Linux/CGP作業メモ

■ [osiris]OSX用のおすすめ設定（WSMから本人投稿を再掲載 2004年2月）
前回までに設定したマシンmyclient01はOS標準の検知設定になっています。OSX用は以下のように表示されます。設定の書式はapacheと似ていてわかりやすいです。（とドキュメントに書いてある）:-)

[code]osiris-3.0.4-current: host myclient01　←osirisにログインしてhost xxxxとしてホスト設定に入る
myclient01 is alive.　←該当ホストが有効になっていればaliveと表示される
osiris-3.0.4-current[myclient01]: print-config　←print-configで現在の設定が表示される
config name: default.darwin　←OSX用のデフォルト
ID: 8850eba9
status: valid
errors: 0
warnings: 0
lines: 43

——–begin config file ——–

Recursive no　←ディレクトリをたどっていかない
FollowLinks no　←リンクをたどっていかない
IncludeAll　←全ての項目をチェック
Hash sha　←ハッシュにはshaを使う
　←システム項目に関する設定開始
　Include users　←ユーザの追加削除をチェック
　Include groups　←グループの追加削除をチェック
　Include kexts　←機能拡張の追加削除をチェック
　←システム項目の設定終了
　←/ディレクトリに関する設定開始
　Recursive no　←/ディレクトリだけを見ます
　Include file( “mach_kernel” )　←/mach_kernelのファイルだけを見ます

　←/private/var/rootディレクトリに関する設定開始
　Recursive yes　←/private/var/rootディレクトリ以下もたどって見ます
　Include executable　←実行形式のファイルだけを見ます（推測）
　Include suid　←suidされたファイルだけを見ます（推測）


　IncludeAll　←全ての項目をチェック


　IncludeAll


　IncludeAll


　IncludeAll


　IncludeAll


　IncludeAll


　IncludeAll

# EOF

——– end config file ——–[/code]

OSXではApplicationフォルダにファイルが追加されることが多いのでその設定を加えるためには、上記に以下の設定を追加すればOKです。

[code]
　IncludeAll

[/code]
設定を追加する時には以下のようにします。

[code]osiris-3.0.4-current[myclient01]: edit-config　←編集コマンド（必ずホスト設定にいないといけないです）[/code]

こうするとviエディタの画面になり上記の設定が表示され編集できます。編集を終えてviを終了すると以下の表示が出て完了します。
[code]
config file changed, updating…

the config: (default.darwin) was succesfully updated.
[/code]
■ [osiris]Filterの設定
この状態でそのまま運用しても大きな問題はないんでしょうが、時々気になることが起きます。それは/usr/binや/usr/sbinのほとんどファイルでctimeが異なるという検知結果を送ってくることです。

これを出ないようにするためにはfilterの設定を行います。osirisではホスト設定にfilterがあるのではなく、osirisのマネージャ設定（mhost）側にfilterを書くのでちょっとわかりにくい感じがします。

filterは最初は何も登録されていないので、以下のコマンドから始めます。
[code]
osiris-3.0.4-current: edit-filter 　←フィルタ編集コマンド

s) show current filters.　←現在のフィルタを表示するには「s」を入力
a) add a new filter.　←フィルタを追加するには「a」を入力
r) remove filter.　←フィルタを削除するには「r」を入力
q) quit　←フィルタ設定を終了します

> a　←追加なので「a」とします

> host (*=all hosts): *　←どのホストに適用するフィルタかホスト名で指定します
> path (*=any path): /Applications　←どのパスに適用するフィルタかフルパスで指定します

1) Include Only (monitor changes only to certain attributes)　←標準監視設定の一部だけを有効にしたい場合こちらを選択します
2) Exclude (ignore changes to certain attributes)　←標準監視設定の一部を無効にしたい場合こちらを選択します
> filter type: [2] 2　←今回は標準監視設定のctimeだけを無効にするのでこちらを選択します

csum – checksum　←チェックサム
device – device number　←デバイスナンバー（割り当てたネットワークカードが変わったりすると出ます）
inode – inode number　←inodeナンバー（HD上の記録位置）
perm – permissions (mode)　←アクセス権
links – number of hard links　←ハードリンクの数
uid – user ID　←ユーザID
gid – group ID　←グループID
mtime – last modification time　←最後に更新された時間
atime – last access time　←最後にアクセスされた時間
ctime – last change time　←最後に変化した時間？？？
dtype – device type　←デバイスタイプ（よくわかりません）
bytes – number of bytes　←ファイルの大きさ（バイト数）
blocks – number of blocks　←ファイルの大きさ（ブロック数）
bsize – block size　←ブロックのサイズ
osid – owner SID　←オーナーのセキュリティ識別子
gsid – group SID　←グループのセキュリティ識別子
fileattr – windows file attributes　←Windowsのファイル情報
new – not in trusted database　←新規に追加されたファイル
missing – not present in latest scan　←削除されたファイル

