y2blog

　Mac OS X Server 10.5 のPHPでは残念ながら GD ライブラリが標準で組み込まれていませんでしたが、今年の９月にリリースされる予定の Mac OS X Server 10.6 では標準でGDライブラリがPHPに組み込まれるようです．

　これまで何度か OS X Server について紹介してきましたが、今回は OS X Server に標準で備わっている　PHP5 に GD ライブラリを組み込む方法について紹介します．

“DBD::mysql” のインストールについて
　
OS X Server 10.5 で MySQL 関係のリソースを入手する方法について、先の記事で紹介しましたが、CPAN から Perlのモジュールをインストールする方法については詳しく説明していませんでした．CPANから”DBD::mysql” モジュールをインストールするには、単純に
　

cpan
install DBD::mysql

　
としただけではエラーとなって上手くインストールできません．どうやら “DBD::mysql” モジュールが想定しているライブラリやインクルードファイルなどが、Mac OS X Server の 標準 MySQL 環境に含まれていないのが原因のようです．足りない MySQL関係のファイルをAppleのホームページからダウンロードして不足しているファイルをインストールします．
　
　ダウンロードするファイルは：http://www.opensource.apple.com/darwinsource/other/MySQL-43.binaries.tar.gzです．
　

　Mac OS X Server の デフォルト状態でのMySQLに関する情報を表示してみます．
　

$ /usr/bin/mysql_config
Usage: /usr/bin/mysql_config [OPTIONS]
Options:
–cflags [...]

MySQL関係のリソース
　
　OS X Server 10.5 に Movable Type 4.1 をインストールしようとしたところ、幾つかの必須モジュールが見つからないと言われてしまいました．Movable Type 4.1のシステム環境チェック “mt-check.cgi” を起動してみると、MySQL にアクセスするための Perl のライブラリモジュール “DBD::mySQL” が無いと言われてしまいます．
　

チェックリスト #1

チェックリスト #2

　CPAN から”DBD::mySQL”をダウンロードして、インストールしようとしましたが上手く行きません．Mac OS X Server 10.5 には MySQL V5 が最初からインストールされているのですが、MySQLを動かすのに必要な最低限のコマンドしか組み込まれていないようです．開発に必要なMySQL関連のインクルードファイルやライブラリ類は含まれていません．
　MySQLをソースからビルド仕直そうかと思いましたが、Server Admin などのGUIベースの管理ツールとの整合性やセキュリティーアップデートなどの問題が生じてしまいます．できればAppleの純正環境で行きたいところです．幸いなことに、Apple のドキュメントに “Mac OS X Server version 10.5: MySQL libraries available for download [ Article: 306782 ]” という記述がありました．このページのリンクからMySQL関係の開発に必要なライブラリやインクルードファイルなどを一通りダウンロードできます．
　
　このライブラリであれば、システムの整合性の問題は心配しなくても良さそうです．安心してインストールできますね．
　

ソフトウェアアップデートサーバをローカル設置する
　
　本日ようやくApple から正式に OS X 10.5.2 のアップデータが “Software Update” を通じて配布されましたね．これまでは Mac OS X は WindowsXPに較べると圧倒的にアップデータの数が少なかったのですが、最近は Mac の世界でも頻繁にアップデートを施さなくてはならなくなり、学校や職場でシステムを管理している人にとっては頭痛の種となっているのではないでしょうか．
　

　家庭などで数台のMacしか使っていないのであれば、普通に”Software Update”を起動して、インターネット経由でAppleからアップデータをダウンロードすれば大した手間でもありませんが、学校や職場などで何十台もMacがある場合はとても１台１台アップデート作業をやってられません．このような場合は、大抵 “Apple Remote Desktop” のような Mac 集中管理ソフトウェアを使ってアップデート作業を自動化していることでしょう．
“Apple Remote Desktop”はとても便利なツールなのですが、”Software Update” がアップデータをダウンロードしてくる先は、Apple のアップデートサーバで、インターネットの向こう側です．いくらブロードバンド時代とはいえ、数十台のMacが一斉に”Software Update”をかけると、インターネット回線がパンクしてしまいます．一晩かけて時差攻撃で１台ずつちまちまとアップデートしていくという手もありますが、できれば一気にアップデートしてしまいたいですよね．
　

