goro@sara:~/work/emacs-23.3-gcc$ time (CC=gcc ./configure --with-ns --without-x;make bootstrap)
( CC=gcc ./configure --with-ns --without-x; make bootstrap; ) 359.48s user 35.92s system 96% cpu 6:49.55 total
goro@sara:~/work/emacs-23.3-gcc$ time (CC=gcc ./configure --with-ns --without-x;make -j8 bootstrap)
( CC=gcc ./configure --with-ns --without-x; make -j8 bootstrap; ) 637.43s user 52.41s system 567% cpu 2:01.61 total
goro@sara:~/work/emacs-23.3-clang$ time (CC=clang ./configure --with-ns --without-x;make bootstrap)
( CC=clang ./configure --with-ns --without-x; make bootstrap; ) 344.44s user 34.30s system 96% cpu 6:32.90 total
goro@sara:~/work/emacs-23.3-clang$ time (CC=clang ./configure --with-ns --without-x;make -j8 bootstrap)
( CC=clang ./configure --with-ns --without-x; make -j8 bootstrap; ) 634.69s user 51.22s system 580% cpu 1:58.15 total

結論:並列ビルドすげー(笑)。ということで gcc よりも clang のほうが若干速いようですが、 Emacs であっても誤差でした。出来上がった Emacs.app について体感速度に違いはありません(あったら bootstrap でもっと劇的な差がでるだろう)ので敢えて clang を使う意味は…エラーメッセージがわかりやすいくらいかな?

ホントは Retina Display 採用とか光学ドライブ撤廃とかの噂がある次期モデルを待ちたかったのですが、

• Aperture 動かすとひたすらにレインボーカーソルぐるぐるな状態にイライラしていた
• 16GB(8GBx2)のメモリが現実的な値段になってきた
• 噂通りRetinaディスプレイになったらメモリ 16GB でも足りないんじゃない?(Aperture 的に)
• 奥さんが使ってる MacBook のバッテリーが膨張っぷりがそろそろ真剣にヤバい

というような理由で \8,400 引きで買えるのであれば新機種が出ても後悔はしないだろうと判断したわけです。

普段はオンラインで買うのですが、オンラインは英語キーボードにしたモデルは 3 営業日で出荷なのに対し、電話してみたらリアル店舗には英語キーボードモデルの在庫があるってんで、新年早々渋谷まで行ってきました。実店舗で買うのは初めてなのですが、幼児がスーパーでお菓子を買ったかのような簡易包装に衝撃。

次回以降があるとしたらちゃんと大きい鞄を持っていこうと心に誓うことになりました(笑)。

さて、英語キーボードだけはキーボードの交換が簡単ではないノート PC を買う上で譲れないトコロなのですが、メモリと HDD はアップル様純正はあまりに高いので別途購入して自分で交換です。ということで別途買ったのは

1. 8GB メモリー x2
2. Momentus XT 750GB

の二つ。

メモリは買いかえる決心がついた要因の一つですからね。というか去年の夏に Mac mini を買い替えた時に 8GB にして満足していたのに、そこから更に倍かよ、と思わなくはないですが。(ぶら下がってるユーザーが少ないとはいえ)サーバー用途よりクライアント用途のほうがより多くのメモリを必要とするってのは古い人間としてちょっと複雑な気分です(苦笑)。

そして今回の買い替えの目玉がハイブリッド HDD である Momentus XT 。 普通の HDD と比べて価格が高いことと、容量が不足していたので興味があったものの手を出さずにいたのですが、気づけば 750GB のモデルが出ていたのと、本体と一緒に買ってしまえば価格差は誤差という錯覚(笑)を利用してついに導入です。起動は速いような気がしますが、そもそも標準の HDD で一切動かさずにこれに換装してるので、 Momentus XT のおかげで速くなってるのか、それとももともと速いのかの切り分けは出来ていません(する気もないけど)。

