ダメ出し日記 » Solaris

Solaris 10: Kerberos 5 ヘッダー & ライブラリ

fumiyas — Tue, 17 Jun 2008 02:23:57 +0000

Solaris 10 のパッチ 120011-14 (SPARC), 120012-14 (i386) で、付属の MIT Kerberos 5 にヘッダーファイル (krb5.h など) が追加された。これで自前でコンパイルしていた MIT Kerberos 5 パッケージが不要になったけど、移行はどうやろうかなぁ…。

$ uname -a
SunOS sword 5.10 Generic120012-14 i86pc i386 i86pc
$ ls -l /usr/include/kerberos5
計 242
-rw-r--r--   1 root     bin         2782  8月  9日 2007年 comerr.h
-rw-r--r--   1 root     bin       105188  8月  9日 2007年 krb5.h
-rw-r--r--   1 root     bin         1113  1月 22日 2005年 mit-sipb-copyright.h
-rw-r--r--   1 root     bin         3199  1月 22日 2005年 mit_copyright.h

ところでこのパッチ、 lofs(7FS) を利用していると、以下のようになってパッチ適用に失敗する:

# /usr/local/sbin/pca -i 120012
省略
Checking patches that you specified for installation.
Done!
mount: Mount point /var/run/.patchSafeMode/root/home/fumiyas does not exist.
Mount operation failed - /sbin/mount -F lofs -o nosub  /home/fumiyas /var/run/.patchSafeMode/root/home/fumiyas
Could not successfully create environment for 'deferred activation patching'.
Failed (exit code 1)

lofs(7FS) なファイルシステムをアウンマウントすれば回避できる~~けど、ゾーンを ZFS に構築しているとかなり面倒~~。参考: http://www.mydatabasesupport.com/forums/solaris/346058-zonepath-svm-soft-partition.html

Perl: mktemp(1) クローン

fumiyas — Tue, 10 Jul 2007 16:07:08 +0000

仕事で久しぶりの Solaris 8 環境と格闘中。 3年ぶりかな? クリーンインストールしたので、コンパイラがない、 wget(1) もない、 tar(1) はバグってて展開できないアーカイブがある (それらしいパッチがあるが、無償ではダウンロードできないみたい) など、非常に使いにくい。それに比べれば、Solaris 10 はずっとずっと使いやすいなぁ。

mktemp(1) も含まれていないので、 Samba のコンパイルで make test_pam_modules test_nss_modules が実行できない。仕方ないので Perl で実装して、自作ツールチェインに同梱することにした。ちなみに Perl Power Tools にも含まれていなかった。

#!/usr/bin/perl -w

#

Perl-version mktemp(1) command

Copyright (c) 2007 SATOH Fumiyasu @ OSS Technology, Co., Japan

<http://www.osstech.co.jp/>

#

License: GNU General Public License version 3

Date: 2007-07-11, since 2007-07-11

#

use strict;

use warnings;

