情報 - みる会図書館

1. UNIX MAGAZINE 1999年1月号

連載 / IJN Ⅸの玉手箱ー① 図 3 FreeBSD インストール直後の /etc/host. conf # $ld: host. conf,v 1.2 1993 / 11 / 07 01 : 02 : 57 011ma れ Exp $ # Defau1t is to use the nameserver first bind # If that doesn't work, then try the /etc/hosts file hosts # If you have YP/NIS configured, uncomment the next line # niS 3. NIS サーバーに間い合わせても情報がみつからなけれはエラーとなる。この順番が気に入らなけ川ま、希望する順にキーワードを並べ替えます。 NIS か利用できるなら、 NIS を優先的に使うほうが効率がいいと思うかもしれません。しかし、 DNS か利用できる工竟では、ローカルドメインのホスト情報も DNS サーバーがもっています。利用しているネットワーク環境にもよりますが、ふだんはます最初に DNS ーに間い合わせ、 DNS サーバーがなんらかの理山で一印判勺に利用できないときに NIS や /etc/hosts のホスト情報を検索するような設定のほうが妥当でしよう。なお、 FreeBSD では OS のインストール時に DNS の設定ができます力ま設定をする / しないにかかわらす、 /etc/host. conf の中身は同しです。これだと、「 DNS クライアントを設疋していないのに、毎回 DNS サーバーを参照しようとして効率か懇いんじゃないか」と不安になるかもしれません。しかし、 /etc/resolv. conf ファイルがなければ、即座に DNS サーバーへの間合をあきらめて次の慮原 ( この例では /etc/hosts) を参照するため、実際の処眄曲隻はほとんど変わりません。 BSD/OS の /etc/irs. conf 一方、 BSD/OS か利用する /etc/irs. conf はホスト情報だけでなく、パスワード情報やグループ情報の検索順なども指定します。 /etc/irs. conf のフォーマットは以下のとおりで、 3 つのフィールドからなるエントリを 1 行すっ書きます。、、 # " 以降はコメントとみなされます。情報の種類情報源動作オプション最初のフィールドには、検索の対象となる情報の不鶤頁を指定します。パスワード情報は、、 passwd" 、グループ情報は、、 group - で、ホスト情報は、、 hosts" を指定します。 2 番目のフィールドには利用する情報源を指定します。ホスト情報の検索に利用できる情報源としては、、、 local" 116 、 nis"(NIS) 、 3 番目のフィールドには、指定した情報原に対して検索、、 dns"(DNS) カ甘旨定できます。 ( ローカルな /etc/hosts) 、 irs. conf のホスト情報に関する部分は以下のように設疋さ BSD/OS をインストールした直後の状態では、 /etc/ こで検索処理を中止します。 continue" を指定しなけれは、検索結果にかかわらすそった場合、次のエントリに書かれた情報源を検索します。たときだけ意味をもち、その情報源から情報か得られなかこのフィールドは、、 continue " というキーワードを指定しをおこなったあとの重川乍を指定します。ホスト情報なら、れています。 hosts #hosts hosts dns nxs 10Ca1 continue 最初に DNS を参照するものの、 dns の行には con- tinue オプションカ甘旨定されていないため、あとに続く /etc/hosts は参照されすに終ってしまいそうです。これには例外があり、 DNS に関しては、 /etc/resolv. conf ファイルがなけれは dns キーワードか書かれている行は処理がスキップさ次の行に移ります。このため、上記のような設定では、 /etc/resolv. conf の有無によって動作が以下のように変わります。・ /etc/resolv. conf がなけれは、次の行以降の情報源を検索する。 nis の行はコメントアウトされているため、その次の行、つまり口一カルな /etc/hosts か検索される。・ /etc/resolv. conf があれは、指定された DNS サーバーに間合ををおこなう。間合迂の結果にかかわらす、次の行以降は処理されない。したがって、この状態で nis の行頭にある、、 # " を削除して NIS を情報源に加えたとしても、 DNS クライアント UNIX MAGAZINE 1999.1

