16-4. サ−バ類の安定稼働とモニタ (1) KVMスイッチを使い倒す `27/10 -------------------------------------------------------------------------------- ネットワ−クを使う物。長い距離でもOKという物。単なるモニタ切替器、CPU切替器 とはいえなくなってきている。いろいろ進化している。 -------------------------------------------------------------------------------- * 細かいことですがこんな検討も ATEN社製 CS-1734A、Sun のマシンもOK、約3万円。2006 NET&COM で見た、これよく売 れている、かなりお得ですとのこと。Masterview KVMP スイッチ、4ポ−トKVMスイッ チに2ポ−トのUSBハブ搭載。Windows, Mac, Linux, Sun 対応。接続台数4。コンピュ− タのモニタ、キ−ボ−ド、マウスを繋ぐ専用ケ−ブルは 1.8m 2本と 1.2m 2本付いてい る。Sun V210 や Sun Blade はこのケ−ブルでOK。パソコンの PS/2 には別売りにのケ −ブルがある。PS/2 って何だったけ。要は DOS/V パソコンのキ−ボ−ドとマウスのコネ クタが普通についている丸型の奴、ミニDIN6ピンの場合のこと。 一つ買ってみました2007年半ば頃。 付属品で "To connect a PS/2 Keybord and USB Mouse to a USB KVM switch"、これはキャンペ−ン期間中のプレゼントで入っていたもの。 皆にプレゼントするわけではないらしい。片方USB端子、片方丸型コネクタ PS/2端子とい う奴。PS/2端子にはキ−ボ−ドとマウスを両方つけてもいいし、1つだけ付けてもう1つ は USB端子に付けてもいい。これがなかったら、自分が使っているパソコンにつなげるこ とができなかった。パソコンのマウスとキ−ボ−ドは両方とも PS/2 端子だったので。し かしこのおまけ、カタログにはない。買うとすれば UC-100KMA が似た製品なのかな。 もう1つ付属品で入っていたケ−ブル。2列9ピン、小さなモジュラ−ジャック。これは Firmware Upgrade Cable。2列9ピンをパソコンにつなぎ、モジュラ−ジャックをこの装 置につなぐ。31ペ−ジの英文マニュアルにかいてある。電源アダプタは入ってなかった。 問い合わせしたら USBから給電するという、そんなことどこかに書いてあったかや。必要 なら別途購入して下さいとのこと。Sun のマシンをキ−ボ−ドとマウスを USBでKVMで つなぎ、Sun の電源を落としたら、KVMスイッチのランプも消えてしまった、つまり電 気が Sun から来なくなった。電源アダプタはデフォルトであった方がやっぱりいいぞ。 先ずは Sun Blade 2500 や Ultra 45 に、直接 BUFFALOやソニ−のモニタを付けて映るか どうかチェック。電源を入れるところからやり映った。先ずひとつ確認。次にKVMスイ ッチかましてみた。映る、これも問題ない。モニタの延長ケ−ブルと USBの延長ケ−ブル もかましてみた。映る、そんなに映りが悪くなるという感じではない。でも Sun社純正の KVMスイッチの映りよりもいいという感じではない。いや、モニタがソニ−ので調整が 少し必要なのだ、BUFFALO のモニタにしてみたら、きれいに映った。 Ultra 45 に DOS/V 用のモニタを接続するのは、コネクタなどにいささか工夫がいったのだが。 Sun のマシン接続用にケ−ブルを別途購入した。いや逆だ!、同梱されていたケ−ブルが Sun 用で、別途買ったのが DOS/V 用だ。CS-1734A は Sun など用 USB 接続タイプなのだ。 5メ−トルの 2L-5305P と1.2メ−トルの 2L-5301Pを別途買った。普段使用しているDOS/V パソコンを 2L-5301P ケ−ブルでKVMスイッチつないでみた。キ−ボ−ドは PS/2 コネ クタ、それで CS-1734A にプレゼントで入っていた USB<->PS/2 変換ケ−ブルをかました。 マウスは USBコネクタだったので、直接KVMスイッチにつないだ。いろいろコンピュ− タをつなげて、装置のボタンを押して切り替えてみる。瞬間には変わらないがOKだ。 * モニタだけつなげる モニタだけつなげてもいい。 Sun をメインにして、Apollo やパソコンのモニタだけつな げてもモニタだけ切り替えることができる。この場合はキ−ボ−ドやマウスをそれぞれの を使う。Sync-on-Green 対応のモニタは、単なるモニタ切り替え器でも使えないと、ATEN の人は言っていた、と思う。聞き間違えたか。でもやれたぞ。ソニ−のモニタは Sync-on -Green の他の仕様にも対応しているので、それでできたということか?。 Apollo からのモニタケ−ブルをKVMスイッチにつないでみた時のこと。Sun のBladeと Apollo でモニタを共有することにする。ちゃんと切り替わり Apolloでもきれいに映った。 Apollo の方にモニタの延長ケ−ブルをかましたら明らかに映りは劣化した、 使いものに ならなかった。モニタはソニ−の Sync-on-Green 対応の。他のモニタでは映らなかった。 Sun□== Apollo□=== keyboad & mouse KVM専用ケ−ブルはこの | |KVM専用ケ−ブル 場合、Sun 用のケ−ブルで モニタ ------------------- モニタのコネクタだけ使う。 も、DOS/V 用の2L-5301Pで □―――| Ι Ι Ι Ι | キ−ボ−ドとマウスはマシ もちゃんとモニタは映った。 HD15 ------------------- ンに付けておく。 色々、試してみるもんです。 * モニタの切り替え [Scroll Lock] キ−を2回たたいて [Enter]を押すと、順番にモニタなどは変わっていく。 装置のポ−トは左から1、2、3、4。[Scroll Lock] [Scroll Lock] [4] [Enter] と例 えばやると、すぐに4番につながっているモニタに切り替わる。ん−、すぐという程でも ないか。2007年9月頃テレビを地デジにした、このチャンネルの切替わりの時間位か。 ATEN の2006年のパンフレットのホットキ−操作一覧表から。CS-1734A のポ−ト切替 えは [Scroll]2度押し、ビ−プ音 on/off HKM+[B]。HKM はホットキ−モ−ドにして操作 の意味。ホットキ−モ−ドにするには、[Num Lock] を押しながら [-] を押して離す、そ れから [Num Lock] を離す。ビ−プ音は鳴らさなくできたが、設定の反応は今一つだった。 Sun Blade 2500 を ATENにつなげてのこと。キ−ボ−ドとマウスはパソコンのを使う。vi を使うと ESC キ−を押すとピッという甲高い音がする。Sun V210 では Sunの切り替え器 を介しても何も音はしないのだが。Blade の画面で #set b off で音を消すことができる。 vi の制御ファイルの ~/.exrc で設定する?。~/.xinitrc でもいいとか?。 * 不具合かな Ultra 45 をKVMに付けたら、切り替えても Blade の画面がでなくなった。PCに切り 替えて、画面は出るがマウスのカ−ソルが動かなくなった。 パソコンのキ−ボ−ドを使っていて。Ultra でキ−がおかしい、パソコンのキ−ボ−ドの 仕様が原因か。[Shift]と[+;] で ':' が出る。[*:] を押すと ''' が出る。 Ultra 45 で ATEN CS-1734A を介してパソコンのキ−ボ−ドを使うことで。キ−と文字の 割り当てが違うのは、隣にある Apollo の英語キ−ボ−ドの配置を見て打つとよかった。 手元でテストしていて、なんか反応がなくなったりおかしくなった。"USB Reset" は HSM で F5 キ−を押して離す。"Restore Default Settings" は HSM で [R][Enter] を押す。 * ソニ−のモニタでKVMライク 2005年夏頃に購入したソニ−の SDM-X75F。HD15 と DVIの口があるので、ひょっとし て2台のコンピュ−タをつないで切り替えて使えるのでないか。SONYのサイトにSDM-X75*, SDM-X95* 用の説明書があり、"入力を切り換えるには" と説明があった。切り替えはでき る。USB 端子がついたモデルだと更に2台のパソコンでKVM切り換えまでできると書い てあった。知らんかった。因に SDM-X75F に入っていた同梱包品は、HD15-HD15 ビデオ信 号ケ−ブル アナログRGB。DVI-D ビデオ信号ケ−ブル デジタルRGB、18ピン、シングル リンク。2007年に購入できるのは SDM-S75FS、DVI-D、D-Sub15ピン。 * 距離の長いKVMスイッチのこと `28/06 「日経コミュニケ−ション」2007/07/15, P.60〜67,"特集2:リモ−ト・サ−バ−管理の定 番 最新KVMスイッチの選び方"。幾つかのメ−カの製品がでている。その中で ATEN 社 のを挙げておく。ALTUSEN KLデジタル PS2,USB,Sun 36万円ぐらい、ALTUSEN KN デジタ ル PS2,USB,Sun 17万円ぐらい、KVM on the NET デジタル PS2 と CE-252 アナログPS2 は7万円前後。デジタルもアナログもネットワ−クのUTPケ−ブルを使う。アナログはUTP ケ−ブルの線を信号線として使い300メ−トルまで。デジタルはIPパケットを使い長さ の制限はないが、アナログより反応は遅い。ALTUSEN KL,KN は2007年10月入手のパ ンフレットには ALTUSEN Enterprise KVM Solutions by ATEN と書いてある。CE-252はコ ンソ−ルエクステンダ−、2006年のパンフレットには Coming Soon! と載っていた。 * 突然 Sun Blade のモニタ表示がでなくなった `2a/07 いろいろやったあげく、だめ押しでこれをやったら直った。付録も参照のこと。 # fbconfig -default << デフォルトにしてみた。 # fbconfig -propt << これができた時の状態。 --- OpenWindows Configuration for /dev/fb --- OWconfig: machine Video Mode: NONE Depth: 24 Screen Information: Doublewide: Disable Doublehigh: Disable Offset/Overlap: [0, 0] Output Configuration: Direct Fake8 Rendering: Disable Gamma Correction: no (2) パソコンから Sun へアクセスする `27/10 * パソコンから Sun へのアクセス [その1] telnet による Sun 側に inetd 起動が必要。/etc/inetd.conf の telnet の記述も必要。vi をやろうと すると画面がおかしくなる。csh にして、setenv TERM vt100 をやり、vt100 モ−ドにし て編集作業するといい。set filec を設定すると ESC キ−でファイル名の補間をする。 C:\> telnet IP_Address << パソコンの DOS窓から telnet。vi ちゃんと使えた。 TeraTerm の telnet アクセスもあり。 /etc/default/inetd ----------------------- |#ENABLE_TCPWRAPPERS=NO << telnet や ftp のアクセス制限。 デフォルトは NO に |ENABLE_TCPWRAPPERS=YES なっている。つまりアクセス制限はしないということ。 YES にしてアクセス制限をかけよう。 変更したら # kill -HUP inetd-pid をやらないと 有効にならない。制限をかけるファイルは /etc/hosts.deny と /etc/hosts.allow、エン トリの追加、削除した場合、そのまま直ちに有効になる。下記は telent は自身のホスト からと 192.168.1.2 ホストのみ許可。ftp は 192.168.1. ならなんでもOKという意味。 /etc/hosts.allow /etc/hosts.deny ------------------------------------ ---------------- |in.telnetd: localhost, 192.168.1.2 |ALL: ALL hosts.allow で許可した |in.ftpd: 192.168.1. 以外は全部、禁止にする。 [その2] TeraTerm の SSH アクセス Sun 側に inetd 起動は不要。/etc/rc3.d/S89sshd が必要。改めて SSHアクセスとは、セ キュアな telnet である。vt100 モ−ドにしなくても画面はおかしくならなかった。 csh にした方が便利なので、これはやった方がいいかも知れない。 TeraTerm の認証の設定は、 {プレ−ンテキストを使う}にチェックを入れ、ただのパスワ−ドを使うにした。これでも パスワ−ドは暗号化して通信される。もっと安全にするには RSA/DSA鍵を使う、チャレン ジレスポンス認証を使う(キ−ボ−ドインタラクティブ) を使うのがある。 だいたいにお いて、パスワ−ド認証が一番多く用いられるようである。もちろん鍵がいいには違いない。 ●TCP/IP ホストIP サ−ビス SSH バ−ジョン SSH2 TCPポ−ト22 SSH認証 ユ−ザ名とパスフレ−ズ マシンでのアカウントをいれる 〆プレ−ンテキストを使う /etc/ssh/sshd_config << sshd の制御ファイル。デフォルトは root でロッグイ --------------------- ンできないようになっている。 |PermitRootLogin no << yes にすると root でもロッグインできる。 |AllowUsers saki itou << アクセスを許可するユ−ザを列挙してみる。 [その3] TeraTerm の RS-232C アクセス Sun のマシンのキ−ボ−ドは USBコネクタを外してブ−トすること。パソコンとマシンを RS-232C ケ−ブルをつなぐ、ケ−ブルは Cisco の黒のペラペラを使った。 マシンが動い ている状態で USB コネクタを外して TeraTerm やっても認識しない、 画面は出てこない。 Sun のマシンのシリアルポ−トはAを使用するのが慣例とか。ともかくシリアルポ−トA は変にいじってないこと。UPSのソフトをいれると、シリアルポ−トの属性をいじって いる場合がある。APCのソフトをインスト−ルしたら、TeraTerm で Sun にアクセスで きなくなった。APCのソフトをアンインスト−ルしたら、できるようになった。 TeraTerm やる ●シリアル ポ−ト:[COM1:通信ポ−ト(COM1) ▼] TeraTerm の COM1 接続の画面を出していて、 マシンをブ−トしたらたらたらとでてきた。 一番最初にでてきたのが下で login: まででてくる。 ロッグイン後、csh うって、vt100 の設定をした。これで vi やってもおかしくならなかった。パソコンの矢印キ−もそのま ま使えた。exit と入れて抜ける。hostmei console login: にまで戻る。 Sun Ultra 45 Workstation, No Keyboad | hostmei console login: << root ロッグインできる。 確認:マシンをキ−ボ−ドをつけて起動した後にキ−ボ−ドを外す。それから RS-232Cア クセスしてみる、できない。画面は何も反応しない。 マウスの USB コネクタがついてい てもそれは関係ない。モニタがマシンに付いているのも関係ない。 確認:TeraTerm の RS-232C 画面は2つ出せるか?、出せない。 TeraTerm のアイコンを クリックして、もう1つ TeraTerm の画面がでたところで、 COM2 しか選択できないよう になっていた。COM2 の方も RS-232C 接続していればできるかもしれない。 [その4] tip コマンドによる RS-232C アクセス # tip hardwire << チルドのピリオドをキ−インすると終了する。 # cat /etc/remote << V210 など最近の Sunのマシンのを見たら、みな同 cuab:dv=/dev/cua/b:br#2400 じだった。下図の様なことをするには、hardwire2 dialup1|Dial-up system:\ とかエントリを作り :dv=/dev/term/a.. とする。 :pn=2015551212:tc=UNIX-2400: hardwire:\ :dv=/dev/term/b:br#9600:el=^C^S^Q^U^D:ie=%$:oe=^D: 続く 古いSun Sunのサ−バ こんなアクセスのやり方が ---------------- PC ------- RS-232C ----------- ある。PCから古いSun に |------ ------| | A□|---------|□A S1 | telnet して、tipコマンド || | | || Ethernet| | ----------- を叩く。Sun の2台のサ− ||S1 | |S2 ||---------| | RS-232C ----------- バをこれでモニタする。つ |------ ------| | B□|---------|□A S2 | い最近教えてもらいました。 ---------------- ------- ----------- かつて1991年頃、Apollo や Sun のマシンで UUCP 接続をトライしていた。マシン間 の直接接続、モデムを介した接続など試していた。RS-232C のストレ−トケ−ブルをモデ ムにつなぎ、電話をかけ天気予報などを聞いて接続の確認をしたものである。EWSには getty と言うのが昔からあって、その gettyデ−モンがシリアルポ−トの制御をしていた。 Apollo で getty に関連するファイルは /etc/ttys, /etc/remote, /etc/gettytab。コマ ンドは tip の他に cu、Apollo のコマンド emt(emulate_terminal)。 emt はダム・タ− ミナルのエミュレ−トをする、このコマンドは今でもル−タなど各種装置の初期設定の時 などに使う。getty より機能アップしたのが、Sunでは ttymon "端末ポ−トのポ−トモニ タ−" というのがある。Solaris 9 にも /usr/lib/saf/ttymon としてある。 * Sun のマシンの起動/停止周り マシン停止の基本、# shutdown -y -g0 -i5 は電源をオフにして完全にマシンを停止する。 i0 にするとマシンは動いたままでOSを止める、ROMモニタの ok プロンプトが出ている。 ok power-off これで電源がオフになる、Ultra 45 で確認、V210 では効かない。 モニタとキ−ボ−ドつないだ状態。 Stop+A を押すとブレ−ク信号が出て ok プロンプト になる。ok に続いて sync と入れると再起動する。go と入れると元の画面に戻る。でも GUIの画面には戻らないのでないか、端末画面になっていた。要確認のこと。 確認しました。Stop+A を押して "Type 'go' to resume" の下に ok がでている状態のこ と。まだこの状態はマシンは稼働している。ping にも反応する。 あわてて電源を切らな いこと。しかしウィンドウが乱れるので、GUIの画面には戻らないと勘違いした。 TeraTerm の [コントロ−ル]->[ブレ−ク信号] をやっても、ok プロンプトになる。 SSH と telnet ではならなかった、特に変化なし。RS-232C 接続の場合だったか。 ok に続い て go と入れると元の画面に戻る。# Type 'go' to resume の下に ok がでている。 TeraTerm の [コントロ−ル]->[端末リセット] なんかおかしかったらやってみる。vi の 画面がおかしいとか。画面を一度真っ白にするには # clear といれる。vi の動作がおか しければともかく vt100 モ−ドに画面をするとか。 Blade 2500 にも Ultra 45 にもリセットボタンがない。ないんでしょう。 一応、5秒ぐ らい長押ししてマシンを停止させるやり方はあるが、そう勧められたものでもないらしい。 何か代わりのキ−操作はないのか。Stop+A は違うと思うぞ。 * パソコンと Sun を結ぶ RS-232C ケ−ブル サ−バである Sun のマシンに telnet アクセスができない、Sunにつないであるモニタも 調子がおかしい。