isLandcenter 非番中

ブログトップ | ログイン

タグ:Network ( 24 ) タグの人気記事

SUSE15(SLE15x/openSUSE Leap15x) で NTP タイムサーバーを稼働させます。

知らなかったで済まされなかったンですが、いろいろ言い訳はありますよ。古い SLES11 を NTP サーバーとしていたので気にならなかったのですが、openSUSE Leap 15.2 に変えてからどうもNTPサーバーがおかしい。ってか全然機能していない。

よく見たらフレッシュにインストールした openSUSE Leap 15.2 って ntpd のサービスが YaST Service Manager にないんです!こりゃおかしいと思って調べてみました。

SUSE 15(SLE15/openSUSE15)では、ntpd ってなくなっていたんですね。その代わりに chrony というパッケージに置き換わっていました。


という事で、 SUSE Linux 15 (SLE15/openSUSE Leap 15) で NTP サーバー chronyd を動かしてみました。

31 Time Synchronization with NTP

chronyc(1) Manual Page

ー chrony パッケージ

chrony パッケージは、デフォルトで SLE/openSUSE 15x のインストーラがインストールしてクライアントとして機能します。別途インストールする必要はないのですが、なければ 1 クリックインストールします。こちら

chrony System Clock Synchronization Client and Server

SUSE15(SLE15x/openSUSE Leap15x) で NTP タイムサーバー_a0056607_12343156.png


ー /etc/chrony.conf の書き換え

デフォルトでは chronyd はクライアントとして動作します。 YaST > Network Services > NTP Configuration で」タイムソースを指定すると、 /etc/chrony.conf ファイルは YaST により更新されます。

YaST で更新されない部分が allow の行です。ここはコメントアウトされているので、自身がタイムソースとなる場合、提供する相手の IP アドレスを次の様に指定します。

chrony.conf を書き換えたら、chronyd を YaST > System > Service Manager か systemctl コマンドで再起動します。

suse15:~ # cat /etc/chrony.conf | grep llow

# Allow the system clock to be stepped in the first three updates
# Allow NTP client access from local network.
#allow 192.168.0.0/16
allow 192.168.1.0/24
suse15:~ # systemctl restart chronyd
suse15:~ # systemctl status chronyd
● chronyd.service - NTP client/server 

: 以下略

SUSE の場合、YaST > Network Services > NTP Configuration から、タイムソースを追加して、TEST ボタンを押すと、NTP ソースとして機能しているかをテストすることができます。

SUSE15(SLE15x/openSUSE Leap15x) で NTP タイムサーバー_a0056607_12345406.png

どうやら動いているようです。

ちなみにタイムソースを設定する場合、デフォルトで "Quick Initial Sync" にチェックがはいっており、iburst オプションが有効になります。

SLES 15 は SLES12 よりアップデートしたものなので、ntpd が残っていたのですが、YaST > Software Maanagement から削除してしまいました。

ー slew モードと step モード

chrony のデフォルトは step モードです。デフォルトで、タイムソースとの一秒以上の時刻ズレを3回以上検出すると、一挙に時刻合わせを行います。時刻のズレが大きいとアプリケーションによっては深刻な誤動作(時刻戻りによる)が発生する場合があるので、slew モード(徐々寄せモード)にするのが良いでしょう。ただし slew モードは時刻ズレが大きいと同期に時間がかかります。時刻ズレがあまり影響ない場合はデフォルトの Step モードでも構いません。

# makestep 1.0 3 # Comment Out
leapsecmode slew # <--- Add Line

デフォルトではポーリング間隔(Polling interval) minpoll 64sec / maxpoll 1024sec です。詳細はマニュアルでご確認ください。

chrony.conf(5) Manual Page


isLandcenter.jp





by islandcenter | 2021-01-08 12:38 | SUSE | Comments(0)

openSUSE 15.2 でルータ(らしきもの)を作ってみました。

openSUSE Leap15.2 でルータを作ってみた_a0056607_13060411.jpg

そんなに資材がある訳ではないので、 SUSE Linux Enteprise (SLE15) で動いている KVM 仮想環境に、仮想ブリッジと仮想クライアント(openSUSE 15)を作り、仮想化された内部ルータ(openSUSE 15)で、仮想別セグメントのクライアントから、構内ネットワークとインターネットに繋がる、と言うのが目標です。

ちょっとややこしいので簡単な図

openSUSE Leap15.2 でルータを作ってみた_a0056607_11512216.png

動機は、ADSLに繋がっているルータの調子が悪く、Wifi の干渉が酷くて、無線を止めて有線化したかったのですが、Wifi ルータは安いのに有線ルータは、結構値が張ります。また、内部向けに DNS があるのですが、安い Wifi SOHO ルータは DHCP をオフにできず、Wifi ルータの DHCP が イントラ向けの DNSを自分自身に勝手にしてくれるものが多く、実に使い勝手が悪い。
という事で、安く有線ルータが出来ないかなという理由です。

Windows でも似たような事をやってみました。

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ

実際の環境で作るとなると零細とは言えSOHOネットワーク全体にトラブルが出てしまうので、まずはテスト環境で、という事で、openSUSE 15.2 でルータを作ってみたわけです。

ー 仮想ブリッジを作る

KVM ホストとなる SUSE Enterprise 15 (SLES15) で yast > system > Network Settings から、Add で Device Type : "Bridge" を作ります。

openSUSE Leap15.2 でルータを作ってみた_a0056607_11521120.png

この KVM ハイパーバイザーには、Amazon で 1000円で買った USB HUB 付 NIC が付いているのですが、今回はこれは使いません。空白。

"br2" という仮想ブリッジが作られます。設定はしません。

openSUSE Leap15.2 でルータを作ってみた_a0056607_11525879.png

SLE のインストールはこちら

SLE15 Linux Enterprise sp2 (SLES15sp2) のインストール(動画付き)

openSUSE で KVM を使う場合はこちら

openSUSE Leap 15.1 で初めての KVM, 仮想化

次に、今回ルーターとなる openSUSE 15.2 を virt-manager から create します。1枚目の仮想 NIC は、ホストサーバーの実 NIC の1番目にバインドされているブリッジデバイスに、二枚目の NIC は br2 の仮想ブリッジにバインドします。

openSUSE Leap15.2 でルータを作ってみた_a0056607_11571289.png
ここでは、openSUSE をインストールして、

openSUSE Leap 15.2 Install (動画付き)

YaST > System > Network Settings から

Eth0 には 192.168.1.254 で、本体のローカルネットワーク(192.168.1.0/24)にバインドします。
Eth1 の仮想ネットワーク側に 192.168.10.254 のアドレスをバインドします。 192.168.10.0/24 は KVM の中だけに存在する、仮想ネットワークです。

ルータとなるシステムのネットワーク設定はこんな感じです。

openSUSE Leap15.2 でルータを作ってみた_a0056607_11592305.png
ついでに DNS もインストールします。

速攻 1分で DNS on SUSE12 by YaST

ー ip forward Enable

YaST > SYstem > Network Settings > の Router のタブはこの様になりました。実ポートが繋がっている側にはデフォルトゲートウェイが設定されています。

ルータ化するため、Enabele IPv4(6) Forwarding は両方ともチェックしておきました。

(早く IPv6 にも慣れないと...)

openSUSE Leap15.2 でルータを作ってみた_a0056607_11592305.png

YaST を終了させるとネットワークの設定は自動的に再起動されます。

フォワードが有効かどうかは次のプロセス ip_forward が "1" (Enable) になっていればOKです。/etc/sysctl.conf を設定する必要はSUSE Linux では必要ないようです。

router:~ # cat /proc/sys/net/ipv4/ip_forward
1
router:~ #

ip route で確認、

router:~ # ip route
default via 192.168.1.1 dev eth0
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.254
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.254


※ 従来の route コマンドは Depricated - 非推奨 - なので YaST > Software Manegement から明示的に Net-tools パッケージをインストールすると使えます 。

ー NAT とマスカレードの設定

ここからがハマりどころでした。結論としては、NATとマスカレードを有効にしろという事です。次のコマンドを実行したら、内側のネットワークから、本線とインターネットに通信ができる様になりました。ネットワークを変換して仮面舞踏会に参加させます。

