サーバー - みる会図書館

1. UNIX MAGAZINE 1996年1月号

ら参照されないものに限定したはうがよい。連載 . / UN Ⅸ Communication Notes— ような牛に依存する。 DHCP のサーバー群をどのように構成するかは、次のバーの冗長度を上げて信頼性を高めることもできる。つのセグメントに複数の DHCP サーバーを用意し、サーサーバーか複数のセグメントを管理してもよい。さらに 1 置いてもいいし、リレー・エージェントを使用して 1 つの DHCP では、各セグメントごとに独立してサーバーをサーパーの配置アドレスの最刻直である。 DHCP カ甘是供するアドレスの数とは、同時に使用されるなうとよい。い。これらの点を考慮して、 pool ファイルの設定をおこが 2 台だけならは、用意すべきアドレスも 2 つだけでよそのサーバーからみて同時に使用されるラップトップ PC 仮に 100 台のラップトップ PC をサポートするにしても、なく、同時に使われるアドレスの数を指す。したがって、とは、そのサーバーがサポートする移動ホストの総数ではなければならない。ここでいうところの、、アドレスの数 ' DHCP を用いて管理するアドレスの数も事前に検討しアドレスの数少ない。ど、端末として使用しているシステムに限定したほうカ昆舌励ゞ DHCP でアドレスを管理する際は、ラップトップ PC な・ DHCP サービスの重要度・ DHCP サーバーを利用するクライアントの台数とそのノ、ーとして利用できる計算機の台数分布・ネットワークの信頼生・ DHCP サー運用するサーバーは最初は 1 つだけにしておき、必要が生分離するという方式をとるのがもっとも安全である。だけにしておき、利用者カ彳余々に増えてきたらサーバーをーヨ殳には、導入の開女都には DHCP サーバーを 1 つ 38 した段階で分離しよう。 BOOTP の利用前回も述べたように、 DHCP は BOOTP (BOOT- strap Protocol) の一 - ヒイ立換フ。ロトコルであり、 DHCP サーパーを BOOTP サーバーとして用いることもできる。したがって、従来から BOOTP サーバーを利用しているところでは、これらを DHCP サ→ヾーにまとめなおして管理を一元化したほうが、管理のオーバーヘッドを軽減することかできる。 D Ⅱ CP の運用例私が参加している WIDE プロジェクトでは、これまでさまざまな場面で DHCP サーバーを利用してきた。その運用例を 1 つ紹介しよう。 WIDE プロジェクトにおいて DHCP サーバーがもっとも活躍するのは、研究合宿の際に設置されるターミナルルームでの利用である。合宿では、たいがいは参加研究者の多くがラップトップ PC をはしめとする各種のコンピータを持ち込んでイ乍業に使用する。具イ勺には、 ISDN 回線や衛星通信回線を使い、 WIDE インターネットと研究合宿先 ( ホテル、会言易など ) とを接続する。そもそも、インターネットについての研究を主目的とする合宿でインターネットカリ用できなければ、仕事にならない。当然のことながら、合宿ではすくなくとも数日間はオフイスを離れて言侖や竹業をおこなうため、期間中に電子メールをチェックしたいという人もかなりの数に上る。そこで、ターミナルルームを設けて各自力えてきたコンピータを接続し、メールを読めるような環竟を提供する。以前は、コンピュータを持参してターミナルルームのネットワークに接続する各参加者ごとに IP アドレスを割り当てていた。しかし、参加者カ蒴えるに従って、 IP アドレスの割当てに相当な手間がかかるようになり、割り当てるアドレスも不足気未になってきた。そこで、 DHCP を用いて重加勺にアドレスを割り当てるようにし、アドレスを効率的に利用するとともに、管理作業のオーバーヘッドも轤咸しようと考えたのである。図 1 は、合 7 のターミナルルームの構成を示したものである。通常は、 10Base-T のハプが置かそこからケープルが出ているだけの簡単な竟が用意される。そこに DHCP サーバーを用意し、アドレスを割り当てるよう UNIX MAGAZINE 1996.1