　このような場合に便利なのが、Mac OS X Server の Software Updateサービスです．このSoftware Updateサービスは、アップデータをAppleのアップデートサーバから自動的にダウンロードして、サーバ内にアップデータのコピーをキャッシュして、クライアントマシンに対してこのキャッシュされたアップデータを自動的に提供するものです．Appleのアップデートサーバのミラリングというところでしょうか．アップデートサーバは手元に置かれていますので、インターネット回線の容量を気にせずに短時間でクライアントマシンのアップデート作業が行えます．
　

　学校などの大きな所では、それなりのシステムインテグレータが入っていて、面倒な設定は全部業者任せというような所は良いのですが、貧乏学校や研究室レベルなどではそのような贅沢な事はやってられないのが実情でしょう．
　

　Mac OS X のSoftware Updateサービスを利用するには、勿論 Mac OS Xサーバを導入する必要があるのですが、 Mac OS XサーバのSoftware Updateサービスを有効にしただけでは駄目で、クライアントマシン側も設定を変更しなければなりません．クライアントマシンが全て Open Directory で一括管理されている場合は “Workgroup Manager” [...]

Windows XP サプリカントの設定
　
　前回の記事で、Windows XP に標準で備わっているサプリカントを使えるようにするために、サーバ側とクライアント側の証明書に拡張オプションを付け加える方法を紹介しましたが、今回は実際にWindows XP のネットワーク設定を行って802.1X認証による接続を検証してみます．

　Windows XPの標準で備わっているサプリカントは、EAP-TLSとEAP-PEAP にしか対応しておらず、またWPA2 にも対応していません．このままでは機能が貧弱ですので、WPA2とEAP-TTLS に対応させる方法についても紹介します．
　

WPA2 への対応
　Windows XP では最新版のサービスパック(SP2) とWindows Updateで全てのパッチを当てた状態でも、WPA2 には対応していないようです．WPA2に対応させるには、自分でMicrosoft のダウンロードサイトからWPA2対応パッチ[Update for Windows XP (KB893357) ]をダウンロードしインストール必要があるようです．このパッチを当てることによってWPA2に対応できるようになります．
　
【Windows XP SP3 では標準で WPA2 に対応しているようです】
　

EAP-TTLS に対応させる
　
　Windows XP のサプリカントは、標準ではEAP-TTLS には対応していませんが、サードパーティー製のモジュールをWindows XP にインストールする事で、Windows XP のサプリカントを EAP-TTLS 対応させることが可能です．このEAP-TTLS プラグインモジュールは “SecureW2 TTLS for Windows” という名前で、フリーソフトウェアとして配布されています．

標準状態

WPA2パッチ適用後

標準状態

SecureW2インストール後

　
　
EAP-TLS による接続
　ネットワーク接続のプロパティを開き、認証タブを選択します．”EAPの種類(T)” 欄を ”スマートカードまたはその他の証明書” を選び、”プロパティ” ボタンを押します．証明書に関する設定ダイアログが現れますので、”サーバの証明書を有効化する(V)” [...]

RADIUSサーバに Free RADIUS を用いる場合、EAP-PEAP, EAP-TLS を Windows XP の標準サプリカントに対応させるには特別な Extension が必要になります．

サーバ、クライアントへの証明書のインストールが済みましたので、今回はサプリカント側の設定を行って、802.1X認証がきちんと動作するか検証してみます．サプリカントとしては Mac OS X 10.4(Tiger)とWindows XP Pro (SP2) + クライアントマネージャ３（バッファロー製）の組み合わせで実験しました．

証明書をサーバとクライアントにインストールする
　
　今回はOpenSSLのコマンドを用いて作成したサーバ証明書とクライアント証明書をインストールする手順について紹介します．作成したサーバ証明書は一般的なSSL証明書として使用可能ですので、RADIUSサーバの認証用途以外にもWEBサーバ(Apache 2)やOpenDirectoryのSSL通信用途としても使用可能です．Leopardサーバでは、サーバアプリケーション用の証明書は “/etc/certificates” に置くのが慣例の様ですので、予め作成した証明書や秘密鍵ファイルを適当な名前を付けてこのディレクトリに置いておきます．

　
RADIUSサーバの設定
　
RADIUSサーバに設定するには “ServerAdmin” の”RADIUS”ペーンを選択し、”RADIUS Certificate” のプルダウンメニューから “Custom Configuraion” を選びます．ファイルへのパスと秘密鍵のパスフレーズを入力し”OK”ボタンを押します．ダイアログ右下の”Save”ボタンを押して設定を書き込みます．

