授業資料/10 の変更点

追加された行はこの色です。
削除された行はこの色です。
授業資料/10 へ行く。
授業資料/10 の差分を削除
#contents

* いつものチェック [#j7b9f076]

いつものように，システムについてまずい点がないかチェック，対応しよう．
具体的には，以前も示した次のコマンドを使うことになる．

+ freebsd-update
+ portsnap
+ portaudit

&ref(/materials/warning.png); ただし，portaudit で出てくる警告にすぐ対応すべきかどうかは判断が難しい．セキュリティ上の問題がどれくらいか，ports 等のバージョンアップが間に合っているか，バージョンアップに伴う問題が無いか等々，事前に簡単にで良いので検討してから作業をしよう．

* (遅れている人は) 時間を取って追いつく，復習しよう [#ye29f2f0]

そろそろ内容的に遅れている人が出てくる時期なので，今回の作業内容を少なくしてある．
遅れている人や，内容がイマイチ理解できてなかった人はこの機会を活かして復習，再作業等を行おう．

* IMAP/POP を使ってみる [#t744fd0b]

さて，ユーザ宛に届いたメールを MUA に渡すのに広く使われている POP/IMAP のサーバについても触れよう.
いまだ広く使われている POP，ユーザにとっては便利だがサーバへの負担が高めのために商業ベースではなかなか用いられない IMAP，と大まかに言える. 
ここでは，将来的なことも考えて IMAP サーバについて学習してみよう. ちなみに，POP サーバは IMAP サーバに比べれば単純なので，IMAP サーバが扱えればPOP サーバについては困らないだろう.

さて，IMAP サーバとしては courier-imap が広く使われているので授業でもこれを用いよう.
なお，courier-imap をインストールすると一緒に courier-pop もインストールされるので，POP サーバをインストールしたい，というときに courier-imap を選択してもよい.

** courier-imap のインストール(これは前回既にやってある) [#x4f701f6]

** courier-imap の設定 [#mcfc6e1d]

さて，インストールが済むと /usr/local/etc/authlib に認証関係の設定が，/usr/local/etc/courier-imap に imap/pop 関係の設定ファイル等が置かれる.

まず認証関係を整理しよう.
認証機構そのものの設定については /usr/local/etc/authlib に設定ファイルを用意して云々…となるのだが，今回は userdb しか選んでいないこともあって特に設定は不要な状態である. 

&ref(/materials/notes.png); 次に，over TLS/SSL で使う自己認証証明書(courier-imap はこれを要する)を作る.
先に作った鍵と証明書とは違う機能のものなので，新たに作ろう(変換も可能とは思うが).

方法は簡単で，まず /usr/local/etc/courier-imap にサンプルとしておいてあるimapd.cnf.dist と pop3d.cnf.dist をコピーして  imapd.cnf と pop3d.cnf というファイルを作り，中をみて [ req_dn ] 以下の部分を自分のサーバにあわせて適切に編集する.
具体的には
  cd /usr/local/etc/courier-imap
  cp imapd.cnf.dist imapd.cnf
  cp pop3d.cnf.dist pop3d.cnf
  chmod u+w *.cnf
  emacs imapd.cnf
  emacs pop3d.cnf

という感じだ. [ req_dn ] については以前に SSL 証明書を作ったときの説明を読もう．

それから，
  cd /usr/local/share/courier-imap/
  ./mkimapdcert
  ./mkpop3dcert

とすると，/usr/local/share/courier-imap/ に imapd.pem, pop3d.pem という自己認証証明書ができる.
ファイル名も場所も特に変更を要しないので，これで証明書の作成はおわり.

次に，IMAP 本体の設定を行おう. 
&ref(/materials/warning.png);いつものように念の為バックアップをとってから.
/usr/local/etc/courier-imap の imapd というファイルを編集して，項目の "IMAP_CAPABILITY" と "IMAP_CAPABILITY_TLS" を認証ありに修正する.
具体的には，

>  IMAP_CAPABILITY="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 AUTH=CRAM-SHA1 AUTH=CRAM-SHA256 IDLE"

>  IMAP_CAPABILITY_TLS="$IMAP_CAPABILITY AUTH=PLAIN AUTH=LOGIN"

の二カ所を修正(画面の都合で折り返しているが，各々 1行ずつなので注意)すればよい. 
各々，デフォルト値から変わった部分を見れば何をしたかはわかるだろう. ちなみに二つ目の最後の AUTH=LOGIN は(適当だが) MS 対策である.

あと，POP サーバも使いたいならば，とりあえず同様に pop3d というファイル(編集するならバックアップしてから)の中の2箇所を
>  POP3AUTH="LOGIN CRAM-MD5 CRAM-SHA1"
>  POP3AUTH_TLS="LOGIN PLAIN"

と修正しておけばよい.

