gate-toroku-system のしくみ

Slides:



Advertisements
Similar presentations
1 実技演習1 2008/01/28,29 JaLTER Morpho 講習会. 2 起動・接続 各自、コンピュータを起動してネットワーク に接続してください。 各自、コンピュータを起動してネットワーク に接続してください。 IP アドレス自動取得 IP アドレス自動取得 無線 LAN 使用可 無線.
Advertisements

M2B システム (Moodle/Mahara/BookLooper) の使い方. パスワード:<自分のパスワード> SSO-KID (数字10桁)は学生証の裏に パスワードを忘れた場合は、 から「パスワードを忘れた」を選択.
1 ログイン ユーザ名: root パスワード: hosei (初期設定). 2 はじめに 対象 学部 1 年生 日時 毎週木曜 6 限 18 : 30 ~ 19:30 ( 初回のみ ~ 20 : 00) 開催場所 W211 各自持参するもの ノート PC LAN ケーブル.
0 クイックスタートガイド|管理者編 スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.
Confluence インストールに必 要な 知識と手順 リックソフト株式会社 2010 年 12 月.
オンラインレポート管理シス テムの開発 藤村研究室 1DS04167N 稲益晃仁. 発表内容 研究の背景 システムの提案 関連研究 システム利用図 利用の流れ ( 管理者、教員、学生 ) 考察.
EpDNSサーバ 北海道大学 理学院 宇宙理学専攻 M1 古田裕規.
ITPASS サーバ入門 地球および惑星大気科学研究室 島津 通.
情報基礎A 情報科学研究科 徳山 豪.
UNIX利用法.
UNIX利用法 情報ネットワーク特論資料.
サーバ・クライアントシステム & X Window System
(株)アライブネット RS事業部 企画開発G 小田 誠
スキルチェック Unix編.
らくらく学校連絡網 スライドショーで見る操作ガイド -3- 登録 抜粋-管理者作業 escで中断、リターンキーで進みます
Knowledge Suite(ナレッジスイート) ファーストステップガイド (管理者向け)
UNIX Life KMSF M2 saburo.
UNIXマシン間のファイル転送 2002年10月20日 海谷 治彦.
CCP Express 3.1 初期設定ガイド(WAN/LAN)
CGI Programming and Web Security
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
ネットワークコミュニケーション よく使われるアプリケーション DNS 7/5/07.
Al-Mailのインストールと使い方 インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
EPnetFaN 座学編 第12回 北海道大学大学院 理学研究科 地球惑星科学専攻 森川 靖大
らくらく学校連絡網 スライドショーで見る操作ガイド -8- グループの新規登録、修正できる項目 escで中断、リターンキーで進みます
神戸大学大学院理学研究科 地球および惑星大気科学研究室 M2 河合 佑太
インターネット メールサーバ DNSサーバ WWWサーバ ファイアウォール/プロキシサーバ クライアント.
EP ネットワーク ガイダンス EP ネットワーク委員会 小高 正嗣 2013年4月5日(金)16:30~ 理学部8号館
利用者が守るセキュリティー (パスワードについて)
ファイアウォール 基礎教育 (1日目).
ファイアウォール 基礎教育 (2日目).
鯖管のすヽめ.
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
公開鍵認証方式の実習 TeraTermの場合
北海道大学理学院宇宙理学専攻 荻原弘尭 2014/06/06 (金)
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
FreeBSDインストール 2002年4月10日.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
3-10. MySQLシステムの管理  2004年6月10日  大北高広                01T6010F.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス
すぐできるBOOK -基本設定編-.
G Suite導入ガイド Ver1.3.
ネットワークプログラミング (5回目) 05A1302 円田 優輝.
EP ネットワーク ガイダンス EP ネットワーク委員会 小高 正嗣 2014年4月11日(金)17:00~ 理学部8号館
相互利用(自己測定)の流れ 依頼者操作 利用者アカウントでログインし、 「研究設備 検索・予約」ボタンを押すと設備一覧が表示されます。
公開鍵認証方式の実習 MacOS Xの場合.
JXTA Shell (1) P2P特論 (ソフトウェア特論) 第4回 /
Cisco Configuration Professional Express 3.3 アップデート
サーバ・クライアントシステム ( X Window System) 2006/01/20 伊藤 和也 original: 前坂たけし
サーバ・クライアントシステム (X Window System )
JXTA Shell (2) P2P特論 (ソフトウェア特論) 第5回 /
最低限インターネット ネットワークにつなぎましょ!
8 号館宇宙惑星 プライベート LAN 利用説明会
バーチャルサーバー設定資料 (管理者様用)
InTriggerクラスタ環境の構築 i-explosion 支援班 クラスタ環境の概要 研究に使える「共有資源」を提供
Linux の世界に 触れてみよう! 情報実験 第 3 回 (2005/10/21)
gate登録システム: 設計ポリシーから使い方まで
ユーザとグループの管理 2. ユーザとグループの管理 水野嘉明
サーバ・クライアントシステム (X Window System )
北海道大学理学院宇宙理学専攻 荻原弘尭 2014/06/06 (金)
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
北海道大学 大学院理学院 宇宙理学専攻 村橋 究理基 2017/01/26 (金)
gate-toroku-system のしくみ
/etc/passwd, /etc/group, /etc/hosts ファイルの意味
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