最後の手段として RS-232Cで接続できるようにしておくことは必要であ る。その時のため RS-232Cケ−ブルを確保しておきたい。普段、ほとんど使うことがない ので、適当にジャンクパ−ツみたいにごちゃっと箱に入っていたりする。まあ使うとすれ ばアプライアンスを初めて使う場合に、先ずはIPアドレスを付けるぐらいか。ピン配列 がちゃんとなったクロスケ−ブル、延長するためのストレ−トケ−ブルもあった方がいい。 小生が用いるのは Cisco 製品に入っていたやつである。Cisco 2514 には黒色のペラペラ した両端 RJ45 のが入っていた。一見ネットワ−クケ−ブルかと思うが、RS-232C ケ−ブ ルである。RJ45 と RS232-C を変換する大小のコネクタも入っていた。確かオス、メスで 計4個コネクタが入っていた。Cisco 2950 と 3750に付いてきた空色のケ−ブルでもいい。 72-3383-01 REV.A1、RS-232C の小さなコネクタのオスと反対側が RJ45 ジャック。Cisco 2514 なんかに入っていた変換コネクタは入ってなかった。2514 のコネクタを使えばいい。 (3) サ−バル−ムへマシンを入れる `27/10 -------------------------------------------------------------------------------- 要は vi がリモ−トでちゃんと使えるようにすること。ほかっておくと、文字化けしたり してイライラし結局使えない。vt100 モ−ドにすると文字化けはとりあえず押えられる。 -------------------------------------------------------------------------------- * サ−バル−ムにマシンを入れるその前に Usermin でユ−ザのメ−ルのアカウントとホ−ムディレクトリを作る。 サ−バル−ムの外からアクセスできるようにしておかないと。 特定の人やIPアドレスからでないとアクセスできないようにする。 予備機はとりあえずサ−バル−ムの外においておくことにするか。 ハブも 10 Mbps のとかいろいろ引っ付けているので整理すること。 サ−バの Sun のマシンは FireWall, Mail-Store, Mail-Relay。 侵入防御装置、キャッシュサ−バ、SSL-VPN 装置なども大丈夫か。 地震の備えはどうか、免震装置はどうか。めぼしい1社の製品がある。 UPSソフト PowerChute Business Edition のパケットのポ−トは。 * Sun のサ−バを入れる マシン A,B,G は Sun V210 や Ultra 45 である。Ultra のキ−ボ−ド/マウスは USB対応 の Sun Type 7 キ−ボ−ド(日本語又はUNIX配列)。USB 対応スクロ−ルホイ−ル付マウス。 Type 6 はサポ−トしない。Type 7 カントリ−キット 5,200 円。Blade 2500, Fire V210 などにも対応。V210 と Bladeは Type 6 だった、キ−ボ−ドの裏に書いてあった。Ultra には V210 のキ−ボ−ドを使えばいいと思い購入しなかった。しかし微妙にキ−が違うと ころもある。あまりキ−操作が違和感を覚えるようだったら、また買うことにする。 RS-232C B□ G□ A□=== keyboad & mouse ---------- A□――■750RM ‖ ‖ ‖KVM専用ケ−ブル 1500RM | | ------------------ モニタ ■ B□ G□--------- PC□管理用 | Ι Ι Ι Ι |―――□ .11| |.1 |192.168.1.2 |.3 | CTC CI-KVM/USB |=== keyboad & mouse --------------------------------------- ------------------ 管理用 PCには FireWall-1 GUI。PowerChute Business Edition の"コンソ−ル ソフト"と"サ−バソフト"。マシンAには PowerChute Business Edition "エ−ジェ ントソフト"。マシン B,Gには PowerChute Network Shutdown をインスト−ルした。 APC 製 Smart-UPS 1500RM はマシンB,G に電源供給、750RM はマシンA に電源供給。 インタ−ネット系のサ−バはすでに2台、勘定系の空調管理されたホスト・コンピュ−タ ル−ムに間借りさせてもらっている。USB 延長ケ−ブルとKVMスイッチで、サ−バル− ムのすぐ外、自分がいる場所からモニタ/キ−ボ−ド/マウス操作をできるようにしている。 今回、より安全のためモニタなどはサ−バル−ムに入れることにする。FireWall-1の操作 は管理用PCのGUI画面でできる。Mail-Storeは普段必要な操作はメ−ルのアカウント とホ−ムディレクトリの作成で、これは管理用PCなどのブラウザから Userminでできる。 Mail-Relay では管理用PCから TeraTerm で SSH アクセスできるようにすればよい。同 様 Mail-Store でも SSH アクセスが使える。両者マシン inetd は殺しておいてよし。 一応サ−バル−ムの部屋の中でもマシンの作業ができるようにしておきたい。マシンが3 台あればモニタにキ−ボ−ドを3個ずつ並べると、結構スペ−スをとる。KVMスイッチ などでまとめたい。UPSの関係で2Uのでマシン2台、1Uでマシン1台。2台は Sun のKVMスイッチでモニタとキ−ボ−ドとマウスを共用する。1台は SunのKVMスイッ チでモニタだけ共用とする、キ−ボ−ドとマウスはマシンにつなぐ。もしモニタが1つで 作業がしにくい場合は、1台の Sunにモニタを持ってきて付ければいい。滅多にサ−バル −ムに入って作業することはないだろう。念のため端末接続のノウハウも取得しておいた。 FireWall-1 のル−ル追加。PCから hostA へ SERVICE に ssh_version_2 を許可する、こ れは SSH Version 1 は許可しない。因みに ssh という SERVICE でもいい。TCP/22 番ポ −トを PC の 192.168.1.3 からDMZにあける。他 SSH にはホスト名解決で微妙な設定 がいるが "(5)Sun と TeraTerm の SSHアクセス" 参照のこと。hostG がUPSの 1500RM を利用するには、1500RM から 192.168.1.255 への UDP/3052 パケットを hostGがaccept する。1500RM の制御はブラウザで http://192.168.1.11/。hostA がUPSの 750RMを利 用するには、PC から hostA に TCP/2161 をFireWall-1 で許可する。 * サ−バル−ムとラック 個人情報保護法のことで2005年頃に新たにサ−バル−ムを作る検討をしたことがある。 既存の部屋にパ−ティションで区切って、ざくっと 5x4m 程度の部屋で見積りは1千万円 だった。結構この需要は当時、とても多かったらしく、やってきた営業マンは高ピ−な印 象を受けた。また建築関係の見積りの慣例なのか知らないが、だいたい幾らぐらいかかる という問いにすんなりと答えてくれなかった。お客によってそれぞれ違う、設置する場所 を下見させてもらったり、建物の配管などを含む見取図も出してもらわないと。話してい てだんだんむかついて来た。だいたいなんぼ、そういう事が言えない人っているよな。 サ−バル−ムに設置するラックは、扉はなくたって構わない。むしろない方がいい。万が 一、サ−バル−ムの空調が故障したら扉まであると余計に熱がこもる。奥行きのへたら長 い Sun V210 1Uと1UのUPS。これらもラックに奥行きがなくても収めることができ る。ラックの下の方には1Uや2U製品は置きにくい。四角ぽいUPSをラックの下に置 くとするか。このUPSでアプライアンス製品やモデムに弁当箱程度のル−タなどの電源 にしたらどうか。Sun のマシンだけでなく、ル−タやモデムに侵入防御装置やキャッシュ サ−バなどの1Uアプライアンス製品もラックに入れていきたい。これですっきりする。 * Sun Ultra 45 Workstation Sun Ultra 45 に入っていた DVI/HD15 アダプタ。Sun PN : 530-3474-01 Rev.:50。 入っ ていた袋には丸い緑色のシ−ルが貼ってあり GP と書かれていた。DVI の口はピンが横に なったのがあるメス、DVI-A 17ピン。HD15 の口はオス。分かっていると思うけど HD15 は VGAタイプのモニタのこと。ウルトラヨンジュ−ゴ 縦置、とても静かです。 もう一つの付属品の DVI アダプタケ−ブル NV384 REV.A2 BIZLINK 20 07。20センチぐ らいの二股、松葉のようになったもの、コネクタの形は DVIということで同じだが、中の ピンの様子が少し違う。1つの口の方をマシンの DVIコネクタのオスに、二股の方の口に 530-3474-01 を差す。 Sun Ultra 45 付属品 DVI/HD15 アダプタ :530-3474 -------- 同じく DMS-59/DVI-Ix2 アダプタスプリッタケ−ブル :NV384 |Ultra | | |DMS-59 NV384 DVI 530-3474 HD15 ------ モニタまたは | ■□--------------◆◇-----------●○-------|● | | | | ♂♀ Connector | | KVMスイッチのポ−ト -------- ---------◆ 60mm ------ モニタの接続には Sunのグラフィックスボ−ドが3種類あるので、どれかを選ぶ。ボ−ド が幾つかあるというのは知らなかった、スペックはだいたい業者さんにお任せしていたら Sun XVR-300 Graphics Accelarator、DMS-59ビデオポ−トが1個、4万円位のが入ってい た。搬入時には既に組み込まれていた。このボ−ドの日本語のユ−ザマニュアルがあった。 http://dlc.sun.com/pdf/819-7505-10/819-7505-10.pdf、付属品のアダプタのことも書か れていた。DMS-59 インタ−フェ−スは DVI-A の DVIアナログと DVI-D のDVIデジタルを サポ−トする。