さて，あとは IMAP サーバの起動準備であるが，これは情報がどうにも少ない.
しかたないので，courier-imap インストール時のメッセージを読むと，最後の方に

>  This port has installed the following startup scripts which may cause
>  …略…

とあるので，実際はこれらのスクリプトが起動操作を行うのだということはわかる.
そして念の為に /usr/local/etc/rc.d ディレクトリを覗いてみると，これらは確かにあり，かつ，他に courier-authdaemond というファイルもあり, これも同様の役割を担うことが推測できる.

そこでこれらのファイルのうち，IMAP/POP サーバの起動に関連しそうなスクリプト "courier-authdaemond", "courier-imap-imapd", "courier-imap-imapd-ssl", "courier-imap-pop3d", "courier-imap-pop3d-ssl" の5つを直に読んでみよう.
すると，例えば courier-authdaemond には
>  # Define these courier_authdaemond_* variables in one of these files:
>  #       /etc/rc.conf
>  #       /etc/rc.conf.local
>  #       /etc/rc.conf.d/courier_authdaemond
>  #
>  # DO NOT CHANGE THESE DEFAULT VALUES HERE
>  &br;
>  courier_authdaemond_enable=${courier_authdaemond_enable-"NO"}   # Run courier-authdaemond
>  (YES/NO).

と書いてあり，どうやら /etc/rc.conf に courier_authdaemond_enable="YES" と記述すれば良さそうだということが推測できる.
同様に他のスクリプトファイルにも記述があり，これらを総合すると /etc/rc.conf に
>  # for IMAP
>  courier_authdaemond_enable="YES"
>  courier_imap_imapd_enable="YES"
>  courier_imap_imapd_ssl_enable="YES"
>  courier_imap_pop3d_enable="YES"
>  courier_imap_pop3d_ssl_enable="YES"

などと書き込むのが良さそうだということが推測できる. 

&ref(/materials/notes.png); 上のように書き込み，念の為にリブートしておこう.
その後，lsof などを用いて imapd が動いていることを確認しよう. 具体的には，
  lsof -i4 | grep -i courier
として出力をみたときに，

> couriertc 1103  root    3u  IPv4 0xc3ee59e0      0t0     TCP *:pop3s (LISTEN)
> couriertc 1112  root    3u  IPv4 0xc3ee5768      0t0     TCP *:pop3 (LISTEN)
> couriertc 1122  root    3u  IPv4 0xc3ee54f0      0t0     TCP *:imaps (LISTEN)
> couriertc 1132  root    3u  IPv4 0xc3ee5278      0t0     TCP *:imap (LISTEN)

というように，imap, imaps, pop3, pop3s の4つが出てくればよい．
imapd や pop3d が動いていないようならばもう一度設定を見直そう.

** IMAP 用のユーザ情報の登録 [#jb182cbb]

今回は userdb でパスワード照合を行うようにインストールしたので, IMAP 用にユーザ情報を登録しておかないといけない.
&ref(/materials/notes.png); 以下の手順でユーザ情報の登録作業を行おう．
より詳しく知りたい者は，http://www.courier-mta.org/FAQ.html などを参照のこと.

+ まず空のディレクトリ /usr/local/etc/userdb を作成する.
    cd /usr/local/etc
    mkdir userdb
    chmod 700 ./userdb
などとすればよい.
+ (パスワード以外の)ユーザ情報を登録する
-- /etc/passwd から作る方法
既にシステムのユーザでもあるならば簡単でおすすめ. こちらでやろう.
pw2userdb コマンドを用いて
  cd /usr/local/etc/userdb/
  pw2userdb | grep ユーザ名 >> ./users
とすればよい.
--  零から作る方法.
userdb コマンドで直接いろいろ指定する方法. ちょい面倒. 
  userdb "john@example.com" set home=/home/vmail \
  mail=/home/vmail/Maildir-john-example  uid=UUU gid=GGG"
などとする方法. 
+ パスワードを設定する.
  cd /usr/local/etc/userdb
  userdbpw -hmac-md5 | userdb users/ユーザ名 set hmac-md5pw
とすればよい. この hmac-md5 というのが CRAM-MD5 で利用される.
うまくいっているかどうか，users ファイルをぱっと読んで確認しておこう.
+ 追加，変更箇所を有効にする.
  makeuserdb
とすればよい.