ただし、SOHO 本線側からは、デフォルトゲートウェイが違うため通信はできません。

router:~ # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

ネットワークサービスを再起動します。

router:~ # systemctl restart network

永続的に設定するためには、ファイアウォールの設定が必要か、起動時に iptables コマンドを実行させる方法を探す必要があります。(挫折)

opensuse152desktop:~ # ip a | grep 192
inet 192.168.10.20/24 brd 192.168.10.255 scope global eth0
opensuse152desktop:~ #
opensuse152desktop:~ # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=5 ttl=111 time=32.2 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=111 time=31.1 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=111 time=31.4 ms
^C
--- 8.8.8.8 ping statistics ---
7 packets transmitted, 3 received, 57% packet loss, time 6097ms
rtt min/avg/max/mdev = 31.157/31.620/32.294/0.508 ms


ー より深く設定するには firewall-config を使う

具体的には firewall-config という GUI アプレットをインストールして設定するようです。openSUSE 15.2/SLES15 のリポジトリにあるので YaST からインストールできます。

openSUSE Leap15.2 でルータを作ってみた_a0056607_12005594.png

第14章 マスカレードとファイアウオール

fire-wall-config アプレットを起動します。

router:~ # firewall-config &

で起動できます。 firewalld が Active/Boot Enable の場合でないと、起動できません。YaST > System > Service Management メニューから firewalld を有効にしておきます。

アプレットのUIはこんな感じです。

openSUSE Leap15.2 でルータを作ってみた_a0056607_12012822.png

ー まとめ

とりあえず目標とする事はできました。うまく設計すれば、仮想環境だけで物理ポートが2つあれば、DMZ を含んだインターネットとのバウンダリシステムを作る事ができます。今時は SaaS でメールやウェブページを運用するのが一般的なのでしょうが、例えば DNS や DHCP、 認証/パススルー・プロクシのようなコンテンツキャッシュやコンテンツフィルタリングなど、オフィスのバウンダリ・エッジで必要とされる機能は数多くあります。これらを一つの仮想化パッケージとして運用するのも一つの手段です。

何しろ余計な UPS や HUB、ケーブルが必要なくて実にスッキリします。

あいにく、私はネットワークシステムについては不勉強です。でもファイアウォールの設計やテスト、小規模な開発環境を構築するには、なかなか便利な経験でした。

次の目標は firewall-config ツールを使いこなして、Fire Wall の勉強です。






by islandcenter | 2020-12-16 12:01 | SUSE | Comments(0)

色々不都合がありまして、実家にUターンしてからというもの通信事情の悪さに辟易しています。

古い農家の家の中に、有線LANケーブルを這わせて物理ルータで家族と仕事場のセグメントを分ける訳に行かず、できるだけ家族の使うネットワークと仕事用のネットワークを干渉させたくない。Wifi 使うしか方法がないか .....

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_14322404.jpg

という事で。

今は、みんなでスマートフォンやタブレットを使うため Wifi ルータには凄い負荷がかかっているわけですね。しかも仕事用のテスト環境とは、IPの体系が違います。この環境は弄りたくない。Wifi ルータを2台使うと、ネットワークが干渉しあうのか、家人がクレーム入れてきました。

従来の Wifi 環境に手を加えたくない。

そこで、Wifi ルータから、Windows10 Pro ノートの Wifi で受けた通信を、ノートPCの有線側にLANにルーティングさせてみてはどうかという事なんですね。

だいたいこんな感じになればいい。

WAN --> [Wifi ルータやスマートフォン192.168.11.xx] --> [Windows10 Wifi --> RJ45] --> (有線LAN:Hub:192.168.1.xx) --> [サーバー(Linux)群]

あるんじゃないですか、無線 Wifi 環境しか使えない環境で有線LAN機器機器を使いたいってケース。

例えば物理的に閉塞したネットワークでインターネットに繋がっていない環境に RJ45 ポートと Wifi が使えるノート PC を持ち込んで、一時的にスマートフォンのテザリングでインターネットにつないで、パッチをダウンロードしたい、などのケースがあると思います。

逆に、有線環境しかない萎びたホテルの狭い一室で、ホテル用 Wifi 変換アダプタを忘れて、有線しかなくタブレットしか使えない場合なんかにも応用が利きそうです。

-参考にした記事

Windowsのレジストリを設定してIPルーティングを有効にする(WindowsマシンをIPルーターにする)

Windows Server をルータにする2つの方法

WindowsマシンでIPルーティングをする

パソコンをWi-Fiルーター化! 意外と知らないWindows10の最新ワザ!

ー レジストリの操作

次のレジストリを操作して、ルーティングを有効にします。この後、再起動が必要です。

C:\ > regedit

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter
Dword:1 (Enable に)

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_14335174.jpg

再起動した後 > ipconfig /all を実行して、"IP ルーティング有効"が "Yes" になっていればとりあえず成功です。

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_14345259.jpg

ー サービスの有効化

私の環境ではレジストリの設定だけではうまく動かず、サービスの起動を行いました。

エクスプローラの「コンピュータ」を右クリックして「管理」を立ち上げます。「サービス」の中にある ”Routing and Remote Access” を「開始」し、自動起動を有効化します。

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_14351453.jpg

ー Wifi の共有

エクスプローラから「ネットワーク」右ボタンでプロパティを開き、「ネットワーク共有センター」を開きます。
Wifi が「インターネット」に繋がっている状態から、 Wifi のプロパティ > 「共有タブ」で Wifi と「イーサネット」を共有します。

ついでに、 Wifi 側の IP アドレスも大抵は DHCP で変化するため、話がややこしくならない様に、Wifi は固定アドレスにしておきます。ここでは、 Wifi ルータの DHCP がリースするのが 192.168.11.2 ~ 64 なので、この範囲を外れた 192.168.11.199 に割り当てています。

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_14353624.jpg

この時、RJ45 側のポートアドレスが 192.168.137.1 に強制的に変更されるため、これでは LAN 側からは認識されません。「イーサネット」側のポートアドレスを、閉塞したネットワークのデフォルトゲートウェイのアドレス 192.168.1.1 に強引に変更してみました。

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_09223120.jpg

勿論、このローカルエリアLANに、他にルータがない事が前提です。あるいは、現行のデフォルトルータはケーブルを抜いておきます。つまり、LAN内のデフォルトゲートウェイを、このPCのイーサネットアドレスに変更する必要がある、という事です。

ウチの環境では、今までのルータの置き換えなので Default Gateway アドレス 192.168.1.1 に設定しました。

Wifi から有線LANに変換接続するWindows10 Pro で簡易ルータ:別セグメント接続_a0056607_14360162.jpg

これで、LAN 内のコンピュータ(今回は SUSE Linux 15.1)から、近い順に Ping 疎通確認します。ルータ代わりの PC の LAN ポート > PC 側の Wifi ポート > WIfi ルータ > Google などの一般的なインターネットサービスで名前解決できるか? を順を追って試してみます。

suse151:~ # ping 192.168.1.1 <-- LAN 側ポート
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=128 time=0.303 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=128 time=0.664 ms
^C
--- 192.168.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1028ms
rtt min/avg/max/mdev = 0.303/0.483/0.664/0.181 ms
suse151:~ #

suse151:~ # ping 192.168.11.199 <- Wifi 側ポート
PING 192.168.11.199 (192.168.11.199) 56(84) bytes of data.
64 bytes from 192.168.11.199: icmp_seq=1 ttl=127 time=0.473 ms
64 bytes from 192.168.11.199: icmp_seq=2 ttl=127 time=0.927 ms
^C
--- 192.168.11.199 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1003ms
rtt min/avg/max/mdev = 0.473/0.700/0.927/0.227 ms

suse151:~ # ping 192.168.11.1 <-- Wifi ルータ(ルーティングしている)
PING 192.168.11.1 (192.168.11.1) 56(84) bytes of data.
64 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=1.30 ms
64 bytes from 192.168.11.1: icmp_seq=2 ttl=63 time=1.54 ms
^C
--- 192.168.11.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 1.306/1.424/1.543/0.124 ms

suse151:~ # ping google.com <-- DNS は機能している様だ
PING google.com (216.58.199.238) 56(84) bytes of data.
64 bytes from kix05s02-in-f238.1e100.net (216.58.199.238): icmp_seq=1 ttl=114 time=61.5 ms
64 bytes from kix05s02-in-f238.1e100.net (216.58.199.238): icmp_seq=2 ttl=114 time=57.8 ms
^C
--- google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 57.891/59.700/61.509/1.809 ms
suse151:~ #

どうやらうまく行った様です。


ー ハマりどころ

一応、この手順でうまく動いたのですが、再起動したり、他を色々弄ると全く動かない状態に陥りました。ずっぽりハマった沼から抜け出すため、次のアクションをして再設定したところ、再び安定して動いているようです。

