第14章： RealServerへのアクセス制限

RealServerにはコンテンツへのアクセスを制限する方法がいくつかあります。RealServerが提供するすべてのマテリアルへのアクセスを制限するには、一度に接続できるクライアント数を制限する、使用帯域幅を制限する、クライアントにRealNetworks　RealPlayerの特定のバージョンを要求する、マルチキャスト接続のみを認めるよう指定する、などの方法があります。さらに、クライアントのIPアドレス別にアクセスを制限することもできます。

概要

RealServerでアクセスをブロックするには、接続量またはクライアントIDを使う4つの方法があります。効力の強い順にそれらをリストします。

1. HTTPを使ったアクセス制御

2. 使用する帯域幅または接続の制限

3. 使用できるプレイヤのバージョンの制限

4. クライアントのIPアドレスによるアクセスのブロックまたは制限

プレゼンテーション要求時に上記の基準を満たさないクライアントはエラーメッセージを受け取ります。

接続の試みが受け入れられると、RealServerは認証情報を確認します。ユーザ名とパスワードを必要とする認証については第15章「RealServerユーザの認証」で述べています。

HTTPストリームへのアクセス制御

RealServerはHTTPでどんなコンテンツもサービスでき、HTTPでサービスできるコンテンツを入れる仮想パスも指示できます。このようにして、コンテンツを保護しながら、HTMLページをサービスすることができます。

仮想パスのリストは事前設定されています。

RealSystem AdministratorはHTTP Deliveryリストの以下のエントリを使います（RealSystem AdministratorのこのリストはGeneral Setup > HTTP Deliveryをクリックすれば見ることができます）。

• HTTP Directories-このリストのデフォルトエントリは/admin、 /farm、 /httpfs、 /viewsourceおよび /ramgenです。

このリストに加える理由:

• スケーラブルマルチキャストを使っている場合、スケーラブルマウントポイント/scalable/を追加しなければなりません。

  	警告
  	このリストに保護マテリアルが入ったディレクトリを追加しな いでください。追加すると、ユーザは保護付きディレクトリに あるコンテンツを見るときに、名前とパスワードの入力を求め られなくなります。

接続数や 帯域幅によるアクセス制限

Maximum Client Connections設定を使って（コンフィグレーションファイルのClientConnections変数）、同時接続するクライアント数を制限することができます。この制限数に達すると、接続しようとするクライアントはエラーメッセージを受け取り、他のクライアントが接続を切るまで接続できません。

同様に、Maximum Bandwidth 設定はRealServerが毎秒使える帯域幅の量をキロビット(Kbps)で制限します。

両方の変数の値を決めると、制限しきい値に達したときにRealServerはアクセスを制限します。

接続制限によってアクセス制限するには:

1. RealSystem Administratorで、General Setupをクリックします。Connection Controlをクリックします。

   

2. Maximum Client Connections ボックスに、同時に許可するクライアント接続数を入力します。

   ライセンスで許可されたストリーム数以下であれば、この数字は1から32767までどれでもかまいません。 0か空白にしておくと、RealServerはライセンスで定めたストリーム数を使います。

3. Applyをクリックします。

帯域幅によってアクセス制限するには:

1. RealSystem Administratorで、General Setupをクリックします。Connection Controlをクリックします。

2. Maximum Bandwidthボックスに、一度に使う毎秒キロビットの(Kbps)の最大数を入力します。

   たとえば、帯域幅を1メガバイトに制限するには、 Maximum Bandwidthを1024に設定して、最大帯域幅使用量を特定します。

   	ヒント
   	お持ちのRealServerライセンスは、お使いのネットワークに適 した以上の帯域幅を許可しているかもしれません。ネットワー ク管理者に確認して、適当な使用数を決めてください。

3. 変更し終わったらApplyをクリックしてください。

RealPlayerバージョンによるアクセス制限

RealPlayer Plus Onlyに設定すると、RealNetworks RealPlayer Plusソフトウェアだけがプレゼンテーションを再生できるようになります。

RealPlayer Plusへのアクセスを制限するには:

1. RealSystem Administratorで、General Setupをクリックします。Connection Controlをクリックします。

2. RealPlayer Plus OnlyリストでOnを選択します。

3. Applyをクリックします。

バックチャネルマルチキャスト受信へのアクセス制限

バックチャネルマルチキャストセクションでEnable Failover to UnicastをNoにすれば、IPアドレスを特定したクライアントがマルチキャストモードでしか接続できないように設定できます。このオプションをNoに設定すると、マルチキャストモードで接続できないクライアントはエラーメッセージを受け取ります。このオプションをYesに設定すると、マルチキャストモードで接続できないクライアントはユニキャストモードを使ってプレゼンテーションを受け取ることができます。この機能は「ユニキャストではなくマルチキャストアクセスの要求」で説明しています。

