プロセスに対する ID とは異なる場合があります。付録

A「設定指示語」を参照してください。

録 E-4 523346-001J


5

pwd

pwd コマンドは、現在の作業ディレクトリを返します。これは、設定スクリプトを格納している

ディレクトリです。pwdコマンドが返す情報は、設定スクリプトの場所に相対的なパス名を作成す

る際に、特に役立ちます。

expr expression

exprコマンドは、式を数値式または文字列比較として解釈し、結果を返します。

例：

Tcl の式で利用できる演算子を図 E-1 に示します。演算子は、優先度の高い順に並べられています。

表 E-1　Tcl の演算子 (1/2 ページ)

コマンド戻り値

expr 4+5 9

expr 10*4 40

expr "foo" == "foo" 1

expr "foo" != "foo" 0

演算子説明

-~!

マイナス、ビット演算の NOT、論理演算の NOT。これらの演算子は、文字列オペラン

ドには適用されません。ビット演算の NOT は、整数のみに適用されます。

*/%

乗算、除算、剰余。これらの演算子は、文字列オペランドには適用されません。剰余

は、整数のみに適用されます。剰余は、必ず除数と同じ符号であり、その絶対値は除数

よりも小さくなります。

+-

加算と減算。すべての数値オペランドに対して有効です。

<<>>

左シフトおよび右シフト。整数オペランドに対してのみ有効です。

<><=>=

論理演算の小なり、大なり、以下、以上。各演算子は、条件が真の場合は 1、条件が偽

の場合は 0 を生成します。文字列に適用された場合、これらの演算子は比較を実行しま

す。

==!=

論理演算の等しい、等しくない。各演算子は、0 または 1 を生成します。すべての種類

のオペランドに対して有効です。

& ビット演算の AND。整数オペランドに対してのみ有効です。

^ ビット演算の排他的 OR。整数オペランドに対してのみ有効です。

23346-001J 付録 E-5


付

表 E-1　Tcl の演算子 (2/2 ページ)

if expression if_true [else if_false]

ifコマンドは、条件付き実行の機能を提供することにより、Tcl スクリプトの実行の流れを制御し

ます。expression の結果が 0 以外であると評価された場合、if_true 文が実行されます。

expressionの結果が 0 であると評価された場合、if_false文が実行されます (if_false文が指定されている場合)。たとえば、次のコマンドは、変数 x の値が負であった場合、変数 x を 0

に設定します。

if {$x < 0} { set x 0 }

switch value {pattern command pattern command ...}

switchコマンドは、指定された値に対するパターン・マッチングに基づいて、条件付き実行を行

います。switch コマンドは、リストされている各 pattern と value とを比較し、初の一

致パターンをサポートするコマンドを実行します。一致するパターンがない場合、defaultが指

定されている対応するコマンドが実行されます。

例：

switch $x {*.company.com { set flag 1 }*.widgets.com { set flag 2 }default { set flag 3 }

}

この例において、x の値が *.company.com に一致する場合、flag は 1 に設定されます。x が *.widgets.

com に一致する場合、flag は 2 に設定されます。一致するパターンがない場合、flag は 3 に設定さ

れます。

string match pattern string

string matchコマンドは、文字列の照合を行います。patternが stringに一致する場

合、このコマンドは 1 (真) を返します。一致しない場合は 0 を返します。

info exists variable

info existsコマンドは、変数または配列要素が存在するかを判断します。変数が存在する場

合、このコマンドは 1 (真 ) を返します。存在しない場合は、0 を返します。たとえば、次のコマン

ドは、配列要素 HEADER (item) が存在する場合、1 を返します。

info exists HEADER(item)

演算子説明

| ビット演算の OR。整数オペランドに対してのみ有効です。

&& 論理演算の AND。両方のオペランドが 0 でない場合、結果は 1 です。それ以外の場

合、結果は 0です。数値オペランド (整数または浮動小数点数) に対してのみ有効です。

|| 論理演算の OR。両方のオペランドが 0 の場合、結果は 0 です。それ以外の場合、結

果は 1 です。数値オペランド (整数または浮動小数点数) に対してのみ有効です。

x?y:z C 言語での If-then-else。x が 0 以外として評価された場合、結果は y の値です。x が

0 として評価された場合は、結果は z の値です。x オペランドは数値でなければなり

ません。

録 E-6 523346-001J


5

source filename

sourceコマンドは、filenameのコンテンツを Tcl スクリプトとして実行します。たとえば、

次のコマンドは、config.tcl のコンテンツを Tcl スクリプトとして実行します。

source config.tcl

Tcl は、コマンド・プロシージャのコア・セットを提供します。Tcl の完全なリストは Tcl に関するリ

ソースで参照できます。

iTP Secure WebServer が提供する Tcl コマンド・プロシージャを、設定指示語と呼びます。設定指示語

については、付録 A「設定指示語」で詳しく説明しています。

23346-001J 付録 E-7


付
録 E-8 523346-001J

付録 F　HTTP/1.1 の機能の一覧

5

付録 F HTTP/1.1 の機能の一覧

表 F-1 は、iTP Secure WebServer のリリース 4.0 でサポートされている HTTP/1.1 のさまざまな機能を示

しています。初のカラムのセクション番号は、プロトコルに対する IETF ドラフト仕様の第 3 版における

セクション番号に対応しています。この仕様の今後の改訂では、セクション番号の対応が変わる可能性が

あります。

こうした機能のほかに、iTP Secure WebServer では、RFC 2617 で定義されている基本認証に対応してい

ます。RFC 2617 を参照するには、次の URL にアクセスしてください。


それぞれの機能については、プロトコル仕様書を参照してください。

表 F-1　iTP Secure WebServer でサポートされている HTTP/1.1 の機能 (1/3 ページ)

セクション機能

8.1 持続型接続

8.2.4 ステータス 100 (続行) の使用

9.2 OPTIONS

9.3 GET

9.4 HEAD

9.5 POST

9.6 PUT

9.8 TRACE

10.1.1 100 続行

10.2.1 200 OK

10.2.2 201 作成済み

10.2.5 204 コンテンツなし

10.2.7 206 不完全なコンテンツ

10.3.2 301 永続的な移動

10.3.3 302 検出

10.3.5 304 変更なし

10.4.1 400 不正な要求

10.4.2 401 権限なし

23346-001J 付録 F-1


付



10.4.4 403 禁止

10.4.5 404 見つからない

10.4.6 405 許可されていないメソッド

10.4.7 406 受け入れ不能

10.4.13 412 前提条件の失敗

10.4.14 413 要求エンティティ長の超過

10.4.17 416 要求範囲外

10.4.18 417 予測の失敗

10.5.1 500 サーバ内部エラー

10.5.2 501 実行不能

10.5.6 505 未サポートの HTTP バージョン

13.3.3 Strong エンティティ・タグ

13.3.3 Weak エンティティ・タグ

14.1 Accept

14.2 Accept-Charset

14.3 Accept-Encoding

14.4 Accept-Language

14.5 Accept-Ranges

14.7 Allow

14.8 Authorization

14.11 Content-Encoding

14.12 Content-Language

14.13 Content-Length

14.14 Content-Location

14.16 Content-Range

14.17 Content-Type

14.18 Date

録 F-2 523346-001J


5



14.19 ETag

14.20 Expect

14.23 Host

14.24 If-Match

14.25 If-Modified-Since

14.26 If-None-Match

14.27 If-Range

14.28 If-Unmodified-Since

14.29 Last-Modified

14.30 Location

14.35 Range

14.36 Referrer

14.38 Server

14.39 TE

14.40 Trailer

14.41 Transfer-Encoding

14.43 User-Agent

14.44 Vary

14.47 WWW-Authenticate

23346-001J 付録 F-3


付
録 F-4 523346-001J

用語解説

5

用語解説

この用語解説では、本書およびコンパックのその他のマニュアルで使われる用語を定義します。業界標

準の用語とコンパック固有の用語の両方が含まれています。

CCITT (International Telegraph and Telephone Consultative Committee)

