ITの窓辺から

三流IT技術者の日常

Django ManyToManyFieldはどちらのモデルで指定すべきか

多対多関係のテーブルを作る場合、DjangoではManyToManyFieldを使用します。するとDjangoは元々の多対多関係のテーブルと一対多関係になるような中間テーブルを自動的に生成します。この時、どちらのテーブルにManyToManyFieldを指定するかいつも悩みます。…

DjangoでLDAP認証 その7 機能のテスト

前回でとりあえずDjangoの認証にActive Directoryを使用したLDAP認証を実装したのでした。 realizeznsg.hatenablog.com 今回はこれらの認証におけるテストを行います。はじめはPythonのunittestで諸々やろうとしていたのですが、調べるとDjangoにunittestを…

DjangoでLDAP認証 その6 とりあえず完成形

前回はパーミッションによる認可処理のはしりを実装してみました。 realizeznsg.hatenablog.com 今回は当初の要件だった以下の内容を全て実現できるようにしてみます。 Active Directory上に格納されたユーザアカウントを使用してDjango上のアプリケーション…

DjangoでLDAP認証 その5 パーミッションによる機能制限

前回ではようやくDjangoアプリケーションの認証をActive Directoryを使用したLDAP認証に置き換えることができました。今回からはアクセス制御、いわゆる認可に関してやっていきたいと思います。 realizeznsg.hatenablog.com 相変わらずの注意書きですが、こ…

DjangoでLDAP認証 その4 ldap3モジュールによる認証バックエンドカスタマイズ

前回で認証バックエンドのカスタマイズに必須のメソッドを調べたので今回からは認証バックエンドのカスタマイズをやっていこうと思います。Pythonにはldap3というPythonからLDAPサーバにLDAP接続するためのモジュールがありますので今回はこれを使っていきま…

DjangoでLDAP認証 その3 標準の認証バックエンドのメソッド

今回は認証バックエンドについて調べたことを書きます。相変わらずの注意書きですが、この記事はWebアプリケーションとDjangoの初心者が調べたことをメモするものであり、正しい解説記事を目的としていないのでご注意ください。 環境は以下の通りです。macOS…

DjangoでLDAP認証 その2 AbstractUserとAbstractBaseUser

前回の記事ではDjangoでLDAP認証を行うための相当前段階に関する話をしていたのでした。 realizeznsg.hatenablog.com 今回はその続きとして認証バックエンドについてやっていこうと思っていたのですが、ユーザーモデルについてもう少し調べていたら、もう少…

DjangoでLDAP認証 その1

Djangoの認証についてすこーしだけ理解したのでその内容をメモ代わりに取りまとめてみます。長くなりそうかつまだ未検証事項が大量にあるので記事を分割していきます。 試した環境は以下の通り。macOS(intel CPU) Big SurPython3.8.5 (venv環境)Django3.2.5 …

Djangoをはじめました

ひょんなことからPythonで書かれたWebフレームワークであるDjangoをやることになりました。社内用のちょっとした集計ツールをWebアプリで作ろうという話が出てきた所以です。私の勤務先の会社では恐らく比較的レガシな業務システムが幅を利かせており、昨今…

VDOM有効時のFortigateの管理アカウント

ネットワークインターフェースの教科書的な話は前回記事で終わりました。続いて管理アカウントの話です。管理者アカウントを分けてFortigateを運用しているケースはそこまで多くはないと思いますが、VDOMの話になったこともあり、ついでに触ってみました。 …

Fortigateのネットワークインターフェース設計 その3

前回はVDOMとネットワークインターフェースの組み合わせについて基礎を書きました。 realizeznsg.hatenablog.com 普段からFortigateを使ってネットワーク設計している人には特に役に立たない記事なんですけれども。まぁ、Fortigateに四六時中触っている人な…

Fortigateのネットワークインターフェース設計 その2

前回は物理ポート、VLAN、ゾーンに注目してインターフェース検証を行いました。 realizeznsg.hatenablog.com今回はここにVDOMを絡めていきます。VDOMがどういうものかについては特に言及しません。ソフトウェアバージョンはv6.0.7 build0302のFortigateです…

Fortigateのネットワークインターフェース設計 その1

ネットワーク設計ではないです。ネットワークインターフェース設計です。Fortigateをネットワーク構成に組み入れるにあたり、Fortigateとしてどのような設計を行うのが適切なのかを検討することを目的としています。バリバリにFortigate固有機能というか仕様…

FortigateのDHCPサーバ機能 その弐

バージョン6.2.0-FW-build0866-190328のFortigate50Eを入手しました。ちょっとしたスモールネットワークでFortigate50EをDHCPサーバとして動作させる可能性が出てきたのでここで再度動作確認。 GUIでの基本設定 インターフェースに対して設定します。設定は…

軽井沢で食べ歩き

仕事を一旦落ち着かせたのでちょっと遅れた夏休みです。1泊2日で行ってきました。とはいえ軽井沢には何度も行っているので多少は馴染みのある場所です。自転車借りて食べ歩きをしていました。運動を兼ねて5時間くらい自転車で走り回っていた気がします。予想…

