[ITPASS2018]gate-toroku-system のインストールと設定

概要

神戸大学 惑星学専攻/学科 ITPASS サーバのユーザ管理には gate-toroku-system (神戸 ITPASS サーバ用) を用いる. このソフトウェアは元々北大理学の EP計算機ネットワーク技術支援グループ で開発されたユーザ管理用ソフトウェアで, ITPASS サーバではこれを ITPASS サーバ用に修正を行って導入している (修正したものを以下では神戸版 gate と呼ぶ).

なお, 現在の gate-toroku-system 最新版は電脳サーバで管理されている. また神戸版 gate は, old の gate_toroku_system を当該年度の初版として cvs で管理している.

ここでは, 神戸版 gate のインストールおよび設定を行う. cvs 管理のための準備は[ITPASS2014] gate-toroku-system の開発・メンテナンスのための準備を参照.

なお, サーバ運用中の gate の開発やメンテナンスについて [ITPASS2012]gate-toroku-systemの開発とメンテナンスにも目を通しておくこと.

作業用アカウントの作成

  • gate-toroku-system 管理用アカウント: gate を作成する. ユーザ ID は 500 にする.

(1 -- 999 の間 (システムユーザ領域) であれば他の番号でもよい).

# adduser --uid 500 --disabled-password gate
登録の際, フルネームは「Administrator of gate-toroku-system」とする.

以下は 2018 年度の例.

# vigr

gate:x:500:murashin,noda,daisuke,nobesaka,dai19k

# vigr -s

gate:!::murashin,noda,daisuke,nobesaka,dai19k

必要なソフトウェアのインストール

gate に必要なパッケージをインストールする.

パッケージの確認

dpkg コマンドを用いて, 必要なパッケージがインストールされていることを確認する. ([ITPASS2017]OSの各種設定#debianパッケージの引き継ぎ でインストール済みのはずである). 以下に示す実行例の "hoge" をパッケージ名に読み替えて実行する.

# dpkg -l | grep hoge
  • 必要なパッケージ: rsync, wget, htroff, cvs, libjcode-pm-perl, libcrypt-passwdmd5-perl, libdatetime-perl, libdatetime-format-strptime-perl
  • htroff は apt-get でインストールできないため, 地球流体電脳倶楽部から

以下の4つのファイルを取得してインストールする.

htroff_2.0-1.dsc
htroff_2.0-1.tar.gz
htroff_2.0-1_all.deb
htroff_2.0-1_i386.changes

  # wget http://www.gfd-dennou.org/arch/cc-env/htroff/htroff_2.0-1.dsc
  # wget http://www.gfd-dennou.org/arch/cc-env/htroff/htroff_2.0-1.tar.gz
  # wget http://www.gfd-dennou.org/arch/cc-env/htroff/htroff_2.0-1_all.deb
  # wget http://www.gfd-dennou.org/arch/cc-env/htroff/htroff_2.0-1_i386.changes
  # dpkg -i htroff_2.0-1_all.deb
  # dpkg -l | grep htroff

gate ユーザ宛のメールを転送する

  • /home/gate/.qmail に管理者のメールアドレスを書き込む.

    # vi /home/gate/.qmail
    
    &itpadmin

gate-toroku-system のソースの取得と展開

ika-itpass の /home/gate から gate-toroku-system のソース(gate-toroku-system.tgz) を tako-itpass の /home/gate にコピーし, 展開する. 展開は以下のコマンドで実行する.

# tar xvfz gate-toroku-system.tgz

設定ファイルの編集

gate.conf

ika-itpass の /etc/gate/ の下から gate.conf をコピーし tako-itpass の /etc/gate/ の下に置く.

# cd /etc
# mkdir gate

gate.conf 内の$DBSERVER を以下のように編集する.

$DBSERVER = “tako-itpass.scitec.kobe-u.ac.jp";

また, %DB_SHARE_HOSTS が以下のようになっていることを確認する.