> attributes (comma separated): ctime　 ←今回はctimeだけ除外します（複数ある場合はカンマで区切って書きます）

does this look correct:
==> host=*;path=/Applications;exclude: ctime ; (y/n)? y　←確認されるので良ければy

filter added.　←無事追加されました
[/code]
こうして追加されたフィルタは上記で設定されたルールで各ホストに適用されます。

具体的には以下のような設定を持つホストの場合、

[code]
　IncludeAll
[/code]

本来であれば以下の項目全てがチェックされますが

[code]csum – checksum
device – device number
inode – inode number
perm – permissions (mode)
links – number of hard links
uid – user ID
gid – group ID
mtime – last modification time
atime – last access time
ctime – last change time
dtype – device type
bytes – number of bytes
blocks – number of blocks
bsize – block size
osid – owner SID
gsid – group SID
fileattr – windows file attributes
new – not in trusted database
missing – not present in latest scan[/code]

filterを設定したのでctimeだけはチェックされなくなるということです。逆に特定の項目だけチェックしたい場合は以下のようにします。（/Applicationに入るアプリの増減やアクセス権だけチェックしたいとか）

[code]> filter type: [2] 1　
> attributes (comma separated): new,missing,perm,uid,gid

does this look correct:
==> host=*;path=/Applications;include: new,missing,perm,uid,gid ; (y/n)? y[/code]

これでOKです。

■ [osiris]管理コンソールの証明書の更新
１年前に設定してこれまで問題なく動作していたosirismdが急にこんなメールアラートが出て動作しなくなりました。

[code]Subject: failed to start scheduled scan [host: myhost]
Date: Tue, 12 Apr 2005 18:22:51 +0900
From: “Osiris IDS”
To: mymailaddress
host: myhost

scheduled scan time: Tue Apr 12 15:00:03 2005
The scheduler produced the following error message:
session key negotiation failed.[/code]

何が起きたのか調べてみたところ、osirisをインストールした際に生成された証明書が１年で期限切れになっているらしいことがわかりました。この状態でosirisにログインしようとすると以下のようなエラーになります。

[code]Osiris command line management utility – version 3.0.4-current
authenticating to (myhost)

User: admin
Password:

WARNING : certificate authentication failed. The certificate
presented by the mangaement host (localhost) was not signed by
the root cert loaded from (/Users/username/.osiris/osiris_root.pem).

[ presented certificate ]

issuer = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
subject = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
untrusted MD5 fingerprint: 16:27:02:E6:4E:B9:36:EB:24:DA:C2:5B:F8:xx:xx:xx.

If you trust this certificate, delete the root cert and start
this application again.[/code]

この問題に対処するためには以下の操作を行ないます。

[code]$ sudo mv /usr/local/osiris/certs/osirismd.crt /usr/local/osiris/certs/old_osirismd.crt
$ sudo SystemStarter restart “Osiris IDS”[/code]

このコマンドを入力すると以下のような表示が出ます。

[code]
Welcome to Macintosh.
Osiris Management daemon stopped.
Osiris Scanning daemon stopped.
Starting osiris management daemon.
unable to load server certificate (/usr/local/osiris/certs/osirismd.crt)

==> creating one.

Generating RSA key, 2048 bit long modulus.
………+++
……………………………………Waiting for Osiris Host Intrusion Detection System
……………………………………………………….Waiting for Osiris Host Intrusion Detection System
………………+++

Starting osiris scanning daemon.
Startup complete.
Hangup[/code]

これで新しい管理用証明書が作成されました。

■ [osiris]ログインユーザの証明書の更新
上記の操作をやった後にosirisのadminを操作しようとするユーザのホームディレクトリにある.osirisフォルダ内のosiris_root.pemファイルを削除する必要があります。

[code]$ rm -f 〜/.osiris/osiris_root.pem[/code]

これをやっておかないとosirisにadminでログインできません。更にもうひとつ/usr/local/osiris/にあるosiris_root.pemも削除しておきます。

[code]$ sudo rm -f /usr/local/osiris/osiris_root.pem[/code]

これらの作業をやった後にadminでログインするようにしてください。

■ [osiris]チェック対象マシンの各host毎の証明書の更新
これまでの設定だけではosirismdへのログインはできますがhost設定をしようとすると以下のエラーになり接続することができません。

[code]osiris-3.0.4-current: host RemoteServer
error: session key negotiation with remote host failed.
[/code]

