Category: サーバー
-
StartTLS
認証関係はやり始めると時間がかかる上、途中で辞められないので大変である。 やっとSSLとTLSとStartTLSの違いがわかった(気がする) SSLとTLSは実質一緒で、SSLがバージョンアップしてTLSになって、かつSSLはもう古いので使うな、ということらしい。でも通称SSLが多いのでSSL/TLSと表記することが多い、だそうな。 で、StartTLSは、最初から暗号通信するか途中から暗号通信するかの違いらしい。 httpsは最初から暗号通信を行う。http/StartTLSは最初httpで平文接続して、プロトコルの中でStartTLS -> ネゴシエーション -> 暗号化 という手順を行う。 同じポートで待ち受けできるので良いらしい。 そこでLDAPをTLS対応させてみたら色々はまりました。普通に間違えてつながらなくなってうひょーは割愛(これが大変だったのは確かだが… ldap.conf(のLDAPエントリ)に dn: olcDatabase={1}hdb,cn=configolcSecurity: tls=1 を追加すると、ldap://を受け付けるがStartTLSしないとダメ、と設定できる。この際なのでldapsの待ち受け消してldap/TLSのみにしてやろうと思ってやってみた。 結局のところ、クライアントにどうやってStartTLSを指示するか、が問題となった。あと、StartTLSをyesにして、ldaps://でつなぎに行くと2重になるのでエラーになる。なのでuri指定をldapi:/// ldap://…とldaps指定をやめた。ちなみにldapi:///指定でもStartTLSしないと弾かれる。UNIX socketなら暗号化は特にいらない気もするがまあ仕方ないのだろう。# それを言うとldap通信してるのは全部同一マシン内の仮想マシンなので根本的に暗号化の必要性は無いとも言えるが(汗 /etc/ldap/ldap.confにSSL start_tls でldap.confを読むやつはStartTLS対応になる。sudo-ldapなど。ただしTLS_REQCERTをneverとか、TLS_CACERTを適切に設定とかしないとはじかれる。nslcdもnslcd.confに同じ書き方で良さげ。 postfixはldap-*.cfにstart_tls = yes isc-dhcp-server-ldapはdhcpd.confにldap-ssl start_tls; wanderlust: .wlに(setq elmo-imap4-default-stream-type ‘starttls) openldap SyncRepl はstarttls=yesとtls_reqcert=allow|neverを指定。 と、ここまで来て困ってしまったのが、kerberos ldapだった。どうもMIT kerberosからLDAPを見に行くときにStartTLSの設定がないっぽい。このためだけにldapsを動かすのも嫌なのだが、諦めてldapsを指定してみる。 しかしオレオレ認証のためか検証エラーっぽくつながらない。やっぱりslapdのSecurity: tls=1 はダメなのだろうか・・・ 誰もkerberos ldap使ってないのだろうか。ググったけど1件だけ「まだ対応していないのでldapsにするかTLS諦めてね」というのがあっただけで、他は「対応しているかどうかは書かずに」「ldapにすれば動く」「ldapi:///でおけ」というものばかりだった。 世の中kerberosと言えばActive Directoryのようで、sambaとかAD使わずにkerberos+LDAP使っている人はかなり少数派のようである。 ldap://…/!StartTLSみたいなURIで指定する仕様もあるようだが、もちろんクライアントが対応していないと何ともならず。
-
Windows insider dev channel
しばらく前にwindowsのinsider previewでdevチャネルを登録したのだが、ちょっと前のupdateがハードのせいか失敗しまくるようになったので、他のチャネルに変えた。 他のアップデートがあればそっちに行くだろうと思っていたら、devチャネルは他のチャネルに移行しないらしく、再インストールとか必要らしい。 しつこく「来月今のチャネル終了するからアップデートしろ」と言われまくったので何とかすることに。 あれこれやってみたけどやっぱり再インストールしかない、という結論になってついさっき再インストールしました。 意外と再インストールには手間がかからず、ちゃんと戻せたようです。 基本的に全部onedriveで同期させてて、Nortonでパスワード管理しているのでほぼ問題なく移行できました。まあ、最悪c:\windows.old\に残っているので何とかなりますし。 devチャネルは一度入ると出るのが大変、という話でした。