メモリ/HDDの交換方法がマニュアルに載ってるあたり、時代が変わったなぁ、とか思うのですが、俺の中での比較対象は iBook G4 の HDD 交換なので今回も簡単でした。ネジの数的に MacBook Pro early 2008 より簡単で、 MacBook late 2007 よりは難しいって感じでしょうか。

ということでどーん。

今は亡き Mac World Expo で大容量 32MB のメモリが 8 万円という格安で売られるってんで買いに行ったら売り切れてて、 16MB のメモリを 4 万円で買って LC475 をトータル 20MB で使って満足していたのを思い出します(何)

ちなみにデータ移行は TimeMachine よりも早かろうと、ターゲットディスクモードの ealry 2008 をFireWire 800 で繋いで行いました。

圧倒的な移行時間が表示されましたが、これは細かいファイルが大量にあるせいで、実際にはちゃんと一晩で完了しています。

移行後、早速 Aperture を動かしてみましたが実に快適。こうなるとこないだ買った San Disk Extreme の速度を活かすためにも Thunderbolt 接続の CF カードリーダが欲しくなりますが、世の中にそんなアイテムはないんですよねー、残念。

それはさておき普段動かしっぱなしのアプリ + Aperture でこのメモリ使用量。

なのでそりゃ 4GB じゃストレス溜まるよ、というか、 8GB でもやっぱり足りないんじゃね、というか、 MacBook Air に乗り換えることが出来ない理由がまた一つという感じ。いや、 MacBook Air と Aperture という組み合わせが相容れないのだろうけども。

ということで買い替えには大満足な結果となりました。いつまで満足していられるか、というのはありますが、よっぽどのことがない限り、また 3 年ぐらいは使うのだと思います。ちなみに今まで使っていた early 2008 は奥様のメインマシンとなりました。で、奥様が使っていたバッテリ膨張中の MacBook はさようなら、の予定だったのですが、長男さんが

じゃあそれは長男と長女さんが使うよ

とのたまっておられるので頭を抱えています(苦笑)

pkg_add: Warning: package `ruby18-base-1.8.7.352' was built for a platform:
pkg_add: Darwin/i386 11.2.0 (pkg) vs. Darwin/x86_64 11.2.0 (this host)
pkg_add: 1 package addition failed

とか怒られてインストール出来ないので ruby18-base のアップデートが出来ないのです。

ruby19-base なら問題なく build 出来るので、ここは一発 ruby19 に移行すべきなのですが、最早動かないと生きて行けないレベルの textproc/migemo が ruby19 に未対応なので、今まで我慢して Snow Leopard の時に build した ruby18 を使っていたのです。が、なにかの拍子に ruby18 を抜いてしまったので、せっかくだからと ruby19 対応の migemo を探すことにしました。

そしたら ruby19 用の patch を書いている人を発見!! なんだー、と拍子抜けしてこの patch を当てたのですが、何故か俺の Lion では動いてくれない。ということでいろいろ試行錯誤してみたらテキスト処理をしているところに force_encoding(“EUC-JP”) を足してあげれば大丈夫っぽいことが分かったので、俺の環境で動く patch を書いてみました。

前述の patch が当たっていることが前提ですが、こんな感じ。 tests で make check-TESTS すると 1 個だけコケ FAIL しますが、ざっと使った感じでは問題なく検索できてるので多分大丈夫でしょう、俺の環境限定ですが。

diff -ur migemo-0.40-ruby19/genchars.sh migemo-0.40-ruby19-pkgsrc/genchars.sh
--- migemo-0.40-ruby19/genchars.sh	2011-11-08 16:36:12.000000000 +0900
+++ migemo-0.40-ruby19-pkgsrc/genchars.sh	2011-11-08 15:51:50.000000000 +0900
@@ -1,6 +1,6 @@
 #! /bin/sh