これを回避するためにはhostで設定したRemoteServerにsshでログインして以下の操作をしてください。

[code]$ sudo mv /usr/local/osiris/osiris_root.pem /usr/local/osiris/old_osirisroot.pem
$ sudo SystemStarter restart “Osiris IDS”
[/code]

この操作をした上でosirismdにadminでログインして以下の操作をします。

[code]osiris-3.0.4-current: host RemoteServer

RemoteServer is alive.
osiris-3.0.4-current[RemoteServer]: status

[ current status of host: RemoteServer ]
current time: Thu Apr 14 13:59:49 2005
up since: Thu Apr 14 13:59:07 2005
daemon status: idle.
config status: no config present.　←設定ファイルが消えているので注意
osiris version: 3.0.4-current
OS: Darwin 7.8.0

osiris-3.0.4-current[RemoteServer]: push-config　←設定ファイルをPushする

the config: (default.darwin) was succesfully pushed to host: RemoteServer

osiris-3.0.4-current[RemoteServer]: status

[ current status of host: RemoteServer ]
current time: Thu Apr 14 14:00:47 2005
up since: Thu Apr 14 13:59:07 2005
last config push: Thu Apr 14 14:00:35 2005
configuration id: cc4f6e68
daemon status: idle.

config status: current config is valid.　←設定ファイルが有効になった

osiris version: 3.0.4-current
OS: Darwin 7.8.0

osiris-3.0.4-current[RemoteServer]: start-scan　←スキャンを実行

scanning process was started on host: RemoteServer 　←スキャン成功
[/code]

ここまでやって証明書の更新が完了になります。

※再掲載に当たって一部修正しています。

ids, oldhatena, osiris

■ [ibook]iBook/AirMacExtremeBaseStationで無線キオスク設定手順書
安価なibookを利用して無線キオスク端末を作成してみる。目的は電源オンですぐに使えることと、簡単にはいたずらされないようにすること。実験では192.168.0.100にWebサーバを立てそこでWebを利用した情報サービスを行なうことを想定した設定になっている。約６０台のibookと４台のBaseStationで構成する。１度の利用は５０台を想定し、BaseStationは予備利用を考えて４台完全に同じ構成のクローンとする。利用するソフトウェアはOSX10.3.8、Safari、Saft（Safariのキオスク化ソフトウェア）、AirMac関連ツール。

