2011年12月30日金曜日

mod_spnego を使った Apache サーバでの Windows ドメイン統合認証

とりあえず動かせたので、結果を記しておく。


環境

  • Windows Server 2003 SP2
  • CentOS 6.2 (Apache 2.2.15)
  • mod_spnego 0.2.0

ドメイン側準備


マッピング用ユーザーアカウントを作る。

ドメインコントローラで keytab ファイルを作る。ktpass コマンドはサポートツールに入っている。Windows Server 2003 では SP2 のでないと不具合があるらしいことに注意。パスワードはこのあとどこにも入力しないので、自動でランダム生成させる。

> ktpass -princ HTTP/servername.example.com@EXAMPLE.COM -mapuser EXAMPLE\username -ptype KRB5_NT_PRINCIPAL -out http.keytab +rndPass

インストール


Apache はインストール・設定済みとする。ビルドに必要なパッケージをインストール。

# yum install httpd-devel gcc krb5-devel

モジュールのインストール。

# cd /var/tmp
# tar zxvf /path/to/mod_spnego-0.2.0.tar.gz
# cd mod_spnego-0.2.0
# apxs -c -i -DHAVE_SPNEGO -lgssapi_krb5 mod_spnego.c

keytab ファイルを保護する。/etc/httpd/ に配置しておく。

# chown apache.apache /etc/httpd/http.keytab
# chmod 400 /etc/httpd/http.keytab

設定


/etc/krb5.conf は実際に運用するドメイン名に合わせて変更する。

ドキュメントルートの spnego ディレクトリ以下を制限する例。

/etc/httpd/conf.d/spnego.conf
LoadModule spnego_module modules/mod_spnego.so
Krb5AuthEachReq Off
<Location "/spnego">
 AuthType SPNEGO
 Krb5ServiceName HTTP/servername.example.com
 Krb5KeyTabFile /etc/httpd/http.keytab
 Require valid-user
</Location>
 

テスト


# yum intall krb5-workstation
# kinit -k -t /etc/httpd/http.keytab HTTP/servername.example.com
何も出てこなければ OK。

備考


認証ユーザー名は環境変数の REMOTE_USER に「username@EXAMPLE.COM」の形式で入ってくる。

サーバの時刻が正しくないと認証に失敗する(はず)。

keytab で mapuser したアカウントのパスワードを、Active Directory ユーザーとコンピュータの管理ツールでリセットすると、認証できなくなる。

keytab を作り直したら、Windows クライアントでは klist purge する。古いチケットをキャッシュしているため。

アカウントに keytab は一つしかマップできなくて、別のプリンシパルを同じアカウントにマップすると、前のが使えなくなる。またプリンシパルはホスト名を含むので、keytab を共有することはできない。なのでホストごとにドメインにダミーアカウントを作る必要がある。

Internet Explorer 以外のブラウザ

Google Chrome設定不要。
Firefoxaboug:config で network.negotiate-auth.trusted-uris にホスト名もしくは「http://」を指定。
Opera非対応。

参考にしたもの

Apache Kerberos/SPNEGO module | Free software downloads at SourceForge.net
アーカイブ内の readme.txt
Active Directoryと apacheで 統合Windows認証 - あぁ そうだった
投稿者 時刻: 0 件のコメント:

2011年12月24日土曜日

AnkhSVN と TortoiseSVN と PuTTY でいろいろハマったお話

  • サーバとクライアントのバージョンは揃えた方がいい。
  • PuTTY 0.61 の Pageant は 0.60 までとの互換性がない。
環境
  • SVN リポジトリは svn+ssh でサーバに接続。
  • SSH 認証は公開鍵パスフレーズで、Pageant 利用。
以下時系列順で。

Visual Studio 2008 + AnkhSVN 2.3.10509 で SVN サーバに Add Solution to Subversion しようとしたら、「指定されたパスのフォーマットはサポートされていません」と出てきた。 例外は System.NotSupportedException だけど、内部のことなのでよく分からず。

これは AnkhSvn 2.1.10129 に落としたら解決。使ってる SVN サーバが 1.6 だから?

