研究情報 WEB システム利用の手引き

はじめに

システム構成

利用方法

更新履歴

はじめに

本手引きではシステム利用のための基本的な情報を説明します。

運用上の注意事項や制限事項は、「Webシステム 利用申請および利用の手引き」からリンクされている「利用規定」「利用にあたって(留意事項)」などに記載されています。

本手引書での記載方法

 本手引書では、使用例に以下の記載方法を使用します。

表示

意味

使用例

#>

コマンド入力時のプロンプトを意味します。

#> mkdir /tmp/install

太字

利用者が実際に入力する部分を意味します。

#> mkdir /tmp/install

斜字

利用者の環境に合わせて読み替える部分を意味します。

#> mkdir /tmp/install

リターンキーの入力を意味します。

#> mkdir /tmp/install

システム構成

システム構成図


システム構成概略

 研究情報Webシステムは3種類のサーバマシンから構成されます。

 

サーバ名

サーバの役割

WEB公開サーバ

research.kek.jp

WEB更新サーバ内のコンテンツと同期をとり、そのコンテンツを外部に公開するサーバ

WEB更新メインサーバ

research-up.kek.jp

kek.jpドメイン内のマシンからコンテンツをアップロードする対象のサーバ

WEB更新バックアップサーバ

research-up2.kek.jp

メインサーバが停止している際に使用するサーバ

 WEB公開サーバとWEB更新サーバはコンテンツの同期をとっています。

同期タイミング

5分間隔

同期対象ディレクトリ

/www/htdocs/research 以下

利用方法

はじめに

利用申請

 利用申請は、「Webシステム 利用申請書および利用の手引き(ApplicationForm)」を参照ください。

利用者相談

 利用者相談はシステム名を明記の上、consult@kek.jp へご連絡下さい。

ログイン・ログアウト

 上記利用申請完了後、WEB 更新サーバ(research-up.kek.jp)にログインすることが可能となります。
 ログインには、SSH を使用します。
 ログイン可能なクライアントホストは、kek.jp ドメインに属しているホストと一部の j-parc.jp ドメインホストになります。

[使用例]
[testuser@test ~]$ ssh research-up.kek.jp
testuser@research-up.kek.jp's password:"パスワード"
Last login: Mon Dec 26 14:23:57 2020 from test.cc.kek.jp
[testuser@wur51 ~]$

 ホームディレクトリは、/home/”ユーザアカウント名”となります。

パスワード変更

 パスワードの変更はWebシステムポータルで行います。
 WEB更新サーバ上の passwd コマンドでは変更できません。
 操作方法は Webシステムポータル 利用の手引き をご参照下さい。

ログインシェル変更

 ログインシェルの変更はWebシステムポータルで行います。
 WEB更新サーバ上の chsh コマンドでは変更できません。
 操作方法は Webシステムポータル 利用の手引き をご参照下さい。

コンテンツアップロード

 コンテンツのアップロードは、WEB更新サーバ(research-up.kek.jp) に対して行います。
 アップロードに使用する方法は、以下の中から選択することが出来ます。
 なお、アップロードが可能なホストは、kek.jp ドメインホスト、及び一部の j-parc.jp ホストのみとなります。

アップロード方法

メリット

デメリット

scp
  • パスワードを平分で流さない。
  • 操作性が悪い。
  • 対応するツールが少ない。

sftp
  • パスワードを平分で流さない。
  • 操作性が良い。
  • 対応するツールが少ない。

SSH+rsync
  • パスワードを平分で流さない。
  • 差分アップロードが可能。
  • 事前にある程度のセットアップの手間が必要。

 各ユーザ及び各グループのトップページは、以下ディレクトリ直下のindex.htmlとなります。

ユーザ単位のコンテンツ配置ディレクトリ

/www/htdocs/research/people/”ユーザ名”
なおアカウント登録の際に、/home/”ユーザ名”/”ユーザ名” という上記ディレクトリへのシンボリックリンクが作成されています(※個人ページ開設の申請をした方のみ)

グループ単位のコンテンツ配置ディレクトリ

/www/htdocs/research/group/”グループ名”

 グループ単位のコンテンツ配置ディレクトリには set GID (: drwxrws--T ) がセットされています
 これにより、グループ単位のコンテンツ配置ディレクトリ以下のコンテンツには、自動的に上位ディレクトリのグループオーナ情報が付与されます
 ※ グループ単位のコンテンツ配置ディレクトリの Sticky Bit 設定については、consult@kek.jp にお問い合わせください。

