授業資料/10

いつものチェック
(遅れている人は) 時間を取って追いつく，復習しよう
IMAP/POP を使ってみる
レポート
about Icons, ClipArts

いつものチェック †

いつものように，システムについてまずい点がないかチェック，対応しよう．
具体的には，以前も示した次のコマンドを使うことになる．

freebsd-update
portsnap
portaudit

ただし，portaudit で出てくる警告にすぐ対応すべきかどうかは判断が難しい．セキュリティ上の問題がどれくらいか，ports 等のバージョンアップが間に合っているか，バージョンアップに伴う問題が無いか等々，事前に簡単にで良いので検討してから作業をしよう．

↑

(遅れている人は) 時間を取って追いつく，復習しよう †

そろそろ内容的に遅れている人が出てくる時期なので，今回の作業内容を少なくしてある．
遅れている人や，内容がイマイチ理解できてなかった人はこの機会を活かして復習，再作業等を行おう．

↑

IMAP/POP を使ってみる †

さて，ユーザ宛に届いたメールを MUA に渡すのに広く使われている POP/IMAP のサーバについても触れよう.
いまだ広く使われている POP，ユーザにとっては便利だがサーバへの負担が高めのために商業ベースではなかなか用いられない IMAP，と大まかに言える.
ここでは，将来的なことも考えて IMAP サーバについて学習してみよう. ちなみに，POP サーバは IMAP サーバに比べれば単純なので，IMAP サーバが扱えればPOP サーバについては困らないだろう.

さて，IMAP サーバとしては courier-imap が広く使われているので授業でもこれを用いよう.
なお，courier-imap をインストールすると一緒に courier-pop もインストールされるので，POP サーバをインストールしたい，というときに courier-imap を選択してもよい.

↑

courier-imap のインストール(これは前回既にやってある) †

↑

courier-imap の設定 †

さて，インストールが済むと /usr/local/etc/authlib に認証関係の設定が，/usr/local/etc/courier-imap に imap/pop 関係の設定ファイル等が置かれる.

まず認証関係を整理しよう.
認証機構そのものの設定については /usr/local/etc/authlib に設定ファイルを用意して云々…となるのだが，今回は userdb しか選んでいないこともあって特に設定は不要な状態である.

次に，over TLS/SSL で使う自己認証証明書(courier-imap はこれを要する)を作る.
先に作った鍵と証明書とは違う機能のものなので，新たに作ろう(変換も可能とは思うが).

方法は簡単で，まず /usr/local/etc/courier-imap にサンプルとしておいてあるimapd.cnf.dist と pop3d.cnf.dist をコピーして imapd.cnf と pop3d.cnf というファイルを作り，中をみて [ req_dn ] 以下の部分を自分のサーバにあわせて適切に編集する.
具体的には

 cd /usr/local/etc/courier-imap
 cp imapd.cnf.dist imapd.cnf
 cp pop3d.cnf.dist pop3d.cnf
 chmod u+w *.cnf
 emacs imapd.cnf
 emacs pop3d.cnf

という感じだ. [ req_dn ] については以前に SSL 証明書を作ったときの説明を読もう．

それから，

 cd /usr/local/share/courier-imap/
 ./mkimapdcert
 ./mkpop3dcert

とすると，/usr/local/share/courier-imap/ に imapd.pem, pop3d.pem という自己認証証明書ができる.
ファイル名も場所も特に変更を要しないので，これで証明書の作成はおわり.

次に，IMAP 本体の設定を行おう.
いつものように念の為バックアップをとってから.
/usr/local/etc/courier-imap の imapd というファイルを編集して，項目の "IMAP_CAPABILITY" と "IMAP_CAPABILITY_TLS" を認証ありに修正する.
具体的には，

IMAP_CAPABILITY="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 AUTH=CRAM-SHA1 AUTH=CRAM-SHA256 IDLE"

IMAP_CAPABILITY_TLS="$IMAP_CAPABILITY AUTH=PLAIN AUTH=LOGIN"

の二カ所を修正(画面の都合で折り返しているが，各々 1行ずつなので注意)すればよい.
各々，デフォルト値から変わった部分を見れば何をしたかはわかるだろう. ちなみに二つ目の最後の AUTH=LOGIN は(適当だが) MS 対策である.

