Version 22.0.8483

• 組み込みJetty サーバーの使用
  • ポートの変更
  • SSL / TLS の有効化
• Tomcat での設定
  • WAR ファイルの配布
  • Java 認証・承認サービス（JAAS）の設定
    • ログインモジュールの作成
    • JAASRealm モジュールの作成（または変更）
    • ログインモジュールの表示
  • データディレクトリ権限の設定
• WebSphere での設定
  • データディレクトリ権限の設定
  • WebSphere クラスローダーの設定
  • Java 認証・承認サービス（JAAS）の設定
  • データディレクトリ権限の設定
• Jetty での設定
  • WAR ファイルの配布
  • Java 認証・承認サービス（JAAS）の設定
    • JAAS モジュールの追加
    • ログインモジュールの作成
    • セキュリティハンドラの更新
  • データディレクトリ権限の設定
• ユーザー管理
• アプリケーションディレクトリの検索と設定
  • 組み込みJava サーバー
  • 外部Java サーバー
• アプリケーションデータベースの設定
  • 組み込みJava サーバー
  • 外部Java サーバー
• ログインのロックアウト
  • 組み込みJetty サーバー
  • Tomcat
• 一般的な課題と解決方法
  • 課題
    • Sync が起動しない、または期待されるものとは異なるAppDirectory を使用して起動する
  • 推奨ソリューション

CData Sync のJava 版には組み込みEclipse Jetty Web サーバーが含まれ、外部サーバー構成なしでSync を実行できます。さらに、インストールにはApache Tomcat、Eclipse Jetty、またはIBM WebSphere などのJava サーブレットコンテナにデプロイ可能なWAR ファイルが含まれています。

組み込みJetty サーバーの使用には、JDK 11 またはそれ以上のバージョンがマシンにインストールされている必要があります。外部Java サーブレットコンテナへのデプロイにはサーブレット3.0（Jetty 8+、Tomcat 7+、WebSphere 8+、など）が必要です。

Note：Sync のデプロイ方法に関わらず、AppDirectory 内のファイルおよびフォルダは、アプリケーションを実行するユーザーによって読み取り / 書き込み可能である必要があります。Java 版のセットアップに同梱されるサービスインストーラーは、cdatasync を実行しているユーザーとして使用します。

アプリケーションが別のユーザーで以前実行されていて、cdatasync ユーザーがアプリケーションを実行するために必要な権限を復元したい場合は、以下のようなコマンドを使用してください。

sudo chown -R cdatasync:cdatasync /opt/sync

組み込みJetty サーバーの使用

組み込みJetty サーバーを起動するには、Sync インストールディレクトリ（InstallationDirectory）にあるsync.jar ファイルを実行するだけです。このディレクトリには、UNIX オペレーティングシステムでsystemd またはinit.d サービスを設定するために使用できるservice スクリプトも含まれています。

デフォルトでは、組み込みサーバーはポート8181でSync をホストし、プレーンテキスト接続のみを許容します（HTTPS ではなくHTTP）。

サーバーを起動したら、ブラウザでhttp://localhost:8181 に移動してWeb UI にアクセスします。アプリケーションの最初のユーザー用のユーザー名とパスワード資格情報を作成するよう求められます。このユーザーはadmin のロールを持つことになります。

ポートの変更

組み込みサーバーがリッスンするポートを設定するには、

1. インストールディレクトリにあるsync.properties ファイルを見つけ、テキストエディタで開きます。

2. ポートが設定されている次の行を探します。

   cdata.http.port=8181

3. この値を、希望するポート番号に変更します。

SSL / TLS の有効化

SSL / TLS 接続（HTTPS）を有効化する場合にも、以下のように、インストールディレクトリのsync.properties ファイルを修正します。

1. cdata.tls.keyStoreType 設定を、使用するキーストアのタイプに設定します。有効な値には、jks、pkcs12、およびjceks が含まれます。

2. cdata.tls.keyStorePath 設定を、使用するキーストアのパスに設定します。${cdata.home} は、インストールディレクトリを参照するために使用される場合があることに注意してください。

3. cdata.tls.keyStorePassword 設定を、キーストアのパスワードに設定します。

4. cdata.tls.port 設定を、サーバーをホストするために使用するポートに設定します。

5. （オプション）cdata.http.port 設定を、プレーンテキスト接続を無効にするために空の文字列に設定します。

最終的にはこのようになります。

;; HTTP
cdata.http.port=

;; TLS
cdata.tls.port=8443
cdata.tls.keyStoreType=PKCS12
cdata.tls.keyStorePath=${cdata.home}/mycertificate.pfx
cdata.tls.keyStorePassword=mypassword

