Spring Boot で LDAP 認証

admin java

Spring Boot で作った Web アプリケーションに LDAP 認証の機能をつける検証をしたのでメモしておく。

まず LDAP サーバーは CentOS 7 + OpenLDAP 2.4 で、ディレクトリ ツリーは以下のような構成。ユーザーは smbldap-tools で管理していて、グループ側のエントリーの memberUid 属性で所属グループを管理する。

  • dc=example,dc=org
    • ou=Users
      • uid=user1
      • uid=user2
      • ...
    • ou=Groups
      • cn=Domain Admins
      • cn=Domain Users
      • ...

さらにアクセス制限として、LDAP サーバーとの通信には暗号化が必須で 389/tcp への接続しか許可していないので、必然的に STARTTLS することになる。ou=Users サブツリーについては誰でも参照可能に設定してあるけど、これは後述する Spring Boot の動きに合わせたもの。

認証フロー

Spring Boot からのユーザー認証は Spring Security の機能が使われるという話は省略するとして、実際に LDAP を使って認証する方法は次の 2 通りある。

  1. 固定のアカウントでバインドしてユーザーを検索し、パスワード (のハッシュ) を比較する方法
  2. クライアントから提供された認証情報 (ID、パスワード) でバインドできるかどうか試す方法

前者の方法だとどうしてもどこかにパスワードを書かないといけないので、後者の方法を使うことにする。そうすると次のような動作になる。

  1. クライアントがフォームや Basic 認証で ID とパスワードを送信
  2. ID とパスワードで LDAP サーバーにバインド
  3. ユーザーの所属するグループを取得して権限を設定

3 については認証だけなら必要ないけど、権限によるアクセス制限を想定していれておく。それでこの時、認証とは違う接続が使われてクライアントからの ID とパスワードは使われない。別の認証情報も設定していないので匿名でバインドすることになる。これに対応するためにサーバーのアクセス制限を調整した。取得した権限は ROLE_DOMAIN USERS などのような authority として参照できる。

コード

Spring Initializr なり IDEプラグインなりで Spring Boot アプリケーションを作る。このとき、SecurityLDAP を含めておくこと。実際にはそれでも足りなくて、dependency を 1 つ追加する。Maven の場合は次のような感じ。

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-ldap</artifactId>
</dependency>

認証設定を定義するクラス。ここに載せているのは Bean 定義だけで、細かいアクセス制限は省略している。

package org.example.spring.ldap;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.ldap.core.ContextSource;
import org.springframework.ldap.core.support.AbstractContextSource;
import org.springframework.ldap.core.support.AbstractTlsDirContextAuthenticationStrategy;
import org.springframework.ldap.core.support.BaseLdapPathContextSource;
import org.springframework.ldap.core.support.DefaultTlsDirContextAuthenticationStrategy;
import org.springframework.ldap.core.support.DirContextAuthenticationStrategy;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.ldap.DefaultSpringSecurityContextSource;
import org.springframework.security.ldap.authentication.AbstractLdapAuthenticator;
import org.springframework.security.ldap.authentication.BindAuthenticator;
import org.springframework.security.ldap.authentication.LdapAuthenticationProvider;
import org.springframework.security.ldap.authentication.LdapAuthenticator;
import org.springframework.security.ldap.userdetails.DefaultLdapAuthoritiesPopulator;
import org.springframework.security.ldap.userdetails.LdapAuthoritiesPopulator;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public DirContextAuthenticationStrategy authenticationStrategy() {
        // STARTTLS してくれる DirContextAuthenticationStrategy
        AbstractTlsDirContextAuthenticationStrategy authenticationStrategy = new DefaultTlsDirContextAuthenticationStrategy();
        // 毎回 TLS を切断する。これをしないと "TLS already started" というエラーになって 2 回目以降認証できない。
        authenticationStrategy.setShutdownTlsGracefully(true);

        return authenticationStrategy;
    }

    @Bean
    public BaseLdapPathContextSource contextSource(DirContextAuthenticationStrategy authenticationStrategy) {
        // LDAP サーバーの URL とルート DN
        AbstractContextSource contextSource = new DefaultSpringSecurityContextSource(
                "ldap://example.org/dc=example,dc=org");
        contextSource.setAuthenticationStrategy(authenticationStrategy);