%DB_SHARE_HOSTS = (
                'ika-itpass.scitec.kobe-u.ac.jp','wheel:itpadmin'
#               'dennou-k.kugi.kyoto-u.ac.jp','wheel:dcstaff',
#               'dennou-h.ees.hokudai.ac.jp','wheel:dcstaff',
#               'dennou-q.geo.kyushu-u.ac.jp','wheel:dcstaff'
          );

gate-user.conf

同様にして gate-user.conf をコピーし /etc/gate に置き, $WHEELUSER が 'itpadmin' になっているか確認する.

$WHEELUSER = 'itpadmin';

gate-toroku-system CGI を動作させるための apache2 設定

CGI の動作に関して, apache2 の設定を確認する.

  • apache を動作させるユーザ, グループ
    • apache がどのユーザ, グループの権限で動作するかは /usr/local/apache2/conf/httpd.conf 内の「 User 」 と「 Group 」で指定される.
User www-data
Group www-data

となっている.

  • 「 User 」,「 Group 」に指定されているユーザやグループが gate.conf の

$CGIUSER に指定されているユーザと一致していることを確認する.

$CGIUSER = "www-data”;
  • /usr/local/apache2/cgi-bin/ の CGI が動作するために /usr/local/apache2/conf/httpd.conf で下記の記述があることを確認する.

    </IfModule>
    
    <IfModule cgid_module>
    #
    # ScriptSock: On threaded servers, designate the path to the UNIX
    # socket used to communicate with the CGI daemon of mod_cgid.
    #
    Scriptsock cgisock  
    </IfModule>
    
    #
    # "/usr/local/apache2/cgi-bin" should be changed to whatever your ScriptAliased
    # CGI directory exists, if you have that configured.
    #
    <Directory "/usr/local/apache2/cgi-bin/">
        AllowOverride AuthConfig Limit
        Options +ExecCGI +FollowSymLinks +IncludesNoExec
        Require all granted
    </Directory>
    • さらに, /usr/local/apache2/conf/httpd.conf において, LoadModule ... が羅列してある部分の行末に以下の行を追記する.

      LoadModule cgid_module modules/mod_cgi.so

make とインストール

make とインストールを行う.

# su gate
$ cd ~gate/gate-toroku-system/
$ perl ./config.pl
$ make

$ exit
# mkdir /usr/local/gate/
# mkdir /usr/local/gate/bin
# cd ~gate/gate-toroku-system
# make install

make したときに

make[1]: Entering directory '/home/gate/gate-toroku-system/if_sndr_from'
install if_sndr_from.pl /usr/local/gate/bin/if_sndr_from.pl
install: 通常ファイル `/usr/local/gate/bin/if_sndr_from.pl' を削除できません:  許可がありません
Makefile:15: recipe for target 'install' failed
make[1]: *** [install] Error 1

というエラーが出るのは仕様である. make install 時のエラーも同様に仕様である.

make した後に /usr/local/gate/bin を手動で作り make install すればよい.

実行ファイルや man 用ファイル, HTML ファイルは /usr/local/gate 以下にインストールされる. (IP 管理用の設定ファイルも同様の場所に gate-ip.confとしてインストールされる).

cgi のシンボリックリンク作成

/usr/local/gate/lib/cgi-bin 以下にインストールされる cgi のシンボリックリンクを /usr/local/apache2/cgi-bin 以下に作成する.

# cd /usr/local/apache2/cgi-bin
# ln -s ../../gate/lib/cgi-bin/gate-*.cgi .

gate-db-to-sudoers の編集

  • /usr/local/gate/sbin/gate-db-to-sudoers の Defaults で始まる部分に以下を追加する.
# This is /etc/sudoers file, generated by gate-db-to-sudoers.
# If you are to edit this file, do not edit it directly.

Defaults        env_reset
Defaults        mail_badpass
Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
Defaults        mailfrom=root <--追記

root    ALL=(ALL:ALL) ALL
  • visudo を実行して上の追記箇所を追加する.

実行ファイルへのパスの設定

インストールした gate-toroku-system の実行ファイル群へパスを通す.

[ITPASS2017]パスの設定 <一般ユーザ用コマンドのパス> /usr/local/gate/bin を, <システム管理用コマンドのパス> /usr/local/gate/sbin を追加する.

