クライアント - みる会図書館


検索対象: UNIX MAGAZINE 2003年8月号
34件見つかりました。

1. UNIX MAGAZINE 2003年8月号

特集 LDAP でネームサービス ーム 2 表 1 ldapclient のサプコマンド サプコマンド init m anual mod list タ里内容 デフォルトのパラメータを用いてネ月化作業をおこなう パラメータを指定して匆月化作業をおこなう 既存の言立を変更する キャッシュしたプロファイルの内容を含む現在の設定内容を表小する genprofile 現在の言立内容をプロファイルとしてサーバーに保存するための LDIF ファイル ( 彳あに保存する uninit ノヾックアップから設定をリストアし、 LDAP クライアントとしての設定を取り消す ( ⅲ it 前の状態に戻す ) 表 2 ⅲ it サプコマンドのおもなパラメータ ・ ou=profile —a proxyPassword=?Ä0 スワード —a proxyDN= フロキシー・ユーサー名 —a domainName= ドメイン名 —a proxyName= フロファイノレ名 / くラメータ 意味 サーバー構成時に default ( デフォルト仙以タ P ) プロファイル名を指定した場合は、 その名前を指定 クライアントか所属するドメイン (DNS ドメインではなく、ネームサービスのドメイ ン ) を指定 クライアントがバインドするユーザー名 ( プロキシー・ユーサー名 ) を DN て指定 ( サ プロキシー・ユーサーのパスワードを孑日疋 ( 接尾子 ) " ) ー構成時にデフォルト値を使用していれば、 cn=proxyagent,ou=profile, ・ これは、クライアントか使用するフロファイル清報を格 ・ cn=default, ou=profile ・ユーサーの名前とパスワードをイ寺する。 Person オプジェクト・クラスのエントリで、プロキ ・ cn=proxyagent, ou=profile 納するためのコンテナである。 44 /usr/sbin/ldapclient ビスでクライアントになるために必要な設定作業は、 とりかかる。サーバーの場合と同様に、 LDAP ネームサー サーバー側の準備か整ったら、クライアント側の設定に クライアント側の設定 できる。 ・ proxyagent は、 userPassword 属性を翫み出すことが 変更できない。 各ューサーは、自分の UID やホーム・ディレクトリは アクセス制行子 ) が追加されている。 みると、次のような ACI (Access Control lnstruction: また、ルートエントリ ( 例では dc=nspl, dc.com/ を 持する。 で、構成時に指定したクライアント・フロファイルを保 DUAConfigProfiIe オプジェクト・クラスのエントリ というスクリプトを用いておこなう。 このスクリフトの引数としてサプコマンドを指定し、 まざまな処理を実行していく俵 1 ) 。 init サプコマンドによる初期化作業では、既存のネ さ サービスに関する設定をバックアッフし、 LDAP クライ アントとして必要になる次の処理をおこなう。なんらかの 不具合が生じた場合は、 uninit サプコマンドでバックアッ プから設疋内容を彳第こす川まよい。 ・ ldap-cachemgr の成正ファイルを用意する。 /etc/nsswitch. conf ファイルを、 LDAP を使用する ように変更する。 ・ネームサービスに依存するサービス (sendmail 、オー トマウンタ、 nscd など ) を再起動する。 ⅲ it サプコマンドには、表 2 のパラメータを指定し、最 後にフロファイルをオ内している LDAP サーノヾーの IP アドレスを指定する。 指定したパラメータは、クライアントの / var / ldap ディ レクトリにファイルとして保存される。 実イ列は以下のようになる。後半では、 list サプコマン ドを用いて設定を石忍している ( 。 u などの属生名では、大 文字・小文字は区別されない ) 。 root@blade$ ldapclient init —a domainname=nspl ・ com —a 'proxyDN=cn=proxyagent , ou=profile , dc=nsp l.dc.com/ —a proxyPassword=Idappass 192 .168 . 29. 83 UNIX MAGAZINE 2003.8