スケーラブルマルチキャストでは、Shift to Unicast機能で同じ機能が提供されます。「バックアップ方法としてのユニキャストの使用」を参照してください。

IPアドレスでのアクセス制限

リクエストするマシンのIPアドレスとリクエスト先のポートに基づいてRealServerマテリアルへのアクセスをブロックまたは許可することができます。コンテンツは特定のポート番号と関連づけてあります。ストリーム配信したメディアのリクエストはRTSP PortとPNA Portに届き、HTTP PortからHTMLページを使用できます。エンコーダはエンコードしたマテリアルをエンコーダポートに送ります。サーバ管理者はAdmin Portを使ってRealSystem Administratorにアクセスします。

アクセス制御機能で、特定のクライアントアドレスを、特定ポートへの接続能力または許可と関連づけることができます。

たとえば、エンコード用のポート（通常4040）へのアクセスを制限することによって、お使いのRealServerにストリーム配信するエンコーダを制限することができます。または、 IPアドレスをリストしてRTSP、PNA、HTTPポートへのアクセスを与えることによって、組織内の特定グループだけがRealServerがサービスするプレゼンテーションを見られるようにすることもできます。

IPアドレスが“deny”（拒否）と設定されているクライアントは、URLが有効でない、または接続がタイムアウトした、などのエラーメッセージを受け取ります。

（クリップの保管ディレクトリまたは仮想ディレクトリに基づいて）ユーザがアクセスできるマテリアルをさらに厳しく制限するには認証を使うことができ、これは第15章「RealServerユーザの認証」で説明しています。

概要

許可あるいは制限したいと思う各IPアドレスまたはアドレス範囲についての情報は規則として保存してあります。規則とはアクセスを認めるアドレス範囲と行動についてのRealServerへの一連の指示のことです。規則はあなたが割り当てる番号によって識別され、その番号の昇順に適用されます。

この機能を使う前に、どういうタイプの規則を作るか決めなければなりません。

各規則には以下の情報が入っています:

• Access Rule Number-この規則の識別番号

• Access-クライアントのアクセスの許可または拒否。

• Client IP Address-クライアントのアドレス、またはアドレスの範囲これはエンコーダのIPアドレスにもなります。

• Server IP Address-RealServerのアドレス

• Ports-アクセスを指定するポート番号。一般的なコンテンツを見る場合、これらの数字はRTSP Port、PNA Port、HTTP Portのポートページの設定に対応します。エンコーダの場合は、これらはブロードキャスティングページのポート番号に対応します。

クライアントがRealServerプレゼンテーションを再生しようとするとき、またはエンコーダがマテリアルを送ろうとするとき、RealServerはそのアドレスとリクエストしたポートを規則にリストされているアドレスと比較します。作成できる規則数に制限はありません。クライアントのIPとリクエストしたポード番号がどの規則にも合わない場合、 RealServerはアクセスを拒否します。

たとえば、ライブマテリアルのエンコードとお使いのRealServerへの送信をコンテンツ作成者に許可するには、クライアントのアドレスとエンコーダポート(4040)をリストする規則を作ります。

アクセス制御を使うとき

以下は、アクセス制御をお使いのシステムで使用するべきか判断する場合の考慮事項です。

• IPアドレスでのクライアントのアクセス制限を考慮中で、クライアントのIPアドレスを見つけることができる。

• ユーザ別に特定の機能へのアクセスを制限したい。たとえば、承認されたRealServerからのみスプリッティングを許可したい。

アクセス制御とRealServerの他の機能

本セクションではマルチキャスティングを他の機能といっしょに使用する方法を説明します。

オンデマンドストリーミング、ライブユニキャスティング、G2SLTAとアクセス制御

ストリームまたはブロードキャストの受信が許可される前に、クライアントのアドレスをアクセス制御規則で承認しなければなりません。

スプリッティング、マルチキャスティングとアクセス制御

ストリームまたはブロードキャストの受信が許可される前に、クライアントのアドレスをアクセス制御規則で承認しなければなりません。

RealProxyおよびアクセス制御

クライアントがキャッシュ済ストリームをリクエストすると、RealProxyはクライアントにストリーム再生を許可する前に、ソース RealServerへ そのリクエストを送って許可を求めます。RealServerがリクエストを拒否すると、RealProxyはクライアントのストリーム受信を許可しません。

RealProxyのIPアドレスがRealServerに接続するのを禁じるアクセス規則を作ることによって、RealProxyがRealServerがサービスするマテリアルをキャッシュメモリに入れないようブロックすることができます。

