# 7.8p1 This file contains notes about OpenSSH on specific platforms. このファイルには 特定のプラットフォームでのOpenSSHにつての注意が含まれている. AIX --- Beginning with OpenSSH 3.8p1, sshd will honour an account's password expiry settings, where prior to that it did not. Because of this, it's possible for sites that have used OpenSSH's sshd exclusively to have accounts which have passwords expired longer than the inactive time (ie the "Weeks between password EXPIRATION and LOCKOUT" setting in SMIT or the maxexpired chuser attribute) OpenSSH 3.8p1 から, sshd はアカウントのパスワードの期限の設定を 尊重する. これは以前はサポートしていなかった. このため, OpenSSHの sshd を利用していたサイトは, アクティブでない時間 (すなわち, SMITの"EXPIRATION と LOCKOUT の設定間の週 か maxexpired chuser 属性) よりも 長く期限が切れているパスワードを持つアカウントが存在することが ありえる. Accounts in this state must have their passwords reset manually by the administrator. As a precaution, it is recommended that the administrative passwords be reset before upgrading from OpenSSH <3.8. この状態のアカウントは, 管理者によって手動でそのパスワードをリセットしてもらわ なければならない. 用心のため, OpenSSH 3.8 以上にアップグレードする前に 管理者のパスワードをリセットすることを推奨する. As of OpenSSH 4.0p1, configure will attempt to detect if your version and maintenance level of AIX has a working getaddrinfo, and will use it if found. This will enable IPv6 support. If for some reason configure gets it wrong, or if you want to build binaries to work on earlier MLs than the build host then you can add "-DBROKEN_GETADDRINFO" to CFLAGS to force the previous IPv4-only behaviour. OpenSSH 4.0p1 以後では, configure は AIXのバージョンとメンテナンスレベルが 動作する getaddrinfo を持っているかを検知しようと試みて見つかった場合は それを利用する. これは IPv6サポートを有効にする. もしなんらかの理由で configure が検出を間違えたり, ビルドするホストよりもより前の メンテナンスレベルで動作するバイナリを作りたいならば, CLAGSに "-DBROKEN_GETADDRINFO" を追加すれば 以前のIPv4-のみの動作を強制できる. IPv6 known to work: 5.1ML7 5.2ML2 5.2ML5 IPv6 known broken: 4.3.3ML11 5.1ML4 IPv6 が動くことがわかっているもの: 5.1ML7 5.2ML2 5.2ML5 IPv6 が壊れていることがわかっているもの: 4.3.3ML11 5.1ML4 If you wish to use dynamic libraries that aren't in the normal system locations (eg IBM's OpenSSL and zlib packages) then you will need to define the environment variable blibpath before running configure, eg IBMのOpenSSLやzlibのパッケージのような通常のシステムの場所にない 動的なライブラリを利用したいなら, configureを走らせる前に. blibpath 環境変数を定義する必要がある. blibpath=/lib:/usr/lib:/opt/freeware/lib ./configure \ --with-ssl-dir=/opt/freeware --with-zlib=/opt/freeware If sshd is built with the WITH_AIXAUTHENTICATE option (which is enabled by default) then sshd checks that users are permitted via the loginrestrictions() function, in particular that the user has the "rlogin" attribute set. This check is not done for the root account, instead the PermitRootLogin setting in sshd_config is used. WITH_AIXAUTHENTICATEオプション(デフォルトで有効)付きでsshdがビルドされると, sshdはユーザが許可されているか loginrestrictions() 関数で ユーザが "rlogin"属性を持っているかを, チェックする. このチェックは rootのアカウントでは行なわれない. 