2. UNIX MAGAZINE 1999年1月号

スのデータベースを正しく管理することは、ネットワーク環竟でホストを利用するためのもっとも基本的な設定であるといえます。ローカル管理とリモート管理ホスト名と IP アドレスのデータベースを管理するにはいくっかのガ去がありますが、いずれの去であ最終的にはホストやネットワークの管理者が手作業で糸財寺することになります。データベースを誰 ( どのホスト ) がもつかによって、管理ガ去は以下の 2 つに大きく分かれます。連載 / IJN Ⅸの玉手箱ー① 前者を、、ローカル管理 " 、後者を・特定のホスト ( サー。ー ) がデータベースをもち、残りすべてのホストがローカルにデータベースをもつガ去、、リモート管理 " と呼ぶことにします。こでは便宜的にのホストはサーバーに間い合わせる・去 UNIX MAGAZINE 1999 ユ hosts) というファイルか 1 司凵齬リをもっています。トールされているディレクトリ *hosts" ( たとえ tiC:*Windows* 2 Windows 95 / 98 や Windows NT では、、、 Windows カゞインス NIS のサーバーにはマスターとスレープの 2 不頁があり NIS は、 1 つのサーバーでデータベースを管理します。情報を得るため、データベースをもつ必がありません。トは、必要なときにサーバーに間い合わせることによってデータベースを特定のサーバーカ理します。クライアンテムでは、図 l-b のように、ホスト名と IP アドレスの (Domain Name System) が代表的です。これらのシスで、 NIS (Network lnformation Service) や DNS そこで考案されたのがリモート管理に分類される方法 NIS と DNS スか起こる可能生も高くなります。新の手間も増え、更新を忘れたり登録を間違うといったミはそれでもよかったのですが、ホストの台数に比例して更した。ネットワークに接続されるホストの数が少ないうちホストがもつデータベースを更新しなければなりませんではこのガ去しかなく、ホスト情報に変更があった場合は全 UNIX マシンでネットワーク竟を構築し始めた当初します 2 。では、 /etc/hosts というファイルがデータベースに相当れたホストすべてがデータベースをもつ去です。 UNIX ローカル管理は図 1 ー a のように、ネットワークに接続さ図 1 ホスト情報データベースの里 ( a ) ローカル管理ホスト情報データベースロホスト情報データベース ( b ) リモート管理サーバーロアータベース問合せ応答クライアントロホスト情報データベースデータベースロロクライアントクライアントますが、スレープはマスターがもつオリジナルデータのコピーをもっているサーバーであり、マスターか利用できないときの代替サーーとして機能します。 NIS を階層的な管理が - 可能なように拡張した NIS 十というシステムもあり、 SoIaris などてイ吏用されています。これに対し、 DNS は管理範囲ごとにサーバーを置き、その管理範川内の情報をデータベースて管理します。クライアントはつねに管理範囲内のサーバーに対して問合ををおこないますが、管理乖観月外のホストに関す引帯にを知りたい場合は、そのサーバーが別のサーバーに対して問い合わせて結果をクライアントに返します。いすれの場合も、サーバーのもっデータベースは管理者が手竹喋て財寺しなけれはなりません。しかし、データべースはサーバーて集中的に管理されているため、ローカル管理にくらべてイ 1 喋の負担はかなり軽減されます。さらに、 NIS や DNS ではホスト名と IP アドレス以外の情報を管理してクライアントに提供できます。たとえば、 NIS は前々回に紹介したパスワード情報やグループ情報をはしめとするさまざまな情報を扱うことができ、 DNS はそれぞれの管理範囲にあるメールサーバーなどの情報を提供す 111