ー Hyper-V は無効化しておいた。

Hyper-V や WSL2 などのサービスが動いていても、うまく行ったケースがありましたが、仮想ブリッジを使うので、話がややこしくならない様、一旦無効化して、再起動してみました。

ー ネットワークアダプタのドライバをアンインストール

 ぐちゃぐちゃして話がややこしくなり、原因不明。ネットワークアダプタのドライバは、全て削除して再起動しました。これでネットワーク設定がクリアになるので、手順通りに動かしてみると、うまく動きました。


これは本来の姿とはかけ離れているのですが、これで一時的な簡易ルータの出来上がりです。実際にはルーター化したのは Windows のノートブックなので、持ち出したら、ルータがなくなることになります。

また、寝ている間にサスペンドしてしまうので、こういった対策も必要です。実用的だけど一時的な方法です。

あくまでも緊急事態用で、継続して使うには不向きです。無線 Wifi 通信は手軽ですが、長期我慢して使えるものではありません。抜本的な対策は必要です。






by islandcenter | 2020-11-30 14:33 | Windows | Comments(0)

なぜ、電子メールシステムは難しく感じるか

- ついに Postfix に手を出す -

今まで電子メールと言えば Gmail か Novell GroupWise と、あとはレンタルドメインのメールシステムしか扱ってこなかった私が Postfix に手が出なかった理由はいくつかあります。やっぱり

「電子メールは難しい」

という先入観でした。Psttfix の勉強を始めて改めてその難しさに気が付きました。




- どこまで何を目標とするか -

ITエンジニアやプログラマの初心者がまず陥る問題点として、「何をどこまでヤルか」を自己定義できない事があります。いわゆる「要件定義」という奴なのでしょうが、ここでぶつかると、研究に必要な機材、ソフトウェア、教科本の選択など、ありとあらゆる問題点にぶち当たります。つまり、根本的に技術者としてのセンスがない。

本来、アプリケーション向けの技術者ではないので、手持ちの機材、環境でできる事、できないから調達しなければならないサービスや機材、ソフトウェアも検討しなければなりません。

私のテスト環境は、一般的な DSL の通信回線で、ほぼ固定IPで、ドメインの逆引きもできますが、DNSの MX レコードがないため、たとえ自宅サーバーからメールの送受信ができる様にしたいと思っても、かなり困難で、若干の運用費用が掛かります。そもそも自宅環境から、ポート開放して公開する事も難しい。まだ CGN ではなくシェアド IP じゃないのですが MX レコードを使える無料DNSってなかなか見つからない。


そこで、自ドメイン名でメールの受信は目標から外すことにします。最終的には、自メールサーバー経由でインターネット宛にメールが転送でき、レンタルサーバーの受信メールを、自メールサーバーに転送できれば良いのですが、道のりは遠そうです。

最終的な目標は、自ドメインのレンタルサーバースペースに Postfix と Dovecot を導入して運用することです。


- DNS, MTA, POP/IMAP, MUA, ファイアウォール, 何が原因だ -

電子メールのシステムを構築するうえで面倒なのは、DNS とMTAとの関係、MTA と POP/IMAP の関係、POP/IMAP とメーラの相性問題、ファイアウォール、認証システム、メールリレーなどのセキュリティ全般を一つ纏めて面倒を見なければならない事。どこか一つに問題があれば、メールが読めない、送れない、重大なセキュリティホールになり易い。こんな面倒な問題になってしまいます。

(正直言って GroupWise の Internet Agent で止めときゃ良かった)

- クローズした環境でのトレーニングが難しい -

もし、一つの企業なり組織なりの内部のネットワーク内でメールの読み書きができればいいのであれば、さほど苦労はいらないでしょう。

しかし、電子メールは社外とのやり取りが重要なので、こちらから送っても無効が拒否してしまっては役に立ちません。逆もありえまず。しかも普及しきった電子メールは、社会のインフラであり、わずかな時間のサービス停止も、エンドユーザは好みません。

つまりリハーサルなしの一発勝負なんですね。これも電子メールに中々手が出ない理由の一つです。


- 用途、目的により設定が異なる -

つまり要件によって設定を検討しなければならないという事。仮想化システムや Web LAMP, Zabbix, Samba など一発設定してしまえるシステムと違い、メールのシステムは、目標となる要件定義から設定までやる事が幅広すぎます。

そして、SUSE LInux お得意の YaST ツールが全く役に立たない。YaST で GUI 設定ができないのが Linux のメール構築なのです。 GroupWise の GUI 設定は有難かった。

- 伝統的で資料は豊富だが情報が古い -

インターネットの歴史は電子メールとともにあり、インターネットサービスの中では長い歴史を持っています。

それだけに、資料は豊富ですが、一概に書籍では古い資料が多く、最新の情報を求めると、どうしても断片的な情報に偏りやすい傾向にあります。古い「教科書」を頼りにすれば、セキュリティ上の問題が軽くかたられたり、最新の情報を求めると、分断された情報の破片だけが手に入ります。

横断的に「実用的」な資料が少ない所が困った所です。


- 電子メールは SaaS に一番適したシステムで触れる機会がない  -

電子メールは、クラウドサービスの一部として SaaS に最も適したサービスです。インターネット普及期の1990年代中頃のように、構内ネットワークの重要なコンポーネントの座を譲り、いまや「メールサービスを借りる」ことが時代の流れなのですね。

そういった中では「電子メールシステムのブラックボックス化」が進行しています。一般の社内SEが管理するより、SaaSサービスに一括「お任せ」した方がコストは低い。

--

それでも ISP/ASP のサービスでは電子メールは重要なコンポーネントですし、SaaS に頼らない、あるいは頼れない場合は、電子メールシステムのスクラッチアンドビルドとメンテナンスは欠かせません。

ということで、少なくとも「電子メールのしくみ」というものを勉強するため、Postfix/Devecot に挑戦してみます。

メールサーバー入門、とりあえず openSUSE Leap 15.2 初期設定の postfix から telnet してみる



by islandcenter | 2020-08-12 12:15 | Linux | Comments(0)

ブロードバンド難民の僻地住民にとっては、モバイル Wifi や Softbank Air の様な、光ファイバー工事が不要な通信サービスは唯一の救済手段となっています。Softbank Air は他の無線通信のサービスと比べた場合、通信量制限が緩いので、光ファイバー僻地難民で、大容量の通信をするには一択なのです。

という事で、某壁地で実際に Softbank Air を使っている実家ではどんな評判なのか?聞いてみました。

「とにかくクソ」

というのが身内のご意見です。でも僻地では光ファイバーサービス地域ではなく、既に ADSL サービスも終わっている今、巨大な Windows Update なんかをダウンロードするには、Softbank Air しか選択肢がないのですね。そもそもギガ爆死する環境では Windows Update なんて無理。

まず、子供がやりたいプレステ4のゲームが堕ちる。何かと再起動しないと通信状態が復活しない。昼夜かかわらず、とにかく通信が途切れる。別に土日や夜間だけではなく、昼間でもネットワークの調子が悪い。





で調子が悪い時 TraceRoute してみたり、google DNS に Ping してみた結果.....

Softbank Air: Wifi ネットワークの暗い闇、シェアード IP_a0056607_13010580.png

専門家ではないので「逃げ」ますが、どうもSoftbank Air では、Softbank の閉塞ネットワークの中でグルングルンとルーティングして最後にインターネットに繋がるらしいのですね。っていうか、試しに携帯のテザリングしてみてもほぼ結果は一緒。

- 再起動すると softbankXXXXX.bbtec.net の IP もリセットされる
- グローバル IP もリセットされる

172.16.255.254 に user/XXXXX でログインして「再起動」させてみる

Softbank Air: Wifi ネットワークの暗い闇、シェアード IP_a0056607_13025934.png


なんだ「信号受信レベル」は十分じゃないか?

- 再起動して「確認くん」で調べると、グローバルIPが変わっている。

確認くん

- 調子が悪い時に、割り当てられたグローバルIPに Ping を打ってみると、通信状態は良好な様だ。つまり閉塞したサービスの中の通信状態は悪くない。
- 次第に調子が悪くなったり、元の「調子ワリぃ」状態に戻ったりする。

- グローバルアドレスが頻繁に変化する実害として Thunderbird と Gmail のセッションが切れて、再認証を求められる。

Thunderbird から gmail にログインできない

つまり、根本的な問題は、電波状況ではなく、ソフトバンクの Air サービスの閉塞網と、グローバルネットワークに接続しているポイントに問題がありそうなんですね。つまりは「プロバイダのサービス品質の問題」が再燃しているわけですか。推測ですが......