■ [ibook]１）BaseStation準備
　・箱から本体と電源ケーブル（アダプタとケーブル）を取り出す

　・本体と電源ケーブルを接続し、コンセントにプラグを差し込む

　・本体正面の３つのLEDが点灯するのを確認

　・真ん中のLEDが点灯ままになり、右の１つが点滅になるを待つ

■ [ibook]２）BaseStation設定用iBook準備と設定
　・箱から本体と電源ケーブル（アダプタのみ）を取り出す

　・本体と電源ケーブルを接続し、コンセントにプラグを差し込む

　・本体と電源ケーブル接続部分のLEDが点灯するのを確認する

　・本体を開き、キーボード右上電源をonにする

　・起動待ち

　・「言語選択画面」で日本語を選択する

　・初期登録のセットアップが始まるのを待つ

　・「ようこそ」画面で「日本（それ以外のお客様:Non MYLINE PLUS）」を選択して「続ける」

　・「すでにMacをお持ちですか？」画面で「情報を転送しません」を選択して「続ける」

　・「基本環境の設定」画面では設定変更せず「続ける」

　・「AppleID」画面で「自分のAppleIDを作成しない。」を選んで「続ける」

　・「ユーザ登録の情報」で以下の内容を入力して「続ける」

　　姓名（カタカナ）：アナタノ　ナマエ

　　姓名（漢字）：アナタノ　ナマエ

　　郵便番号：xxx-xxxx

　　都道府県：東京都

　　市区町村：千代田区霞が関X−X−X

　　以降の住所：霞ヶ関ＸＸビル

　　メールアドレス：

　　市外局番：03

　　電話番号：xxxx-xxxx

　　お勤め先：カイシャノナマエ

　・「ユーザ登録の情報」画面で「大企業（500人以上）」と「その他」と「いいえ」を選んで「続ける」

　・「ローカルアカウントの作成」画面で以下の内容を入力して「続ける」

　　名前：カイシャノナマエ

　　ユーザ名：username

　　パスワード：userpassword

　　確認：userpassword

　　ヒント：

　・「インターネットの利用準備」画面で「インターネット設定を行わない」を選択して「続ける」

　・「.Macを利用する」画面で「.Macメンバー情報は後で設定したい」を選択して「続ける」

　・「接続の準備が整いました」画面で「続ける」

　・表示されるダイアログで「後で登録する」を選択する

　・「Mailの設定」画面で変更せず「続ける」

　・「時間帯の設定」で「東京-日本」を選択して「続ける」

　・「日付と時刻の設定」画面で設定変更せず「続ける」

　・「登録を忘れずに…」画面で「終了」

■ [ibook]３）BaseStationの設定
　・設定用iBookで「システム環境設定」の「ネットワーク」を開く

　・「場所」が「自動」、「表示」が「AirMac」になっていることを確認する

　・「AirMac」タブの「デフォルトで、次に参加する」が「自動」になっていることを確認する

　・「TCP/IP」タブの「IPv4を設定」が「DHCPサーバを参照」になっていることを確認する

　・「アプリケーション」フォルダの「ユーティリティ」の中にある「AirMac管理ユーティリティ」を起動する

　・「BaseStation xxxxx」が選択されていることを確認し、「設定」アイコンをクリック（xxxxxはランダム）

　・警告ダイアログが出たら「OK」ボタンを押す

　・「AirMac」タブの「ベースステーション」の項目に以下の内容を入力する

　　名前：WNetworkBS01

　　連絡先：カイシャノナマエ　情報システム部

　　場所：イベント用会場

　　パスワードの変更：userpassword

　・AirMacネットワークの項目に以下の内容を入力する

　　名前：WNetwork

　　ワイヤレスセキュリティ：「WPAパーソナル」を選択しパスワードに「wpapassword」

　　モード：802.11gのみ

　・「ファイル」メニューから「別名で保存…」を選択し、デスクトップに「WNetworkBS01設定」で保存する

　・ウインドウ右下の「アップデート」ボタンを押してアップデートする

　・BaseStation再起動後、iBookのメニューバー上のAirMacメニューから「WNetwork」を選択し接続する（要パスワード）

　・「AirMac管理ユーティリティ」に「WNetworkBS01」が表示されるのを確認

■ [ibook]４）一般用ibookインストール時設定
　・箱から本体と電源ケーブル（アダプタのみ）を取り出す

　・本体と電源ケーブルを接続し、コンセントにプラグを差し込む

　・本体と電源ケーブル接続部分のLEDが点灯するのを確認する

　・本体を開き、キーボード右上電源をonにする

　・起動待ち

　・「言語選択画面」で日本語を選択する

　・初期登録のセットアップが始まるのを待つ

　・「ようこそ」画面で「日本（それ以外のお客様:Non MYLINE PLUS）」を選択して「続ける」

　・「すでにMacをお持ちですか？」画面で「情報を転送しません」を選択して「続ける」

　・「基本環境の設定」画面では設定変更せず「続ける」

　・「AppleID」画面で「自分のAppleIDを作成しない。」を選んで「続ける」

　・「ユーザ登録の情報」で以下の内容を入力して「続ける」

　　姓名（カタカナ）：アナタノ　ナマエ

　　姓名（漢字）：アナタノ　ナマエ

　　郵便番号：xxx-xxxx

　　都道府県：東京都

　　市区町村：千代田区霞が関X−X−X

　　以降の住所：霞ヶ関ＸＸビル

　　メールアドレス：

　　市外局番：03

　　電話番号：xxxx-xxxx

　　お勤め先：カイシャノナマエ

　・「ユーザ登録の情報」画面で「大企業（500人以上）」と「その他」と「いいえ」を選んで「続ける」

