gate-toroku-system(1)

名前

書式

説明

gate-toroku-sytem は UNIX のユーザ登録と DNS 登録を 自動化するソフトウェアです。 プログラムはほとんど perl(1) スクリプトです。

主要なユーザインターフェイスは WWW を用いて CGI 経由でプログラムを動作させるものですが、 CGI が内部的に起動するコマンドを 用いることによってシェルプロンプトからでも操作ができます。

gate-toroku-system の特徴

gate-toroku-system で管理されるシステムは以下のような 構成上の特徴を持ちます。

*

gate-toroku-system はホスト上のユーザアカウントの管理(ユーザーモード) と DNS における単一ドメインの管理 (IP モード) を行うことができます。 ユーザーモード、IP モード は設定ファイル (gate-sys.conf) により それぞれ、スイッチオン・オフすることができます。

*

ユーザアカウント管理も DNS に登録するホストの管理もカード型データベースを 基に行われます。

ユーザー登録・DNS 登録ともに、保証人による認証によりいたずらによる アカウント作成を防ぐことができます。 保証人は gate が保証人となっているユーザです。 保証人は、gate-toroku-system より新規申請されたユーザの認証を 促すメールを受け取ったら、ユーザ登録の承認・却下・保留のいずれかを 行う必要があります。

*

ユーザは UID の数値によって一般ユーザとシステムユーザに 区分されます。 gate-toroku-system のユーザモードでは一般ユーザを管理し、 システムユーザのアカウントについては変更を行いません。 一般ユーザの UID は標準設定では Debian GNU/Linux にしたがい 1000 から 29999 の範囲となっています。

*

一般ユーザ登録を行うとユーザと同名で UID と 同じ数値の GID をもつグループが作成されます。

*

いったん登録を完了したログイン名は たとえ利用抹消を行っても再度別の申請者が使うことはできません。

*

一般ユーザには個人ユーザとグループユーザがあります。 グループユーザは従来のグループの役割を担うために作られました。 すべての個人ユーザはグループユーザを作成することができます。 グループユーザアカウントを利用することによりメーリングリストの 開設も行うことができます. 一般ユーザに対しては quota の設定を行うこともできます.

*

個人ユーザは個人ユーザを作成する権限をもつものと そうでないものがあります。

*

DNS サーバは単一のドメインおよび単一のゾーンを管理します。

*

ユーザ登録と異なり、いったん登録を完了したホスト名でも 利用抹消を行えば再度別の申請者が使うことができます。

*

gate-toroku-system では複数のホストのユーザーアカウントを 管理を行うこともできます。 ユーザーアカウントの共通管理を行うためには、1 つの登録サーバを用意 します。 ユーザーアカウントの申請・アカウント作成作業は 登録サーバにおいて行います。 登録サーバにおけるアカウント作成後、他のホスト (子どもサーバと呼びます)へユーザーのデータベースが転送されます。 子どもサーバでは転送されたデータベースをもとに自動的に ユーザアカウントが作成されます。 gate-toroku-system は自分の FQDN (Full Qualified Domain Name; 完全なドメイン名) を hostname コマンドで調べて、これが gate.conf 内の $DBSERVER 指定と一致するかどうかで自分が登録サーバかどうかを判定します。 登録サーバ以外のホストはgate.conf 内の連想配列 %DB_SHARE_HOSTS に列挙します。

*

本気モードとテストモードの 2 種の動作モードがあります。 本気モードでは、正式のユーザー管理(system の passwd, shadow, group, sudoers などの各種ファイルの書き換え・ホームディレクトリの作成)及び IP 管理(DNS 登録)を行います。 テストモードでは system のファイルを書き換えずに(アカウント作成・DNS 登録 は行わない)、 $ETCDIR, $MAKE_HOME, $VAR_NAMED_DIR で指定された ディレクトリ以下( gate-sys-conf(5) 参照)のファイルの書き換えのみを行います。 テストモードは gate-toroku-system の動作確認・設定チェックを 行う場合に使用します。

ユーザ登録のためにユーザ・保証人が行うべきこと

ユーザ登録申請

ユーザ登録を行いたい利用者(以下、申請者)は gate-toroku-system の登録用 web ページ で必要な情報を記入し submit します。 もしくは、書式 gate-user-db(5) にしたがって登録申請カード (ファイルのことです) の作成し このファイルを gate-user-apply(1) コマンドの入力として与えます。 なお、「保証人」欄にはすでにユーザ登録を済ませている 保証人有資格者 ( gate ユーザを保証人とするもの) を記入しなければなりません。

保証人によるユーザ認証

ユーザ登録申請が行われると登録申請カードの「申請者の連絡先」と「保証人」に 電子メールでユーザ登録申請が行われた旨が通知されます。 保証人は gate-toroku-page WEB ページのユーザ登録認証のページ で認証作業を行います。 申請が正当なものであるなら認証を行い、不当なものであるなら却下します。 ユーザー認証は WEB ページを介さずにおこなうこともできます。 登録承認及び不審な申請の却下は gate-user-accept(1) コマンドによって行います。

ユーザ登録の完了

登録の承認または却下は申請者と保証人に電子メールで通知されます。 承認のあとの最初のパスワードファイル更新時に 実際にアカウントが作成され、ログインできるようになります。 これをユーザの登録の完了と呼びます。 gate-toroku-system をデーモンモードで動かしているなら パスワードファイルの更新は承認と同時に行われます。

