linux では、 hwclock と云うコマンドがあって
特に困ったことはなかったが、FreeBSDはkernel変数を変更しないと時計が何をどうしても狂ってダメなので、記録しておく。
# sysctl -w kern.timecounter.hardware=ACPI-fast
kern.timecounter.hardware: TSC -> ACPI-fast
あとで
/etc/sysctl.conf に
kern.timecounter.hardware=ACPI-fast
を追加すること。
柔らか鍛冶屋
本当の意味での堅いものを作るのは、私には無理なんじゃないかな。 どうしてかって? それは、自分の精神が柔軟すぎるからだと思う。
2018年3月1日木曜日
2017年3月11日土曜日
DC join について
Windows7 RSAT を使うと、SAMBA AD管理が一部
できるが、全部ができるわけではない。
ドメインコントローラは、NT互換時代とはちがって、平等に
レプリケーションされる。
samba-tool domain join で接続できたものは、
RSATでは削除できない。
samba-tool domain demote をつかうこと。
できるが、全部ができるわけではない。
ドメインコントローラは、NT互換時代とはちがって、平等に
レプリケーションされる。
samba-tool domain join で接続できたものは、
RSATでは削除できない。
samba-tool domain demote をつかうこと。
qmail-spamcontrol
qmail-spamcontrol http://www.fehcom.de/qmail/spamcontrol.html
はこの1年くらい使っている。
以下の機能で、旧来の netqmail を置き換える理由になった。
SMTP-AUTH/TLS/1.x の装備は、モバイル機器でのメールの送受信を
する上でどうしても必要となった。
letsencrypt プロジェクトの恩恵もあり、tcpserver を
sslserver に置き換えることも進んだ。
なお、 spamcontrol は、バージョン2.733 をもって打ち止めになる。
s/qmail というプロジェクトが進められているので、そちらに移行する
ことができるか。FreeBSD-ports で取り上げてくれないものか。
(自分でやれということか?)
はこの1年くらい使っている。
以下の機能で、旧来の netqmail を置き換える理由になった。
- smtp-auth
- TLS実装(パッチ作者による ucspi-ssl 近代化がすぐれている)
- いうまでもない spam 避けの工夫
SMTP-AUTH/TLS/1.x の装備は、モバイル機器でのメールの送受信を
する上でどうしても必要となった。
letsencrypt プロジェクトの恩恵もあり、tcpserver を
sslserver に置き換えることも進んだ。
なお、 spamcontrol は、バージョン2.733 をもって打ち止めになる。
s/qmail というプロジェクトが進められているので、そちらに移行する
ことができるか。FreeBSD-ports で取り上げてくれないものか。
(自分でやれということか?)
samba4 provisioning に失敗する
ZFSを使うと、acl の持ち方が違うとかなので、
いまいち使えないところがあるようです。
仕方ないので、4GBくらいくれてやることに。
# zfs create -V 4GB zroot/samba4
# newfs /dev/zvol/zroot/samba4
# mount -o acls /dev/zvol/root/samba4 /var/db/samba4
いまいち使えないところがあるようです。
仕方ないので、4GBくらいくれてやることに。
# zfs create -V 4GB zroot/samba4
# newfs /dev/zvol/zroot/samba4
# mount -o acls /dev/zvol/root/samba4 /var/db/samba4
2017年3月9日木曜日
samba4.6.0 on FreeBSD11
install について簡単に書く。
samba4.6 は 普通に展開する。
./configure --enable-debug
ちなみにtalloc-2.1.8 をインストールしたままのコンパイルは、
pytalloc_GenericObject_reference_ex() が 存在しない
ので こんなエラーがでる。
- ports の、 net/samba44 をとりあえず入れてみる。
- 必要なライブラリが入る。
- talloc-2.1.9 が必要なので、以下の作業を実施
$ cd /usr/ports/devel/talloc $ sudo vi Makefile - PORTVERSION= 2.1.8 + PORTVERSION= 2.1.9 $ sudo make makesum && make all reinstall
pytalloc_GenericObject_reference_ex() が 存在しない
ので こんなエラーがでる。
[3538/3912] Linking default/python/libsamba-python-samba4.so default/source4/librpc/rpc/pyrpc_util_32.o: In function `pyrpc_import_union': pyrpc_util.c:(.text+0x1244): undefined reference to `pytalloc_GenericObject_reference_ex' pyrpc_util.c:(.text+0x126c): undefined reference to `pytalloc_GenericObject_reference_ex' default/source4/librpc/rpc/pyrpc_util_32.o: In function `pyrpc_export_union': pyrpc_util.c:(.text+0x13c0): undefined reference to `pytalloc_GenericObject_reference_ex' collect2: error: ld returned 1 exit status