2. UNIX MAGAZINE 2003年8月号

2 ーネームサービスの設定、 L ロ AP サーバ - の応用 LDAP でネームサービス ムロ 宏 原 長 ス側 サ ムサ ネ AJ 1 図 則回は、 LDAP (Lightweight Directory Access Protocol) の概要、 Solaris 9 から標準で使えるようにな った iDS (iPIanet Directory Server) のセットアッフ、 そしてディレクトリ・サーバーの構成について述べた。 今回は、 LDAP をネームサーピスとして利用するため の具イ勺な手順を説明する。また、クライアントがひろく 普及している、、アドレス帳 " を例に、 LDAP アフリケー ションか利用する個人情報とアカウント情報を統合して扱 うガ去も紹介する。 SoIaris で LDAP をネームサーピスに利用する場合に は、各クライアントごとに ldap-cachemgr デーモンか起 動され、以下の処理をおこなう ( 図 1 ) 。 1. 成疋ファイルを読み込み、そこて指定された LDAP サ ーバーにバインド ( 接続 ) する。 2. LDAP サーバーから、以降の動作を調整するフロファ イノレを言冗み込む。 3. すべてのアプリケーションからの要求をネームサービ ス・スイッチ経由で受け取り、所定のパラメータを用 いて LDAP サーバーにアクセスしてその要求を解決 する。 4. LDAP サーバーから得た情報を必要に応してキャッシ ュし、パフォーマンスを向上させる。 このように、 NIS における ypbind デーモンとはは 1 司 じ働きを LDAP サーバーに対しておこなうのが ldap- cachemgr デーモンである。 さて、 LDAP カ甘是供するディレクトリ・サーヒ、スをネー LDAP サーバー プロキシー ( 代理人 ) としてバインド dc=nspl, dc.com ou=PeopIe ou=HOStS ou=Groups ん 4 = ou=Aliases 所定のディレクトリ構造 ( コンテナ工ントリ、属性・ LDAP によるネームサービス OLl=Services ldap—cachemgr ネームサービス・スイッチ クライアント側 ムサービスとして使用する場合には、各クライアントがデ ィレクトリの利用力法を知っている必要がある。たとえは、 LDAP サーバーから /etc/passwd ファイルと同じユー 38 UNIX MAGAZINE 2003.8

3. UNIX MAGAZINE 2003年8月号

特集 表 3 LDAP サーパー / クライアントて使うプログラム LDAP でネームサービス プログラム名 directoryserver 2 ノヾ /usr/lib/ldap/idsconfig ldapclient usr/lib/ldap/ldap-cachemgr 機能 LDAP をネームサーヒ、スとして使用するクライアントを構成する iPlanet Directory Server をネームサーヒ、スに使用できるように十冓成する の起動などをおこなう iPIanet Directory Server のネ刀其冓成やアンインストール、チューニン久管理サー ldap addent ldaplist ldapadd ldapmodify ldapmodrdn ldapsearch 図 11 ツリーの言列 ou=Sales cn = 営業太郎 LDAP をネームサーピスとして使用するクライアントにおいて、プロキシーとして LDAP サーバーとの通信を司る LDAP をネームサーヒ、スとして使用するクライアントから、 UNIX の標準データベースを LDAP サーノヾーにオ内する LDAP をネームサーピスとして使用するクライアントにおいて、 LDAP サーバーにイ内さ れたデータベースを表示する LDIF 形式のデータファイルを読み込んで、 LDAP サーバーにオ褓内する LDIF 形式のデータファイルを読み込んで、 LDAP サーバーのデータを追加・変更・削除 する LDAP サーバーロ褓内されているオプジェクトの DN を変更する LDAP サーバーから指定された条件を満たす情報を取り出す (dc=nspl, dc.com ルート ou=PeopIe ou=Development cn= 開発花子 ou=g roup ou=PhoneBook 付属する、、アドレス帳 " である。 Netscape Communica- tor にも付属するし、 Windows のアドレス帳アプリケー ションも LDAP をサポートしている。そこで、社員情報 と、多くの社員か接する可能性のある系トの人間 ( 取引 先や顧客 ) をアドレス帳から検索できるように LDAP に 登録してみる。 ディレクトリ ( ゴ褓内するツリーの言妬 t 方針はサイトによ ってさまざまであり、これがよいといえるものはない。以 下では、一イ列として ou=PeopIe の下に次のような組織単 位 (ou) を作成し、そこに人間に関する情報を分類して格 納していく ( 図 (1) 。 =PhoneBook : 社員ではないが、アドレス帳に載せ =Development : 開結にに属する社員 ・ ou=Sales : 営業部に属する社員 ・ OII ・ OtI UNIX MAGAZINE 2003.8 ou=hosts ou=SysAccount uid=sys たい人物や糸目織陬引先や顧客 ) ・ ou=sysAccount : 実在しない人物 (daernon や sys な どのシステム・アカウント ) ご覧のように簡単なものだが、数レベルの階層にユーサ ーを分類するなど、実状に合わせて拡張することも簡単な はすである。 もちろん、組織外の人間 (ou=PhoneBook に格納さ れる情幸は、システムにアカウントをもっていない。こ こでのポイントは、そのシステムでのアカウントの有無に かかわらす、、人間 " を統 -- - ・的に扱うことである。 管理コンソールによるテータの追加・編集 最初に、 ldapaddent コマンドによってシステムに登金求 したアカウントを、その人物の所属先に応したサブツリー 49