認証とアクセス制御

ユーザのIPアドレスの認証が終わってからユーザ名またはクライアントのIDの認証が行われます。クライアントがアクセス制御規則に反していると、認証は行われません。

ISPホスティングとアクセス制御

ISPのホスティングサービスを利用するカスタマが提供しているプレゼンテーションの場合、クライアントがクリップを再生しようとすると、それが許可される前にアクセス制御規則と比較されます。

監視とアクセス制御

特定のIPアドレスからモニタ ポート (9090)へのアクセスを許可する規則が存在する場合、そのアドレスのユーザはJava Monitorを見たり使用したりできます。

レポートとアクセス制御

アクセスログファイルは、アクセス制御規則で受け付けたクライアントにサービスするクリップを表示します。

作成規則の決定

アクセスを制限する方法は2つあり、これらによって規則の作成方法が決定されます。3番目の規則を先に作れば、RealSystem Administratorに接続して残りの規則を作れるようになります。

• 特定アドレスの拒否：特定グループのIPアドレスやポートを拒否して、 他のすべてのアクセスを許可します。

• 特定アドレスの許可：特定グループのIPアドレスやポートを許可して、 他のすべてのアクセスを拒否します。

どちらの方法も3セットの規則を定める必要があります:

1. 1セット目の規則は、拒否または許可する特定のクライアントアドレスを参照します。特定のアドレスまたはアドレス範囲を指示する規則は複数におよぶことがあります。

2. 1セット目の規則に記載されていないクライアントは（Specific Address Denialで）アドレスを許可されるか、(Specific Address Permissionで）アクセスを拒否されます。2セット目の規則は通常From ボックスで“Any”という言葉を用いて作成します。

   	警告
   	Specific Address Denialを使ってこのステップを省くと、 1セッ ト目の規則に記載してあるクライアント以外の全員に対してア クセスを拒否することになります。

   Specific Address Permissionを用いる場合、この規則はオプションとなります。

3. 最後に、最後の規則によってRealSystem Administratorポートにアクセスできます。

規則を作ると、RealServerは規則に記されていないすべてのユーザはアクセスを拒否されなければならないと仮定します。すべての条件に適応するだけの規則を作る必要があるのはこのためです。

	メモ
	単一のクライアントのリクエストに対するアクセス拒否だけに 関心があるとしても、自分で選んだ方法に必要な規則をすべて 作らなければなりません。

規則に番号をつける

規則番号はどんな長さでもいいですが、後でリストを追加する場合に備えて、1桁以上の数字をお勧めします。複数桁であれば、既存規則の間に新しいリストを挿入できます。規則を作るときに番号を付けます。RealServerはこの番号を使って規則を並べ替えてから、クライアントのリクエストを調べます。

RealServerはクライアントのIPアドレスとリクエストされたポートを、並べ替えた規則のうち番号の小さい順に比較していきます。 RealServerはクライアントのアドレスと合致する規則を見つけるとすぐに、規則の特徴に応じてアクセスを許可または拒否します。

規則を決まった順番で作る必要はありません。RealServerが自動的に並べ替えます。

思い通りにアドレスに接続するには

RealServerは番号順に規則を調べるので、もっとも番号の小さい規則をもっとも厳密にしなければなりません。大きな規則番号はもっとも緩やかな規則のためにとっておきます。これはファイアウォールアドレスのスキーマと同様です。

IPアクセス制御のセットアップ

「作成規則の決定」で選んだ方法にかかわらず、アクセス制御規則を定めるには2つの手順があります。

1. RealSystem Administratorへの接続を維持する一般規則を設定します。この手順は一度だけ行えばいいものです。

2. 特定のIPアドレスとポード番号に対する規則を作成します。

一般的アクセス規則の作成

本セクションの手順は、他の規則に定める制限にかかわりなく、RealSystem Administratorへの接続を許可する規則を作ります。全員にRealSystem Administratorへのアクセスを許可しているように見えますが、これを使うのはAdmin Port番号（インストール時に任意に選択）を知っている他の管理者とRealSystem Administrator専用のユーザ名とパスワードを持つ者だけです。

	警告
	この最初の手順を省くと、ユーザ名とパスワードのパーミッショ ンを持っているかどうかにかかわらず、RealServerを再起動する ときにRealSystem Administratorに接続できなくなります。

	追加情報
	ユーザ名に基づいてRealSystem Administratorにアクセスを与 える方法については、「RealSystem Administrator ユーザ認証」 を参照してください。

必要なアクセス規則を作るには:

