imap4-SSL サーバ構築。

1月 302008
 

JailBreak をやめた iPod に「ソフトウェアアップグレード」したら SSH トンネルが使えないので imap4 を SSL 化する必要がでてきた。

と、言うことで自宅のサーバを imap4-SSL に対応にしてみた。

うちで動作しているサーバは FreeBSD の 6 系 STABLE で ports は 最新の ports-current を追いかけている。動作しているメール環境は sendmail+procmail と courier-imap。つまり、Maildir 形式を利用していることになります。

メールの送信はこの際やめておこう(つまり sendmail の SSL 化は止めておこうと言う意味です(^^;)。iPod Touch でもメールの送信が可能で SMTP サーバを設定する項目はあるのだけど、無線アクセスポイントを利用したときにメールを送信する可能性が有るのかと言えば、あんまりない・・。メールの送信は携帯でやることにしよう(^^;;。

と、言うことで imap4 サーバと pop3 サーバのみを SSL 化することにした。

さてと courier-imap を SSL 対応するのだけど、あまりにも簡単なので驚いた。sendmail+procmail で Maildir 形式に対応した後 ports から courier-imap をインストールするんだけど、courier-authlib と courier-authlib-base も合わせてインストールされます。

全部で以下がインストールされます。courier-imap ってどっかのバージョンで認証方法ががらっと変わったので設定方法も思いっきり変わりました。今回は courier-imap-4.3.0 についてです。

courier-authlib-0.60.2
courier-authlib-base-0.60.2
courier-imap-4.3.0,2

ふつーの imapd と pop3d は現在ではもう既に動いているのですが、インストールは ports を make install しただけで動き出します。すごいっ!! そして Maildir 形式にするには procmail もインストールして /usr/local/etc/procmailrc は以下のように一行だけ書く必要がるんだけど・・。

DEFAULT=$HOME/Maildir/

 
けど、そーすると sendmail.cf も procmail に対応する必要があるなぁ。/etc/mail/freebsd.mc に以下の行を追加して、/etc/mail で make を実行すれば新しい sendmail.cf と submit.cf ができますので、これで sendmail は MDA に procmail を利用して Maildir に配達てくれるようになるでしょう。

# procmail を利用するための設定
FEATURE(`local_procmail',`/usr/local/bin/procmail',`procmail -a $h -d $u')

 
make install したらすぐに使える courier-imap だけど imapd の設定は一ヶ所だけ直しました。Thunderbird を使っているとセッションが足りないとか言われるので同一 IP から受け付ける imap のセッション数を増やす必要があります。以下の設定にすれば大丈夫。

#MAXPERIP=4
MAXPERIP=20

 
続いて imap-SSL と pop3d の設定についてですが、こぉれもちょー簡単。結局なぁんもやること無く動き出してしまった。と、言うのは語弊があるんだけど /usr/local/etc/courier-imap/ の下の imapd.cnf と pop3d.cnf を書いてあげる必要があります。これは SSL の証明書を記述するファイルです。自分のサーバに合ったものに書き直してあげましょう。

二つのファイルが準備できたら後は以下のコマンドを実行します。

# cd /usr/local/share/courier-imap/
# ./mkimapdcert
# ./mkpop3dcert

 
上記コマンドを実行すると /usr/local/share/courier-imap/ 内に imapd.pem と pop3d.pem と言う証明書が作成されます。後は /usr/local/etc/rc.d/ にある courier-imap-imapd-ssl.sh と courier-imap-pop3d-ssl.sh を実行して起動するだけ。あ、当然、/etc/rc.conf は編集してね;-)。

iPod Touch で接続する前に、まず Thunderbird などで SSL 接続できるか、また、証明書の塩梅を確認してみるのが良いでしょう。非常に簡単に iPod Touch 対応の imap-SSL サーバができてしまいました;-)。

