SCSI RAIDカードが壊れたサーバ の復旧で、CentOS を4.6から5.1に変更。ついでに一般ユーザー管理をLDAPに移行してしまおうと。以前からLDAPサーバは立ち上げてあったので移行はそれほど苦労しなかったのですが、ProFTPD がPAM+LDAP(pam_ldap.so)で認証してくれず、ログには no such user 'foo'と出る。

どうやらProFTPDは認証以外のユーザー名・UID・GIDといった情報を/etc/passwdから取っているらしい。今回それらの情報はLDAPに入れてあり/etc/passwdにはなかったのがエラーの原因で、/etc/passwdにも情報を入れると認証してくれる(/etc/shadowは不要)。だけどProFTPDのために/etc/passwdを復活させるのは本末転倒。

というわけで、ProFTPDを

./configure --with-modules=mod_ldap

でビルド。設定は/etc/openldap/slapd.conf

access to attrs=userPassword
        by self write
        by dn="cn=manager,dc=example,dc=com" write
        by anonymous auth
        by * none

access to *
        by self write
        by dn="cn=manager,dc=example,dc=com" write
        by * read

/usr/etc/proftpd.conf

AuthOrder       mod_ldap.c mod_auth_unix.c
LDAPServer      ldap.server
LDAPDoAuth      on "dc=example,dc=com"

などとします。ProFTPDソースのREADME.LDAPにはLDAPDNInfoの指定も書いてありますが、これではproftpd.confにLDAPのパスワード(何も考えないとmanagerの)を記述してしまうことになりますのでセキュリティ上良くない。上の設定のようにanonymousに

• userPasswordをauthorizeできる
• UID、GID、ホームのパスを読み出せる

ようLDAPサーバを設定したほうがいいでしょう。LDAPDNInfoを指定しなければ、ProFTPDはanonymousでパスワード認証をしにいきます。

けっこう長い間悩まされた問題。RedHat Enterprise Linux/CentOSでスクリーンセーバーを解除するためパスワードを打つと、それが正しくても間違いにされてしまう。

LDAP認証に変更したときに発生したので、LDAP PAMモジュール(pam_ldap.so)の問題かと思いきや、パスワードのうち間違え回数を記録するpam_tally.soにonerr=failオプションを付けると発生するようです。このオプションはパスワードファイルが開けないなどで認証ができないときは認証失敗とすると言うものですが、外しちゃって良いのだろうか？

[参考]

• LinuxQuestions.org
• RedHat Enterprise Linux mailing list

会社のファイルサーバに使ってきたSCSI RAIDカード(IBM ServeRAID 4Lx)、管理用ソフトウェアをCentOS 4.6にインストールしたとたんハングアップ、再起動してもSCSIカードBIOSがレジスタチェックでFailだとかで止まるようになる orz

カードが壊れたかと思いきや、別マシンに挿すと問題なく動く。どうも64bit PCIバスに挿すと動くようだが、ファイルサーバ用のマシンは32bitしかない。とはいえ、このマシンでもファームウェアのアップデート以外は動作してきたはずなのに・・・

これを機にSATAへの切り替えも考えましたが、すでにサーバのHDDベイはデータ用HDDで満杯、SCSIでOSを外付けしているため(その外付けを担っていたSCSIカードが今回不調となったわけ)、SATAも外付けする必要があります。となると、eSATA & ポートマルチプレクサ構成ですが、CentOSがこの構成に対応しているのかいまいち不明で、だめな場合は複数HDDをつないでもそのうちのひとつしか認識しないらしい。

次に考えたのがハードウェアRAIDからmdによるソフトウェアRAIDへの変更。ファイルサーバ機にはオンボードで非RAID Ultra 160 SCSIが搭載されています(さすがはPCサーバ)。これを外に引き出すには、

• Justy PC-EXT02
• ACRO'S のAEA514

などでコネクタ形状の変更が必要ですが、すでにJustyは自己破産 。

ACRO'SもHPからAEA514が消えているので、生産終了したっぽい。やっとのことで売っている店を見つけたら、3400円!? あなた、ヤフオクでAdaptec 29160が1000円で売ってるのよ? てなわけで、29160を手に入れてソフトウェアRAIDという形になりそうです。

ServeRAID 4Lx(HDVCI)と29160(D-Sub half pitch)じゃコネクタ形状が違うので、変換ケーブルも必要。あ〜、手間のかかる。

[2008/1/15 追記] ハングアップしたときにダメージを受けたと思われるEXT3ファイルシステムが、fsckですごい量のエラーを吐いております >_<

実家に到着。実家のWindows 2000がと突如ログインパネルを出すようになったとは事前に連絡を受けていたので見てみる。確かにログインパネルが出るようになっている上に、NetWareプロトコルまでインストールされている・・・何をやったの？

モニターが接続されていると騙す ケーブルを作成しました。黒いケーブルがそれで、このケーブルを引き抜かない限りノートPCは外部ディスプレイが接続されていると騙されてくれますので、KVM切替機で切り替えてもノートPC本体液晶に表示が移ったりしません。

ノートPCの外部ディスプレイ接続コネクタはほぼ例外なくコネクタが本体から出っ張らないようになっていますので、ケーブルに使うコネクタのカバーには注意が必要。よく売られている100円くらいのコネクタカバーだと、コネクタを押さえるための爪がノートPC本体と干渉して奥まで挿し込めないことになります。

あとは信号を劣化させないためにできるだけケーブルは短くしたのですが・・・ノートPCの信号は元から良くない(ぼやけている)ので、あまり神経質にこだわる必要なかったかも。