2. UNIX MAGAZINE 1996年1月号

連載 / 転ばぬ先のセキュリティ図 3 防火壁に優しい FTP ソフトウェアの置かれたサイト ftp : //ftp.aist—nara ・ ac ・ jp/pub/Security/t001/firewa11—friend1y—ftp/ 図 4 PASV 対応のⅥアⅥⅥ 7 ・クライアントプラウサに防火壁の外の代理サーバーを指定してやると、 WWW プラウサは代理サーバーに HTTP でアクセス制御用 PASV します。 HTTP は TCP コネクションが 1 つのプロトコルですから、間題なく防火壁を通過できます。代理サーバーは、文字どおり代理で FTP サーバーからファイルを FTP て転送します。代理サーバーと FTP サーバーのあデータ転送用いだには、一方向のフィルタがないので、間題なくファイ・ Mac ー - Fetch バージョン 3.0b6 では PASV を利用ルを転送できます。そして、代理サーバーは、 HTTP をできます。メニューを Customize → Preferences → 利用して WWW プラウザにファイルを転送します。 Firewall とたどり PASV にチェックマークを付けれ代理サーバーの指定の仕方は、 WWW プラウサによば、そ川ユ降は PASV を利用します。って異なります。メニューから設定できるものもありま・ Windows - ー Chameleon 4.5 は PASV に対応してすし、竟変数 ftp-proxy で与えなければならないプラいます。 FTP の Setting メニューの Preference のウサもあります。たとえば、代理サーバーの計算機名が、なかで設定してください。 proxy ・ xxx. ac. jp である場合は、 csh 系のシェルなら、 archie setenv ftp-proxy http : //proxy. xxx ・ ac ・ jp/ ・ UNIX - ー xarchie は、 archie サービスを利用して目 sh 系のシェルなら、的のプログラムが置いてある anonymous FTP サー ftp-proxy=http : //proxy. xxx ・ ac ・ jp/ ーを発見し、 FTP を通じて入手する X のクライア export ftp-proxy ントです。 xarchie を PASV 対応にするパッチが、奈という設定を、ネノ祺月化ファイルなどに入れておけはよいで良先端科 ! 物支術大完大学似降、奈良先端大と略 ) の山本茂さんによって作成されています。代理サーバーが PASV をサポートしていれば、サーバ・ Mac 一 Mac の archie のクライアントとしては、 an- ーの位置は防火壁の内側でもかまいません ( 図 6 ) 。 archie かイ名です。 anarchie は、以前から PASV に WWFS 対応しています。 FTP を NFS に変換することで FTP サーバーのファイルをローカルのファイルとしてみせるシステムか、 WWFS(WorId Wide File System) です。作者の門オ隹基さんは特別研究生として奈良先端大に在籍しています。以前食堂で彼に会ったときに、 PASV への対応を頼んだところ、すぐにハックしてくれました。現在では、方向フィルタのなかで WWFS のサービスが受けられます。 WWFS の最斤バージョンは 109.9 です。 W 、 M 、 M Clien FTP Server URL には、 FTP サーピスか書けます。ですから、ある Web のホームページには、 FTP サーピスの URL が当してあるかもしれません。防火壁の内側の WWW プラウサから、この Web のページの URL をクリックすると、 W Ⅵー W プラウザは FTP でファイルを転送しようとします。もし、 WWW プラウザが PASV に対応していないと、当然目的のファイルを取ってこられません。描丘の WWW プラウサ、は、 PASV をサポートしているのが防火壁下での FTP の利用流行りのようです ( 図 4 ) 。 PASV をサポートしていなくても、防火壁の外にあ一方向のフィルタに置れていないユーサーは、突然防火る代理サーバー (Proxy server) を利用することによっ壁か構築されると、これまで可能であったファイル転送がて、間題を鮹夬できます。図 5 を見てください。 WWW できなくなると勘違いし、混乱するようです。いままでと 1 三ロ 58 UNIX MAGAZINE 1996.1

