|
(2003/3/28)Mac OS X Server 10.2.4で試してみましたが、ワークグループマネージャで、テキストファイルからユーザを登録してみました。10.2の日本語版管理者ガイドでは178ページあたりからと、付録Aの情報をもとにして…ってことになりますが、ユーザの初期パスワードを作成するためには、UNIX形式の暗号化した文字列が必要です。書籍を見ると、「cryptコマンドで」と書いてあったりしますが、このコマンドはMac OS Xには含まれていないみたいなので、perlを使って暗号化をすることになります。たとえば、ABCabcというパスワードを、暗号化する場合は次のようなコマンドをターミナルに入れればいいでしょう。
perl -e 'print crypt("ABCabc", "12")."\n";'
すると、「12PidGWj9RXlY」というテキストが生成されるので、それをパスワードとして使えばいいわけです。この形式に変換されるので、MD5ではなくDESによるライブラリを使っていることがわかります。ここで、2つ目の引数はSALT(塩)と呼ばれる暗号化の手がかりとなるものです。(検索エンジンで「crypt パスワード」と入力すればいろいろ情報が得られるでしょう。)この桁を見れば、DESで暗号化されたものと分かります。
たとえば、次のようなテキストファイルを作ります。(改行で改行をします。そこまでは1行で続けます。)
0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Users 5 RecordName Password UniqueID PrimaryGroupID RealName改行
test1:12PidGWj9RXlY:3001:20:TestUser1改行
test2:12PidGWj9RXlY:3002:20:TestUser2改行
このファイルを、ワークグループマネージャで読み込めば、基本認証で、ユーザ名がtest1およびtest2のユーザが作成されます。パスワードは「ABCabc」となっているはずです。
ユーザがたくさんある場合には、perlのスクリプトで処理すればいいのですが、たとえば、こんな方法があるかと思います。1行に、パスワードのもとのテキストだけがあるファイル(ここではtext.txt)があるとします。Excelでユーザ一覧を作るとすれば、特定の行だけを抜き出したテキストファイルを作ればいいでしょう。そして、以下のようにperlを通すと標準出力に暗号化したパスワードが1行ずつ配置されたものが出力されます。適当にリダイレクトするなり、ターミナルからコピー&ペーストすればいいでしょう。このくらいなら、スクリプトのファイルを作るまでもないというところですね。
perl -n -e 'chomp; print crypt($_,"12")."\n";' < test.txt
ワークグループマネージャでは、ファイルメニューの読み込みから、テキストファイルを指定します。上記のファイルの場合、ファイルの内容を定義する行が最初にあるので、レコードフォーマットは、ファイルのレコード定義を使うを選べばいいでしょう。場所のポップアップメニューで選択しているドメインに読み込まれます。
パスワードサーバベースでのユーザのインポートの方法が分かりません…。研究中です。
(2003/3/30)ガラパゴシステムズの荻野さんから、この件について指摘をいただきました。
テキストファイルに1行ずつパスワードを入れたファイルから、cryptの暗号化パスワードを作成する場合、前記のperlのコマンドだと、全部が同じ「12」というsalt値になってしまうため、同じパスワードの場合crypt後の値も同じになってしまい、他人のパスワードが分かってしまうというケースがあります。そこで、salt値をランダムに生成する手軽な方法としては、OpenSSLがあるそうです。
openssl passwd ABCabc
このコマンドで、パスワード「ABCabc」に対応するcrypt値が得られます。salt値もコマンドを実行する度にランダムに利用されるので、このコマンドを使うのがいちばん便利でしょう。
テキストファイル(以下の例ではtest.txtというファイル)からだと次のコマンドでいいですね。これだと、同じパスワードでも異なるcryptした結果が得られます。
openssl passwd `cat test.txt`
さて、パスワードサーバベースのユーザのインポートですが、いったん基本のユーザを作って、それをワークグループマネージャで選択し、パスワードのタイプをまとめて「パスワードサーバ」に変更すればいいかと思ったのですが…、残念ながら、そのとき、シートで新たにパスワードの設定を要求されます。複数のユーザを選択していても、パスワードの要求は1回だけです。従って、各ユーザに同じパスワードが設定されてしまうようです。これではまったく意味がないですね。
