ラブテックのブログです http://www2.lav-tec.co.jp/:1 Nucleus CMS v3.41 2009-06-30T01:20:32Z Nakamura 2009-06-30T01:20:32Z 2009-06-30T10:20:32+09:00 次世代の照明器具として注目されているLED。しかし、国内製品のほとんどが器具一体型であるため、取付には電気工事が必要です。唯一販売されている東芝製LEDランプも照度が低く、ダウンライトなどで使用するには暗すぎて実用的ではありません。
「既存の器具を生かしてLEDを使いたい」というのは誰しも考えることですが、開発途上の製品だけになかなか価格と性能の折り合いの良い製品が少ないというのが現状です。
そんな中で、十分に実用レベルの明るさを持ちながら既存の白熱用器具が使用でき、尚かつ価格も手の届く範囲である同社の製品はLED照明の普及に拍車をかけるものだと思っています。


BLT2026シリーズ

第一弾として6Ｗ～18Ｗまでの4製品ライン24種のLEDランプを販売いたします。
製品の詳しい情報は弊社の運営する「ECO照明情報サイト」で御覧下さい。
また、7月1日より同製品を含む省エネ照明専門ウェブショップもオープンいたしますので、こちらのほうもよろしくお願いいたします。

]]> http://www2.lav-tec.co.jp/:1:24 Nakamura 2008-12-19T02:59:30Z 2008-12-19T11:59:30+09:00
・phpldapadmin使用でのLDAPアクセス制御設定

まずはLDAPのアクセス制御についての記述だ。LDAPを利用するサービスと参照すべき内容、項目に対する権限などを事前に精査してまとめておく必要があるだろう。今回の場合、

・postfix　→メールの配送制御で使用
・Smtp Auth　→認証で使用
・dovecot　→pop、imapの認証に使用

と基本的には3つなのだが、ウェブからLDAPエントリーの書き換えを行うためにphpldapadminも使用しているので、

・phpldapadmin　→アカウント管理に使用

となる。サービスに関しては管理者をバインドで接続して全ての情報取り出しをしているので問題ないが、アプリケーションであるphpldapadminについては各アカウント管理ユーザーの接続とするつもりだった。
この場合のLDAPサーバーアクセス制御記述なのだが、参考にしたサイトにあった記述を弊社用に置き換えると

access to dn=".*,ou=mailsys,dc=lavtec,dc=JP" attribute=userPassword
    by self write
    by dn="cn=Manager,dc=lavtec,dc=JP" write
    by dn="uid=admin, name=
]]> http://www2.lav-tec.co.jp/:1:23 Nakamura 2008-12-16T08:31:08Z 2008-12-16T17:31:08+09:00 追加の機能としてメーリングリストを作りたいと思ったのだが、バーチャル環境での構築に関しての情報がこれまた少ないわけだ。

メーリングリストサーバーにはmajodomo、fml、Mailmanなどいろいろあるわけだが、使用するサーバーによってはかなりややこしい仕込みをしないとバーチャル環境では動いてくれないようなのは解ってきた。
かかる手間が同じなら運用がわかりやすいほうがいいかと思い、管理をウェブ上から行えるMailmanを使用してみることにした。

インストールマニュアルを参考にインストールと初期セットアップは普通に終了した。MTAにpostfixを使う場合の基本的な設定もmain.cfには書き込んだが基本的にメーリングリストサーバーはローカルで配送するのでマニュアルに書かれている内容だけの記述では配送でエラーが出てしまう。
Debianなどは専用にカスタマイズしたものが用意されていてmaster.cfのパイプを使って配送できるようなのだが、あいにくとRedHat系のOSにはそういった便利なものは入っていなかった。

要はMailmanで使用するMLのアドレスをローカル配送するようにすればいいわけなので、配送方法を指定するtransport_mapsディレクティブを使用することにした。

まずはpostfix側に設定した内容。

#マニュアルに書かれている内容の追記
owner_request_special = no
recipient_delimiter = +

#エリアスマップの追加
virtual_alias_maps = ldap:/etc/postfix/forward.cf
                     ldap:/etc/postfix/virtual-alias.cf
                     hash:/etc/mailman/virtual-mailman　←追加行
#トランスポートマップの設定
trransport_maps = hash:/etc/mailman/transport

次に/etc/mailman/transportファイルを作成する。内容はMLのアドレスをローカル配送にするという単純なもの。

#MLトランスポートの設定
ml@domain1.net  local

これをハッシュファイルに変換する。

# postmap /etc/mailman/transport

先にメールサーバー構築で使用したテストアカウントをメーリングリストに登録してテストしてみると、うまく配送された。試しに外部プロバイダのアカウントをメーリングリストに登録してみるとここでエラー発生。ログを確認するとリレーアクセスではねられている。
postfixのリレー制御を調整しなければならないようだ。送信はローカルからなので問題ない。問題は受信者アドレスにあるようだ。
現在のmain.cfで設定している受信者リレー制御は、

smtpd_recipient_restrictions = permit_mynetworks
                               permit_sasl_authenticated
                               reject_unauth_destination

確かにこのままではローカルからの送信だとはねられてしまう。majodomoのようにリストユーザーが単純なテキストファイルで保存されていればよかったのだが、Mailmanの場合そんな単純な形式では保存されていない。
ちょっと面倒だがリストメンバーを記述したアクセスマップを作成してそれを使うことにした。具体的には /etc/postfix/ 配下にrecipientというファイルを作成し、accessファイルと同じ形式でメールアドレスを許可リストとして登録した。
つまり、