3. UNIX MAGAZINE 1999年1月号

連載 / UN Ⅸの玉手箱ー① NIS UNIX MAGAZINE 1999 ユ覧ください。味のある方はオンライン・マニュアル gethostbyname(3) などをご 3 具ー勺には、 gethostbyname() などのライプラリ関数を指します。興して /etc/hosts 、 NIS 、 DNS のどれを利用するかといっこれに対し、 FreeBSD や BSD/OS では、情報源とありました 3 。のライプラリ関数を NIS 対応のものに入れ替える必要がドレスの変換に NIS を使うには、変換をおこなう c 言語てやらなければなりません。旧い OS でホスト名と IP アて NIS を利用するには、 NIS を使うことをマシンに教え IP アドレス ( あるいはその逆 ) を得るための情報源とし実際に他のホストにアクセスする際に、ホスト名からはおこなわれません。マンドを実行する際、ホスト名から IP アドレスへの変換はできますが、 telnet や rlogin などのネットワーク・コけの状態では、 NIS サーバーからの hosts マップの参照ただし、 NIS クライアントとしてセットアップしただ bash$ ロ 192.168.1.11 Ⅱ ullpc. f00 ・ co. jp nullpc fs bash$ ypmatch 192.160.1.11 hosts. byaddr 192 .168.1.15 somepc. f00 . co. jp somepc bash$ ypmatch somepc hosts 192.168.1.15 somepc . f00. co ・ jp somepc 192.168.1.11 nullpc. f00. co ・ jp nullpc fs 192 .168 . 1 . 10 mypc. f00. co. jp mypc bash$ ypcat hosts て特定のホス日辭長を検索することができます。 hosts マッフの一覧を表示したり、 ypmatch コマンド ypbind が正常に動いていれは、 ypcat コマンドでう名前で指定できるようになっています。のマッフです。 hosts. byname マッフは、、、 hosts" といで、後者は IP アドレスをキーとしてホスト名を得るためスト名をキーとして IP アドレスを検索するためのマッフ hosts. byaddr というマッフ。で管理されます。前者はホ NIS サーバーでは、ホスト情報は hosts ・ byname とば、 NIS サーバーからホスト情報を得ることができます。 NIS ドメイン名を設疋して ypbind デーモンを起動すれた。あるホストを NIS クライアントとして利用する場合、いては、連載の第 5 回 ( 1998 年 11 月号 ) で紹介しまし NIS の概要と NIS クライアントのセットアップにつたことや、複数の情報源を併用する場合の優回立を設定ファイルて指定できるようになっています。具ー勺な設定ガ去については DNS のあとに紹介するので、 NIS のホスト情報を利用する場合はそちらを参照し、適切に設定してください。なお、 FreeBSD マシンを NIS サーバーとして設定する方法については、次回で詳しく紹介する予定です。 BSD/OS には、残念ながら NIS サーバーに必要なデーモン・プログラム (ypserv) などが付属していません。 DNS DNS は連載の第 3 回 ( 1998 年 8 月号 ) でも触れたように、ホスト情報をインターネット全体で分散管理することを目指し、米国のインターネットの前身である ARPA- NET で開発されたシステムです。 DNS 自体はサーーの構成や間伶をなどのプロトコルを定めた、、仕様 " であり、 RFC1034 や RFC1035 などで規定されています。 DNS の仕様にもとづき、カリフォルニア大学バークレイ校が実装したサーバーなどのプログラム群が BIND (Berkeley lnternet Name Domain) と呼はれるノヾッケージで、 BSD 系の UNIX のみならす、多くの UNIX で使われています。 DNS の仕組みやプロトコルの詳細については本誌の「 UNIX Communication Notes - ー BIND による名則管理 ( 1 ) ~ ( 5 ) 」 [ 1 ] 、サーバーのセットアッブガ去については「 UNIX 知恵袋ーネームサーバなどを参照していただくとして、ある DNS サーバーが管理するネットワークの範囲はゾーン (zone) と呼はれます。ゾーンは DNS サーバーカ嘱するドメインに対応する場合もありますし、そのドメインに加えて ( 複数の ) 下位ドメインも含む場合もあります。こでいうドメインとは、 FQDN のドメイン名が示すドメインと同しで、 UNIX のファイルシステムのようにツリー状の階層構造をもちます。ツリーの項点は、、ルートドメイン " と呼ばれ、ルートドメインの直ードは国などを表すドメインて構成されます。たとえば、日本であれば、、 jp " 、英国であれば、、 uk" などとなっています。国を表すドメインの下は系の不鶤頁や地域を表すドメインて構成され、 jp ドメイン ( 日本 ) の場合、企業を表す 113

4. UNIX MAGAZINE 1999年1月号

図 4 パスワードの計算方法チャレンジ生のパスワード図 5 暗・・ヒしたパスワードでの計算方法生のパスワード UNIX MAGAZINE 1999 ユンを試みると、チャレンジの文字列カ甘是示されます。そのドか分かってしまえは、ログインできるからです。ログイワード・ファイルに保存されている暗号化されたパスワードを送ってログインする方式と同し間題カ吽します。パスしかし、このガ去も万全ではなく、暗号化したパスワーク上を流れるデータもそのつど変更できます。暗号化したパスワードだけで検査できますし、ネットワーうすれは、そのとき送り出したチャレンジと保存してあるれにチャレンジを付け加えて再度暗号化します ( 図 5 ) 。得ます。このとき、生のパスワードを暗号化し、さらにそただし、ログイン時にもチャレンジを送出し、その回答を化し、これをシステムで保存するところまでは同じです。すこし工夫してみましよう。パスワードをいったん暗号パスワードには限りがあります。化し、それらをすべて保存しておくとしても、保存できるきません。さまざまな提示用の文字列と組み合わせて暗号てから暙号化すると、保存しておいたパスワードと上交でされています。生のパスワードとほかのものを組み合わせはログインできないように暗号化されたパスワードか保存ように、システム上では、万ヨ辭長か漏れてもそれだけでていてもパスワードの検査ができないのです。前回書いたこの方式では、言 1 ・算機」「 . に暗号化したパスワードを保存し作る方式 ( 図 4 ) では、新たな間題が生してしまいます。と生のパスワードを連結してから暙号化したパスワードを必です。たとえば、チャレンジとして提示された文字列ただし、このガ去を用いたパスワードの作成には注意が報をそのつど変更できます。に提小する文字列を変えれは、ネットワーク上を流れる情プログラミング・テクニック文字列と保存してある暙号化したパスワードとを合わせてさらに暗号化すれは、通信用のパスワードができあがります。これでは、パスワードを使う意味がありません。 S/Key ネットワーク上を流れる情報を盗んで不正にログインでき化の回数が 1 回少ない情報になります ) 。これによって、使った情報は、その次のログイン時には使えません ( 暗号るのははは不可能です。また、いったんパスワードとして存されているパスワードを利用して、その直前の報を得ータを推測するのがきわめて困難です。したがって、保ワードの暗号化の場合と同様、暗号化した結果から元のデこて利用している暗号化方式では、前回紹介したパスという牛を満たしています。て、保存してあるパスワードを用いたログインはできないす。このように暗号化する回数を減らしていくことによっされているので、 98 回暗号化した情報を送ってもらいま次にログインするときは、 99 回暗号化したものか保存回暗号化したものになります。られませんが、ユーザーが送ってきた情報がちょうど 99 段階では、言 - 算機に生のパスワードはないので算では得除し、代わりに 99 回暗号化したものを保存します。このンに成功したら、 100 回暗号化したものを保存場所から削重要なのはこの次です。パスワードの検査カ鮗り口グイ回暗号化したものと同しになるはすです。回と 1 回の暙号化ですから、最糸勺には保存してある 100 号化し、それを保存してあるパスワードと上交します。 99 します。言 - 算機では、送信された情報をさらにもう 1 回暗ンジを確認し、パスワードを 99 回暙号化したものを送信この場合は 99 です。ューサーは、この 99 というチャレの暗号化の回数から 1 を引いた回数を示します。つまり、グイン時のチャレンジとしては、保存してあるパスワードスワードを 100 回暗号化したものを保存しておきます。ロす。たとえは、最初に 100 回と決めたとすると、生のパこのシステムで重要なのは、暗号化を何回おこなうかで能という複雑な条負 : を満たしているシステムです。ク上を流れるデータを使っても次回以降のログインは不可さらにその情報を知ってもログインはできす、ネットワー S/Key は、システムには暗号化したものだけを保存し、 61