  • 具体的には, 以下の通り.
    • /etc/bash.bashrc の冒頭に

      # add PATH for local installed softwares
      PATH="${PATH}:/usr/local/gate/bin"
      # add PATH for local installed softwares (for root)
      if [ "`id -u`" -eq 0 ]; then
      PATH="${PATH}:/usr/local/gate/sbin"
      fi 
      export PATH

      を追加する.

    • /etc/csh.cshrc の冒頭に

      # add PATH for local installed softwares
      set path = ($path /usr/local/bin /usr/bin /bin /usr/local/gate/bin) 
      # add PATH for local installed softwares (for root)
      if ( "`id -u`" == 0 ) then
      set path = ($path /usr/local/sbin /usr/sbin /sbin /usr/local/gate/sbin)
      endif

      を追加する.

    • /etc/zsh/zshenv に

      # add PATH for local installed softwares
      export PATH="$PATH:/usr/local/gate/bin"
      # add PATH for local installed softwares (for root)
      if [ "`id -u`" -eq 0 ]; then
        export PATH="$PATH:/usr/local/gate/sbin"
      fi

      の記述を追加する.

マニュアルへのパスの設定

[ITPASS2017]パスの設定#man 関連のパスの設定 を参照し, /etc/manpath.config に以下の行を追加する.

MANDATORY_MANPATH                             /usr/local/gate/man/ja
MANPATH_MAP        /usr/local/gate/bin        /usr/local/gate/man/ja
MANPATH_MAP        /usr/local/gate/sbin       /usr/local/gate/man/ja
MANDB_MAP          /usr/local/gate/man/ja     /usr/local/gate/man/ja

Web インターフェースのチェック

  • https://tako-itpass.scitec.kobe-u.ac.jp/~gate/ にアクセスし, gate 登録システムのインデックスページが見えることを確認する.
  • 上記のページからリンクされている個人申請(https://tako-itpass.scitec.kobe-u.ac.jp/cgi-bin/gate-user-apply.cgi) などに移動し, CGI が動作しているかチェックする.
    • 「サーバ 版 gate-toroku-system について」のリンクが切れているが後ほどリンクを作成するので問題ない.

ユーザの作成

root ログインの準備

以下の作業では ika から tako へ root ログインする必要がある. そのため, root ログイン用の鍵の生成・設置と root ログインの許可を行う.

鍵の生成と設置

root ログイン用の鍵を作成・設置する.

マニュアル通りに進めば root ログイン用の鍵はこの段階で作成・設置するはずであるが, 構築作業の何らかの段階で既に鍵を設置している場合は以下の手順の確認のみ行う.

  • ika に残った, 再構築前の tako の情報を削除
    • ika の /root/.ssh/known_hosts の中の new の情報を削除する.

      # cd /root/.ssh
      # ssh-keygen -R tako-itpass.scitec.kobe-u.ac.jp

      で削除を行う.

  • ika で 鍵を生成した
    • 鍵の置き場とファイル名は, デフォルトの /root/.ssh/id_rsa とすればよい
    • パスフレーズは空でもよい

      ika-itpass# cd /root/.ssh
      ika-itpass# mv id_rsa id_rsa_bk
      ika-itpass# ssh-keygen -t rsa
    • 鍵の上書きをするかという確認が出たので上書きを許可する.
  • 公開鍵の設置

    ika で作成した公開鍵 ika:/root/.ssh/id_rsa.pub を tako:/root/.ssh/authorized_keys にコピーする.

その際改行していないかに気を付けること.

tako の /root/.ssh/authorized_keys のパーミッションを変更する.

  tako-itpass# chmod 600 /root/.ssh/authorized_keys

root ログインの許可

ユーザデータベースのコピー

ika の /home/gate/userdb を tako の /home/gate/userdb にコピーする.

  • まず, -n オプションを付けて rsync の動作チェックを行う.