あと，POP サーバも使いたいならば，とりあえず同様に pop3d というファイル(編集するならバックアップしてから)の中の2箇所を

POP3AUTH="LOGIN CRAM-MD5 CRAM-SHA1"

POP3AUTH_TLS="LOGIN PLAIN"

と修正しておけばよい.

さて，あとは IMAP サーバの起動準備であるが，これは情報がどうにも少ない.
しかたないので，courier-imap インストール時のメッセージを読むと，最後の方に

This port has installed the following startup scripts which may cause

…略…

とあるので，実際はこれらのスクリプトが起動操作を行うのだということはわかる.
そして念の為に /usr/local/etc/rc.d ディレクトリを覗いてみると，これらは確かにあり，かつ，他に courier-authdaemond というファイルもあり, これも同様の役割を担うことが推測できる.

そこでこれらのファイルのうち，IMAP/POP サーバの起動に関連しそうなスクリプト "courier-authdaemond", "courier-imap-imapd", "courier-imap-imapd-ssl", "courier-imap-pop3d", "courier-imap-pop3d-ssl" の5つを直に読んでみよう.
すると，例えば courier-authdaemond には

# Define these courier_authdaemond_* variables in one of these files:

# /etc/rc.conf

# /etc/rc.conf.local

# /etc/rc.conf.d/courier_authdaemond

#

# DO NOT CHANGE THESE DEFAULT VALUES HERE

courier_authdaemond_enable=${courier_authdaemond_enable-"NO"} # Run courier-authdaemond

(YES/NO).

と書いてあり，どうやら /etc/rc.conf に courier_authdaemond_enable="YES" と記述すれば良さそうだということが推測できる.
同様に他のスクリプトファイルにも記述があり，これらを総合すると /etc/rc.conf に

# for IMAP

courier_authdaemond_enable="YES"

courier_imap_imapd_enable="YES"

courier_imap_imapd_ssl_enable="YES"

courier_imap_pop3d_enable="YES"

courier_imap_pop3d_ssl_enable="YES"

などと書き込むのが良さそうだということが推測できる.

上のように書き込み，念の為にリブートしておこう.
その後，lsof などを用いて imapd が動いていることを確認しよう. 具体的には，

 lsof -i4 | grep -i courier

として出力をみたときに，

couriertc 1103 root 3u IPv4 0xc3ee59e0 0t0 TCP *:pop3s (LISTEN)

couriertc 1112 root 3u IPv4 0xc3ee5768 0t0 TCP *:pop3 (LISTEN)

couriertc 1122 root 3u IPv4 0xc3ee54f0 0t0 TCP *:imaps (LISTEN)

couriertc 1132 root 3u IPv4 0xc3ee5278 0t0 TCP *:imap (LISTEN)

というように，imap, imaps, pop3, pop3s の4つが出てくればよい．
imapd や pop3d が動いていないようならばもう一度設定を見直そう.

↑

IMAP 用のユーザ情報の登録 †

今回は userdb でパスワード照合を行うようにインストールしたので, IMAP 用にユーザ情報を登録しておかないといけない.
以下の手順でユーザ情報の登録作業を行おう．
より詳しく知りたい者は，http://www.courier-mta.org/FAQ.html などを参照のこと.

まず空のディレクトリ /usr/local/etc/userdb を作成する.
```
   cd /usr/local/etc
   mkdir userdb
   chmod 700 ./userdb
```
などとすればよい.
(パスワード以外の)ユーザ情報を登録する
- /etc/passwd から作る方法
  既にシステムのユーザでもあるならば簡単でおすすめ. こちらでやろう.
  pw2userdb コマンドを用いて
```
 cd /usr/local/etc/userdb/
 pw2userdb | grep ユーザ名 >> ./users
```
  とすればよい.
- 零から作る方法.
  userdb コマンドで直接いろいろ指定する方法. ちょい面倒.
```
 userdb "john@example.com" set home=/home/vmail \
 mail=/home/vmail/Maildir-john-example  uid=UUU gid=GGG"
```
  などとする方法.
パスワードを設定する.
```
 cd /usr/local/etc/userdb
 userdbpw -hmac-md5 | userdb users/ユーザ名 set hmac-md5pw
```
とすればよい. この hmac-md5 というのが CRAM-MD5 で利用される.
うまくいっているかどうか，users ファイルをぱっと読んで確認しておこう.
追加，変更箇所を有効にする.
```
 makeuserdb
```
とすればよい.