-ruby -rromkan -nle 'head = $_.split[0]; if /^\w+$/ =~ head then puts head else roma = head.to_roma; puts roma, roma.to_kunrei end' migemo-dict |uniq> tmp.ascii.words
+ruby -rromkan -nle 'head = $_.force_encoding("EUC-JP").split[0]; if /^\w+$/ =~ head then puts head else roma = head.to_roma; puts roma, roma.to_kunrei end' migemo-dict |uniq> tmp.ascii.words

 # Get the top 500 frequent ngrams.
 for i in 1 2 3 4 5 6 7 8; do
diff -ur migemo-0.40-ruby19/migemo-convert.rb migemo-0.40-ruby19-pkgsrc/migemo-convert.rb
--- migemo-0.40-ruby19/migemo-convert.rb	2011-11-08 16:36:12.000000000 +0900
+++ migemo-0.40-ruby19-pkgsrc/migemo-convert.rb	2011-11-08 16:17:44.000000000 +0900
@@ -25,7 +25,7 @@
 puts ";;"
 lines = readlines
 while line = lines.shift
-  if /^;/ =~ line
+  if /^;/ =~ line.force_encoding("EUC-JP")
     puts line
   else
     lastline = line
@@ -36,9 +36,9 @@

 dict = [];
 while line = lines.shift
-  if /^(#{HIRAGANA}+)[a-z]? (.*)/ =~ line || /^(\w+) (.*)/ =~ line
+  if /^(#{HIRAGANA}+)[a-z]? (.*)/ =~ line.force_encoding("EUC-JP") || /^(\w+) (.*)/ =~ line.force_encoding("EUC-JP")
     head = $1
-    words = $2.split('/').map {|x|
+    words = $2.force_encoding("EUC-JP").split('/').map {|x|
       # remove annotations and elisp codes
       x.sub(/;.*/, "").sub(/^\((\w+)\b.+\)$/, "")
     }.delete_if {|x| x == ""}
diff -ur migemo-0.40-ruby19/migemo-dict.rb migemo-0.40-ruby19-pkgsrc/migemo-dict.rb
--- migemo-0.40-ruby19/migemo-dict.rb	2011-11-08 16:36:12.000000000 +0900
+++ migemo-0.40-ruby19-pkgsrc/migemo-dict.rb	2011-11-08 16:26:26.000000000 +0900
@@ -1,3 +1,4 @@
+# -*- encoding:euc-jp -*-
 #
 # Ruby/Migemo - a library for Japanese incremental search.
 #
@@ -38,7 +39,7 @@

   private
   def decompose (line)
-    array = line.chomp.split("\t").delete_if do |x| x == nil end
+    array = line.force_encoding("EUC-JP").chomp.split("\t").delete_if do |x| x == nil end
     key = array.shift
     values = array
     raise if key == nil
@@ -83,7 +84,7 @@
 class MigemoUserDict < MigemoDict
   def initialize (filename)
     super(filename)
-    @lines = @dict.readlines.delete_if {|x| /^;/ =~ x}.sort
+    @lines = @dict.readlines.delete_if {|x| /^;/ =~ x.force_encoding("EUC-JP")}.sort
   end

   def lookup (pattern)
diff -ur migemo-0.40-ruby19/migemo-index.rb migemo-0.40-ruby19-pkgsrc/migemo-index.rb
--- migemo-0.40-ruby19/migemo-index.rb	2011-11-08 16:36:12.000000000 +0900
+++ migemo-0.40-ruby19-pkgsrc/migemo-index.rb	2011-11-08 15:27:49.000000000 +0900
@@ -16,7 +16,7 @@
 #
 offset = 0
 while line = gets
-  unless line =~ /^;/
+  unless line.force_encoding("EUC-JP") =~ /^;/
     print [offset].pack("N")
   end
   offset += line.bytesize

これだけだとつまらない(?)ので、 textproc/migemo に対する patchも作ったので不法投棄。ホントはちゃんと send-pr すべきなんだろうけど、元の patch のライセンスがよくわからないのと、この patch が本当に必要なのかもわかんないのでこんな形で公開してみました。