メールアドレス1　　OK
メールアドレス2　　OK

のように書いたファイルを作成しハッシュしておく。次にmain.cfの smtpd_recipient_restrictions に一行追加する。

check_recipient_access hash:/etc/postfix/recipient

postfixをリロードして再度送信してみると今度はうまくいった。
メーリングリストの運用もこれでできるようになって一通りの機能は網羅できた。次回から今回の構築で直面したいくつかの問題について、どのような手法で解決したかをTipsとして掲載することにする。

]]> http://www2.lav-tec.co.jp/:1:22 Nakamura 2008-12-12T04:04:09Z 2008-12-12T13:04:09+09:00 ◇Spamassassinの実装

Spamassassinは非常に強力で優れたメール用コンテンツフィルターである。今年の3月に弊社のメールサーバーにも導入したが、2週間程度の調整でほぼ100%のスパム排除に成功している。
  Spamassassinはメールのヘッダ、本文の内容を精査し、語句や文章の内容に対してスコアと呼ばれる点数を加算していく。この点数が設定した上限点を上回るとスパムと判定され、これまた設定した内容でメールを加工して配信してくれる。スパムと判定された場合、初期状態では件名の最初に設定された語句（[SPAM]）を付加して配送する。

Spamassassinの設定ファイルは/etc/mail/spamassassin/に一括して置かれている。動作の設定はlocal.cfを編集して行うが、ここに設定する内容は最小限で問題ない。

・local.cfファイル内容
#SPAMと判定する閾値（デフォルト）
required_hits 5
#スパム報告の形式
report_safe 1

デフォルトは1なのだが、local.cfのデフォルトは0に設定されている。0の場合ヘッダへのリポート挿入だけで本文には手を加えない。ここでは1にして本文を添付ファイルとして送付するようにしている。

#件名に[SPAM]という文字を挿入する（デフォルト）。
rewrite_header Subject [SPAM]

ここは単に件名を書き換えるだけでなく差出人、宛先を書き換えることもできる。その場合Subjectの部分をFromまたはToにして書き換える内容を記述すればいい。

#ヘッダの追加
add_header spam MySpamTag Spam detected
add_header all Spamchecked
最初の行は第2引数spamによってスパム判定された場合に挿入することを指定している。第3引数はその際に付加するヘッダの名称。その後に続く文字が付加される文字列である。2行目は全てのヘッダにチェック済みであることを付加するための設定。

#最大トークン数の設定
bayes_expriry_max_db_size 200000

デフォルトでは15万トークンを越えると一部が削除されるようになっている。ここでは20万に設定した。

次に日本語環境に合わせたスコアの書き換えとルールを追加するわけだが、これについてはネット上に多数のものが公開されている。使えそうなものを探してダウンロードしてくるといいだろう。後はダウンロードしたファイルをlocal.cfと同じディレクトリに配置し、include文をlocal.cfに追記してこれらのファイルを読み込ませるように設定すればSpamassassinの設定は終わりである。

次にpostfixがSpamassassinを使うように設定する。postfixにはコンテンツフィルタを使う機能が搭載されているのでその機能をそのまま利用する。
  最初にコンテンツフィルタスクリプトを作成し、その実行専用ユーザーを登録しておく。

・/usr/local/bin/spam-filter ファイル（スクリプトファイル）

#!/bin/sh
SENDMAIL=/usr/sbin/sendmail
SPAMASSASSIN=/usr/bin/spamc

$SPAMASSASSIN | $SENDMAIL "$@"

exit $?

内容は至って簡単である。postfixから渡されたメールをSpamassassin本体であるspamcに渡し、パイプを使用してまた送信するだけのものだ。このスクリプトをそのままrootで実行するのは問題があるのでspamfilterという実行専用のシステムユーザーを登録しておく。

# useradd -u 450 spamfilter

先に作成したスクリプトファイルの権限を変更しておく。

#chmod 755 /usr/local/bin/spam-filter

次に/etc/postfix/master.cfファイルを編集してコンテンツフィルターを使う様に設定する。最初のsmtp設定末尾にオプションを追記する。

-o content_filter=spamass:

ファイルの末尾にプログラムを登録する。

spamass   unix  -       n       n       -       -       pipe
  user=spamfilter argv=/usr/local/bin/spam-filter -f $(sender) -- $(recipient)

 ここまでで設定は完了だ。Spamassassinを起動し、postfixを再起動する。テスト用メールを送受信してみる。ヘッダにSpamcheckedの記述があればコンテンツフィルターを通過したことが解る。

動作確認が終わったらsa-updateコマンドで最新情報をダウンロードしておこう。あとは運用しながら誤認識してしまったメールをsa-learnコマンドで学習させたり、許可サイトをホワイトリストに登録して鍛えていけばいい。

]]> http://www2.lav-tec.co.jp/:1:21 Nakamura 2008-12-08T04:04:05Z 2008-12-08T13:04:05+09:00 ◇メールサーバーの構築3 SMTP AUTHの実装

スパムメールがこれだけ氾濫してくると、送信者認証はメールサーバー構築の中で必須となってしまった感がある。それもセキュリティにより優れたSMTP AUTHを使用するのが一般的だ。TLSも実装してより安全性を高めたいところだが、最近のウェブブラウザーやメールクライアントはデフォルトで自己認証は弾いてしまう。認証機関の証明書を取得すればそれで済むことではあるが、弊社のようにホスティング自体を特定顧客に無償で提供している場合、認証機関への登録はコスト的に厳しいものがある。
ということでTLSに関してはもう少し先に導入することとして、基本的な認証システムだけを実装することにした。