    いきなり rsync コマンドを実行すると予期せぬ間違い (転送元と転送先の設定を間違って, 転送先のファイルを全て消してしまう等) が起こりうるため, まずは rsync コマンドに -n オプションをつけて実行すること. -n オプションをつけて実行すると, 実際のファイル操作は行わずに, 操作されるはずのファイルのリストが出力される.

    ika-itpass# rsync -n -av -e ssh --delete /home/gate/userdb/ tako-itpass.scitec.kobe-u.ac.jp:/home/gate/userdb/
  • 実際にコピーを行う.

    ika-itpass# rsync -av -e ssh --delete /home/gate/userdb/ tako-itpass.scitec.kobe-u.ac.jp:/home/gate/userdb/

root ログインの設定を戻す

tako への root ログインを不許可に設定し直す.

tako-itpass#  vi /etc/ssh/sshd_config
PermitRootLogin no
        :
PasswordAuthentication no
        :
UsePAM no

ssh デーモンを再起動する.

tako-itpass# /etc/init.d/ssh restart
  • ika から tako への ssh ができなくなったことを確認する.

/etc/shadow のコピー

gate-toroku-system では, /etc/shadow に存在しないユーザがデータベース (/home/gate/userd) に居た場合, 初めてユーザを作成したと認識して保証人にメールを送信するようになっている.

/home 領域を old からコピーする際 (後日に行う) にこの理由によって大量のメールが送信されないよう, 先に old の /etc/shadow の一部を new の /etc/shadow にコピーしておく.

  • old の /etc/shadow のうち UID 1000 ~ 29999 の gate-toroku-system で管理されるユーザーについて, そのアカウント名の行をコピーして new の/etc/shadow のファイルに追加する. 各ユーザに対する uid は /etc/passwd に書かれているものを確認する.

    # lv /etc/passwd
    
    root:x:0:0:root:/root:/bin/bash
    daemon:x:1:1:daemon:/usr/sbin:/bin/sh
    bin:x:2:2:bin:/bin:/bin/sh
    sys:x:3:3:sys:/dev:/bin/sh
            ^ ここが uid

最初の保証人ユーザ作成

  • 個人申請 (https://tako-itpass.scitec.kobe-u.ac.jp/cgi-bin/gate-user-apply.cgi) にアクセスし, ユーザ登録申請を行う. (テスト用なので適当なユーザーでよい)
    • 保証人は先に作ったユーザ "gate" とする.
    • 作業完了後にユーザーは削除するのでパスワードを覚えておくこと
  • 登録申請後, /home/gate/userdb/pending の下に申請者の (申請ログイン名がついたファイル) が生成されていることを確認する.
  • 承認を行うために保証人 "gate" の登録システム用パスワードを設定する
    • gate ユーザに成り代わり, 登録システム用パスワードを設定する

      # su gate
      $ cd
      $ htpasswd -cd ~gate/.gate gate
  • ここで設定したパスワードを使い, "gate" ユーザとして登録申請中のテストユーザを承認する.
    • https://tako-itpass.scitec.kobe-u.ac.jp/cgi-bin/gate-user-accept.cgi にアクセスして行う.
  • その後, 承認したテストユーザのデータベースファイルが /home/gate/userdb/stable へ移動していることを確認する.

アカウント生成

/home/gate/userdb の中にあるデータベースファイルをシステムに反映させるために, root 権限で /usr/local/gate/lib/gate-daily を実行する

  • gate-daily は /etc/gate/gate.conf を参照するため, 起動前に gate.conf内の 'old-itpass' を 'new-itpass' と書き換える(二ヵ所)
  • その後, 以下を実行する

    # perl /usr/local/gate/lib/gate-daily

すると

No filesystems with quota detected 

と表示されるが, これは quota の設定がまだのためである.