- モバイル Wifi の致命的な欠点、グローバルIPが変化する -

つまり、割り当てられるのはプライベートアドレスなのです。

Softbank Air に限らず、どこの Wifi サービスでもその様なのですが、基本的に電源 On/Off したり、リセットしたりすると、グローバル IP がリセットされて、通信状態がリセットされてしまいます。多重 NAT で逃げてる問題なのです。

まぁ当たり前と言われれば、その通り「納得」なのですが。

私は普段は Softbank の固定DSL回線を使っているので、ほとんど「固定IP」状態なのですが、Wifi サービスでは、端末側のスイッチが入って起動すると

  • 通信事業者の中で閉塞したネットワークを作り
  • ipv4 のアドレスが使いきれないよう、Wifi 端末側のスイッチが切られるとアドレスを開放
  • スイッチが入った時、あるいはリセットした時に、閉塞したネットワークでアドレスを再割り当て
  • 端末側が起動したら、閉塞ネットワークで NAT したネットワークが再構築されて
  • 閉塞ネットワークから数少ない ipv4 の共有グローバルアドレス(シェアード IP Address)を割り当てられる
  • ついでに言うなら ipV6 非対応、臭いぞ NAT。
  • 他のユーザが共有しているグローバルアドレスで「でっかいファイル」をダウンロードすると、ネットワークが堕ちる
  • 割り当てられた、グローバルIPに Ping を打ってみても問題はない様だ
  • 仕方がないので再起動して、調子が戻る

というルーティンの様です。まぁあくまでも、ソフトバンクの「中のヒト」じゃないから内情は分かりませんがね...




- Wifi 接続サービスでは使えない機能 -

一般的な Wifi サービスでは、グローバルIPが固定していないため、使えないサービスとして

  • DDNS を使うウェブカメラなど、たぶん、Skype や Line の無料通話なんかも問題ありそうでダメなんですね。(後述)
  • ポート開放が必要なゲームだとか、P2P ダウンローダ。オープンソースなソフトウェアは落とせない。
  • PPPoE なんでめちゃくちゃ遅い。ipv6 も使えないからまずオンラインゲームは諦めろ。
  • 巨大なファイルのブラウザからのダウンロード(レジューム機能付きのダウンロード速度を制限できるダウンローダーを使うのが良いのかな)
  • 固定IPが必要な、VPN サーバーや、自宅公開サーバーは絶望的
  • ブロードバンド僻地にある工場や事務所、山の中のトンネル工事現場事務所のような法人向けのテンポラリな拠点との間で VPN を使った構内仮想ネットワークは絶望的に不可能。

これらは一様に Wifi サービスでは使えないと思った方がいいようです。ほとんどの Wifi 接続サービスはこの仕様になっている様です。

そりゃ当たり前ですが、本来が移動体通信が基本ですから、こんな使い方するのはIoT機器の制御もしたい。できないんです。

僻地住民にとっては、インターネットサービスが使えるかどうかは公共サービスの不公平な分配なのです。

これでは P2P 接続する Windows Update もできない.....

ちなみに UQ Wimax ではグローバルIPはオプションで用意されていますが、UQ Wimax では、通信量制限が入るので、ちょっと辛い。アウトオブ眼中です。

グローバルIPアドレスオプション(WiMAX 2+用)



- Softbank Air が弱い点 -

どうも、Softbank Air は、閉塞したネットワーク内や、基地局との通信状態は、環境によっては悪くないのですが、Softbank のプライベートネットワークから、インターネットに接続するポイントに弱さがある事が原因の様です。まぁ所詮 32ビット IP で PPP 接続です。

根本的な問題は ipv4 枯渇問題にあります。グローバルIPが枯渇しているから、少ない割り当てをシェアードIP にしているわけです。もともと ipv4/ipv6 デュアルスタックにするとか、トンネリングするとか NAT すればいいというのは、私にとっては専門外の意見なので、深くコメントできません。

ただ、Softbank Air のサービスが「クソだ」と思うご意見は実感しています。要は「どこかに金をかけていない」のです。そもそもスマートフォンのテザリングだって同じ問題が内包しているはずなのに、Softbank Air だけ、これだけインターネットのセッションに問題があるのがおかしい。yMobile を使っている身としては "Softbank Air" の仕組み自体が特殊な問題を抱えているンじゃないかと詮索したくなります。

※ Softbank Air について良く調べてみたら、Softbank の無線通信回線ではなく、どうやら 、Wireless City Planning の回線を Softbank が代理店販売しているサービスなんですね。

SoftBank Air(Wikipedia)

Wireless City Planning

買収した Willcom のPHS、AXGP 通信規格を引き継いだものが Softbank Air の通信規格なので、携帯電話網とは違う規格のようです。「中のヒト」じゃないので詳しく分かりませんが.....

まだ ipv6 が深く浸透していない事、また、Wifi 接続サービスがあまり成熟していないのにサービス競争に入っている事、それなのに大容量のクラウドネットワークサービスが一般化している所に問題があるのです。

とてもじゃないけど、ネットも使えない「田舎」でセカンドライフを過ごせ、とは言えないンです。


速度競争と「ギガ放題」競争に走るあまり、重要な通信品質に問題がある Softbank Air サービスは良いとは言えない。売り文句はいいけど「中のヒト」達は自分が売っているサービスがどの程度の品質だと実感しているのでしょうか。医者が自分自身で飲んだこともない薬を処方しているようないい加減さを感じてしまいます。

通信速度の制限について

以下のコンテンツ・サービスなどをご利用の際、通信速度の制限を行う場合があります。なお、通信の切断は行いません。

  • 音声通話やテレビ電話などをパケット信号に変換し、データ通信にて実現するサービス
  • MPEG、AVI、MOV 形式などの動画ファイル
  • BMP、JPEG、GIF 形式などの画像ファイル
  • 動画閲覧、高画質画像閲覧、P2P ファイル交換、ソフトウェアダウンロードなどを伴うサイト、アプリケーションなど

つまり、これってほとんどの通常のクラウド系の通信が制限されるわけしょうか? Hotspot Shield の様な VPN サービスや Tor を経由して Netflix 見た場合、どうなるんでしょうか。それも解析されているのかな? どこでどんなデータをやり取りしているかをすっかり見透かされて制限を掛ける。プライベートな通信の監視、ヒミツなんてまるで無視の制限ポリシー。ほとんどチャイニーズファイアウォール。暗闇の世界....

もっとも、インターネット接続サービス、ブロードバンド接続サービス自体が、黎明期から抱え続けてきた「トラフィックの増大追っかけ対策」がまた噴出してきただけなんですね。恐らく無線通信が、もっと信頼性が高くなれば、その信頼性に乗っかって利用した「便利なサービス」が出てくるだけでしょう。追いかけっこなのです。

これは IPv6 が普及してもこの問題は付きまといます。

多くのインターネットサービスがPC向けから、スマートフォンサービスに移行していて、スマートフォンではあまり問題なく使えても、PCではあまり使い物にならない Wifi サービスも世間にはあるという事です。






by islandcenter | 2020-01-04 13:32 | Internet | Comments(2)

世界的にはメジャーでも、東洋のガラパゴス諸島ではド・マイナーな、openSUSE Leap 15.1 が出ていたので、openSUSE Leap 15 とどの程度変わったのかを確認してみました。本番の Leap 15.1 は5/22頃リリースされました 

ダウンロードはこちら。

PR



一つ古い openSUSE Leap 15 はこちらをご参考下さい。機能的には大した差はないのですが、アイコンデザインが大きく変わり、コスメティックな変化が大きい様です。

openSUSE Leap 15 Install : インストールファーストインプレッション

結論から言うと、マイナーアップデートとは言えないほど印象が変わりました。



SUSE Linux Enterprise sp1 はこちらをご参考下さい。

SUSE Linux Enterprise 15 sp1(SLES15 sp1) インストール :ファーストインプレッション


全体のインストールから初期設定を6分の動画にまとめました。
Install openSUSE15.1(Beta)インストール(盛大に音でます)


正式版リリースされました。 bata 版とほとんど変わりません。(陽気に音出ます)


- Wicked から Network-Manager にデフォルトが変わった -

従来デフォルトが Wickedだったので、YaST でネットワークの設定変更を行っていたのですが、openSUSE Leap 15.1 から Network-Manager にデフォルトが変更になり、YaST では設定ができなくなりました。