 研究情報 Web では、デフォルトでは新規作成したファイル/ディレクトリには group write 権限は付与されません。
 この状態だと、新規作成したディレクトリ以下では作成者しか rename, remove する事ができません。
 常に group write 権限を付与したい場合は、「コンテンツアップロード時留意事項」、「クライアントソフトウェア構成例」をご参照ください。
 ※ 常にグループ内の誰でも rename が可能となりますので、ファイル操作には十分ご注意ください

 お手元のマシンから、scp, sftp, rsync を使用してコンテンツをアップロードする例を以下に記載します。
 既に各コマンドがお手元のマシンに導入されている事を前提としています。

[例:scp コマンドを使用したコンテンツアップロード]
・アカウント:testuser
・アップロードするファイル:/localdir/test.file
・アップロードするディレクトリ:/www/htdocs/research/people/testuser
である場合、以下のように実行してください。

#> cd /localdir
#> scp test.file testuser@research-up.kek.jp:/www/htdocs/research/people/testuser/.
testuser's Password:(パスワードを入力)
test.file                            100% 0 0.0KB/s --:-- ETA
#>

ユーザ単位のコンテンツ配置ディレクトリへのアップロードは、以下のようにしても可能です。
#> cd /localdir
#> scp test.file testuser@research-up.kek.jp:/home/testuser/testuser/.
testuser's Password:(パスワードを入力)
test.file                            100% 0 0.0KB/s --:-- ETA
#>

ディレクトリ /localdir 以下全てをアップロードする場合は、以下のようにします。
#> scp -r /localdir testuser@research-up.kek.jp:/www/htdocs/research/people/testuser/.
testuser's Password:(パスワードを入力)
test.file                            100% 0 0.0KB/s --:-- ETA
#>
この場合、research-up.kek.jp /www/htdocs/research/people/testuser/localdir/test.file としてアップロードされます。

[例:sftp コマンドを使用したコンテンツアップロード]
・アカウント:testuser
・アップロードするファイル:/localdir/test.file
・アップロードするディレクトリ:/www/htdocs/research/people/testuser
である場合、以下のように実行してください。

#> cd /localdir
#> sftp testuser@research-up.kek.jp
testuser's Password:(パスワードを入力)
sftp> cd /www/htdocs/research/people/testuser
sftp> put test.file
test.file                            100% 0 0.0KB/s --:-- ETA
sftp> exit
#>

[例:SSH + rsync を使用したコンテンツアップロード]
・アカウント:testuser
・アップロードするディレクトリ:/localdir
・アップロードするディレクトリ:/www/htdocs/research/people/testuser
である場合、以下のように実行してください。

#> rsync -e ssh -av /localdir testuser@research-up.kek.jp:/www/htdocs/research/people/testuser/.
testuser's Password:(パスワードを入力)
building file list ... done
/localdir/
/localdir/test.file
wrote 140 bytes read 36 bytes 32.00 bytes/sec
total size is 0 speedup is 0.00
#>
この場合、research-up.kek.jp /www/htdocs/research/people/testuser/localdir/test.file としてアップロードされます。

コンテンツアップロード時留意事項

 コンテンツアップロード時には、以下の点に留意してください。

クライアントソフトウェア構成例

 クライアントプラットフォーム毎のコンテンツアップロードに必要なソフトウェアの構成例、及び参考となる情報を提供するURLを以下に示します。
 なお、ここで紹介するソフトウェアはあくまで参考として紹介しているものであり、研究情報Webシステムでの利用を保証するものではありません。

 

Windows

Mac

UNIX

scp

ソフトウェア

WinSCP (*)

OpenSSH

OpenSSH

使い方

WinSCP (*)

-

scp

sftp

ソフトウェア

WinSCP (*)

Cyberduck

OpenSSH

使い方

WinSCP (*)

Cyberduck Help

sftp

SSH+rsync

ソフトウェア

OpenSSH
rsync

使い方

ssh
rsync

 * WinSCP の最新バージョンは 5.17 です。( 2020 8月現在)
  最新情報は WinSCP 公式サイトをご参照ください。

 * グループ単位のコンテンツ配置ディレクトリを利用する場合で、グループ内ユーザが誰でもファイル/ディレクトリの rename を行えるよう、常にファイル/ディレクトリの group パーミッションに w (書き込み権限) を付与したい場合は、こちらのページを参考に各アプリケーションを設定ください。