gate-toroku-system のしくみ 小高 正嗣 2014年9月12日(金) epnetfan 座学編第14?回 理学部8号館8-1-07

gate-toroku-system(gate) とは? EP サーバ用に開発された、ユーザ / DNS 自動登録 ・更新 ・抹消用プログラム ユーザインターフェースは CGI ブラウザ上から操作 1998年に開発開始、1999年度末に完成 細かな改変を経て、地球流体電脳倶楽部サーバ 神戸大学 itpass サーバでも利用されている

なぜ gate が必要か 多数のユーザ / ホストの登録・更新・抹消を 手動で行うのは大変 例:ユーザ登録の場合に必要な作業 登録/更新/抹消者の確認 氏名, 連絡先, 所属研究室, 指導教員, アカウント名 申請が正しいかどうかの確認(なりすましの防止) 実際に作業 adduser, deluser コマンドを使って実行

基本的な考え方 ユーザ / DNS の登録・更新・抹消作業を 自動化 申請が正しいかどうかの確認は, 申請者本人と指導教員に行ってもらう 「保証人制度」の導入 複数のホストからなるサーバシステムを想定 EP サーバでは, mail, web, DNS ネットワークを介して動作

自動化を行うためのユーザ階層 「保証人」 ユーザ階層 アカウント作成に責任を持つユーザ root:サーバ管理のための特権ユーザ gate:登録システム管理ユーザ 「gate」を保証人とするユーザ 一般ユーザの保証人となる権限を持つ 一般ユーザ

ユーザから見た gate-toroku-system

ブラウザ上での受付窓口 http://www.ep.sci.hokudai.ac.jp/~epcore/gate.html

ユーザ登録の流れ ②申請がメールで通知 ④サーバに アカウント作成 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者 WWW サーバー 事前に口頭で 打ち合わせ ⑤メールで通知 申請者 WWW サーバー ①ブラウザ上で申請 初期パスワードの発行

ブラウザ上での申請画面 https://www.ep.sci.hokudai.ac.jp/cgi-bin/gate-user-apply.cgi

アカウントの種類 個人ユーザアカウント グループユーザアカウント 個々のユーザに割り当てられるアカウント アカウントと利用者が一対一対応 複数の個人ユーザで利用するアカウント UNIX のグループという概念を利用 直接ログインはできない sudo を使う

DNS 登録の流れ 基本的にはユーザ登録と同じ 登録の種類 Aレコード MXレコード CNAMEレコード 通常のホスト名とIPアドレスを対応させる登録 MXレコード メールサーバ用の登録 CNAMEレコード ホスト名に別名を付けたい場合の登録 (例:mail サーバ、www サーバ)

登録の更新・抹消 事前に登録システム用パスワードを設定 本人または保証人が web 上の受付窓口で申請 申請後、自動的に抹消

最低限 gate-toroku-system コマンド gate-user-show / gate-ip-show ユーザ / ホスト情報の閲覧 -help オプション / man でコマンド情報 gate-user-list / gate-ip-list  申請中・承認済み・抹消ユーザ / ホストの一覧 オプションでいろいろな条件を与えることができる