と、言うことで認証のことを書くのを忘れてしました(^^;;。courier-imap の認証部分は courier-authlib がやってくれています。僕はメールを受信するユーザを作成しているので認証は /etc/passwd でやることになります。認証の設定は /usr/local/etc/authlib/authdaemonrc でやるのですが、/etc/passwd で認証するのであればどこも変更する必要はありません。

ただ、/etc/passwd の方ではメールを受信するだけのユーザの場合は shell の設定は /sbin/nologin にしておいたほうが安心でしょう。後は /etc/mail/alias を上手に使うと言う感じですかねぇ。

pxeboot。サーバは FreeBSD/amd 7.0-PRERELEASE で。

1月 252008
 

DELL X200 と言う NotePC の HDD が逝ったみたいなので交換した。付属の IEEE/1394 の CD-ROM で CD ブートしてインストールしようと思ったのだけど壊れているみたいだったので FD ブートも試したんだけど全然ダメだったので、結局 pxeboot することにした。

NotePC にインストールする OS は FreeBSD/i386 6.3-RELEASE、pxeboot の tftpd・dhscpd・NFS などのサーバ側は FreeBSD/amd64 7.0-PRERELEASE と言う、最新の環境でやることになってしまった。

google などで FreeBSD と pxeboot で検索すると設定はごまんと出てくるのでここではその詳細については割愛するが、はまった所だけ書いておきます。

まず、サーバ側で設定する必要のあるのは以下です。

・DHCPサーバ(/usr/ports/net/isc-dhcp3-server をインストールし /usr/local/etc/dhcpd.conf を編集)
・tftpdサーバ(inetd を起動し /etc/inetd.conf を編集)
・NFSサーバの設定(/etc/exports を編集)

ここまで来たらほぼ完成なんですけど、ここからはまった道。

まずはそのいち。 /etc/hosts.allow には tftpd の許可設定をちゃんと書きましょう。これ書かないと NotePC の PXE はタイムアウトします。

tftpd : localhost                 : allow
tftpd : 127.0.0.1                 : allow
tftpd : .running-dog.net          : allow
tftpd : 192.168.1.0/255.255.255.0 : allow
#tftpd : [fe80::%re0]/10          : allow
tftpd : [fe80::%re1]/10           : allow
tftpd : ALL : deny

 
続いてそのに。サーバ側ではFTP サーバからダウンロードした 6.3-RELEASE の iso イメージを NFS として公開するために mdconfig で /dev/md4 辺りに対応づけてから mount_cd9660 で /cdrom に mount するんだけど、NFS クライアント側、つまり NotePC の PXE でブートした側では パーミッションが無い。と言われて mount できません。

google で調査した時は NFS のパーミッションについて取り上げている所はどこも無かったので、これは多分 7 系 FreeBSD のみで起こる問題かもしれません。FreeBSD の 7 では NFSv4 対応されたりして NFS 回りは大きく修正が入っています。そのあおりを受けたのかも知れません。

ただ、mdconfig を使った場合、-o ro するときが全部で三箇所あるんですが、それを全てそろえる必要があるのかもしれません。

・mount_cd9660 -o ro /dev/md4 /cdrom
・/etc/expotrs にて ro オプションを指定
・クライアント側の mount_nfs -o ro を指定

けど、結局ダメだったので僕は /cdrom に iso イメージの中身全部をコピーしてしまいました。弱々です・・。

最後にそのさん。これは書いている所が多いですが、PEX ブートするクライアント側ではブート時に OK プロンプトで boot -a と叩いて起動し、その後、UFS が見付からない所で止まったら ufs:/dev/md0c と叩いてから次に進みましょう。

 
後、最後にですけど PXE ブートの環境は普段から持っていると良いかも知れません。今回 NotePC にインストールした FreeBSD はカーネルを作り替えたらまともにブートしなくなってしまうと言う状態が続き、かぁなりナンギしました。