更に DVI/HD15 アダプタをかますとアナログのモニタ信号がでて来る。 * UPS接続機器の数 一体どれだけの数の機器が1台のUPSから電気をとることができるのか。APC製ので みてみよう。最大出力容量が 1500RM は 1500VA/980W、750RM は 750VA/480W がカタログ スペックである。接続する機器の最大消費電力の合計で計算すること。どうも 980W,480W でみるみたいである。SUA1500RMJ2U は 1500W ではない訳で、注意したい。機器の最大消 費電力といっても各機器のカタログなどにずばりその値が出ているわけではない。それが 困った話なのだが。Sun V210 は消費電力が 322W。Sun Blade 2500 は 750W、この値はグ ラフィックスボ−ドなどいろいろ搭載した場合の最大の消費電力らしい。サ−バ用途で購 入していれば、そんな3次元グラフィッスクをやるようなボ−ドは載せていないはずであ る。最大消費電力がちゃんと書かれていたのは Cisco 2950 の 30W、 Cisco 2514 の 40W である。NetCache C1100 はパンフレットに 2 Amps RMS at 100V to 120V AC と書かれて いるので最大 200W とみていいだろう。消費電力がまるで書かれてない機器もあった。 * その他UPSについて [ パソコン用のUPS ] バッテリ−の廃棄はオムロンは無料で自社製のを引き取っている。バッテリ−は廃棄する 場合は産業廃棄物として処理すること。パソコン用のUPS BN50XS 出力容量500VA/335W、 付属品 RS-232C 9ピンケ−ブル。定価 45,800円+税。長寿命バッテリ搭載。ラインイン タラクティブ方式、正弦波出力。WindowsとLinux用に自動シャットダウンソフトあり。設 置は横にしたりしないこと、バッテリ−の電解液のためか。形は細長でラックにでも隙間 なく並べないと、地べたに置いてしまうと意外にスペ−スをくってしまう。 [ Sun で使えるUPS ] Sun のマシンに使えるUPSでAPC製以外でないかSI業者さんに聞いてみた。オムロ ンの BN100XR, 容量 1000VA/70OW, 1U 44Hx438Wx546D, 定価14万円+税。シリアル接 続シャットダウンソフト付属。 オムロンのサイトには Sun 対応とはでてないけど。ライ ンインタラクティブ方式、正弦波出力。何で BN50XS と値段がこんなに違うのか。BN50XS じゃなく容量の近い 1000VA/670W の BN100XS は76,000+税。やはりだいぶ値段が違うぞ。 安いUPSは電力の波形がおかしいという話があるが、方式は同じみたいだし。 [ 回線サ−ジ保護機能 ] UPSに何でモジュラ−ジャックのケ−ブルが付属しているかということ。壁の電話回線 の RJ11 端子とUPSの回線サ−ジ保護用の RJ11 にケ−ブルを接続する。雷などで電話 回線やネットワ−クケ−ブルに発生するサ−ジ電圧を吸収する。モデムやネットワ−クカ −ド/装置を雷から守るため。落雷が落ちて ADSL モデムがパ−になったという話はよく 聞く。回線サ−ジ保護の IN と壁の RJ11接続、回線サ−ジ保護の OUT とモデムを接続す る。営業所のモデムに電話設備の会社が、そんなようにやってくれていた。 * 高信頼サ−バを検討してみる Blade サ−バのバックアップ機構: 1つのスロットが1つのコンピュ−タ。切り替え時間はこの3つの中で一番かかるか も。お値段はまるで分からない。電源は共有する。 中部地区では Blade は2007 年時点では、ほとんど売れてない出てないとのこと。 クラスタ構成: 今でも費用はかなり高い。OS、アプリケ−ションは2つ必要である。ファイアウォ −ルなどソフトウェアのライセンスも2つ必要である。ディスクを共有する。切り替 え時間は数10秒から数10分(ftServer のカタログの比較資料から)。 無停止型サ−バ: OS、アプリケ−ションは1つのインスト−ル。ライセンスは1つでいい。ftServer を紹介。対応のOSは Windows Server 2003、Red Hat Enterprise Linux、 MIRACLE LINUX。切り替え時間0秒。 ハ−ドウェアの完全二重化、高度なリモ−ト保守による 遠隔診断による無停止稼働をサポ−ト。日本ストラタステクノロジ−(株)。 セキュアOSはいかに: CentOS とか Linux サ−バ用のOSがある。最近のはどんなあんばいかな。でもちょ っと上のとは違う。セキュアであるということと、信頼性が高いということは別物で ある。ここでは稼働率が高い、停止しないという観点である。 * V210 が入るラックの検討 Sun Fire V210 の奥行きは 63.5cm。以前に購入したラックは、 カワムラのスチ−ルラッ クで 1000Hx700Wx700D EIA規格、左右に結線スペ−スのあるワイドタイプ。 ラック前 面から 13cm 奥の所に装置を固定するマウントレ−ルのネジ穴がある。このため V210 は ラックの後ろからはみ出てしまう。もっと奥行きが長い装置があった。 Smart-UPS 750RM は 66cm、これら1Uは電源コ−ドが後ろに出るので、そのたわみ分も 10cm位みないとい けない。そうなると奥行き 90cm のラックが必要になる。UPSのAPC社のラックの記 事を読むと空気の循環のことが書いてあって、幅は 60cm がよく、奥行きは 100cm欲しい とある。装置を入れてない所は、スペ−サをかまして空気が変な流れにならないようにす るのがいいとある。どうなのかな−、よく分からない。そうかも知れんし。 Smart-UPS 1500RM 87Hx483Wx464D 2U 重い、3Uはもはや三人ががかり。 Smart-UPS 750RM 44Hx483Wx660D 1U 以下の2つはかなり奥行きがある。 Sun Fire V210 43.2Hx423Wx635D 1U 買って物が来て初めて気が付いた。 サ−バル−ムのラックは扉はない方がいいと上で書いたが、 V210 は相当に音がするので サ−バル−ムでも扉はあった方がいいかも。でもサ−バル−ムの空調が停止無しならと条 件を付けたい。2UのUPSはラックの一番下に置くということで、重量スライド式台板 を敷くか。スチ−ルラックより強度を増したサ−バラックにするか。 V210 はスライドレ −ルでの設置、間借りのラックにはケ−ジナットで止めた。今こちらで使っているラック は、ただのネジ止め式。今度買うのはケ−ジナット式にするか。V210に付属していたケ− ジナットは、マウントレ−ルの四角い穴に手ではめれた。普通は弾力が結構強くて専用工 具ではめる物らしい。ITシステム免震架台も試しに一つ入れてみるか、ラック1つが載 るもので全然大がかりではない。小さいのを手に持ってきてみせてくれた。`28/07 * その他メモ 冷却ファンがフル回転する場合に消費電力が大きくなる。装置の電源を入れた起動時が一 番負荷がかかることになる。消費電力メ−タが50から60%、一杯でも70%まで位だ ろうとのこと。 確か FortiGate の 600D や 800D を設置した際に業者のエンジニアに聞 いた話だったと思う。これら冷却ファンは電源入れるとブワ−となるが、数分で落ち着く。 (4) ディスプレイそれともモニタ? `25頃 -------------------------------------------------------------------------------- いつもディスプレイかモニタかで悩む。どういうように使い分けしたらいいか。モニタつ まり見る画面はディスプレイということだよな。モニタは何か監視しているということで あって、画面イコ−ルというのはおかしいよな。市販のモニタの説明書でも、ディスプレ イと書いていたりモニタとしてあったりする。まあ、気分に応じてでいいか。 -------------------------------------------------------------------------------- * Apollo にパソコン用のモニタが使えないか Apollo に DOS/V 用のモニタを使うことができないか。結論からいえばシンクオングリ− ン対応のモニタなら映る。そしてコネクタは Apollo 425t なら、Apollo 側が BNCコネク タ3線式、モニタ側が3列 Dsub 15ピンのケ−ブルで接続する。3線式がなければ、手に 入り易い5線式のでもいい。多分大丈夫いける。そう確信してシンクオングリ−ン対応の パソコン用モニタをつなげてみた。 このモニタは、INDY ですでに使っていて実績もある。 2004/09 に購入したソニ−の SDM-X73。一発、きれいに映りました。感動もんです。垂直 方向に少し画面がずれた以外は何も問題なさそうである。ずれはモニタ右のボタンで調整 できる。その後、2005/08 に SDM-X75F を買って付けた。映りは少しぼけもところどころ あったが、シャ−プネスを調整したらとても見易くなった。十分過ぎる程使えます。 * BNCコネクタ5線式/3列 Dsub 15 ピン ケ−ブル この5線式のケ−ブルなら結構あるようである。安いのはインタ−ネットで 1,300円ぐら いでもある。また大きなパソコンショップにもあったりするという。BNC コネクタ5線式 でも使うのはRGBの3線だけであり、これで構わない。大須のパソコンショップで探し て先ずは1つ、ID18-706S 5,900 円の正価が 4,320 円だった。 IBNC-18 5BNCコネクタ 1.8 m、1,980 円。大須のアメ横の前のパソコンショップで見 た。ホ−ムペ−ジの "ワニでもわかるディスプレイ・コネクタ図鑑"に出ていた。1,380円 +税。説明は映像信号の品質が優れているため画質優先の高性能CRTディスプレイによ く使われています。販売元は http://www.ysol.co.jp/、3,160 円で出ている。 * モニタの入力信号の方式 モニタの入力信号は同期信号方式にセパレ−トシンク、コンポジットシンク、シンクオン グリ−ンの3種類がある。シンクオングリ−ンとは RGB の Green の信号線を利用して垂 直、水平の同期信号も送ってしまう方式である。モニタのカタログや説明書をみると、ど れに対応しているか書かれている。安いのはセパレ−ト方式のみ対応。シンクオングリ− ンに対応している機種は少ない。モニタのコネクタは普通は、アナログDsub 15 ピン、デ ジタル DVI-D 24 ピン。そして アナログBNCコネクタ5個または3個である。