ワーキングコピーは 1.7 になっているので、チェックアウトし直すことに。TortoiseSVN も 1.7.1 を消して 1.6.16 で入れ直し。

ここで TortoiseSVN と AnkhSVN がリポジトリに繋がらなくなる。メッセージは
Disconnected: No supported authentication methods available
TortoisePlink.exe を直接叩いても変わらずだけど、Tera Term からの SSH 接続では問題なし。

WinSCP 4.3.5 に付属の pageant.exe を使っていたのだけど、これは PuTTY 0.61 のもの。Change Log を見ると、0.62 で
Bug fix: Pageant now talks to both new-style clients (0.61 and above) and old-style (0.60 and below).
Tera Term 4.71 の TTSSH が使ってる PuTTY ライブラリは 0.61 なので OK だけど、TortoiseSVN 1.6.16 付属の TortoisePlink.exe は 0.60 だったというわけ。

pageant.exe だけ 0.62 を拾ってきて、WinSCP\Putty にあるそれと差し替えて解決。
投稿者 時刻: 0 件のコメント:

2011年12月13日火曜日

rsyslog で追加のソケットを指定する方法

日本語の情報がほとんど出てこないので、記述しておく。

CentOS 6 では syslogd が rsyslog に置き換わっている。jail を利用する場合などでは追加のソケットが必要になるが、これを指定する方法。syslogd の -a オプションに相当するもの。

/etc/rsyslog.conf
$ModLoad imuxsock
$AddUnixListenSocket /chroot/dev/log

Unix Socket Input rsyslog
投稿者 時刻: 0 件のコメント:

2011年9月6日火曜日

PC の HDMI とオーディオ出力

こんな話は検索しててもなかなか見つからないので、検証したことを残しておく。

2011 年夏モデルの VAIO オーナーメード C シリーズ 14 型モデル VPCCA2AJ での結果。GPU は AMD Radeon HD 6470M。

やりたいこと


PC の HDMI 端子から音声だけを出力したい。PS3 やブルーレイレコーダーの高級機でできることと一緒。


設定方法


ケーブルを接続すれば HDMI 端子が自動的に優先され切り替わる。変更したくない場合は、コントロールパネルのサウンドを開いて、再生デバイスから無効化しておけばよい。


再生デバイスとしては、AMD Radeon HD 6470M では接続していない場合も見えている。店頭モデルの GPU は Intel HD Graphics 3000 で、これは展示ではデバイスの存在が見えなかったので、ケーブルを接続しないと見えない模様。

画面の解像度の設定で「表示画面を拡張する」か「表示画面を複製する」を選択する必要がある。

問題点


画面をノート PC 本体だけに出していると、音声は出せない
省電力設定でディスプレイの電源を切るようにしていると、その瞬間に音声出力も切れてしまう

おそらくどちらの問題も HDMI が音声のみでは流せない仕様となっているからではないか。

またディスプレイを閉じたりして本体の画面出力が無効になると、一瞬音声が切れてスピーカーに切り替わりすぐに復帰する。

まとめ


現状ではこのモデルの HDMI 端子は光デジタルの代わりにはできない。他の環境でどうなのかは機会があったら調べてみたいところ。
投稿者 時刻: 0 件のコメント:

2011年9月5日月曜日

VAIO C 初期設定

自分用メモ。2011 年夏モデルの VAIO オーナーメード C シリーズ 14 型モデル VPCCA2AJ の初期設定。

アンインストール
  • Adobe AIR
  • Adobe Community Help
  • Adobe Photoshop Elements 9
    トライアル
  • Adobe Premiere Elements 9
    トライアル
  • Adobe Reader X MUI
    MUI はいらないので通常のをインストール。
  • ArcSoft Magic-i Visual Effects 2
  • ArcSoft WebCam Companion 4
  • Broadcom InConcert Maestro
    Wi-Fi でテレビに動画を映すとからしい。
  • Google Chrome
  • Google Toolbar for Internet Explorer
  • i-フィルター 6.0
  • Java 6 Update 22
  • Java 6 Update 22 (64-bit)
  • Norton Online Backup
  • PMB
    このアプリケーションはよくできてるけれど、ノート PC で写真管理することはないので。
  • PMB VAIO Edition Guide
  • PMB VAIO Edition plug-in
  • VAIO - Media Gallery
  • VAIO Easy Connect
    Windows 7 の無線接続が難しい人にはどれでも無理なんじゃ…。各メーカーが違うユーティリティを入れるおかげで素人が混乱するとも思う。
  • VAIO Improvement
    これがなんなのか分からなかった。
  • VAIO Gate
    なんで Windows にランチャーつけるのか理解できない…。
  • VAIO Gate Default
  • VAIO Quick Web Access
  • VAIO Sample Contents
  • VAIO Smart Network
  • VAIO お引越サポート
  • VAIO の製品登録 (無料)
  • VAIO データリストアツール
  • VAIO ナビ
  • VAIO ホームネットワークビデオプレーヤー
  • VAIO ホームネットワークビデオプレーヤー デジタル放送プラグイン
  • Webroot スパイ スウィーパー
  • Windows Live Essentials 2011
    ※Messenger 以外を削除
  • インテル PROSet/Wireless WiFi ソフトウェア
    ※ドライバ以外を削除
  • ウイルスバスター 2011 クラウド
  • リモート接続用の Windows Live Mesh ActiveX コントロール
C:\Program Files (x86)\JustSystems_Setup とスタートメニューの ATOK フォルダを削除。これも 30 日のトライアル。というか ATOK はすでに持ってる。