5. UNIX MAGAZINE 1999年1月号

null ホスト情報の管理とアクセス制御前回は、ネットワーク上でホストを識別するための仕組みと、あるホストから送られるデータ ()P バケット ) がどのようにして相手ホストまて届くかについて説明しました。さらに、 FreeBSD や BSD/OS での具イ勺な設定方法を紹介しましたが、これらの設定はローカルホスト自身に関するものです。人間の世界になぞらえると、自分の名前 ( ホスト名 ) と電話番号 ()P アドレス ) が明らかになったようなものです。しかし、電話をかけるには、相手の電話番号を正しく把握していなけれはなりません。番号を知らなけれは電話をかけられませんし、番号を間違うと「おかけになった電話番号は現在使われておりません」と冷たくあしらわれたり、「どこにかけとんしや、ポケ ! 」と怒鳴られたりします。現実の世界では、イ万録に名前や電話番号などを言当求しておき、必要なときにそれを見て名前から電話番号を確かめます。同しことが、コンピュータ・ネットワークの世界についてもいえます。前回お話ししたように、 IP バケットを送るためには相手ホストの IP アドレスが必要です。しかしはとんどの場合、ユーザーが telnet や rlogin などのネットワーク・コマンドを実行する際、コマンドの引数として指定するのは相手のホスト名です。したがって、相手のホスト名と IP アドレスを対応つ、ける、、住所録 " のような仕組みか必要となります。そこで今回は、ホスト情報 ( ホスト名と IP アドレス ) を管理するための仕組みを紹介します。ホスト情報の管理ガ去はいくつかありますが、これらについて簡単に触れたあと、実際の設定去を説明します。また、ホストをネットワークに接続して利用する場合、あるホストカ甘是供するサービスや、サービスを利用できるホストを限定したいことがあります。厳密なアクセス制 110 御では、暗号を用いた認証のような特別な機構が必要ですが、こでは相手ホストのホスト名や IP アドレスをべースとした、単純なアクセス制御の去と設定も紹介します。ホスト情報の管理前回説明したように、ホスト名はドメイン名と組み合わせる (FQDN) ことにより、ネットワークに接続されたホストを一意に特定できます。一方、 IP アドレスは ( サプネットも含む ) ネットワーク番号とホスト番号から構成さ両者を用いてネットワーク上のホストを一意に特定します。 IP アドレスとホスト名 (FQDN) は独立した概念なので、そのままではホスト名から IP アドレス ( あるいはその逆 ) を知ることはできません。これらを対応づけるには、、、イ形のような対応表が必要になります。、、ホスト情報の管理 " とは、対応表であるデータベースを正しく管理することを意味します。ネットワークに対して新たなホストを接続する場合は、データベースに新しいェントリ ( ホスト名と IP アドレスの繝を追加しなけれはなりませんし、ホスト名あるいは IP アドレスを変更したり、ホストをネットワークから外す場合 1 にも、エントリの変更や削除などの作業が必要です。前回は IP バケットを相手に送り届けるための仕組み ( 糸響翻のを紹介しましたが、いくら糸響各制御の設定が正しくても、このデータベースカ墹違っていれは正しい相手と通信できません。したがって、ホスト名と IP アドレ 1 嵂章やメンテナンスなどで一印判勺にネットワークに孑Æできない場合を除きます。 UNIX MAGAZINE 1999.1

