モジュールのインストール!
Apacheモジュールとは
本連載では、日常的にApache HTTPDサーバー(以下Apache)を使用されている方や、何度か業務で利用した経験がある方を対象に、いくつかのApacheモジュールを取り上げ解説します。Apacheは古くからモジュール構造を採用しており、機能の多くをモジュールで拡張します。本特集では、とりわけ認証系モジュールを取り上げます。
TCPポートをリスニングし、リクエストを受け付け、受け付けたリクエストを子プロセスやスレッドに割り当てるといったコア機能に対し、ユーザー認証、アクセス制限、HTTPSプロトコルの実装といった付加機能はモジュールによって実現されています。使用しているApacheに組み込まれているモジュール一覧は、httpdコマンドで見ることができます。
例えば、CentOS 5.2でhttpd-Mコマンドを実行します。openSUSEではhttpd2コマンド、Debian、Ubuntuではapache2コマンドというように、LinuxディストリビューションやUNIX系OSによって、コマンド名やパスは異なりますが、モジュール一覧を表示させることができます。このコマンドを実行すると、標準インストールされるApacheでも、デフォルトで多くのモジュールが組み込まれていることがわかるでしょう。
HTTPサーバーに求められる機能は、単純なWebサーバーの機能に限りません。圧縮転送や、認証機能、果てはProxyサーバーやファイルサーバーなど、多く機能が求められています。
日増しに肥大化するこうした要求に応じ、プログラム拡張を繰り返せば、ある要件では必要な機能も、別な要件では無駄になるなど、プログラムの肥大化を引き起こします。プログラムサイズが大きくなれば、起動にかかるコストや必要なメモリなどで、サーバーリソースが窮迫します。
とりわけApacheは、不特定多数のクライアントからの要求に応じる必要があり、多くの要求に応えるために、より多くのプロセスやスレッドを立ち上げます。プログラムサイズ数キロの違いが、こうしたプロセスの多重起動により、結果的に大きなリソースを必要とすることとなります。
そこで万人にとって必要最低限な機能だけをコアに据え、残りは選択可能なモジュール構造を採用することで、適材適所なApacheを使用することが可能となります。
静的モジュールとDSOモジュール
先ほど紹介した一覧表示のコマンドを実行すると、モジュール名の横に「static」と表示されるものと、「shared」と表示されるものの2種類のモジュールがあることがわかります。Apacheモジュールは、その組み込み方により静的(static)なものと動的(shared)なものに大別されます。
静的なものはApacheインストール時から組み込まれており、切り離すにはApacheの再インストールが必要になります。追加する場合も同様に再インストールを行う必要があります。
動的なものは、設定ファイルで簡単に有効/無効を選択することができます。モジュールの利点を生かし、Apacheの機能を拡張することも、不要なモジュールを切り離すことも、動的モジュールなら比較的簡単な操作で可能です。動的モジュールはその仕組みにDSO(Dynamic Shared Object)を使っているため、DSOモジュールとよばれることもあります。
なお静的モジュールは、本体とモジュールが一体で動作するため、モジュール組み込みにかかる負荷が低くなります。一方DSOモジュールは、読み込む際に発生するオーバーヘッドにより、静的なものに比べApacheの起動が遅くなります。また実行速度が若干低下します。少しでも高いパフォーマンスを求める用途には静的モジュールを使用するなど、条件に応じ静的モジュールとDSOモジュールを使い分けるようにします。
次は、静的モジュールとDSOモジュールのインストール方法について紹介しましょう。
静的モジュールとDSOモジュールのインストール
前述したように、モジュールを追加する方法は以下の2通りあります。
・Apache本体にモジュールを組み込む方法(静的組み込み)
・DSO(Dynamic Shared Object)でモジュールをロードする方法(動的組み込み)
タイプ別にApacheモジュールを追加する方法を簡単に解説します。ただし最近では、Apache本体プログラム同様に、モジュールもパッケージ管理ツールでインストールできることが多くなっており、ここで紹介するインストール方法を使用する機会は減ってきています。
しかしディストリビューターから提供されないサードパーティー製モジュールや、実験的に提供されているモジュールでは、以下に紹介するようなソースファイルを使ったインストール方法を使用します。
なおモジュールをビルドするためには、gccなどの開発環境が必要です。パッケージ管理ツールなどを利用し、事前に開発環境を整えておきます。
静的モジュールのインストール
静的モジュールをインストールするには、モジュールをApache本体へ組み込む必要があります。そのためにはApacheの再インストールが必要です。インストールの際に実行するconfigureで、「--enable-モジュール識別子」オプションを使って、追加するモジュールを指定します。