サーバー目的で使う場合は、YaST を使うことになると思うので、「ネットワーク の設定」は Wicked に変更しました。

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14171844.png


もっとも、YaST > System > Network Settings の Global Option タブに Network-Manager <---> Wicked の切り替えがあります。ここで設定方法を変更できます。


openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14175421.png


Network-Manager を使う場合 gnome では GUI 上の "Settings" アイコンを使うことになります。

GUIからの設定なので、サーバー運用するには、Wicked で YaST を使う方が便利ですね。Network-Manager で設定する場合は、モバイル用のGUI、DHCP 環境などに向いているようです。いかにもモバイル用途からデスクトップ、軽用途サーバーに向いている汎用ディストリビューションである、openSUSE らしいインストーラです。

もっとも、テキストをゴリゴリ書き換えて設定する強者もいるとは思います。

openSUSE Leap 15.1:ネットワークの設定はYaSTではなくアプレットで




ネットワーク接続の設定

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14184252.png

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14190077.png


日本語版

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14192419.png


- パーティションのデフォルト構成が変わった -

/home を XFS フォーマットでデフォルト別パーティションだったものが、単一 / (ルート) パーティションになりました。ディスクサイズが小さいからかもしれません。

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14211395.png



- アイコンデザインが大きく変わりました -

"YaST がない!" と思ったら、こんなアイコンデザインになってしまいました。YaSTの中身自体のアイコンデザインも変わってしまいました。

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14215344.png



- 日本語版 YaST の文字化け Japanese YaST Bugs -

日本語版 YaST のタイトル部分が文字化けしています。おそらく正規版では治るでしょう。正式版でもバグっています。

openSUSE Leap 15.1 インストールとファーストインプレッション_a0056607_14223766.png




次の作業は

openSUSE Leap 15.1 Web LAMP をインストール

WordPress on openSUSE 15.1 インストール

openSUSE Leap 15.1 で始める KVM, 無料のハイパーバイザー


--

PR- 最後まで読んでいただきありがとうございます -PR

openSUSE が使える VPS









by islandcenter | 2019-05-25 09:34 | SUSE | Comments(0)

関連記事

OES 2018 が出荷されたようなので、評価版 ファーストインプレッション

OES 2018 Linux でフォルダ容量制限付き AFP Mac 用ファイルサーバー

OES Linux でフォルダの容量制限付きアーカイブ専用ファイルサーバー:サーバーをゴミ箱にしない工夫

SUSE Linux を使った Novell の従来の Open Enterprise Server (OES Linux) には samba による CIFS プロトコルが実装されてきました。Novell samba は OSSの samba を OES Linux に強引に実装したため、LUM(Linux User Management) を意識した接続を経由することにより Ldap 互換の eDirectory 認証、Linux/samba 認証経由のセキュリティポリシーが必要です。スケーラビリティも Linux/samba に制限されていました。User/Password から --> LUM(Linux User) --> eDirectory と NSS ファイルアクセスという複雑な実装です。複雑な構造なので、Novell OES + samba という組み合わせは、躊躇していました。

一方、すでに OES 11 より実装された Novell Native CIFS は、パスワードを直接 eDirectory のパスワードポリシーを経由して NSS ファイルシステムのセキュリティ構造に単純接続します。オーバーヘッドも少なく、実装もシンプルです。もちろん、Linux の認証を経由しないため、管理方法も Linux を意識せず、eDirectory と NSS の管理に集中できます。ユーザはシンプルで高機能、高性能で高い天文学的なスケーラビリティを持つ Novell Storage Service (NSS) に簡単にアクセスできます。

結果としては

「意外といけるな」

というものでした。

Comparing Novell CIFS and Novell samba

- インストール -

OES と eDirectory, NSS ファイルシステムは導入済です。

OES 2018 が出荷されたようなので、評価版 ファーストインプレッション。

OES 2018: Novell CIFS for Linux Administration Guide

Installing CIFS after the OES Installation

- Novell CIFSの実装 -

yast2 > OES Configuration から CIFS をチェックして Accept.

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13031180.jpg
Novell CIFS Services の行に未設定の項目があるのでクリック

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13042762.jpg

admin.org のパスワードをセット、これによりスキーマの拡張が行われます。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13065030.jpg

サーバーコンテナだけ選択されているので、O=MyOrg を Add して、” Enable Subtree Search” をチェック

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13071189.jpg
Next

赤線が消えたので Next

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13073027.jpg

Next

5分待つ

インストールできました。

※ "Clone ..... AutoYaST" のチェックは外しても構わない。というより AutoYaST は滅多に使わないので、チェックを外すべきでした(敗因)

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13080250.jpg
AutoYaST のクローニングをする場合は5分くらいかかります。Finish

- iManager より -

http://server/nps で iManager を開き admin.org でログインします。 "Configureアイコン" > Installed Novel Plug-in Modules に CIFS Management Plug-In がインストールされていることを確認します。マニュアルには自動的にインストールされる、とは書いていませんでしたが....

※ インストールされていない場合 Configureアイコン > "Avilable Novell Plug-in Modules" から CIFS プラグインをインストールします。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13082813.jpg

iManager > File Protocol > CIFS を選び、plug-in が動いていることを確認。

デフォルトで CIFS 名=ホスト名になっています。OES_CIFS とか WorkGroup_NAS とか任意に名前を変えてアナウンスを流すと良いでしょう。

この画面から Stop/Start して再起動もできますが

# rcnovell-cifs restart

でもリスタートできます。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13091113.jpg
ユーザーコンテキスト > O=org からサブツリー全体に割り当てられています。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13094033.jpg
CIFS アクセスには Universal Password(デフォルト無効)が必要です。

CIFS and Universal Password

Universal Password helps in management of password-based authentication schemes. Each CIFS eDirectory user in native and domain mode must be Universal Password enabled in order to be allowed to log in to the CIFS server. The Universal Password is not enabled by default.

iManager > Role & Tasks >Password > Password Policies > Assignments に、 [New Password Policy] を add してユーザ、もしくはユーザコンテナを追加します。e.g にもあるようにパスワードポリシーはユーザのタイプによって "Enginner_PW_Policy" とか "VIP_PW_Policy" など複数のポリシーを定義して、センシティブなデータにアクセスする場合は、厳しいパスワードポリシーを、一般ユーザは単純なポリシーを、と区別してユニバーサルパスワードのポリシーを個別に与える事ができるわけですね。Active Directory の様に、OU 単位でしかポリシーを定義できない製品と違い、複雑な組織によって、ポリシーを使い分ける事ができます。


ウィザードに従い新しいパスワードポリシーを作ります。

※ Password Policy は [root] の "Security" コンテナに作成されます。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13102031.jpg

"Would you like to enable Universal Password" はデフォルトのまま Yes

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13111127.jpg
特にパスワードポリシーを変更しなければ、デフォルトで構いませんが、パスワードポリシーとして、複雑なパスワードを要求したり、定期的なパスワード変更を求めるパスワードポリシーが必要であれば、カスタマイズできます。

パスワードポリシーを使用したパスワードの管理

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_17014493.jpg

そのままウィザードを進め Finish したら、"Assignment" にユーザーオブジェクトそのもの、もしくはユーザのコンテナを指定します。ただし、指定したオブジェクトのサーバーは eDirectory のコンテナ R/W レプリカ を保持している必要があるようです。NetWare3 互換の Bindery Connection と同じです。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13115485.jpg

※ もっとも、ここで新しいポリシーを作らなくても、既にある "Common Proxy Policy" にユーザを割り当てても構いませんでした。(敗因)

これで、一応、OES 2018 CIFS は設定完了です。

ネットワークに見えました

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13123490.jpg

ここでサーバーをクリックして、認証ダイアログが出ない場合、あるいは eDirectory パスワードが受け付けられない、ログイン認証できない場合は、パスワードポリシーがユーザに適用されていないことによります。

※ このダイアログでは "CN=user_name,OU=Users,OU=Tokyo,O=ACE" と言った、パス付の FDN ( Fully Distinguished Name ) のユーザ名がログインに使えないので、ユーザオブジェクト、またはユーザが存在する、ユーザコンテナをパスワードポリシーに直接アサインしておく必要があるわけです。また、サーバー自身に eDirectory のユーザコンテナのマスターか、R/Wレプリカデータベースが必要です。

Synchronizing NMAS Login Methods Is Required to Avoid Login Failures

ボリュームを開くと NSS のトラスティが利いています。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13125748.jpg

フォルダに容量制限(ディレクトリクオータ)をかけてみました。

サーバーをゴミ箱にしない工夫


OES のディレクトリ容量制限、クォータ機能の注目すべき点は特別に複雑な操作も行わずに、どれだけ複雑なディレクトリ構造、ファイル容量であっても、 OES Client のプロパティか、iManager のフォルダプロパティから、運用中、稼働中に一瞬で数クリックで制限ができる事です。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_12033560.jpg



net use

で確認して

> net use /delete \\server\share

しても繋がっている?