TLS通信の内容に迫る Lv2 (1)

TLS

前回の記事ではTLS通信の解説Lv1として盗聴、なりすまし、改ざん対策の概要を書きました。 realizeznsg.hatenablog.com今回はLv2ということで、もう少し詳細に迫っていきます。ただ、Lv2の内容を全て書くと記事がかなりの長さになるので、いくつかの記事に分…

TLS通信の内容に迫る Lv1

TLS

HTTPS接続を受け入れる準備があるWebサーバにアクセスする際に通信としては何が起きているのか、詳細に迫っていきます。ただ、今回の記事ではタイトルの通りLv1ということで、とにかくブラックボックスを放置しまくった記事になります。 HTTPSはHTTP over TL…

PKIとその実装を学ぶ

PKI

8月は相当な忙しさで更新が滞っていました。業務システムに対するいくつかの新機能リリースに加えて、別システムで動作しているロードバランサのバグに派手に引っかかり、ロードバランスしている全サーバへのアクセスが数時間おきに不安定になるという酷い事…

プロキシサーバ経由の宛先とHTTP Hostヘッダ

今回の記事はいつにも増して基本的な話になっています。あまりに基本すぎて拍子抜けするかもしれませんが・・・、HTTPにあまり馴染みがない人だとなめらかに説明できないのではないでしょうか。 宛先URIと名前解決 クライアントからWebサーバへのHTTP通信パ…

HTTPSとCONNECTメソッド

以下の画像はSquidの通信をTcpdumpしたものです。 宛先はAppleのどこかのページです。AppleのサイトはHTTPSによるアクセスになっており、TLSで暗号化されています。そのため、宛先URIはサーバ名までしか表示されないですし、この後はTLSのやり取りが始まり、…

至高のペペロンチーノを目指して

最近ペペロンチーノ作りにハマっています。食事処「ITの窓辺から」で食べられるペペロンチーノのレシピは以下の通り! 材料 国産にんにく : 1かけ これがないと始まらないと言って良いです。絶対国産にんにくにします。大体1塊298円〜450円くらいのにんにく…

Squidで多段プロキシ設定 X-Forwarded-For編

今日もSquidです。環境はCentOS7、Squid3.5.2です。 今回はX-Forwarder-For(XFF)を使用します。構成は2台のSquidで多段プロキシとし、1段目のプロキシサーバでXFFヘッダを挿入して2段目プロキシサーバに転送します。 前回の記事を見て頂くと分かるのですが、…

Squidで多段プロキシ設定

Squidで多段プロキシを構成してみます。クラウドサービスのHTTPプロキシを使用する場合等、未だに多段プロキシ環境はよく見られます。クライアントには1段目のプロキシを設定し、宛先URL等によりクラウドサービスプロキシを使用させたり、ダイレクトというか…

書評 - 生産性 マッキンゼーが組織と人材に求め続けるもの

今日一気に読み切りました。ありふれたテーマですが、コンパクトにまとめられているのでおすすめできます。 生産性―――マッキンゼーが組織と人材に求め続けるもの 作者: 伊賀泰代 出版社/メーカー: ダイヤモンド社 発売日: 2016/11/26 メディア: 単行本(ソフ…

Squidをとりあえず動かす設定

HTTPプロキシといえばSquid、というほどでもないと思いますが、とりあえずHTTPプロキシが必要になったら立ててみるくらいには広く使われている製品です。過去記事のSplunk関連でSquidのログを活用しましたが、Squidの機能には全く触れていません。検証用にも…

産総研の不正アクセス報告書から

若干書くのが怖いネタな気がしますが、公開された産総研の報告書はITインフラの運用に関わる人やその責任者は読んでおくべき文章だと思います。業務上必要だったのかが分からない点がいくつかありますが、攻撃者による情報搾取に至るまでの経緯が詳細に書か…

静岡県三島に行ってきました

土日は雑記ネタにシフト!今回は投稿は月曜朝になりますが。 急に思い立って金曜日の仕事帰りにレンタカーで車を借りて三島までドライブしてきました。私は車を持っていないのでレンタカーになるわけですが、まず車を予約してからコンビニで下着とシャツを買…

Squidのアクセスログフォーマットを変更する

ちょっとSplunkを休止してSquidに。Squidのバージョンは以下の通りです。 # /usr/sbin/squid -vSquid Cache: Version 3.5.20 SquidのログをSplunkの記事でしばらく取り扱っていましたが、Squidのバージョン確認すらしていませんでした。三流IT技術者としては…

Splunk Universal Forwarderの設定 (2)

再びSplunkのフォワーダの調査です。Splunkのバージョンは7.1.1です。 テキストファイルのモニタリング Cドライブ直下に今回監視するテスト用のテキストファイルを作成し、testfile.txtという名前で保存します。中身は後で編集します。 続いてtestfile.txtを…

Splunk Universal Forwarderの設定 (1)

今日もSplunkです。バージョン7.1.1です。Splunkではないマシンのログを取り組むための手段の一つにSplunkが提供しているエージェントソフトウェアを使うというものがあります。これの設定がマニュアルを見ているだけだとなかなか分かりづらく、今回の記事は…