3. UNIX MAGAZINE 1996年1月号

連載 / 転ばぬ先のセキュリティーの PORT によるデータ・コネクション制御用 PORT 図 1 PASV によるデータ・コネクション図 2 FTP Client FTP Server データ転送用制御用 PASV FTP Client データ転送用 FTP Server ョンとデータ転送用のコネクションの 2 つを利用します。 FTP のクライアントがサーバーに接続するときは、ます匍御コネクションを張り、ユーザーからク旨令に応じて適宜データ・コネクションを張ります。 1995 年 1 月号で詳しく説明しましたが、 FTP のクライアントは歴史的に、 FTP の PORT コマンドを使って、クライアントへ向かってコネクションを張るようにサーーに要求します ( 図 1 ) 。ですから、一方向の防火壁の内側にいる FTP クライアントから、殞則のサーバーは利用できません。しかし、 RFC1579 [ 1 ] で説明してあるように、 FTP の PORT コマンドの代わりに PASV を利用すれば、 FTP クライアントからサーバーヘデータ転送用のコネクションを確立できます ( 図 2 ) 。このように、制御用とデータ医用のコネクションの張る向きを一致させれば、一方向の防火壁との相がよくなります。さいわいに、多くのサーバーが PASV に対応しています。したがって、クライアントのはうが PASV をサポートすれば、一方向の防火壁カ督路十に存在しても問題がなくなります。丘では、 FTP を利用するクライアントは、 PASV をサポートしているものか増えてきました。説明書などに、、、防火壁対応 " とか、、 PASV 利用可 " などと書いてあればます大丈夫でしよう。さて、 FTP を利用しているのは、なにも ftp コマンドだけではありません。 WWW や WWFS も利用しています。以ード、それぞれについて、 PASV の対応欹況を説明していきます。ここて紹介するフリー・ソフトウェアや UNIX MAGAZINE 1996.1 ftp の′」皸 57 きるはすですので、インストール去は省略します。使っており、多くの UNIX 上で簡単にインストールでるので、それを利用するといいでしよう。 autoconf を FFF(Firewall Friendly FTP) を作成し配布してい ftp コマンドのコードをもとに、 PASV に対応させたります。はかの UNIX では、私が 4.3BSD Reno のる passive を実行すれは PASV を利用するようになでは PORT を使いますが、 ftp のサプコマンドであに対応した ftp コマンドが付いています。デフォルト・ UNIX - ー 4.4BSD Lite 系の UNIX には、 PASV FTP パッチは、図 3 に示した場戸励、ら入手できます。らすにしつくり眺めるようにしましよう。た際のメッセージに書かれていることが多いので、面倒がこに挙げた / 」寸支は、 anonymous FTP にログインしえておくとイ叫リです。し、 compress で圧縮して送ってくれます。この去も憶と実行すれば、その場でディレクトリを tar でアーカイプ get ディレクトリ名 . tar. Z 親ディレクトリに移動し、になります。サーバーによっては、目的のディレクトリのクトリがあると恒渡も mget を実行しなければならす、嫌イルなら、 mget で苦になりませんが、たとえばサプディレれた形て置かれているものがあります。 10 個ぐらいのファしかし、ソフトウェアによっては、ディレクトリが展開さンド 1 つで入手できることは皆さんご存しだと思います。目的のソフトウェアが tar でまとめてあれば、 get コマすです。なかなか高い確率で目当てのソフトウェアが入手できるはデータベースを検索します。このようなイ乍業を繰り返せば、ければ、次の anonymous FTP サーバーに移動し、またす。該当するファイルがあればパスを返してくれます。なとして、 FTP サーバーの簡単なデータベースを検索しま site index キーワード扱っているサーバーにログインし、あえす ftp.iij.ad.jp などのように大量のアーカイプを取り分からないときは、皆さんどうしていますか ? 私は、とりなく、どの anonymous FTP サーバーにいけばよいのかいと感じることが多くなってきました。 archie からが・丘は、 archie へのアクセスカえたためか、応答が悪