これが CIFS/SMB のおせっかいなユーザにもハッキングにも優しい余計なお世話。

ログオフなしでファイルサーバーとのセッションを切断するには

CIFS のテストで、ログイン、ログアウトを繰り返す場合

C:\> klist purge

によって Kerberos チケットを削除します。 また CIFS の怪しい仕様で、NSSボリュームに与えた、ファイル/フォルダのトラスティが安定するまで、かなり不安定な動きをします。トラスティを与えたフォルダアクセス権限をネットワークにアナウンスするまで、変なタイムラグや、クライアントやサービスをリブートするなどの「ひと変化」が必要なんですね。このような CIFS の "仕様上の問題点" は解決できません。やっぱり OES の NSS ファイルシステムをクレームなしで使うには、OES Client for Windows を使った NCP プロトコルによる接続を推奨するしかありません。

OES 2018 Linux で SMB ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)_a0056607_13133842.jpg

- インプレッション -

OES Linux に共通の課題として、インストールに時間がかかる点が挙げられます。インストール作業そのものはシンプルで単純ですが、非常に時間がかかります。また、デフォルトで、Universal Password ポリシーが適用されないため、インストール後の最初の接続まで、随分つまづきました。また Windows の Kerberos 認証がキャッシュされるのは困ったものです。

その代わり、コンセプトは samba よりシンプルで理解しやすいので実装そのものは単純に行う事ができました。以前 Novell samba でハマった事があったので、身構えていましたが、割と単純に問題を解決できました。「意外とイケる」というのが感想です。

また、ユーザ管理、ファイルアクセス権限の管理も、複雑で面倒な Linux の管理方法よりも単純で、理解しやすくなっています。もっとも eDirectory と NSS ファイルシステムを理解した上での事なので、Linux ”しか”知らない管理者には難しいと思えるでしょう。逆に NetWare 5 以降を経験した管理者ならば、 NCP (Novell Core Protocol) を使わずに どこにでもある CIFS がそのまま使える点は大きな助けになります。

何かというと数万ファイルのフォルダを「変更をこのフォルダー、サブフォルダーおよびファイルに適用する」を間違ってチェックして数時間利用不可能になる Windows のファイルセキュリティシステムより、一瞬でトラスティが機能する NCP+NSS のファイルアクセスは強力です。

ただし、CIFSの固有の NAS や samba、Windows 共有に関するセキュリティのや接続のトラブルは固有のものなので(俗に言う仕様という奴)これだけは困ったものです。BYOD 端末では CIFS 接続でも構いませんが、社内利用の Windows 端末は OES Client for Windows を使った NCP 接続の方が安定して、セキュリティ的にも安心感があります。構内LANで使うには、私は「NCP 接続を強く推奨」します。

Windows "しか" 知らない管理者にとっては、eDirectory + NSS ファイルシステムは難解そのものなのですが、Windows 自体が難解そのものなので、OES Linux の管理は理解が進むとシンプルです。そもそも、Microsoft 自体が自社製品しかサポートしていないにもかかわらず、自社製品自体のサポートが当てにならないのに対し、サードパーティベンダーは、"自社製品オンリー村社会” の中に "住み着いた異分子"であることを理解しているので、割と「閉鎖的な村の常識」に対する適切なサポートを訪問者に提供してくれるものなんですね。






- Keyword -

Novell CIFS, eDirectory, LDAP, samba,ファイルサーバー認証, セキュリティ



by islandcenter | 2018-03-21 13:26 | OES Linux | Comments(0)

まるでセキュリティホールの様な Windows10 の困ったちゃんの仕様に悩まされました。接続したファイルサーバーからログオフできない!

- 現象 -

いくつかの NAS や Samba などの CIFS ファイルサーバーから、特定のサーバーだけ、Windows からサインオフせずサインオンしたまま、セッションを切断したい、別なセッションで接続したい。Windows10 からログオフせずに、NAS やファイルサーバーからログオフできないか。




- 良くある話 -

よくある話としては、管理者としてログインして、セキュリティの設定をして、うまく動いているか、別な一般ユーザーでログオンして確認をしたい、などのケースですね。

一般的には

> net use

して、生きているセッションを確認して

> net use \\server\share /delete

> net use \\server\ipc$ /delete

すればよいのですが、セッションがなくなったにもかかわらず、認証情報がキャッシュされていて、セッションを切断できない。資格情報がキャッシュされてセッションが残る



例えば NAS などに user-a でログインしたあと、ログアウトして、user-b でログインし直そうとすると、user-a のセッション情報がキャッシュされていて、ログインダイアログが出てこないで無認証で接続できてしまう。

しかもそのセッションは > net use で表示されてもいないので、削除すらできない。サーバーが繋がったままではトイレもコーヒー買いにも行けない。かといってログオフしたくない。

サインオフして、再ログインしないとセッションがクリアされない。

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_13354738.jpg

- 対策(資格情報を記憶していない場合) -

ネットワークに接続している全てのファイルを閉じて、エクスプローラも(出来れば)閉じておく。

> net use

で使用中のセッションを確認し

> net use \\server\share /delete

を実行した後

> klist purge

を行い、エクスプローラからネットワークの "\\server" をクリックすると、ログイン認証画面が出てくる事がある。これで成功か?

klist Kerberosチケットの表示/削除

- 資格情報を記憶している場合 -

> net use /delete しても、まだ資格情報を保持している場合があります。その場合は、資格情報を削除します。

もし、ドライブマップしているなら、Windows10 のエクスプローラから、マップしているドライブを右クリックして「切断」します。お約束みたいなものです。


ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_17395680.png

一旦エクスプローラを閉じます。これも一応お約束。

コントロールパネル > ユーザアカウント > 資格情報マネージャー > ”Windows 資格情報の管理” から、記憶されている接続サービスを選び「削除」

※ コントロールパネルが見えない Windows10 のバージョンの場合は...

隠れていないでコントロールパネルは出頭しなさい!

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_17351775.png

ログイン認証ダイアログが出ました。

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_13451194.jpg

- グループポリシーで「資格情報のキャッシュ」を許可しない -

NAS や Samba などに重要情報にアクセスする都度、パスワード認証させたい場合、グループポリシー(GPO)で、資格情報のキャッシュを禁止する事ができます。

特に重要情報にアクセスする、経理とか人事管理、企業戦略担当などのユーザのPCはそうすべきでしょう。

C:\> gpedit

ローカルコンピュータ > コンピューター構成 > Windowsの設定 > セキュリティの設定 > ローカルセキュリティ > セキュリティオプション > 「ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」

「有効」にセット

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_14355909.png

「有効」にした後、gpupdate するか、再起動します。

C:\> gpupdate
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
C:\>

資格情報マネージャが無効になります。

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_14390367.png


これで C:\> net use \\server\share /delete C:\> klist purge で、接続しようとすると、認証ダイアログは出てきます。が、「資格情報を記憶」をチェックしても保存されません

また、再ログインの都度、マップした NAS や Samba のネットワークドライブに接続するために、相手のシステムの固有のパスワードが求められます。

※ 折角 GPO 使っているんだから Windows10 のこのチェックボックスはグレーアウトするか、消して欲しいんですけど........