  • /etc/{passwd, group, shadow} に, 登録したユーザの情報が新たに書き込まれていることを確認する. また /home に /home/gate/userdb 以下に存在するユーザのディレクトリができていることを確認する.

bind の所有グループの変更

[ITPASS2017]bindのインストールと設定#編集したファイルのパーミッション設定 にあるように, bind 関連のファイルの所有グループを itpadmin に変更する.

root@new:/usr/local/bind/etc# chgrp -R itpadmin .
  • 所有者やパーミッションが以下のように設定されていることを確認する.

    root@new:/usr/local/bind/etc# chmod 640 rndc.conf
    
    root@new:/usr/local/bind/etc# chown bind namedb/named.conf
    root@new:/usr/local/bind/etc# chmod 640 namedb/named.conf

/etc/aliases の変更

/etc/aliases の root に対応するユーザは, インストール時に作ったユーザになっているはずである. test という名前のユーザを作った場合は, 以下の行が存在するはずである. /etc/aliases の中の

root: test

これを itpadmin に書き換える.

root: itpadmin

設定を反映するため,

# newaliases

を実行する.

ここで許可がないというメッセージが出るが, /usr/bin/newaliases は /usr/sbin/exim4 のシンボリックリンクであり, exim4 に実行権限が付与されていないためである. ここでは MTA に exim4 ではなく qmail を使うため, 実行権限を付与する必要はない. /etc/aliases を書き換えると newaliases コマンドを実行するのは一般的な操作であるため, ここではあえてマニュアルに残しておく.

デーモンモードでの運用

ユーザ, ホストのデータベースをシステムに反映させるため, デーモンモードでの運用の設定を行う.

  • gate-sys.conf の設定

    /etc/gate/gate-sys.conf 中の $USE_DAEMON 変数が 1 であることを確かめる.

    $USE_DAEMON = 1;
  • gate-toroku-system 用のポートの作成

    /etc/inetd.conf に以下の一行を付け足す.

    gate stream tcp nowait root /usr/sbin/tcpd /usr/local/gate/lib/gate-daily -N
  • ポート番号の設定

    /etc/services に以下の行を付け足す.

    gate              8888/tcp          # gate-toroku-system
  • TCP wrapper によるセキュリティ強化

    gate ポートは, 登録サーバからのアクセスさえ受け付けられればその役目を果たす. そのため, TCP wrapper を使用してアクセスを登録サーバからのものに限定する. ITPASS サーバは 1 台での運用なので, 自身からのアクセスのみ許可する.

    • /etc/hosts.deny の編集

      まず, 全てのホストからの gate ポートへのアクセスを拒否するよう /etc/hosts.deny に以下の一行を追加する.

      gate-daily: ALL
    • /etc/hosts.allow の編集

      登録サーバ自身 (new) からのアクセスは許可するよう, /etc/hosts.allow に以下の一行を追加する.

      gate-daily: 127.0.0.1
  • 登録サーバ以外のホストからのアクセスが拒否されるか確認する. 例: google.com で試す.

    root@new-itpass:/home/gate# tcpdmatch gate-daily google.com
    client:   hostname kix06s02-in-f14.1e100.net
    client:   address  216.58.197.14
    server:   process  gate-daily
    access:   denied
    
    client:   hostname del01s06-in-x07.1e100.net
    client:   address  2404:6800:400a:804::200e
    server:   process  gate-daily
    access:   denied

    denied とあれば拒否されている.

    次に, 登録サーバ自身からのアクセスが許可されているか確認する.

    root@new-itpass:/home/gate# tcpdmatch gate-daily localhost
    client:   hostname localhost
    client:   address  ::1
    server:   process  gate-daily
    access:   denied
    
    client:   hostname localhost
    client:   address  127.0.0.1
    server:   process  gate-daily
    access:   granted

    granted とあれば許可されている.

  • inetd を再起動する

    # /etc/init.d/openbsd-inetd restart
    [ ok ] Restarting openbsd-inetd (via systemctl): openbsd-inetd.service.
  • 確認

    CGI から適当なユーザの申請および認証を行う. 認証して数分後に /etc 以下のシステムファイル(passwd ファイルと shadow ファイル)が更新されていることを確認する.

gate-toroku-system ソースの移動

ソースのバックアップを残す.

  • 以下のように名前を変更してコピーする
# cd ~lgate
# cp -r gate-toroku-system gate-toroku-system_2018_11_15

doc ディレクトリのシンボリックリンク作成

/usr/local/gate/ にある doc ディレクトリのシンボリックリンクを/home/gate/public_html/ に作成する.