4. UNIX MAGAZINE 1996年1月号

連載 / 転ばぬ先のセキュリティーの図 11 自分は外部にいて、出由でファイルを内部から外部へ車 ◆ - GET ( 2 ) ( 3 ) GET → 図 12 複数方向フィルタ制御用 PASV 制御用 OK FTP Server データ転送用ログインします ( 2 ) 。変に、出島計算機から内部の言 1 算要でしよう。機 , 、、 ftp コマンドを実行し、、、 put " を利用して出島計算次の問題は、糸各」 : に複数の一方向フィルタか存在する機から内部の言算機にファイルを転送します ( 3 ) 。場合があることです。図 12 のように、 FTP サーバーを一方向フィルタの則で管理しているサイトに対してアク刻こ、自分は外部にいて出島計算龝 ] で内部から外セスをするような場合です。信しられないかもしれません部へファイルを転送する場合を説明します。図 11 に示すが、このような FTP サーバーは実際に存在します。どうように、外部の言 t. 算から出島計算機に使い捨てパスワーして、防火壁の則で FTP サーピスができるかというと、ドでログインします ( 1 ) 。次に、出島言算機から内部の一方向フィルタに FTP の制御用のコネクションだけは外言 t 算機 , 、、 ftp を実行し、目的のファイルを、、 get" しますから確立できるように穴をあけているのです。 PORT を ( 2 ) 。これで、内部の計算機上にあったファイルが、出島計使う FTP クライアントカ甘妾続してきた場合、缶膽卩用のコ算機 . 上にコピーされました。外部から出島計算機に ftp をネクションはフィルタの設定により通過できます。また、実行し、使い捨てパスワードで認証をおこなったあとにデータ・コネクションはサーバーからクライアントに向か、 get" を使って出島言算機から外部へファイルを輔医しまって張るのですから、サーバーを管理している組織のフィす ( 3 ) 。ルタからみれは順方向なので、間題なく確立できます。しかし、クライアントが PASV を使って自組織の一 -- ・方それでも問題カ向フィルタに対して順方向にデータ・コネクションを張ろ多くの人びとの努力によって、一方向フィルタに優しいうとすると、サ→ヾー側のフィルタに対しては逆方向なの FTP か驃準になりつつあります。しかし、現在はまた夥でコネクションカ蔀寉立できません ( 図 12 ) 。このような設行期であり、地がいくっか残っています。定が一判勺な処置なのか、管理者の知調ア不足しているためかは分かりませんが、サーバーを防火壁の外ー己置して 1 つは、すべての FTP サーバーが PASV をサポーもらうように頼むのカ斗艮本的な鮹夬ガ去です。トしているわけではないことです。 ftp コマンド妾続しこれら 2 つの問題は、自系哉の防火壁の外にある出島、、 PASV はサポートしていない " と表示されるたときに、 1 ・算機から、 PORT を使う ftp コマンドを利用すればことがたまにあります。これは、そのサーバーの管理者に解決できます。つまり、内部の計算機から出島計算機にいメールを送って、 PASV をサポートしているサーバーにったん使い捨てパスワードでログインし、出島計算機から置き換えてもらうようにお願いするなど、首な努力が必 61 UNIX MAGAZINE 1996.1

5. UNIX MAGAZINE 1996年1月号

ビジネスの進化を加速する。 IBM のビジネス・サーバー 0 オンラインによるオーダーエントリーや発券業務、電子用を可能にしています。また、テンスクを複数のシステムて、共メールや大量のデータを扱う情報システム、またインターネット有し、障害発生時にはリアルタイムて、正常なユニットに切りによる新しいサービスの提供など・・・ビジネス・サーバーの重替えてシステム・ダウンを防ぐなど、ビジネスに不可欠の高要性が高まっています。 IBM の RS / 6000 は、デスクトップの信頼性を徹底。ホスト・コンヒ。ューターと同様の障害対策コンパクト・サーバーから最大 512 個の CPU て、パラレル処を採用しています。さらに、 RISC70 ロセッサーや PowerPC* 、 I / O 速度を SCSI の約 2 倍にするアーキテクチャーなど、最新の理をおこなうスーパー・コンピューターまて、、欲しい性能・機能が自由に選べるワイド・バリエーション。しかも、すべてのモテクノロジーを発信し続ける IBM は、サーバーの分野て、も時デルが同じアーキテクチャーなのて、、代の最先端にいま三和銀行て、は、 RS / 6000 上位システムに移行してもプログラムはをニューヨークやロンドンをはじめ世界手を加えることなく利用て、きます。 RDB も、各国の拠点に導入。 24 時 BEST DB2/6000* や ORACLE*tINFORMIX*t 三和銀行では間体制のディーリング・シ世界各地で IJN Ⅸ Sybase * * など主要製品をサポートして、 RS / 6000 が活躍。ステムを実現しています。さまざまな UNIX アプリケーションの利 RS / 6000 J30 日本アイビー・エム株式会社〒東京“区六林 3-2 卍 THE BEST-RATED UNIX SYSTEM. 資料請求 No. 89