モニタの取 扱説明書を捨てずに幾つか取っておいた。iiyama のペラペラのを見たら S701G/S702G 一 般仕様、信号入力コネクタのピン配列がなかなか参考になった。入力同期信号は以下のよ うに記載があった。ピンの役割に関して、D-SUBミニ15ピンコネクタとBNCコネクタのピ ン1、2、3番は同じ信号を使用。BNCコネクタの後2つは使用なしと書かれていた。 つ まりピン番号1、2、3がまっすぐ繋がっていりさえすればOKなのでないか。 セパレ−ト同期 TTL, 正極性/負極性 コンポジット同期 TTL, 正極性/負極性 シンクオングリ−ン 0.3Vp-p, 負極性 ( Sync-on-Green ) * 身近にあったモニタ ソニ−の SDM-X73 2003/07 発売、2005/08 既に終了 > 信号入力端子 DVI-D、D-sub 15 ピン3列は2個付き。入力信号(アナログ) の映像方式 はアナログRGBで 0.7Vp-p(正極性)、75オ−ム終端。入力信号の同期方式は HVセパレ− ト/コンポジット TTL 2K オ−ムで極性自由、Sync-on-Green は 0.3Vp-p (負極性)。 ソニ−の最近の Sync-on-Green 対応の液晶モニタ > `25/06 発売の 17inch SDM-X75FS スピ−カ内臓で 4.3 万円位が実売。SDM-S75FS スピ −カなし 4.0 万円位が実売。入力信号の仕様は SDM-X73 と同じ。ナナオには、最新の パンフレットで 19 inch の液晶しか Sync-on-Green 対応しているものがなかった。 5BNCコネクタのモニタ > ナナオの 56TS が近くに転がっているが仕様は不明。かつて MicroCADAM 用にIBMの 5550を買ったことがある。その時の21インチディスプレイがこのコネクタだった。 くそでかくて重たくて思わず返品したくなった。マシン本体が壊れた際、迷わず捨てた。 * ソニ− SDM-M51 の取扱説明書から ディプレイ右に幾つかボタンがある。MENU を5秒以上押していると MODEL 番号などがで てくる。他画面の垂直、水平の位置調整がボタンでできる。この取扱説明書、SDM-X73 買 った際に付いてきたのかな。 ピン 信号名 ピン 信号名 ピン 信号名 1 R 6 R ア−ス 11 ID (ア−ス) 2 G (Sync on Green) 7 G ア−ス 12 デ−タライン (SDA) 注 3 B 8 B ア−ス 13 水平同期 4 ID (ア−ス) 9 DDC + 5V 注 14 垂直同期 5 DDC ア−ス 注 10 ア−ス 15 クロックライン (SCL) 注 ※VESA による Display Data Channel(DDC)規格 * DVI( Digital Visual Interface ) について `27/10 モニタとコンピュ−タの接続には従来のアナログ HD15 コネクタと、何年か前からでてき たデジタル DVI コネクタがある。DVIの仕様には、ピンの数でシングルリンクとデュアル リンクがあり、伝送速度が違う。DVI-I <-> HD15への変換コネクタは安く市販されている。 DVI-D -> VGA HD15 の変換コネクタは、探したら DVI-D <-> HD15 変換する装置が1社か らでているのを見つけた、手のひらサイズの装置、価格は不明。 サンワサプライなどのサイトを見ると DVI-Iと HD15 変換アダプタが売られている。だい たい2千円位のものである。アナログディスプレイをパソコンのデジタルの DVI-I端子に つなぐためのもの。逆のアダプタもある、価格は同じく2千円ぐらい。通信販売の"BLACK BOX" の2004年のカタログにも出ていた、DVI-I -> VGA HD15 アダプタで5千円。 ・DVI-I はデジタルとアナログ信号も出している。 ・DVI-D はデジタルのビデオ信号のみ出している。 ・DVI-A はアナログ信号のみ出している。 DVI-I と DVI-A には左側の5ミリぐらいの横ピンで田の字4つのピンがある。DVI-Dには 4つのピンはない。コンピュ−タの DVI コネクタが DVI-I なら、アナログ信号もでてい るので、変換アダプタをかませば HD15 コネクタのモニタに映像信号を送ることができる わけである。モニタがアナログ <-> デジタル変換回路をもっているのもあるらしい。 * 参考:INDY や Sun のEWSでパソコン用のディスプレイをつなぐ話 http://www.t3.rim.or.jp/~kosmic/sparc/ > "すぱあくタマ手箱" の "Sun で使われている、使えるモニタ" の話のところ。Sunの特 殊な形の 13W3 コネクタ。ナナオのアクセサリ−で定価 15,000 円、結構高い。モニタ が周波数の自動調整機能がないと映らないこともしばしば。SGI のマシン、モニタもこ の 13W3 コネクタだが、Sun でのコネクタのピンの信号が異なっているとか。 http://www.wakhok.ac.jp/~kanayama/system/sundisplay.html > Sun の古いディスプレイの 13W3 コネクタを Dsub 15pin に変換するとか。Sun 製品の 通販の雑誌にあった、ビデオ変換アダプタ HD15(F) to 13W3(M) 5,000 円。15ピンの オス、13W3のメス。グラフィックスカ−ドの種類により解像度およびカラ−モ−ドが制 限される場合がある。Sun のコネクタ部だけの製品 130-3034-01 手元にありました。 http://www.monyo.com/technical/unix/ws/ > IBM、HP、SGIのマシンなどを秋葉原などで入手してOSをインスト−ルする話 がある。"IBMマシンの入手とAIXのインスト−ル" に、モニタの話も。SGIと同じ 13W3 で Sync-on-Green なので、 2,500 円程度のコンバ−タと Sync-on-Green 対応の ディスプレイが必要である。モニタを捨てる前に、いろいろトライしてみて下さい。 (5) Sun と TeraTerm の SSH アクセス `27/11 * SSH によるアクセス制限の設定 SSH の sshd は Sun Solaris 9 に入っていた、OpenSSH ではない。Mail-Relay ホストに リモ−トでアクセスできるようにする。telnetは使わない、できないようにする。SSH を 使うことにして、特定のユ−ザでロッグインして、そこからさらに root になって作業す るようにする。安全のため、ファイアウォ−ルではフィルタリングを設定して、内部ネッ トワ−クの特定のIPアドレスのマシンとしか通信できないようにする。内部のパソコン から Mail-Relay ホストへ TCP/22 アクセスを許可する。SSH アクセスは TeraTerm を用 いてパスワ−ド認証とする。さらに tcp_wrappers でも、このパソコンからしかアクセス できないように制限をかける。 /etc/rc2.d/S72inetsvc << /etc/inetd.conf ファイルは無しにする。 ---------------------- |#/usr/sbin/inetd -s << デフォルトはコメントは外れている。 /etc/hosts.allow << SSHには2つのアクセス制限ファイルがある。先に参照 ------------------- して評価されるのが、このファイル。 |sshd: 192.168.1.2 << ホスト 192.168.1.2 からだけ許可する。 /etc/hosts.deny << 最初 /etcディレクトリには hosts.allow, hosts.deny ---------------- ファイルはない。ル−ルの記述は直ぐに有効になる。 |ALL: ALL << ともかく全部、禁止にする。 /etc/ssh/sshd_config --------------------- |PermitRootLogin no << no になっていることを確認、デフォルト。 |AllowUsers keroyon << 一般ユ−ザ keroyon でしか SSH アクセスできない。 /etc/default/login << これもこうなっていることを確認、デフォルト。 コメ ----------------------- ントが外れていると root で、telnet アクセスできる |#CONSLOE=/dev/console ようになる。ftp は root アクセスできるが。 もっとも inetd を殺しているので telnet も ftp もできない。 #CONSLOE=/dev/console は端末でしか root ロッグインできない設定である、それにこの設定はSSH には関係ない。 /etc/ssh/sshd_config で PermitRootLogin yes にして、SSH は root アクセスできた。 sshd のオプションについて、/etc/nologin ファイルがあると root だけロッグインを許 す。sshd_config の AllowUsers の他に DenyUsers, AllowGroups, DenyGroups という設 定もできる。PermitRootLogin no は root ロッグインを許さない。 [ 要確認のこと ] /etc/default/login --------------------------------------------------------- | | |# If CONSOLE is set, root can only login on that device. |# Comment this line out to allow remote login by root. |#CONSLOE=/dev/console コメントを外すとこの装置でのみ root ロッグインできる。次の文章は、コメントを外す とリモ−トで root ロッグインを許す、と訳すのではなく。コメントになっているとリモ −トで root ロッグインを許すと訳すべきか。実際、コメントになったままで Apollo か ら telnet で root ロッグインができた。それとも /etc/hosts.allow ファイルでApollo から telnet を許可するようしているのが優先されるのか。 * Sun の SSH デ−モンとPCの TeraTerm Solaris 9 は /etc/rc3.d/S89sshd となっているので、このままで sshd サ−バは有効に なっている。