# cd /..Apacheのソース../
# ./configure --enable-モジュール名
その後、以下のコマンドを実行してインストールします。
# make
# make install
Apacheのソースアーカイブは「Downloading the Apache HTTP Serve(http://httpd.apache.org/download.cgi)」からダウンロードできます。Apacheのソースアーカイブに収録されているモジュールなら、configureに「-h」オプションを付加することで、モジュールインストールに必要なオプションを見つけることができます。
Apacheのソースアーカイブに含まれない、サードパーティー製モジュールでは、それぞれのモジュールに付属するドキュメントに従います。モジュールによっては、静的組み込みに対応しない場合があります。
この後は設定ファイル「httpd.conf」を編集し、モジュールの動作に必要な設定を行います。その後、前半で紹介した「httpd -M」でモジュールが静的に組み込まれていることを確認し、Apacheを起動します。なおモジュールを削除するにはApacheをビルドし直す必要があります。
次は、DSOモジュールのインストールについて紹介します。
DSOモジュールのインストール
DSOでモジュールを追加インストールする場合も、Apacheのソースアーカイブなど、モジュールのソースファイルが必要になります。またDSOモジュールのインストールにはapxs(APache eXtenSion tool)を使用します。apxsコマンドは、ディストリビューションが提供するApacheに含まれていないことがあります。その場合「httpd-devel」など別パッケージで提供されているので、別途インストールします。
FedoraやCentOSなどRed hat系ディストリビューションでは「yum」コマンドを使ってオンラインインストールします。httpd-develに必要なほかのパッケージも、自動で依存関係を調べ、同時にインストールが行われます。
# yum install httpd-devel
apxsコマンドは、モジュールのソースに対し、以下のように実行します。openSUSE、Debian、Ubuntuといったディストリビューションでは、apxs2コマンドを使用します。
# cd /..モジュールソースのあるディレクトリ../
# apxs -i -a -c モジュール.c
apxsコマンドでは「-c」オプションでモジュールのソースファイルを指定し、「-i」でビルド完了後モジュールを指定のディレクトリに移動し、「-a」オプションでhttpd.confにモジュールをロードする1行が追加されます。「-i」を指定した場合の、モジュールのインストール先は、Fedora、Red Hat、CentOS、Turbolinuxでは「/usr/lib/httpd/modules/」、SUSEでは「/usr/lib/apache2/」、Debian、Ubuntuでは「/usr/lib/apache2/modules」になります。
インストール完了後、Apacheを起動または再起動し、前半で紹介した「httpd -M」でモジュールが動的に組み込まれていることを確認します。なおモジュールを無効にするには、httpd.confのモジュールをロードする1行を削除します。
認証系モジュール
本特集では主に認証系モジュールを取り上げます。認証系モジュールはApache 2.2の大きな変更の1つです。それまで1つのモジュールで行われていた認証、承認処理をそれぞれの役割で分割しています。
例えばBasic認証を使ったパスワード認証では、mod_auth_basic、mod_authz_user、mod_authn_fileといった3つのモジュールを組み合わせて使用します。mod_auth_basicはBasic認証を提供するモジュールとして、mod_authz_userはユーザー単位でアクセス制限を実施するためのモジュールとして、mod_authn_fileはユーザー情報の保存や読み出しのためのモジュールとして、役割の異なる3タイプのモジュールを組み合わせて利用します。
認証系モジュールの役割は、モジュール名で判断することができます。具体的には「mod_auth_○○」は認証の方法を提供するモジュール、「mod_authz_○○」は承認(アクセス制御)を提供するモジュール、「mod_authn_○○」は認証バックエンド(ユーザー情報の保存読み出し)をサポートするモジュールになります。
役割に応じモジュールを分割することで、任意の認証モジュールと承認モジュール組み合わせて使用することができます。mod_auth_basic、mod_authz_user、mod_authn_fileのうち、mod_auth_basicの替わりにmod_auth_digestを使用することでDigest認証が可能になり、mod_authn_fileをmod_authn_dbmに替えることで、DBMファイルをユーザー情報の保存読み出しに使用することができます。
次回は、Basic認証を例に、具体的なモジュールを取り上げ、ユーザーの指向で組み立て可能な認証機能が実現されるまでを解説します。