use Getopt::Long;
use POSIX;
use IO::File;
umask(0077);
my @seed = ('0'..'9', 'a'..'z', 'A'..'Z');
my $flagdir = undef;
my $flagquiet = undef;
my $flagunsafe = undef;
my $flaggeneratepath = undef;
my $prefixdir = undef;
my $template = 'tmp.XXXXXXXXXX';
my $cmdname = $0;
$cmdname =~ s#^.*/##;
my $cmd_usage = "Usage: $cmd_name [-dptu] [-p DIRECTORY] [TEMPLATE]\n";
Getopt::Long::Configure('bundling');
Getopt::Long::Configure('no_ignore_case');
Getopt::Long::Configure('no_auto_abbrev');
GetOptions(
'd' =>   \$flag_dir,
'q' =>   \$flag_quiet,
't' =>   \$flag_generate_path,
'u' =>   \$flag_unsafe,
'p=s' => sub {
$prefix_dir = $_[1];
$flag_generate_path = 1;
}
) || die "$cmd_usage";
if ($flag_quiet) {
$SIG{'DIE'} = sub {
exit(1);
}
}
if ($flag_unsafe) {
die "$cmd_name: -u option is not supported yet\n";
}
if (@ARGV == 1) {
$template = $ARGV[0];
}
elsif (@ARGV > 1) {
die "$cmd_name: too many argument\n";
}
if ($flag_generate_path) {
if ($template =~ m#/#) {
die "$cmd_name: template must not contain directory separators in -t mode\n";
}
if (defined($ENV{'TMPDIR'})) {
$template = "$ENV{'TMPDIR'}/$template";
}
elsif (defined($prefix_dir)) {
$template = "$prefix_dir/$template";
}
else {
$template = "/tmp/$template";
}
}
$template =~ s#//+#/#g;
$template =~ s/(X+)$//;
my $seed_n = defined($1) ? length($1) : 0;
my $try_max = $seed_n * 10;
for (my $try = 0; $try <= $try_max; $try++) {
my $temp = $template;
for (my $n = 0; $n < $seed_n; $n++) {
$temp .= $seed[int(rand(@seed))];
}
if ($flag_dir) {
if (mkdir($temp, 0700)) {
print "$temp\n";
exit(0);
}
elsif ($! != POSIX::EEXIST || $try == $try_max) {
die "$cmd_name: cannot create temporary directory $temp: $!\n";
}
}
else {
my $fh = IO::File->new($temp, O_RDWR|O_CREAT|O_EXCL, 0600);
if (defined($fh)) {
print "$temp\n";
exit(0);
}
elsif ($! != POSIX::EEXIST || $try == $try_max) {
die "$cmd_name: cannot create temporary file $temp: $!\n";
}
}
}

Not reached

exit(1);

クリーンルームでのパッケージ作成の必要性

fumiyas — Sun, 20 May 2007 16:20:12 +0000

コンパイラやリンカの生成するバイナリは、周囲の環境によって異なる結果となることがある。それらのコマンドラインや環境を生成する configure も然り。よって、 configure && make && ... するときは、思いのほか多種多様なことに気をつかう必要がある。その中でも環境変数には特に注意が必要となる。

閉じた環境や特定の用途向けであれば、それほど気をつかわなくてもいいだろう。しかし、配布するソフトウェアパッケージを作成する場合はどうだろう? 実行するマシンや人によって違う動作をするバイナリができてしまうのは、大きな問題だ。

一方、実際の現場ではどうなってるか。仕事柄、RPM や Debian パッケージを触ることがよくあるのだが、個々のパッケージの作成ルール (RPM なら SPEC ファイル、Debian なら debian/rules) はもちろん、パッケージ管理 (作成) システム自体にそういったことに気を使っている節は見あたらない。同じ OS、同じバージョン、同じ手順なのに、環境変数によって異なるパッケージが生まれてしまう可能性がある。そんなんでいいのだろうか? 誰も困っていないのだろうか? 私は実際に困ってしまい、せめて問題提起をと思って、今この文を書いている…。

先日 RPM for Solaris 環境を構築しているとき、 rpmbuild の実行過程で利用されるあるシェルスクリプトに次のような文を入れていた。 (Solaris の /bin/sh は unset PATH を拒否するので除外しているが、別の箇所で PATH をリセットしているので問題ない)

## Make a clean room
eval "env |sed -n '/^PATH=/d;s/^\([a-zA-Z0-9_]*\)=.*$/unset \1/p'"

せめてこれくらい、パッケージ管理 (作成) システムで標準でやってくれないものだろうか。余計なお世話?

Linux ディストリビューターは皆、厳密に管理されたパッケージ作成専用の環境でのみパッケージを作成しているんだろうか? 某所の事情は少し知っているが、その工程に携わったことがないので、実際どうなのかわからん…。

Solaris: PAM のデバッグログ

fumiyas — Wed, 14 Mar 2007 09:57:07 +0000

/etc/syslog.conf にログの送り先を記述する。

auth.debug              /var/log/pam.log

ログファイルを作成し、syslogd プロセスに反映させる。

# touch /var/log/pam.log svcadm refresh system-log

PAM のデバッグを有効にする。

# touch /etc/pam_debug

ログを読んでみたが、 PAM の実装を理解していないせいか、わけがわからん。設定ファイル、インターフェイス、実装の触りを見る限りでは、 PAM って設計が間違っていて、できれば見ないほうがいいのではないかという予感がヒシヒシと…。勉強したくないなぁ。 cvm のほうが、まだよさげ。

