eScan Corporate 360のデバイス制御について

eScan CorporateではUSBの制御が可能です。
しかし、OSによってできることがかなり違います。

Windowsの場合

かなり細かい設定が可能です。
USBを使えなくすることや、CD/DVDにコピーできないようにするのは利用シーンがありそうです。


MACの場合

USBを無効にすることしかできません。


Linuxの場合
全くデバイス制御はできません。


eScanバージョン（14.0.1400.1789）

仮想OS(Windows2012R2）をVirtualBoxからKVMに移行する

１．vdiファイルの変換　
vdiファイルをkvmが導入されているサーバにコピーする。
vdiファイルからqcow2ファイルに変換
# qemu-img convert -f vdi Windows2012.vdi -O qcow2 vm-win001_qcow2.img
約10GBのファイルの変換にかかった時間は約10分でした。

２．インストール　
できあがったイメージファイルで仮想マシンを作成します。
os-variantリストにWindows2012がないのでWindows2008を利用します。
# virt-install --virt-type=kvm \
> --hvm --name vm-win001 --ram 2048 --vcpus 2 --os-type=windows \
> --os-variant win2k8 --network bridge:br0 \
> --disk path=/kvmimages/vm-win001_qcow2.img,format=qcow2 \
> --vnc --import

最後の--importが重要です！


エラーが発生！！
ディスプレイをオープンできません:
Run 'virt-viewer --help' to see a full list of available command line options
Domain creation completed. You can restart your domain by running:
  virsh --connect qemu:///system start vm-ibswin001

とりあえず問題なさそうなので無視して進みます。


３．準仮想化(virtio)　
Windowsサーバ停止

以下のURL（自分の環境はCentOSなのでfedoraのサイト）から、virtio-win-xxx.isoをダウンロード
https://fedoraproject.org/wiki/Windows_Virtio_Drivers#How_are_these_drivers_different_from_what_is_shipped_with_RHEL.3F

isoファイルをcd-romにマウント
# virsh attach-disk vm-win001 /var/ibs/iso/virtio-win-0.1.109.iso hdc --type cdrom --persistent

ダミーディスク作成(Windowsのデバイスマネージャに認識させるために必要な作業です）
# dd of=/kvmimages/vm-win001new.img bs=1 seek=512M count=0

ダミーディスクをゲストに接続
# virsh attach-disk vm-win001 /kvmimages/vm-win001new.img vdb --persistent

Windowsサーバ開始

vncもしくはリモートデスクトップで接続
「デバイスマネージャー」の「ほかのデバイス」「SCSIコントローラー」を右クリック
「ドライバーソフトウェアの更新」「コンピュータを参照してドライバーソフトウェアを検索します」をクリック
「参照」ボタンをクリック「CD-ROM」のフォルダーを選択して、「SCSI Controller」を導入する。

Windowsサーバ停止

ダミーディスクをゲストから切断
# virsh detach-disk vm-win001 vdb --persistent
ダミーディスク削除
# rm -rf vm-win001new.img

設定変更
# virsh edit vm-win001
diskのtargetセクションを変更（hdaをvdaに、ideをvirtioに）
addressセクションを削除
bridgeのセクションに行追加（sourceセクションの下に追加しました）
<model type='virtio'/>

Windowsサーバ開始

vncもしくはリモートデスクトップで接続
「デバイスマネージャー」の「ほかのデバイス」「イーサネットコントローラー」を右クリック
「ドライバーソフトウェアの更新」「コンピュータを参照してドライバーソフトウェアを検索します」をクリック
「参照」ボタンをクリック「CD-ROM」のフォルダーを選択して、「VirtIO Ethernet Controller」を導入する。

Windowsサーバ停止

cd-romドライブ切断
# virsh detach-disk vm-win001 hdc --persistent

Windowsサーバ開始


最後に　
準仮想化の作業は大変ですが、かなり動作が速くなりますので設定した方がいいと思います。

AWS WorkSpaces オンプレActiveDirectory連携 WorkSpaces作成

前回AD Connectorを作成したので、そのAD Connectorを利用してWorkSpacesを１つ作ります。

前回作成したAD Connectorを選択して「Next」をクリックします。

この時点でActiveDirectoryには接続できているはずです。
ユーザ名を入力して、「Search」をクリックします。
該当のユーザのSelectボックスにチェックをつけて、「Add Selected」をクリックします。
「Next」をクリックします。

作成するタイプと日本語を選択して、「Next」をクリックします。

内容を確認して、「Launch WorkSpaces」クリックすると、WorkSpacesの作成が開始されます。

WorkSpacesが作成されると、社内への接続ができる状態になります。
インターネットへのアクセスも社内経由の通信になります。インターネットへの直接アクセスも可能ですが、NATインスタンスの作成が必要になります。

AWS WorkSpaces オンプレActiveDirectory連携 AD Connector作成

AWS WorkSpacesを利用するにあたり、VPCにサブネットを２つ追加してActiveDirectory連携の設定を行いました。
ActiveDirectoryサーバはオンプレにあるものを利用しました。

あらかじめ、ActiveDirecotry上にはWorkSpaces用のグループとユーザを作成しておきます。
また、VPC上にはWorkSpaces subnet 1とWorkSpaces subnet 2を作成しておきます。
※新しく作成する必要はないですが、サブネットはことなるAZに２つ必ず必要です。これはAD Connectorを異なるAZに２つ作成するためです。