cryptパスワードは一方向性であり、入力されたパスワードが合っているかどうかしかチェックできません。つまり、cryptの結果から元のパスワードは逐一チェックする以外に方法がないわけです(このあたりは荻野さんより指摘をいただきました)。そのため、基本→パスワードサーバという移動で、基本のパスワードをそのままパスワードサーバに移行させることはできないということになります。パスワードサーバでは、APOPのような「パスワードの文字列」が必要なサービスもあるので、やはり基本からパスワードサーバへの移行もできないでしょうということです。
Mac OS X Server 10.2.3のAdmin Guideによると、ユーザ情報のテキストファイルでは、「AuthenticationAuthority」というフィールドがあって、基本認証なら「;basic;」という書式で受け付けられます。パスワードは、cryptしたパスワードの文字列を指定します。パスワードサーバの場合は「;ApplePasswordServer;HexID, server’s public key IPaddress:port」となっていますが、結局、HexIDなどの後半のパラメータの指定方法がどこにも記載されていないため、やはりパスワードサーバベースのユーザーをテキストファイルからまとめて登録するという方法は明らかになっていないと言えるでしょう。
(2003/4/1追記)パスワードサーバベースのユーザ登録を一括して行う方法が見つかりました。dspasswdというMac OS X/Server向けのコマンドラインツールを発見しました。Rajpaul Bagga氏によるもので、オープンソースとして配布されています。ダウンロードすると、ソースとプロジェクトがセットになっているので、Developer Toolsをインストールしておけば、すぐにコンパイルしてコマンドを作成できます。
dspasswdコマンドによって、ディレクトリにある特定のアカウントを基本認証からパスワード認証に変更することができます。
引数なしで指定するとヘルプを表示します。
[xserver:~] admin% ./dspasswd
You haven't specified enough arguments.
dspasswd (version 1.1)
Usage:
dspasswd [-l <node name>] <command string>
where <command string> is one of:
<username> <old password> <new password>
-p <PWS admin user> <admin password> <username> <new password>
-a <PWS admin user> <admin password> <username> <new password>
-o <PWS admin user> <admin password> <username> <new policy string>
-l <node name> <node name> is an Open Directory Node Name (default is local)
-p Convert a user's password from basic to Password Server based
-a Set a user's password by authenticating as a PWS administrator.
(Does not require user's old password.)
-o Specify a policy string change.
If you are root and have specified the local node (the default)
and the user is using Basic authentication,
then an old password for the user is not required
たとえば、test1というユーザがいて、そのパスワードを「ABCabc」にしたいとします。まず、基本認証でのtest1というユーザを作成します。パスワードサーバ〜つまりドメインの管理者がadminで、そのパスワードがadpassだった場合、次のコマンドで、test1のパスワードは、パスワードサーバを使うタイプに変換されます。
[xserver:~] admin% ./dspasswd -l /NetInfo/root -p admin adpass test1 ABCabc
User created in Password Server
カレントディレクトリにあるdspasswdコマンドを動かしています。-lオプションでディレクトリノードを指定しますが、これは、ワークグループマネージャの場所のポップアップで見ているパスを指定します。パスワードを基本からパスワードに変更するには-pオプションに続いて、「管理者アカウント」「管理者パスワード」「ユーザ名」「新しいパスワード」の順番に指定します。基本認証のパスワードは指定しなくてもかまいません。
