Apache Web サーバの設定

このセクションは、以下のトピックから構成されます。
casso126jjp
このセクションは、以下のトピックから構成されます。
Apache 2.x サーバ上での HttpsPorts パラメータの使用
Apache 2.x Web サーバで、SSL アクセラレータ、または HTTP_HOST ヘッダの値を変更するいずれかの中間デバイスを使用する場合は、
HttpsPorts
パラメータを使用します。
以下の手順に従います。
  1. Apache Web サーバの httpd.conf ファイルを開きます。
  2. UseCanonicalName パラメータの値を
    on
    に変更します。
  3. ServerName パラメータの値を以下の形式に変更します。
    text
    server_name:port_number
    • server_name
      は SSL アクセラレータのホスト名を指定します。
  4. Web エージェントの ACO で、HttpsPorts パラメータの値を SSL ポート番号に設定します。
(HTTP 1.1 をサポートしない)レガシー アプリケーションがあり、それらを Apache Web サーバで実行する場合は、以下のパラメータを設定します。
  • LegacyTransferEncoding
    Web エージェントが使用するメッセージ エンコーディングのタイプを指定します。このパラメータの値が no の場合、転送エンコーディング(transfer-encoding)がサポートされます。
    このパラメータの値が yes の場合、コンテンツ エンコーディングがサポートされます。transfer-encoding ヘッダは無視され、content-length ヘッダのみがサポートされます。
    デフォルト
    : No
Apache Web サーバでレガシー アプリケーションを使用するには、LegacyTransferEncoding パラメータの値を yes に設定します。
重要
: このパラメータの値を yes に設定すると、Federation や、4 KB より長い POST データの維持といった機能が動作せず、大きな証明書が認識されない場合があります。
Apache Web サーバ ログへのトランザクション ID の記録
Web エージェントは、ユーザ許可リクエストが成功するたびに、一意のトランザクション ID を生成します。エージェントは、HTTP ヘッダにその ID を追加します。ID は以下のログにも記録されます。
  • 監査ログ
  • Web サーバ ログ(サーバがクエリ文字列をログに記録するように設定されている場合)
  • ポリシー サーバ ログ
トランザクション ID を使用して、所定のアプリケーションのユーザ アクティビティを追跡できます。
詳細については、ポリシー サーバ ドキュメントを参照してください。
トランザクション ID は、モック クエリ パラメータとしてログに表示され、既存のクエリ文字列の末尾に追加されます。以下の例に、クエリ文字列(末尾は STATE=MA)に追加されたトランザクション ID(太字)を示します。
111.22.12.1, user1, 2/11/00, 15:30:10, W3SVC, MYSERVER, 122.111.100.100, 26844, 47, 101, 400, 123, GET, /realm/index.html, STATE=MA&SMTRANSACTIONID=0c01a8c0-01f0-38a47152-01ad-02714ae1
URL にクエリ パラメータがない場合、エージェントはトランザクション ID を Web サーバ ログ エントリの末尾に追加します。例:
111.22.12.1, user1, 2/11/00, 15:30:10, W3SVC, MYSERVER, 122.111.100.100, 26844, 47, 101, 400, 123, GET, /realma/index.html, SMTRANSACTIONID=0c01a8c0-01f0-38a47152-01ad-02714ae1.
ユーザがリソースにアクセスすると、Web エージェントはユーザ名とアクセス情報を固有の Web サーバ ログファイルに記録します。
Apache Web サーバ ログの SMTRANSACTIONID ヘッダ変数にトランザクション ID を記録できます。
以下の手順に従います。
  1. httpd.conf ファイルを開きます。
  2. LogFormat ディレクティブに SM_TRANSACTIONID ヘッダ変数を追加します。
    例:
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{SM_TRANSACTIONID}i\"" common
    httpd.conf ファイルおよび LogFormat ディレクティブの詳細については、Apache Web サーバのマニュアルを参照してください。
  3. 変更を適用するにはサーバを再起動します。
    トランザクション ID が Apache Web サーバ ログに記録されます。
POST 要求でのコンテンツ タイプの転送方法の選択
casso126jjp
Apache Web サーバを使用している場合、POST リクエストの間にコンテンツがサーバに転送される方法を、以下のパラメータで制御できます。
LegacyStreamingBehavior
コンテンツが POST 要求中にサーバにどのように転送されるかを指定します。このパラメータの値が
yes に設定されると、以下を除くすべてのコンテンツ タイプはストリームになります。
  • text/xml
  • application/x-www-form-urlencoded
このパラメータの値が no に設定されると、すべてのコンテンツ タイプがスプールされます。
デフォルト
: No
POST 要求でのほとんどのタイプのコンテンツをストリームするには、LegacyStreamingBehavior パラメータの値を[はい]に変更します。
IPC セマフォ関連メッセージ出力の Apache エラー ログへの制限
デフォルトでは、Apache Web エージェントは、設定された Apache のロギング レベルにかかわらず、Apache のエラー ログへのすべてのレベル(情報およびエラー)の IPC セマフォ関連メッセージを記録します。
Web エージェントの IPC セマフォ関連出力の詳細を Apache のエラー ログに制限するには、
web_agent_home
/config 内にある trace.conf ファイルに以下のパラメータを追加します。
  • nete.stderr.loglevel
    Web エージェントが Apache のエラー ログに記録する IPC セマフォ関連メッセージのレベルを指定します。以下の値を受け入れます。
    • off
      Web エージェントは、IPC セマフォ関連メッセージを Apache のエラー ログに記録しません。
    • エラー
      Web エージェントは、IPC セマフォ関連のエラー メッセージのみを Apache のエラー ログに記録します。
    • info
      (デフォルト) Web エージェントは、IPC セマフォ関連のエラーおよび情報メッセージを Apache のエラー ログに記録します。
例: trace.conf 内の nete.stderr.loglevel パラメータの定義
trace.conf の以下の抜粋では、IPC セマフォ関連の
エラー
メッセージのみが Apache のエラー ログに記録されるように Web エージェントを制限するように nete.stderr.loglevel パラメータが設定されています。
# CA Web Agent IPC logging levels # nete.stderr.loglevel=error
Stronghold からの証明書の削除(Apache エージェントのみ)
Stronghold Web サーバはクライアント証明書をローカルの一時ファイル内に書き込みます。Web エージェントはこのファイルを使って証明書に基づく認証を行います。Stronghold サーバはこのファイルを使って、クライアント証明書の情報を認証時に利用できるようにします。ユーザが Web サイトにアクセスするたびにこれらの証明書ファイルは大きくなって、サーバのディスク領域を消費します。Web エージェントが証明書ファイルを使用し終わったら削除するように、エージェントを設定することができます。
証明書ファイルを削除するには、DeleteCerts パラメータを yes に設定します。