        return contextSource;
    }

    @Bean
    public LdapAuthenticator authenticator(BaseLdapPathContextSource contextSource) {
        AbstractLdapAuthenticator authenticator = new BindAuthenticator(contextSource);
        // ユーザー DN のテンプレートをルート DN からの相対で指定
        authenticator.setUserDnPatterns(new String[] { "uid={0},ou=Users" });

        return authenticator;
    }

    @Bean
    public LdapAuthoritiesPopulator authoritiesPopulator(ContextSource contextSource) {
        // グループ検索で使うベース DN
        DefaultLdapAuthoritiesPopulator authoritiesPopulator = new DefaultLdapAuthoritiesPopulator(contextSource,
                "ou=Groups");
        // グループ検索で使うフィルター。{0} は DN に置き換わる
        authoritiesPopulator.setGroupSearchFilter("(memberUid={1})");

        return authoritiesPopulator;
    }

    @Bean
    public AuthenticationProvider authenticationProvider(LdapAuthenticator authenticator,
            LdapAuthoritiesPopulator authoritiesPopulator) {
        return new LdapAuthenticationProvider(authenticator, authoritiesPopulator);
    }
}

PowerShell でスクレイピングしてみる

devel

唐突だけど、ちょっと PowerShell で Web サイトをスクレイピングしてみる。

PowerShell で HTTP リクエストを送信するには Invoke-WebRequest コマンドレットを使う。

PS D:\Users\dacci> Invoke-WebRequest 'http://example.org/'


StatusCode        : 200
StatusDescription : OK
Content           : <!doctype html>
                    <html>
                    <head>
                        <title>Example Domain</title>

                        <meta charset="utf-8" />
                        <meta http-equiv="Content-type" content="text/html; charset=utf-8" />
                        <meta name="viewport" conten...
RawContent        : HTTP/1.1 200 OK
                    Vary: Accept-Encoding
                    X-Cache: HIT
                    Accept-Ranges: bytes
                    Content-Length: 1270
                    Cache-Control: max-age=604800
                    Content-Type: text/html
                    Date: Fri, 26 May 2017 14:51:17 GMT
                    Expires: ...
Forms             : {}
Headers           : {[Vary, Accept-Encoding], [X-Cache, HIT], [Accept-Ranges, bytes], [Content-Length, 1270]...}
Images            : {}
InputFields       : {}
Links             : {@{innerHTML=More information...; innerText=More information...; outerHTML=<A href="http://www.iana
                    .org/domains/example">More information...</A>; outerText=More information...; tagName=A; href=http:
                    //www.iana.org/domains/example}}
ParsedHtml        : System.__ComObject
RawContentLength  : 1270

結果は何かのオブジェクトで返ってくるらしい。どんなオブジェクトなのか調べてみる。

PS D:\Users\dacci> Invoke-WebRequest 'http://example.org/' | Get-Member


   TypeName: Microsoft.PowerShell.Commands.HtmlWebResponseObject

Name              MemberType Definition
----              ---------- ----------
Dispose           Method     void Dispose(), void IDisposable.Dispose()
Equals            Method     bool Equals(System.Object obj)
GetHashCode       Method     int GetHashCode()
GetType           Method     type GetType()
ToString          Method     string ToString()
AllElements       Property   Microsoft.PowerShell.Commands.WebCmdletElementCollection AllElements {get;}
BaseResponse      Property   System.Net.WebResponse BaseResponse {get;set;}
Content           Property   string Content {get;}
Forms             Property   Microsoft.PowerShell.Commands.FormObjectCollection Forms {get;}
Headers           Property   System.Collections.Generic.Dictionary[string,string] Headers {get;}
Images            Property   Microsoft.PowerShell.Commands.WebCmdletElementCollection Images {get;}
InputFields       Property   Microsoft.PowerShell.Commands.WebCmdletElementCollection InputFields {get;}
Links             Property   Microsoft.PowerShell.Commands.WebCmdletElementCollection Links {get;}
ParsedHtml        Property   mshtml.IHTMLDocument2 ParsedHtml {get;}
RawContent        Property   string RawContent {get;set;}
RawContentLength  Property   long RawContentLength {get;}
RawContentStream  Property   System.IO.MemoryStream RawContentStream {get;}
Scripts           Property   Microsoft.PowerShell.Commands.WebCmdletElementCollection Scripts {get;}
StatusCode        Property   int StatusCode {get;}
StatusDescription Property   string StatusDescription {get;}