まずはsaslサーバーの設定に入っていこう。まずはメールサーバーの認証に使うようにsaslを設定する。/usr/lib/sasl2 の中のsmtpd.confを編集する。

pwcheck_method: saslauthd
mech_list: plain login

次にsaslが認証メカニズムとしてldapを使用するように設定しなければならないわけだが、参考にしようとした多くのサイトの記述が実際のsaslauthdファイルのファイルパスとは違っていることが多いので気をつけなければならない。ほとんどのサイトが/etc配下に置かれているような記述だったが、RedHat系の場合、実際は/etc/sysconfig配下に置かれている。
  saslauthdファイルを編集追記する。

・変更箇所
MECH=ldap
・追加箇所（起動オプション）
FLAGS="-O /etc/saslauthd.conf -c"

この起動オプションに指定した設定ファイルsaslauthd.confにldapへの接続情報を記述する。/etc にsaslauthd.confファイルを以下のように作成する。

ldap_servers: ldap://localhost:389/
ldap_auth_method: bind
ldap_bind_dn: uid=master,ou=Mailsys,dc=lavtec,dc=jp
ldap_bind_pw: パスワード
ldap_search_base: ou=Mailsys,dc=lavtec,dc=jp

サービスを起動して接続テストをしてみる。

# servcie saslauthd start
# testsaslauthd -u test1 -p パスワード
0: OK "Success."
#

のようになれば成功である。
次にpostfixを設定する。main.cfを編集して以下の行を編集追加する。

・アクセスコントロールを追加変更
smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, permit
smtpd_recipient_restrictions = permit_mynetworks
                               permit_sasl_authenticated
                               reject_unauth_destination
・SMTP AUTHの設定
# SMTP AUTH Configration
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sender_login_maps = ldap:/etc/postfix/login-address.cfg

アクセスコントロールの最初の行は認証できない送信者を拒否する設定だ。permit_sasl_authenticated で受信者にも同様の設定を追加しておく。
SMTP AUTHの設定では使用するログインマップをマップファイルで指定している。次にこのマップファイルを作成する必要があるわけだが、これはpostfixで作成したldap用の.cfファイルをコピーして一部書き換えるだけだ。

・login-address.cfgファイルの中身
server_host = 127.0.0.1
server_port = 389
timeout = 5
search_base = ou=Mailsys,dc=lavtec,dc=jp
query_filter = (mail=%s)
result_attribute = uid
result_format = %s
scope = sub
bind = yes
bind_dn = uid=master,ou=Mailsys,dc=lavtec,dc=jp
bind_pw = パスワード

postfixの設定をリロードしてテストしてみる。まず、クライアント側に認証設定をしないでアクセスしてみて拒否されるかを確認。拒否されたら認証設定を入れて再度送信してみる。送信できれば設定は完了だ。

次はベイジアンフィルターを使った最もポピュラーなコンテンツフィルターSpamAssassinを設定する。　続く

]]> http://www2.lav-tec.co.jp/:1:20 Nakamura 2008-12-03T06:27:49Z 2008-12-03T15:27:49+09:00 ◇メールサーバーの構築2（POP3,IMAP）

dovecotはPOPとIMAPの両方をサポートするサーバーだ。設定が簡単なのも有り難い。
LDAPと連携させるのも予め用意されている設定テンプレートが使用できるので至って楽である。
  まずは設定ファイルである /etc/dovecot.conf ファイルを編集する。設定する箇所は以下の通りである。

#サポートするプロトコル
protocols = pop3 imap
#SSLをとりあえず無効化しておく
ssl_disable = yes
#無効化に伴い平分パスワードを許可しておく
disable_plaintext_auth = no
#メール保存形式とデフォルトの保存場所
default_mail_env = maildir:/home/vMailsys/%d/Maildir
#IMAPの設定（デフォルトのまま特に変更しない）
protocol imap {
  #mail_executable = /usr/libexec/dovecot/imap
  #imap_max_line_length = 65536
  #mail_use_modules = no
  #mail_modules = /usr/lib/dovecot/imap
  #login_greeting_capability = no
  #imap_client_workarounds = outlook-idle
}
#POP3の設定（これもデフォルトのまま）
protocol pop3 {
  #login_executable = /usr/libexec/dovecot/pop3-login
  #mail_executable = /usr/libexec/dovecot/pop3
  #pop3_no_flag_updates = no
  #pop3_enable_last = no
  pop3_uidl_format = %08Xu%08Xv
  #pop3_logout_format = top=%t/%T, retr=%r/%R, del=%d/%m, size=%s
  #mail_use_modules = no
  #mail_modules = /usr/lib/dovecot/pop3
  #pop3_client_workarounds =
}
#認証の設定
auth default {
  mechanisms = plain
  passdb ldap {
    args = /etc/dovecot-ldap.conf
  }
  userdb static {
    args = uid=89 gid=89 home=/home/vMailsys/%d/%u
  }
  user = root
}

ポイントとしては
ssl_disable = no       
がデフォルトなのでSSLをセットアップしていない場合には「yes」に変更しておくことと、同時に
disable_plaintext_auth = yes
を「no」に変更しておく必要がある点だ。また、POP3のuidlはデフォルトで上記のようになっているはずだが、なっていなければ追記しておく。ここでは明示化するためにコメントアウトを消している。

認証の設定ではパスワードのデータベースをLDAPにするため、LDAPの設定ファイルであるdovecot-ldap.confへのパスを記述している。また、ユーザーデータベースとして保存先とその所有者であるpostfixのuid、gidを指定する。
                                                        
次にLDAPの設定ファイルを作成するわけだが、
  /user/share/doc/dovecot-1.0/exsample/
にサンプルがあるので、これを
  /etc/
にコピーして編集する。編集する箇所は、