Note：Sync で設定するために外部秘密鍵を取得する場合は、必ず証明書の所有者をSync (cdatasync:cdatasync) をホストするために使用されるサービスアカウントに変更してください。

Tomcat での設定

WAR ファイルの配布

Tomcat にWAR ファイルを配布するには2つのオプションがあります。

• webapps フォルダにWAR ファイルをコピーする。

• Tomcat の管理コンソール内でWAR ファイルの配布を行う。Apache Tomcat のドキュメントには、この方法のさらに詳しい説明があります。お使いのTomcat のバージョンのドキュメントを参照してください。

WAR ファイルがTomcat のファイルアップロードに許可されているデフォルトの最大サイズを超える可能性があります。デプロイメント中のエラーを解決するために、Manager アプリケーションのweb.xml ファイルを変更して、より大きなファイルを許可することができます。Tomcat の設定に応じて、このファイルは/usr/share/tomcat7-admin/manager/WEB-INF、または別の類似ディレクトリにある可能性があります。このファイルでは、許容される最大ファイルサイズ（バイト単位）を変更できます。例えば、200-MB のWAR ファイルのデプロイメントを許容するには、次の値を変更して許容される最大ファイルサイズを変更します。

<multipart-config>
     <!-- 200-MB max -->
  <max-file-size>209715200</max-file-size>
  <max-request-size>209715200</max-request-size>
  <file-size-threshold>0</file-size-threshold>
</multipart-config>

Java 認証・承認サービス（JAAS）の設定

Sync がアプリケーション内で動的にユーザーを管理できるようにするには、次のサブセクションで説明するようにJAAS を設定する必要があります。

ログインモジュールの作成

$CATALINA_BASE/conf/ フォルダに、jaas.config という名前のJAAS コンフィギュレーションファイルを作成します。

標準認証を使用するには、jaas.config に次の内容を含めます。

Sync {
  sync.LoginModule required;
};

LDAP またはWindows Active Directory を使用してユーザーを認証する場合は、代わりに以下の内容を追加します。

Sync {
  com.sun.security.auth.module.LdapLoginModule REQUIRED
    userProvider="ldaps://ab1cdef234.wfsaas.net:636/CN=Users,DC=example,DC=com"
    authIdentity="{USERNAME}@example.com"
    userFilter="(&(|(samAccountName={USERNAME})(userPrincipalName={USERNAME})(cn={USERNAME}))(objectClass=user))"
    useSSL=false;
  arcesb.LoginModule optional;
};

この例では、userProvider、authIdentity、およびuserFilter 属性の値を環境に合わせて変更する必要があります。

JAASRealm モジュールの作成（または変更）

$CATALINA_BASE/conf/Catalina/localhost/sync.xml にあるコンフィギュレーションXML ファイルを作成（既存の場合は変更）して、Sync のコンテキストを作成します。

Note：Tomcat の構成によっては、このパスが若干異なる場合があります。この例では、Catalina はエンジン名、localhost はserver.xml で定義されたホスト名を示します。

以下で示すように、<Context> ブロックを定義して<Realm> 要素を追加します。

<Context>
  <Realm className="org.apache.catalina.realm.JAASRealm" appName="Sync"
    userClassNames="sync.SimplePrincipal"
    roleClassNames="sync.GroupPrincipal" />
</Context>

次に、Tomcat サーバーのコンフィギュレーションファイルserver.xml の<Host> 要素を、以下のようにcopyXML 属性をtrue に設定して更新します。

<Host name="localhost" appBase="webapps" unpackWARS="true" autoDeploy="true" copyXML="true">
  ...
</Host>

ログインモジュールの表示

コンフィギュレーションを表示するには、Java 仮想マシン（JVM）がログインモジュール（jaas.config）に誘導される必要があります。JVM のjava.security.auth.login.config システムプロパティをjaas.config ファイルのパスに設定します。これを行うには、次の行を$CATALINA_BASE/conf/catalina.properties ファイルに追加します。

