なかのにっき

最新版はこちら。 突っ込みは各日付の BBS エントリのほか、 メール (nakano@st.seikei.ac.jp) や フォーム からどうぞ。 なおスパム除けのため、BBS 機能には 緩い認証を入れて います。 検索エンジンから来た方は、エンジンの方のキャッシュを見るか、 下の簡易検索を試してみてください。


hns - 日記自動生成システム - Version 2.19.5

先月 2025年09月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい
検索式:

2025年09月12日(金) [n年日記]

#2 web サーバの証明書更新

去年やったやつ の更新。csr を作るところまでは全く同じ。 NII の TSV 作成サービス で「作成開始」。

遷移したページで
TSV ファイル種別→更新申請用 TSV
証明書種別→サーバ証明書
証明書プロファイル→3: サーバ証明書(sha256WithRSAEncryption)
にして「この内容で作成を開始」

遷移したページで、CSR ファイルを読み込んだあと、去年と同様に
主体者DN→入っているのでそのまま
失効対象証明書シリアル番号→[後述]
サーバFQDN→入っているのでそのまま
利用管理者E-mail→いれる
利用管理者氏名→管理者のフルネーム(ローマ字表記が無難)
利用管理者所属→Faculty of Science and Engineering
Webサーバソフトウェア名等→apache2.4
dNSName→IPアドレスが同じで別のFQDNを持つ場合、dNSName=[CNAME]
とする。dNSName は、surf / acserv に CNAME があるのでそれを。

失効対象証明書シリアル番号は、去年置いた /etc/upki/keys/HOSTNAME.csr に対して
# openssh 509 -in HOSTNAME.csr -noout -serial
を実行すると
serial=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
というのが出てくるので XXX...X の部分をコピペ。

これで完了すると TSV がダウンロードできる。 あとは去年と同様の作業。秘密日記に。

#1 新ネットワークの dns まわり

samba-ad-dc は dns サーバを兼ねるので、既存の nsd/unbound との整合をとった。 具体的には、ドメイン emplab.st.seikei.ac.jp の正引きは samba-ad-dc に任せ、逆引き(とそれ以外の外のサーバ) を既存のサーバに forward することにした。ChatGPT さんとの会話のリンクは、ちょっと生々しいので秘密日記へ。
コメント [全部読む/投稿する]

2025年09月11日(木) [n年日記]

#1 samba AD DC その後

共有に新規ファイルを作ると uid 30000 になるという謎の現象に悩まされていたのだが(既存のファイルにはちゃんとアクセスできて読み書きできる)、ユーザ nakano を "Domain Admins" から抜いてみたら、という suggstion を例によって ChatGPT さんにもらって、たぶん解決できたっぽい。これ他に困ってるひといないかねえ。

samba-ad-dc に対して、ローカルに sssd で繋ぎにいくのはご法度らしく、winbind で繋ぐのだ、と言われて、すると getent passwd nakano とか id nakano で引いたユーザ名が Domain\name 形式になっちゃう。また shell が DC に登録した通りにうまく渡らない。まあ ad-dc サーバをメインで使わなければいいんだが。しかしもにょる。

というわけで、まあ migrate を研究室のメインサーバにできる目処が立ったので、いろいろ修正中。バックアップも見直さないと。
コメント [全部読む/投稿する]

2025年09月10日(水) [n年日記]

#1 過去の MH フォルダのメールを Thunderbird のローカルフォルダーに突っ込む

Sylpheed Pro の強力な検索機能で幸せに暮らしていた私ですが、Sylpheed が OAUTH2 の対策に失敗して、Pro もあえなく discon となってしまい。

で、Outlook の挙動を見ていると、一定期間前のメールが受診トレイに残っていないようで。というわけで 1 ヶ月以上前のメールを検索で拾えない状況が数ヶ月(長えよ)続いていた。

しかし Thunderbird ならローカルフォルダー (設定→アカウント設定→ローカルフォルダー で HDD の領域にできる) に mbox 形式のファイルを置けば検索可能になるとのことで、やってみた。例によって ChatGPT さんに聞いたログ を置いておきます。

nmh パッケージの packf を使うと MH→mbox がすぐできる、そのファイルを Thunderbird のローカルフォルダーに置きましょう、というのが最初の suggestion だったんだけど、これはどうも件数が少なくなってしまう。JIS コードのメールが混ざると mbox のメール区切りが正しく拾えなくなっているっぽくて、結局 python の mailbox ライブラリを使う以下のようなスクリプトでちゃんと変換できた模様。
#!/usr/bin/env python3
import sys, mailbox, os

mh_dir   = sys.argv[1]              # MH フォルダのディレクトリ(例: ~/Mail/inbox)
out_mbox = sys.argv[2]              # 出力 mbox(例: ./inbox_clean.mbox)

mh = mailbox.MH(mh_dir)
mb = mailbox.mbox(out_mbox, create=True)
mb.lock()
try:
    for key in mh.iterkeys():
        msg = mh.get_message(key)   # MHの1通をRFC822として取得
        mb.add(msg)                 # mboxに“正規化”して追加(From_や >From 処理含む)
    mb.flush()
finally:
    mb.unlock()
    mb.close()
ということで、大きな mbox ファイルをボンボンと置いたところ、たぶん indexing に時間がかかったんだと思うけど、徐々に過去のメールが検索できるようになった。ということで懸案のメールをいくつか送った。やっとマトモに作業できる環境になったなあ。
コメント [全部読む/投稿する]

2025年09月03日(水) [n年日記]

#1 migrate に RAID1 を構成

メインサーバになってもらうので、ここに /home も移すことにした。 PRIMERGY で PRAID カードを追加していない場合、オンボード SATA の RAID は Intel RSTe のソフトウェア RAID とのことなので、mdadm でやることに決定。
  1. mdadm パッケージを apt install
  2. lsblk でデバイスを確認
  3. RAID を作る
    sudo mdadm --create --verbose /dev/md0 --level=1 --raid-devices=2 /dev/sda /dev/sdc
    
    実行すると
    o optimalize recovery speed, it is recommended to enable write-indent bitmap, do you want to enable it now? [y/N]?
    