1. RealSystem Administratorで、General Setupをクリックします。Portsをクリックします。

2. Admin Port番号を書き留めます。（これはブラウザURLに表示してあるポート番号と同じ番号です。）

3. RealSystem AdministratorでSecurityをクリックします。Access Controlをクリックします。

4. Add Newをクリックします。

   Edit Rule Numberボックスに一般アクセス規則番号が表示されます。

5. Edit Rule Numberボックスに1000と入力します。

6. Editをクリックします。

7. Accessリストから Allowを選択します。

8. Client IP AddressボックスにAnyと入力します。

   追加のセキュリティを提供するために、RealSystem Administratorの利用を許可するユーザのIPアドレスまたはサブネットアドレスを入力します。

   サブネットアドレスを入力する場合、Client Netmaskボックスに適当なサブネットマスクを必ず記入してください。

9. Server IP AddressボックスにAnyと入力します。

10. Portsボックスに手順2で書き留めたAdmin Port番号を入力します。

11. Applyをクリックします。

これで次のセクションで作る規則を問わず、RealSystem Administratorにアクセスできるようになります。

特定のアクセス規則の作成

このセクションの手順を利用して、特定のIPアドレスまたはアドレス範囲にアクセスを許可または拒否できます。

	警告
	初めに必ず「一般的アクセス規則の作成」の手順に従ってくだ さい。従わないとRealServerを再起動後にRealSystem Administratorにアクセスできなくなります。

IP番号でアクセスを制限するには:

1. 手順10のポート番号を決定します:

   • Users-この規則がストリーミングメディアを再生したいユーザに関する場合は、General Setup>Portsをクリックします。PNA Port（通常7070）、HTTP Port（通常8080）、RTSP Port（通常554）の値を書き留めます。

   • Encoders-この規則がお使いのRealServerにコンテンツを送るG2エンコーダに関する場合は、 Broadcasting>G2 Encoderをクリックします。Port値（通常4040）を書き留めます。

   • Pre-G2 Encoders-この規則があなたのRealServerにコンテンツを送るG2以前のエンコーダに関する場合は、Broadcasting>Pre-G2 Encoderをクリックします。Port値（通常5050）を書き留めます。

   • Splitters-プルスプリッタ接続を許可するには、Splitting>Pull Sourceのポート番号（通常3030）を調べます。プッシュスプリッティングについては、General Setup>PortsをクリックしてHTTP Port番号（通常8080）を確認します。

   • Java Monitor-Java Monitorを参照するには、General Setup>Portsに表示してあるMonitor Port番号（通常9090）を使います。

2. RealSystem AdministratorでSecurityをクリックします。Access Controlをクリックします。

3. Add Newをクリックします。

   Edit Rule Numberボックスに一般規則番号が表示されます。

4. Edit Rule Numberボックスに、新しいアクセス規則として3桁の数字を入力します。RealServerは番号順に規則番号を実行します。

   	ヒント
   	技術的にはこのボックスにどんな数字を入力することもできます。 しかし規則は番号順に並べ替えられるうえ、RealSystem Administratorへのアクセスを許可する規則はリストの最後の規 則でなければならないので、3桁の数字を使ってRealSystem Administrator規則（「一般的アクセス規則の作成」で規則1000 と指定した場合）がリスト最後の規則になるようにしてください。

5. Editをクリックします。

6. AccessリストからAllowまたはDenyを選択して、許可を与えるか拒否するか指示してください。

7. Client IP AddressボックスにクライアントマシンのIPアドレスを入力します。

   	ヒント
   	IPアドレスにかかわらず、すべてのクライアントを参照するに は、Client IP AddressボックスにAnyと入力し、Client Netmask ボックスは空白にします。

8. クライアントアドレスの範囲を指示したい場合は、Client Netmaskに値を入力します。

9. Server IP Addressボックスに、リクエストされたコンテンツのホストRealServerマシンまたはネットワークのアドレスを入力します。

   特定のアドレスを入力するか、Any という言葉を使ってRealServerマシン上のどのIPアドレスも参照できます。

   • 特定のIPアドレスまたはDNS名を入力する場合、そのアドレスをIP Bindingリストにも追加しなければなりません。詳細は「RealServerが使うIPアドレスの予約」を参照してください。

   • テストリンクでまったく同じ文字列を使うユーザが自分以外にいない場合を除いて、127.0.0.1またはlocalhostという文字列は使用しないようにしてください。

10. 最後に、アクセスを制限したいRealServerポート番号を入力します。Portsボックスに、ポート番号をカンマで区切って入力します。

    すべてのRealServerコンテンツへのアクセスを制限するには、RealServerにリッスンするように指示してある他のポート番号とこれらのポート番号が一致しなければなりません。RTSPポート、PNAポート、HTTPポート、エンコーダが使うポート値を調べてください。

11. Applyをクリックします。

Copyright © 2000 RealNetworks
RealNetworksテクニカルサポート情報は、 ここをクリックしてください。
この文書に関するご意見は、 ここをクリック してください。
ファイル最終更新日 04/20/00更新時刻 10:13:06