今分かってる問題は AltSecurityIdentities を書き換えちゃうと Mail.app で SSO 出来なくなる、というもの。なんで AltSecurityIdentities を書き換えたいかと言えば untitled_1@HYRULE.JP なんてダサい値が設定されているから。であれば解決策は真っ当な AltSecurityIdentities が設定される方法でネットワークアカウントを登録するに決まりでしょう(ホントかな…?)。

であれば実験あるのみ。

• Workgroup Manager.app
  やるまでもなくアウト、というかこれがダメだっつー話だからなぁ
• Directory Utility.app
  ちまちまといろんな属性を手動で登録する必要があるのでダルい。必要そうな属性を登録してみたけど SSO 出来なかった。けど、ツールが悪いのか登録内容が足りてないのかは不明
• dscl
  Directory Utility.app と同じ
• System Preferences.app
  ネットワークアカウントも表示されるんで期待したんだけど、ここで作成されるのはローカルアカウントのみの様子。
• Server.app
  System Preferences.app と同様アカウントの種類が選べないのでこれもローカルアカウントが作成されるのかなー、と期待しないで作ったら華麗にネットワークアカウントが作成されました。 AltSecurityIdentities も期待通りの値が入っていて、これならイケる、と思ったものの SSO が出来ないという…モバイルアカウントの設定を Workgroup Manager.app からやらないとイケナイのもあるのでこれまたダメ。

ということで、 Mail.app で SSO したいのなら普段見えないとはいえ AltSecurityIdentities がダサい値になってるのを我慢しないとイケナイという結論に…。

ま、 Mail.app を諦めて Thunderbird やその他 Kerberos 認証に対応した MUA を使いなさい、というのが正解なのでしょう…。

その後 Lion 10.7.2 にあげたところ、 Mail.app も改善されたらしく Kerberos 認証が出来るようになっていたのでした。よかったよかった

• Workgroup Manager.app (Server Admin についてる)
• Directory Utility.app (/System/Library/CoreService にある)
• Server.app
• System Preferences.app (システム環境設定ね)
• dscl (コマンドライン)

という具合。

で、 Workgroup Manager.app を使ってネットワークアカウントを作成して使ってたんですが、ふと dscl を使って作ったアカウントを見てみたら

AltSecurityIdentities: Kerberos:untitled_1@HYRULE.JP

なんてダッサいことになっていたのです。 Workgroup Manager.app でアカウントを作ると最初に「名称未設定」が入ってるのですが、どーやらそれが残っちゃうのでしょうね。

で気になって他のアカウントを見ると AltSecurityIdentities は全部 Kerberos:untitled_1@HYRULE.JP で統一されているというダサさ。これは修正しなきゃだなぁ、と

dscl -u diradmin /LDAPv3/127.0.0.1 -change /Users/goro AltSecurityIdentities Kerberos:untitled_1@HYRULE.JP Kerberos:goro@HYRULE.JP

という具合に修正かましてみました。

で、 Kerberos とか書いてあると Kerberos 認証というか SSO (シングルサインオン)になんらかの影響がありそーだなぁ、といくつか試してみたところ、 Mail.app で SSO 出来なくなっていたのです!

正確には、 SSO 出来ないのは IMAP だけで、 SMTP 認証は全く問題ないというさっぱりな状況。で IMAP は Dovecot 、 SMTP は postfix なので、 Dovecot  側の問題なのかなーとログを確認してみたら

imap-login: Disconnected: Input buffer full (no auth attempts):

なんてなエラーを発見。この文字でググったところ Dovecot 1.2.1 の頃にあった問題らしいのですが、 2 年ぐらい過去の話で Dovecot 2 では問題なさそう、というか変えるまでは動いてたしな!