そんなときに PEX ブートして、ちょうど fixed.flp たいな目的で利用できます。 login プロンプトが出たところで root でログインし mount -o rw /dev/ad0s1a /mnt とかすると HDD 内部の変更が可能になるので /boot/loader.conf や /etc/fstab を直したりすることが可能になります。

それにしても今回は楽しい PXE ブート環境構築なのでした;-)。

net-snmp-5.3.2 と /etc/hosts.allow。

1月 112008
 

FreeBSD の ports を cvsup したら net-mgmt/net-snmp が 5.3.1_7 から 5.3.2 になった。

snmpd を再起動して、リモートのマシンもしくは localhost から snmpwalk で接続しても REFUSED され、接続できなくなってしまった。 cat /var/log/snmpd.log してみると接続してくれない状態が良く解るのであるが大体以下のログを出力している。

Connection from UDP: [0.0.0.0]->[192.168.100.1]:-6568 REFUSED

 
ちなみに、 /etc/hosts.allow の設定は 5.3.1_7 の時からしていたのと変更はない。snmpd : ALL : allow はコメントアウトして、snmpd : ALL : deny を付けている。後はアクセスを許可するネットワークやホスト、ドメイン名を allow している設定をしている。

でもって 5.3.2 にした途端に接続できなくなってしまった・・。何回か試行錯誤を繰り返した結果、以下の行を記述すれば接続できることを発見。

snmpd : 0.0.0.0 : allow

 
しかし、なぜに NULL アドレスを設定せねばならんのじゃ? snmpd が IP アドレスを正しく取れていないバクであることは明白であるような気がしてならない・・。とほほ・・。

かくして、自宅サーバは SNMP の取得が復活したでした。ふぅ。

ASUS M2A-VM HDMI の続き。7-STABLE編。

1月 012008
 

新年明けましておめでとうございます。今年も宜しくお願いします。

新年一発目は ASUS M2A-VM HDMI ネタです。 自宅の FreeBSD/amd64 は今まで 6-STABLE だったのですが、7-STABLE にしました。今 cvsup すると 7.0-PRERELEASE になります。

6-STABLE から大きく変わった点としては acpi_ppc.ko が make 出来なくなりました。そして cpufreq.ko + powerd はカーネルが凍り付くことも無くなり安定稼働するようになりました。同じマザーボードに FreeBSD/i386 をインストールしている人は前から cpufreq.ko + powerd は安定稼働しているとのことなので、FreeBSD/amd64 ではようやっと正しい動作をするようになった。と言うことでしょうか。

ちなみに自宅のマシンはメモリを 4GB にしました。うちで稼働している OS は FreeBSD/amd64・WindowsXPx64 なので 4GB のメモリでも有効利用できるのです;-)。

せっかくなので WindowsXP のほうには Microsoft Virtual PC 2007 をインストールして、その上で Windows Server 2003 Enterprise Edition x86 が動いていたりします。こいつにはメモリを 1.5GB も上げると言う贅沢が出来ます;-)。ちなみに Windows Server 2003 EPE の x64 はインストールてきませんでした。32bit OS しかだめみたいです。

さて、新年一発目なのでこの位にしましょう。全然中身が無い、ただのよもやま話になってしまいましたが・・。

今年も宜しくお願いします。

ASUS M2A-VM HDMI の続き。そのさん。

11月 152007
 

さて、ASUS M2A-VM HDMI で FreeBSD を楽しむスレッドのそのさんです。前回は acpi_ppc.ko で Cool’n’Quiet を有効にするお話でした。

今回は IXP SB600 Serial ATA Controller のお話です。ちょっと google していたら、以下の URL を発見。

http://lists.freebsd.org/pipermail/freebsd-bugs/2007-May/024410.html

今まで ASUS M2A-VM HDMI マザーボードと言うか、AMD690G チップセットは UDMA33 で HDD を認識して忌んだけど、上のパッチを適用すると ATA150 で認識するようになってくれた。

