鯖のはやにえ的覚書

RADIUS on Mac OS X Server

Sat, 6 Sep 2008 18:08:55 +0900

RADIUSサービスを構築した時のメモ。

Mac OS X Server 10.5.4 の詳細構成
AirMac Extreme (高速Ethernet model)

Mac OS X Server はDNS, ODを実行している状態。
AirMac Extreme は検証ネットワークのGateway NAT Boxになっている。

手順
RADIUSサービスを追加
一般画面で設定アシスタントを起動。以下その指示に従う。
サービスを提供するユーザは全てのユーザとした。

とても簡単にセットアップされる。AirMac BSの設定も設定アシスタントによって書き変えられるので、とてもお手軽。

実際に何をやっているのかは、radiusconfig.log に記録されているのでそれを参照するといいだろう。AirMac BSの追加作業もradiusconfig(8)でやっているようだ。驚き。

2008-09-06 13:50:47 +0900 - radiusconfig -getssid 10.0.66.1
2008-09-06 13:51:52 +0900 - radiusconfig -installcerts /etc/certificates/Default.key /etc/certificates/Default.crt
2008-09-06 13:51:52 +0900 - Removed directory at path /private/etc/raddb/certs/demoCA.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//root.der.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//root.p12.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//root.pem.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//cert-clt.der.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//cert-clt.p12.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//cert-clt.pem.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//cert-srv.der.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//cert-srv.p12.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//cert-srv.pem.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//newcert.pem.
2008-09-06 13:51:52 +0900 - Removed file at path /private/etc/raddb/certs//newreq.pem.
2008-09-06 13:51:52 +0900 - command: /usr/bin/openssl dhparam -check **** -5 512 -out /etc/raddb/certs/dh
2008-09-06 13:51:54 +0900 - openssl command output:
Generating DH parameters, 512 bit long safe prime, generator 5
This is going to take a long time
.............+...........+.......................+............................+................................+........................................+................................+........+........+..+.................+...............................................+.............+......+.......+.....................+..............................................+......................................+........+.........................+......+...................+..+........+...............++*++*++*++*++*++*
unable to write 'random state'
2008-09-06 13:51:54 +0900 - command: /usr/bin/openssl rand -out **** 512
2008-09-06 13:51:54 +0900 - openssl command output:
unable to write 'random state'
2008-09-06 13:51:54 +0900 - radiusconfig -setcertpassword
2008-09-06 13:51:54 +0900 - radiusconfig -importclients /var/run/servermgr_radius.nas-import-list.KoW6o7/importfile
2008-09-06 13:51:54 +0900 - NAS list successfully added.
2008-09-06 13:51:55 +0900 - radiusconfig -getssid 10.0.66.1
2008-09-06 13:51:58 +0900 - radiusconfig --capture-base-station 10.0.66.1 10.0.66.92
2008-09-06 13:51:58 +0900 - radiusconfig -start

BUG:
Mac OS X Server 10.5.4の時点で、サーバ管理を日本語環境で使ってRADIUSを構成すると失敗するようだ。RADIUSに限らず、マニュアル通り動かない時は操作環境を英語環境にしてみるといいだろう。

絶対に失敗しないOD Master の作り方

Sun, 6 Jul 2008 13:32:20 +0900

Mac OS X Server のディレクトリサービス「Open Directory」。OpenLDAPを軸とした、LDAP によるディレクトリサービスである。
僅かな手順で、OpenLDAP、Kerberos、SASLを含めた非常に高度で複雑なディレクトリサービスを簡単に構築できる。

しかし、安易に作ると失敗してしまうことも。失敗しないためにはDNSの登録が大事とよく言われるが、このことの意味をきちんと分かっているケースは少ない。DNSに正逆引をきちんと登録しているにもかかわらず、構築に失敗するケースがままあるのはこのためだと思う。

重要なことは「DNSの登録状態を自分で確認しない」ということだ。確認は「コンピュータにさせる」のだ。

例えば、サーバのFQDNとアドレスを以下のように登録されているとする。

FQDN: server1.mysite.org
IP アドレス: 10.1.2.3

確認手順は以下の通り。
まずOpen Direcotryサーバにログインする。
以下のコマンドを実行
$ host `hostname`
$ host 10.1.2.3

重要なことはここでサーバのFQDNを自ら入力しないことだ。2行の結果が期待通りなら必ずOpen Directory Masterは構築できる。そのようになっているのだ。
ただし、逆引きはptrで直接FQDNが引けることが条件ではあるが。。。

起動ボリュームを切替える

Sat, 26 Apr 2008 22:34:34 +0900

コマンドラインで起動ボリュームを切替えるには、systemsetup を使う。しかしこのコマンドはインストールメディアから起動している場合は使えない。
インストールが終わった後、今インストールしたシステム以外から起動させたい場合は、bless コマンドを使って起動ボリュームを切替える。

# bless --device /dev/disk1s2 -setBoot

bless コマンドは通常起動している場合でももちろん使える。

Screenshot を iPhotoで管理

Sat, 3 Nov 2007 11:08:47 +0900

セットアップログの一部としてスクリーンショットを撮っていくと、あっという間にデスクトップにファイルが溜まってしまう。
後で報告書をまとめるのにiPhotoで管理しておくと便利だ。

しかし、Screenshotはpng形式。iPhotoはこれを取り込まない。変換が必要だ。

。。。。面倒くさい。ので、Automator workflow。

Finderで項目を選択し、実行。ファイルタイプをJPEGに変換し、iPhotoに放り込む。終わったらデスクトップからスクリーンショットは消えている。

BUG: 選択したファイルがJPEGに変換出来るかどうかを判定しません。

ScreeShot2iPhoto.workflow.zip

Install Server Without Router

Sun, 26 Aug 2007 07:37:22 +0900

Routerのない閉じたネットワークでMac OS X Serverを運用する時、ネットワーク設定のルータのアドレスはそのサーバ自身のIP Address値を入れると吉。