4. UNIX MAGAZINE 2003年8月号

ワークステーションのおと 「 PPPo 日こよる擎末型プロバイダ PPO レ時接登を 0 - ne リの「 NAT 」を正します。 を一第い引第一 続設定 4PPPoE による端末型プロバイダ接続つ NAT 画面 1 RTVvT65b での青勺 IP の設定 静的 IP マスカレード 0 イルタの自動定義 0 番 ~ 80 番です ) ・設定する増コま、定入力淋タンを第ノてくだし 2 PuTTY でのポートフォワードの言聢 プロトコル tCP tcp ま 00 DMZ* スト 22 58 部 0 使用ホスト炉アドレス 102.16 ま 010 192-168010 192 」 68 愈 10 102 コ 69010 102.16 0.1 192.16801 Pu 設定 カテゴリ 0 : —セッション ロギング 三端末 三招続 ハグ ンネル 認証 三 SSH Rlogin Telnet Proxy 色 変換 る舞い 三ウインドウ ベル キーポード SH トンネリングを管理するオプション ー X11 フォワーディング ~ - - 回刈 1 フォワーディングを有こする 0 X ディスプレイの場所 ca 旧 ostO ボトフォワディング ロローカルボトは他のホストからの接続を受け入れる矼 ロリモートボートも同様 SSH v2 のみ ) アドレス プロトコルポートイ村ホスト IP アドレス 今回の設疋に里する部分は次のようになっています。 のように設定します。 ていき、、、勺 IP マスカレード " という項目で、画面 1 プロバイダの接続管理→登録の修正→ NAT と画面を開い 私が使っているヤマハの RTW65b では、接続設正→ する設定が必要です 9 。 は、自宅内のネットワークにある DHIS クライアントに するポート (UDP の 58800 ) へのアクセスがあった場合 れはなりません。つまり、ルータに対して DHIS か利用 DHIS ではそのサーバーからクライアントー妾続できなけ 部へはアクセスできないようになっています。ところが、 ています。 NAT では、外部 ( インターネット側 ) から内 ら NAT 経由でインターネットにアクセスできるようにし ところで、私は自宅ではルータを使い、複数のマシンか してコンパイルしたら、例 8 に従って設定するだけです。 laris にも対応しているので、ソースコードをダウンロード DHIS クライアントのインストールは簡単でした。 So- フォワドされたポート : [ 332 ss ヨ 22- xp : 芻 89 新しいフォワードされるボートを追加 削除 (B) 追加 0 源ポート・ 送り先 〇ローカル ( 〇リモート udp こで、 58800 192.168.0.10 、、 192.168.0.10 " が DHIS クライアントカカ く Ultra 5 の IP アドレスです。 SSH サーバーとクライアントの設定 DHIS サービスを使えは、自宅のネットワークをイン ターネット側から特定できる、つまり外部からアクセスで きるようになります。しかし、これだけではまだ設定が足 りません。利用するサーピスに対応したサーバーを動かす 必要があります。 8 http://www.portside.net/dhis/setup.htrnl 9 http://www.portside.net/dhis/DHIS-PSN-FAQ.html# NAT UNIX MAGAZINE 2003.8 今回は、外部ネットワーク経由でリモート・デスクトッ フ。接続を利用するのに、 SSH のポートフォワード機能を 使います。これは、 SSH で 2 台のマシンを結び、ある設 定をすると、 TCP や UDP のホートを用いてそのマシン 間で通信ができるようになるというものです。 当り前ですが、 SSH のサーバーとクライアントが必要 です。自宅にあるマシンをインターネット側から使うの で、自宅のサーノヾー (UItra 5/SoIaris 9 ) で SSH サー ーを、インターネット側にある Windows XP のマシ ンで SSH クライアントを動かします。 SoIaris 9 には標準 で OpenSSH が入っていますから、これを設疋して SSH サーバーにします。 Windows XP では PuTTY という SSH クライアントを使います。 OpenSSH と PuTTY の 基本的な使い方については、ちょうどよいことに、本言里 載の「 UNIX の道具箱」に書かれているので、こちらを 読んでいただくほうがよいでしよう。 SSH のポートフォワード機能は、基本的には SSH ク ライアント側で設定するだけです。今回は、 PuTTY で 設定します。リモート・デスクトッフ。接続を使うには、 PuTTY の接続設定の画面で接続→ SSH →トンネル と選び、画面 2 のように設定します。、、 L3389 ss-t22- xp : 3389 " がその設定です。リモート・デスクトップ接続 は TCP の 3389 番ホートを使うので、ローカルのマシン の 3389 番ホートを ss-t22-xp というマシンの 3389 番 ポートに飛ばす、という意味です。つまり、 PuTTY を ノ、 163