HtmlWebResponseObject というクラスらしい。仕様は MSDN ライブラリーに書いてある。どうやら ParsedHtmlIHTMLDocument2 らしいので、ここから DOM ツリーにアクセスできそうだ。やってみよう。

PS D:\Users\dacci> $Response = Invoke-WebRequest 'http://example.org/'
PS D:\Users\dacci> $Response.ParsedHtml.getElementsByTagName('p') | Select-Object innerText

innerText
---------
This domain is established to be used for illustrative examples in documents. You may use this domain in examples wi...
More information...

ちょっと分かりにくいか?こうしてみよう。

PS D:\Users\dacci> $Response = Invoke-WebRequest 'https://www.google.co.jp/search?q=BKB&tbm=isch'
PS D:\Users\dacci> $Response.ParsedHtml.getElementsByTagName('img') | Select-Object src

src
---
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTADCtmeQE39WiR8PW9lEQIjb0dhBGlyBVWIrvSsSmG76E6TJAOROLgb48
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSNrhqxpmfhS7q2Kfnks44XWBMIFvFMwCa1E37zqjWTfaT1-16hHRTqDNzG
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSVdZ1JsRC__JfXyQGjLlAbVZHJMkfJwStbiWMj17ya0MEFLS3fHk3HIl4
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRly7RQUl2_O-RpqF6WpOa-G2gsFkdtARasNCx6izoD1oIlIHgtWAMdrCo
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcQXtostzTjbjlRCpfMaOIYyU9wm2kHBPHaEPZc2v30s9jGIHmv8bnQ_8w8U
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcR7Ea1x3z5BWf0hy0CtX10KCTNZTUwWXf7wygj12PvLmzH4Zk_Ix_C5Qsw
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRpDTbrxtseDJd8Yvr9qfIzhTg8xPg1SdCp2AGIw42CAUWrWAlDyu0Llx0x
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTBk3FCVXf3QF3fj8W9ZzYoF8JFuvkS9ECbmqsEYP9FQ39xL4L3lNXak2QT
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcR910YJ_nt9ClK4vZvemyRJWKsuS5AwUCOymnJmEQRaXb51GAfzOpdGw2xW
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTf7O1MFtTszRljwOXdv6FCgcit_wzvsGzQ4QCdfoIS41TXxAvB9Kxe7o6f
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSfp0Sinu_qg-DEZ5buQ3Rrsf5RiBHG82JnZLE-pNGgjk7NzMTzOxVXLw
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcT39kupqy7s37liS_PIWBGzZOfiLP3a8TnOpVwMYckz7pm80S7NPwoUgXb3
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRFr4ui3muADgW0nTge0L8nmQoE1lV-zgvOimKndW95mVcusXSnM73ZMyAB
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcS1NoxwZLTFdh94brkMcdoQy-xrQBVPwEE9jAbqRcL6_voBU4wy98HORis
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTpKn-WIbpDVS9OKB8I8LieNXypojFXrNhg4hQCuPszzceJ6vrC_p9OCw
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRFNG93iXtF6Vns3YNWF_RWeTekpc1K512jeVF3NOHwCPXQzGrqlQMptg
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRHthT8TIbqet-5ai5Kd3BONFWtcPYX181rH7W9_6WkMVvKfIbpSAFjlTM
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcQEObWAyf2Vg0fIj9woFNNBS8YeTuKm0K8UiZoZd0Lrsc6aTyYLLL4IZ7M
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTyO7kalfP-76Ls3bZdVfK9n28hcVEeEUjA3Fqi0huuaO2j9jMofBWmVnk
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTzCczGfshsuKVNRe3PxSM7brxaWh-w0rkmBTzUddBoGyv4llzUbb5364FS