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_14534414.png





- cmdkey.exe コマンドラインで資格情報を確認/削除 -

コントロールパネルではなく、コマンドラインで資格情報のキャッシュを確認したり削除するには cmdkey を使います。

C:\>cmdkey /help

コマンド ラインのパラメーターが間違っています。

このコマンドの構文:

CMDKEY [{/add | /generic}:ターゲット名 {/smartcard | /user:ユーザー名 {/pass{:パスワード}}} | /delete{:ターゲット名 | /ras} | /list{:ターゲット名}]

例:

利用できる資格情報を表示するためのコマンドは次のとおりです:
cmdkey /list
cmdkey /list:ターゲット名

ドメイン資格情報を作成するためのコマンドは次のとおりです:
cmdkey /add:ターゲット名 /user:ユーザー名 /pass:パスワード
cmdkey /add:ターゲット名 /user:ユーザー名 /pass
cmdkey /add:ターゲット名 /user:ユーザー名
cmdkey /add:ターゲット名 /smartcard

汎用資格情報を作成するためのコマンドは次のとおりです:
汎用資格情報を作成するには /add スイッチを /generic で置き換えることができ
ます

既存の資格情報を削除するためのコマンドは次のとおりです:
cmdkey /delete:ターゲット名

RAS 資格情報を削除するためのコマンドは次のとおりです:
cmdkey /delete /ras

C:\>cmdkey /list

現在保存されている資格情報:

ターゲット: Domain:target=192.168.1.234
種類: ドメイン パスワード
ユーザー: kenn

C:\>cmdkey /delete:192.168.1.234
CMDKEY: 資格情報を正しく削除しました。
C:\>

- リスト -

もしまだ接続情報が残っているなら

C:\Users\myname>net use
新しい接続は記憶されません。

ステータス ローカル名 リモート名 ネットワーク名
-------------------------------------------------------------------------------
OK J: \\fs001\rShare Microsoft Windows Network
OK K: \\fs001\Share Microsoft Windows Network
OK L: \\fs002\sdc Microsoft Windows Network
OK M: \\fs002\sdd Microsoft Windows Network
OK N: \\fs002\sde Microsoft Windows Network
OK O: \\fs002\Share Microsoft Windows Network
OK \\nas001\Public Microsoft Windows Network
コマンドは正常に終了しました。


C:\Users\myname>net use \\nas001\public /delete
\\nas001\public が削除されました。

C:\Users\myname>klist purge

現在のログオン ID: 0:0x15a5a87e
すべてのチケットを削除しています:
チケットが削除されました。

C:\Users\myname>

 ポイントは、ドライブマップを切断する事、資格情報がキャッシュされている場合は削除、エクスプローラやファイルを開いていると、接続情報が残る場合があるのでエクスプローラーやファイルは必ず閉じておくこと。この3点ですかね。

また、エクスプローラを開いていない場合でも、 \\mynas\IPC$ が残っている場合もあるので、これも /delete します。

うまく行くことをお祈りします。他に情報があればコメントください。


202x 年 Windows 最期の日

ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)

OES 2018 Linux eDirectory+NSS で CIFS フォルダ容量制限(ディレクトリクォータ)付きファイルサーバー

OES Linux でフォルダの容量制限付きアーカイブ専用ファイルサーバー:サーバーをゴミ箱にしない工夫

クライアントPCのBCP対策 D:ドライブにドキュメントを保管・バックアップ

Windows7から10へ移行、パーティション分割、C:ドライブの拡張、 MiniTool Partition Manager は超便利

- Keyword -

ファイルサーバー,NAS,CIFS,Samba,Windows10, サインオフ,ログオフできない, コマンドライン、セッションが切断できない,別ユーザーでログイン,強制切断






by islandcenter | 2018-03-19 13:50 | Windows | Comments(0)

お客さんのトコロで、フリーアクセスのオフィスに移転するという話と、併せて社員にノートPCをばら撒き、無線接続という話がありまして.....

うーむ。

じゃ私が求める仕事用ノートPCとは

1) Corei5 以上
2) 8Gb 以上のメモリ
3) 500Gb のハードディスク(SSDなら 256Gb 以上)
4) 有線用 RJ-45 コネクタ付き
5) 11 ~ 13 インチのスクリーンで縦は 1024 ドット以上
6) クルリポンの 2in1 でも USBメモリなど外部メディアで Linux が起動できる事 ,やっぱりクラムシェルがいい。
7) フットプリント A4以下で重さ 1.5Kg 以下
8) USB ポート3個程度
9) 外部 HDMI もしくは VGA ポート
10) 価格は 10万円を超えない程度(目標)
11) USB 外付けのポータブル光メディアデバイスは持っているし滅多に使わないからイラネ
12) 金属筐体と、ほぼ問題なく満足なブラインドタッチができる厚みのあるキーボード
13) 当たり前の BIOS パスワード ロック

と言ったところが、ITインフラエンジニアである「私が欲しいビジネスに必要なノートブックPC」です。

ところが、最近はあまりこのような仕様のPCが見当たらないンですね。

モバイル主体なら13インチ、A4モデルというと、紙っぺらみたいな1cm厚のノートが主流。勿論この厚さでは RJ-45 モジュラや、VGA ポートは問題外、しかも HDD ではなく 128Gb のSSD と4Gbのメモリという選択しか中々出てこないのですね。メモリとSSDはマザー直付けで固定。カスタマイズなし。割とこのテのPCは筐体の作りがしっかりしているようですが、ちょっと物足りないスペック。薄さは魅力だけれど、重要じゃない。外部I/Oは USB Type-C のみ。これはあまりお客さんにもお勧めしませんね。持ち帰り自宅仕事を増やすだけ。

結局、「ノートPCの厚み」というのは、アダプタ類を実装し、大容量低価格のハードディスクを内蔵するためのメリットじゃないかと思います。その分、フットプリントは犠牲になっても構わない。

Type-C用のネットワークとかUSB増設アダプタあるじゃん、と思った貴方は鋭い。しかし、エンドユーザという「彼ら」の仕事はそう言った「小物を紛失する」のも仕事なのです。小物だけじゃなくって、PC本体だって、自宅の鍵すらヨッパラって3件目の飲み屋とか電車に置き忘れる。これは上からも、下からも IT部門へのブツブツ不満となって帰ってくるわけですね。

そう言った「カッチョええ」PCは、自前でBYODして、混んだ電車のシルバーシートにハードボイルドに気取ってバキッと大股おっ開げて座り込み、意味のない無線信号飛ばしまくって、キーボードをバシバシ叩いて、じーっと目をつぶっている両隣のジジババを起こしてクソ餓鬼の写真でも見せびらかすためにあるのですね。とてもじゃないけど、ビデオ編集なんてできない。

私はエンジニアですから、フリーの技術ライターがお勧めする様なPCでは物足りません。客先で Hyper-V 仮想化とか、SUSE Linux の USB 起動+仮想化ハイパーバイザーブートが必要なので、ディスクの中身は仮想イメージだとか ISO なんかがごっちゃり入っています。必要であれば、出先の仮想環境でオペレーションマニュアル書いたりするので8Gbのメモリは必須です。そこまで酷使しなくても、8Gメモリは悲鳴を上げている。固定デスクトップは無条件に Linux サーバー化するので、ノートPCとは Windows のメインPCなのですね。

今のところ使っているのはマウスコンピューター製の 11.1 インチノートなのですが、ほぼこのスペックを満たしており、まぁは満足しています。が悲しいかな安物の二流国内メーカーで、プラ筐体なので、格安航空会社の格安チケットで出張中、モニタをゆっくり開いたらヒンジがバキリと音を立ててヒビが入りました。当然保証外。そこでほとんど自宅では、外部モニタが必須です。客先でもお借りすることがあります。電車の中でも安心して持ち運べる金属筐体が欲しい。やっぱりちょっと高いけど Dell とかレノボかな。パナとか東芝はちょっとお高く止まっている。VAIO はちょっと魅力。でもほぼコレというのは完全に20万円台の竹コースです。

ノートPCはキーボードもポインティングデバイスもモニタも「替えが利かない」ので、できるだけ長期保証が欲しい所ですが、このあたりも M-PC さん、ノートPCのキーボードもモニタもポインティングデバイスも消耗品扱いするので、ちょっと保証がモノ頼りない。以前 DELLの「像が踏んでも無償交換修理」という無敵の Dell Inspiron か何か使っていた事があったのですが、ベッドで使っている最中、眠ってしまい、夢の中でエルボーアタックでモニタにピキッとヒビが入った時は、2~3日で無償修理してくれました。結局5年間使えました。 結局お得でしたね。

電池の持ちはあまり気にしません。せいぜいUPS替わりに2時間も使えれば結構。その代わりACアダプタは必携です。どうせカタログで7時間と言っても1年もしないうちに半分くらいまでヘタります。

なぜ、ビジネス用PCに有線LANが必要かと言うと、「無線ほど信用できないモノはない」からです。接続の信頼性、スループット、スニッフィングの危険、気が付いたら「隣の家の無線を拝借していた事故」の防止。