サーバ上での gate-toroku-systemの 動作

実際の動作 ユーザインターフェースは CGI だが, 実際の動作はすべてコマンドラインで行われている 管理対象のシステムを「登録サーバ」と 「その他サーバ」に分けて管理

データを受け取り, アカウント / DNS ゾーンファイルを作成 システム構成 登録サーバ ユーザの受付窓口 登録データの管理 登録申請 通知 www ユーザ 登録データをネットワークを介し転送 mail DNS 1st DNS 2nd ・・・ その他サーバ データを受け取り, アカウント / DNS ゾーンファイルを作成

ユーザ登録の流れを分解(1) ②メールで通知 ④サーバに アカウント作成 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者 WWW サーバー ①ブラウザ上で申請

登録サーバ上での動作(1) gate-user-apply.cgi gate-user-apply ユーザデータベースファイルを作成 ファイル名は申請アカウント名 データベースファイルを指定領域に格納 デフォルトは ~gate/userdb/pending 保証人と申請者宛に通知メールを送信 仮パスワードをブラウザ上に表示

ユーザ登録の流れを分解(2) ④サーバに アカウント作成 ②メールで通知 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者 WWW サーバー ①ブラウザ上で申請

登録サーバ上での動作(2) gate-user-accept.cgi gate-user-accept データベースファイルを指定領域へ移動 デフォルトは /home/gate/userdb/stable 保証人と申請者宛に通知メールを送信

ユーザ登録の流れを分解(3) ④サーバに アカウント作成 ②メールで通知 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者 WWW サーバー ①ブラウザ上で申請

登録サーバ上での動作(3) gate-daily:以下のコマンドをまとめて実行 gate-db-to-passwd: /etc/passwd の更新 gate-db-to-shadow: /etc/shadow の更新 gate-db-to-group: /etc/group の更新 gate-db-to-sudores: /etc/sudored の更新 gate-make-home, gate-remove-home: ホームディレクトリの作成 / 削除 gate-db-update: 登録データの転送と その他サーバ上で gate-daily 起動

登録サーバ上での動作(4) 登録データの転送 その他サーバ上での gate-daily の起動 gate 権限による rsync .shots 認証による ssh ノンパスワードログインを利用 その他サーバ上での gate-daily の起動 inetd を介し gate 権限で起動される 8888 ポートを用いる

その他サーバ上での動作 登録サーバから登録データが転送される その後登録サーバから 8888 ポートに通信が行われ, それを合図に gate-daily が起動 その後の動作は登録サーバと同じ /etc/gate.conf の設定を見て, アカウントを作成するユーザを判断 例) DNS サーバでは epdns グループユーザメンバーのアカウントだけが作られる

DNS / プライベート LAN 登録の 場合 基本的な流れはユーザ登録と同じ 異なる点 登録データの格納ディレクトリ DNS: ~gate/ipdb プライベートLAN: ~gate/pipdb ゾーンファイル / dhcpd 設定ファイルの作成は, その他サーバでのみ行う DNS: gate-db-to-zone DHCP: gate-db-to-dhcpd

登録更新・抹消する場合 更新:gate-[user, ip]-renew 抹消:gate-[user, ip]-withdraw データベースファイルの date: フィールドを更新 抹消:gate-[user, ip]-withdraw データベースファイルに抹消日時を記入し、 ファイルを ~gate/userdb/stable から ~gate/userdb/defunct へ移動

参考文献 EP ネットワーク委員会, 「やさしい登録ガイド」, https://www.ep.sci.hokudai.ac.jp/~epcore/gate/toroku.html gate-toroku-system 開発グループ, gate-toroku-system 入門, http://www.ep.sci.hokudai.ac.jp/~gate/doc/introduce.html gate-toroku-system 開発グループ, gate-toroku-system コマンド集, http://www.ep.sci.hokudai.ac.jp/~gate/doc/commands.html 石渡正樹, 倉本圭, 2009: gate-toroku-system: 設計ポリシーから使い方まで, epnetfan 座学編 第2回 http://www.ep.sci.hokudai.ac.jp/~epnetfan/zagaku/2009/0417_1/pub/