#LDAPサーバーのアドレス
hosts = 127.0.0.1
#ログインするユーザー
dn = uid=master,ou=mailsys,dc=lavtec,dc=jp
#パスワード
dnpass = パスワード
#ユーザーバインド
auth_bind = no　←ユーザー単位でログインさせないのでno
#検索ベース
base = ou=mailsys,dc=lavtec,dc=jp
#検索スコープ
scope = subtree
#パスワードチェックの内容
pass_attrs = uid=user,userPassword=password
#パスワードの検索フィルター
pass_filter = (&(objectClass=inetOrgPerson)(uid=%u))

以上で設定は終了する。dovecotを起動して先に作成してあるテストユーザーで受信してみる。

と、ここからハマッタ・・・・。

送信テストで送ったはずのメールが受信できない。ログを確認しても送信、受信ともエラーは出力されていない。
直接メールの保存ディレクトリを開いてみる。と、/home/vMailsysの下に「domain1」と「test1」のディレクトリが作られているではないか！

「test1」を開いてみるとdovecotの制御ファイルが作成されている。つまり上記の設定に記述した
default_mail_env = maildir:/home/vMailsys/%d/%u/Maildir
もしくは
  userdb static {
    args = uid=89 gid=89 home=/home/vMailsys/%d/%u
  }
の記述が機能していないということになる。default_mail_envの中に記述した%dの指定が認識されていない可能性があるので、ここを
default_mail_env = ~/Maildir
と書き換えてみる。しかし結果は同じだった。
ここから七転八倒、2日間いろいろと設定を書き換えながら挑戦して最終的に行き着いたのが次の設定である。

default_mail_env = ~/Maildir
として、

  userdb ldap {
    args = /etc/dovecot-ldap.conf
  }

で、ユーザーのhomeもLDAPから取得するように変更。これに伴い、dovecot-ldap.confに

#保存先をフルパスで取得できるようにimapMailDir項目を追加
user_attrs = uid=user,imapMailDir=mail
user_filter = (&(objectClass=inetOrgPerson)(uid=%u))

このままだと検索したuidのままファイルを書き込みにいってaccess deniedエラーでMaildirにアクセスできないため、

user_global_uid = 89
user_global_gid = 89

を追加して、単一ユーザー操作に変更。
LDAPデータベースのほうにも属性imapMailDirを追加してそこにフルパスを登録することで送受信とも正常に動作するようになりました。

なぜ最初の設定でうまくいかなかったのかは未だに不明。いくつかのサイトを参考にして書いてみたんですけどねー・・・。結局自分で解決するハメになりましたがおかげで設定ファイルの書き方とかかなり勉強になりました。

次はSMTP AUTHの実装に入っていきたいと思います。　続く

]]> http://www2.lav-tec.co.jp/:1:19 Nakamura 2008-12-02T04:50:35Z 2008-12-02T13:50:35+09:00 ◇メールサーバーの構築（MTA）
MTAとしては過去にsendmail、qmailを使ってきたが、ここ2年程はpostfixを使用している。弊社のMTAはpostfixをLDAPで運用しているがホスティング用のサーバーはHDEを使用していたということでqmailだった。
  このリニューアルでpostfixに統一するのだがLDAPで複数のバーチャルドメインを設定したことがないので、いい勉強になりそうだ。
  初回の記事に書いているが、MTAとしてpostfix、POP3にdovecotを使用する。またスパム対策としてcyrus-saslでSMTP AUTHを、コンテンツフィルタとしてSpamassassinを使用する予定だ。

まずは必要なパッケージを再確認する。インストール段階で必要なパッケージはインストールしてあるわけだが、必要なサポートが入っているかを確認しなければならない。もし入っていなければソースからビルドし直す必要がでてくる。

・postfixのサポート検索テーブル形式の確認
# postconf -m
btree
cidr
environ
hash
ldap  ←ldapが入っているので問題ない
nis
pcre
proxy
regexp
static
unix

・saslのサポート認証形式の確認
# saslauthd -v
saslauthd 2.1.21
authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap

こちらもldapが入っているので問題ない。

Spamassassinだが、パッケージをインストールしてはいるがセキュリティに関わるソフトウエアなので頻繁にアップデートされている。パッケージは3.2.4だったが3.2.5がリリースされていたのでこちらをダウンロードした。また、日本語パッチもリリースされているのでそれもダウンロードしておく。
  Spamassassinはperlで書かれているため必要なモジュールも確認してCPANでインストールしておく。必要となるモジュールはディストリビューションやバージョンにより微妙に異なる為、Apamassassinのサイトで確認したほうがいいだろう。

さて、今回はLDAPを使用して構成するので先にLDAP用の設定ファイルを作成することにした。使用する設定ファイルは以下のようなものである。

ldap-account.cf	配送先（ディレクトリ指定）ファイル
ldap-forward.cf	転送設定ファイル
ldap-alias.cf	エリアス設定ファイル
ldap-group.cf	グループ配送設定ファイル

基本的には以上の4つがあればいいだろう。
各設定ファイルの書き方だが例としてldap-account.cfを使って簡単に説明する。

例：ldap-account.cf
server_host = 127.0.0.1
server_port = 389
timeout = 5
search_base = ou=mailsys,dc=lavtec,dc=jp
query_filter = (mail=%s)
result_attribute = mailDir
result_format = %s/Maildir/
scope = sub
bind = yes
bind_dn = uid=master,ou=mailsys,dc=lavtec,dc=jp
bind_pw = パスワード（平文）