Solaris: PCA – Patch Check Advancded

fumiyas — Wed, 28 Feb 2007 09:56:31 +0000

http://www.par.univie.ac.at/solaris/pca/

これはいい。 SunSolve Online から最新パッチ情報を持ってきて、パッチの適用状態を見たり、パッチを適用できる便利ツール。まだ smpatch(1M) は使ったことがないので比較はできないが。

そういえば Solaris 8 の時代、ダウンロード済みの 8_Recommended.README ファイルを見てパッチの適用状態を表示するスクリプトを作ったっけ。 Perl で作ったんだっけ? シェルだっけ? …思い出せない。あのスクリプトはどこへやってしまったのかな。なんだか懐しい気分になってしまった。。



RPM for Solaris の先行者
fumiyas — Mon, 19 Feb 2007 17:17:16 +0000

先日の
RPM for Solaris ネタ
だけど、
やっぱり同じことを考える人はいるんだね…
(JA) Solaris pkg (Part 3) : build pkg using rpm。
パッケージもあって、
http://dlc.sun.com/osol/companion/downloads/current/pkgs/
以下にある
SFWrpm.pkg.bz2
がそれらしい。
もしかして、Companion CD に入っていたのか?
あとで調べよう…。
何はともあれ、無駄骨だったかもね。




まともな RPM (SPEC) のマニュアル?
fumiyas — Fri, 16 Feb 2007 12:01:16 +0000

Solaris における SRPM (ネタは Samba) からのコンパイルだが、
rpmbuild -bi samba.spec
まで辿りついた。
当然のように SPEC ファイルも Linux や GNU に依存しまくりで、
マクロをシコシコと書き続け、ようやくここまできた。
どうせなら RPM の作成 (-bb) までいっとくか?



久しぶりに SPEC ファイルを触ったが、以前と変わらず、
SPEC に関するまともな情報源は少ないと感じた。
http://www.rpm.org/
は全然役に立たないのだが、
こいつは公式サイトではなくなんちゃって公式もどきサイトなんだろうか?
Fedora の RPM Guide -
http://fedora.redhat.com/docs/drafts/rpm-guide-en/
が一番良さげ。




RPM for Solaris
fumiyas — Thu, 15 Feb 2007 17:58:46 +0000

RPM なパッケージで作成・維持している製品がある。
もちろん Solaris では使えない。
流用するのさえ大変だし、別途 Solaris 版パッケージを作成・維持するのは面倒くさい。
ということで、RPM 4.4.7 を Solaris 上でコンパイルしてみた。
なぜか
rpm.org
のダウンロードページには rpm ソースがどこにもないようなので、
http://wraptastic.org/pub/rpm-4.4.x/
からダウンロードした。



2日近くかけて、ようやく
rpmbuild -bb package.spec
まではできるようになった。
rpmbuild -bi package.spec
から先ももうすぐだろう (現在実行中。SPARC IIe 650MHz なので時間がかかる)。
Solaris 版を RPM で提供することはないと思うけど、
SRPM からコンパイルまでできるだけでも楽になるんじゃないかしら? (希望的推測)


コンパイル手順はちょっと手間なので省略。
感想としては、Red Hat Linux と GNU に依存しすぎだ! につきる。
Solaris と Linux との仕様の相違(? uintxxt vs. uintxx_t)や
Solaris のヘッダーファイルのバグ (断言。libelf.h が勝手に #undef _ してしまう問題) もあったりして、思いのほか苦労してしまった。




Solaris 10 の初期設定 (改訂版)
fumiyas — Fri, 09 Feb 2007 05:28:44 +0000

Web Console を停止する。


# svcadm disable webconsole


dtlogin の自動起動をやめる。
たまにしか使わないので無駄だし、必要なときに起動すればいい。
Solaris 8 とは違い /etc/rc?.d/S*dtlogin は存在せず、
dtconfig コマンドで制御するようになった。

# /usr/dt/bin/dtconfig -kill
done
dtlogin kill complete.

/usr/dt/bin/dtconfig -d

done
desktop auto-start disabled.