もっとも、ページ内の画像を取り出したいなら Images プロパティを使ったほうが早い。

PS D:\Users\dacci> $Response.Images | Select-Object src

src
---
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTADCtmeQE39WiR8PW9lEQIjb0dhBGlyBVWIrvSsSmG76E6TJAOROLgb48
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSNrhqxpmfhS7q2Kfnks44XWBMIFvFMwCa1E37zqjWTfaT1-16hHRTqDNzG
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSVdZ1JsRC__JfXyQGjLlAbVZHJMkfJwStbiWMj17ya0MEFLS3fHk3HIl4
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRly7RQUl2_O-RpqF6WpOa-G2gsFkdtARasNCx6izoD1oIlIHgtWAMdrCo
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcQXtostzTjbjlRCpfMaOIYyU9wm2kHBPHaEPZc2v30s9jGIHmv8bnQ_8w8U
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcR7Ea1x3z5BWf0hy0CtX10KCTNZTUwWXf7wygj12PvLmzH4Zk_Ix_C5Qsw
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRpDTbrxtseDJd8Yvr9qfIzhTg8xPg1SdCp2AGIw42CAUWrWAlDyu0Llx0x
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTBk3FCVXf3QF3fj8W9ZzYoF8JFuvkS9ECbmqsEYP9FQ39xL4L3lNXak2QT
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcR910YJ_nt9ClK4vZvemyRJWKsuS5AwUCOymnJmEQRaXb51GAfzOpdGw2xW
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTf7O1MFtTszRljwOXdv6FCgcit_wzvsGzQ4QCdfoIS41TXxAvB9Kxe7o6f
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSfp0Sinu_qg-DEZ5buQ3Rrsf5RiBHG82JnZLE-pNGgjk7NzMTzOxVXLw
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcT39kupqy7s37liS_PIWBGzZOfiLP3a8TnOpVwMYckz7pm80S7NPwoUgXb3
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRFr4ui3muADgW0nTge0L8nmQoE1lV-zgvOimKndW95mVcusXSnM73ZMyAB
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcS1NoxwZLTFdh94brkMcdoQy-xrQBVPwEE9jAbqRcL6_voBU4wy98HORis
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTpKn-WIbpDVS9OKB8I8LieNXypojFXrNhg4hQCuPszzceJ6vrC_p9OCw
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRFNG93iXtF6Vns3YNWF_RWeTekpc1K512jeVF3NOHwCPXQzGrqlQMptg
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcRHthT8TIbqet-5ai5Kd3BONFWtcPYX181rH7W9_6WkMVvKfIbpSAFjlTM
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcQEObWAyf2Vg0fIj9woFNNBS8YeTuKm0K8UiZoZd0Lrsc6aTyYLLL4IZ7M
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTyO7kalfP-76Ls3bZdVfK9n28hcVEeEUjA3Fqi0huuaO2j9jMofBWmVnk
https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTzCczGfshsuKVNRe3PxSM7brxaWh-w0rkmBTzUddBoGyv4llzUbb5364FS

ちなみに、Invoke-RestMethod というコマンドレットもある。こっちは API 呼び出しに向いていて、レスポンスが JSON だったら PSObjectXML だったら XmlDocument というふうに空気を読んで返すオブジェクトを変えてくる。

Juno Proxy Server 0.11

Juno Proxy Server のバージョン 0.11 をリリースしました。変更点は以下のとおりです。

  • Windows サービスとしてインストール出来るようになりました
  • ICU を 58.2 に更新しました
  • 設定の保存形式を変更しました
    • 起動時に古い形式からアップグレードされます
  • その他、バグフィックスやチューニングを行いました

ダウンロードはこちらから

Juno Proxy Server 0.10

admin

ほぼ 1 年ぶりになってしまいましたが、Juno Proxy Server のバージョン 0.10 をリリースしました。変更点は以下のとおりです。

  • 開発環境を Visual Studio 2015 に移行しました
  • ICU を 57.1 に更新しました
  • 通信関連の処理を整理しました
  • その他のバグを修正しました

ダウンロードはこちらから

横浜市民がマイナンバー カードを受け取ったお話

life

横浜市民であるところのブログ主がマイナンバー カードの交付を受けたので、顛末をちょっとまとめてみる。ここで書いたのはあくまでも横浜市での話で、他の自治体ではどういうことになっているのかは全く分かりません。