代わりに, sshd_config での PermitRootLogin 設定が使われる. If you are using the IBM compiler you probably want to use CC=xlc rather than the default of cc. IBMのコンパイラを使いたい場合は, デフォルトの cc よりも CC=xlc を指定するとよいだろう. Cygwin ------ To build on Cygwin, OpenSSH requires the following packages: gcc, gcc-mingw-core, mingw-runtime, binutils, make, openssl, openssl-devel, zlib, minres, minires-devel. Cygwin上でビルドするために, OpenSSHは次のパッケージを要求する. gcc, gcc-mingw-core, mingw-runtime, binutils, make, openssl, openssl-devel, zlib, minres, minires-devel. Darwin and MacOS X ------------------ Darwin does not provide a tun(4) driver required for OpenSSH-based virtual private networks. The BSD manpage still exists, but the driver has been removed in recent releases of Darwin and MacOS X. Darwinは, OpenSSHベースのVPNのために必要な tun(4)ドライバを提供してない. BSDのマニュアルは存在するが, DarwinやMacOS Xの最近のリリースからは 除かれている. Tunnel support is known to work with Darwin 8 and MacOS X 10.4 in Point-to-Point (Layer 3) and Ethernet (Layer 2) mode using a third party driver. More information is available at: https://tuntaposx.sourceforge.net サードパーティのドライバを利用することで, トンネルサポートの Point-to-Point(Layer 3)と Ethernet(Layer 2) モードが Darwin 8と MacOS 10.4 で動くことが知られている. さらなる情報は以下で入手できる.: https://tuntaposx.sourceforge.net Linux ----- Some Linux distributions (including Red Hat/Fedora/CentOS) include headers and library links in the -devel RPMs rather than the main binary RPMs. If you get an error about headers, or complaining about a missing prerequisite then you may need to install the equivalent development packages. On Redhat based distros these may be openssl-devel, zlib-devel and pam-devel, on Debian based distros these may be libssl-dev, libz-dev and libpam-dev. (RedHat/Fedora/CentOS を含む) いくつかの Linux ディストリビューションは, ヘッダやライブラリリックをメインのバイナリのRPMではなく -devel RPM に含んでいる. もし, ヘッダについてのエラーがあったり前提条件がないという警告があった場合には, その相当する開発パッケージをインストールしなければならないだろう. Redhat ベースのディストリビューションでは openssl-devel や zlib-devel, pam-devel だ. Debian ベースのディストリビューションでは libssl-dev や libz-dev, libpam-dev だ. Solaris ------- If you enable BSM auditing on Solaris, you need to update audit_event(4) for praudit(1m) to give sensible output. The following line needs to be added to /etc/security/audit_event: もし Solaris で BSM 監査を有効にしているなら, praudit(1m)のために合理的な出力を与えるために audit_event(4)を更新しなければならない. 32800:AUE_openssh:OpenSSH login:lo The BSM audit event range available for third party TCB applications is 32768 - 65535. Event number 32800 has been chosen for AUE_openssh. There is no official registry of 3rd party event numbers, so if this number is already in use on your system, you may change it at build time by configure'ing --with-cflags=-DAUE_openssh=32801 then rebuilding. サードパーティのTCBアプリケーションに対するBSM 監査のイベント番号の範囲は 32768 - 65535 だ. AUE_openssh のために, イベント番号 32800 が選択された. サードパーティのイベント番号の 公式なレジストリはないので, もしこの番号が システムですでに使われているなら, configure で --with-cflags=-DAUE_openssh=32801 で指定して番号を変更して, 再ビルドしよう. Platforms using PAM PAMも用いるプラットフォーム ------------------ As of OpenSSH 4.3p1, sshd will no longer check /etc/nologin itself when PAM is enabled. To maintain existing behaviour, pam_nologin should be added to sshd's session stack which will prevent users from starting shell sessions. Alternatively, pam_nologin can be added to either the auth or account stacks which will prevent authentication entirely, but will still return the output from pam_nologin to the client. OpenSSH 4.3p1から, PAMが有効の場合には /etc/nologin 自体はチェックしないように なった. 以前の振舞いを維持するために, ユーザにシェルのセッションを開始させない ため, pam_nologin が sshdのセッションスタックに追加されるべきだ. もしくは, 認証を完全に防ぐためにpam_nologin が auth ないし account スタックに 追加されてもよいが, このときpam_nologinからの出力はクライアントに返される.