/etc/inted.conf で telnet の記述なし、つまり telnet ができないように していても、SSH でマシンにアクセスできる。SSH は tcp_wrappers でもアクセス制限が できる。ただし /etc/default/inetd ファイルの ENABLE_TCPWRAPPERS は見ない。直接に /etc/hosts.deny, hosts.allow ファイルの記述をみる。TeraTerm について、パソコンに インスト−ルしたのは Tera Term Professional Version 4.55 で、 インスト−ルも簡単、 使うのも簡単だった。前に SSHを検討した際には、かなり繁雑な感じがした。デ−タセン タ−設置のレンタルサ−バと Solaris や INDY の SSH クライアントでやった時のことだ ったが。TeraTerm で SSH を利用するには、以前は TTSSHというプラグインを追加する必 要があった。最新の TeraTerm には初めから TTSSH は組み込まれていた。 パソコンからアクセスしたところ -------------------------------- Sun PC |SSH認証 ■ Solaris 9 □ Windows 2000 |------------------------------- |.11 |.12 | ログイン中 ------------------------ 192.168.1.0 | 認証が必要です | ユ−ザ名: [ keroyon ] << root はだめ。SSH の制御ファイルで root ロッグ | パスフレ−ズ: [ ******* ] インはデフォルト禁止になっている。 | | ●プレインテキストを使う << これでもユ−ザ名、 パスワ−ドは暗号化してマシ | | ンに送られる。一応安全である。 | [続行] [接続断] -------------------------------- --------------------------------------------------------------- |セキュリティ警告 |-------------------------------------------------------------- | known hosts リストにサ−バ "192.168.1.12" のエントリはあり | ません。悪意を持ったホストが、接続しようとしているサ−バの | ふりをしている可能性もありますので、十分注意してください! | | known hosts リストのこのホストを追加して続行すると次回から | この警告は出なくなります。 | [ 作業メモ ] | サ−バ側のホスト鍵指紋: | [ 02:44:aa ........................a1] nsswitch.conf, hostsの中の記 | 述は直ちに有効になる。 | 〆このホストを known hosts リストに追加する # pgrep inetd で Process ID | [続行] [接続断] # /etc/rc3.d/S89sshd start ------------------------------------------------ 初めてユ−ザ名とパスフレ−ズを入れて、{セキュリティ警告}の画面が出るのが正常なら すぐに出て来る。この間にパソコンの C:\Program Files\teraterm\ssh_known_hostsファ イルに "192.168.1.12" のエントリを書き込んでいる。このファイルは普通に読み書きで きる。何か挙動がおかしい場合は、エントリをエディタで一度、削除してみる。 # cd /etc/ssh;ls ssh_config ssh_host_dsa_key.pub ssh_host_rsa_key.pub ssh_host_dsa_key ssh_host_rsa_key sshd_config /etc/rc3.d/S89sshd で /usr/lib/ssh/sshd が起動している。本当に最初のマシンの起動 の時に、鍵のファイルを生成したようである。S89sshd のスクリプトを見ると RSA とDSA のパブリックとプライベ−トの鍵ペアを作る記述がある。 ssh_config はユ−ザ用のファ イルである、コメントによる説明があるだけで何も設定の記述はない。SSH のパスワ−ド 認証では、特にこのディレクトリに制御ファイルができることはない。 * Solaris 9 と TeraTerm の SSH アクセスではまった Sun の新しいマシンを購入し Mail-Relay として設定した。サ−バル−ムに設置すること を考慮し、サ−バル−ムの外から SSH でアクセスできるようにしたい。 マシンのIPア ドレスを一時的に変えて、手元のネットワ−クで SSH の動作を確認しようとした。 とり あえず Sun を 192.168.1.11 で、TeraTerm のパソコンは 192.168.1.12 としたとしよう。 予備の Mail-Store のマシンでは、すでに SSHアクセスはできることを確認した。よい子 では 192.168.1.9 でスタンバイしていることになっている。 一応、実機でも確認してお いた方がいいと思いやってみた。すぐにできると思ったのがとんでもない事だった。 /etc/resolv.conf /etc/nsswitch.conf named デ−モン稼働、インタ−ネ ---------------------- ------------------- ット用のDNSの設定のまま。マ |domain nix.co.jj | | シンをテスト用のIPアドレスに |nameserver 127.0.0.1 |hosts: files dns する。他の設定は特に変更はなし。 |nameserver 9.1 | | Sun の hostname は hostA。 /etc/hosts ------------------------------------------------- Sun PC |127.0.0.1 localhost localhost.nix.co.jj ■ □ |192.168.1.11 hostA hostA. mail.nix.co.jj loghost |.11 |.12 |#192.168.2.1 hostA hostA. mail.nix.co.jj loghost ------------ 192.168.1.0 初めて TeraTerm の SSH で Sun にアクセスした際、ユ−ザ名とパスフレ−ズをいれてか ら、{セキュリティ警告} の画面が出るまで20秒ぐらいかかった。その後、known hosts リストにこのホストを追加する作業をしてから、Sun のプロンプトも何も出ないままにな ってしまう。真っ白な画面が出たままである。それでは telnet のアクセスはできるかと やったら、こちらもおかしくなってしまっている。 login: が出てくるのにやたら時間が かかる。1分ぐらいかかって出てきて、とりあえずロッグインはできたがおかしい。 [ 先ずは telnetをできるようにする ] この設定では SSH アクセスはできなかった /etc/nsswitch.conf /etc/hosts PCのIPアドレスを書くこと。ホ ------------------- ------------------- スト名は何でも構わない。 |hosts: files |192.168.1.12 kkk named デ−モン稼働うんぬんは関係なくなる。これで telnet はすぐにできた。しか し nsswitch.conf に "files dns" にすると login: が出てくるのに時間がかかった。 [ 次に SSH をできるようにしてみる ] /etc/nsswitch.conf /etc/hosts これらの設定と下記DNSの設定で ------------------- ------------------- すんなり SSHアクセスができるよう |hosts: files dns |192.168.1.12 kkk になる。分かるまで1週間位いった。 上の設定で named デ−モンが止まっていると、SSH アクセスできた。 しかし named デ−モンを動かすと SSH アクセスはできなくなった。 DNSの設定の何が原因にな っているのか執拗に調べた。ZONE ファイルの hostA のエントリだった。よい子では hostA うんうんはこれまでも載せてきた。しかし実稼働のDNSの設定には hostAの エントリは載せていなかった。これが災いした。 SSH でアクセスされると hostA の IPアドレスをDNSに問い合わせをするようになっているらしい。そこで、聞かれ たら何でもいいのでIPアドレスはこれこれと返事をしさえすれば、OKということ のようである。事実 "hostA IN A 192.168.1.11" とか "hostA IN A 202.241.128.9" とか記載しても、即パソコンから SSH アクセスできた。/etc/hosts の設定がないと SSH アクセスはできるが、プロンプトが出て来るのに数十秒かかった。 /etc/local/etc/named.conf /etc/local/etc/nix.co.jj.zone ------------------------------------------ ------------------------------ | | | | |zone "nix.co.jj." { |hostA IN A 202.241.128.3 << | type master; |hostG IN A 202.241.128.2 | file "/etc/local/etc/nix.co.jj.zone"; |ns IN A 202.241.128.3 |}; |mail IN A 202.241.128.3 * FireWall-1 のIPアドレス変換について □hostA' 仮想 PC から hostA の SSH, TELENT, FTP を利用 |.3 したい。FireWall-1 でオブジェクト PCから ------------------ 202.241.128.0 hostA へ ssh,telnet,ftp を許可する。PCか | □hostA ら hostA のIPアドレス 192.168.2.1 それ 管理用 .2|.2 |.1 に 202.241.128.3 でもアクセスができる。 