参照: https://lists.samba.org/archive/samba/2017-March/206890.html
ちょっと調べればわかるものだ。
2016年12月26日月曜日
Asterisk / HT701,HT503 について
Asterisk の設定で、ハマったところだけ抜き書きしておく。
1)FXS の設定で「Register Expiration: (in minutes. default 1 hour, max 45 days) 」 程度にしておかないと、テスト中 register 動作がうごかない
2)SIP User id/ secret の設定: asterisk(chan_sip/sip.conf) 側で、設定する場合
[phone number] →Authenticate ID:
secret → Authenticate Password:
に対応しているように思える。(特に[phone number] 側については検証が必要)
電話機なので呼び出し番号が入るのが普通だけれども、そこを変えてしまうと
どうも組み合わせが合わない。 - Wrong password
設定例などは、 [ht503fxs]とかになっているけど、これがAuthenticateに使われる
ように思える(推測の理由:phone number に揃えたら動いた)
3) host=dynamic にしないと register が失敗する - Peer is not supposed to register
固定IP、有線でつなげるアダプタなのだが、レジスタ動作が動的割り当てに即した
もののようである。なので、dynamicとすると動く(そうなる理由はわからないが、
dynamicじゃないからだとデバッグログがいうのでそのようにした)
どうも用語が一致しないなどの、いわゆる「業界標準ができてない」世界のゴタゴタを
理解するのに大変苦労すること。大昔から通信屋と電算屋は仲がとても悪いように思う。
以上
1)FXS の設定で「Register Expiration: (in minutes. default 1 hour, max 45 days) 」 程度にしておかないと、テスト中 register 動作がうごかない
2)SIP User id/ secret の設定: asterisk(chan_sip/sip.conf) 側で、設定する場合
[phone number] →Authenticate ID:
secret → Authenticate Password:
に対応しているように思える。(特に[phone number] 側については検証が必要)
電話機なので呼び出し番号が入るのが普通だけれども、そこを変えてしまうと
どうも組み合わせが合わない。 - Wrong password
設定例などは、 [ht503fxs]とかになっているけど、これがAuthenticateに使われる
ように思える(推測の理由:phone number に揃えたら動いた)
3) host=dynamic にしないと register が失敗する - Peer is not supposed to register
固定IP、有線でつなげるアダプタなのだが、レジスタ動作が動的割り当てに即した
もののようである。なので、dynamicとすると動く(そうなる理由はわからないが、
dynamicじゃないからだとデバッグログがいうのでそのようにした)
どうも用語が一致しないなどの、いわゆる「業界標準ができてない」世界のゴタゴタを
理解するのに大変苦労すること。大昔から通信屋と電算屋は仲がとても悪いように思う。
以上
2016年3月8日火曜日
qmail-spamocontrol / STARTTLS
qmail-spamcontrol の 運用について少し書く。
このパッチをすると、qmail-remote は TLSに対応する。
/var/qmail/control/tlsdestinations
制御ファイルを設置する と 接続先の サーバが、STARTTLS 対応していいればセッションをTLSで保護することができる。
このパッチの 2.7.31 では SSLv3以前のプロトコルでセッションを行おうとするが、もう既に "POODLE" "HEARTBLEED"、先週(2016/03/01) 発表になった "BROWN" などの脆弱性を突いてくることがわかっているために、これらの古いプロトコルを迂闊に使えると、最悪は SMTP セッション開始を 拒否される。
故に、2.7.32 以降のパッチが必要なのだが、port作者がさぼっている。
letsencrypt が FreeBSDでも稼働するようなったので、STARTTLS には多くの問題を抱えながらも、今後は強制的になっていくのではないかと考えている。 DKIMがそれほど普及もせず、 SPFも適当すぎるため、これらの後付け SMTP の付属物がロクなことをしないのは知っているのだが、少なくともデータのやりとりにTLSの保護は役に立つだろう。
このパッチをすると、qmail-remote は TLSに対応する。
/var/qmail/control/tlsdestinations
制御ファイルを設置する と 接続先の サーバが、STARTTLS 対応していいればセッションをTLSで保護することができる。
このパッチの 2.7.31 では SSLv3以前のプロトコルでセッションを行おうとするが、もう既に "POODLE" "HEARTBLEED"、先週(2016/03/01) 発表になった "BROWN" などの脆弱性を突いてくることがわかっているために、これらの古いプロトコルを迂闊に使えると、最悪は SMTP セッション開始を 拒否される。
故に、2.7.32 以降のパッチが必要なのだが、port作者がさぼっている。
letsencrypt が FreeBSDでも稼働するようなったので、STARTTLS には多くの問題を抱えながらも、今後は強制的になっていくのではないかと考えている。 DKIMがそれほど普及もせず、 SPFも適当すぎるため、これらの後付け SMTP の付属物がロクなことをしないのは知っているのだが、少なくともデータのやりとりにTLSの保護は役に立つだろう。
登録:
投稿 (Atom)