/etc/profile を以下の目的で編集する:


デフォルトのシェルのプロンプトを変更。
デフォルトのエディタを vi に変更。
標準のページャー
/usr/bin/more
はバックスクロールできないなど機能が貧弱なので、
/usr/xpg4/bin/more
にする。



# cp -p /etc/profile /etc/profile.dist

vi /etc/profile

...編集...


具体的には /etc/profile の最後に以下を追加:

PAGER=/usr/xpg4/bin/more
EDITOR=/usr/bin/vi
export PAGER EDITOR
if [ "id|sed 's/(.*//;s/.*=//'" -eq 0 ]; then
PS1='# '
else
PS1='$ '
fi
if [ -n "$BASH" ]; then
PS1="\u@\h:\w $PS1"
HISTSIZE=100000
HISTFILESIZE=100000
HISTCONTROL=ignoreboth
shopt -s cmdhist histappend lithist
else
PS1="hostname|sed 's/\..*//' $PS1"
fi


root のホームディレクトリが / なのは気持ち悪いので /root に変更。
ついでにシェルも /bin/bash に変更してしまおう
(どうせ /sbin/sh は動的リンクになっているし)。
usermod(1M) は実効ユーザーとして利用されているユーザー属性の変更を拒否するので、
/usr/ucb/vipw を使う:


# mkdir -m 0700 /root

/usr/ucb/vipw

...編集...


手元の端末で常用している mlterm の terminfo がないので、
ほかの環境からコピーする。

# cp /path/to/mlterm /usr/share/lib/terminfo/m


動作中にキーボードが引っこ抜けても停止しないようにする。

# cp -p /etc/default/kbd /etc/default/kbd.dist

vi /etc/default/kbd

...KEYBOARD_ABORT=disable を設定する...

kbd -i



Solaris 10 11/06 以降でインストール時に
Enabling Access to Remote Clients
にて
Remote services enabled
を yes としてしまった場合、
必要最低限なサービスを停止するため以下を実行する。
(参考:
セキリュティー機能拡張(Secur


e By Default)

やっぱり Sun がスキ！)

# netservices limited
...


以下は x86 版限定のお話。


インストール時に
kdmconfig
で日本語キーボードを選択したはずなのに、
なぜか英語キーボードの設定になっているので、これを直す。
kdmconfig
を再実行しても直らないので eeprom で kbd-type の値を変更する。
このあたりは同じ Solaris 10 でもリリースにより流動的みたい。
/etc/default/kbd の
LAYOUT
の値で設定するとか、
eeprom
の
kbd-type
でも
Japanese(106)
ではなく
Japanese-106/type7
を設定するという話もあるし。

# eeprom kbd-type="Japanese(106)"

eeprom keyboard-layout="Japanese-106/type7"



とりあえずこんなもんだけど、
kdmconfig で X サーバーを
Xsun から Xorg に変更すると、キー配列がメチャクチャになる問題が残っている。
手元の Debian の X.org には kbd という名前のドライバがあるが、
Solaris には keyboard というドライバしかないみたい。Solaris の X.org が古いのかなぁ?




Active Directory のサーバーサイドソートは壊れている?
fumiyas — Tue, 06 Feb 2007 18:44:35 +0000

Windows Server 2003 SP1 の Active Directory を
Solaris 10 の NS (Name Service) のバックエンドに設定しようと
ldapclient(1M), AD, SFU (Service for UNIX) と格闘中。
getent passwd ユーザー名
では AD のユーザー (あるいはグループ) を参照できるが、
getent passwd
で一覧表示できないという問題にぶつかる。
パケットなどを解析したところ、以下が原因となっていた:



ldapcachemgr(1M) は起動するとすぐに AD (LDAP)
サーバーに接続し、サーバーが対応する拡張を問い合わせる。

AD は問い合わせを受け対応する拡張の一覧を返す。
その中にサーバーサイドソート拡張への対応を示す情報
(OID 値 1.2.840.113556.1.4.473) も含まれている。

ldapcachemgr(1M) はユーザーなどのエントリの一覧を
AD に問い合わせる際、サーバーサイドソートを指示し、
ソート対象としてエントリの属性名 cn と uid を指定する。