この間もありましたけどね。有線無線両用している時にファイルサーバーとの接続がプチ切れる、ンで調べたら、隣のビルのコンビニからの電波がお客様が「拝借」して「お邪魔でぇーす」していたそうです。どうもゲスト用のパスワードなしのSSIDを捕まえてしまい、というトラブルです。勿論セキュリティもダダ漏れ状態。

ウチでも「激安アウトレット品」の Wifi ルータにヤラレタ事があります。DNS/DHCP は止められないし、デフォルトG/Wがインターネットルータになるので、ローカルLANのDNSを参照してくれないケースですね。こういったおバカ仕様だと当たり前ですが、無線/有線混在仕様だと、内部のシステムにアクセスできない事があり、ひどく怪しい動きをしてくれます。トンデモケースですが安物買いの銭失いですな。

それに最近はテザリングできるスマートフォンなんかあるわけで、カイシャにもどったら、さっき出先でテザリングしていたのを忘れて、ひたすら天井のアクセスポイントより全然近い、PCの隣で USB 充電中のスマートフォンとひたすら通信してたなんて話もよくあります、ってか私もよくやっちゃいます。

まぁ、昔、聞いたまじめな話。無線対応のプリンタが流行った頃、コンフィデンシャルな会議用ドキュメントをバキバキと印刷していたら、あれ、おかしい。ジャムったか、トナー切れか。とおもってトラブルを調べていたら、見知らぬカイシャから「おタクのカイシャのロゴが入った印刷物がゴッチョリ大量に出てきてウチのプリンタトナー使い切ったんだけど何とかしろ」とクレームが来たという。どうやら距離は結構そこそこに離れているんだが印刷した本人の席と問題のカイシャとの間にはガラス窓以外に遮蔽物がなく、「極秘文書」をジャンジャン他社に送り付けたらしい。総務が赤っ恥かいて謝罪にいったらしいけど、その後、その会社では無線の使用は厳禁になったとかならなかったとか。

ウソかホントか知らんけど似たトラブルはよく聞きます。「だからオフィスでは無線は使うなぁ、スイッチ切れぇ!」とお灸をすえてやりましたが.....

これから無料 Wifi スポットが増えるとそんなトラブルも良く出るんだろうなぁ。

有線が使えるなら、厚みやディスプレーのサイズにはこだわりません。まぁ肩が凝るほどの重量級ノートは遠慮しますが、かつては毎日、大型ノート2台持ちもしたくらいですからモニタサイズと重量はあまり気にしない。できれば電源は二個持ち、一個は固定使用、予備は持ち歩き用。AC電源アダプタとかディスプレーでも壊れりゃ、ただのウエイトトレーニングの用途にしかならないのがノートPCです。

確かにスマートフォンや、容量の少ない記憶装置は、クラウド主体のビジネスモバイルとしては充分かも知れません。が、この使い方はあくまでも、あくまでもシャドウIT。IT部門の管理から外れた利用方法になるため、余分な機密データの持ち出しや、大量かつ巨大データの加工、生産には向いていません。例え、リアルタイムに常時接続したい、というニーズはタブレットやスマートフォンではお分かりの通り少ないンです。だからこれらのデバイスでは無線でも充分。しかしプロの生産活動にはやはり有線接続のPCは必要なのです。

また、多くのフリーランスやITメディア編集部のITライターさんが書くインプレッション記事は、新品状態の細かなスペックだとか、自宅兼オフィスの深夜の丑三つ時、静的環境で数台のPCやタブレットを使ってみての夏休みの感想文なのです。彼らフリーランスのITライターは数百台のPCが存在し、巨大な画像ファイルや図面を使う、不動産業や金融業の資産調査に使うデジタルカメラのデータ、建設現場などの航空写真、書籍を作るための大量の図形や文書、巨大なビデオデータなど共有データを必要とする、現場の激務の中で仕事をするプロフェッショナルに必要なファイルサーバーなどの存在を気にする事はありません。

せいぜい「オフィス兼自宅」のNASと一対一で転送してスペックを記事にするだけです。そもそも 802.11ac ったって、チャネルあたり 443Mbps しか出ないのです。4チャンネル束ねて 1.6Gbps とかド派手にパッケージにコンジキでド派手に書かれているけど、普通は端末側は対1チャネルしかないのですね。無線だと、普通カタログスペックの3割しか出ないというし、輻輳したり、「1チャネルを皆ンなで共有」なんて事すると、ひと昔の3G回線並みのが普通になります。まぁ YouTube で「昨日の大相撲のこの一番」を見るのには困りませんがね。5分の動画ストリーミングでも、5分間ゆっくり転送しても困りません
企業ユーザが求めるモバイルPCとは...無線LANの使い方の問題と可搬性を考える_a0056607_07341480.jpg
早朝6時、たったあ2Gでえ9分とかありえない。
他はブチブチ切れるな。こりゃ朝飯の時間だ。

企業ユーザが求めるモバイルPCとは...無線LANの使い方の問題と可搬性を考える_a0056607_07345371.jpg
802.11n 54Mbs でこれだ。 32Mbitps = 8bit(1Bit) * 4MByte/S うーむ納得できる数字だ
条件いい時間帯なんだけどね。


企業ユーザが求めるモバイルPCとは...無線LANの使い方の問題と可搬性を考える_a0056607_07450859.jpg
無線じゃやっておれんぞ。
RJ-45のモジュラが壊れているのでUSB 2.0 アダプタ経由でやってみる。
それでも帯域はフルに使っている。そこそこだ。


そもそも端末側が 2.4Ghz 帯の 802.11n しか対応していなければ、まぁ「つながった!良かったね」そんな程度です。

ITメディアが提供する記事は鵜呑みにすべきではない、これが現場が必要とするプロのエンドユーザ環境なのです。

実際のエンドユーザさんは私たちの様なITバカではありません。業務の「その道に関してはプロ」なのです。ヘビーユーザーなんですね。60分の映像データでも10秒で共有ストレージにアップロードしなければならない。400枚の高解像度のカメラの映像から使える画像をピックアップする。そんなプロのオフィスユースには、とてもじゃありませんが、無線はお勧めできない。みんな昼飯食いに行くしかない。

これもまた聞きなのですが、生産現場の ITエンジニアに、せいぜいオフィスとブラウザ程度しか使えないペラペラのノートPC配ってドメインのポリシーでロックダウンかけたという事でエラそーに言っていた営業出身の某経営者がいました。これでどーやって Linux のサポートするのよ、って渡された本人怒っていましたけどね。これなら紙とエンピツの方がよっぽどましだぞって。

環境は統一したいけど、現場にいかに適合した環境もまた検討できるかが勝負なのです。




無線LAN トラブル 有線接続 インターネット 接続できる LANに接続できない 


by islandcenter | 2017-07-22 12:58 | プライベートクラウド | Comments(0)

エレコムから 89,800 8Port の 10GbaseT HUB が出ました。


この手のデバイスはチップメーカーが出し始めると、別ブランドでも同じチップを使ったより低価格のモノが出てくるものです。1ポート 12,000 円台と言うのは完全に普及価格帯ですね。もっとも使われるのは小規模なデータセンターやサーバールームの iSCSI NAS との接続だったり、バックアップデバイスとの接続に限られてしまうのでしょうが、光ファイバーより遥かに取り扱いが容易なので、仮想環境下でのサーバー : ストレージ間の接続には有力な選択肢となります。




Nbase-T(802.3bz) はどうなる。

Cat5e ケーブルで 2.5Gbps や 5Gbps で通信できるマルチギガビットネットワークはどうなる? たぶん普及しないだろう。というより、高性能な HUB, NIC が 802.3bz に対応したポートが付いていれば、1Gでも10Gでもなく、ネゴシエーションの結果 2.5Gbps で繋がっちゃった、という結果になるのでしょうね。まだ対応した NIC や HUB がなく 10Gbps が使えるようになれば Wifi のボトルネックは吸収されてしまうから、2.5G/5G のケーブルインフラの問題だけとなります。幹線の 10Gbps 化が進めば、2.5/5G の速度はフロアの配線インフラを有効に使いたいという出番だけでしょう。元々 10Gbps はそれなりに普及する以前の段階で標準化が進んでいるわけです。

--
とにかく驚きなのは、ネットワークの専用機器メーカーではなく、エレコムという周辺機器メーカーから 10GbaseT HUB が出たことです。他の周辺機器メーカーでも同様な製品が続々とでてくるのではないでしょうか。



by islandcenter | 2016-10-06 10:49 | プライベートクラウド | Comments(0)