りんけーじ - 日記

お外でiPadとかのデバイスから家の中へアクセスすることが多くなってきたので、ちょっとセキュリティーを調整。

HTTP Basic認証を使っていると、iPadさんがSafariの再起動ごと(?)にパスワードを聞いてくる。当然、人目のあるところでパスワードなんて打てないので、不便で困る。(中身はちらっと見られたくらいじゃ困らない。)

少し考えて、SSLのクライアント認証機能をONにしてみた。

クライアント証明書があるならそれで認証、なければBasic認証、としたいけど、無理っぽいのでこれは諦めた。

さて、そうするとVirtualHostの設定は以下の2つになる。(ポート番号は嘘ですよ？)

• VirtualHost A: SSLサーバ+Basic認証+リバースプロキシ(Listen 0.0.0.0:777)
• VirtualHost B: SSLサーバ+クライアント認証+リバースプロキシ(Listen 0.0.0.0:778)

しかし、リバースプロキシの設定(URLベースの振り分け)が結構多い。そのまま設定する(つまりAの内容をBにコピーする)と後で泣くのは見えているので、以下のようにする。

• VirtualHost A: SSLサーバ+Basic認証+リバースプロキシ(Cへ転送) (Listen 0.0.0.0:777)
• VirtualHost B: SSLサーバ+クライアント認証+リバースプロキシ(Cへ転送) (Listen 0.0.0.0:778)
• VirtualHost C: リバースプロキシ(URLで振り分け) (Listen 127.0.0.1:779)

まぁ、当たり前ですよね。

しかしこうすると、今度はリバースプロキシの先にいるRedmineさんがおばかになってしまった。

ログインページは出るけれど、ログインしようとするとlocalhost:779に飛ぼうとする。Redmineの設定で自分のURLは～と設定できるハズだが、そんなことをすればport 777でアクセスしたのに778に飛ばされたりしてしまう。

Apacheが余計なことを吐いているのは間違いないと思っていたので、勘でVirtualHost A,B,Cの設定にProxyPreserveHost Onと書いて解消。理由なんて知らない。

実験的にSamba4でActive Directory(AD)を構築して遊んでみた。

遊ぶだけなので、普通に使っているファイルサーバを壊したくない。それを考えて、以下のような構成をしてみた。

ちなみに、目的はADの実験と移動プロファイルの使用試用。

• 新規VMにsamba4をインストール。
• 新規VMからファイルサーバをNFSでマウントして、それをSamba4で共有。
• Windowsクライアントでドメインに参加、移動プロファイルを設定。

得た結論は以下。

• ADを使ってもうれしいことはない。認証の統一なら、KerberosでもLDAPでも、適当に専用のものを立てたほうが楽。
• 現状、Samba4からは外部のKerberos認証を参照したりできない。これだと認証サーバを1つにまとめるためにはAD(Samba4)を中心に据えないといけない。そんなのは無論却下。
• ログイン・ログアウトが遅すぎて、移動プロファイルは役に立たない。こんなに遅いなら、ネットワークドライブをローカルのプロファイルがある場所にマウントしてしまえ。(できるかは知らない)
• サーバ間で共有をかけるためにNFSを使ったが、そのときにUID/GIDを揃えるためにNISをセットアップした。これは便利。NFS万歳。

やーい、書き換え忘れー。

最近は暑いので、snmp経由で温度情報をかき集めてrrdtoolに蓄積、グラフ化して遊んでました。

ところが、遠隔地にある少し古い子がどうもおかしい。2月ちょっと動かして、その間ずーーっと57度ちょうど。(ちなみに以下のsysctlで取得)

hw.acpi.thermal.tz0.temperature

それが、freebsd-upgrade(portupgradeかも)をしてたらほんのちょっとだけ動いたのです。

57度以下が計れない、なんてことはないだろうし……。なんだろう。

今年の夏休みも、たいしたことをせずに終わりを迎えそう。以下、やったことを書いてみる。

• iPadの大きさに絶望
• Javascriptのお勉強(ECMAScriptの仕様書とにらめっこ)
• サーバのOS更新(FreeBSD 7.2から8.1へ)
• 壊れたHDDの交換とバックアップの追加(進行中)

あと、メインサーバがCore2 Duoなどという貧弱な環境で動いていることに気づきました。近日中にCore i7にしてやることにします。

ハードを交換するのは多分簡単だけど、問題はVMware ESXiがちゃんと動くか。またUSBメモリ(PSP+Memory Stick)にインストーラを書き込んでバタバタするのはイヤ。

ところで、おかしくなったディスクをバックアップ用にまわすという危険極まりないことをしてみたところ、元々zpoolの一部だったせいか、うまく認識してくれなかった。

[alraune:~] root# zpool create -f -m /external external /dev/da0
cannot create 'external': one or more vdevs refer to the same device

ddで頭の部分を消してみたり、接続しなおしても変わらず。困りつつ、電車の移動時間中に延々とゼロクリアさせたら直った。頭以外にも管理情報を持ってるのね、きっと。

[alraune:~] root# dd if=/dev/zero of=/dev/da0 bs=65536
^C3753512+0 records in
3753511+0 records out
245990096896 bytes transferred in 9323.606604 secs (26383577 bytes/sec)
[alraune:~] root# zpool create -f -m /external external /dev/da0
[alraune:~] root# zpool status
  pool: external
 state: ONLINE
 scrub: none requested
config:
        NAME        STATE     READ WRITE CKSUM
        external    ONLINE       0     0     0
          da0       ONLINE       0     0     0
errors: No known data errors

最初に全部ゼロクリアすればいいんだろうけど、めんどくさい。管理情報を狙い撃ちして消したいな。

今朝、突然こんなメールが。

• 見覚えのないタイトル。
• やたらと長いFromアドレス。
• やる気の感じられないメール本文。
• (鬱陶しいから嫌いだけど)いつものメールみたいに飾りつけられていない。

実験台にhttps経由でアクセスさせたら一応マトモっぽい証明書が見えたので、どうやら偽者ではないっぽいけど……。もし本物なら、もう少しもう少し「それっぽく見える」ように努力してほしいですね。

ちなみに、spamassasinが2008-06-10とか書いてありますが、あんまりだったのでさっき更新しました。自分怠慢。CPAN万歳。

ATTENTION: Unknown system type: FreeBSD 8.0-RELEASE
 

とか失礼なことを言われたから、FREEBSD8を定義してやった。

postfix-2.6.5.freebsd8.patch

cd postfix-2.6.5 ; patch -p1 < postfix-2.6.5.freebsd8.patch
 

で食べられるはず。

新年あけましておめでとうございます。本年もどうぞよろしくお願いします。

去年は実に進展のない一年でした。ほんと、何もしてない。

やっぱり、考えるよりも手を動かすべきと実感してます。なんかここ数年同じことばっかり思いつつ、同じ結果になっている気もしますが……今年こそは。