6. UNIX MAGAZINE 1999年1月号

連載 / UN Ⅸの玉手箱ー① 図 2 DNS によるホスト情報の CO. jp ドメイン DNS サーバー応答・、ホスト情報の問合せ応答 DNS サーバー ascii. CO. jp ドメイン DNS サーバー・ . の問合せ ' ロ DNS サーバー応答クライアント f00. co.jp ドメインホスト情報の問合せ、、 c 。 " ドメイン、大学などを表す、、 ac" ドメインなどがあります 4 。これらのドメインの下は、個々の系辟を表すドメインて構成されます 5 。たとえは、アスキーという会社 ( 組織 ) には、、 ascii ・ co ・ jp というドメインか割り当てられており、「日本の企業であるアスキーという糸目系であることを表します。大雑把にいうと、 DNS では、これらのドメインごとに DNS サーバーを置き、あるドメインの DNS サーバーはそのドメインに属するホストのホスト名と IP アドレスを管理します。さらに、 DNS サーバーは自分のドメインと茁妾関係する下位ドメインの DNS サーバーに関する情報ももっています。 DNS による検索の仕組みたとえは、図 2 のようなドメイン橢及を考えてみましょう。 co. jp ドメインの下に、 ascii. co. jP および f00. co ・ jP という 2 つのサブドメインがあります。こで、 foo. co. jp に属するホスト ( クライアント ) がホスト、、 swallows. ascii. co. jp" の IP アドレスを検索する場合、大まかな手順は以下のようになります。 1. クライアントは自分のドメイン、、 foo. co. jp" の DNS サーに対し、、、 swallows. ascii. co. jp というホストの IP アドレスを間い合わせる。 4 jp ドメインの下にどのようなサブドメインがあるかについては、日本のドメインの割当てをおこなっている JPNIC のホームページ (http:// www.nic ・ ad ・ jp/) などをこ貰ください。 5 規模の大きな糸目織であれば、さらにその下にサブドメインを作ることかで 114 きます。 2. f00. co. jp の DNS サーバーは、間・作の対象となるホスト名から ascii. co ・ jp というドメイン名を得る。このドメインは自分のドメインとは異なり、しかも自分の下位ドメインでもないので、ルートドメインの DNS サーーに対して「 ascii. co ・ jp ドメインの DNS サーノヾは誰か」という問合迂をおこなう。ルートドメインは卞位に jp ドメインをもつので、 jp ドメインの DNS サーーに同様の間合をおこなう。 3.2 の間合をルートから下位ドメインの方向へ再帰的に繰り返し、やがて co. jp ドメインの DNS サーバーにたどり着く。 co. jp ドメインは ascii. co. jp を下位ドメインにもっため、 ascii. co. jp の DNS サーバーか半」明する。 4. foo. co. jp の DNS サーノヾーは、 ascii. co. jP の DNS サーノヾーに対し、、、 swallows. ascii. co. jp というホストの IP アドレスを間い合わせる。 5. ascii. co. jp の DNS サーノヾーは、自「分のデータベースを検索し、結果を foo. co. jp の DNS サーバーに返す。 6. foo. co. jp の DNS サーバーは、間・伶迂をおこなったクライアントに対して結果を返す。このように、クライアントは自分と同じドメインの DNS サーバーさえ知っていればよく、間合せに応じて DNS サーバーどうしが通信をおこなうことにより、インターネット上のホスト情報を入手できます。したがって、クライアントからは同しドメインの DNS サーバーが、インターネットに接続されたすべてのホスト情報を管理する巨大なデータベースをもっているようにみえます。なお、間合迂の結果は DNS サーバーにキャッシュされるため、キャッシュの有効期間内に同しホストに対する問合ぜが発生すると、キャッシュにある情幸肋ゞ利用されます。クライアントからの DNS の利用 DNS サーバーの設疋方法については参考文献をご覧いただくとして、クライアントとして DNS を利用したい場合は /etc/resolv. conf ファイルで設定をおこないます。 /etc/resolv. conf はテキスト形式ファイルで、空白またはタブで区切られたキーワードと値の組を 1 行に 1 っすっ書きます 6 。 FreeBSD と BSD/OS 、 Solaris の場合、 6 キーワードは行のな頁から書かなくてはなりません。また、、 # 年はコメントとみなされます。 UNIX MAGAZINE 1999.1