java.security.auth.login.config=${catalina.base}/conf/jaas.config

データディレクトリ権限の設定

Java サーブレットコンテナを実行するプロセスのユーザーに、以下のように、適切な場所にあるデータディレクトリへの読み / 書きのアクセス権限を許可します。

• Windows：C:\ProgramData\CData\Sync\

• Linux： ~/cdata/sync

Tomcat サーバーを再起動して、変更を反映します。これでアプリケーションにログインすることができます。

WebSphere での設定

データディレクトリ権限の設定

Java サーブレットコンテナを実行するプロセスのユーザーに、データディレクトリへの読み / 書きのアクセス権限を許可します。

• Windows：C:\ProgramData\CData\Sync\

• Linux： ~/cdata/sync

WebSphere サーバーを再起動して、変更を反映します。これでアプリケーションにログインすることができます。

WebSphere クラスローダーの設定

WebSphere がアプリケーションリソースを正しくロードするためには、以下の手順に従ってください。

1. WebSphere で、アプリケーション -> アプリケーション・タイプ -> WebSphere エンタープライズ・アプリケーションに移動します。

2. Sync を選択します。

3. クラス・ロードおよび更新の検出を選択します。

4. 最初にローカル・クラス・ローダーをロードしたクラス（親が最後）を選択します。

5. アプリケーションの単一クラス・ローダーを選択します。

6. OK をクリックします。その後保存をクリックします。

Java 認証・承認サービス（JAAS）の設定

次の手順でJAAS を設定し、Sync がWebSphere Application Server 内で動的にユーザーを管理できるようにします。

1. Sync をデプロイします。

   1. アプリケーションセキュリティを有効化します（セキュリティー -> グローバル・セキュリティー -> アプリケーション・セキュリティーを使用可能にする）。

   2. 次のように、システムログインにカスタムログインモジュールを追加します。

      1. セキュリティー -> グローバル・セキュリティー -> Java 認証・承認サービス -> システム・ログイン -> WEB_INBOUND に移動します。新規をクリックしてsync.LoginModule という名前の新しいエントリーを追加します。sync.LoginModule はcom.ibm.ws.security.server.lm.ltpaLoginModule の前にある必要があることに注意してください。

      2. ログイン・モジュール・プロキシーの使用チェックボックスを選択します。

      3. 認証ストラテジーのOPTIONAL を選択します。

      4. カスタム・プロパティーのisWebSphere を追加してtrue に設定します。

2. グループを作成します。

   1. ユーザーおよびグループ -> グループの管理 -> 作成に移動します。

   2. cdata_admin、cdata_standard、およびcdata_support グループを作成します。

3. グループをロールにマップします。

   1. アプリケーション -> アプリケーション・タイプ -> WebSphere エンタープライズ・アプリケーション -> sync_war -> ユーザー / グループへのセキュリティー・ロールのマッピングに移動します。

   2. cdata_admin グループをcdata_admin ロールにマップします。

   3. cdata_standard グループをcdata_standard ロールにマップします。

   4. cdata_support グループをcdata_support ロールにマップします。

   5. アプリケーションのレルム内で認証済みすべてをcdata_user ロールにマップします。

4. com.ibm.ws.webcontainer.AllowQueryParamWithNoEqual プロパティをtrue に設定します。

   1. サーバー -> サーバー・タイプ -> Web Sphere Application Server に移動し、Sync がホストされているサーバーを選択します。

   2. コンテナー設定 -> Web コンテナー設定 -> Web コンテナーを選択します。

   3. 追加プロパティー -> カスタム・プロパティーを選択します。

   4. 新規プロパティ：com.ibm.ws.webcontainer.AllowQueryParamWithNoEqual を追加します。

   5. 値をtrue に設定します。

5. WebSphere を再起動します。

データディレクトリ権限の設定

Java サーブレットコンテナを実行するプロセスのユーザーに、データディレクトリへの読み / 書きのアクセス権限を許可します。

• Windows：C:\ProgramData\CData\Sync\

• Linux： ~/cdata/sync

WebSphere サーバーを再起動して、変更を反映します。これでアプリケーションにログインすることができます。

Jetty での設定

Sync にはJetty Web サーバーが組み込まれていますが、アプリケーションを外部のJetty 設定で使用することもできます。

WAR ファイルの配布

WAR ファイルをJetty のwebapps フォルダにコピーします。

Java 認証・承認サービス（JAAS）の設定

JAAS を設定してSync がアプリケーションのユーザーを管理できるようにするには、次のサブセクションで説明する手順を実行する必要があります。

JAAS モジュールの追加

JAAS モジュールをインストールするには、次のコマンドを送信します。

java -jar {JETTY_HOME}/start.jar --add-to-start=jaas

ログインモジュールの作成

{JETTY_BASE}/etc/login.conf フォルダに、login.config という名前のログインコンフィギュレーションファイルを作成します。

login.config ファイルに以下の内容を記述します。

Sync {
    sync.LoginModule required debug=true;
};