ユーザの登録情報の変更

ユーザアカウントの管理に関して gate-toroku-system は ログイン名のリストの表示・ユーザの登録情報の表示・登録内容の変更 をサポートしています。 これらは WEB ページによりおこなうことができます。 WEB ページを介さずに行うには次のようにします。 まず変更したいユーザのログイン名を確認します。 ログイン名のリストは登録申請中のものを含めて gate-user-list(1) コマンドで表示できます。 ログイン名が確認できたら gate-user-show(1) を起動して登録情報を表示させておいて、 これを適宜書き換えたあとで gate-user-renew(1) コマンドの入力として与えます。 登録内容の変更は承認を必要しません。

ユーザの登録抹消

登録を抹消する場合は、gate-toroku-system の登録抹消用 web ページ で必要な情報を記入し submit します。 もしくは、 gate-user-withdraw(1) コマンドを用います。

ユーザ登録における gate 内部の流れ

ユーザ登録申請

WEB ページにおける登録申請は gate-user-apply.cgi または gate-group-apply.cgi が受け付けます。これらの cgi スクリプトは WEB ページのフォームの入力情報をもとに申請カード作成し gate-user-apply(1) を実行します。 gate-user-apply(1) は、申請カードを $DB_PENDING ( gate-sys-conf(5) を参照) で指定されるディレクトリへ格納・ 仮パスワードの作成・申請者及び保証人へのメール送付を行います。

保証人によるユーザ認証

保証人による WEB ページにおけるユーザ認証は cgi スクリプト gate-user-accept.cgi が受け付けます。 gate-user-accept.cgi は保証人からの承認・却下の指示にしたがって gate-user-accept(1) を実行します。 gate-user-accept(1) は、 gate-syncd(8) への信号発信・申請者及び保証人へのメール送付を行います。 gate-syncd(8) は信号を受けると gate-daily(8) を起動します。 gate-daily(8) は gate-db-to-passwd(8), gate-db-to-shadow(8), gate-db-to-group(8), gate-make-home(8), gate-db-to-sudoers(8) を実行し、実際にアカウントを作成します。

ユーザの登録情報の変更

WEB ページにおけるユーザー登録情報の変更申請は gate-user-renew.cgi が受け付けます。 gate-user-renew.cgi は WEB ページで入力された変更情報をもとに新しい 申請カードを作成し、それを gate-user-renew(1) に喰わせます。

ユーザの登録の抹消

登録を抹消する場合は gate-user-withdraw(1) コマンドを用います。

DNS 登録操作の流れとコマンド

DNS 登録を行いたい利用者は書式 gate-user-db(5) にしたがって登録申請カード (ファイルのことです) を作成します。 このファイルを gate-ip-apply(1) コマンドの入力として与えるとユーザ登録申請が行われます。 同時に、登録申請カードの「申請者の連絡先」と「保証人」に 電子メールでユーザ登録申請が行われた旨が通知されます。 なお、「保証人」欄にはすでにユーザ登録を済ませている 保証人有資格者 ( gate ユーザを保証人とするもの) を記入しなければなりません。 (なお、申請カード作成から登録申請までの処理を WWW 経由で 行うために gate-ip-apply.cgi が用意されています)

通知を受けた保証人は申請が正当なものであることが確認できたら gate-ip-accept(1) コマンドによって登録承認を行います。 不審な申請は gate-ip-accept(1) コマンドによって却下してください。 登録の承認または却下は申請者と保証人に電子メールで通知されます。 (なお、承認または却下の処理を WWW 経由で行うために gate-ip-accept.cgi が用意されています)

承認のあと 実際に 1 st DNS サーバ上にゾーンファイルが作成されます。 これを DNS の登録の完了と呼びます。 この作業は gate-daily(8) から起動された gate-db-to-zone(8), gate-ip-update(8) によって実行されます。 gate-daily がいつ起動されるかは設定によります。 cron(8) によって定期的に起動される場合もあれば、 gate-user-accept(1) などのコマンドから gate-syncd(8) に送られた信号と同時に起動される場合もあります。

ホスト名のリストは 登録申請中のものを含めて gate-ip-list(1) コマンドで表示できます。 ホスト名から登録情報を得るには gate-ip-show(1) コマンドを用います。

登録内容を変更する場合は、 まず gate-ip-show(1) コマンドで自分の登録内容を表示させておいて、 これを適宜書き換えたあとで gate-ip-renew(1) コマンドの入力として与えます。 登録内容の変更は承認を必要とせず、 次回の gate-daily(8) 実行時に反映されます。 (なお、登録内容の変更を WWW 経由で行うために gate-ip-renew.cgi が用意されています)

登録を抹消する場合は gate-ip-withdraw(1) コマンドを用います。

参照

バグ

いっぱいあるはずです。 それがここに列挙されていないこと自体がバグです。

著作権情報

豊田英司 mailto:toyoda_at_gfd-dennou.org

山田学 mailto:mym_at_ep.sci.hokudai.ac.jp

奥山尚範 mailto:okuyama_at_gfd-dennou.org

石渡正樹 mailto:momoko_at_gfd-dennou.org

竹広真一 mailto:takepiro_at_gfd-dennou.org

小高正嗣 mailto:odakker_at_gfd-dennou.org

杉山耕一朗 mailto:sugiyama_at_gfd-dennou.org

森川靖大 mailto:morikawa_at_gfd-dennou.org