この手順はいかにも面倒だし，間違えやすそうで心配だ.
そこで，きちんと登録されているか確認しておこう．
courier用パスワードがきちんと登録されているかチェックするツール( courierpasswd )をインストールしよう．
(いつものように psearch で探したとして)具体的には

 portinstall security/courierpasswd

でインストールできる．
この時のインストールログをみると，

#############################################################

You should set the following build option.

MINUID=uid

Accounts with uids below this value cannot have

their passwords changed. Default value is 100.

#############################################################

#############################################################

NOTES FOR RUNNING COURIERPASSWD

In order to use courierpasswd, it must be able to access the

authdaemon domain socket, named 'socket'. When courierpasswd runs as

root, this presents no problem. However, if you need to run courierpasswd

as a non-root user, you have three options, all of which require some

manual work.

Option 1: Add the user courierpasswd will run as to the group that

owns the authdaemon socket directory in /etc/group. More than one user

can be added to the group vector in this way. This arrangement works

well if courierpasswd will be run by only a small number of users.

If the authdaemon socket directory is owned by courier:courier and you

run courierpasswd as user vmail, your /etc/group file will have a line

something like this:

courier:x:465:vmail

Option 2: Some programs, such as tcpserver, allow you to separately set

the uid and gid of programs they call but don't honour the group vector

found in /etc/group. If you invoke courierpasswd from such a program,

set the gid to the group ownership of the authdaemon socket directory.

For tcpserver, you could do something like this:

#!/bin/sh

QMAILUID=`/usr/bin/id -u qmaild`

COURIERGID=`/usr/bin/id -g courier`

exec /usr/local/bin/tcpserver -u "$QMAILUID" -g "$COURIERGID" \

0 smtp /var/qmail/bin/qmail-smtpd /usr/local/sbin/courierpasswd -- \

/usr/bin/true 2>&1

Option 3: Change the permissions on courierpasswd to set gid to the

group ownership of the socket directory. Again, if the socket directory

is owned by courier:courier, change the ownership and permissions

of courierpasswd like so:

chgrp courier courierpasswd

chmod g+s courierpasswd

Be aware that courierpasswd does not provide any max-failed-retry

functionality so it is possible for local users to perform dictionary

attacks against account passwords if courierpasswd is set up this way.

The location of the authdaemon domain socket is listed in the

authdaemonrc configuration file as the parameter authdaemonvar.

##############################################################

と書いてある．
前者は，「uid が(デフォルトでは)100以下のユーザのパスワードは書き換えられないようになっているよ」というものであり，通常は問題ないだろう．
後者は，courierpasswd をスーパーユーザ以外が使いたい場合はそのままではまずいので，以下のようにして解決せよと方法を3つばかり示している．
ただし，今回はスーパーユーザでしか利用しないので，問題ないだろう．

さて，インストールできたら，

 printf 'ユーザ名\0パスワード\0' | courierpasswd --stderr --stdin --verbose --cramtype md5

として登録を確かめよう．

Username is: 入力したユーザ名

Password is: 入力したパスワード

Authenticated for user 入力したユーザ名

というように，"Authenticated" と出れば大丈夫だ．逆に，なにか失敗しているときは最後が

Authentication failuer for user 入力したユーザ名

となるので，その場合は最初に遡ってやり直そう．
やり直しをするならば，今回は対象ユーザが1人しかいないので， users というファイルを消してしまって，pw2userdb からやり直せばよいだろう．

↑

courier-imap の動作確認 †

SMTP Auth の時と同様に，2つの文字端末エミュレータを用意して動作確認を行う.

ただし，動作確認でもたついていると courier-imap サーバが接続を切ってしまうので，これに余裕を持たせておきたい.
そのための準備を先にしておこう. 具体的には，/usr/local/etc/courier-imap/imapd ファイルの

IMAP_IDLE_TIMEOUT=60

という部分が「60秒反応がなければ切断」という意味なので，この 60 を適当に増やしておけばよい.
例えば 180 ぐらいにすれば問題ないだろう.