　RADIUS関係の設定ファイルに設定した項目がきちんと書き込まれていれば問題ないのですが、何度か設定変更を繰り返していると、”ServerAdmin”を通じて変更を加えても上手く設定が反映されず、中途半端な設定となってしまい、RADIUSサーバがエラーとなって上手く起動しない事が多々ありました．このような場合は一旦”Default” の証明書に戻してから、再度設定し直すと上手く行った事がありました．RADIUSのログを見ると、”ServerAdmin” は “radiusconfig” というコマンドを発行して、RADIUS関係の設定ファイルを更新しているようです．

2007-12-10 01:45:33 +0900 – radiusconfig -installcerts /etc/certificates/server2.home.yoko.key.pem /etc/certificates/server2.home.yoko.cert.pem /etc/certificates/cacert.crt
2007-12-10 01:45:33 +0900 – command: /usr/bin/openssl rand -out **** 512
2007-12-10 01:45:33 +0900 – openssl command output:
unable to write ‘random state’
2007-12-10 01:45:33 +0900 – radiusconfig -setcertpassword

　設定ファイルがきちんと設定されているか確認しておきます．RADIUSのEAP認証関係の設定ファイルは “/etc/raddb/eap.conf”です．”EAP-TLS” セクションに証明書の設定箇所があります．

[...]

PKI証明書の運用
　
　IEEE802.1X認証システムを起ち上げるには、PKIによる証明書を準備しなければなりません．Mac OS X サーバの場合はGUIベースの”Server Admin”ツールから比較的簡単に自己署名形式のサーバ証明書を組み込むことが可能です．また、Mac OS X では標準で組み込まれている”Keychain Access” ユーティリティーによって、各種PKI証明書をハンドリングできるようになっています．

　今回は、PKI認証の仕組みを理解しやすくするため、敢えてこれらのGUIベースのツールを使わずに、OpenSSL のコマンドラインから各種の証明書を作成し、802.1X認証システムを運用してみることにします．　
　

OpenSSL
　OpenSSLはオープンソースベースのPKI認証システムとして最も広く使われており、Mac OS X でもこのOpenSSLが使われています．PKIの仕組みを理解するのは結構大変なのですが、PKIの仕組みについては書籍などを参考にして貰うとして、ここでは簡単にPKIの仕組みを説明しておきます．

　
PKIと証明書
PKI(Public Key Infrastructure）では、公開鍵と秘密鍵という一対の暗号鍵を利用しています．これらの２つの鍵のうちのどちらか一方で暗号化された文書は、もう一方の鍵でしか復号化できないという性質があります．データの所有者が片方の鍵（秘密鍵）で暗号化し、もう一方の鍵（公開鍵）を公開します．

　秘密鍵で暗号化されたデータは、対になっている公開鍵でしか復号化できないので、そのデータの出所を証明することになります．通常、証明書にはユーザの情報（公開鍵の情報や有効期限など）を認証局(CA : Certificate Authority）の秘密鍵で暗号化した情報が書き込まれています．通常、認証局の公開鍵はルートCAとしてMac OS X やWindowsの中に組み込まれていますので、このルートCAの公開鍵で復号化することによって、この証明書が認証局によって署名・発行されたものであることが証明されます．

グローバル証明書とプライベート証明書
　外部公開WEBサーバなどを運用する場合は、グローバル証明書と呼ばれるVerisignやRSAなどのきちんとオーソライズされた認証機関により署名されたサーバ証明書を手配する必要がありますが、これらのサービスは有料で高価なうえ、証明書取得のための手続きも面倒で厄介です．無線LAN等の認証用途に使うのであれば、これらのオーソライズされた証明書でなくても、自分で勝手に認証局を起ち上げて、証明書に署名するだけで簡単にPKI認証システムの運用が可能です．このように組織の内部だけで運用するような証明書をプライベート証明書と呼んでいます．
　

OpenSSLによるPKIシステムの構築
　Mac OS X の場合、OpenSSL関係のファイルは “/System/Library/OpenSSL” 配下に置かれています．Mac OS X Serverでは サーバ関係の証明書は “/etc/certificates” 配下に置かれています．

プライベート認証局（CA）の作成
　認証局を作成するというと何か特別なサービスを提供するというイメージがありますが、単にCA証明書を作成するだけです．”/System/Library/OpenSSL/misc”というディレクトリに “CA.pl”と”CA.sh”という２つののスクリプトがあります．これらのスクリプトは認証局を作成したり証明書を作成するために用意されています．Perlスクリプトとshellスクリプトのどちらを用いても処理内容は同じです．

sh-3.2# cd /System/Library/OpenSSL/misc
sh-3.2# ls -la
total 56
drwxr-xr-x 11 root [...]