★各項目の説明
・server_host
LDAPサーバーのアドレス。

・server_port
LDAPサービスのポート。

・timeout
接続タイムアウト。

・search_base
LDAPデータベースの検索ベースツリー。

・query_filter
検索キー。LDAP検索ではいくつかの置き換え文字が使用できるが、ここでは入力キーそのままの「%S」を使用している。つまり、データベース項目「mail」が入力キーと一致するレコードを検索するという意味である。この他にもメールアドレスの＠前にあるユーザー部分だけを指定する「%u」、＠以降のドメイン部分だけを指定する「%d」なども使用可能だ。

・result_attribute
検索結果から取得すべき項目の指定。ここではメールの保存先である「mailDir」を指定している。

・result_format
検索結果を取得する際のフォーマット指定。

今回のサーバーは複数ドメインを取り扱うのだが、Maildir形式で保存する際に

/デフォルトメールディレクトリ/ドメイン名/ユーザー名/Maildir/

という階層で保存したい。この場合、LDAPデータベースの「mailDir」項目に

ドメイン名/ユーザー名

のように入力しておけばいいわけである。注意すべき点は「mailDir」項目の入力で先頭にスラッシュ「/」を入れないことである。postfixはvirtual_mailbox_baseで指定した保存先の最後に自動的にスラッシュを付加して認識する。この為スラッシュが2個続いてしまうと保存先を認識できなくなる。

・scope
検索スコープの指定。サブツリーを指定する。

・bind、bind_dn、bind_pw
バインドの指定。
今回の構築では「master」アカウントのみを使ってLDAPデータベースを検索させる。バインドの指定をしなかった場合、ログインしてきた各ユーザー単位で検索するようになる。バインドを使用するメリットは複数の検索を同一セッションで処理できる点である。

どのファイルもこんな感じで書くわけだが、検索キーと取得する結果を書き換えるだけで他のファイルも完成する。

次にこのファイルに合わせてpostfixの設定ファイル「main.cf」を編集する。設定、加筆する内容は以下の通り。

#ホストの設定
myhostname = ホスト名（fqdn）
#ドメインの設定
mydomain = ドメイン名
#接続を受け付けるインターフェイス
inet_interfaces = IPアドレス
#受信ドメインの設定（ローカルのみ）
mydestination = $myhostname, localhost
#ネットワークの設定
mynetworks = ネットワークアドレス

#セキュリティー設定
#リレーを許可するドメイン（ローカル配送に適用）
relay_domains = $mydestination
#アクセスを許可するクライアントの設定（ローカル配送用）
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access
                            check_client_access cidr:/etc/postfix/access.cidr
#ローカルアカウントへのアクセスをローカルネットに限定する（mynetworksと連動）
smtpd_recipient_restrictions = permit_mynetworks
#セッション制限の設定
smtpd_client_connection_count_limit = 10

#バーチャルドメイン設定
#取り扱うバーチャルドメインの設定
virtual_mailbox_domains = ドメイン１,ドメイン２,ドメイン３
#バーチャルドメインのメール配送先親ディレクトリ
virtual_mailbox_base = /home/vMailsys
#実際の配送先ディレクトリ
virtual_mailbox_maps = ldap:/etc/postfix/ldap-account.cf
#バーチャル設定を利用するユーザーの最低ID番号
virtual_minimum_uid = 89
#バーチャルを使用するユーザーのuidとgid。ここではpostfixのuid、gidを使用する。
virtual_uid_maps = static:89
virtual_gid_maps = static:89
#バーチャルエリアスの参照先設定
virtual_alias_maps = ldap:/etc/postfix/ldpa-forward.cf
                     ldap:/etc/postfix/ldap-alias.cf
                     ldap:/etc/postfix/ldap-group.cf

#メール配送形式の設定（Maildir形式の指定）
home_mailbox = Maildir/

#レートコントロール（スパム攻撃への対応同時接続制限）
#単位時間（単位：秒）
anvil_rate_time_unit = 60
#単位時間内接続許可数
smtpd_client_connection_rate_limit = 6
#単位時間内送信許可数
smtpd_client_message_rate_limit = 20
#単位時間内宛先数
smtpd_client_recipient_rate_limit = 20
#制限を除外するホスト（自身のみ）
smtpd_client_event_limit_exceptions = 127.0.0.1
#ログの出力間隔（単位：秒）
anvil_status_updata_time = 3600

設定ファイルに問題ないかチェックしてみる。

# /etc/init.d/postfix check

「OK」が返ってくれば基本的な設定は終了だ。NGだった場合はもう一度設定を見直してみる。ここでのチェックに通らないのはスペルミスなどのちょっとした原因が多い。

postfixのサービスを起動してみて事前に作っておいたテスト用アカウントで送信のテストをしてみる。postfixはMTAの機能しか持っていないのでこのままでは受信ができない。
次回はPOP3、IMAPサーバーであるdovecotの設定である。　続く

]]> http://www2.lav-tec.co.jp/:1:18 Nakamura 2008-11-23T04:13:41Z 2008-11-23T13:13:41+09:00 ◇phpldapadminのセットアップ

さて、LDAPデータベースのGUIツールであるphpldapadminをセットアップするわけだが、その前にこのシステムで使用するデータについて整理しておこう。

・ユーザーアカウントデータ

uid	アカウント名
mail	メールアドレス
mailForward	転送先アドレス
mailAlias	エリアス
domainName	所属ドメイン
mailDir	メール配送ディレクトリ
accountGroup	グループ配送名
accountActive	有効無効
userPassword	パスワード