    と聞かれるので、これは Y。データ同期を全体ではなく書き込み変更のあった領域のみにするためのものとのこと。
  4. 初期同期処理はバックグラウンドで進行。もう書き込んでいいそうだが、一応待機。 cat /proc/mdstat で状況がわかる。こんな風にでる。
    Personalities : [raid1]
    md0 : active raid1 sdc[1] sda[0]
          3906886464 blocks super 1.2 [2/2] [UU]
          [=>...................]  resync =  7.2% (281465024/3906886464) finish=347.0min speed=174100K/sec
          bitmap: 28/30 pages [112KB], 65536KB chunk
    
    unused devices: <none>
    
    resync が消えたら完了。
  5. ファイルシステムつくる
    mkfs.ext4 /dev/md0
    
  6. マウントして確認
    mkdir /mnt
    mount /dev/md0 /mnt
    df -h /mnt
    
  7. mdadm.conf にアレイ情報を確認
    mdadm --detail --scan >> /etc/mdadm/mdadm.conf
    
  8. initramfs を更新
    update-initramfs -u
    
  9. fstab に登録
    bldid /dev/md0
    
    で UUID を確認して fstab に追加。
という感じで。監視は以下の手順。
  1. /etc/mdadm/mdadm.conf に
    MAILADDR nakano
    
    を追加。
  2. systemd のユニットを有効化
    systemctl list-timers | grep mdmonitor
    
    で、素手に起きていたので OK。なければ systemctl start すればよい。
コメント [全部読む/投稿する]

2025年09月01日(月) [n年日記]

#2 samba そのほか

homeDirectory と homeDrive:

samba-tool user add のときには設定するオプションがあるが、あとから書き換えるのは samba-tool user edit でエディタ使わないといけないので結構たいへん。

2 代目:

謎の sssd 起動時エラーに延々悩んでいたら sssd-ldap が入っていなかった… こんなのでもずっと付き合ってくれる ChatGPT さん素敵。

#1 samba-ad-dc の ldap を見るように Linux ホストを設定

samba-ad-dc は LDAP/DNS サーバを兼ねるので、いまの ldap クライアントの見る先を変える必要がある。 これまでは libpam-ldap / libnss-ldap でやっていた わけだが、最近は sssd というのが標準だそうで。ということで 例によって ChatGPT さん に教えていただきつつ。

サーバ側の設定:

匿名バインドができないので、読み取りのユーザを作る。
samba-tool user add ldapbind (PASSWORD) --description="LDAP Bind account"
配布用の証明書 /var/lib/samba/private/tls/ca.pem を取り出しておく。

クライアント側の設定:

  1. パッケージのインストール
    apt install sssd sssd-tools libpam-sss libnss-sss
    
  2. サーバの証明書をコピーして読み込み
    # cp ca.pem /usr/local/share/ca-certificates/samba-ca.crt
    # update-ca-certificate
    
  3. /etc/resolve.conf を編集 samba-dc-ad が提供している名前を見にいくようにする。うちだとこんな。
    domain emplab.st.seikei.ac.jp
    search emplab.st.seikei.ac.jp fslab.st.seikei.ac.jp
    nameserver 172.28.0.136
    
  4. /etc/sssd/sssd.conf を編集する
    [sssd]
    services = nss, pam
    config_file_version = 2
    domains = EMPLAB.ST.SEIKEI.AC.JP
    
    [domain/EMPLAB.ST.SEIKEI.AC.JP]
    id_provider = ldap
    auth_provider = ldap
    ldap_uri = ldaps://migrate.emplab.st.seikei.ac.jp:636
    ldap_search_base = dc=emplab,dc=st,dc=seikei,dc=ac,dc=jp
    ldap_default_bind_dn = cn=ldapbind,cn=Users,dc=emplab,dc=st,dc=seikei,dc=ac,dc=jp
    ldap_default_authtok = パスワード
    ldap_id_mapping = False
    
    という感じで。ldap_uri は FQDN にしておかないと warning が出る。ファイルは 600 にしておく。
  5. /etc/nsswitch.conf を編集 こんな感じになるはず
    passwd:		files systemd sss
    group:		files systemd sss
    shadow:		files systemd sss
    
  6. pam の更新 /etc/pam.d/ の common-account, common-auth, common-password, common-session に nss のエントリーが入っていることを確認し(これはパッケージャが実行)、pam-auth-update で sssd を有効化
  7. デーモンを起動
    sudo systemctl enable sssd --now
    
  8. 動作確認
    getent passwd nakano
    id nakano
    
    という感じで。
タイミングは微妙だが、nscd と nslcd は停止、パッケージごと削除したほうがよさげ。
コメント [全部読む/投稿する]

以上、5 日分です。
タイトル一覧
カテゴリ分類
book
dept
issp
labo
paper
snap
stock
vsj
Powered by hns-2.19.5, HyperNikkiSystem Project

中野武雄 (NAKANO, Takeo) <nakano@st.seikei.ac.jp> Since 1999-10-07
RSS feed, 更新時刻, LIRS エントリ, アクセス制御 (解説)

中野のホームページへ