コンテンツ確認

 本システムでは、WEB更新サーバとWEB公開サーバとの間で5分毎にコンテンツの同期を取っているため、WEB公開サーバでは最大で5分のコンテンツ遅延が発生します。
 そこで、アップロードしたコンテンツを即時確認する場合、WEB更新サーバで確認を行います。この場合、ブラウザのURLに以下のように入力します。

ユーザ単位の情報発信

https://research-up.kek.jp/people/”ユーザアカウント名”/”ファイル名”

グループ単位の情報発信

https://research-up.kek.jp/group/”グループ名”/”ファイル名”

 なお、URLの指定をディレクトリとした場合、そのディレクトリ直下のindex.htmlを表示します。
index.html が無い場合、エラー表示となります。( 403 Forbidden エラー)
ダミーの”index.html”を作成することでエラーを表示させないようにすることができます。

公開 URL

 以上のコンテンツの準備が完了すると、アップロードしたコンテンツがWEB公開サーバからインターネットに公開されます。  この時のURLは、以下になります。

[ユーザコンテンツの場合]

https://research.kek.jp/people/”ユーザ名”/”ファイル名”

[グループコンテンツの場合]

https://research.kek.jp/group/”グループ名”/”ファイル名”

 グループ申請時に希望URLを記入した場合は、グループコンテンツを以下のURLでも参照できるようになります。

https://”希望URL.kek.jp/”ファイル名”

ディスク使用量確認

 ディスクquota設定値、及び現在のディスク使用量は、以下URLから参照出来ます。
 この情報は、毎時0,15,30,45分に最新情報に更新されます。

ユーザ quota 情報

グループ quota 情報

アクセス制限

 ディレクトリごとに、ユーザ・パスワードによる制限やアクセス元ホストの制限を行うことが可能です。
 この制限は、Apacheのアクセス制限機能を使用します。
 なお、WEB公開サーバにアクセス制限が反映されるには、最大で5分かかります。

ユーザ・パスワードによる制限

 研究情報 WEB ではセキュリティ上の理由から、パスワードを平文でネットワークに流さない Digest 認証を推奨しています。
 BASIC 認証は使用しないようお願いします。

 以下の手順で行います。

・制限をかけたいディレクトリに、以下内容の”.htaccess”というファイル名のファイルをアップロードします。

AuthType Digest
AuthName "”認証領域の名称”"
AuthUserFile ”パスワード格納ファイル名”
require user ”アクセス時のユーザ名”

"パスワード格納ファイル名"はフルパスで記述してください。

[例]
/www/htdocs/research/people/kekccse2 というユーザの情報発信ディレクトリ以下に対するアクセスを、
・認証領域の名称:”Authentication for testdir
・アクセス時のパスワードを格納するファイル名:/www/htdocs/research/people/.htdigest
・アクセス時のアカウント名:access
として制限をかける場合

AuthType Digest
AuthName "Authentication for testdir"
AuthUserFile /www/htdocs/research/people/kekccse2/.htdigest
require user access


htdigest コマンドでパスワード格納ファイルを作成します。

#> htdigest -c ”パスワード格納ファイル名” ”認証領域の名称” ”アクセス時のアカウント名”
New password:”パスワード”
Re-type new password:”再度パスワード”
Adding password for user ”アクセス時のアカウント名”
#>

[例]
kekccse2というユーザのホームディレクトリ以下に対するアクセスを、
・アクセス時のパスワードを格納するファイル名:/www/htdocs/research/people/kekccse2/.htdigest
・認証領域の名称:"Authentication for testdir"
・アクセス時のアカウント名:access
・アクセス時のパスワード:accesspw
として制限をかける場合

#> htdigest -c /www/htdocs/research/people/kekccse2/.htdigest "Authentication for testdir" access
New password:accesspw
Re-type new password:accesspw
Adding password for user access
#>

アクセス元ホストによる制限

 制限をかけたいディレクトリに、以下内容の”.htaccess”というファイル名のファイルをアップロードします。

Order allow,deny
Allow from ”アクセス許可するホスト或いはドメイン”

[例]ホストtest.kek.jpとドメインcc.kek.jp以外からのアクセスを制限する場合

Order allow,deny
Allow from test.kek.jp .cc.kek.jp

ユーザ・パスワードとアクセス元ホスト両方で制限

 前述のユーザ・パスワードによる制限の .htaccess とアクセス元ホストによる制限の .htaccess をマージした .htaccess ファイルをアップロードしてください。
 それ以外はそれぞれの手順と同じです。

利用上の注意

更新履歴

20200825

 新規 WEB システム稼動につきコンテンツ刷新