5. UNIX MAGAZINE 2003年8月号

USENIX Se ( 0 「 i ツ Symposi リ m のコンテンツのやりとりを当り障りのない通常の Web ト ランサクションとして覆い隠す。 次に、 Feamster は人びとカ剩避したいと考える本剱」の 不頁を挙げた。これには、規制の厳しい政府、企業のファ イアウォールなどが含まれる。基本的に、センサーにひっ かかる攻撃は 2 不頁ある。 1 つは、センサーが Web トラ フィックに不審なアクセスやトラフィックがないかを監視 する発見攻撃であり、もう 1 つは、特定の Web サイトへ のアクセスを阻止したり、回避ソフトウェアへのアクセス をプロックして、エンドボイント間のやりとりを阻む破壊 攻撃である。 Triangle Boy や Peekabooty など、関連 するシステムとそれらの脆リ引生がとりあげられた。 lnfranet の言気目標には、以下のものが含まれる。 1. クライアントによる拒否が可能 センサーはクライアントが lnfranet を通じて意図的に 情報をダウンロードしていることを確認できない。 2. クライアントによる糸的な拒否が・可能 Web 閲覧のパターンを無実のクライアントのものと区 別できない。 3. サーバーの隠蔽 センサーは検閲対象のコンテンツを提供するサーバーを 発見できす、そのためサーバーをプロックできない。 4. 通信の堅囓生 lnfranet チャネルは検閲対象のコンテンツのリクエス ト / 医を中断させるための検閲に耐えられる。 5. 適度な性能 ダウンストリームの通信では、本剱刈象のデータはイメ ージに埋め込まあとて共有鍵によってもとの状態に戻 される。ただし、ステガノグラフィはカバーイメージを ーリ用できないので好ましくない。絶えすイメージが変化 する Web カメラのはうがよい。アップストリームの通信 ( リクエストなど ) では、リクエスタが隠しメッセージを複 数のフラグメントに分割する。これらは変調関数によって 目に見える HTTP リクエストに変換される。マッヒング 関数には、秘密性と帯域皜の消費という言気上のトレード オフがあった。適度な性能を得るには、 Web トランサク ションが非対称型の帯域幅をもっていることを利用する。 そうすると、アッフストリーム帯域蝠がダウンストリーム 180 帯域幅よりもはるかに狭くなる。 プラウサのための信頼されるパス Zishuang (Eileen) Ye 、 Sean Smith ( ダートマス・カレッジ ) Ye はます、本当のクライアントはマシンではなく人間 のユーザーであると孑商した。だが、 Web プラウサとユー サー間の連絡は、クライアント / サーバー方式では無視さ れる構成要素である。しかし、人をあざむく、、素材 " を敵 か生成できるとすれは、、マシンが正しい結論を引き出すこ とを保証するだけでは不十分である。 Ye らの定義によれ ば、 Web スフーフィングとは、 Web 閲覧のセッション の実態を、知識のあるユーサーがい描く形式とは似ても 似つかないものにする悪質な行為である。 Ye らは、 1996 年におこなわれたフリンストン大学の Web スフーフィング実験を再現しようとしたが、 Web の 技術やプラウサのユーサー・インターフェイスか進化した ためにうまくいかなかった。そこで、 Ye らはユーサーと Web プラウサとのあいだのリンクが脆弱なことを実証し ようと考えて、独自の実験をおこなった。ます、 Web ス プーフィングを阻止するために、プラウサとユーサーとの あいだに信頼されるパスが作成された。プラウサはこの信 頼されるパスを通して、人か敵から仕掛けられた偽装や錯 覚を簡単に区別できる通切な信頼シグナルを伝達すること ができる。 信頼されるパスの特徴としては、セキュリティ関連の 情報を伝達する以外に、次のものが含まれる。すなわち、 包キ甜勺であること ( すべてのインターフェイス上で動作す る ) 、効果的であること ( ューサーにとって理解しやすい 方法でセキュリティ情報を表現する ) 、侵入に強いこと、 ューサーによる操作をできるだけ減らすことである。 れらの条件を満たすために、 SRD (Synchronized Ran- dom Dynamic) 境界と呼はれる境界着色手法カ甘采用され た。 SRD ↓韆竟では、すべてのウインドウが色のついた境 界線をもつ。青い境界線のウインドウ ( サーバー素材カ唸 まれる ) は信頼されないウインドウを示し、オレンジの境 界線のウインドウ ( プラウサ素材か含まれる ) は信頼され るウインドウを示す。ウインドウの境界線には、インセッ ト ( 溝 ) 型とアウトセット ( 稜 ) 型の 2 不頁がある。プラ ウザはランダムな間隔ですべてのウインドウのスタイルを 変更する。サーバーは境界線スタイルのランダムなパター ンを孑則できないので、ウインドウ・イメージを偽造して UNIX MAGAZINE 2003.8