こっちがパッチ適用前のメッセージ。

ad4: 239372MB  at ata2-master UDMA33

 
こっちがパッチ適用後のメッセージ。

ad4: 239372MB  at ata2-master SATA150

 
S-ATA なので ad4 と認識されてしまうんだけど、それにしても ようやっと SATA150 になった。僕の 環境は FreeBSD/amd64 6.3-PRERELEASE なんだけど、まだ、CURRENT から降ってきていないみたい。なので、STABLE で利用したい人は上記のパッチを手バッチで自分のソースに当てましょう;-)。

まぁ、一応パッチを書いておきましたけど・・。

http://www.icmpv6.org/Prog/FreeBSD_patches/IXP_SB600SATA-6.3-PRERELEASE.patch

けど、すぐに STABLE に降ってくるんだろうねぇ。

後は、グラフィックチップだなぁ。

SMP カーネルと uptime と CPU クロック。そのに。

11月 062007
 

前回、「SMP カーネルと uptime と CPU クロック。」で書いたことの続き。

SMPカーネルで acpi_ppc を利用した場合、CPU速度が上がらないと言う状態になっていた。ちょっとまとめてみると大体以下のような感じ。

・OS は FreeBSD/amd64 6.2-STABLE。
・cpufreq.ko を使わないで acpi_ppc.ko のみを kldload した場合。
・CPU が DualCore な環境。SMP カーネルであるのだが、 DualCPU ではない環境。

上記の状態の時に発生する現象。

1.make buildworld したとき CPU クロックが Cool’n’Quiet の一番低い速度で動作する。
2.make -j2 buldworld したとき CPU クロックは Cool’n’Quiet の一番高い速度で動作する。

つまり、上の場合はどんなに速い CPU を買って来ても全くもって CPU のフルスペックが利用できない状態に陥る。

ちなみに、シングルプロセスの非常に重いプログラムを動作させた場合も 1. の動作となる。しかし、マルチタスク・マルチスレッドな非常に重いプログラムを実行すると二つの Core を使ってくれるので 2. の状態になる。

これらの情報をもとに acpi_ppc.ko の作者である 福田さん にお伺いしてみました。そしたらその回答として以下の情報を頂きました。

・acpi_ppc.ko はマルチコアな環境に対応していない。
・acpi_ppc は top(1) と同じ動作をする。

との事でした。「top(1) と同じ動作」について少し書いてみたいと思います。

acpi_ppc は cp_time[] という kernel 変数から CPU 使用率を算出しクロックの制御を行なっているそうです。acpi_ppc における Cool’n’Quiet の CPU 速度のアップは CPU 使用率が 98% を超えたら一つ上のクロック設定に上げるようにしているそうなので、シングルプロセッサの場合は特に問題なく Cool’n’Quiet の機能が動作します。

しかし、マルチプロセッサの場合、シングルプロセスの重いプログラムを実行しても top で見る CPU 使用率は 50% のため、いつまで経っても Cool’n’Quiet の一つ上のクロック設定に上がることは無いそうです。当然シングルプロセスの重いプログラムを二つ実行した場合は一つ上のクロック設定に上がるようになります。

以上により acpi_ppc は SMP 環境ではちょっともったいないと言うことになります。しかし、まぁ、言われてみればその通りだなぁ。と言う気はしますが・・。

と、言うことで、僕は色々な場面で make -j2 を付けるようにしました。後、シングルプロセスの重いプログラムを実行する場合は kldunload acpi_ppc することにしました。kldunload acpi_ppc すると CPU 速度は最高速で動作するのでシングルプロセスの場合でも最高速で利用できます;-)。

ちなみに cpufreq.ko はマルチコアに対応していてシングルプロセスの重いプログラムを実行しても CPU 速度は変わるらしいです。まぁ、今回は cpufreq.ko が動作しないマザーボードを買ってしまったのでしょーがないですけど・・。