国際電信電話諮問委員会。国際通信連合 (ITU) の一部門であり、標準設定活動の調整を行いま

す。

CERN

ヨーロッパ素粒子物理学研究所。HTTP (HyperText Transport Protocol) および HTML

(HyperText Markup Language) の概念を生み出した組織です。

CGI

Common Gateway Interface (CGI) を参照。

CommerceNet

シリコン・バレーで結成されたコンソーシアムであり、インターネット上での電子商取引を推

進しています。

Common Gateway Interface (CGI)

Web サーバと、このサーバが Web クライアントからの要求を処理するプログラムとの間のイ

ンタフェースとして使用される、標準プロトコル。

DN

識別名 (DN) を参照。

DNS

ドメイン・ネーム・サーバ (DNS) を参照。

Ethernet

Xerox 社のパロアルト研究センターが開発した、広く使用されているローカル・エリア・ネッ

トワーク (LAN) 技術。Ethernet 自体は、受動同軸ケーブルであり接続機器がすべて、アクティ

ブな構成要素を含んでいます。Ethernet は、CSMA/CD 技術を採用しているベスト・エフォー

ト型の配信システムです。Xerox 社、DEC (Digital Equipment Corporation)、Intel 社の 3 社は、

10Mbps の Ethernet に対する標準を開発、公開しました。

File Transfer Protocol (FTP)

マシン間でファイル転送を行うための、インターネット標準の高位プロトコル。FTP は通常、

アプリケーション・レベルのプログラムとして実装されており、TELNET プロトコルと TCP

(Transmission Control Protocol) プロトコルを使用します。サーバ側は、Web クライアントに

対して、サーバが要求を受け取る前に Web クライアントがログイン識別子とパスワードを入

力することを要求します。

FTP

File Transfer Protocol (FTP) を参照。

23346-001J 用語解説 -1

用語解説

用

HyperText Markup Language (HTML)

World Wide Web 上のハイパーテキスト文書を書式化するためのタグ型の言語。HTML は、

SGML (Standard Generalized Markup Language) を基に構築された言語です。

HyperText Transport Protocol (HTTP)

World Wide Web 上で、サーバ～ Web クライアント (ブラウザ) 間でデータの送信に使用され

る通信プロトコル。

IEEE

米国電子電気学会 (IEEE) を参照。

IP

インターネット・プロトコル (IP) を参照。

Joint Photographic Expert Group (JPEG)

World Wide Web (WWW) 上でのグラフィックスの送信に使用される画像形式です。

JPEG

Joint Photographic Expert Group (JPEG) を参照。

Key Exchange Key (KEK)

別のキーを暗号化するための暗号キー。

Mosaic

ブラウザを参照。

Netscape

ブラウザを参照。

NonStop Kernel

コンパックのオペレーティング・システム。コア・サービスとシステム・サービスで構成され

ています。このオペレーティング・システムには API (アプリケーション・プログラム・イン

タフェース) は含まれていません。

Open System Services (OSS)

NonStop Kernel オペレーティング・システムと共に利用できる、対話的にまたはプログラム

で使用するオープン・システム環境。OSS 環境で動作するプロセスは、OSS の API (アプリ

ケーション・プログラム・インタフェース) を使用します。OSS 環境を対話的に使用する場合

は、コマンド・インタプリタとして OSS シェルを使用します。

OSS

Open System Services (OSS) を参照。

OSS アプリケーション

POSIX 準拠のアプリケーション。

PATHMON

NonStop TS/MP アプリケーションのための中心的な制御プロセス。

Pathway

NonStop TS/MP の旧名称。持続型でスケーラブルなトランザクション処理アプリケーション

に対して、トランザクション・サービスを提供する製品。

語解説 -2 523346-001J

用語解説

5

QIO サブシステム

同一プロセッサ上で動作するプロトコル・プロセスに対してバッファおよび制御ブロックを提

供する製品。プロトコル・プロセスとしては、TCP/IP、TLAM、NonStop IPX/SPX などがあ

ります。

Request for Comments (RFC)

調査、測定、概念、手法、観察、および、提案、受理されたインターネット・プロトコル標準

を含む文書群の名前。RFC は、校訂はされますが審査はされません。RFC は、インターネッ

トから入手できます。

RFC

Request for Comments (RFC) を参照。

Secure Sockets Layer (SSL)

World Wide Web 上でのプライベート通信、および Web クライアントによる Web サーバの認

証に使用されるプロトコル。

Simple Mail Transfer Protocol (SMTP)

電子メールをマシン間で転送するための、インターネット標準プロトコル。SMTP は、2 つの

メール・システムのやりとりの方法、および 2 つのメール・システムが交換、転送する制御

メッセージの形式を規定します。

SSL

Secure Sockets Layer (SSL) を参照。

TELNET

リモート端末接続サービスを提供するインターネット標準プロトコル。TELNET により、あ

るサイトのユーザが、あたかも、ユーザの端末がリモート・マシンに直接接続されているかの

ように、別のサイトにあるリモートのタイムシェアリング・システムとやりとりできます。つ

まりユーザが起動する TELNET アプリケーション・プログラムは、リモート・マシンに接続

し、ログイン ID とパスワードの入力を要求し、ユーザの端末からのキーストロークをリモー

ト・マシンへ渡し、リモート・マシンからの出力結果をユーザの端末に表示します。

Transmission Control Protocol (TCP)

インターネット標準のトランスポート・レベルのプロトコル。このプロトコルに依存する多く

のアプリケーション・プロトコルに、信頼性の高い、全二重のストリーム・サービスを提供し

ます。TCP により、あるマシン上のプロセスが、別のマシン上のプロセスへデータ・ストリー

ムを送信できます。データの送信に先立って送受信者が接続を確立するので、TCP はコネク

ション型プロトコルです。TCP を実装しているソフトウェアは、通常はオペレーティング・シ

ステム上にあり、IP (Internet Protocol) を使用してインターネット上で情報を送信します。TCP

接続上でフローの一方向だけを終了させ (シャットダウンし)、単方向 (単信) 接続にもできま

す。TCP はも重要な 2 つのプロトコルのうちの 1 つなので、インターネット・プロトコル

群全体を TCP/IP と呼ぶこともあります。

Unicode

Javaのcharと java.lang.Stringのデータ型に対して使用される16ビット文字エンコーディング。

URL

Uniform Resource Locator。

23346-001J 用語解説 -3

用語解説

用

Web クライアント

特に IBM 互換 PC、Apple Macintosh、UNIX プラットフォーム上で動作するプログラム。Web

上の文書とプログラムにアクセスするための GUI (グラフィカル・ユーザ・インタフェース )

を提供します。Web ブラウザは、Web クライアントのも一般的なものです。

Web コンテナ

サーブレットと JSP のライフサイクルを管理する Java 実行環境。

Web サーバ

各種のサーバ・プラットフォーム上で動作するプログラム。Web サーバとしては、IBM 互換

サーバ、Apple Macintosh サーバ、UNIX サーバ、および多数の独自仕様のホストがあります。

Web サーバの機能は、2 つの部分に分けられます。ファイル・サーバの部分は、ファイル転送

やバッファリングなど通常のファイル・サーバ機能を実行します。メッセージ交換機能は、

Web クライアントからのメッセージをアプリケーション・プログラムへ転送します。

WID キーファイル

-websafegen 引数と共に keyadmin コマンドを使用して生成したキーを管理するファイル。管

理するキーは、ハードウェア暗号化のために証明書を生成するのに使用するキーです。

(キー・データベース・ファイルと比較してください。)