参考になるかなー、と Dovecot 2 wiki の Authentiction/kerberos を読みながら Lion Server の Dovecot の設定を眺めてみたんだけど該当しそうな問題点はなし。ただ、 Mail.app 以外にも Kerberos 認証(GSSAPI)に対応した MUA があるっぽいし、 Authentiction/kerberos には mutt で動作確認とかやってるんで、じゃあ手軽に試せるものってことで Thunderbird を Kerberos 認証を試してみたところ!

さくっと認証されました。え? なに? Mail.app の問題だったの? Apple 純正の組み合わせなのに!?

ちなみに SSO 出来なくなると

dscl -u diradmin /LDAPv3/127.0.0.1 -change /Users/goro AltSecurityIdentities Kerberos:goro@HYRULE.JP　Kerberos:untitled_1@HYRULE.JP

と戻しても状況は改善しない素敵仕様(ただし Mail.app 限定)。いったいなにがどうなっているんだ…というところで次回に続く

きっかけは未練がましく bootpd の man を読んでたことなんですが、こんな記載を見つけたのです。

use_open_directory  (Boolean) If this property is set to true,
                    bootpd will look for static IP address to eth-
                    ernet address bindings in Open Directory. Then
                    default value is true.

これはちょっと試してみないと!

 ということで Workgroup Manager.app で登録済みの Mac を表示して、ネットワークを表示させるとこんな具合。

 Ethernet ID は Mac を入れればいいとして、 IP アドレスは DHCP から割り振られるんだから入力する必要ないよなー、と今まで放置していたのだけど。

せっかくテストするんだからと DHCP の割当レンジが 192.168.0.51-100 となっている中 192.168.0.21 を入力して保存。その後ネットワークから DHCP リースを更新、をクリックすると 192.168.0.21 が割り振られたのでした。気持ち悪いッ!(笑)

Open Directory で設定した IP が DHCP 経由で Mac に割り当てられるのはいいとしても、名前は DNS に反映されないので、 Open Directory に設定した名前と IP の組み合わせをひとつひとつ DNS に登録する必要はあるのですが、一応クライアント側でなにもしないでも名前解決が出来るようになる、という目標は達成できたような気がします…?

というか、これだと結局 DHCP の静的マップを使うのと何ら違いはない気がするんだけど、そこら辺どーなんだろう? クライアントの設定を配るためには Open Directory へのクライアントの登録が必要で、であれば Open Directory でまとめて設定してしまえば楽で、しかもクライアントをキッチリ管理できる? でも拠点毎にサブネットが違うとか有線と無線でサブネットが違うとかゆーネットワークの場合、この設定を入れることで余計にハマる気がするんだよなぁ。ここら辺を解説した書籍なり開発者からのコメントなりなんなりがあったら読みたいところデス。

ハッシュ大好きっ娘なのでそれに近いものがないかなー、と調べたら AppleScript ではレコードというものがハッシュ相当らしい。んだけど、 list で俺がやりたいことはできたので

• プロジェクトの一覧を取得したときに既存プロジェクトの名前を list に突っ込む(初回のみ)
• 写真を読むごとに list と比較してマッチしなければプロジェクトを作成

としてみました。高速化、というよりはプロジェクト/写真が多くなったときに遅くならない、という方向ですけどね。

で動かしてみたところ、確かに速くなったんだけど、一番条件が良くて 90 秒かかっていたものが 60 秒に縮んだぐらい? 期待よりも速くなってないというか写真一枚につき 1 秒以上かかってるようじゃなぁ。

ついでに選んだ写真の中に RAW が入ってると EXIF が取得できなくて止まっちゃうというバグもハッケソしてしまい、なんだかいやーな気分になってしまいました。せっかくだから公開するけどもっ!