これをバッチファイルとして作っておいて実行すれば、パスワードサーバを利用するユーザを大量に設定することができるでしょう。つまり、まずは基本認証のアカウントを作っておき、さらに各アカウントをパスワードサーバベースに移行するわけです。
(2003/6/5追記)パスワードサーバベースのユーザを登録するためのテキストファイルを作り、それをワークグループマネージャで登録させる方法が分かりました。Mac OS X Server 10.2.3のAdmin Guideにありました…見たつもりなんだけど見落としておりました。
ワークグループマネージャで読み込ませるテキストファイルでの1行目では、AuthenticationAuthorityフィールドではなく、AuthMethod(dsAttrTypeStandard:AuthMethod)というフィールドを作ります。つまり、1行目のフィールド定義では、この文字列を使います。そして、2行目以降のユーザレコードでの対応するフィールドには、「dsAuthMethodStandard\:dsAuthClearText」と記述しますが、この文字列は常に固定です。そして、Passwordフィールド(dsAttrTypeStandard:Password)にはパスワードの文字列を生で書きます。本来は「dsAuthMethodStandard:dsAuthClearText」ですが、コロンはフィールド区切り文字なのでエスケープしているというところですね。
で、こうしたユーザ管理を簡単に行えるユーティリティ、Passengerってのを見つけました。そんなに高くはないので、たくさんのユーザを登録し管理しないと行けない人は、必須のユーティリティでしょう。いずれにしても、ちゃんとやり方あったんだ…。というわけで、この問題、完全に解決したと言えるのではないでしょうか。
(2003/8/15追記)パスワードサーバベースのユーザをテキストファイルから登録する方法が、Knowledge Baseの文書として掲載されていますね。
|
極めるMac OS X
とりあえず、体感的にはスピードはあまり変わらないかと思いますが、やっぱりバックグランドでメールを落としているような場合などの重さは緩くなりました。ただ、アプリケーションの起動がなんか遅いので、update_prebindコマンドを入れてみたら、何度やっても途中でBus Errorで落ちます。プリバンドは完全でないかもしれません。
そして、IP Over FireWireはMac OS Xにインストールするソフトウエアですが、インストールすると、新たにEthernet端子が増えると考えればいいです。たとえば、PowerBook G4にAirMacカードを入れていると、en0がEthernet端子、en1がAirMacですが、en2がFireWire端子となります。システム環境設定の「ネットワーク」でもちろん設定しますが、IP Over FireWireが組み込まれていれば、新たなポート「FireWire」が自動的に追加されているはずです。
ただ、やはりPreviewだなと思う所は、ネットワークユーティリティですら、まだ、きちんと情報を表示することができません。IPを手入力したところですが、リンク速度やリンク状況はきちんと出ていませんし、パケット数なども0のままです。モデルとしてfw+は「FireWire」であることが分かるといった程度です。
ftpサーバをボリュームとして利用するには、まず、Finderで「移動」メニューから「サーバへ接続」(Command+K)を選択します。ダイアログボックスで、アドレスとして「ftp://サーバアドレス/」の形式で入力します。
すると、認証のダイアログボックスが表示されます。英語のままですし、キーチェーンへのパスワード記憶も行いまませんが、ここでftpサーバで有効なアカウントを入力します。(なお、サーバアドレスにアカウントとパスワードを含める形式、つまりftp://アカウント:パスワード@サーバアドレス/の形式にすれば、このダイアログボックスは表示されません。
するとボリューム確かにマウントされて、ファイルやフォルダが参照できます。ログインしたFTPサーバのルートが、ボリュームのルートになるので、一般的なUNIXアカウントによるアクセスだと、システムのルートがボリュームのトップ階層になります。ところが、ちょっと動作が怪しいですね。まず、ボリュームの情報で、0KB空きとなっていますが、この接続したサーバはもっとたくさんの空き容量があるはずです。また、どのディレクトリも書き込み不可になります。ログインしたアカウントのホームですら書き込み不可となります。どこを見ても、「システム」がオーナーで、wheelがグループとなり読み込みのみ、そして全員に対しても読み込みのみとなってしまいます。つまり、ファイルのダウンロードはできても、書き直しなどはできません。また、ファイルのアップロードもできません。これってセキュリティのための意図的なものなのかな??