なお，このファイルを編集したら courier-imap サーバを一旦停めて再度動かさないといけないのでそうしておこう.
具体的には

 /usr/local/etc/rc.d/courier-imap-imapd stop
 /usr/local/etc/rc.d/courier-imap-imapd start

としておけばよい.

さて，では SMTP Auth の時と同じようにテストしてみよう.
Shell-A で，telnet localhost 143 とすると

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 AUTH=CRAM-SHA1 AUTH=CRAM-SHA256 IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2008 Double Precision, Inc. See COPYING for distribution information.

などと言ってくる. ここで，

a authenticate cram-md5

と入力すると

+ PG5hbmlrYS1pbWFwQHNlcnZlcj4=

などとサーバから文字列が送られてくる.

この文字列 PG5hbmlrYS1pbWFwQHNlcnZlcj4= に対して，前回と同様に Shell-Bで userdb-test-cram-md5 コマンドを使って返答用文字列を作る.
例えば次のようになるだろう.

Username? testuser ← IMAP 用に登録したユーザ名

Password? password ← IMAP 用に登録したパスワード

Send: AUTH CRAM-MD5 (or for imap, A AUTHENTICATE CRAM-MD5)

Paste the challenge here:

+ PG5hbmlrYS1pbWFwQHNlcnZlcj4= ← 今の文字列を張り付ける

Send this response:

dGVzdHVzZXIgYjlkMDA5MzQ4YmVjMzlkNzcwMWU4MWRiZWE3NmZhN2M= ← 結果が返ってくる

この最後の文字列 dGVzdHVzZXIgYjlkMDA5MzQ4YmVjMzlkNzcwMWU4MWRiZWE3NmZhN2M= が IMAP サーバに出すべき返事になるので，これを Shell-A での作業の続きに張り付けて返答とする.

そして

a OK LOGIN Ok.

となれば，IMAP サーバの認証が通ったということになり，動作が確認できたことになる.
あとはいつものように ^] としてから quit とすれば抜けられる.

なお，POP サーバを立ち上げたならば同様にテストが可能である.
その際は

 telnet localhost 110

とすると，

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

+OK Hello there.

となるので，ここで

capa

と入力すると

SASL CRAM-MD5 CRAM-SHA

STLS

TOP

USER

LOGIN-DELAY 10

PIPELINING

UIDL

IMPLEMENTATION Courier Mail Server

.

と応答が返ってくる.
ここで

auth cram-md5

と入力すると

+ PG5hbmlrYS1pbWFwQHNlcnZlcj4=

などとサーバから文字列が送られてくるので，
これに userdb-test-cram-md5 コマンドで返答用文字列を作成して張り付けると

+OK logged in.

と認証されるという流れになる.

余裕があれば適当な MUA で IMAP サーバに接続してみよう.
さらに余裕があれば，IMAP over TLS/SSL 設定でサーバに接続してみよう.

↑

レポート †

途中で「調べよ」等と指示された事項について調査を行い，報告せよ.
もちろん各自の

所属(学部，学科)
学籍番号
学年
氏名
日時
肝心のレポート内容(得た知見，作業について気づいたこと等)

を書くのを忘れないように.

↑

about Icons, ClipArts †

Some icons in this page are downloadable at ICONFINDER.

The "note" icon designed by Marco Martin is distributed with the LGPL licence,
the "warning" icon designed by Alexandre Moore with the GPL licence
and the "triangle" icon designed by Joseph North is distributed with the Creative Commons (Attribution-Noncommercial-Share Alike 3.0 Unported) licence.

Some clip arts used in this page are downloadable at Open Clip Art Library.
We deeply appreciate their superb works. With licence, they describe that "the actual clipart content on open clipart library is Public domain" in the web.

授業資料/10

いつものチェック †

(遅れている人は) 時間を取って追いつく，復習しよう †

IMAP/POP を使ってみる †

courier-imap のインストール(これは前回既にやってある) †

courier-imap の設定 †

IMAP 用のユーザ情報の登録 †

courier-imap の動作確認 †

レポート †

about Icons, ClipArts †

Menu