6. UNIX MAGAZINE 2003年8月号

特集 LDAP でネームサービス 2 12 行目 : そのユーサー DN のパスワードを入力する。も ちろん、画面にはエコーバックされない。 13 行目 : ホスト名を修飾するためのドメイン名を入力す る。この項目は LDAP の管理ドメインや接尾子とは無 関係であり、ホスト名を間い合わせたときに補われるド メイン名を指定する。ーヨ殳には、 LDAP の管理ドメイ ンと同しであることが多い。 14 行目 : 情報ツリーの接尾子 ( ルート (N) を指定する。 通常はデフォルト値で問題ないはすだが、複数のディ レクトリ・ツリーに分割しているような場合は、ネーム サービスで必要になるデータを各内するルート接尾子を 指定する。 15 行目 : クライアントの構成内容を保存するプロファイ ル名を指定する。デフォルト値 (default) を変更する場 合は、クライアント側の設定でもそのフロファイル名を 指定する必要がある。 16 行目 : ネームサービスを提供する LDAP サーバーの IP アドレスを列挙する。指定したサーバーはプロファ イルに書き込まれ、クライアントから参照される。併用 しているはかのネームサービス (DNS など ) を LDAP よりも優先させたり、 /etc/hosts ファイルを参照する 場合は、ホスト名て指定することもできる。 17 行目 : 優先して〕尺したい LDAP サーバーの IP アド レスを指定する。これもフロファイルに書き込まれる。 18 行目 : 検索対象の、、深さ " を指定する。 one を指定す ると所定のノード ( ューサーなら ou=people) の直下 のみを検索し、 sub を指定するとサブツリーも含めて検 索する。ツリー内に清報をどのように配置するかを考え て、適切な値を指定する。彳あの ldapaddent コマン ドを用いてデータをサーバーに保存するのなら、 one で 十分であろう。使用する LDAP アプリケーションが前 提としているツリー構成に応じて〕尺するが、汎用性を 重んしるのなら sub を指定するとよい。 19 ~ 23 行目 : クライアントがサーバーにバインドする際 の、、資格レベル " を、一ド記の 3 っから〕尺する。 1 (anonymous) : クライアントの ldap-cachemgr は 匿名でバインドする。 2 (proxy) : 彳あのフロキシー・ユーサーとしてバイン ドする。 3 (proxy anonymous) : ますフロキシー・ユーサーと してのバインドを試み、バインドできなけれは匿名で バインドする。 これらのうち、 1 の anonymous は、糸目織内 LAN で すべてのクライアント・マシンに無条件でネームサービ スを提供する場合以外は指定しないはうがよい。 図 3 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 40 idsconfig の実行 ( 2 ) The following are the supported Authentication Methods : 1 2 simple 3 sasI/DIGEST—MD5 4 tls:simple 5 tls : sasI/DIGEST—MD5 Choose Authentication Meth0d (h=help) : Current authenticationMethod : simple [ 1 ] 2 DO you want tO add another Authentication Method? Ⅱ DO you want the clients to f0110W referrals (y/n/h) ? ] y DO you want t0 modify the server timelimit value (y/n/h) ? [ Ⅱ ] y Enter the time limit for iDS (current=3600) : DO you want tO modify the server sizelimit value (y/n/h) ? Cn] y Enter the size limit for iDS (current=2000) : DO you want t0 store passwords in "crypt" format (y/n/h) ? [ Ⅱ ] y DO you want t0 setup a Service Authentication Meth0ds (y/n/h)? [ Ⅱ ] [ 30 ] CIient search time limit in seconds (h=help) : [ 43200 ] Profi1e Time To Live in seconds (h=help) : Bind time limit in seconds (h=help) : [ 10 ] 2 DO you wish t0 setup Service Search Descriptors (y/n/h)? [n] Ⅱ UNIX MAGAZINE 2003.8

7. UNIX MAGAZINE 2003年8月号

特集 を避けるには、この例のように、 -1 " を指定して無制限 分だが、大莫なネットワークなどで問題か発生するの の最大値を指定する。通常はデフォルト値の 2000 て十 38 ~ 39 行目 : サーバーか検索結果として返す工ントリ数 にしている。 間 ) でも十分だが、この例では、、一 1 " を指定して無制限 単位て指定する。実用上はデフォルト値の 3600 ( 1 時 36 ~ 37 行目 : サーバーか検索を打ち切るまでの時間を秒 たどる必要がある。 リーを複数のサーバーに分割する場合は、 referrals を rals) をたどるかどうかを指定する。ディレクトリ・ツ 35 行目 : ディレクトリの検索琲に、参照ェントリ (refer- こなわない。 は平文パスワード認証しか使わないので、追加指定はお 記以外のガ去も使う場合は、それを指定する。この例で 34 行目 : 複数の認証方法を併用することもできるため、上 なかった。 を Sun に間い合わせたが、執筆時までに回答は得られ 表示されはするもののうまく動かなかった。原因と対策 のバージョンについて和誑調べた範囲では、メニューに かかる。できれは、 SASL を使いたいところだが、現在 かし、 TLS を利用する方法はキーの設定などに手間が ても平文でのパスワードのやりとりは推奨できない。し セキュリティの観点からは、たとえ糸目織内 LAN であっ お尺している。 今回の例では、もっとも簡便な平文パスワード方式 ( 2 ) ぞれ 2 と 3 の TLS (SSL) 版である。 4 (tls:simple) ~ 5 (tls:sasl/DIGEST-MD5) : それ ロ・じ、 訒証 1 をおこなう。 したチャレンジ & レスポンス方式によるパスワード 3 (sasl/DIGEST-MD5) : DIGEST-MD5 値をイ吏用 2(simple) : 平文パスワードによる認証をおこなう。 1 (none) : パスワード言正をおこなわない。 から選択する。 24 ~ 32 行目 : バインドする際の認証方法を、一ド記の 5 っ LDAP でネームサービス 2 にするとよい。 1 SASL (SimpIe Authentication Security Layer) は、標準勺 なチャレンジ & レスポンスカ式を使い、平文のパスワードをネットワー クロ充さない言正ガ去である。 UNIX MAGAZINE 2003.8 40 行目 : パスワードを crypt ライプラリを用いて暗号化 したうえでオ褓内することを指定する。 こではさまざま な認証カ 1 去かイ吏えるが、 UNIX のネームサーヒ、スとし て使用するのなら、 crypt を利用する方式がもっとも制 約が少ない。 LDAP アプリケーションが別のパスワー ド形式を要求する場合は、それに応した方式でパスワー ドをオ褓内し、クライアント側で pam-ldap を使用する ( 標準の pam-unix は、 crypt 形式のパスワードしか扱 えない ) 。 41 行目 : UNIX での通常の言正 (pam-unix か要求する もの ) 以外のガ去を必要とするサービスを使うかどうか を指定する。 Secure RPC などで用いられる Diffie- Hellman キーや pam-ldap などを利用するのなら、そ こで使われる認証方法とともに指定する必要がある。ク ライアント側で pam-unix を使う場合は、とくに指定 しなくてよい。 42 行目 : 検索時にクライアントがタイムアウトする時間 を秒数で指定する。通常は、デフォルト値の 30 秒てヨー 分である。 43 行目 : クライアントがキャッシュしたフロファイルを 有効とする時間 (TTL) を秒単位て指定する。クライア ントは、ここて指定した時間ごとにフロファイルをサー バーから読み直す。デフォルトの 43200 ( 12 時間 ) で 寸・分であろう。 44 行目 : クライアントがバインド処理を待ち受ける時間 を秒単位て指定する。サーバーがダウンしている ( また は高負荷状態の ) とき、クライアントが次のサーバーを 試みるように短めの値を指定する。 45 行目 : サーピス検索言当子 (Service Search Descrip- tor) は、サーバーでデータを探す方法や位置を調整す るために利用する。たとえは、標準では、、 ou=People" の下でユーザーを検索するが、サーバー側の設定に合わ せて、、 ou=Users" の下から検索するといった場合に使 う。いわは、クライアントか前提としている標準のデー タ構造と、実際のデータ構造とをマッピングするものと ま早すればよいだろう。したがって、 LDAP サーバー か彳あの、、標準的なデータ構造 " とは異なる構造のデー タ尉寺している場合は、サーピス検索記子を作成し なけ川まならない。もちろん、オ剽勺なデータ構造を使 うのなら不要である。 41