World Wide Web (WWW) プロトコル

WWW プロトコルは、まず初にスイスの CERN プロジェクトによって規定され、その後複

数の組織によって拡張されました。その中でも有名なのは、イリノイ大学の National Center

for SuperComputing Applications (NCSA) です。これらの WWW プロトコルは、もともとイン

ターネット通信を向上させるために開発されたものです。そのため、Web クライアントのハー

ドウェアに依存しない文書に対して、アクセスおよび表示を行う機能を提供しています。この

文書には、ASCII テキストだけでなく、画像、グラフィックス、音声、ビデオなどの要素も含

まれます。WWW プロトコルは、文書へのアクセスだけでなく、文書検索機能、およびユー

ザ作成サーバやベンダ提供サーバとのやりとりにも利用できます。

WWW

World Wide Web (WWW) プロトコルを参照。

インターネット

物理的には、ゲートウェイによって相互接続されたパケット交換ネットワークの集合体です。

各種のプロトコルを利用しており、論理的には単一の巨大仮想ネットワークとして機能しま

す。大文字で INTERNET と書かれた場合、特に DARPA Internet とそれが使用する TCP/IP プ

ロトコルを指します。

インターネット・アドレス

TCP/IP を使用してインターネットに参加するホストに割り当てられる、32ビットのアドレス。

インターネットが物理ネットワークを抽象化したものであるのと同様に、インターネット・ア

ドレスは物理的なハードウェア・アドレスを抽象化したものです。インターネット・アドレス

は、実際に物理ネットワークに接続されるホストの接続機器に割り当てられるもので、ネット

ワーク部分とホスト部分で構成されます。このように分割されているので、ルーティングの効

率が向上します。

インターネット・プロトコル (IP)

インターネットの標準プロトコル。インターネット上で渡される情報単位としてインターネッ

ト・データグラムを定義します。インターネット上の、コネクションレス型のベスト・エフォー

ト型のパケット配信サービスの基礎となります。

語解説 -4 523346-001J

用語解説

5

階層型ルーティング

階層型アドレッシング方式に基づくルーティング。多くのインターネット・ルーティングは、

2 レベルの階層に基づいています。2 レベル階層では、インターネット・アドレスはネット

ワーク部分とホスト部分で構成されます。データグラムがそのデータグラムを直接配信でき

るゲートウェイに到達するまで、ゲートウェイはネットワーク部分だけを使用します。サブ

ネットを使用すると、階層型ルーティングのレベルが追加されます。

キー・データベース・ファイル

-mkpair または -keydb の引数と共に keyadmin コマンドを使用して生成したキーを管理する

ファイル。これらは、ソフトウェア暗号化のために証明書を生成するのに使用するキーです。

(WID キー・ファイルと比較してください。)

ゲートウェイ

複数のネットワークに接続し、ネットワーク間でパケットをルーティングする、専用コン

ピュータ。特に、インターネット・ゲートウェイは、ネットワーク間で IP (Internet Protocol)

データグラムをルーティングします。ゲートウェイは、1 つの物理ネットワーク上でパケット

が終的な宛先に直接配信されるまで、ほかのゲートウェイへパケットをルーティングしま

す。この用語は、メール・ゲートウェイなどのように、ネットワーク間で情報を転送するマシ

ンに対しても広く使われます。

サーバ

クライアント / サーバ環境において、Web クライアントからの要求に応じるプロセスまたはプ

ロセス群。

サーバ・クラス

1 つのサーバ・プログラムの複製のグループ。これらのプログラムはすべて、同じオブジェク

ト・プログラムを実行します。

サーバ・プログラム

NonStop TS/MP では、オンライン・トランザクション処理アプリケーションに対して、データ

操作とデータ出力を処理するプログラム。サーバ・プログラムは、要求元プログラムからの要

求メッセージを受信し、必要な動作 (たとえば、データベースに対する問い合わせや更新、セ

キュリティの検査、数値計算、別のコンピュータ・システムへのデータ・ルーティングなど )

を実行し、応答メッセージを要求元プログラムに返します。

サーバ・プロセス

アプリケーションに対する要求を実行し、要求元に応答を返すプロセス。

サブシステム

各種の通信サービスへのアクセスを実現する、ソフトウェアまたはハードウェアの機能。

サブネット・アドレス

インターネット・アドレス方式の拡張機能。物理ネットワークが複数ある場合でも、サイトが

使用するインターネット・アドレスは 1 つで済みます。サブネット・アドレッシングを使用す

るサイトの外側では、宛先アドレスをインターネット部分とローカル部分に分割することによ

り、ルーティングは通常どおりに続けられます。サブネット・アドレッシングを使用するサイ

トの内側にあるゲートウェイおよびホストは、アドレスのローカル部分を解釈するため、アド

レスを物理ネットワーク部分とホスト部分に分割します。

23346-001J 用語解説 -5

用語解説

用

識別名 (DN)

ディレクトリ・エントリの完全な名前で、エントリの相対識別名 (RDN) とその上位エントリ

の RDN で構成されます。

接続

信頼性の高いストリーム配信サービスを提供する、2 つのプロトコル・モジュール間の経路。

インターネットでは、あるマシン上の TCP (Transmission Control Protocol) モジュールから別

のマシンの TCP モジュールへ、接続が張られます。

相互運用性

多数のベンダが提供する多数のマシン上で動作するソフトウェアおよびハードウェアが、意

味のある通信をできる能力。

ディスク・ファイル

標準の POSIX または Guardian 形式のディスク・ファイル。POSIX ディスク・ファイルのファ

イル名は、POSIX の仕様に準拠しています。

ドメイン

インターネットでは、名前付けの階層の一部。構文的に言うと、ドメイン名は名前 (ラベル) の

シーケンスをピリオド (ドット) で区切ったものです。

ドメイン・ネーム・サーバ (DNS)

リソースに名前を付ける方式。DNS の基本機能は、クエリに応答して、ネットワーク・オブ

ジェクトに関する情報を提供することです。

配置記述子

MIME タイプ、サーブレットへの要求のマッピング、アクセス制御、およびサーブレットの

初期化パラメータなどのリソース定義を含む web.xml ファイル。

パケット

パケット交換型ネットワーク上で送信されるデータの単位。特に物理ネットワーク上で送信

されるデータを指している文献もあれば、インターネットをパケット交換型ネットワークと

捉え、IP データグラムをパケットとしている文献もあります。

物理層

OSI 参照モデルの第 1 層。この層は、ネットワークとコンピュータ機器間における実際の物理

接続を確立します。物理層で使用するプロトコルには、物理媒体上でのビット伝送に関する規

約、およびコネクタと配線に関する規約があります。

ブラウザ

World Wide Web 上のサイトへのアクセスに使用される GUI (グラフィカル・ユーザ・インタ

フェース)。主なものに、Netscape、Internet Explorer、Mosaic、Lynx があります。

プロセス

オペレーティング・システムが管理する、動作しているエンティティ。これに対して、プロ

グラムはコードとデータの集まりです。プログラムがディスク上のファイルから取り出され

てプロセッサ上で動作する場合、この動作しているエンティティをプロセスと呼びます。

語解説 -6 523346-001J

用語解説

5

プロトコル

メッセージ形式、および複数のマシンがメッセージ交換を行う際に従う規則に関する正式な説

明。プロトコルは、下位レベルのマシン間インタフェースの詳細 (たとえば、導線上で送信さ

れるバイト中の各ビットの順番など) や、上位レベルのアプリケーション・プログラム間での

データ交換 (たとえば、2 つのプログラムがインターネット経由でファイルを転送する方法な

ど) について説明します。ほとんどのプロトコルには、想定される交信を直観的に示した説明

と、有限状態機械 (FSM) モデルを使用した正式な仕様の両方があります。

米国電気電子学会 (IEEE)

電気技術およびコンピュータ分野における標準を開発している、国際的な業界団体。

待ちありモード

NonStop カーネル・オペレーティング・システムにおいて、呼び出されたプロシージャが入出

力動作の完了を待ってから、呼び出し元に状態コードを戻すモード。( 待ちなしモードと比較

してください。)

待ちなしモード

Guardian ファイル・システムおよび一部の APS の動作において、呼び出されたプロシージャ

が入出力動作を起動するが、動作の完了を待たずに呼び出し元へ制御を戻す、というモード。

呼び出されたプロシージャが動作の完了を待つようにするには、アプリケーションは別のプロ

シージャを呼び出します。(待ちありモードと比較してください。)

ローカル・エリア・ネットワーク (LAN)