AD は 指示された拡張は使用不可 という旨のエラーを返す。
理由は不明。

ldapcachemgr(1M) はエントリの一覧取得に失敗する。



tshark(1) で見たときの AD の応答は以下のような感じ:

Lightweight-Directory-Access-Protocol
LDAPMessage searchResDone(2) unavailableCriticalExtension (00000057: LdapErr: DSID-0C09068F, comment: Error processing control, data 0, vece) [0 results]
messageID: 2
protocolOp: searchResDone (5)
searchResDone
resultCode: unavailableCriticalExtension (12)
errorMessage: 00000057: LdapErr: DSID-0C09068F, comment: Error processing control, data 0, vece


Active Directory が悪いような感じだが、実際のところはどうなんだろう?
RFC を読めばわかるかな?
Web を検索したところ、同じ現象と思われる例がいくつかあったが、
解決方法はおろか、原因に辿りついているものは一つもなかった。さて、どうすべぇ…。


以下は AD に対するテストプログラム。
$sortorder
でソート対象を一つだけにすると失敗しない。

#!/usr/bin/env perl
use strict;
use warnings;
use Net::LDAP;
use Net::LDAP::Control::Sort;
my $server = '10.0.0.1';
my $base = 'dc=example,dc=com';
my $binduser = 'Administrator';
my $bindpass = 'pass';
my $sort_order = 'cn uid';  # NG! Why?

my $sort_order = 'cn';     # OK!

my $ldap = Net::LDAP->new($server) || die "$@";
my $mesg;
$mesg = $ldap->bind(
"cn=$binduser,cn=Users,$base",
password => $bindpass,
);
$mesg->code && die $mesg->error;
my $sort = Net::LDAP::Control::Sort->new(
order => $sortorder,
critical => 1,
);
$mesg = $ldap->search(
base => $base,
filter => '(objectClass=user)',
control => [ $sort ],
);
$mesg->code && die $mesg->error;
for my $entry ($mesg->entries) {
$entry->dump;
}


Windows Update をかけてみたが、結果はかわらず。
ということで、
クライアントが Solaris の場合は ldapclient は捨てて、
Samba の winbind にするのがよさそう。仕事での実績もあるし。
PADL の nssldap/pam_ldap もたぶん大丈夫だろうけど未確認。
製品パッケージにしたら需要があるかなぁ?


なお、Windows Server 2003 R2  では未確認。
そのうちやらねば。


2008-03-11 追記: 似た不具合を教えてもらった:
http://support.microsoft.com/kb/842637/ja

ダメ出し日記 » Solaris

Solaris 10: Kerberos 5 ヘッダー & ライブラリ

Perl: mktemp(1) クローン

#

Perl-version mktemp(1) command

Copyright (c) 2007 SATOH Fumiyasu @ OSS Technology, Co., Japan

<http://www.osstech.co.jp/>

#

License: GNU General Public License version 3

Date: 2007-07-11, since 2007-07-11

#

use warnings;

Not reached

クリーンルームでのパッケージ作成の必要性

Solaris: PAM のデバッグログ

`svcadm refresh system-log`

Solaris: PCA – Patch Check Advancded

RPM for Solaris の先行者

まともな RPM (SPEC) のマニュアル?

RPM for Solaris

Solaris 10 の初期設定 (改訂版)

`/usr/dt/bin/dtconfig -d`

`vi /etc/profile`

`/usr/ucb/vipw`

`vi /etc/default/kbd`

`kbd -i`

e By Default)

`eeprom keyboard-layout="Japanese-106/type7"`

Active Directory のサーバーサイドソートは壊れている?

my $sort_order = 'cn'; # OK!