8. UNIX MAGAZINE 2003年8月号

2 特集 LDAP でネームサービス サーバーはクライアントになれない ! ? この特集で解説している内容は、 Solaris 9 に付属のドキュ 分自身のクライアントにしてみると、構成竹業はできるものの、 メント「 Solaris のシステム管理 ( ネーミングとディレクトリ たしかに起動しない。 よくよく起動手順を調べてみると・・ サービス : DNS 、 NIS 、 LDAP 編 ) 」に書かれている ( もち LDAP サーバー (slapd) は、 /etc/rc2. d/S72directory ろん、ほかのマニュアルの内容も適且取り込み、 Sun のマニュ スクリプトから起動される。 LDAP クライアントとして必要な アルよりもはるかに分かりやすい説明を・じトけている ) 。このド キュメントには、たいへん気になる次のような記がある。 ldap-cachemgr は、 /etc/rc2. d/S711dap. client スクリフ トから起動される。サーバーよりもさきにクライアントか起動 「注ーディレクトリサーバー (LDAP サーバー ) をそのクライ しようとしているわけで、それは無理というものである。 アントとして使用することはできません。つまり、ディレクト ひょっとして、と思い、 S72directory を S70directory に リサーバーソフトウェアを実行中のマシンを、 LDAP ネーム リネームして slapd が ldap-cachemgr よりもさきに起動す サーバークライアントにすることはできません」 ( 204 ページ ) るようにしてみた。すると、 LDAP サーノヾーは間題なく起動 すなわち、 LDAP サーバーとするマシンではネームサーピ し、自分自身のクライアントとして動き始めた。本当に、たっ スとして LDAP を使えないということで、これではひどく不 たこれだけのことか理由なのだろうか。バグと孑商するにはあ 便である。サーバー用およびクライアント用に 2 不頁のデータ まりにもお粗末で、何か別の不都合があるのかもしれないが、 を管理しなければならないとしたら、ネームサーヒ、スを利用す いまのところ私自身はみつけていない。 る意義か大きく損なわれてしまう。 もちろん、上記のように変更した場合には Sun の保証か得 理由を考えてみたが、どうも分からない。起動こ必要な情 られなくなる可能性が高いので、一」一分なテストをおこなってか 報をネームサービスから得ることはできないが、プートおよび ら連用していただきたい。また、何か別の理由をご存しの方は、 LDAP サーバーの起動に必要な情報だけをファイルに書いて せ乙扁集部までお知らせいただきたい。 おくのではいけないのだろうか。実際に LDAP サーバーを自 図 15 オフジェクトクラスの自加 図 14 アカウント hiro のプロバティ 強性土デネダ d 等 = 。℃ド 10 レ 0 peo P d : 手ア第障をⅱ オプジ煢グトらスのうい物を フルネーム h を 0 cre 第叩 2M 4 % 022 7Z 朝 orsn ・ rne に gym 聞明 eme 0 剛 50 叩 叩れ旧 0 いが既 d い ns d い c 6 「セ y 411 gE0s 0 山 N 明計 8 朝は n 町物 - 1 0 加に面 e は y xp •hon 愴釦 lo 蜘 1 Ⅱ 物お sh 取 iif sn 第町 m 丸 mo 一旧町叩 2 〕〕 42a ) 22257Z n 耳軻北 ・ 1 聞 211b2 ・ 805 ( 2935 ・ 87 新しいオブジェクトクラスの選択 表示 0 属性の名前を表示 属性の説明を表示 第値が設定された属性のみを表示 「を表示 再読み込み に 00802gV に 0 町粃、 'tce i が皺 1 獸国引 ( 総 5 料 an 訛”を pa ” w 面切 ect 編集 値の追加 属性の追加 へノレプ ( り ) オブジェクトクラス ー叩 p 町纛 引 2 dn い朝 0 国 u ま計著川肥礼 0 」第 Peo ド剛一面第 c ヘルプ ( り ) LDAP の国際イ tå幾能に厳密に従うのなら、 cn 属性や sn 属性には ASCII 文字での値を設定し、それぞれの日本語 サフ属性 (cn;lang-ja など ) に日本語を入力すべきであろ う。しかし、和試用したアドレス帳アプリケーションで は、メイン属性を ASCII で、サフ属生を日本語で入力し 宏治 ひろはる 十 81- ()0() -000 ー 0000 hiro@nspl.com hiro-n@example.org N S フランニング えぬえすふらんにんぐ givenName givenName;phonetic telephoneNumber mail mail 0 o;phonetic 51 UNIX MAGAZINE 2003.8