最後にですが、色々教えてくださった 福田さん。有り難うございました。

SMP カーネルと uptime と CPU クロック。

10月 192007
 

FreeBSD/amd64 6.2-STABLE で cvsup した後に make buildkernel するんだけど、その時に掛かった時間を /usr/bin/time で計ってみた。

Athlon X2 な CPU なので make buildkernel と make -j2 buildkernel の結果を比べてみた。結果は以下の通り。まぁ、2CPU で処理すると大体 1.5 倍の速度と言うことか・・。ちなみにこの時に利用したカーネルは SCHED_4BSD なスケジューラを利用。

1CPU 1380.26 real / 1006.97 user / 362.58 sys
2CPU 864.76 real / 708.34 user / 348.38 sys

で、なんで、こんなことをしたかと言うと、以下の疑問が出てきたから。

・2CPU で make した時の CPU ロードアベレージはちゃんと上がるの?
・1CPU で make しても Cool’n’Quiet の CPU 速度上がらないんだけど・・。

で、これらの疑問を持ちつつ、make 時に -j2 有り、無しを試してみました。その結果、解ったこと。

・2CPU で make -j2 したときの CPU 速度は大体いつも 2GHz 出ている。1CPU の場合は make に時間が掛かるけど Cool’n’Quiet の下の方の CPU 速度で make している。
・2CPU で make -j2 した時の CPU ロードアベレージは 2.6 辺りなんだけど、1CPU での make 時は1.4 位。

ふむぅ・・。つまり、デアルコアな CPU を買って来た場合 SMP カーネル作るけど、何かしらを make する時には -j2 オプション付けないと CPU の能力は半分しか使われていないと言うことがすごーーく良く分かった。

make buildworld や portupgrade の場合、CPU のフルパワーを使って早く終わって欲しいと思うものです。けど、実際には CPU の半分のパワーで make してたんですねぇ。

この件について /etc/make.conf 内に何かしらの設定をすれば 2CPU で make してくれると言う話を聞いたことがあるんだけど、make 時のスケジューリングの問題で make が途中で止まってしまう ports がある。と、話を聞いたこともあるし・・。まだまだ手動で -j2 と付けるしか手が無さそうですなぁ。

ちなみに、今回利用した FreeBSD は本来はデスクトップとして利用されており、KDE3 が起動しています。今回はテストのために X11、hald を停止しての実行でした。

make のために CPU のフルパワーは使っていただけたのでしょうか・・。

ASUS M2A-VM HDMI の続き。そのに。

10月 162007
 

前回は BIOS で Cool’n’Quiet を Enable にしたら FreeBSD はブートしませんよ。って所まで書きました。今回はその続編です。

ASUS のウェブサイトを見ていたら、新しい BIOS が出ていたようなので試してみました。今回試したバージョンは 1301 と 1401。しかし、どちらも Cool’n’Quiet を Enable した場合、やありブートしませんでした。あれま・・。

で、前にも書いた通り、僕は Cool’n’Quiet を有効にするために二つのカーネルモジュールをロードしているのだけど、もしかしたら、カーネルモジュールとの相性かが悪いのかと思い、試してみました。そしたら cpufreq.ko のほうをロードすると FreeBSD がピタっと止まる(つまり凍りつく)ということが解りました。

acpi_ppc.ko のほうは特に問題も無く正常に動作して Cool’n’Quiet が有効になっているような気がします。と、言うことで cpufreq.ko は使わず acpi_ppc.koのみをロードすると無事に FreeBSD は動作します。

ちなみに cpufreq.ko を利用した場合は以下の sysctl MIB で CPU 速度が取れます。

dev.cpu.0.freq: 995
dev.cpu.0.freq_levels: 1791/59000 995/21000

 
しかし、今回は cpufreq.ko はロードせず acpi_cpp.ko をロードするので必要な sysctl MIB は以下になります。

hw.acpi.cpu.px_supported: 2100 2000 1800 1000

 
これだと、実際に動作しているクロックが表示されないので、その場合は acpi_cpp.ko に付属の chkfreq コマンドで実クロックを知ることができます。

いやぁ、それにしても一個問題解決して良かった。後は AMD の 690G が X11 で使えるようになるだけだなぁ。あ、後もう一個あった・・。hw.acpi.thermal.tz0.temperature がいつも同じ値しか返さない所もなんとかせねばならんのだった・・。