-
dhcp server 未解決
自宅のipアドレスはdhcp serverで管理しているのだが増えすぎてワケワカになってきた。 クライアントによってグループ分けをしているのだが、グループによってアドレスプールを分けたいのだが、できない、もしくはすげーめんどくさい。 ちなみにdebianのisc-dhcp-server 4.4.1-2.2を使用。LDAP使用しているのでさらにややこしくなっているとも言う。 現在は全部hostでhardware ethernet 指定とfixed-addressで全部固定。 subnet 192.168.3.0 netmask 255.255.255.0 { pool { range 192.168.3.10 192.168.3.20; host aaa1 { … } host aaa2 { … } } pool { range 192.168.3.128 192.168.3.200; host bbb1 { … } host bbb2 { … } } pool { range 192.168.3.250 192.168.3.254; allow unknown clients; }} こんな感じでクライアントaaaを10-20の間で、bbbを128-200の間で、それ以外は250-でリースしたいのだが、host指定の位置に関係なく全pool内からリースされてしまう。 […]
-
プロバイダ変更
プロバイダを変更しました。(Biglobe -> ドコモ光(とくとくBB)) 速度的な問題とかそういうのは特になくて、単純に料金の問題です。 今までドコモ光の存在を知らなかった、というのもありますが(汗家族全員Docomoなので、そこそこ大きいです。 Biglobeは辞めようとすると安くするよ!という謎の仕様がありましたが、断りました。 とくとくBBとDocomoとフレッツ光の関係が良くわからなくて、なんかモヤモヤしました。回線もプロバイダも一緒になってたらい回しが無くなるよ!的なキャッチコピーもあった気がしますが、余計たらい回しな気がしないでもないです。今のところ回されてませんけど。 まずはとくとくBBに申し込み。これはWebから。ここから飛んだ申し込みページから出ないようにしないとポイント還元とか無いよ!的な所から入ったので、電話確認の予定日とか決めつつ申し込みをポチる。するとポチった後、転用承諾番号が必要なので前のプロバイダからもらっておいてね、と出た。 いや、電話確認明日とかにしたのに間に合わんやんけ、と思いつつBiglobeに電話する。Biglobeもほとんどの手続きはWebでできるのに退会関係だけは電話のみ、というお約束で、繋がらなかったらもっと間に合わないなーと思いつつ何とかつながる。 「明後日の午前中にメールで番号送ります」と言われる。確認電話の意味無くなるなーと思って、時間を変更しようと思ったら、もう一度申し込むようなページに飛ばされたので諦めた。 そして確認の電話が入る。「すいません、転用番号がまだなのでまたお願いします」。光コラボ変更なのに申し込みが終わるまで転用番号先にもらっとけ的な事が一切なかったのが悪いんだよと思いつつ言えない小市民。 注意事項とかあったりするとそこで転用諦めちゃうからわざとやってるのかもなーと邪推しつつ転用番号を待つ。ちなみに確認電話の希望日は連続3日にしておいたので第2希望で、と思ったら転用番号も午前中でどっちが早いかになるので午後イチで電話をもらうようにした。 延々とお約束で悪いが、転用番号は予定時間9:00-12:00のうち9:03に届く。思いっきり3時間待ちになった つД⊂ そしてやっととくとくBBの申し込みが完了。今度は ドコモ光に電話して工事日決めといてね♡ やっぱりたらい回しじゃねーかと思いつつ了承。 で、工事日を決めるのにとりあえず最速で頼んだら2週間後であった。早いのか遅いのか… そして工事日が土曜日であることに注意するべきだったと思い知らされる。 どこかの電話で聞いたのが、工事日はできるだけ月末にしておいた方がプロバイダ料金お得ですよ的なことを言っていたのだが、この工事日が2週間後か1か月後かわからんのと、転用番号の有効期限が15日間なのと、Biglobeの解約月が7月で、これ以外の月は違約金がいっぱい発生するとかあって、結局7月頭に予定組むしかない状況であった。 