セキュリティハンドラの更新

セキュリティハンドラの設定は、sync.xml 設定ファイルにあります。securityHandler ブロックを以下のように変更します。

<Set name="securityHandler">
  <New class="org.eclipse.jetty.security.ConstraintSecurityHandler">
   <Set name="loginService">
     <New class="org.eclipse.jetty.jaas.JAASLoginService">
          <!-- This name is the same as **login-config > realm-name** in web.xml.  -->
       <Set name="name">SyncRealm</Set>
          <!-- LoginModuleName must match the name of your LoginModule, as declared in your login-module configuration file. -->
       <Set name="loginModuleName">Sync</Set>
       <!-- Set the principal class name for the custom role. -->
       <Set name="roleClassNames">
           <Array type="java.lang.String">
             <Item>sync.GroupPrincipal</Item>
           </Array>
         </Set>
     </New>
   </Set>
  </New>
</Set>

データディレクトリ権限の設定

Java サーブレットコンテナを実行するプロセスのユーザーに、データディレクトリへの読み / 書きのアクセス権限を許可します。

• Windows：C:\ProgramData\CData\Sync\

• Linux： ~/cdata/sync

Jetty サーバーを再起動して、変更を反映します。これでアプリケーションにログインすることができます。

ユーザー管理

初めて起動する際、Sync はユーザー名とパスワードの資格情報を持つユーザーの作成を要求します。最初のユーザーを作成後、アプリケーションの設定ページのユーザータブで、ユーザーの追加、削除、および管理を行うことができます。

Sync を外部のJava サーブレットにデプロイする場合（つまり、アプリケーション付属の組み込みサーバーを使用しない場合）、Sync によるユーザーの管理を可能にするためJAAS の設定が必要です。前のセクションで、特定の外部サーブレットごとにJAAS を設定するプロセスを詳しく説明しています。

アプリケーションディレクトリの検索と設定

Sync ApplicationDirectory フォルダには、アプリケーションで使用されるすべてのデータ（設定データ、アプリケーションデータ、ログデータ、証明書など）が格納されます。ApplicationDirectory のデフォルトの場所は、Sync が組み込みWeb サーバー経由でホストされているか、外部のJava サーブレットコンテナ経由でホストされているかによって異なります。

組み込みWeb サーバーの場合、ApplicationDirectory は_InstallationDirectory_ と同じです。デフォルトの場所は次のとおりです。

/opt/sync

Sync が外部のJava サーブレットコンテナにホストされている場合、ApplicationDirectory はサーバーを実行しているユーザーのホームディレクトリからの相対パスです。

~/sync

このパスでは、’~’ はアプリケーションをホストするサーバーを実行しているユーザーのホームディレクトリに解決します。

ApplicationDirectory フォルダを構成でき、これはさまざまなシナリオで役立ちます。

• Sync の複数インスタンスのクラスタリング

• アプリケーションデータ用の共有ネットワークドライブの使用

• 同じフォルダにアクセスする他のシステム内へのSync の組み込み

ApplicationDirectory を変更すると、アプリケーションのデータファイルが移動します。ただし、EXE ファイルやJAR ファイルなどの他のアプリケーションリソースは移動しません。これらのリソースは_InstallationDirectory_ フォルダに格納されます。このフォルダは_ApplicationDirectory_ と同じ場合がありますが、ApplicationDirectory を変更しても、これらのリソースの場所は変わりません。

組み込みJava サーバー

Java 版を組み込みJetty サーバーで使用する場合、ApplicationDirectory は_InstallationDirectory_ にあるsync.properties ファイルに設定されます。このサーバー設定ファイル内で、cdata.app.directory の設定に希望するディレクトリのパスを設定する必要があります。次の例は、マウントされたドライブ上の共有フォルダにデータディレクトリを設定した場合を示しています。

cdata.app.directory=/mnt/shared/sync

Sync がcdata.app.directory のパスを見つけることができ、そのパスで読み取りと書き込みができる適切なアクセス許可を持つ場合、指定したディレクトリ内にデータフォルダを作成します。

外部Java サーバー

Java 版を外部のJava サーブレット（アプリケーションに含まれるJetty サーバー以外のサーバー）で使用する場合、アプリケーションのデータディレクトリの設定の詳細は使用する特定のサーブレットに依存します。特定のサーブレットに適した構文を使用するAppDirectory 環境変数を必要なディレクトリのパスに設定する必要があります。

Sync がAppDirectory のパスを見つけることができ、そのパスで読み取りと書き込みができる適切なアクセス許可を持つ場合、指定したディレクトリ内にデータフォルダを作成します。