悪名高い VAIO のメディア解析は、PMB VAIO Edition plug-in に含まれるようになった模様。

プリインストールで残ったのは
  • VAIO - リモートキーボード
  • VAIO - リモートプレイ with PlayStation 3
  • VAIO Care
  • VAIO Event Service
    消すと特殊キーが効かなくなるので残す
  • VAIO Update
  • VAIO の設定
  • VAIO 電子マニュアル
  • Skype 5.1
  • 筆ぐるめ Ver.18
VAIO アプリケーションなしで買いたいと思う今日この頃(笑)
投稿者 時刻: 0 件のコメント:

2011年8月28日日曜日

このコンピューターのハードウェアで動作するように Windows を構成できませんでした

Windows 7 ベースまたは Windows Server 2008 R2 ベースのコンピューターでインストール エラーを「Windows セットアップ Windows コンピューターのハードウェアを構成できませんでした」

これに引っかかったのでメモ。
  • HDD が AFT (Advanced Format Technology)
  • Intel チップセットで RAID 構成
  • Windows 7 の SP なしディスクでインストール
この条件で Windows 7 をインストールすると、最終段階で「このコンピューターのハードウェアで動作するように Windows を構成できませんでした」となってしまう。Intel RST の F6 ドライバを読み込ませれば OK。なにもしなくても HDD は認識するので分かりにくい。

Windows 7 および Windows Server 2008 R2 と Advanced Format Disk の互換性を向上させる更新プログラムを入手できます

この更新は Windows Update で出てきた。オプションだったかどうかは失念。

投稿者 時刻: 0 件のコメント:

2011年1月11日火曜日

ひかり電話の無線LANオプション

実家のBフレッツ(ひかり電話)で無線LANカードのオプションが契約されてた。NTTのロゴが入ったPCカードが2枚あるので何となくおかしいと思い、利用明細を出してみたら怪しげな600円が。


ひかり電話 料金表
ルーター利用料の無線LANタイプに注目。

ルーターに付けるのとノート用って意味だったんだろうけど、それが稼働状態でもなくて箱のまま。



父親は自分で設定なんかできる人じゃないので、回線工事の時に業者おまかせのはず。あと実家には無線が使える機器はないので使いようがない。ただカード置いてくってなかなかなもんだなと。

116でその料金が無線LANオプションであることを確認し、解約処理。当時の代理店での契約のいきさつを調べてくれと依頼したものの、そんなはっきりした記録は見つからず。このテの営業がいかにどうしようもないかということがよく分かる。

今の無線ルーターって5000円もあれば買えちゃうので、無線LANレンタルはルーターにつけてる分だけでも1年半で元が取れる計算。自分で契約してる人は、見直してみることをオススメ。あと最初は2枚借りてたけど、PCを買い換えたら無線LAN内蔵になって余ってるとかいうケースもありそう。

そういえば、以前にはDELL PCの修理でメモリを間違って交換されてたこともあった。DELLの保証は、増設した分はもちろん対象外だけど、それに起因する故障でなければ問題なくサポートしてくれる。

うちのはこういう構成。
標準:256MB x 2
増設:512MB x 2

これで標準の1枚がエラーしてたらしく、増設の方の1枚と交換されたという。デュアルチャンネルを片方だけ換えるってのもおかしいけど、しかもそれバッファローのロゴ入りで。

念のためと思ってケース開けてみて、それはどうやったら間違えるんだとあきれた。ちゃんと仕事してくれよと。

これはDELLサポートから修理業者にいって、増設メモリの調達できたモノの関係で、1GB x 2 にというオチ(笑)
投稿者 時刻: 0 件のコメント:
登録: 投稿 (Atom)