7. UNIX MAGAZINE 1999年1月号

連載 UN Ⅸの玉手箱ー① ることができます。このように書くと、リモート管理はいいことすくめの 112 にホスト名を指定すれば大丈夫です。正式なホスト名のあワークでドメイン名を付けすに運用している場合は、たんト名とは FQDN を意味しますが、プライベートなネットフ ) で区切って正式なホスト名を記します。正式なホス最初にホストの IP アドレスを書き、空白 ( あるいはタ IP アドレス正式なホスト名 [ 別名 ] [ 別名 ] 指定します ( 、、 # " 以降はコメントとみなされます ) 。レスの組を以下のようなフォーマットで 1 行に 1 組すっべースです。中身はテキスト形式で、ホスト名と IP アドスト名と IP アドレスの対応つ、けをおこなうためのデータ /etc/hosts はすべての UNIX マシンがもっており、ホ /etc/hosts ための設定を紹介します。して利用する際の設定と、これらを組み合わせて利用する NIS および DNS のそれぞれについて、クライアントと以降では、ローカルなデータベース (/etc/hosts) とネットワークの運用をとりあえすは続けられます。おけは、これらのサーバーか利用できなくなったときも、各クライアントのデータベース (/etc/hosts) に登録してトワーク内のファイルサーバーやメールサーバーなど ) をることができます。さらに、必要最小限の情報 ( 組織ネッは DNS サーバーに間い合わせるといったように使い分け NIS サーバーを利用し、そこで情幸ゞみつからないときにしたがって、細織ネットワーク内の清報を参照するには理することを目指したシステムです。ノヾ一群がインターネット本のホスト情報をうまく分散管バーが他のサーバーと協調することにより、これらのサーテムです。一方の DNS は、各管理範囲に設けられたサー囲でさまざまな情報を集中管理するために考案されたシス NIS はもともと、系内ネットワークなど限られた範ー引勺です。それぞオしの特徴を活かすように組み合わせて利用するのがしたがって、これらのガ去は排他的に使うのではなく、でダウンしてしまうと情報か得られなくなります。め、 ( イサーバーも含めて ) サーバーがなんらかの理由クライアントは情報を管理するサーバーに依存しているたようにみえますが、問題もあります。リモート管理では、とには、複数の別名 (alias) を指定できます。正式なホスト名として FQDN を指定した場合は、 1 番目の別名としてホスト名を与えるのが一搬的です。 /etc/hosts の例を以下に示します。 127 . 0 . 0 . 1 localhost 192 .168.1.10 mypc. f00. co ・ JP mypc 192.168.1.11 nullpc . f00. co ・ jp nullpc fs 192.168.1.15 somepc . f00. co. jp somepc 最初の行にある、、 127.0.0.1 " という IP アドレスには、、、 localhost" というホスト名か割り当てられています。れは自分自身を示す IP アドレスで、マシン内のプロセスどうしがネットワーク通信をおこなう際に利用されます。 FreeBSD や BSD/OS も含め、ほとんどの UNIX マシンでは最初からこのエントリか定義されています。こでは 2 行目以降カ噺たに追加したエントリで、たとえは 3 行目は、、 192.168.1.10 " という IP アドレスに対して、、 mypc. foo ・ co. jp' という FQDN を割り当て、さらに mypc " という別名を割り当てています。ューザーが telnet などのコマンドの引数に、、 mypc" をえた場合、マシンは /etc/hosts を最初の行から順に検索し、マッチした行の IP アドレス ( ここでは 192.168.1. 10 ) を使ってアクセスをおこないます。正式なホスト名として FQDN (mypc. foo ・ co. (p) を指定した場合、ホスト名を別名として登録しておかないと、ホスト名のみ (my- (c) をコマンドの引数として与・えても検索は失敗することに注意してください。さらに、 4 行目の nullpc には、、 fs " という別名か設定してあります。 nu Ⅱ pc がファイルサーバーであるとすると、このような別名を各ホストの /etc/hosts に設疋しておけば、 fs (file server) というホスト名でファイルサーバーにアクセスでき、提供しているサービスをホスト名から連想しやすくなる利点があります。大規模な糸では、 NIS や DNS を使えることが多いので、 /etc/hosts は OS をインストールしたときのままで運用できるケースも多いようです。しかし、 NIS や DNS が一一日判勺に使えなくなるような事態に備え、メールサーーやファイルサーバーといった重要なホストをはしめ、頻繁に通信をおこなうホストは /etc/hosts に登録しておくといいでしよう。ただし、情報に変更があった場合は速やかに /etc/hosts に反映させるのをお忘れなく。 UNIX MAGAZINE 1999.1