　・「ローカルアカウントの作成」画面で以下の内容を入力して「続ける」

　　名前：カイシャノナマエ

　　ユーザ名：username

　　パスワード：userpassword

　　確認：userpassword

　　ヒント：

　・「インターネットの利用準備」画面で「既存のインターネットサービスを使う。」を選択して「続ける」

　・「インターネットの接続方法」で「ローカルネットワーク（AirMacワイヤレス）」を選択して「続ける」

　・「ワイヤレスサービス」画面で「WNetwork」を選択して「続ける」

　・「インターネット接続の設定」画面で以下の内容を入力して「続ける」

　　TCP/IP接続の種類：手入力

　　IPアドレス：192.168.0.151/24（→iBookには192.168.0.151〜211までのアドレスを設定してください）

　　サブネットマスク：255.255.255.0（自動入力）

　　ルータアドレス：192.168.0.1（自動入力）

　　DNSホスト：

　　ドメインネーム：

　　プロキシサーバ：

　・「.Macを利用する」画面で「.Macメンバー情報は後で設定したい」を選択して「続ける」

　・「接続の準備が整いました」画面で「続ける」

　・表示されるダイアログで「後で登録する」を選択する

　・「Mailの設定」画面で変更せず「続ける」

　・「時間帯の設定」で「東京-日本」を選択して「続ける」

　・「日付と時刻の設定」画面で設定変更せず「続ける」

　・「登録を忘れずに…」画面で「終了」

■ [ibook]５）一般用Ibookユーザ設定
　・４）に引き続き設定を行う

　・「システム環境設定」の「ネットワーク」を開く

　・「表示」項目から「ネットワークポート設定」を選択する

　・「内蔵モデム」「内蔵Ethernet」のチェックを外して「今すぐ適用」ボタンを押す

　・「表示」項目から「AirMac」を選択し、続いて「AirMac」タブを選択する

　・「AirMac」タブで表示されている「AirMacID」をメモしておく

　・「デフォルトで、次に参加する」を「特定のネットワーク」にし「WNetwork」を選択

　・「パスワード」項目に「wpapassword」を入力する

　・「このコンピュータがネットワークを作成するのを許可する」のチェックを外す

　・「TCP/IP」タブを選択し「IPv6を設定…」ボタンを押し、「IPv6を設定」を「切」にして「OK」ボタン

　・「今すぐ適用」ボタンを押す

　・画面左上の「全てを表示」をクリック、「共有」をクリック

　・コンピュータ名を「ibook151」とする（ibookの後の番号はIPアドレスの下３桁と同じにする）

　・先ほどの「AirMacID」とコンピュータ名を対にしてメモしておく

　・画面左上の「全てを表示」をクリック、「アカウント」をクリック

　・画面左下の「+」をクリックして新規ユーザを作成し以下の項目を入力する

　　名前：デモ

　　ユーザ名：demo

　　パスワード：demopassword

　　確認：demopassword

　　ヒント：

　・「ログインオプション」の項目をクリックして以下のように設定

　　ログイン時の表示：名前とパスワード

　　自動ログインのアカウント：チェック有り　デモ（要パスワード）

　・USBメモリから「Saft_Full.dmg」をデスクトップにコピーしてダブルクリックする

　・マウントされた「Saft_Full」から「Install Saft」を起動してインストールを行う（要パスワード）

　・インストーラーの指示に従いインストールを行う（要パスワード）

　・アップルメニューから「ログアウト」を選択して「ログアウト」する

　・ユーザ「デモ（demo）」でログインする（要パスワード）

　・「システム環境設定」の「省エネルギー」を開き、「省エネルギー設定を最適化」を「最大パフォーマンス」に設定する

　・「すべてを表示」をクリックし「アカウント」を開く

　・画面右側の「起動項目」タブを選択して「+」ボタンをクリックし選択ダイアログから「Safari」を探して「追加」する

　・項目に「Safari」が追加されたことを確認して、アップルメニューから「ログアウト」する

　・ユーザ「カイシャノナマエ（username）」でログインする（要パスワード）

　・「システム環境設定」の「アカウント」を開く

　・ユーザ「デモ」を選択する

　・画面右側の「制限」タブをクリックし、シンプルFinderを選択する

　・「アプリケーション」の「許可」チェックを外し、▲マークをクリック

　・アプリケーションのリストから「Safari」を探して「許可」にチェックする

　・アップルメニューから「ログアウト」を選択して「ログアウト」する

　・ユーザ「デモ（demo）」でログインする（要パスワード）

　・自動的に「Safari」が起動するので、メニューバーの「Safari」メニューから「環境設定」を選択する

　・「環境設定」が開いたら「一般」アイコンをクリックし、「ホームページ」項目を「http://192.168.0.100/」に変更する

　・続いて「表示」アイコンをクリックし、標準フォントを「コレクション」→「日本語」→「ヒラギノ角ゴPro」→「14」に設定する

　・同様に等幅フォントを「コレクション」→「等幅」→「Monaco」→「14」に設定する

　・デフォルトエンコーデイングを「日本語（Shift jis）」に変更する

　・「ブックマーク」アイコンをクリックし、全てのチェックを外す

　・「自動入力」アイコンをクリックし、全てのチェックを外す

　・右はじの「Saft」をクリックして「キオスク」タブを選択する

　・「キオスクモード」にチェックを入れて、「HTTP/HTTPSプロトコルのみ」「Safariをリセットするボタンを追加する」をチェックしそれ以外のチェックを外す