NotePC でコンソールを使ってはいけません。

10月 052007
 

NotePC にインストールしてある FreeBSD にシリアルコンソールから入りたいな。と思った。自宅のサーバはシリアルコンソールを有効にするために /boot.config を置き、その中に「-Dh」と記述してあるので、NotePC でも同じことをやった。ちなみにこの NotePC には FreeBSD/i386 6.2-STABLE がインストールしてある。

さて、NotePC に /dev/ulpcom 対応な USB のシリアルポートを接続し /boot.config を用意してからリブートしてみた。所が「|」がくるくる回る所でピタッと止まってしまい、FreeBSD がブートすることは無かった・・X-(。10 分待っても 20 分まってもログインプロンプトが表示されることは無かったのである・・。

/dev/ulpcom で認識されるシリアルポートはカーネルがブートしてロードモジュールが認識してから tty が有効になるのだが、ブート直後ではデバイスも認識してくれないのでコンソールに表示された情報がどっかに行ってしまったんでしょうな。

と、言うことで良い子の皆さんは「NotePC に USB シリアルを付けてコンソールにしよう。」など言うことをまねしては行けません。

で、話はここで終わると良いのですが、起動しなくなった FreeBSD をどうやって復旧しようか。と言うことになるわけです。多分、/dev/ad0s1a の /boot.config を削除するだけでブートしてくれるようになるであろうとは思うわけです。ふむぅ。

まずはインストール用の CD-ROM で起動します。起動後の sysinstall 画面で Fixit と言うメニューを選択します。すると以下のようなメニュー画面が出るので 2 CDROM/DVD を選択します。すると /mnt2 に HDD の中身を mount してくれます。後は rm /boot.config してから再起動すれば良いでしょう。

X Exit       Exit this menu (returning to previous)
2 CDROM/DVD  Use the "live" filesystem CDROM/DVD
3 Floppy     Use a floppy generated from the fixit image
4 Shell      Start an Emergency Holographic Shell

 
ちなみにこの時 4 Shell を選択すると Alt-F4 を押した tty4 にプロンプトが現れます。しかし、ls(1) とか mount(8) は無いので随分と難儀します。 ls(1) のかわりに echo * とか echo /bin/* とかすれば ls(1) の代用にはなります。

2 CDROM/DVD を選んで Alt-F4 した後に cd /mnt2 すれば良いでしょう。

しかし、復旧には随分と手間取りました・・(^^;;。うんとふるーーい情報なのに以下の URL がそこはかとなく役に立ちました。

http://www.jp.freebsd.org/QandA/HTML/464.html

ata.ko と atadisk.ko。

10月 042007
 

僕はカーネルモジュール大好き人間なので、色々なものを kldload しているのだけど、大体 50 個位のモジュールを利用している。

ata.ko と atadisk.ko。この二つはびみょ~。今まで kldload していたのだけど、S-ATA を使ったときや、6.2-STABLE から 7-CURRENT にバージョンアップした時に / パーティションを認識してくれない事態が発生した。

S-ATA を使っている時は /dev/ad0s2a と /dev/ad4s2a を行ったり来たりしているし、cvsup で 7-CURRENT にしたときは全く、どのデバイスを利用すれば良いの?状態になってしまった。

後、注意点としては /boot/kernel.old/kernel をロードしたときは合せて、忘れないで ata.ko と atadisk.ko もロードしないとならないので・・。

と、言うことで ata.ko と atadisk.ko の二つはカーネルに組み込んでおいたほうが便利だなぁ。と最近、思いつつある・・。

 以前のエントリー  新しいエントリー