これにcn、snを追加した11項目がアカウントデータとなる。

各項目とメールシステムでの利用方法について一つづつ見ていこう。

1.uid
これはキーとなる識別子であるユーザーのアカウント名。

2.mail
uidに対するメールアドレス。通常MTAからの問い合わせでの検索キーとして使用する。

3.mailForward
メール転送する場合の転送先アドレス。MTAは2.にマッチするレコードを見つけるとここをチェックし、ここにもレコードがあると3.のアドレスにメールを配送する。

4.mailAlias
別名配送する場合の別名メールアドレス。ここに設定されたメールアドレスのメールは2.に配送される。
たとえば問い合わせ用アドレスinfo@sample.comというアカウント実態のないメールを総務部のAさんに届くようにしたいというような場合に使用する。AさんのアカウントレコードのmailAliasにinfo@sample.comと記述しておけばinfo宛てのメールはAさんのメールアドレスに配送されるわけである。

5.domainName
アカウントユーザーが所属するドメイン名。とりあえず設定しておくだけの項目ですぐには使わない。postfix側の検索方法指定次第だが、ドメインツリーをまたいだグループ配送などに使用することを想定している。

6.mailDir
MTAに配送させる（サーバー上で保存する）ディレクトリ名。配送先としてpostfixからのクエリーに返す値となる。この値を元に予めpostfix側に設定しておくバーチャルメールボックス配下に個別のメールボックスを生成して保存する。今回はここに/ドメイン名/ユーザー名を設定してドメイン単位でフォルダを振り分けることを想定している。

7.accountGrop
グループアカウントとして設定するグループ名を記述する。

8.accountActive
アカウントの有効、無効をレコードの削除をしないで指定できるようにする。

9.userPassword
ユーザーパスワードを設定しpop3の認証とSMTP Auth認証で使用する。

postfixでは配送先を検索する際、エリアス、メールアドレス、転送先の順に評価される。設定されている検索先テーブルにレコードがあった場合、それぞれのレコード属性にそった配送が実行される仕組みだ。

いよいよphpldapadminのセットアップだが、これはいたって簡単である。

1.任意のディレクトリにバイナリパッケージを解凍する。

2.ウェブでの公開ディレクトリにフォルダごと移動し、phpMyAdminの時を同じようにapacheの公開設定ファイルであるphpldap.confファイルを作成して/etc/httpd/conf.dディレクトリに配置する。

3.phpldapadmin配下のconfディレクトリにconfig.sample.phpファイルがあるのでこれをコピーしてconfig.phpとして設定を記述する。

設定ファイルの変更箇所は以下の3カ所だけでとりあえずは動く。

$ldapservers->SetValue($i,'server','name','My LDAP Server');
$ldapservers->SetValue($i,'server','host','127.0.0.1');
$ldapservers->SetValue($i,'server','port','389');

ここの値を任意のアドレス、ポートに書き換えるのだが、ローカルホスト上で使用するのであれば何も変更しなくてもこのままで動く。設定項目はたくさんあり、表示の制御やログインのメカニズム、方法など細かく設定可能だが、これは後で設定すればいいだろう。

ここで注意点だがPHPがデフォルトでは16MBのメモリで動くように設定されているのだが、phpldapadminは16MBでは動作しない。php.iniを編集して32MB程度にあげておくといいだろう。また、httpでアクセスするとセキュリティー警告が表示される。サーバー自己証明書でもいいのでSSLで動作させよう。

apacheを再起動してhttp://localhost/phpldapadminにアクセスしてログイン画面が表示されればセットアップは終了である。

phpldapadminにはデータ登録用にいくつかのテンプレートが用意されているが、当然の如く今回追加したスキーマ項目が使えない。そこで、postfix専用のテンプレートを作成することにした。テンプレートはphpldapadminディレクトリ下のtemplateの中に入っている。この中にはサンプルが用意されていて、これを編集することでテンプレートを追加することが可能だ。実際に画面に表示されるテンプレートはcreationディレクトリにあるテンプレートとなる。
 
  今回作成したテンプレートはリンクの「らぶてっくの書庫」から参照、ダウンロードも可能なので自由に使っていただいてかまわない。

 Managerでログインして予め入力してあったレコードを確認してみると特に問題なさそうだ。
設定した各ドメインにテスト用のユーザーを3件づつ登録しておく。
ここで登録するデータには以下のような設定をしておく。
・test1アカウント
通常の送受信テスト用
・test2アカウント
転送テスト用として転送アドレスをtest1に設定する
・test3アカウント
エリアス配送テスト用としてエリアスにtest4@domain.netを登録しておく

LDAPの設定は一応終わった。次はメールサーバーのセットアップに入っていく。　続く

]]> http://www2.lav-tec.co.jp/:1:16 Nakamura 2008-11-20T03:05:34Z 2008-11-20T12:05:34+09:00 ◇LDAPサーバーの構築
  今回の再構築の中で一番の鬼門と考えているのがLDAPによるバーチャルドメイン、バーチャルアカウント管理とメールサーバーの連携部分だ。 過去に2回LDAPとメールサーバーの連携は構築しているが、複数ドメインを管理するとなるとLDAPのデータベース構成から考え直さなくてはいけない。

メールサーバーに実装したい機能として、
 1.複数のバーチャルドメインのユーザー管理を各ドメイン管理ユーザー自身が行えるような機能。
 2.メール転送、別名配送の機能。
 3.メーリングリスト配送のサポート。
 4.SMTP AUTHの実装。
 5.スパムフィルターの実装。
 などがあり、このうち1～4まではLDAPとの連携が必要な部分になってくる。

参考になるサイトがないかといろいろと検索をしているととてもいいサイトを発見した。
情報が2004年と古いためそのままでは動かないと思われる部分もあるが、構成などはそのまま使える。 また、過去2回の構築で不満に思っていたスキーマオブジェクトの不足もpostfix用のスキーマが用意されており非常に有り難かった。