6. UNIX MAGAZINE 1996年1月号

一口塩を、〕一を O 世界 30 カ国 123 拠点を結ぶ、米国 Sun Microsystems,lnc. の UNIX トレーニングネットワークは年間 80 80 人の UN Ⅸユーザを教育しています。日本サン・マイクロシステムズ株式会社では、従来の UN Ⅸトレーニングに加え、インターネットのトレーニングコースを開催することになりました。これからも発展しつづけるインターネットの世界への第一歩をサン・サービスからはじめてみませんか Java プログラミング I インターネットサーバの構築 J a は、現在注目されている最新のテクノロジです。言語で、作成されたプこのコースでは、ドメインネームサービスの概要について学習し、インターネット接ログラムは、 J a 対応の、叭Ⅳブラウザ上で動作することができるプログラムに続に必要なネットワーク構築方法を習得します。また、インターネットへの情報言をおこなうときにになる V Ⅵ M サーバ、阿 P サーバおよびメールサーバの構築なります。このプログラムは、音声データやアニメーションの表示などが行なえま方法も習得します。す。また、 hns だけでなく、その他 OS 上でも動作可能となります。このコースでは、 Ja 言語の基本的なプログラミングを習得していただきます。また、 Java ◆対象者対応ブラウザ上で動作するプログラムの作成方法を習得していただきます。・インターネット接続に必要な知識について必要とされる方。 ◆対象者・ DNS ドメインの構築を希望される方。および、インターネットへの情報発信・ Java 言語を初めて学習される方。を希望される方。・インターネット上で情報公開の為に、 Java 対応のプログラムを作成される方。 ◆前提条件チェックリスト ◆前提条件チェックリスト・やテキストエデイタを使用してファイルの作成や編集ができること。・ C 言語の知識がある・ UNIX システムの管理知識をお持ちの方。コースコースの以下の内容を習得し、 Java 言語のプログラムを作成できるようになることです。以下の内容を理解し、インターネットサーバの構築ができるようになることです・オプジェクト概要・ Java 紹介・ Java 言語の基本構成クラス・ネットワーク構成・インターネットサーバの概要・ DNS サーパの構築・アプレットの作成・アプレットを呼び出す HTML の作成 WWW サーパの構築・アサーパの構築・メールサーパの構築・その他のクラス・ 111 ead クラス 3 日間コース ◆コース期間 3 日間 1 2 8 , 0 0 0 円 ( 税抜き ) 1 2 8 , 0 0 0 円 ( 税抜き ) この他、 InternetA 門、 World W1de Web(WWW) server のコースもあります。日本サン・マイクロシステムス株式会社 A Sun Microsystems, lnc. Business JQA ・ - 08 ー 4 サン・サーヒス IT 工デュケーション部〒 158 東京都世田谷区用賀 4-1 住 1 SBS タワー TEL 03-5717-5025 FAX 03-5717-2573 , n , 新 nM osystems rn ハ e , 新 n ハ元 e のロゴは、米国における米国新 nM *. の商標または登録商標です。・ n のロゴマークは、米国新 nM 0 s に ms 面 c. の登録商標です。・ UN Ⅸは、 company [ld. がライセンスしている米国および他の国における登録商標です資料請求 No. 012