「Launch WorkSpaces」クリックして設定を開始します。

新しくディレクトリを作成するので「Create a new Directory」をクリックします。

「Create AD Connector」をクリックします。

各フィールドに情報を入力します。
Organization Nameは何でも構いません。
Account usernameにはあらかじめ作成しておいたユーザを入力します。
VPC Details SubnetsにはWorkSpaces用にあらかじめ作成しておいたサブネットを選択します。
全て入力して「Continue」をクリックします。

内容を確認して間違いがなければ、「Create AD Connector」をクリックします。

作成が始まりました。
StatusがActiveになれば完成です。

Redmine 2.4.1 から 2.4.6 へのアップグレード

使っているうちに利用者からバグなどの報告があり2.4系の最新版にアップグレードすることにしました。

以下のURLに従ってアップグレード作業を行いましたが追加で少し作業が必要だったので公開します。
Redmineアップグレード


Step3 - アップグレードの実行の６で、rake generate_session_storeを実行するのですがここでエラーが発生

oot@redmine redmine-2.4.6]# rake generate_session_store
Could not find gem 'rails (= 3.2.19) ruby' in the gems available on this machine.
Run `bundle install` to install missing gems.


bundle install を実行してって言ってるので、以下のコマンドを実行

インストールディレクトリに移動した後
[root@redmine redmine-2.4.6]# bundle install --without development test


すると、rake generate_session_storeが成功しました！
この後は手順通りで問題ありませんでした。

EPELを利用してのOpenVPN2.3のインストール(CentOS6.4 x86_64)

EPELを利用してOpenVPNを導入します。

openvpnインストール

# yum install openvpn

easy-rsaインストール

# yum install easy-rsa

ユーティリティのコピー

# cp -r /usr/share/easy-rsa/2.0/ /etc/openvpn/easy-rsa

設定の変更

vi /etc/openvpn/easy-rsa/vars export KEY_COUNRY="JP" export KEY_PROVINCE="Kochi" export KEY_CITY="Nankoku-shi" export KEY_ORG="ibsnet.co.jp" export KEY_EMAIL="info@ibsnet.co.jp"

キーの作成

cd /etc/openvpn/easy-rsa . ./vars ./clean-all

ca証明書の作成

./build-ca Country Name (2 letter code) [JP]: State or Province Name (full name) [Kochi]: Locality Name (eg, city) [Nankoku-shi]: Organization Name (eg, company) [openvpn.ibsnet.co.jp]:ibsnet.co.jp Organizational Unit Name (eg, section) [changeme]:ca1 Common Name (eg, your name or your server's hostname) [changeme]:ibsnet.co.jp CA Name [changeme]:ca1 Email Address [info@ibsnet.co.jp]:

サーバ証明書の作成

[root@localhost easy-rsa]# ./build-key-server server Country Name (2 letter code) [JP]: State or Province Name (full name) [Kochi]: Locality Name (eg, city) [Nankoku-shi]: Organization Name (eg, company) [openvpn.ibsnet.co.jp]:ibsnet.co.jp Organizational Unit Name (eg, section) [changeme]:openvpn Common Name (eg, your name or your server's hostname) [server]:openvpn.ibsnet.co.jp Name [changeme]:openvpn Email Address [info@ibsnet.co.jp]: Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

各種証明書、キーファイルの作成

./build-dh

TLSキーファイルの作成

openvpn --genkey --secret /etc/openvpn/ta.key

作成したキーの移動

cp keys/ca.crt /etc/openvpn/ cp keys/server.crt /etc/openvpn/ cp keys/server.key /etc/openvpn/ cp keys/dh1024.pem /etc/openvpn/

クライアント証明書の作成

[root@vm-ibsvpn easy-rsa]# ./build-key-pass client_pc1 Enter PEM pass phrase: Verifying - Enter PEM pass phrase: Country Name (2 letter code) [JP]: State or Province Name (full name) [Kochi]: Locality Name (eg, city) [Nankoku-shi]: Organization Name (eg, company) [openvpn.ibsnet.co.jp]:ibsnet.co.jp Organizational Unit Name (eg, section) [changeme]:client_pc1 Common Name (eg, your name or your server's hostname) [client_pc1]: Name [changeme]:client_pc1 Email Address [info@ibsnet.co.jp]: Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y

サーバ設定

cp /usr/share/doc/openvpn-2.3.1/sample/sample-config-files/server.conf /etc/openvpn/ vi /etc/openvpn/server.conf user nobody group nobody service openvpn start

ルーティング設定

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE srevice iptables save

vi /etc/sysctl.conf net.ipv4.ip_forward = 1 sysctl -p service openvpn restart

RHEL6.2(x86_64)でepelを利用してのmunin-nodeインストールが失敗する

RHEL6.2(x86_64)を利用していて、epelレポジトリを利用して、munin-nodeのインストールを行うと以下のエラーで失敗する。

Error: Package: munin-node-2.0.14-1.el6.noarch (epel)
           Requires: perl(Net::IP)
 You could try using --skip-broken to work around the problem
 You could try running: rpm -Va --nofiles --nodigest

CentOS6.4(x86_64)のCDから、perl-Net-IP-1.25-13.el6.noarch.rpmを取り出して、インストールした後、再度munin-nodeのインストールを行うと成功しました。