アプリケーションデータベースの設定

Sync のアプリケーションデータベースは、以下のようなアプリケーションデータの複数のテーブルを保存します。

• ジョブ

• タスク

• 接続

• 履歴（ジョブとタスク両方）

• アプリケーションログ（アプリケーションレベルのエラーとイベント）

• 監査ログ（ユーザーによるSync の設定変更）

デフォルトでSync は_ApplicationDirectory_ に存在するDerby データベースをアプリケーションデータベースとして使用します。ただし、SQL Server、PostgreSQL、MySQL などのエンタープライズデータベースを使用するようにアプリケーションを設定できます。

組み込みJava サーバー

Java 版を組み込みJetty サーバーで使用する場合、アプリケーションデータベースは_InstallationDirectory_ にあるsync.properties ファイルに設定されます。このサーバー設定ファイル内で、cdata.app.db の設定に、希望するデータベースの適切な接続パラメータを含むJava Database Connectivity（JDBC）接続文字列を設定する必要があります。次の例は、この設定を示しています。

cdata.app.db=jdbc:mysql:Server=MySQLServer;Port=3306;Database=mysql;User=User;Password=Password

Sync がcdata.app.db 接続文字列で正常に接続を確立できる場合、そのデータベースをアプリケーションデータベースとして使用します。

外部Java サーバー

Java 版を外部のJava サーブレット（アプリケーションに含まれるJetty サーバー以外のサーバー）で使用する場合、アプリケーションのデータベースの設定の詳細は使用する特定のサーブレットに依存します。特定のサーブレットに適した構文を使用する、サーバーを設定する際のアプローチを次のいずれかから選択します。

• ターゲットデータベースの接続プロパティを含むJNDI データソースを定義。

• APP_DB 環境変数をJDBC 接続文字列に設定。

Sync がJDNI データソースまたはAPP_DB 接続文字列を使用してデータベースに接続できる場合、そのデータベースをアプリケーションデータベースとして使用します。

ログインのロックアウト

Sync は、ブルートフォースアタックを防ぐために、不正なパスワードを何度も入力するユーザーを自動的にロックアウトします。デフォルトでは、5分以内に6回不正なパスワードを入力したユーザーは30分間ロックアウトされます。

Web サーバーの動作を規定するXML 設定ファイルを編集することで、ロックアウトの設定を変更できます。この3つの設定はロックアウトに関係します。

• LockoutFailedAttempts - ロックアウトのトリガーとなる不正なパスワードの数。ロックアウトを無効にするには、LockoutFailedAttempts を0に設定します。

• LockoutMinutes - ロックアウトする時間。デフォルトは30分です。

• LockoutTimeCheckPeriod - 失敗した試行回数を0にリセットするまでの時間。デフォルトは5分です。

組み込みJetty サーバー

sync.properties ファイル内のロックアウト設定を変更するには、以下のように、name:value ペアのカンマ区切りのリストをinitParameters に追加します。

cdata.initParameters=LockoutFailedAttempts:0

Tomcat

Tomcat sync.xml ファイルのロックアウト設定を編集するための構文は以下のとおりです。

<Context>
  <Parameter name="LockoutFailedAttempts" value="0" />
</Context>

一般的な課題と解決方法

このセクションでは、Java 環境にSync をデプロイする際に遭遇する可能性がある一般的な課題をリストアップします。それぞれの課題について推奨ソリューションを記載します。その他のヘルプについては、CData テクニカルサポート：[email protected] にお問い合わせください。

課題

Sync が起動しない、または期待されるものとは異なるAppDirectory を使用して起動する

このエラーは、Sync が_ApplicationDirectory_ にアクセスするために必要な権限を持っていない可能性があります（ApplicationDirectory は、ジョブ、接続、変換などの設定に関する重要な情報を保存するフォルダです）。このエラーの原因として考えられるのは、サービスをセットアップする前にローカルユーザーとしてSync を実行している場合です。この場合、アプリケーションで作成される特定のリソースが、ローカルユーザーの下に作成されている可能性があります。結果として、Sync をサービスとして実行する場合にこれらのリソースを利用できません。

推奨ソリューション

Linux オペレーティング環境で、サービスアカウント（またはSync を実行させるための他のアカウント）が_ApplicationDirectory_ にアクセスできることを確認する最も簡単な方法は、chown コマンドを使用することです。例えば、ApplicationDirectory がLinux のデフォルトの場所にあってSync がサービスアカウントで実行されるべき場合、以下のコマンドでエラーが解決されるはずです。

sudo chown -R cdatasync:cdatasync /opt/sync