8. UNIX MAGAZINE 1999年1月号

とがよくありますが、そのような場合に UNIX パスワードでログインできるようにする言立です。 2 行目は、プライベート IP アドレスを利用している糸内ネットワークからの UNIX パスワードによるログインを許可するという設定です。繼内ネットワークではバケットの覗き見がおこなわれないことか確実なら、このような設定をしてもよいでしよう。 3 行目は deny だけで、条件は付いていません。つまり、上の 2 つの条件に一致しなかった場合にはこの行にーー・致するため、 UNIX パスワードの使用は許可されません。ただし、ファイル本を参照して一致するエントリがなければ、デフォルトで UNIX'S スワードの使用は許されないので、最後の deny のみの行はなくても同し効果が得られます。 skey. access ファイルでは、次のような条件が設定できます。 hostname ホスト名 UNIX MAGAZINE 1999.1 きたとおり、遠隔からの UNIX パスワードによるログイう状態になってしまいます。もちろん、これまでに述べてのユーザーにはなぜログインできないのか分からないといインが許可されていないので当然といえば当然ですが、当してもログインはできません。 UNIX パスワードでのログふだんととくに変わりませんが、正しいパスワードを入力使っていないユーザーがログインしようとすると、画面はンしなけれはならない旨が示されます。一方、 S/Key を S/Key のユーサーに対しては、 S/Key を用いてログイ UNIX パスワードでのログインが許可されない場合、言殳定か適用されます。きます。この場合は、すべての条件に - ー - ・致すれはその行の空白で区切って 1 行に複数の条件を列挙することもで指定したグルーフ。のユーサーとしてのログイン group クループ名指定したユーサーとしてのログイン user ユーサー名指定したポートからのログイン port ポート名指定した IP アドレスからのログイン internet アドレスマスク指定したホストからのログインプログラミング・テクニックンは許さないほうが安全ですが、許可しないという方針にするのなら、ユーザーか途方に暮れないように教育しておく必要があるでしよう。 6 つの単語パスワードの話に戻りましよう。 key コマンドを使ってパスワードを計算すると、・算結果として 6 つの英単語が出力されます。これは、どのような未がこめられているのでしようか。それを知るには、やはりソースコードを見るのが一番です。 S/Key 用のライプラリである libskey のソースコードを見てみましよう。このなかに put. c というファイルがあります。このファイルを見れば、これらの英単語の意味は一目瞭然です。 / * Dictionary fo て integer—word translations * / static char Wp [ 2048 ] [ 4 ] "ABE" "ACE" A から YOU までの 3 文字以下の単語が 571 個、 ABED から YOKE までの 4 文字の単語が 1 , 477 個、合言 2 048 個の単語が並んでいます。この 2 , 048 という切りのよい数字は、 11 ビットで表現できます。つまり、 11 ピットの情報を表現するのに、この 2 , 048 の単言韶 ) うちの 1 つを利用しているのです。このように、言 1 算したパスワードを発音しやすい単語を使って表現することで、暗号化したパスワードにありがちな、、無層乞燥で意味が分からす、発音もしづらい " という問題を鮹肖しています。さて、 11 ビットの情報をもっ単語を 6 つ並べるのですから、全体では 66 ピットの情報をもっことになります。実際に重要なのは 64 ビットの情報で、残りの 2 ピットは "YES" " YET " "YOU" "ABED" "ABEL" "ABET" "YELL" "YOGA" "YOKE" パリテイピットとして利用されています。 65

9. UNIX MAGAZINE 1999年1月号

RFC2441 の「まとめ」の章を以下に示す。・ Jon はインターネットにおける記慮であり、分別であーー 0 ・ Jon はインターネット標準を定めるための規約を整え仕事をした。・ 16 年間にわたり、隣り合ったオフィスで一 - に多くの働く人びとに対して献身的だった。だった。自分の仕事とインターネット、そしてともにやめつけや冒険心、ユーモアとヌ 0 置いにあふれる人柄・ J 。 11 は陽気で愉快な、そして思いやりのある人物で、ちカレンダー / スケジュール関連で公開している。参照していただきたい。 http://www.nui.org/yuo/rfc2441.html 全訳は、・ Jon は親友で、私は彼のことをすっと忘れないだろっ・ Jon はインターネットの伝 j 市だった。・ Jon は権威だったが仙勺ではなかった。り、スタイルであった。 UNIX MAGAZINE 1999 ユれは、以前研究されていた vCalendar イ兼から派生したすることを目的として、 iCaIendar カ甘是案されている。法を共通化し、インターネットを介して交換できるようにそこで、スケジュール里の情報表現方法およひ交換手か局い。の人間でも複数のソフトウェア間で、帯にを共有する必要ールは複数の人間のあいだで共有されることが多く、同一や企業内情報システムなど ) か利用されている。スケジュ現在、さまざまなスケジュール里ソフトウェア (PIM る。 1998 年 11 月に公開された。の状態は、、標準化への提唱 (Proposed Standard)" であクト用の MIME メディアタイプを定義している。現在るための標準として提案されている iCaIendar オプジェインターネットを介してスケジューリンク 3 青報を交換す PS. 、 F. Dawson 他ューリンのコアオプジェクト仕様 iCalendar ( インターネットを利用した予定却乍成 / スケジ Object Specification (iCalendar) RFC2445 lnternet Calendaring and Scheduling Core RFC ダイジェストー・ 161 んらかのトランサクションに関する処理を扱う。スケジュール・オプジェクトの送信、その結果多を信するなルで、スケジュールに関係する複数の対象への iCalendar iTIP はテキスト形式のメッセージを利用したプロトコ補完する仕様である iTIP を定義している。ル管理 " をおこなうためのオプジェクトおよびメソッドをケジューリング・ソフトウェア間で、、グループ・スケジュー RFC2446 では℃ alendar イ兼に対して、現存するス、、標準化への提唱 " である。 1998 年 11 月に公開された。情報を交換するための力法を定義している。現在の状態はスケジューリング・ソフトウェア間でスケジューリング PS. 、 S. Silverberg 他 / 日記工ントリ i 羽 P のスケジューリング・イベント / 予斉寺間 / T 。 D 。 Time, To-dos and 」 ourn 引 Entries erability Protocol (iTlP) Scheduling Events, Busy- RFC2446 iCalendar Transport-lndependent lnterop- ABNF による構文か規定されている。各 MIME タイプ定義では、この機能の実装者向けにといった要求がおこなえる。「この仕事を ToDo リストに登録して」「このイベントを予定表に書いておいて」「空いている時間はイ唖寺か ? 」カ漣用プロトコル ) を利用することで、 ability Protocol : iCalendar 用トランスポート非依存相 iTIP (iCalendar Transport-Independent lnteroper- プジェクト・メソッドと、 RFC2446 で定義されているプジェクト・メソッド群も定義している。 iCalendar オなど ) メッセージをマッピングするための iCalendar オ合およひ齣束の予定、 ToDo などの追加・更新・取消しこれらの MIME タイプにスケジューリング操作 ( 会ざまな要素とスケジュール情報を交換することかできる。て、電子メールなどのトランスポート手段を用いて、さまンツタイプ / メディアタイプを定義している。これによっオプジェクトを表現したり交換するための MIME コンテ RFC2445 は、 iCaIendar で利用されるスケジュール・と呼称されている。ものであるが、 vCaIendar と区別するために iCaIendar