# cd /home/gate/public_html/
# ln -s /usr/local/gate/doc
# ls -l

root@new-itpass:/home/gate/public_html# ls -l
合計 64
lrwxrwxrwx 1 root root   19 11月 15 11:20 doc -> /usr/local/gate/doc

gate-db-to-ezmlm の設定

root になりかわり, /usr/local/gate/bin/gate-db-to-ezmlm の「0. 実行ファイル, ドメインの指定」の項目を以下のように変更する.

変更前

$domainname='gfd-dennou.org';

$ezmlmlist='$EZMLMDIR/ezmlm-list';
$ezmlmsub='$EZMLMDIR/ezmlm-sub';
$ezmlmunsub='$EZMLMDIR/ezmlm-unsub';

変更後

$domainname='itpass.scitec.kobe-u.ac.jp';

$ezmlmlist='/usr/local/ezmlm/bin/ezmlm-list';
$ezmlmsub='/usr/local/ezmlm/bin/ezmlm-sub';
$ezmlmunsub='/usr/local/ezmlm/bin/ezmlm-unsub';

動作確認

概要

ITPASS サーバユーザ登録システム は, 情報の更新時に設定ファイルである gate.conf, gate-user.conf などをもとに /etc/sudoers を書き換える. 設定ファイルに間違いがあると itpadmin グループ所属ユーザでさえ root になれなくなる.

問題の詳細については [Memo2010][ITPASS] gate 設定ファイル修正ログ を参照されたい.

本稼動時にこれが起こるのを防ぐため, 予め動作確認を行い, 設定ファイルの修正を行う.

  • 仕様?なのかインストール前に設定ファイルを正しく設定しても, インストール後に設定ファイルが書き換わってしまうようである
# データベースを共有するホストのリスト
# 
#   奇数個目の文字列がホスト名、その次の文字列がホストに対する
#   オプションをあらわす。複数のオプションは空白で区切られる。
#   %yellow             yellow グループのメンバだけにアカウント作成を限定
#   wheel:green         $WHEELUSER の設定にかかわらず green グループメンバが
#                       スーパーユーザに sudo できるようにする

        %DB_SHARE_HOSTS = (
                'tako-itpass.scitec.kobe-u.ac.jp','wheel:itpadm'
                                                        ^^^^^^

「itpadm」となっていたので「itpadmin」と修正する.

  • /etc/gate/gate-user.conf の中に以下のような記述がある.
# wheel 法人ユーザ. /etc/sudoers 生成時に特別扱いを行う
# ホスト毎に変更可能なので %DB_SHARE_HOSTS の説明も参照せよ

#       $WHEELUSER = 'wheel';
        $WHEELUSER = 'epaadmin';
                      ^^^

「epaadmin」となっていたので「itpadmin」と修正する.

確認作業

ITPASS サーバユーザ登録システムのページから登録情報の更新をする.

その後 /var/log/syslog を見て gate が作動したことを確認する. 更新をした時刻に以下のような行があるはずである.

Nov 15 11:33:00 tako-itpass gate-daily[1802]: connect from 127.0.0.1 (1

27.0.0.1)

また, 同時刻に sudoers ファイルが書き換えられているか確認する.

$ ls -la /etc/sudoers
-r--r----- 1 root root 720 11月 15 11:33 /etc/sudoers

sudoers ファイルに以下の行があることを確認する.

$ sudo less /etc/sudoers
  (省略)
%itpadmin       ALL=(ALL) ALL
  (省略

itpadmin グループのユーザが実際に root になれることを確認する.

もし失敗する場合は 設定ファイルの編集 の部分の設定を見直すこと.

以上の作業が完了したら, ITPASS サーバユーザ登録システムのページからテストユーザのアカウントを廃止する. そのとき, /usr/local/gate/lib/cgi-bin/gate-user-withdraw.cgi の 66 行目を

if ( not defined(@withdrawed_accounts)) {

から

if ( not (@withdrawed_accounts)) {

に変更する.

参考文献

[[ITPASS2018]2018年度サーバ構築マニュアル へ戻る]