7. UNIX MAGAZINE 1996年1月号

NEWS 対応 WS は、 SGI IRIS (IRIX 5.3 以 3 ) 主記憶上に画像を置き、フルカラー表 HD/ スワップ容量は、 32 / 5 / 32MB 以 - ヒ。示機能のない WS でも、擬似カラー表示上 ) 、 Sun SPARC (Solaris 2.3 以上 ) 、価格は 180 , 000 円。で最大 8 , 000 X8 , 000 のカラー画像の扱い EWS (EWS—UX 9.1 以上 ) 、 NEWS (NEWS-OS 6.0 以上 ) 。主記憶 / 空きが可能生月ラス展開による検索、検索結果の論理演算、データの登録 / 変更 / 削除 3 ) 動作環境は、 Sayrpc サーバーが Win- dows NT (AIpha PC 、 PC 互換機 ) 、 Dig- 日本ディジタルイクイップメント (Tel 索が可能。部分文字列による全文検索も ital UNIX (Alpha システム ) 、 Sayrpc 0120 ー 499150 ) と日軽情報システム (Tel 可能クライアントが Windows 3.1 (CPU が i 03-5626 ー 3141 ) は、日軽情報システムの 3 ) シソーラス展開による同義語、狭義語、 386 以上、 Winsock 1.1 準拠のプロトコ全文検索エンジン「 SAVVY/TRS 」と、広義語、関連語検索ル・スタック ) その機能を W ⅲ d 。 ws 上で利用する日 4 ) 動作環境は、 Windows NT (AIpha 価格は、 SAVVY/TRS for Windows 本ディジタルイクイップメントの製品 PC 、 PC 互換機 ) 、 Digital UNIX (Alpha NT べース・ノヾッケージが 100 万円、同「 Sayrpc 」の販売で提携した。システム ) for Windows NT 追加ライセンスが 750 , おもな特徴は以下のとおり。 ◆ Sayrpc 000 円、同 for Digital UNIX べース・ ◆ SAVVY/TRS 1 ) VisuaI BASIC 、 Microsoft Access なノヾッケージが 200 万円、同 for Digi- 1 ) 文書登録時に検索用キーワードを設定どからサーバー上の SAVVY/TRS の機 tal UNIX 追加ライセンスが 150 万円、する必要がなく、文書情報 ( テキストデー能を利用する API を DLL 形式で提供 Sayrpc for Windows NT が 198 , 000 円タ ) から検索用パターン特徴を自舳出 2 ) 利用可能な SAVVY/TRS の機能は、から、同 for Digital UNIX が 398 , 000 2 ) ューサー指定のフリーワードで全文検フリーワード検索、絞込み検索、シソー円から。 700 (HP-UX 9.0.3 以降 ) 。対応 DB は、 RDB 用のアプリケーション・ジェネレータ SYBASE 4.9. x/system 10 、 Oracle 7 、 INFORMIX—OnLine 6 / 7 。おもな新機能は以下のとおり。アステック (Tel 03 ー 5261 ー 5972 ) は、米価格は、 1 ライセンス 980 , 000 円 ( 使用 1 ) db—UIM/X や Motif の初心者用モー Bluestone Consulting のアプリケーショ権 ) 、年間サポート科は 240 , 000 円、 UIM/ ドの追加ン・ジェネレータ「 db—UIM/X 2.9 」の X からのアップグレード価格が 460 , 000 2 ) C + + 開発環境の強化販売を開始した。円。 3 ) サポート対象に INFORMIX を追加 RDB と Motif GUI に対応したオプ今後 1 年間の販売目標は 400 ライセ動作環境は、 SPARCstati on (Sun OS ジェクト指向のアプリケーション・ジェネンス。 4.1.3 または Solaris 2.4 以降 ) 、 HP 9000 / レータ。クライアント・サーバー型全文検索システム •ASTEC ネクション・サーバー (MVS/ESA 版 ) 」の販売を開始する。月額料金は 7 , 400 円から。出荷開始はメインフレームを利用できるようにする 1996 年 1 月 8 日の予定。ソフトウェア「 IBM インターネット・コメインフレームをインターネット・サーバーに日本アイ・ピー・エム (Tel 0120 ー 041990 ) は、インターネットのサーバーに・ ORACLE おもな特徴は以下のとおり。 WebServer は、 OracIe Web Lis- tener 、同 Web Agent 、 Oracle 7 で構成。 Web Listener は HTTP サーバーで、す日本オラクル (Tel 03 ー 5213 ー 6666 ) 「 OracIe WebServer 」「同 WebServer べてのべンダーのプラウサに対応。 Web は、インターネット向けソフトウェア Agent で Oracle7 に結合される。企業内 Option 」の販売を開始する。 UNIX MAGÄZINE 1996 ユ D B 接続用 Web サーバー 6