　・「環境設定」を閉じる

　・「Safari」の「表示」メニューから「ホーム」「テキストサイズ」にチェックをつける

　・同様に「ブックマークに追加」「Google検索」「バグレポートを送信」「ブックマークバー」からチェックを外す

　・「Safari」を一旦終了し、画面下部のドックからFinderアイコンの右隣「マイアプリケーション」をクリックし「Safari」を再度立ち上げる

　・フルスクリーン画面になっていることを確認して「Cmd+Option+Control+ESC」のキーコンビネーションで強制終了する

　・アップルメニューから「ログアウト」を選択する

　・ログインパネルで「システム終了」を選んで電源を落とす

　・確認のため電源をonにする

　・起動して、自動でログインされSafariが指定のURLで起動すればOK

　・「Cmd+Option+Control+ESC」のキーコンビネーションで「Safari」を強制終了してログアウトする

　・ログインパネルで「システム終了」を選んで電源を落として終了

■ [ibook]６）iBook設定の複製（テスト記録が一部ないため記述間違いがあるかも）
　・設定済みiBookを「T」キーを押しながら起動する

　・ディスプレイにFireWireマークが出るのを確認する

　・この状態で新規に設定しようとするiBookとFireWireケーブルで接続する

　・新規設定するiBookを起動する

　・「言語選択画面」で日本語を選択する

　・初期登録のセットアップが始まるのを待つ

　・「ようこそ」画面で「日本（それ以外のお客様:Non MYLINE PLUS）」を選択して「続ける」

　・「すでにMacをお持ちですか？」画面で「情報を転送する」を選択して「続ける」

　・設定済みibookから全ユーザ分と「アプリケーション」「ライブラリ」の設定をコピーする

　　（選択可能な全ての設定をコピーしてもらっていいと思います）

　・設定終了後、もしユーザ「デモ」で起動すると「Safari」が自動起動する（ユーザ「カイシャノナマエ」だったら２行下へ）

　・その場合は「Cmd+Option+Control+ESC」のキーコンビネーションで「Safari」を強制終了してログアウトする

　・ユーザ「カイシャノナマエ（username）」でログインする（要パスワード）

　・「システム環境設定」の「ネットワーク」を開く

　・「表示」項目から「AirMac」を選択し、続いて「AirMac」タブを選択する

　・「AirMac」タブで表示されている「AirMacID」をメモしておく

　・「TCP/IP」タブを選択し「IPアドレス」項目を重複しないように192.168.0.152などに順次変更し「今すぐ適用」ボタン

　・画面左上の「全てを表示」をクリック、「共有」をクリック

　・コンピュータ名を「ibook152」とする（ibookの後の番号はIPアドレスの下３桁と同じにする）

　・先ほどの「AirMacID」とコンピュータ名を対にしてメモしておく

　・「システム環境設定」を閉じる

　・アップルメニューから「システム終了」を選択して終了

　・確認のため電源をonにする

　・起動して、自動でログインされSafariが指定のURLで起動すればOK

　・「Cmd+Option+Control+ESC」のキーコンビネーションで「Safari」を強制終了してログアウトする

　・ログインパネルで「システム終了」を選んで電源を落として終了

　・この作業を台数分繰り返す

■ [ibook]７）BaseStationの設定の複製
　・設定用iBookで「システム環境設定」の「ネットワーク」を開く

　・「場所」が「自動」、「表示」が「AirMac」になっていることを確認する

　・「AirMac」タブの「デフォルトで、次に参加する」が「自動」になっていることを確認する

　・「TCP/IP」タブの「IPv4を設定」が「DHCPサーバを参照」になっていることを確認する

　・「アプリケーション」フォルダの「ユーティリティ」の中にある「AirMac管理ユーティリティ」を起動する

　・「BaseStation xxxxx」が選択されていることを確認し、「設定」アイコンをクリック（xxxxxはランダム）

　・警告ダイアログが出たら「OK」ボタンを押す

　・「ファイル」メニューから「読み込み…」を選ぶ

　・デスクトップに保存した「WNetworkBS01設定」を読み込む

　・設定が読み込まれたら、「AirMac」タブの「ベースステーション」の「名前」項目を変更する

　　名前：WNetworkBS02（番号は順次更新してください）

　・ウインドウ右下の「アップデート」ボタンを押してアップデートする（これで「WNetworkBS01設定」が複製されます）

　・BaseStation再起動後、iBookのメニューバー上のAirMacメニューから「WNetwork」を選択し接続する（要パスワード）

　・「AirMac管理ユーティリティ」に「WNetworkBS02」が表示されるのを確認

　・これを台数分行う

必要であればこの際に、作成したメモからibookのMACアドレスを入力し、MACアドレスによる接続制限の追加をする。追加した設定を保存し別のBaseStationに上記の方法でコピーしてやればよい。クローズドな無線ネットワークの場合にはMACアドレス制限までは不要と思われる。

ibook, oldhatena

■ [webcam]某FlashベースWeb会議システム検証結果覚え書き
とあるFlashベースのシステムを検証する機会があったので覚え書き。少人数ならまずまず使えるが同時接続点が６カ所超えるといろいろと考慮すべき点がある。