通知カード到着~交付申請

2015年11月、通知カードと個人番号カード交付申請書が書留で届く、けどしばらく放っとく。

2015年12月、リサーチの結果、近所のスーパーに申請機能付き証明写真機があることがわかったので、これで申請する。ちなみに申請に使ったのは、DNP の Ki-Re-i というやつ。 そういえば、この機械で申請するときに電子証明書の発行をオプトアウト出来なかった気がする。

交付通知~受け取り予約

2016年5月、交付通知書が届く。『現在、横浜市では12月中にご申請いただいた方宛てに「交付通知書」を順次、発送しています。』ということだそうな。

通知書によると横浜市での受け取りは予約制にしているようなので、早速予約する。予約サイトにアクセスし、通知書に書いてある予約 ID と生年月日を入力して日時を指定する。

受け取りには本人確認資料 2 点 (うち 1 点は官公署が発行 & 顔写真付き) がいるらしい。免許持ってないし、パスポートも切れてるんだよなぁ。ってことでコールセンターに問い合わせると、どうやら年金手帳とか預金通帳で良いらしい。

受け取り

予約当日、必要な物を持って区役所の臨時交付窓口に行く。別件の用事が早く済んで予約の時間より 1 時間近く早く着いた。「まずは受け付けを」って書いてあったので素直に従う。どうも来た順にやってくれるらしい。

受け付けで本人確認資料のコピーを取られ、番号札と「個人番号カード・電子証明書 暗証番号記入用紙(記載票)」というのを渡される。この記載票というのは、個人番号を使ったサービス提供を受ける際に必要な暗証番号やパスワードを書くようになっている。ボールペンの付いたクリップボードにはさまれて渡されるからついつい記入しちゃったけど、手続きでは一切参照されることはなかった。要するに、パスワードを忘れないようにするためのメモ用紙を渡されていたのだ。まぁ誰も彼もがこういうシステムを扱えるわけではないからしょうがないんだけど、セキュリティーに気を使える人は油断しないようにしましょう。ちなみに、暗証番号は数字 4 桁、パスワードはアルファベット大文字と数字両方使った 6 ~ 16 文字。

しばらく待つと「用意ができた」ということで呼び出され、パーティションで囲まれた受け渡し窓口に通される。窓口にはタッチパネルがつながった PC と、それを操作する係員。説明をうけてタッチパネルから暗証番号とパスワードを設定する。カードへの書き込みが完了したら、電子証明書の有効期限や延長手続きの仕方などの説明を受け、最後に書類にサインをして終了。このとき認印を出そうとしたら「いらないですよ」とか言われたんだが、それで良いんだろうか・・・

個人番号カードには、個人情報部分が隠れるようになった専用ケースが付いている。だけどこれがただのビニールの袋なもんだから、持ち歩くには心もとないんだなぁ。対応のカードケースとか作ったらある程度の需要があるんじゃないだろうか?

最後に

平日の夕方だったから待ち時間込で 20 分ぐらいで終わったけど、土曜日とかだと結構混雑しそうだなぁという感じ。自分みたいに保険証しか身分証がないとかでなければ、あんまりいらないんじゃないかなぁ。ただ受け取り期限が設定されていたから (8月)、申請しちゃったのならそれまでに受け取ったほうが良さそう。期限を過ぎるとどうなるのかまでは調べてない。

CentOS 7 で Let's Encrypt

admin
  • 2016-07-23T10:23 自動更新について追記、パッケージ名やコマンド名を更新しました。

CentOS 7 で動かしてるサーバーがあって、サーバー証明書には StartSSL を使ってたんだけど、それを Let's Encrypt に乗り換えてみた。

インストール

公式には git-clone するやり方が書いてあるけど、CentOSでは EPEL のパッケージが使えるので、こっちを使う。EPEL の導入は省略。

# yum -y install certbot

証明書の発行

パッケージなので certbot-auto ではなくて、certbot を使う。それ以外は同じ。プラグインは webroot と standalone が使える。すでにサービスが動いているので webroot を使うことにする。

# certbot certonly --webroot -w /var/www/html -d example.org -d www.example.org

証明書のインストール

certbot certonly コマンドを実行すると以下のファイルができるので、ソフトウェアに合わせて設定すればいい。

パス
/etc/letsencrypt/live/(ドメイン)
cert.pem
証明書
privkey.pem
証明書の秘密鍵
chain.pem
中間証明書
fullchain.pem
中間証明書とルート証明書
Apache