9. UNIX MAGAZINE 2003年8月号

連載 /Red Hat Linux のツールたち一一 3 図 22 cupsd. conf の変更を cupsd に反映させる [root@cupss root] # /etc/rc. d/init. d/cups restart BrowseAddress 192. 168 . 0 . 255 追加します。 ト・アドレスが 192.168. (). 255 であれば、以下の 1 行を [root@cupss root] # ロ Starting cupsd: Stopping cups : 変更したい場合は、、、 BrowseInterval" というパラメータ それほど大きくありませんが、プロードキャストの間隔を バイトでした。この程隻ならネットワークにかかる負荷は ネットワークを流れ引帯長量は 1 台のプリンタにつき数ー - ト・ こなわれます。その様 - 子を tcpdump で観察したところ、 なお、初其羽大態ではプロードキャストは 30 秒に 1 回お に秒単位て指定します。 126 キャストのⅢル鬲は : んだけ待てばいいはすです。 10 すくなくとも、 CUPS サーバーの cupsd. conf で言定したプロード ます。この場合、 lpr を実行すると印刷ジョブは CUPS ク ンドなどを用いてこれらのプリンタに印刷することができ のか引き継がれるので、 CUPS クライアントでも lpr コマ フリンタ名に関しては、基本的に CUPS サーバーのも みえます。 my-printers" というクラスも CUPS クライアントから ーに登録した とが分かります。もちろん、 CUPS サー CUPS サー ーに登録されたリモートプリンタであるこ が、図 23 では、、 Remote Printer on cupss" となり、 タ名の横に、、 Local Raw Printer" と表示されていました CUPS サーバーでのフリンター覧 ( 図 15 ) ではフリン なります。 を実行してプリンタの一覧を表示すると、図 23 のように で cupsd を起動し、しばらく 10 侍ってから cupsconfig になります。たとえは、 CUPS クライアントである cupsc ーに登録されたフリンタか利用可能 重加勺に CUPS サー らプロードキャストされた情報を受信することにより、自 トールして cupsd を起動しておけば、 CUPS サーバーか 一方、 CUPS クライアントでは、パッケージをインス cupsd. conf の変史を cupsd に反映させておきましよう。 ービスの起動スクリプトを図 22 に示したように実行し、 これで、 CUPS サーバーの設定は完了です。 cups サ OK OK Administration Classes Help JObs Printers Software 円ⅲに「 on い 5 じ - CUPS コ .14 - Ga に on 第 S 。 く戻るマ ) ・ ファイル旧編集 ( 印表示也タア設定に ) 移動 ( G ) アックマク但 ) ツール ( 0 ) へ 図 23 CUPS クライアントて堋できるプリンタの一覧 PrinterState: idle, æcepting ・ しわ n : Office Description: Dcc をⅵ nt 0 PS Default 亜 Printer 新可 T 乱 Page 日向を Jobs M00 叫 P CO 裲中」 P ⅲ師 Oe P ⅲ釈 Description: EPSON LPY2mPS3 し ion : Office Printer State: idle. axepting 第い . P れ可丁を靆ー Page C g 怕物物ⅲ師 De 尼 p ⅲ賃 日 JObs Modify Printer ライアントの cupsd を介して CUPS サーバ に送信されます。 ☆ ーの cupsd 今回は、 CUPS の基本的な使い方を中心に説明しまし た。次回は、プリンタに対応する PPD ファイルがインス トールされていない場合の対処や、 Windows との連携方 法について紹介します。 ( よこがき・はやお ) [ 文献 ] [ 1 ] R. Herriot (ed. ) , S. Butler, P. Moore, R. Turner and J. Wenn, lntet 、 net P れれ PT 、 0 ん co / / ノ . ノ : れ co 市れ 9 の TT 、佖れ 07 、な RFC2910 , September 2000 [ 2 ] T. Hastings (ed. ) , R. Herriot, R. deBry, S. lsaacson and P. Powell, ん 7 、れ P れれ 9 ProtocoI//1. た Model 佖れ d Semantics, RFC2911 , September 2000 [ 3 ] マイケル・スウィート著、沖データ CUPS プロジェクト訳、 tCUPS : 共通 UNIX 印刷システム』、ピアソン・エデュケー ション、 2002 年 8 月 UNIX MAGAZINE 2003.8