短い距離 ( 大で数 1000m) を高速 (通常数 10Mbps ～数 Gbps) で動作する物理ネットワーク

技術。

23346-001J 用語解説 -7

用語解説

用
語解説 -8 523346-001J

索引

英数字

128ビット暗号化、設定 .............................................4-26

A

AcceptSecureTransport指示語 ..................................... A-6

暗号化の仮想ホスト、設定 .................................... A-6

Accept指示語 ................................................................ A-3

Acceptヘッダ ............................................................... 7-13

AccessLog指示語 ......................................7-22, A-14, C-1

AddCGIコマンド ....................................................... A-51

admin httpdサーバ・クラス ....................................... 12-2

定義 .........................................................................12-3

Administration Server

アーキテクチャ ......................................................12-2

インストール .......................................................... 12-2

画面 .........................................................................12-4

起動 .........................................................................12-2

機能メニュー .......................................................... 12-5

設定 .........................................................................12-3

adminサーバ・クラス ................................................. 12-2

定義 .........................................................................12-3

AllowHostコマンド ..........................................7-29, A-51

AnonymousTicketExpiration属性 .....................11-6, A-62

Arglistパラメータ ......................................................A-71

AUTH_TYPE ............................................................... 8-12

AUTOMATIC_FORM_DECODING .......................... 8-16

B

BackupCPU属性 ......................................................... A-44

Bourneシェルからの環境変数へのアクセス ............ 8-19

Browser指示語 ...........................................................A-15

C

C/C++ .............................................................................8-1

C/C++からの環境変数へのアクセス ........................ 8-19

CacheTime ...................................................................7-19

CacheTime指示語 ...................................................... A-16

CGI_Captureプロシージャ ......................................... 8-28

CGI_connection_abortプロシージャ .......................... 8-30

CGI_feofプロシージャ ............................................... 8-28

CGI_fflushプロシージャ ............................................8-29

CGI_fgetsプロシージャ .............................................. 8-29

CGI_freadプロシージャ ............................................. 8-29

CGI_fwriteプロシージャ ............................................8-29

CGI_getcプロシージャ ............................................... 8-30

CGI_initializeプロシージャ .......................................8-30

cgilib.hファイル ..........................................................8-31

CGI_mainプロシージャ ............................................. 8-29

CGI_printfプロシージャ ............................................8-29

CGI_putsプロシージャ ............................................... 8-30

CGI_set_fflush_timer ................................................... 8-30

CGI_terminateプロシージャ ......................................8-30

CGIプログラム ............................................................. 8-1

iTP Secure WebServerで使用される .......................8-1

Pathway .....................................................................8-3

Regionコマンド中の変数 ......................................4-26

アクセス拒否 ..........................................................8-10

応答ヘッダ ..............................................................8-24

出力 .....................................................8-24, A-60, A-69

使用言語 ....................................................................8-1

設定 ........................................................................... 8-5

入力の受け渡し ...................................................... 8-21

場所 ........................................................................... 8-5

汎用 ........................................................................... 8-2

優先度 .................................................................... A-57

索引

523346-001J 索引 -1

索引

索

ライブラリ ...................................................... 8-4, 8-28

Pathway CGIアプリケーション中に包含 ........ 8-31

利用 ......................................................................... 4-26

CGIライブラリ、アプリケーションとのリンク ....... 8-4

ciphertext ...................................................................... D-1

circle指示語 ................................................................. 7-45

CNAME ....................................................................... 7-26

Common Gateway Interface。CGIプログラムを参照

Common Name属性 ...................................................... 4-4

configコマンド ........................................................... 7-49

Content-encoding:ヘッダ ............................................ 8-25

CONTENT_LENGTH ........................................ 8-13, 8-23

Content-length:ヘッダ ................................................ 8-25

Content-type:ヘッダ ................................................... 8-25

CookiePersistence属性 ...................................... 11-6, A-63

Country属性 .................................................................. 4-4

CPUS属性 ........................................................ A-44, A-71

Current Server Information画面 .................................. 12-5

CWD属性 ................................................................... A-71

Cシェル ......................................................................... 8-1

D

DATE_GMT ................................................................ 7-52

DATE_LOCAL ........................................................... 7-52

DAY ............................................................................. 7-37

DBACCESSテーブル、RLS ...................................... 10-3

Debug属性 .................................................................. A-71

DefaultTypeコマンド ......................................... 8-6, A-52

DefaultType指示語 .................................................... A-17

Deletedelay属性 ......................................................... A-72

DenyHostコマンド ........................................... 7-29, A-52

Denyコマンド ................................................... 8-10, A-52

DES ........................................................................ 5-2, D-4

DirectoryIndexコマンド ................................... 7-33, A-52

DisableCloseNotifyコマンド ..................................... A-53

Djdbc.drivers オプションの引数 ................................ 9-19

DNSCacheSize指示語 ................................................ A-18

DNSExpiration指示語 ................................................ A-19

DNSキャッシュ ............................................... A-18, A-19

エントリの有効期限 ............................................. A-19

サイズ .................................................................... A-18

DOCUMENT_NAME ................................................. 7-52

DOCUMENT_URL ..................................................... 7-52

E

echoコマンド .............................................................. 7-51

Edit Configuration File画面 ........................................ 12-9

EnableAnonymousTicketing属性 ..................... 11-6, A-63

EnableIncludesコマンド ............................................ A-53

EncodingTypeコマンド ............................................. A-54

EncodingType指示語 ................................................. A-20

Envパラメータ .......................................................... A-72

ErrorLog指示語 ................................ 7-22, 8-27, A-21, C-3

ErrorLogファイル ....................................................... 8-27

Event Management Service (EMS)

iTP Secure WebServerのイベント通知 ...................B-1

テンプレートのインストール ................................. 2-3

execコマンド .............................................................. 7-51

Expires:ヘッダ ............................................................ 8-25

exprコマンド ................................................................E-5

ExtendedLog指示語 ................................. 7-23, 8-27, A-22

ExtendedLogファイル ................................................ 8-27

F

Filemapコマンド ....................................................... A-54

Filemap指示語

記述 ........................................................................ A-23

追加パス情報の提供 .............................................. 8-23

複数 ........................................................................ A-23

プリフィックス重複 ............................................. A-24

リクエストとコンテンツとのマッピング ........... 7-11

引 -2 523346-001J

索引

FileStatsCheckTime ...........................................7-19, A-25

flastmodコマンド ........................................................ 7-52

FORM_DECODING_PREFIX ....................................8-18

fsizeコマンド .............................................................. 7-52

G

GATEWAY_INTERFACE .......................................... 8-11

Global Server ID

Intuit Quicken ............................................................ 4-6

Microsoft Internet Explorer .......................................4-5

Microsoft Money ....................................................... 4-6

Netscape Navigator ................................................... 4-6

サポート .............................................................4-5, 4-6

登録 ...........................................................................4-6

Gsubvol属性 ...............................................................A-44

Guardianファイルの使用 ............................................ 7-16

H

HEADER .............................................................7-38, 7-39

NonStop Kシリーズ・サーバ

ハードウェア要件 ....................................................2-3

NonStop Sシリーズ・サーバ

ハードウェア要件 ....................................................2-3

Hometerm属性 ..................................................A-44, A-72

HostMatchコマンド ................................................... A-54

HOUR ..........................................................................7-37

HTML

フォーム .........................................................8-22, 8-23

文書の移動 ............................................................. A-57

HTTP_ACCEPT .......................................................... 8-20

HTTP_ACCEPT_CHARSET ...................................... 8-20

HTTP_ACCEPT_LANGUAGE .................................. 8-20

httpd

コマンド .................................................................... 6-4

設定ファイル ............................................................ 7-2

プロセス ....................................................................6-4

ロード・バランス ................................................. A-72

httpd.adm.configファイル ...........................................12-3

httpd.adm_stl.config .....................................................12-3

httpd.configファイル ..................................................... 7-2

httpd.stl.configファイル .......................................4-24, 7-7

httpd.websafe.configファイル .............................5-9, 7-55

HTTP_HOST ............................................................... 8-20

HTTP_RANGE ............................................................ 8-21

HTTPS

環境変数 ..................................................................8-14

プロトコル指定子 .................................................... 4-3

HTTPS_CLIENT TCL/CGI変数 ................................. 4-23

HTTPS_CLIENT_CERT ............................................. 8-14

HTTPS_CLIENT_CERTTYPE ...................................8-14

HTTPS_CLIENT_ERROR_DN ..................................8-14

HTTPS_CLIENT_ISSUER .......................................... 8-14

HTTPS_CLIENT_STATUS ........................................ 8-15

HTTPS_CLIENT_SUBJECT ......................................8-15

HttpServlet ...................................................................9-31