プラグインがないので手動でインストールしないといけない。

SSLCertificateFile /etc/letsencrypt/live/example.org/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.org/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.org/chain.pem

再読み込み。

# systemctl reload httpd.service
OpenLDAP

こいつでちょっとハマった。

# ls -ld /etc/letsencrypt/{archive,live}
drwx------. 2 root root 48 Apr 30 22:28 /etc/letsencrypt/archive
drwx------. 2 root root 48 Apr 30 22:28 /etc/letsencrypt/live

# ps aux | grep slapd
ldap      7519  0.0  1.4 817420 14552 ?        Ssl  Apr30   0:00 /usr/sbin/slapd -u ldap -h ldapi:/// ldap:/// ldaps:///
root      7755  0.0  0.0 112644   960 pts/2    R+   01:07   0:00 grep --color=auto slapd

slapd は ldap ユーザーで動いているけど、証明書のあるディレクトリは root でしかアクセス出来ない (live の中身は archive へのリンクになっている)。所有権を直接変えることもできるけど、他のサービスとぶつかると嫌なので ACL を使うことにする。

# setfacl -m u:ldap:rx /etc/letsencrypt/{archive,live}

# ls -ld /etc/letsencrypt/{archive,live}
drwxr-x---+ 4 root root 48 Apr 30 22:28 /etc/letsencrypt/archive
drwxr-x---+ 4 root root 48 Apr 30 22:28 /etc/letsencrypt/live

# getfacl /etc/letsencrypt/{archive,live}
getfacl: Removing leading '/' from absolute path names
# file: etc/letsencrypt/archive
# owner: root
# group: root
user::rwx
user:ldap:r-x
group::---
mask::r-x
other::---

# file: etc/letsencrypt/live
# owner: root
# group: root
user::rwx
user:ldap:r-x
group::---
mask::r-x
other::---

LDIF ファイルを書いて OLC で設定変更する。

dn: cn=config
changeType: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/letsencrypt/live/example.org/cert.pem
-
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/letsencrypt/live/example.org/privkey.pem
-
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/letsencrypt/live/example.org/chain.pem
# ldapmodify -H ldapi:/// -Y EXTERNAL -f change_tls.ldif

だけじゃだめで、サービスを再起動する。

# systemctl restart slapd.service

証明書の更新

証明書を更新するには、certbot renew を実行して、サービスの再読み込みや再起動する。

# certbot renew
(記録しそこねたけど、メッセージが表示される)
# systemctl reload httpd.service
# systemctl restart slapd.service

CentOS 7 なので、自動更新には cron ではなくて systemd を使う。

  • /etc/systemd/system/certbot.service
[Unit]
Description=Let's Encrypt certificate renewal

[Service]
Type=oneshot
ExecStart=/bin/certbot renew
ExecStartPost=/bin/systemctl reload httpd.service
ExecStartPost=/bin/systemctl restart slapd.service

certbot renew で更新されるのは有効期限まで 30 日未満のものだけなので、毎週実行されるようにする。

  • /etc/systemd/system/certbot.timer
[Unit]
Description=Let's Encrypt weekly certificate renewal

[Timer]
OnCalendar=weekly
Persistent=true

[Install]
WantedBy=timers.target
# systemctl enable certbot.timer
# systemctl --type=timer --all
UNIT                         LOAD   ACTIVE   SUB     DESCRIPTION
certbot.timer                loaded inactive dead    Let's Encrypt monthly certificate renewal
systemd-readahead-done.timer loaded inactive dead    Stop Read-Ahead Data Collection 10s After Completed Startup
systemd-tmpfiles-clean.timer loaded active   waiting Daily Cleanup of Temporary Directories

LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

3 loaded units listed.
To show all installed unit files use 'systemctl list-unit-files'.

Juno Proxy Server 0.9

software

Juno Proxy Server のバージョン 0.9 をリリースしました。変更点は以下のとおりです。

  • ICU を 55.1 に更新しました
  • 初期化処理や UI 周りの実装を整理しました
  • 通信関連の処理を整理しました
  • その他のバグを修正しました

ダウンロードはこちらから