この手順はいかにも面倒だし，間違えやすそうで心配だ.
そこで，きちんと登録されているか確認しておこう．
&ref(/materials/warning.png); courier用パスワードがきちんと登録されているかチェックするツール( courierpasswd )をインストールしよう．
(いつものように psearch で探したとして)具体的には
  portinstall security/courierpasswd
でインストールできる．
この時のインストールログをみると，

>  #############################################################
>  &br;
>    You should set the following build option.
>  &br;
>    MINUID=uid
>          Accounts with uids below this value cannot have
>          their passwords changed. Default value is 100.
>  &br;
>  #############################################################

>  #############################################################
>  NOTES FOR RUNNING COURIERPASSWD
>  &br;
>  In order to use courierpasswd, it must be able to access the
>  authdaemon domain socket, named 'socket'. When courierpasswd runs as
>  root, this presents no problem. However, if you need to run courierpasswd
>  as a non-root user, you have three options, all of which require some
>  manual work.
>  &br;
>  Option 1: Add the user courierpasswd will run as to the group that
>  owns the authdaemon socket directory in /etc/group. More than one user
>  can be added to the group vector in this way. This arrangement works
>  well if courierpasswd will be run by only a small number of users.
>  If the authdaemon socket directory is owned by courier:courier and you
>  run courierpasswd as user vmail, your /etc/group file will have a line
>  something like this:
>  &br;
>      courier:x:465:vmail
>  &br;
>  Option 2: Some programs, such as tcpserver, allow you to separately set
>  the uid and gid of programs they call but don't honour the group vector
>  found in /etc/group. If you invoke courierpasswd from such a program,
>  set the gid to the group ownership of the authdaemon socket directory.
>  For tcpserver, you could do something like this:
>  &br;
>      #!/bin/sh
>  &br;
>      QMAILUID=`/usr/bin/id -u qmaild`
>      COURIERGID=`/usr/bin/id -g courier`
>  &br;
>      exec /usr/local/bin/tcpserver -u "$QMAILUID" -g "$COURIERGID" \
>      0 smtp /var/qmail/bin/qmail-smtpd /usr/local/sbin/courierpasswd -- \
>      /usr/bin/true 2>&1
>  &br;
>  Option 3: Change the permissions on courierpasswd to set gid to the
>  group ownership of the socket directory. Again, if the socket directory
>  is owned by courier:courier, change the ownership and permissions
>  of courierpasswd like so:
>  &br;
>      chgrp courier courierpasswd
>      chmod g+s courierpasswd
>  &br;
>  Be aware that courierpasswd does not provide any max-failed-retry
>  functionality so it is possible for local users to perform dictionary
>  attacks against account passwords if courierpasswd is set up this way.
>  &br;
>  The location of the authdaemon domain socket is listed in the
>  authdaemonrc configuration file as the parameter authdaemonvar.
>  &br;
>  ##############################################################

と書いてある．
前者は，「uid が(デフォルトでは)100以下のユーザのパスワードは書き換えられないようになっているよ」というものであり，通常は問題ないだろう．
後者は，courierpasswd をスーパーユーザ以外が使いたい場合はそのままではまずいので，以下のようにして解決せよと方法を3つばかり示している．
ただし，今回はスーパーユーザでしか利用しないので，問題ないだろう．

さて，インストールできたら，
  printf 'ユーザ名\0パスワード\0' | courierpasswd --stderr --stdin --verbose --cramtype md5

として登録を確かめよう．

>  Username is: &color(blue){入力したユーザ名};
>  Password is: &color(blue){入力したパスワード};
>  Authenticated for user &color(blue){入力したユーザ名};

というように，"Authenticated" と出れば大丈夫だ．逆に，なにか失敗しているときは最後が
>  Authentication failuer for user &color(blue){入力したユーザ名};

となるので，その場合は最初に遡ってやり直そう．
やり直しをするならば，今回は対象ユーザが1人しかいないので， users というファイルを消してしまって，pw2userdb からやり直せばよいだろう．

** courier-imap の動作確認 [#ab1b5fa2]

SMTP Auth の時と同様に，2つの文字端末エミュレータを用意して動作確認を行う.

ただし，動作確認でもたついていると courier-imap サーバが接続を切ってしまうので，これに余裕を持たせておきたい.
&ref(/materials/notes.png); そのための準備を先にしておこう. 具体的には，/usr/local/etc/courier-imap/imapd ファイルの
>  IMAP_IDLE_TIMEOUT=60

という部分が「60秒反応がなければ切断」という意味なので，この 60 を適当に増やしておけばよい.
例えば 180 ぐらいにすれば問題ないだろう.

なお，このファイルを編集したら courier-imap サーバを一旦停めて再度動かさないといけないのでそうしておこう. 
具体的には

  /usr/local/etc/rc.d/courier-imap-imapd stop
  /usr/local/etc/rc.d/courier-imap-imapd start

としておけばよい.

&ref(/materials/notes.png); さて，では SMTP Auth の時と同じようにテストしてみよう.
''Shell-A'' で，telnet localhost 143 とすると

>  Trying 127.0.0.1...
>  Connected to localhost.
>  Escape character is '^]'.
>  * OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA  AUTH=CRAM-MD5 AUTH=CRAM-SHA1 AUTH=CRAM-SHA256 IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2008 Double Precision, Inc.  See COPYING for distribution information.