HttpServletRequest ...................................................... 9-31

HttpServletResponse ....................................................9-31

HTTPS_KEYSIZE ....................................................... 8-14

HTTPS_PORT .............................................................8-15

HTTPS_PROTOCOL .................................................. 8-15

HTTPS_SERVER_ISSUER ........................................ 8-14

HTTPS_SERVER_SUBJECT ..................................... 8-14

HTTP_USER_AGENT ................................................8-21

HttpUtils .......................................................................9-32

HTTPステータス・コード ................................. 8-26, C-3

HTTPヘッダ

HEADER変数 .........................................................7-39

応答 ......................................................................... 8-24

変数 ......................................................................... 8-19

523346-001J 索引 -3

索引

索

I

if_false文 ..............................................................7-36, E-6

if_true文 ...............................................................7-36, E-6

ifコマンド ............................................................7-36, E-6

imagemap指示語

URL書式 ................................................................. 7-45

記述 ......................................................................... 7-44

includeコマンド .......................................................... 7-50

IndexFileコマンド ..................................................... A-55

IndexFile指示語 ................................................ 7-12, A-26

info existsコマンド ..............................................7-39, E-6

InputTimeout指示語 .................................................. A-27

install.WSスクリプト ................................................... 5-7

International Step-Up (Netscape) のサポート .............. 4-5

IPアドレス

WebSafe2の設定 ...................................................... 5-6

クライアント .......................................................... 7-29

照合 .............................................................. A-52, A-54

複数 ......................................................................... 7-40

変換 ........................................................................ A-67

割り当て ................................................................. 7-41

ip指示語 ...................................................................... 7-53

ISMAPタグ ................................................................. 7-46

iTP Secure WebServer

起動 .................................................................. 6-2, 12-6

再起動 ..................................................................... 12-7

停止 .................................................................. 6-3, 12-8

J

J2EEの概要 ................................................................... 9-5

Java

Developers Kitバージョン ..................................... 9-29

NonStopサーバ ...................................................... 9-29

～からの環境変数へのアクセス ........................... 8-19

Java 2 Enterprise Edition (J2EE)プラットフォームの

概要 ........................................................................... 9-5

Javascript ..................................................................... 12-1

JavaServer Pages ........................................................... 9-7

javaxパッケージ ......................................................... 9-30

Javaサーブレット ......................................................... 9-1

Javaスレッド

生成 ......................................................................... 9-33

Javaスレッドの生成 ................................................... 9-33

K

KeepAliveMaxRequest指示語 ................................... A-29

KeepAliveTimeout指示語 .......................................... A-28

KEK ........................................................................ 5-4, 5-9

Key Exchange Key。KEKを参照

keyadminユーティリティ

PEM形式 ................................................................ 4-11

WebSafe2 ................................................................ 5-10

キー・ペアの生成 ....................................4-6, 4-8, 5-10

情報の表示 ............................................................. 4-20

証明書チェーンの作成 ................................. 4-21, 5-15

証明書の一覧表示 .................................................. 4-14

証明書のインストール .......................................... 5-13

証明書の削除 ......................................................... 4-10

証明書の生成 ......................................................... 5-10

証明書の追加 ......................................................... 4-10

証明書の無効化 ...................................................... 4-12

証明書の有効化 ...................................................... 4-12

証明書要求の作成 .................................................... 4-8

設定 ........................................................................... 4-2

データベース・エントリのエクスポート ........... 4-20

パスワードの変更 .................................................. 4-13

keyadminユーティリティのPEM形式 ...................... 4-11

KeyDatabase指示語 .......................................... 4-25, A-30

Kornシェルからの環境変数へのアクセス ............... 8-19

引 -4 523346-001J

索引

L

Language Preference指示語 ........................................ 7-13

Language Suffix指示語 ............................................... 7-14

LanguagePreferenceコマンド ....................................A-55

LanguagePreference指示語 ........................................A-31

LanguageSuffix指示語 ............................................... A-32

LAST_MODIFIED ......................................................7-52

libcgi.a、アプリケーションとのリンク ...................... 8-4

Linkdepthコマンド .....................................................A-73

Linkdepth属性 ............................................................ A-72

Location:ヘッダ ..................................................8-25, 8-26

LogItemコマンド ....................................................... A-55

Log-:ヘッダ ................................................................. 8-25

M

MAC .............................................................................8-13

MapDefine属性 ..........................................................A-73

Master File Key。MFKを参照

MaxFileCacheContentSize .................................7-20, A-33

MaxFileCacheEntries .........................................7-20, A-34

Maxlinks属性 .............................................................. A-73

MaxRequestBody指示語 ............................................A-35

MaxServerClasses属性 ............................................... A-44

MaxServerProcesses属性 ........................................... A-45

Maxservers属性 ...................................................5-3, A-73

Messageコマンド ....................................................... A-55

Message指示語 ..................................................7-43, A-36

METHOD .....................................................................7-37

MFK ........................................................................5-2, 5-6

Microsoft Private Communication Technology。

PCTを参照

MimeTypeコマンド ................................................... A-56

MimeType指示語 ....................................................... A-39

MIMEタイプ ............................................................... 8-25

application/x-httpd-cgi ........................................... A-39

application/x-imagemap ......................................... A-39

CGI ............................................................................ 8-6

サーバ ....................................................................... 8-7

指定 ....................................................A-17, A-39, A-56

デフォルト ............................................................. A-52

MIMEマッピング ....................................................... 9-26

MINUTE ...................................................................... 7-37

MONTH .......................................................................7-37

N

Negotiationコマンド .................................................. A-56

Negotiation指示語 .............................................7-13, A-40

newdn.txtファイル

ソフトウェア暗号化 .............................................. 4-10

ハードウェア暗号化 .............................................. 5-13

NoCache Regionコマンド ...........................................7-20

NoLogコマンド .......................................................... A-57

nonce ............................................................................8-13

NSJ (NonStop Server for Java) .................................... 9-29

Numstatic属性 ............................................5-3, 7-57, A-74

O

OCE ............................................................................... D-6

Open Collaborative Environment。OCEを参照

OPTIONS要求メソッドのサポート ............................ 1-4

Organizational Unit属性 ................................................ 4-4

Organization属性 ...........................................................4-4

OSS Command画面 ...................................................12-14

OutputTimeoutコマンド ............................................ A-57

OutputTimeout指示語 ................................................ A-42

P

Parallel Library TCP/IP サポートの移行に関する

留意事項 ....................................................................3-2

523346-001J 索引 -5

索引

索

PASSTHROUGH_CONTENT_LENGTH変数 .......... 10-3

PATH ........................................................................... 7-37

PATH_INFO ..............................................8-11, 8-21, 8-23

PATHMON環境

計画 ........................................................................... 3-5

設定 ........................................................................ A-43

Pathmon指示語 .......................................................... A-43

PATH_TRANSLATED .............................8-12, 8-21, 8-23

Pathway CGI .................................................................. 8-3