利用者にとっては画質よりも音声遅延の方が問題

遅延を少なくする対応が最優先課題

遅延時間はCPUとWebCamのスペックに大きく左右される

Celeronの800MHzくらいじゃダメ　Pentium4の1.6GHzならOK (Win2000sp4)

PowerPCならG4の800MHzで十分 (OSX10.3.8)

CMOSよりもCCDのカメラ　CPU負荷が大きく違う模様

一人一台カメラ＆インカムの方が望ましい　集音マイクはエコーで遅延原因になる

それでも大画面プラズマやスピーカーは別途用意されていると便利（らしい）

USBCamでもFireWireCamでも表示画質はあんまり大差がない　３５万画素で十分

Logicoolはカメラもマイクもインカムも国内他社より同価格帯でも品質がよかった

スピーカ音で聞いている場合カメラ内蔵マイクがPCのノイズを拾い始めるとループになりノイズが増幅して騒音や遅延の原因になり利用できなくなる

カメラにはマイク内蔵でない方がノイズ問題は起きにくい（ドライバの出来による？）

QoSをうたっているだけあり？細い回線の拠点でも問題なく動作している状況で帯域使用率は40%程度であった

実験はBフレッツ*4、広域LAN*1、社内LAN*3の構成で北海道から九州までバラバラの拠点からVPN経由で社内サーバへ接続

思ったより使えると思っていたのだが、人数が増えるとやはり処理能力がモノを言うようで細かいケアが必要になることがわかった。特にノイズは大きな問題で、カメラやインカムの選び方は重要。感度も製品により大きく異なるので結局安いモノは避けた方がいいということなのかもしれない。

■ [webcam]某FlashベースのWeb会議システムリベンジ
先日同時多拠点接続で実用に課題のあった同じシステムを、PCとWebカメラを刷新してリベンジマッチ。

前回の構成と平均遅延時間
　Celeron 800MHz NotePC
　CMOS 30万画素　WebCam
　インカム＆集音マイク＆スピーカ
　2〜5秒

今回の構成と平均遅延時間
　PentiumM 1.5GHz NotePC
　CCD 30万画素　WebCam
　インカム（エコーキャンセル付き）
　0.2〜0.5秒

PCスペックとカメラ＆インカムを変更しただけで、それ以外のサーバ機材とネットワーク環境は全く同じにも関わらず、体感は次元の違うものになった。Flashベースのこのシステムでは画像処理エンコードにかなりのCPUパワーが必要なようで、CPUを上げたことで思った以上の効果が出たようだ。各拠点の担当女性に試用してもらったのだが、前回の試験と違い話題がはずむこと！遅延がない＆画質が多少よいってことは、こんなに人のコミュニケーションを変えるものかと思う。結局１時間半の試験中大きなストレスを抱える事なくコミュニケーションをつなげることができた。音声品質や同時性の観点から多人数会議を行うためには、議事進行者に少々スキルが要求されるものの、十分にコミュニケーションをなしうると判断。試用してもらった女性らは、毎日拠点間ミーティングを開いてもいいくらいだと評価してくれた。あとは決裁権限者にどうアピールするか。

ちょうどvSkypeもβリリースされているようだし、そちらも試してみようと思う。無料で使える同時接続は４カ所までのようだが、画質もよいという評判なのでそれはそれで別の用途で利用できるかもしれない。

Flash, oldhatena, webcam

(まだ評価されていません)

Loading...

■ [tool]vSkype実験してみた
ということで某FlashWeb会議システムの検証のついでにvSkypeも実験してみた。まずはSkypeのHP（http://www.skype.com/intl/ja/）からSkypeをダウンロード。vSkypeはSkypeのプラグインなので必須。vSkypeもHP（http://www.vskype.com/）からダウンロード。vSkypeは英語ページしかないけど、downloadリンクをクリックするとすぐに落とせるので迷う事はほとんどない。

あとは以下の手順で。

Skypeのインストール

Skypeを起動してアカウント作成（新規にした）

２台目のPCにもSkypeを設定

コンタクトリストに双方のアカウントを登録

vSkypeをインストール（要管理者権限orPowerUser権限）

vSkypeではSkypeのコンタクトリストにあるユーザに対してのみCallできるらしい。SkypeのVideoメニューからCall画面を開く。Call画面で呼ぶ人を選んでCall。すると呼ばれた人にはメッセージが表示され、メッセージ中の指定のURLをクリックするとブラウザが開いて参加するかどうか確認する画面が現れる。ここでJoinを選べば参加できる。