などと言ってくる. ここで，
>  a authenticate cram-md5

と入力すると
>  + PG5hbmlrYS1pbWFwQHNlcnZlcj4=

などとサーバから文字列が送られてくる.

この文字列 ''PG5hbmlrYS1pbWFwQHNlcnZlcj4='' に対して，前回と同様に ''Shell-B''で userdb-test-cram-md5 コマンドを使って返答用文字列を作る.
例えば次のようになるだろう.
>  Username? testuser &color(blue){← IMAP 用に登録したユーザ名};
>  Password? password &color(blue){← IMAP 用に登録したパスワード};
>  Send: AUTH CRAM-MD5 (or for imap, A AUTHENTICATE CRAM-MD5)
>  Paste the challenge here:
>  + PG5hbmlrYS1pbWFwQHNlcnZlcj4= &color(blue){← 今の文字列を張り付ける};
>  Send this response:
>  dGVzdHVzZXIgYjlkMDA5MzQ4YmVjMzlkNzcwMWU4MWRiZWE3NmZhN2M=  &color(blue){← 結果が返ってくる};

この最後の文字列 ''dGVzdHVzZXIgYjlkMDA5MzQ4YmVjMzlkNzcwMWU4MWRiZWE3NmZhN2M='' が IMAP サーバに出すべき返事になるので，これを ''Shell-A'' での作業の続きに張り付けて返答とする.

そして
>  a OK LOGIN Ok.

となれば，IMAP サーバの認証が通ったということになり，動作が確認できたことになる.
あとはいつものように ^] としてから quit とすれば抜けられる.

なお，POP サーバを立ち上げたならば同様にテストが可能である.
その際は
  telnet localhost 110
とすると，
>  Trying 127.0.0.1...
>  Connected to localhost.
>  Escape character is '^]'.
>  +OK Hello there.

となるので，ここで
>  capa 

と入力すると
> SASL CRAM-MD5 CRAM-SHA
> STLS
> TOP
> USER
> LOGIN-DELAY 10
> PIPELINING
> UIDL
> IMPLEMENTATION Courier Mail Server
> .

と応答が返ってくる.
ここで
>  auth cram-md5

と入力すると
>  + PG5hbmlrYS1pbWFwQHNlcnZlcj4=

などとサーバから文字列が送られてくるので，
これに userdb-test-cram-md5 コマンドで返答用文字列を作成して張り付けると
> +OK logged in.

と認証されるという流れになる.  

&ref(/materials/notes.png); 余裕があれば適当な MUA で IMAP サーバに接続してみよう.
さらに余裕があれば，IMAP over TLS/SSL 設定でサーバに接続してみよう.

* レポート [#k98f188f]
途中で「調べよ」等と指示された事項について調査を行い，報告せよ.
もちろん各自の

+ 所属(学部，学科)
+ 学籍番号
+ 学年
+ 氏名
+ 日時
+ 肝心のレポート内容(得た知見，作業について気づいたこと等)

を書くのを忘れないように.


* about Icons, ClipArts [#iade841a]
Some icons in this page are downloadable at [[ICONFINDER:http://www.iconfinder.net/]].

The "note" icon &ref(/materials/notes.png); designed by [[Marco Martin:http://www.notmart.org/]] is distributed with the LGPL licence,
the "warning" icon &ref(/materials/warning.png); designed by [[Alexandre Moore:http://nuovext.pwsp.net/]] with the GPL licence
and the "triangle" icon &ref(/materials/JNorth_arrow-right-sm.png); designed by [[Joseph North:http://sweetie.sublink.ca/]] is distributed with the [[Creative Commons (Attribution-Noncommercial-Share Alike 3.0 Unported):http://creativecommons.org/licenses/by-nc-sa/3.0/]] licence.

Some clip arts used in this page are downloadable at [[Open Clip Art Library:http://www.openclipart.org/]].
We deeply appreciate their superb works. With licence, they describe that "the actual clipart content on open clipart library is Public domain" in the web.

// ━┃┏┓┛┗┣┳┫┻╋


// コマンドライン入力は「行頭をブランクで始める」.
// コマンドライン出力は「行頭を > で始める」.

// 実習アイコン
// &ref(/materials/notes.png);

// 注意アイコン
// &ref(/materials/warning.png);

// Link アイコン
// &ref(/materials/JNorth_arrow-right-sm.png);

// OK アイコン
// &ref(/materials/OK.png);

// NG アイコン
// &ref(/materials/NG.png);

// 大文字での強調
// CENTER:&size(24){''ほげほげ''};

// programu source 表記
// #highlighter(language=ruby,number=on,cache=on){{}}