10. UNIX MAGAZINE 2003年8月号

ワークステーションのおと はよかったのです ) 。 続・リモート・テスクトップ接続 もそも、私も電話する前に Web ページをちゃんと調べれ かれているので、これを読めばよく分かると思います ( そ 162 6 http://www.ocn.ne.jp/business/kotei-ip/index.html 5 http://www.so-net.ne.jp/business/access/staticip/ ドレスが 1 つ割り当てられる OCN IP16 というコースが OCN には、フレツツ・ ADSL を利用し、固定 IP ア レスが 1 つ使えます ( 8 つなら 7 , 200 円です ) 5 費用 ) に加えて、 1 カ月あたり 1 , 200 円で固定の IP アド スであ川ま、 1 , 950 円の基本科金 ( 十フレツツ・ ADSL の る So-net の場合、フレツツ・ ADSL を利用する接続コー ービスを提供していなけれはなりません。私か利用してい ま自分が利用しているプロバイダ (ISP) がこのようなサ もちろん、固定 IP アドレスの割当てを受けるには、い て DNS サーバーを運用することでしよう。 す。すぐに思いっくのは、固定の IP アドレスを手に入れ クセスするためには、ドメイン名を取得する必要がありま リモート接続を使って外部から自宅のネットワークにア ドメイン名の取得 それでは、順を追って簡単に説明していきましよう。 6. 接続してみる。 5. SSH のポートフォワードの設定をする。 設定する。 4. 外部からの SSH 接続を許すようにファイアウォールを る。 3. Windows 用の SSH クライアントを入手して設定す 設定をする。 2. SSH サーバーか動くマシンを用意し、 SSH サーバーの 1. ドメイン名を取得する。 大まかな手順は次のようになります。 ましよう。 リモート・デスクトッフ鮟続で利用する方法について書き 時などに外部ネットワークを経由して、自宅にある PC を モート・デスクトッフ。接続を紹介しました。今回は、外出 則号では、 Windows XP て標勺に提供されているリ あり、これは 1 カ月 6 , 800 円です ( もちろん、このはか にフレツツ・ ADSL の費用が必要になります ) 。 8 つの固 定アドレスか割り当てられる OCN IP8 の場合は、 1 カ 月 11 , 800 円になります。 当然ですが、これ以外にドメイン名を系財寺するための費 用も必要で、すべてあわせるとそれなりのお金がかかりま す。私の場合、 Web サーバーなどを本格的に運用したい わけではないので、できるならはもうすこし安くすませた いものです。いろいろ調べてみると、 Dynamic DNS サービス " というものがあることが分かりました。これは、 固定 IP アドレスの割当てを受けていなくてもドメインが 運用できるサービスです。 これによって、自分のドメイン名に対応する IP アドレ 録する。 ドメイン名と IP アドレスのペアを DNS サーバーに登 3. Dynamic DNS サーバーは、通知された情報をもとに 期的に通信し、その時点の IP アドレスを通知する。 2. このクライアントは、 Dynamic DNS のサーバーと定 ービスのクライアントをインストールしておく。 1. 自分のネットワーク内のマシンに、 Dynamic DNS サ 仕組みは次のようになっています。 UNIX MAGAZINE 2003.8 7 http://www.portside.net/ 願いすることにしました。 取得から DNS の運用、 DHIS サービスまでのすべてをお なります。私は、自分の負担を減らすために、ドメインの ビスが受けられ、かっ DNS の運用もしてもらえることに にして、 1 年に 20 000 円払えば Dynamic DNS のサー 用料金が 6 カ月で 5 , 000 円です。つまり、初期料金は別 用も依頼できます。こちらは、初期料金が 5 , 000 円、利 科金は 6 カ月で 5 , 000 円です。独自ドメインの取得と運 費用は、 DHIS サービスの初期料金が 2 , 000 円、利用 ました。 にポートサイドネット 7 の DHIS サービスを使うことにし クライアントを提供している " という条件で探し、最終的 laris 9 ) なので、、 Solaris に対応した Dynamic DNS 自宅で使っているサーバーマシンは Sun UItra 5 (So- スを得ることができるというわけです。