PC□ hostG□-------- 192.168.2.0 |.3 |.2 オブジェクト hostA は 192.168.2.1、NATあ ---------------------- 192.168.1.0 り Static 202.241.128.3。 << PC の FireWll-1 のオブジェクトの設定 >> PC から hostA へアクセスするのに、オブジェクト PC には、以下3通りのNAT変換の 設定がある。その1が一番安全だが、PCからインタ−ネットへは、プライベ−トIPアド レス故そのまま出て行くことはできない。プロキシを介してなら外のホ−ムペ−ジにアク セスはできる。しかしできれば PC <--> hostA 間専用で用いるのが望ましいと思う。 その1: NATなし -- PC から hostA は 192.168.1.3 からのアクセスになる。アクセス制 御に関係する /etc/hosts, /etc/hosts.allow, DNS正引きファイルの記述に注意。 その2: NATあり Hide behind Gateway -- PC から hostA は 192.168.2.2 からのアクセ ス。192.168.1.3 からアクセスしているにもかかわらず、IPは変換されている。 その3: NATあり Hide behind IP Address [202.241.128.2] -- PC からは hostA へのア クセスは 202.241.128.2 から。その2より安全でないと自身記述。どうして?。 * SSH 問題解決のための情報を集める 先ずは tcp_wrappers のマニュアルを見たいが、どこにマニュアルがあるのか?。 #csh #setenv MANPATH /usr/sfw/man:$MANPATH #man tcpd #man hosts_access CTCの技術デ−タベ−ス Solution DataBase : http://www.ctct.co.jp/~SDB CTCの技術問い合わせ先 WEB CSQTOOL V1.1 : http://www.ctct.co.jp/~CSQ CSQTOOL のサイトに初めてアクセスしてみた。ユ−ザIDなどは、だいぶ前にCTCに登 録したのを入れてみた。一杯記入するところがあったけど、ともかく入れてみた。電話の 問い合わせ先もあるので、かけてみた。そしたら問い合わせの内容を読んで、対処につい て今検討しているという。電話して出たのは若い女性エンジニアだった。丁寧に対応して くれた。TeraTerm 自体は Sun の製品ではないので、これについては直接サポ−トはでき ない。Solaris 9 での sshd について基本的なことを確認して頂きたいと、メ−ルをくれ た。夕方5時を過ぎてもメ−ルをやりとりして、Sun の NIS時代からの伝統なのか、ホス ト名解決のおかしな振る舞いが原因していることが分かってきた。サポ−トを受けるのは そこまでにして、その後 /etc/hosts, /etc/nsswitch.conf, /etc/resolv.conf。 それに DNS制御ファイルを徹底的に洗った。本当、分かりにくいトラブルだった。 * 参考:sshd_config の抜粋 SSHD_CONFIG(5) OpenBSD Programmer's Manual SSHD_CONFIG(5) NAME sshd_config - OpenSSH SSH daemon configuration file SYNOPSIS /usr/local/etc/sshd_config DESCRIPTION sshd reads configuration data from /usr/local/etc/sshd_config (or the file specified with -f on the command line). The file contains keyword-argu- ment pairs, one per line. Lines starting with `#' and empty lines are interpreted as comments. The possible keywords and their meanings are as follows (note that key- words are case-insensitive and arguments are case-sensitive): AllowGroups This keyword can be followed by a list of group name patterns, separated by spaces. If specified, login is allowed only for users whose primary group or supplementary group list matches one of the patterns. `*' and `?' can be used as wildcards in the patterns. Only group names are valid; a numerical group ID is not recognized. By default, login is allowed for all groups. AllowTcpForwarding Specifies whether TCP forwarding is permitted. The default is ``yes''. Note that disabling TCP forwarding does not improve security unless users are also denied shell access, as they can always install their own forwarders. AllowUsers This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for user names that match one of the patterns. `*' and `?' can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. PermitRootLogin Specifies whether root can login using ssh(1). The argument must be ``yes'', ``without-password'', ``forced-commands-only'' or ``no''. The default is ``yes''. If this option is set to ``without-password'' password authentication is disabled for root. If this option is set to ``forced-commands-only'' root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed). All other authentication methods are disabled for root. If this option is set to ``no'' root is not allowed to login. UseDNS Specifies whether sshd should lookup the remote host name and check that the resolved host name for the remote IP address maps back to the very same IP address. The default is ``yes''. ------------------------------------------------------------------------------------ [ 付録 ] 突然 Sun Blade のモニタ表示がでなくなった `2a/07 * Sun Blade とPCをKVMで切り替えていた 突然 Sun Blade 2500のモニタ表示がでなくなった。KVMスイッチの ATEN CS-1734A が 故障したのか Sun かモニタか。問い合わせしていろいろやってみた。モニタはBUFFALOを つなげていた。 ソニ−のモニタをつなげたら "NO INPUT SIGNAL" と出たが何とか映った。 ただし青ぽい画面になった。KVMスイッチにつなげてマシンをリブ−トしたらちゃんと 一度は映ったのだが、どうも変。IOデ−タのモニタをつなげて出たのはこれ:許容範囲 外、画面の設定を下記に戻して下さい、解像度:1280x1024、リフレッシュレ−ト 60Hz。 * おかしくなった時点での状態 # fbconfig -propt << 解像度をこれで確認する。 --- OpenWindows Configuration for /dev/fb --- OWconfig: machine Video Mode: not set ※ Sun Ultr45 も設定は同じ。 Depth: not set Screen Information: Doublewide: Disable Doublehigh: Disable Offset/Overlap: [0, 0] Output Configuration: Direct Fake8 Rendering: Disable Gamma Correction: Disable # fbconfig -res \? Valid values for -res option are: VESA_STD_640x480x60 VESA_STD_640x480x72 VESA_STD_640x480x75 VESA_STD_800x600x75 VESA_STD_1024x768x60 VESA_STD_1024x768x70 VESA_STD_1024x768x75 SUNW_STD_1024x768x77 SUNW_STD_1024x800x84 | SUNW_DIG_1400x1050x60 Notes: Monitor A edid data not available, monitor may not support all resolutions. Monitor B edid data not available, monitor may not support all resolutions. Use unsupported resolutions at your own risk. * Abbreviations such as "1280x1024x75" may also be used # fbconfig -prconf << このコマンドも叩いてみた。 --- Hardware Configuration for /dev/fb --- Type: XVR-100 ASIC: version 0x5159 REV: version 0x3000000 PROM: version 2.3 Monitor/Resolution Information: Monitor A: EDID Data: Not Available Current resolution setting: 1152x900x66 Current depth: 24 Monitor B: EDID Data: Not Available Current resolution setting: 1152x900x66 Current depth: 8 Depth Information: Possible depths: 8, 24 # fbconfig -list Device-Filename Specific Config Program --------------- ----------------------- /dev/fbs/pfb0 SUNWpfb_config /dev/fbs/pfb0a SUNWpfb_config /dev/fbs/pfb0b SUNWpfb_config * いろいろやってみたがだめだった モニタが映らないので設定をいじるのは大変。KVMスイッチはやめて直接キ−ボ−ドと マウスとモニタを Blade 2500 につなげて、他のマシンから telnet で入って操作をする。 fbconfig コマンドなどでモニタの解像度を変更するようにしてマシンを rebootして、映 ってくるか調べるという。RS-232C でパソコンからマシンにアクセスしながら、操作がで きればやりやすいのだが、そうは行かない。この Sun Bladeマシンでは、キ−ボ−ト/マ ウス/モニタをつないでいると RS-232C 接続はできないらしい。 逆もそうで、どちらか しか使えないようなのである。まったくもってやらしい話である。 # fbconfig -res 1280x1024x60 SUNWpfb_config: Warning: no edid data available from monitor A SUNWpfb_config: Cannot verify that 1280x1024x60 is a supported video resolution for this monitor SUNWpfb_config: Use 1280x1024x60 anyway (yes/no) ? no SUNWpfb_config: No changes made; use "nocheck" to force change # fbconfig -res SUNW_STD_1280x1024x60 SUNWpfb_config: Warning: no edid data available from monitor A SUNWpfb_config: Cannot verify that SUNW_STD_1280x1024x60 is a supported video resolution for this monitor SUNWpfb_config: Use SUNW_STD_1280x1024x60 anyway (yes/no) ? y コンソ−ル画面でも解像度を変えることができると、ネットを調べて書いてあるのを見つ けた。telnet で Blade マシンにアクセスしているので、Sun のキ−ボ−ドの Stop+A が 使えない。これで ok プロンプトを通常は出すのだができない。 # shutdown -y -g0 -i0 でOSとデ−モンを停止させる。そこまではいいのだが telnet も終わってしまう。仕方 ないので、とりあえず青ぽいけど写るソニ−のモニタをつないで ok プロンプトになって いるところで次のコマンドを打った。go は効かなかったので syncを打った、クラッシュ のコアダンプを吐いて立ち上がってきた。/var/crash/hostB/vmcore.0 とか vmcore.1 と かできた。因みに vmcore.0 のサイズは # ls -l で見たら 15154944 だった。 ok setenv output-device screen:r1280x1024x76 このコマンドの後は ok reset か power-off とか sync。go は効かなかった。 * だめ押しでこれやったら直った # fbconfig -default << デフォルトにしてみた。 # fbconfig -propt << これができた時の状態。 --- OpenWindows Configuration for /dev/fb --- OWconfig: machine Video Mode: NONE Depth: 24 Screen Information: Doublewide: Disable Doublehigh: Disable Offset/Overlap: [0, 0] Output Configuration: Direct Fake8 Rendering: Disable Gamma Correction: no # eeprom << こんなコマンドもあった。 | screen-#rows=34 ttyb-rts-dtr-off=false ttyb-ignore-cd=true ttya-rts-dtr-off=false ttya-ignore-cd=true ttyb-mode=9600,8,n,1,- ttya-mode=9600,8,n,1,- output-device=screen:r1280x1024x60 input-device=keyboard | これでも解像度を変えることができるみたい。 # eeprom output-device=screen:r1280x1024x60 * fbconfig コマンド参考 # fbconfig -help fbconfig [-list] [-dev devname | abbreviation] [-res video-mode] [-propt] [-prconf] [-help] Usage: SUNWpfb_config [-dev devname] [-file machine | system] [-res video-mode [now] [noconfirm] [nocheck] [try]] [-doublewide enable | disable] [-doublehigh enable | disable] [-outputs swapped | direct] [-fake8 enable | disable] [-offset xoff-value yoff-value] [-depth 8 | 24 ] [-g enable | disable | gamma-value] [-propt] [-prconf] [-help] [-res \?] [-defaults] -dev device to configure. Default: /dev/fbs/pfb0 -file which OWconfig file to update. Default: machine -res video-mode to set on device. No default. -res \? will show list of possible video modes. -doublewide If enable, combine both displays into one horizontal virtual display. Default: Disable -doublehigh If enable, combine both displays into one vertical virtual display. Default: Disable -outputs If swapped, and -doublewide or -doublehigh are set, then swap the displays vertically or horizontally. Default: Direct -fake8 If enable, 8bit windows will be rendered without a hardware colormap to reduce colormap flashing. Performance degradation might be observerd. Default is disable. -offset Adjusts the position of the secondary stream. Currently only implemented in -doublewide and -doublehigh modes. For -doublewide the X offset is used to position the DVI stream if -outputs is direct (or VGA stream if -outputs is swapped). Negative value specifies the overlapped region with the primary stream. Similar for -doublehigh, except Y offset is used. Positive values are treated as 0. Default: [0: 0] -depth depth to set on device. No default. Possible values are 8 or 24 . -defaults set all options for specified device back to default values (except for -dev). -propt print out current option settings. -prconf print out device hardware configuration. -help print out this message.