tell application "Aperture"
  set imageSel to (get selection)
  set checkprojects to false
  if imageSel is {} then
    error "Please select an image."
  else
    set imgdate to ""
    repeat with i from 1 to count of imageSel
      tell (item i of imageSel)
        if not (imgdate is equal to value of EXIF tag "ImageDate") then
          set imgy to round (value of EXIF tag "CaptureYear") as number
          set imgm to round (value of EXIF tag "CaptureMonthOfYear") as number
          set imgd to round (value of EXIF tag "CaptureDayOfMonth") as number
          if length of (imgm as string) = 1 then
            set imgm to "0" & imgm
          end if
          if length of (imgd as string) = 1 then
            set imgd to "0" & imgd
          end if
          set projname to (imgy as string) & "年" & (imgm as string) & "月" & (imgd as string) & "日"
          set imgdate to value of EXIF tag "ImageDate"
        end if
      end tell
      tell library 1
        if checkprojects is false then
          set projlist to {}
          set projSel to get name of every project
          repeat with existProj in projSel
            set projlist to projlist & {contents of existProj}
          end repeat
          set checkprojects to true
        end if
        if projlist does not contain projname then
          make new project with properties {name:projname}
          set projlist to projlist & {projname}
        end if
      end tell
      move item i of imageSel to project projname
    end repeat
  end if
end tell

最初にハマったのは kerberos 。なんでかわかんないけど ldap と Password Server は動いてるのに kerberos だけが stopped になってしまう…。と悩んでいたらセットアップのときに realm だけをデフォルト値のホスト名からドメイン名に変更したんだけど、それがマズかったらしく、そこを変えた場合は下の LDAP 検索ベースを変えなきゃイケナイという話だったのでした。

次にハマったのがクライアントの設定。認証サーバーを選ぶところがあるんだけどそこで SSL を利用する、しないというオプションがあり、ちゃんと SSL 使ってるので利用するぜ、としていたんだけどそのあとに証明書を信用するかどうかっつーダイアログが出ていて、ちゃんととった証明書だしってことで信用していたんだけど、これを信用しないにしないとちゃんと設定ができない、という…。詳しくはアップル – サポートの「Lion Server：SSL を実行する Lion Open Directory サーバをバインドするときに「サーバの追加ができません」というメッセージが表示される」…ってちっとも詳しく書いてないし!!

さて、弄って初めて分かったことですが、Lion Server ではネットワークアカウントだろうがローカルアカウントだろうが、等しく  GeneratedUID と UniqueID が割り振られます。で、ネットワークアカウントとローカルアカウントの違いはデータがどこにストアされているかどうかだけ、なので GeneratedUID はたぶん大丈夫ですが、 UniqueID は所謂 uid なのでバリバリぶつかります。さらに、アカウント名は Windows と違ってネットワークアカウントとローカルアカウントの差がつけられません(命名規則を付ければいいんでしょうけど)。かといってローカルアカウントをネットワークアカウントに変更する方法は(今のところ)見つけられていないので今まで使っていたアカウントのまま Kerberos による SSO を実現するにはどーしたらいいのやら…。結局力技で対処したので別記事にします。

もう一つ、順調に Zombie プロセスが殺せないまま着々と増えていったので、仕方ないから再起動をかまそうとしたところ、再起動すらできなくなって電源ボタン長押しの強制シャットダウンを行ったところ、それを機に Open Directory が壊れたらしく、ローカルアカウントで入って Open Directory 再設定という楽しいイベントにも遭遇しました。…バックアップって大事! ということで Tutorial: Backup Your Open Directory Server Using Launchd を参考に毎日 Open Directory のバックアップも取るようになりました。結構前に書かれたっぽいページですが、 Lion Server でもちゃんとバックアップがとれているように見えます。リストアのテストやってないからわかんないけど!(笑)