Flashベースのものに比べると非常に画質も音質も優れているのだが、画像がきれいな分コマ落ちしたぎこちない動きになっているよう。音質も聞き取りやすいのだが、エコーキャンセルの仕組みのせいか「ぶつ切り」感があってちょっと慣れが必要そう。実際に利用した感じではFlashベースの仕組みの方が全体バランスがよくスムーズな印象を受ける。画質重視な場合にはvSkypeを選ぶべきって感じか。

それにしてもhttpとhttpsしか外部につなげないうちの社内から、こうも簡単に使えるインターネット電話＆ビデオ電話が存在しちゃうのがすごいよなぁ。うーむ。

さて、こうなるとh.264搭載のiChatも試しておかないとなぁ。Tiger鯖は社内にあるからやってみようか。

■ [tool]Skype通信を検出して防ぐ
セキュmemoでタイムリーなネタが紹介されていたので。なるほど。DeleGateを間に入れてやればいいのか。SoftEtherも同様に対処できているらしい。すばらしい。

[DeleGate] Re: skype の中継停止するには
http://www.delegate.org/mail-lists/delegate/13003

delegate, oldhatena, vSkype

(まだ評価されていません)

Loading...

■ [tool]Timbuktu待ち受けプロセスの再起動
なぜか稼働中のOSXマシンのTimbuktuサービスにアクセスできなくなることがある。sshで入ると待ち受けプロセス(Timbuktu Host.app)が起動していない。その時の対策。

[code]$ sudo open “/Applications/Timbuktu Pro/Timbuktu Pro.app/Contents/SharedSupport/Timbuktu Host.app”[/code]
これでマシンを再起動せずに待ち受けプロセスを復活させることができる。

oldhatena, Timbuktu

■ [tool]ntop3.1のインストール
MacOSXで利用可能なトラフィックモニタはいくつかあるが、商用製品は高いので手軽に使えるntopを設定してみる。ntopは結構以前からOSX用に移植されており、手持ちのバイナリでは2.1.1が残してある。2.2や3.0ではgdbmなどを別コンパイルする必要があるなど多少面倒な部分があったが、3.1ではどうやらその必要はなく、用意されたpkgをインストールするだけで主な機能が利用可能になっているようだ。

ntopを利用するためには公式サイトからOSX用のpkgをダウンロードすればよい。http://www.ntop.org/　からntop-3.1-macosx.binをダウンロードして展開する。ntop-3.1-macosx.pkgができるので、これをダブルクリックすれば後はOSXの他のソフトウェア同様にインストーラの指示に従うだけでいい。

注意したいのは、旧バージョンのntopをインストールしている場合には必ず/usr/local/ntopを削除してから行うこと。

■ [tool]ntop3.1を起動する
起動はいたって簡単。Terminalから

[code]$ sudo /usr/local/ntop/bin/ntop -u root -w 8888[/code]
とすれば管理者パスワードを求められた後、起動し始める。一番最初の起動ではadmin用パスワードを求められるので、

[code]Please enter the password for the admin user: [/code]
この表示が出たら（起動途中で CHKVER: This version of ntop is the CURRENT stable version という表示のまま止まることがあるが、リターンキーを押すとパスワード入力の表示が出てくるようだ）パスワードを入力する。確認も含めて２回入力を求められる。するとadminパスワードがセットされ起動が続く。

[code]NOTE: -L | –use-syslog=facility not specified, child processes will log to the default (24). [/code]
という表示が出たところで起動プロセスが一旦終了。

[code]$ sudo lsof -i[/code]
でntopのプロセスが起動しているかどうか確認する。

[code]ntop 3765 root 12u IPv6 0x03e76e80 0t0 TCP *:ddi-tcp-1 [/code]
こんな出力が出ていればOK。

ここまでできたら後はsafariでhttp://localhost:8888/へアクセスすればntopの画面が表示される。

ntopを終了させる場合には、ブラウザ上でntopメニューのAdminからshutdownを選択する。ユーザIDとパスワードを求められるので、ユーザにadmin、パスワードはさきほどセットしたパスワードを入力する。

■ [tool]ntop起動オプション
必要な時だけ起動するなら上記のコマンドでいいが、常時起動させておく場合にはデーモンモードを利用する。

[code]$ sudo /usr/local/ntop/bin/ntop -u root -d -w 8888[/code]
httpsでアクセスしたい場合には以下のようにする。

[code]$ sudo /usr/local/ntop/bin/ntop -u root -W 8888[/code]
トラフィック監視するインターフェースを特定する場合。

[code]$ sudo /usr/local/ntop/bin/ntop -u root -i en0 -w 8888[/code]

ntop, oldhatena