データベースの構成ツリーは下図のようなもので、全体を管理するアカウント「master」と各個別ドメインを管理する「admin」を管理ユーザーとして登録した。この「master」アカウントはpostfixからの検索に使用するアカウントで、「admin」アカウントは後々各ホスティング先の管理者が独自でのドメインユーザー管理に使用する予定である。

まずはサーバーの設定ファイルである /etc/openldap/slapd.conf を編集する。編集して変更、追加した内容は以下のようなものである。

・使用するスキーマを追加するための記述。
 include        /etc/openldap/schema/misc.schema
 include        /etc/openldap/schema/postfix.schema
 ・アクセス制御の記述。
 access to *
     by self read
     by dn="cn=Manager,dc=lavtec,dc=JP" write
     by * none
 access to dn.subtree="ou=mailsys,dc=lavtec,dc=JP"
     by self write     by dn="cn=Manager,dc=lavtec,dc=JP" write
     by dn="uid=admin,ou=mailsys,dc=lavtec,dc=JP" write
     by dn="uid=master,ou=mailsys,dc=lavtec,dc=JP" write
     by * read
 access to dn.subtree="ou=mailsys,dc=lavtec,dc=JP" attrs=userPassword
     by self write
     by dn="cn=Manager,dc=lavtec,dc=JP" write
     by dn="uid=admin,cn=sampledomain.net,ou=mailsys,dc=lavtec,dc=JP" write
     by dn="uid=master,ou=mailsys,dc=lavtec,dc=JP" write
     by anonymous auth
     by * none
 ここではスコープをsubtreeにしてmailsysy以下のディレクトリ操作を制御する。 管理ユーザーには書き込みを許可、それ以外は閲覧可能。パスワードは管理者と本人のみ変更可能とした。

・データベースに関する記述と管理者設定
 suffix        "dc=lavtec,dc=JP"
 rootdn        "cn=Manager,dc=lavtec,dc=JP"
 rootpw       {SSHA} パスワード
 （rootpwはslappasswdコマンドで暗号化したものを転記する）

設定ファイルに間違いがないかコマンドでチェックする。

# slaptest

これで問題ないようであればLDAPサーバーを起動できる。
 起動に成功してもこの状態では実体としてのディレクトリオブジェクトは存在していない。 詳細な登録はphpldapadminを使用して後から行うが、まずは基本的なオブジェクトを登録しておく必要があるので登録用データを作成する。

・初期データ登録用ldifファイル内容（init.ldif）
 dn: dc=lavtec,dc=JP
 objectClass: dcObject
 objectClass: organization
 o: lavtec dc=lavtec

dn: cn=Manager,dc=lavtec,dc=JP
 objectClass: organizationalRole
 cn: Manager

dn: ou=mailsys,dc=lavtec,dc=JP
 objectClass: organizationalUnit
 ou: mailsys

dn: uid=master,ou=mailsys,dc=lavtec,dc=JP
 objectClass: masterAccount
 cn: master
 sn: master
 uid: master
 userPassword:パスワード
 accountGroup: master

さて、このファイルを登録用ツール（コマンド）であるldapaddを使って登録するわけだが、ここでハマった。
本来は、

# ldapadd -x -D "cn=Manager,dc=lav-ec,dc=JP" -W -f init.ldif

で登録できるはずなのだが以下のようなメッセージが表示されて登録できない。

ldapadd : No CN Specified

インターネットでこのメッセージを検索すると行末に余計なスペースが入っている場合に表示されることがあるというような情報があるだけだった。 ファイルをviで開いて確認したがスペースなどは入っていない。
ウィンドウズの端末で編集したファイルをアップロードしてして使用しているが、文字コードを確認してもUTF-8で問題ないようだ。Gnomeのテキストエディタgeditで開いてもおかしなところはどこにもない。
 openldapはデフォルトでログを吐かないため、ログを書き出すように/etc/syslog.confを設定する。

local4.*        /var/log/ldaplog

をsyslog.confの行末に追加してldapサーバーを再起動すると/var/logディレクトリにldaplogが生成された。 もう一度ldapaddを実行して内容を見てみると読み込んだところが

text=

という空白になっていることがわかった。つまりファイルのテキストを読めていないのである。
と、簡単に書いてきたが、最初のldapaddコマンドからここまで5時間近く試行錯誤していたのだ。

こうなるとldifファイルになにかゴミがついているとしか考えられない。
viで新規にファイルを作成してgeditの内容をペーストしてみると行頭にbomのコードである<FEFF>がはいっているではないか・・・。

 viはそのままでファイルを開くとbomの有無を自動判別するのか無視するのか全く表示されない。geditもまた保存時に出てくるダイアログではUTF-8としてしかロケールを表示しない。
こんなことで5時間も悩んでいたと思うと情けなくなってきた。

不要なコードを外してldapaddを実行すると今度はすんなり流し込むことができた。
これでLDAPサーバーの基本的なセットアップは終了した。
 次は実データを投入するためのGUIであるphpldapadminのセットアップに移っていこう。　続く