拡張機能 ................................................................... 1-8

PathwayMimeMap指示語 ................................... 8-7, A-46

PCT ................................................................................ 4-1

PidFile指示語 ............................................................. A-47

pidコマンド ..................................................................E-4

PKCS ............................................................................ D-6

polygon指示語 ............................................................ 7-45

PostExpirationExtension属性 ............................ 11-6, A-63

PrimaryCPU属性 ........................................................ A-44

Priorityコマンド ........................................................ A-57

Priority属性 ...................................................... A-43, A-74

Public Key Certificate Standards。PKCSを参照

PutScriptコマンド ...................................................... A-57

PutScript指示語 .......................................................... A-48

PUT要求メソッドの設定 .......................................... A-48

pwdコマンド .................................................................E-5

Q

QUERY_STRING ............................7-37, 8-12, 8-21, 8-22

R

RC4 .............................................................................. 4-28

rectangle指示語 ........................................................... 7-44

Redirectコマンド ....................................................... A-57

RegionSet指示語 ........................................................ A-66

Regionコマンド ..............................4-25, 7-27, 7-28, A-51

AddCGI .................................................................. A-51

AllowHost .............................................................. A-51

DefaultType ........................................................... A-52

Deny ....................................................................... A-52

DenyHost ............................................................... A-52

DirectoryIndex ....................................................... A-52

DisableCloseNotify ................................................ A-53

EnableIncludes ....................................................... A-53

EncodingType ........................................................ A-54

Filemap .................................................................. A-54

HostMatch .............................................................. A-54

IndexFile ................................................................ A-55

LanguagePreference ............................................... A-55

LogItem .................................................................. A-55

Message .................................................................. A-55

MimeType .............................................................. A-56

Negotiation ............................................................. A-56

NoLog .................................................................... A-57

OutPutTimeout ....................................................... A-57

Priority ................................................................... A-57

PutScript ................................................................. A-57

Redirect .................................................................. A-57

RequiredFileExtension ........................................... A-58

RequireSecureTransport ........................................ A-60

ScriptTimeout ........................................................ A-60

SendHeader ............................................................ A-61

SI_Department ....................................................... A-61

SI_RequireSI .......................................................... A-61

UserDir ................................................................... A-61

順序付け ................................................................. 7-34

条件付き ................................................................. 7-36

複数 ............................................................... 7-34, A-66

Region指示語 ...........................................7-27, 7-56, A-49

REMOTE_ADDR ......................................7-37, 7-38, 8-12

REMOTE_HOST ......................................7-37, 7-38, 8-12

REMOTE_IDENT ....................................................... 8-12

REMOTE_USER ......................................................... 8-12

引 -6 523346-001J

索引

REQUEST_METHOD ................................................. 8-12

RequiredFileExtensionコマンド ................................ A-58

RequireIP属性 ...................................................11-6, A-64

RequirePasswordコマンド ................................7-30, A-59

RequireSecureTransportコマンド ..............................A-60

例 ....................................................................4-25, 4-26

Resource Locator Service。RLSを参照

restarthスクリプト ........................................................6-4

restartスクリプト .......................................................... 6-3

ReverseLookup指示語 ................................................ A-67

RewriteHostAlias属性 ................................................ A-64

RewriteHtmlLinks属性 ......................................11-7, A-65

RewriteImageLinks属性 ....................................11-7, A-65

RLS

アーキテクチャ ......................................................10-1

サーバ・クラス ......................................................10-2

設定 .........................................................................10-2

RmtServer指示語 ......................................................... 10-3

rmtサーバ・クラス ..................................................... 10-2

RSA ................................................................................5-2

S

SCRIPT_NAME .......................................................... 8-12

ScriptTimeoutコマンド .............................................. A-60

ScriptTimeout指示語 ..................................................A-69

SCT ................................................................................5-3

IPアドレス設定 ........................................................5-6

Search Configuration Files画面 .................................12-13

Secure Configuration Terminal。SCTを参照

Secure HTTP

バージョン .............................................................. 8-14

Secure Sockets Layer。SSLを参照

SendHeaderコマンド .................................................A-61

Server Control Restart画面 .......................................... 12-7

Server Control Start画面 .............................................12-6

Server Control Stop画面 ..............................................12-8

Server Gated Cryptography。SGCを参照

SERVER_ADDR ................................................7-38, 8-11

ServerAddress指示語 .................................................. 7-41

ServerAdmin指示語 ................................................... A-77

SERVER_NAME ................................................7-38, 8-11

ServerPassword指示語 ...............................4-3, 4-25, A-78

SERVER_PORT .................................................7-38, 8-11

SERVER_PROTOCOL ............................................... 8-11

ServerRoot指示語 ....................................................... A-79

SERVER_SOFTWARE ............................................... 8-11

Server指示語 .............................................................. A-70

CGIサーバ・クラス ............................................... 8-10

ServletException ..........................................................9-32

setコマンド ................................................................... E-4

SGC (Microsoft)のサポート .........................................4-5

SHTTP_AUTH_USER ................................................8-13

SHTTP_HEADER_DATA .......................................... 8-13

SHTTP_NONCE_ECHO ............................................. 8-13

SHTTP_PROCESS ...................................................... 8-13

SHTTP_SIGNER .........................................................8-13

SHTTP_SIGNER_CERT_CHAIN ..............................8-13

SHTTP_SIGNER_CHAIN_LEN ................................. 8-14

SHTTP_VERSION ...................................................... 8-14

SI_Default指示語 ....................................................... A-80

SI_DEPARTMENT .....................................................8-15

SI_Departmentコマンド ............................................. A-61

SI_Department指示語 ................................................ A-81

SI_Enable指示語 ........................................................ A-82

SIGALARM ........................................................8-18, 8-30

SignatureLength属性 .........................................11-7, A-65

SI_GROUP ........................................................8-15, 11-15

SI_RequireSIコマンド ............................................... A-61

SI_SI ..................................................................8-15, 11-15

SI_UCTX ..........................................................8-15, 11-15

SI_UID ..............................................................8-15, 11-15

SK_CacheExpiration指示語 ....................................... A-83

SK_CacheSize指示語 ................................................. A-84

523346-001J 索引 -7

索引

索

SK_GlobalCache ........................................................ A-85

SK_GlobalCacheTimeout ........................................... A-86

sourceコマンド .............................................................E-7

SQL/MP ....................................................................... 9-30

Resource Locator Service ....................................... 10-1

ドライバの指定 ...................................................... 9-19

SSC

インストール .......................................................... 9-12

SSI ................................................................................ 7-47

指示語 ..................................................................... 7-49

定義 ......................................................................... 7-47

利用の指定 ............................................................. 7-48

SSL ........................................................................ 4-1, D-7

WIDインストール ................................................... 5-6

接続 ........................................................................... 4-3

ハードウェア暗号化

設定要件 ............................................................ 5-16

バージョン要件 ................................................. 5-16

SSLPort指示語 .............................................................. 4-3

Status:ヘッダ ...................................................... 8-25, 8-26

Stderr .................................................................. 8-28, A-76

Stdin ................................................................... 8-28, A-75

Stdout ................................................................. 8-28, A-75

string matchコマンド ....................................................E-6

Sun Microsystems Servlet API 2.0

タグのサポート ...................................................... 7-48

switchコマンド ....................................................7-38, E-6

-symlink-disable ........................... A-23, A-54, A-62, A-88

-symlink-owner ............................. A-23, A-54, A-62, A-88

T

TANDEM_CGI_FFLUSH_TIMER ............................ 8-18

TANDEM_CGI_SET_FFLUSH_TIMER ................... 8-30

TANDEM_RECEIVE_DEPTH ..................................... 3-4

Tcl .................................................................................. 7-1

Regionコマンドでの変数 .................................... 11-15

引数タイプ ...............................................................E-3

演算子 ............................................................... E-3, E-5

概念 ...........................................................................E-1

共通コア・コマンド ................................................E-4

言語要素 ...................................................................E-1

コア・コマンド・プロシージャ .............................E-7

構文規則 ...................................................................E-1

コマンド ........................................................... E-1, E-3

コマンドの引数 ........................................................E-1

コマンドの代替 ........................................................E-2

コマンド・プロシージャ ........................................E-3

コメント ...................................................................E-1

式 ....................................................................... E-3, E-5

数学関数 ...................................................................E-3

数値引数 ...................................................................E-3

スクリプト引数 ........................................................E-4

設定スクリプト中 ....................................................E-1

ネストした引数 ........................................................E-4

配列 ...........................................................................E-4