10. UNIX MAGAZINE 1999年1月号

ます。 memcpy(cp, c,8); / * compute parity * / for (p = 0 , i = 0 ; i く 64 ; p + = extract(cp, cp [ 8 ] (char)p くく 6 ; 図 8 extract 関数の動作 i = 18 , 2 10W = 571 ; ext ract 1 0 1 0 1 0 1 1 1 0 0 1 0 0 1 0 1 1 1 0 1 1 11 0 11 0 0 0 0 ・・ extract 3 同し put. c の btoe 関数には、次のような部分があり return ー 1 ; if ( 1 く 4 ) { 1 1 , 2 ) ; 1 ow high high 0 ; 570 ; 2047 ; この部分までに、 c からの 8 バイトの 64 ビットに情報かオ内されています。ます、 memcpy で 8 バイトぶんをコピーしたあと、 for ループのなかで extract 関数を使って 2 ビットずっ切り出し、それをすべて加えます。そして、最終的に得た答を 6 ビット左にシフトすることで糸士、ロ果として下 2 ビットのみを有効にして 64 ビットの↑帯にとつなげています ( 図 8 ) 。このビット情報から英単語の列を作るガ去は簡単で、 strncat(engout ,&WpCextract(cp, 0 , 11 ) ] [ 0 ] , 4 ) ; strcat (engout , strncat(engout,&Wp[extract(cp, 11 , 11 ) ] [ 0 ] , 4 ) ; のようにして extract でビットを取り出し、そのビットに対応する値の単語を叫吉していくだけです。これとは逆に、入力された英単語の列からビット値を得るガ去も紹介しておきましよう。 1998 年 3 月号で、二分探索 (binary search) を紹介しました。情報が順番に並んでいる場合、そのなかからある情報を探し出すには、ます真ん中を探し、それよりもどちら側かを調べながら処理を繰り返していく去です。 libskey でも同様な処理をしています。まず、 put. c の etob で各単語ごとの値を求めます。その際、単語の文字数か規定の範囲内であることを石忍します。さらに、 3 文字以内の単語なら 0 ~ 570 に、 4 文字の単語なら 571 ~ 2 , 047 にあるはすですから、探索範囲を指定して探索を開始します。 strlen(word) ; 1 if(l > 4 Ⅱ 1 く 1 ) { 66 実際の探索処理は wsrch 関数でおこないます。ここで UNIX MAGAZINE 1999.1 に操作します。イトの unsigned long の配列である results を次のよう crunch 関数でおこなわれます。処理自体は簡単で、 4 バットの値に変換します。この処理は、 skeysubr. c の key- によって 128 ピットの値に変換さこれをさらに 64 ビす。入力として与えられたデータは、 MD4 アルゴリズム S/Key では、 MD4 を用いて暗号化をおこなっていま MD5 のはうか頑丈です。ると、 MD4 は計算か若干高速ですか : 暙判勺にみると D4 や MD5 などがあります。 MD4 と MD5 を上交すわめて難しいといった点にあります。有名なものとして、決められた値となるようにメッセージを変史することがきつの異なるメッセージの言算結果を同し値とすることや、の値を引算するものです。このアルゴリズムの特徴は、 2 トとは、任意の長さのメッセージに対して決められた長さアルゴリズムカ硬われています。メッセージ・ダイジェスにはメッセージ・ダイジェスト (Message Digest) というこまで、たんに、、暗号化 " と書いてきましたが、実際 MD4 と MD5 にパスしたところでイ直を返します。実際のパリティと等しいかをヾます。そして、この検査められ、そのうちの 64 ビットぶんのパリティを引算してこのようにして得られたビット値は 66 ピットぶんまと配列の何番目に位置するのかを調べます。は、二分探索のアルゴリズムを用いて、目的の単語が単語