8. UNIX MAGAZINE 1996年1月号

UNIX Communication Notes 山口英モーバイル・コンビューティング環境 ( 2 ) DHCP と問題点前回は、 DHCP(Dynamic Host Configuration Pro- tocol) の基本的なインストール方法について解説した。 DHCP はアドレスを重加勺に割り当てる機構を提供しており、 UNIX システムでは、 DHCP サーバーを用意し、各システムに DHCP クライアントを導入すれば簡単に利用できる。今回は、 DHCP の具イ勺な運用去を説明し、モ→ヾイル・コンピューティンク環境寒見のための技行勺な課題について述べる。 D Ⅱ CP 運用のヒント DHCP は、アドレスを重加勺に割り当てるための樹冓である。これを利用すれは、従来のアドレス管理の負担を大きく軽減することかて、きる。また、ラップトップ PC のような、ネットワーク側からみると網内を移動庁るホストへのアドレスの割当ての問題への対応も容易になる。とはいうものの、運用上のさまざまな問題をよくよく考えたうえて利用しないと、本来の意図に反してユーザーによぶんな負担を強いたり、管理者のオ→ヾーヘッドを増やすことにもなりかねない。そこで、まず DHCP を運用するうえて管理者が考慮すべき技頑勺なイ則面について考えてみる。名前との関連イ寸けこれまでのインターネット竟では、各ホストに対して青知勺なアドレスの割当てをおこなってきた。たいていの組織では、特定のアドレス空間ごとに管理者をおき、ユーザーからの要求に応してアドレスを割り当てている。もちろん、割当てガ去にはさまざまなローカルル UNIX MAGAZINE 1996.1 ールカ鮓られているであろう。そして、同一のアドレスを重複して使用したり、あるいは無馮置いをしないように管理する。どのようなガ去でアドレスを割り当てるにせよ、管理者があるアドレスを割り当てた場合は、それに対応するホスト名も同時に決められる。さらに、このホスト名とアドレスとの対応を DNS (Domain Name System) サーノヾーのデータに」助日し、インターネットから参照できるようにすることもよくおこなわれる。このホスト名は、ネットワーク内でサーピスを受けるときに頻繁に利用される。たとえば、 WWW での URL (Uniform Resource Locator) にもホスト名か含まれているし、 telnet や ftp でサーバーを指定する際にもホスト名がよく使われる。 DHCP を利用するような竟においては、サーバーから与えられるアドレスが毎回異なる可能匪がある。言い換えれは、 DHCP によってアドレスを管理する際には、各ホストかイ吏用する IP アドレスか変化することを前提としなけれはならない。この問題の鮹夬方法としては、 IP アドレスをサーから取得するたびに DNS の情報を更新する方式が考えられる。ところが、 DNS のアーキテクチャでは、クライアント側のネームサーバーやクライアント側て精報をキャッシュする。このため、 DNS における情報の史新が、ほかのすべてのネームサーバーに伝わるまでには相当に長い時間がかかってしまう。したがって、 DHCP によってアドレスカリり当てられるたびに DNS 窈青報を更新するのは賢明な策とはいえない。これらの問題を考えると、 DHCP で重加勺にアドレスを割り当てるホストは、名前にもとづいてはかのシステムか 37

9. UNIX MAGAZINE 1996年1月号

連載 / 転ばぬ先のセキュリティーの図 13 FTP サーパー % ftp ftp ・ f00 ・ ac ・ JP Co 6 ・ 6 モ・éd ーモ・ 6 ーモモ : ・子・ 60. ac ・ j p ・ 230—ftp.bar.co ・ jp FTP server (Version vu ー 2.4 ( 1 ) Fri Nov 4 04 : 36 : 31 JST 1994 ) ready. Password : kazu@foo. ac ・ JP 331 Password required fo て ftp@ftp.bar. co ・ JP ・ Name (ftp:kazu) : ftp@ftp.bar.co ・ jp Thu Nov 9 16 : 01 : 16 JST 1995 ) ready. 220 ftp.f00. ac. jp FTP server (Version wu—2.4.2—academ[BETA-4] ( 2 ) 230—Guest 10g 土Ⅱ ok , send your complete e-mail address as password. 図 14 PASV な FTP クライアントと里サーバー ftp> Using binary mode tO transfer files . Remote system type is UNIX. 230 Guest login ok, access restrictions apply ・ 230 ー ftp—admin@ftp.bar.co ・ JP ・ 230 ー 230—P1ease report any problems to 230 ー 230—We1come to ftp.bar.co ・ JP ・ FTP CIinet 制御用データ転送用制御用データ転送用的の FTP anonymous FTP のサーノヾーに FTP を実行して、ファイルを get" します。これは、防火壁がなかったころとまったく同じ条件での竹業ですから、問題なくファイルが転送できるはすです。その後出島からログアウトし、内部の計算機から出島に PASV を利用する ftp コマンドを実行し、ファイルを get " すればよいでしよう。もし、防火壁の外にある自組織の FTP サーバーカイに理機能をもっていれば、もうすこしエレガントな鮹夬力法が利用できます。図 13 を見てください。これは、 foo. ac. jp という組糸哉のユーザー kazu が、 ftp.f00.ac.jp という代理 FTP サーバーを利用して、 ftp.bar.co.jp にアクセスしている例です。ューサー kazu は目的の ftp.bar.co.jp ではなく、自分の組織の ftp.foo.ac.jp に ftp コマンドを実行しています。次に、ユーサー名として ftp@ftp.bar ・ co ・ jp を指定しています。ここがミソです。 @マークを含んだ文字列を受け取った代理サーバーは、 ftp.bar.co.jp 用のパスワードを要求します。 anonymous FTP なので、電子メールアドレスである kazu@foo.ac. jp を入力しています。代理サーバーは、ユーザー名 ftp 、およびパスワード kazu@foo.ac.jp を使って計算機名 62 ftp.bar ・ co. jp に FTP を実行して結果を直接ューサーに返します。すると、実際には ftp.foo.ac.jp にアクセスしているにもかかわらす、ユーザーには ftp.bar.co.jp と直孑妾続しているようにみえるのです。もちろん、 get や put などが自然に利用できますから、あたかも防火壁がないかのように anonymous FTP サービスが受けられます。図 14 に、内部言 t 算機ーヒの ftp コマンド、防火壁の外にある代理 FTP サーバー、そして、目的の FTP サーバー間のやりとりを示します。 ☆ 今回は、一方向フィルタと相性の悪い FTP サーピスを、なんとか相生をよくする方法について考えてきました。 FTP は、防火壁の竟ードでは使いにくいサーピスであることは否めません。イ督はみをしつくり理解し、防火壁があっても FTP サービスを享受する技術を自分のものにしてください。 ( やまもと・かすひこ奈良先端科学オ支術大完大学 ) [ 赭文献 ] [ 1 ] S. BeIIovin, 几〃 - F ロ e れ d FTP, RFC1579 , 1994 UNIX MAGAZINE 1996.1

