gate-toroku-system のしくみ

Presentation on theme: "gate-toroku-system のしくみ"— Presentation transcript:

1 gate-toroku-system のしくみ
小高　正嗣 2011年11月25日（土） epnetfan 座学編第20回 理学部8号館8-1-07

2 gate-toroku-system(gate) とは？
EP サーバ用に開発された、ユーザ / DNS 自動登録 ・更新 ・抹消用プログラム ユーザインターフェースは CGI ブラウザ上から操作 1998年に開発開始、1999年度末に完成 細かな改変を経て、地球流体電脳倶楽部サーバ 神戸大学 itpass サーバでも利用されている

3 なぜ gate が必要か 多数のユーザ / ホストの登録・更新・抹消を 手動で行うのは大変 例：ユーザ登録の場合に必要な作業
登録/更新/抹消者の確認 氏名, 連絡先, 所属研究室, 指導教員, アカウント名 申請が正しいかどうかの確認（なりすましの防止） 実際に作業 adduser, deluser コマンドを使って実行

4 基本的な考え方 ユーザ / DNS の登録・更新・抹消作業を 自動化 申請が正しいかどうかの確認は, 申請者本人と指導教員に行ってもらう
「保証人制度」の導入 複数のホストからなるサーバシステムを想定 EP サーバでは, mail, web, DNS ネットワークを介して動作

5 自動化を行うためのユーザ階層 「保証人」 ユーザ階層 アカウント作成に責任を持つユーザ root：サーバ管理のための特権ユーザ
gate：登録システム管理ユーザ 「gate」を保証人とするユーザ 一般ユーザの保証人となる権限を持つ 一般ユーザ

6 ユーザから見た gate-toroku-system

7 ブラウザ上での受付窓口

8 ユーザ登録の流れ ②申請がメールで通知 ④サーバに アカウント作成 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者 WWW サーバー
事前に口頭で 打ち合わせ ⑤メールで通知 申請者 WWW サーバー ①ブラウザ上で申請 初期パスワードの発行

9 ブラウザ上での申請画面

10 アカウントの種類 個人ユーザアカウント グループユーザアカウント 個々のユーザに割り当てられるアカウント アカウントと利用者が一対一対応
複数の個人ユーザで利用するアカウント UNIX のグループという概念を利用 直接ログインはできない sudo を使う

11 DNS 登録の流れ 基本的にはユーザ登録と同じ 登録の種類 Ａレコード ＭＸレコード ＣＮＡＭＥレコード
通常のホスト名とIPアドレスを対応させる登録 ＭＸレコード メールサーバ用の登録 ＣＮＡＭＥレコード ホスト名に別名を付けたい場合の登録 （例：mail サーバ、www サーバ）

12 登録の更新・抹消 事前に登録システム用パスワードを設定 本人または保証人が web 上の受付窓口で申請 申請後、自動的に抹消

13 最低限 gate-toroku-system コマンド
gate-user-show / gate-ip-show ユーザ / ホスト情報の閲覧 -help オプション / man でコマンド情報 gate-user-list / gete-ip-list　 申請中・承認済み・抹消ユーザ / ホストの一覧 オプションでいろいろな条件を与えることができる

14 サーバ上での gate-toroku-systemの 動作

15 実際の動作 ユーザインターフェースは CGI だが, 実際の動作はすべてコマンドラインで行われている
管理対象のシステムを「登録サーバ」と 「その他サーバ」に分けて管理

16 データを受け取り, アカウント / DNS ゾーンファイルを作成
システム構成 登録サーバ ユーザの受付窓口 登録データの管理 登録申請 通知 www ユーザ 登録データをネットワークを介し転送 mail DNS 1st DNS 2nd ・・・ その他サーバ データを受け取り, アカウント / DNS ゾーンファイルを作成

17 ユーザ登録の流れを分解（１） ②メールで通知 ④サーバに アカウント作成 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者
WWW サーバー ①ブラウザ上で申請

18 登録サーバ上での動作（１） gate-user-apply.cgi gate-user-apply ユーザデータベースファイルを作成
ファイル名は申請アカウント名 データベースファイルを指定領域に格納 デフォルトは ~gate/userdb/pending 保証人と申請者宛に通知メールを送信 仮パスワードをブラウザ上に表示

19 ユーザ登録の流れを分解（２） ④サーバに アカウント作成 ②メールで通知 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者
WWW サーバー ①ブラウザ上で申請

20 登録サーバ上での動作（２） gate-user-accept.cgi gate-user-accept データベースファイルを指定領域へ移動
デフォルトは /home/gate/userdb/stable 保証人と申請者宛に通知メールを送信

21 ユーザ登録の流れを分解（３） ④サーバに アカウント作成 ②メールで通知 保証人 ③ブラウザ上で承認 ⑤メールで通知 申請者
WWW サーバー ①ブラウザ上で申請

22 登録サーバ上での動作（３） gate-daily：以下のコマンドをまとめて実行
gate-db-to-passwd： /etc/passwd の更新 gate-db-to-shadow： /etc/shadow の更新 gate-db-to-group： /etc/group の更新 gate-db-to-sudores： /etc/sudored の更新 gate-make-home, gate-remove-home： ホームディレクトリの作成 / 削除 gate-db-update： 登録データの転送と その他サーバ上で gate-daily 起動

23 登録サーバ上での動作（４） 登録データの転送 その他サーバ上での gate-daily の起動 gate 権限による rsync
.shots 認証による ssh ノンパスワードログインを利用 その他サーバ上での gate-daily の起動 inetd を介し gate 権限で起動される 8888 ポートを用いる

24 その他サーバ上での動作 登録サーバから登録データが転送される
その後登録サーバから 8888 ポートに通信が行われ, それを合図に gate-daily が起動 その後の動作は登録サーバと同じ /etc/gate.conf の設定を見て, アカウントを作成するユーザを判断 例） DNS サーバでは　epdns グループユーザメンバーのアカウントだけが作られる

25 DNS / プライベート LAN 登録の 場合 基本的な流れはユーザ登録と同じ 異なる点 登録データの格納ディレクトリ
DNS: ~gate/ipdb プライベートLAN： ~gate/pipdb ゾーンファイル / dhcpd 設定ファイルの作成は, その他サーバでのみ行う DNS： gate-db-to-zone DHCP： gate-db-to-dhcpd

26 登録更新・抹消する場合 更新：gate-[user, ip]-renew 抹消：gate-[user, ip]-withdraw
データベースファイルの date: フィールドを更新 抹消：gate-[user, ip]-withdraw データベースファイルに抹消日時を記入し、 ファイルを ~gate/userdb/stable から ~gate/userdb/defunct へ移動

27 参考文献 EP ネットワーク委員会, 「やさしい登録ガイド」,
gate-toroku-system 開発グループ, gate-toroku-system 入門, gate-toroku-system 開発グループ, gate-toroku-system コマンド集, 石渡正樹, 倉本圭, 2009: gate-toroku-system: 設計ポリシーから使い方まで, epnetfan 座学編　第2回