複数コマンド ...........................................................E-2

変数 ........................................................7-37, A-50, E-4

変数の代替 ...............................................................E-2

変数の割り当て ........................................................E-4

文字列引数 ...............................................................E-3

リスト引数 ...............................................................E-3

ループと分岐 ...........................................................E-4

～からの環境変数へのアクセス ........................... 8-19

Tcl (Tool Command Language)。Tclを参照

TRACEメソッドのサポート ....................................... 1-4

U

Unicode セットのサポート ........................................ 9-34

URL

完全 ......................................................................... 7-45

関連 ......................................................................... 7-45

関連サーバ ............................................................. 7-45

引 -8 523346-001J

索引

広告 .........................................................................7-26

構成要素 .................................................................. 7-10

参照 .........................................................................7-39

チルダが先頭 ...............................................A-61, A-88

追加パス情報 .......................................................... 8-22

デフォルト .............................................................. 7-45

問い合わせ文字列 ..................................................8-22

変換 ..............................................................A-23, A-54

マッチング ...................................................A-49, A-51

マッピング ..........................................7-11, A-23, A-54

リダイレクト ......................................................... A-57

URLからサーブレットへのマッピング方法 .............. 9-4

useradmユーティリティ ...................................7-30, A-59

UserDirコマンド ........................................................ A-61

UserDir指示語 ...................................................7-16, A-88

username ...................................................................... 8-13

User指示語 ................................................................. A-87

V

View Configuration Files画面 .....................................12-8

View EMS Logs画面 .................................................12-10

View Server Logs画面 ...............................................12-12

W

WEB-INFディレクトリ ................................................9-8

WebSafe2

keyadminユーティリティの使用 .......................... 5-10

既存の設定への追加 ................................................5-5

ユニットのインストール ......................................... 5-6

WebSafe2 Internet Security Processor。WISPを参照

WebSafe2設定ファイル ..............................................7-55

Webアプリケーション ................................................. 9-8

Webクライアント .........................................................1-7

Webベースのインタフェースの開発 .......................... 1-2

WEEKDAY .................................................................. 7-37

Welcome画面 ..............................................................12-4

WID

インストール ............................................................5-6

サーバ・クラス ........................................................ 5-3

設定ファイル ..........................................................7-53

WID (Websafe3 Interface Driver)。WIDを参照

wid.configファイル ..............................................5-9, 7-53

WidTimeOut指示語 ..........................................7-58, A-90

WISP

Superkey ....................................................................5-6

暗号化の実行 ............................................................5-3

証明書と共に使用 .................................................... 5-9

X

Xmxオプションの引数 ............................................... 9-19

Xnoclassgcオプションの引数 .................................... 9-20

Y

YEAR ...........................................................................7-37

ア

アクセス

情報、記録 ............................................................. A-14

制御 ...............................................................7-27, A-49

ディレクトリ ..........................................................7-12

ログ形式 ................................................................... C-1

アプリケーション

CGIライブラリとのリンク .....................................8-4

永続的 ....................................................................... 1-2

アプリケーション・サーバの設定 ........................... A-70

アルゴリズム (暗号化方式) の指定 .......................... 4-26

暗号化 ...................................................................D-1, D-4

128ビット ............................................................... 4-26

WISPによる実行 ......................................................5-3

523346-001J 索引 -9

索引

索

暗号化技術 ............................................................ 5-1, D-3

暗号化方式 .................................................................. 4-26

AcceptSecureTransportでの使用 ........................... 4-27

リスト ...................................................................... A-7

安全なトランスポート設定ファイル .......................... 7-7

イ

一般ログ形式 (CLF) ................................... 7-22, C-1, C-3

イメージ、インライン ............................................... 7-46

イメージマップ・ファイル ....................................... 7-44

作成 ......................................................................... 7-44

サンプル ................................................................. 7-46

エ

エイリアス

セットアップ .......................................................... 7-26

長所 ......................................................................... 7-26

登録 ......................................................................... 7-26

ホスト・マシン ...................................................... 7-26

エラー

error-badrequest ..................................................... A-36

error-forbidden ....................................................... A-36

error-notfound ........................................................ A-36

error-redirect .......................................................... A-37

error-security-retry ................................................. A-37

error-server ............................................................. A-37

error-shortredirect .................................................. A-37

error-unauthorized .................................................. A-36

記録 .............................................. A-21, A-22, C-3, C-5

エラー・メッセージ .....................................................B-1

カスタマイズ ...................................... 7-43, A-36, A-55

エラー・ログ記録

制御 ......................................................................... 8-27

ファイルの循環利用 .............................................. 7-24

エラー・ログ形式 .........................................................C-3

オ

オーバーヘッド、計算 ................................................ D-5

カ

解析されないヘッダ ................................................... 8-27

概要 ................................................................................ 9-2

鍵

暗号化 ...................................................................... D-1

解読 .......................................................................... D-1

公開 ...........................................4-4, D-2, D-3, D-5, D-6

公開暗号 .......................................................... D-2, D-3

脆弱性 ...................................................................... D-3

セッション .............................................................. D-4

秘密 ..................................................4-4, 4-25, D-2, D-3

拡張ログ形式 (ELF) ............................................ 7-23, C-5

仮想 IPアドレス .......................................................... 7-40

仮想ホスト .................................................................. 7-41

環境変数 ..................................................................... A-72

受け渡し ................................................................. 8-10

利用 ......................................................................... 4-26

キ

キー

WebSafe2用のマスタ・ファイル ........................... 5-2

暗号化 ...................................................................... D-1

解読 .......................................................................... D-1

管理 .......................................................................... D-3

公開 ...........................................4-4, D-2, D-3, D-5, D-6

公開暗号 .......................................................... D-2, D-3

脆弱性 ...................................................................... D-3

セッション .............................................................. D-4

長さ ........................................................................... 4-8

秘密 ..................................................4-4, 4-25, D-2, D-3

キー管理 ....................................................................... D-3

引 -10 523346-001J

索引

キー・サイズ ............................................................... 4-28

キー生成DN

～とは異なるDNを持つ証明書の追加 ........4-10, 5-13

キー・データベース・ファイル

安全な転送 ................................................................ 3-8

更新 .........................................................................4-15

逆検索の無効化 ..........................................................A-67

ク

クライアント認証 .......................................................4-22

クリッカブル・イメージ

セットアップ .......................................................... 7-44

テスト .....................................................................7-46

ケ

言語のみのコンテンツ・ネゴシエーション .............7-14

現在の作業ディレクトリ .......................................... A-71

コ

コア・ダンプ

安全な伝送 ................................................................ 3-8

保護 ...........................................................................3-8

コア・ファイルの格納場所 ....................................... A-79

公開鍵システム ............................................................ D-3

公開鍵 /秘密鍵のペア、WebSafe2 ............................... 5-9

国際文字セットのサポート ........................................ 9-34

コンテンツ・ネゴシエーション

言語のみ .................................................................. 7-14

サポート .................................................................... 1-5

設定 ...........................................7-13, A-31, A-32, A-40

マルチビュー .......................................................... 7-15

サ

サーバ

DNS ........................................................................ A-18

管理者 .................................................................... A-77

単一スレッド ............................................................3-4

パスワード保護 ........................................................ 3-7

パフォーマンス ..................................................... A-67

マルチスレッド ........................................................ 3-4

サーバ・コンテンツ

移動 ......................................................................... 7-32

管理 ......................................................................... 7-10

索引付け .......................................................A-26, A-55

追加 ......................................................................... 7-11

分割 ......................................................................... 7-12

サーバ・サイド・インクルード。SSIを参照

サーバ証明書チェーン

記述 ................................................................4-21, 5-15

作成 ................................................................4-21, 5-15

サーバのマルチスレッディング .................................. 3-4

サーブレット ................................................................. 9-1

API

サポートされるクラスとメソッド .................. 9-30

iTP WebServer環境への移動 ................................. 9-30

オプションの引数

Djdbc.drivers ...................................................... 9-19

Xmx .................................................................... 9-19

Xnoclassgc ..........................................................9-20

サーブレット用のWebコンテナ ................................. 9-5

再起動

再設定後 ................................................................... E-1

動的 ........................................................................... 6-3