そうこうする間にSMSメールでGMOとくとくBB 接続設定情報、Wi-Fiルーター申し込みの案内が届く。さっそくログインしてWiFiルーターを申し込む。(性能で)NECか(慣れてるので)Buffaloかだったが、性能でNECを選ぶ。IPv6とか細かい設定できるようだったし。まあこれも間違いだったんだが。 BBnaviには普通にログインできた。メールを読んでみようと思ったがなぜかログインできない。メールサーバーは3つから選ぶというかメールアドレスから決まっているんだが、自力で調べないといけない。まあ一度調べたらブックマークするので最初だけなのかもしれないが、BBnaviからwebメールに飛ぼうとするとどれだっけ?になるのが頂けない。認証後にそのサーバに飛ばすとかできんかったのか…?パスワードを変更しようとしたが、メールパスワードの変更ができない。接続パスワードの変更に飛ばされる。もしかしたらこの後にメールパスワードか接続パスワードかの選択があるのかもしれないが、ここもわかりにくい。 というか、BBnaviのヘルプと実際の画面が異なる。多分バージョン変わったんだが、ヘルプが追い付いていない感じ。新旧入り乱れたヘルプのため非常に混乱させられる。もしかしたらバージョンじゃなくてドコモ光専用ページとかかもしれないが、「BBnaviにログインして」「以下のところをクリックすると」全く違う画面が書かれていて意味不明なヘルプであった。 そして数日で契約書?が届く。とくとくBBからかと思ったらドコモ光からだった。でもとくとくBBの接続IDとかパスワードとか書いてある。ここにWebメールのパスワードが書いてあった。これが届く前に見ようとした勇み足が悪かったんだよ…そうさ私が悪いのさ(ヤケ 今度はWiFiルーターが届く。意外と早かった。つないでみたいが下手につなぐと面倒そうで工事日まで封印する。 あとは工事日を待つだけー。工事日からしばらくネット不安定になるから注意してねと家人に伝える。 だがしかし。土曜日になっても何も変化が無い。IPv6グローバルも変化しない。v6プラスのアドレスも変化しない。アドレスが変わった時のためにセキュリティ関係変更しようと思っていたのに何も変化が無い。 これでいいのかと思いつつNECのAtermを接続し、あれやこれや設定していく。WiFi SSID引っ越しもWPSぽちぽちで終わり。v6プラスもONU側で普通につながっている。しかしBBNaviで見ると「ドコモ光 “未開通”」「V6プラス”未使用”」「V6プラス配信手続き”申し込みできません”」そしてSMSもメールも何も連絡が無い。 こういうもんなのかなーとログを表示させながら延々と待つ。 ふと見るとAtermの状態がv6プラスになっている。調べてみるとONU側の配信済事業者ソフトウェアからIPv4設定が消えている。ということはAtermでv6プラスが動いているということだ。 連絡もないのでいいのかなーと思いつつ動作確認をする。しかしアドレスの変化もない。v4のアドレスも変わらない。何も変化ないけどいいんかよと思いつつ設定を変えていく。まあアドレス変わってないので楽だなーと思ったらなんか色々不具合が。 今まではONU – RTX810 – 家庭内LAN だったのが ONU – Aterm – 家庭内LAN になる。まあRTXを置き換える予定でAterm選んだんだし入れ替えるしかないなーと見ていたら、今までは2001:db8:c260:1100::/56をもらって、RTX810がDHCPv6 pdで 2001:db8:c260:11F0::/60 を配布する、だったのだが、Atermも同じDHCPv6-pdモードだったので同じかと思ったらなぜか2001:db8:c260:1100::/64を配布している。ONUでもAtermにはDHCPv6のpd払い出しをしていない。 なんか通信弾かれるなーとログを見ようとしたら、なんとAtermにはログがない! Aterm WG2600HSにはsyslogがない! Aterm(超大事なことなので3回言おうと思ったが自粛) うむ。ルーターとしては使えん。WiFi APにしよう。 […]
-
apt repository
自前で作ったdebian packageを自前のapt repositoryに突っ込む時の問題。 この競合の警告が消せなくて悩んでいたが、どうもPackagesを圧縮するのがいけないらしい。 圧縮やめたら警告なくなった