10. UNIX MAGAZINE 1996年1月号

Pearl Vision ー T 日 R E T S 日 R バールビジョン・インターネットサービス広品質の高い接続で本格的にビジネスで BUSINESS 活用したい企業や手軽に利用したいビジネスマンをトータルにサポートいたします ※インターネット関連術は、ネットワーク管理会社グローバルビジョンとの提携により、完全サポートを実現しています U S E R SECURITY セキュリティ 0 0 0 イ及びグループでの接続は格安で提供いたします。ビジネスユーザー QUICI( CONNEC し OW PRICE 低価格 CONFIDENCE 信頼信頼性を損わないように充分な必要経費を計算の上、無駄な部分を削減した結果、コスト面でお悩みの企業や個人ユーザーに低料金で提供できるようになりました。インターネットサービスのこ利用が初めての企業やグループユーザーの目的、要望にに合わせてハードの構築からソフトに至るまで、フルサポートいたします。パールビジョンは、ホストプロバイダーを AT & T と定め、東京・大阪独自に 1 .5MB で接続しています。見たい情報や欲しい情報がスムーズに行える高速接続を提供。安定したアクセスをサポートいたします。インターネットサーバ - とセキュリティシステムをオ - ルインワンに集約できる、ホーダーウェアーのファイアーウォールサーババッケージを使用。総代理店であるニチメンデータシステム株式会社と特約店として契約。販売からサポートまですべて行います。 BORDERWare DATA BASE データーべス SYBASE SITE MANAGEMENT サイト管理 REMOTE CONTROL : 、リモート管理バールビジョンはサイベースの正規代理店として WWW サーバーのデーターべースリンクの管理 & サポートを行います。 * データーベースリンクの技術対応はすべてグローバルビジョンが行います。 WE 日サーバーのボトルネックを防ぐため、サーバーの代行管理や他社とのハードディスクの共有、監視・運用なども行います。バールビジョンはシステム管理 & サポート部分をグローバルビジョン※との提携により、インターネットサーバーのリモート管理を実現しています。用意しております。・インターネット専用線で接続され、全室を結んだインテリジェントビル及びテナントビルのシステムサポートも行います。ユーサ - ユーザーグループユーザー ※お問い合わせ & こ相談は、下記住所及び TEL ・ FAX 、 E - MA にで PearI Vision INTERNET SERVICE バールネットサービス株式会社速度加入料 64Kbps Y50 , 000 INS-C 型専用線接続 Y50 , 000 128Kbps 64Kbps Y50 , 000 高速デジタル 128Kbps Y50 , 000 専用線 IP 接続 192Kbps 以上別途相談 ※ルーター及びモデムのレンタル料は、上記料金に含まれています。 ※工事費は、すべてお客様の負担になります。 ※ダイアルアップサ - ビスは、行っておりません。月使用料 Y98 , 000 VI 68 , 000 Y98 , 000 VI 68 , 000 別途相談お問い合わせ大阪 / 〒 530 大阪府大阪市北区西天満 6-2-14 梅田天祥ビル 2 号館 7F TEL. 06-367-91 98 FAX. 06-367-9188 東京 / 〒 1 1 3 東京都文京区本郷 4-1 -6 コリンズ 84 / 7F TEL. 03-5800-8575 FAX. 03-5800-8492 E-Mail:info@pea 「 l.ad.jp 資料請求 No. 095