索引ファイル ......................................................7-12, 7-33

指定 ..............................................................A-26, A-55

自動生成 ..................................................................7-13

ホーム・ページ用 .................................................. 7-12

詐称者 ........................................................................... D-2

523346-001J 索引 -11

索引

索

サポートされるシステム ............................................. 2-1

シ

シークレット・キー・システム ................................. D-3

シェル・スクリプト ..................................................... 8-1

識別名

準備 ........................................................................... 5-6

新規キーに対する～ .......................4-8, 4-9, 4-12, 4-13

属性 ........................................................................... 4-4

利用 ........................................................................... 4-4

識別名。DNを参照

指示語、以前にサポートしていた ............................. A-2

システム要件 ................................................................ 2-1

持続型

アプリケーション .................................................... 1-2

接続 ................................................1-1, 1-5, A-28, A-29

持続型接続 .........................................1-1, 1-5, A-28, A-29

自動索引生成

無効化 ..................................................................... 7-33

有効化 ........................................................... 7-33, A-52

自動受信機能 ................................................................ 3-2

出力

タイムアウト ........................... A-42, A-57, A-60, A-69

証明書

WISPでの使用 ......................................................... 5-9

一覧表示 ................................................................. 4-14

書き換え ................................................................. 4-12

管理 ................................................................... 4-4, D-5

公開鍵 ..................................................................... 4-25

上位レベル ........................................................... D-6

削除 ......................................................................... 4-12

作成 ........................................................................... 4-8

取得 .......................................................................... D-6

追加 ........................................................................... 4-9

デフォルト・ルート .............................................. 4-15

発行 .......................................................................... D-5

複数 .......................................................................... D-5

無効化 ..................................................................... 4-12

有効化 ..................................................................... 4-12

要求 ........................................................................... 4-9

利用 .......................................................................... D-5

証明書チェーン .......................................................... 8-14

定義済み .................................................................. D-5

長さ ......................................................................... 8-14

信憑性の検査 ............................................................... D-2

シンボリック・リンク

無効化 ...................................... A-23, A-54, A-62, A-88

ス

ステータス応答 .......................................................... 8-26

ステータス・コード。HTTPステータス・コードを参照

スレッド

単一スレッド ........................................................... 3-4

マルチスレッド ........................................................ 3-4

セ

セキュリティ

PATHMON環境の計画 ........................................... 3-5

拡張 ........................................................................... 4-1

セキュリティ属性 ............................................ A-45, A-74

設定指示語 ................................................................... A-1

コンテンツ・ネゴシエーション用 ....................... 7-13

セッション識別子 ....................................... A-80, A-81

設定ファイル

Region指示語 ................................................ 7-27, 7-28

概要 ........................................................................... 7-1

作成 ...........................................................................E-1

書式 ........................................................................... 3-3

引 -12 523346-001J

索引

ソ

ソフトウェア要件 .........................................................2-2

タ

ダイジェスト、メッセージ ......................................... D-5

単一スレッド・サーバ ................................................. 3-4

チ

チケット属性 .............................................................. A-62

チャンク転送エンコード

サポート .................................................................... 1-5

設定 ........................................................................A-35

ツ

追加パス情報 ............................................................... 8-22

テ

ディストリビューション・サーバ

サーバ・クラス ......................................................12-2

ディレクトリ

アクセス .................................................................. 7-12

構造 .........................................................................2-12

データベース

キー .....................................................4-13, A-30, A-78

パスワード ....................................................7-30, A-59

ユーザ名/パスワード ............................................A-59

データベース・エントリのエクスポート ................. 4-20

デジタル署名 ........................................................D-2, D-5

デフォルトの指示語 ...................................................7-45

デフォルトのルート証明書 ........................................ 4-15

電子メール

アドレス ................................................................. A-77

テンプレート、EMS ..................................................... 2-3

ト

問い合わせ文字列 ....................................................... 8-22

ドメイン・ネーム・サーバ。DNSを参照

ニ

入力

パラメータの書式 .................................................. 8-23

認証 ...............................................................D-2, D-5, D-6

ネ

ネットワークのオープン ............................................ D-1

ハ

ハードウェア要件 ......................................................... 2-3

NonStop Kシリーズ・サーバ ................................2-3

NonStop Sシリーズ・サーバ ................................. 2-3

場所 (Locality)属性 .......................................................4-4

パスワード

管理 ......................................................................... 7-30

キー・データベースの暗号化 ........................4-3, 4-25

指定 ........................................................................ A-78

変更 ................................................................4-13, 7-32

要求 ......................................................................... 7-30

パターン・マッチング .............................................. A-51

パッケージ

javax ........................................................................ 9-30

パブリック・キー・システム .............................D-4, D-5

汎用CGI .........................................................................8-2

523346-001J 索引 -13

索引

索

ヒ

標準エラー ........................................................ 8-27, A-76

標準出力 ............................................8-1, 8-24, 8-28, A-75

標準入力 .................................. 8-1, 8-22, 8-23, 8-27, A-75

標準ファイル .............................................................. 8-27

フ

複数サーバの設定 ....................................................... 7-39

複製サーバ .................................................................. 10-1

プライバシ拡張機能 ................................................... 8-13

プライバシの確保 ........................................................ D-1

プレーンテキスト ........................................................ D-1

プロセスIDの記録 .................................................... A-47

プロセス優先度、CGI ............................................... A-57

ヘ

ヘッダ、クライアント ............................................... 8-20

ヘッダ・ブロック ....................................................... 8-13

変数

Regionコマンド .................................................... A-66

SSL .......................................................................... 4-26

Tcl ..................................................................11-15, E-4

環境 ............................................................... 8-10, A-51

参照 ...........................................................................E-4

時刻 ......................................................................... 7-38

代替 ...........................................................................E-4

割り当て ...................................................................E-4

ホ

傍受者 ........................................................................... D-2

ポート番号の割り当て ............................................... 7-40

ホスト名

ServerAddress ......................................................... 7-41

一致 ........................................................................ A-54

キャッシング ........................................................ A-18

クライアント ......................................................... 7-29

～によるアクセス許可 .......................................... 7-29

～によるアクセス拒否 ................................. 7-28, 7-29

ポスト・メソッド ...................................................... A-63

マ

マルチビュー・コンテンツ・ネゴシエーション ..... 7-15

メ

メッセージ

ダイジェスト .......................................................... D-5

認証 .......................................................................... D-2

ユ

ユーザ・ディレクトリ

アクセス ...................................................... A-61, A-88

作成 ..................................................... 7-16, A-61, A-88

要求 ......................................................................... 7-16

ユーザ名

クライアント認証の要求 ...................................... 7-30

指定 ........................................................................ A-87

設定されたパスワード ......................................... A-59

ヨ

要求

記録 ...........................................................................C-5

タイムアウト ........................................................ A-27

要件

システム ................................................................... 2-1

ソフトウェア ........................................................... 2-2

ハードウェア ........................................................... 2-3

引 -14 523346-001J

索引

リ

リダイレクト・クライアント ....................................8-26

ル

ルート証明書、デフォルト ........................................ 4-15

ロ

ログ記録の無効化 .............................................7-34, A-57

ログ書式

一般 .....................................7-22, A-14, A-21, C-1, C-3

拡張 .........................................................................7-23

ログ・ファイル

アクセス ................................................7-23, A-14, C-1

エラー ..........................................7-22, 7-23, A-21, C-3

拡張 ........................................................................A-22

循環使用 .................................................................. 7-24

書式 .......................................................................... C-1

分析 ................................................................. 7-23, C-3

領域 .........................................................................7-23

ログ分析ツール ...........................................................7-22

ワ

ワイルドカード、Region指示語での ........................ 7-28

523346-001J 索引 -15

索引

索
引 -16 523346-001J

itp secure webserverシステム管理者ガイド · -2 523346-001j 原 典 document history...

Documents

itp secure webserverシステム管理者ガイド · -2 523346-001j 原典 document history...