追記：ここまでに作成した設定ファイルなどはリンクの「らぶてっくの書庫」から詳細をみることができるので興味のある方はご覧ください。

]]> http://www2.lav-tec.co.jp/:1:12 Nakamura 2008-11-18T03:47:30Z 2008-11-18T12:47:30+09:00 ◇データベース（DB）のセットアップと管理GUIのインストール設定
今回使用するDBはMySQLである。オープンソースで最も普及しているRDBMSだ。勿論商用のDBエンジンであるオラクルなどと比べてしまえば機能的にはかなり限定されるわけだが、その分非常にシンプルで分かり易い。より高機能なRDBMSを求めるならPostgresSQLという選択肢もあるわけだが、単純にデータの入れ物として利用することを考えるとMySQLのほうが使いやすいだろう。
ちなみに筆者が以前構築した官公庁向けのDBでは、要求仕様がかなり厳密に指定されており、その仕様を満たすにはPostgresSQLでなければならなかったこともあった。
どちらのRDBMSも日々進化を遂げており、今や商用DBエンジンに勝るとも劣らない性能を搭載するようになってきていることは喜ばしいことである。

さて、今回使用するMySQLはOSパッケージに含まれているものをそのまま使用している。特別なオプションを使用する場合はソースからのコンパイルが必要だが、今回はデータの入れ物として基本的なことしかやらないのでそのまま使用する。

まずはMySQLのサービスを起動して管理者用のパスワードを設定する。

サービスの起動
#service mysqld start

管理者パスワードの設定
#mysqladmin -u root -p [パスワード]

この後、現在のパスワードの入力を求められる。コンパイルからインストールした場合はインストールの段階でパスワードを設定しているが、パッケージを使用しているのでパスワードは設定されていない。そのままエンターキーで確定する。
次にログインしてDBを確認してみる。

#mysql -u root -p
#Enter passwod: パスワードを入力

>mysql

となればログインは成功である。次にデフォルトでインストールされる管理用DB「mysql」にアクセスしてテーブルを確認する。

>mysql use mysql
Database changed
>mysql

これでDBが選択された。

>mysql select * from user ;

アカウントの管理テーブルである「user」にクエリーしてみるとrootユーザーが登録されていることが確認できる。ここまででmySQLの動作確認は終了した。
次に管理用GUIである「phpMyAdmin」をインストールする。「phpMyAdmin」はphpで書かれたウェブアプリで、MySQLの管理をGUIで行えるようにしたものだ。
予めダウンロードしてあったパッケージを解凍する。

#tar -zxvf phpMyAdmin-3.0.1.1-all-languages.tar.gz

このパッケージはファイル名にall-languqgeとあるように多国語に対応した国際化パッケージである。
解凍されたフォルダは実際にウェブからアクセスする際のパス名となるので名前を変更しておく。名前はなんでもかまわない。とりあえず「mySqladm」としておく。

次にこれを動作させる場所を決めるわけだが、セキュリティ上通常のホームページの場所とは隔離しておきたい。今回はファイルシステムのトップレベル「/」に「manage」というフォルダを作成してその中で動かすこととする。

#cd /
#mkdir manage
#mv /pass/to/mySqladm /manage/

このディレクトリにウェブからアクセスできるようにしなければならないわけだが、apacheの設定ファイルであるhttpd.confファイルに書き込んでしまうとファイルがどんどん大きくなって非常に読みづらくなってしまう。
幸いApache2からは拡張設定を読み込む機能が使えるようになり、初期状態で使用できるようになっている。
これはhttpd.confファイルのLoadModule～行の後にある

include conf.d/*.conf

という行で定義されている。
つまり.confという拡張子の設定ファイルをここに入れておけばApacheの起動時に読み込んでくれるわけだ。
早速このディレクトリに移動して設定ファイルを作成してみる。ファイル名は「phpMyAdmin.conf」である。

・phpMyAdmin.confの内容

#ディレクトリをウェブで動作させるためのディレクトリ設定
Alias /mySqladm /manage/mySqladm
#ディレクトリのディレクティブ
<Directory /manage/mySqladm/>
   order deny,allow
   deny from all
   allow from all
</Directory>
#主要プログラム部分へのアクセス制御設定
<Directory /manage/mySqladm/libraries>
    Order Deny,Allow
    Deny from All
    Allow from None
</Directory>

これでApacheの設定は完了した。

次にphpMyAdminの設定ファイルを作成する。
mySqladmフォルダに移動して中身をみると「config.sample.inc.php」というファイルが存在する。このファイルをベースに設定を書き込み「config.inc.php」という名前で保存し直せば設定ファイルができあがる。（この設定ファイルのサンプルはバージョンによってファイル名が異なるので注意）
最低限設定しなければならないのはデータベース管理者のユーザー名とパスワードだけである。該当する行は、

$cfg['Servers'][$i]['controluser'] = '';
$cfg['Servers'][$i]['controlpass'] = '';

の2行で、ここのシングルクォーテーションの間にユーザー名とパスワードを書き込めば設定は完了する。

ウェブサーバーを再起動させて設定した管理ページにアクセスしてみるとログインページは表示されるが画面下のほうにエラーが表示された。今回認証方式にクッキー認証を使用しているが、その場合のクッキー暗号化キーワードが設定されていないというような内容である。
再度config.inc.phpを開いてみると、

$cfg['blowfish_secret'] = '';

という行があり、クッキー認証には記述が必要という注意書きがあるではないか。
適当な文字をキーワードに入力して再度ログイン画面を表示させると今度はエラーが表示されなかった。どうやらこれでセットアップは終わったようだ。

さて、ここまでで基本的な設定は終了したが、このままでは管理者ユーザーであるrootで簡単にログインできてしまう。これはセキュリティ上よろしくないので新たに管理ユーザーを作成し、config.inc.phpの設定もそちらに変更しておくこととする。

次回からはメールサーバーの構築に入っていくわけだが、バーチャルドメイン、バーチャルユーザーでの運用にはいろいろとテクニックが必要だ。
すんなりと構築できるとは考えられない。
構築過程の試行錯誤をレポートしていくことになるだろう。　続く

]]> http://www2.lav-tec.co.jp/:1:11