以下おまけ

ローカルユーザー一覧

dscl . -list /Users

ローカルユーザー詳細

dscl . -read /Users/username

ローカルユーザー変更

dscl . -change /Users/username Attribute before after

ネットワークユーザー一覧

dscl /LDAPv3/127.0.0.1 -list /Users

ネットワークユーザー詳細

dscl /LDAPv3/127.0.0.1  -read /Users/username

ローカルユーザー変更

dscl -u directoryadminaccount /LDAPv3/127.0.0.1 -change /Users/username Attribute before after

まぁ、それはともかく 10.6 のガイド読みながら設定しているんだけど、どうしてもクライアント側の /Network/Servers には出てこない。10.6 の Server Admin.app と 10.7 の Server Admin.app で共有設定の UI が変わったっぽいのでそれが原因かなー、とか思いながら automountable Lion Server でググってもそれっぽいのはヒットしない。ので挫折しようと思った矢先にふと lion “/network/servers” でググったら 「Open Directory のメンバーである Lion Server に、自動マウントを作成できない」なんてな記事を発見。

現象

ディレクトリサーバに接続しているサーバ上で、Lion Server の Server.app の「ホームディレクトリを使用可能にする」オプションは選択できるが、マウントレコードが作成されない。その後、オプションを選択解除できなくなる。

こ! れ!! だ!!!

早速ディレクトリユーティリティを動かして、記事にあるようにサーバー名と共有フォルダだけ変えて保存したところ、瞬時にクライアントの /Network/Servers に設定した共有フォルダが表示されました。

…うん、前から薄ら薄ら勘づいてはいたんだけど、これで確信した。テストしてないだろ、これ(大笑)

俺は趣味でやってるからいいけど、仕事でこんなの請け負ってたら胃に穴が空くよなー

まずは spam を学習させないと、ということで調べたら sa-learn というコマンドをウチの環境ではメールサーバー上で使うみたい。こんなこともあろうかと今まで受信してきた spam は残してあるので、それを sa-learn に spam として食わせて、あとは inbox に残ってるメールを ham として食わせればおっけーかな、と試そうとしたら、そもそもサーバー上の Maildir は _dovecot にしか読み書き権限がないので一般ユーザー権限で shell から読み込ませることは出来ないという罠が仕組まれていました。

仕方が無いのであんまりやりたくないんだけど、こんな感じ

sudo -s
sa-learn --showdots --spam --nosync /Server/Mail/Data/mail/XXXXXXXX-XXXX-XXXX-XXXXXXXXXXXXXXXX/.bogofilter/001

これである程度なんとかなるかなー、と思ったら相変わらず SPAM が inbox に配送されてくる。うーん? と思ってログを漁ってみたら

Aug 11 06:01:52 flora org.amavis.amavisd[33945]: bayes: cannot open bayes databases /var/amavis/.spamassassin/bayes_* R/O: tie failed: Permission denied

root で spam/ham を学習させたので、 _amavis に DB の読み書き権限がないので学習させた意味が無いという酷い展開でした…。仕方ないので文句言われた /var/amavis/.spamassassin を _amavis に chown して学習を継続。そしたら一時的にマシになったんだけど、どっかのタイミングで精度が落ちちゃう。んー、と思ったらどっかのタイミングで /var/amavis/.spamassassin の所有者が root に戻っちゃって、上で出ていたのと同じエラーが起きちゃっていたのでした…。どのタイミングで所有者が変わるか分からないけど、こんなの監視してられない。だったら! ということで覚えたての launchd にお任せすべく、こんな plist を書いてみました。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>Label</key>
        <string>jp.hyrule.flora.bayes_toks</string>
        <key>ProgramArguments</key>
        <array>
                <string>chown</string>
                <string>_amavisd</string>
                <string>/var/amavis/.spamassassin/bayes_toks</string>
        </array>
        <key>WorkingDirectory</key>
        <string>/var/amavis</string>
        <key>WatchPaths</key>
        <array>
                <string>/var/amavis/.spamassassin/bayes_toks</string>
        </array> 
</dict>
</plist>

赤字の部分がキモで、指定したファイルに変化がある度にプログラム(この場合は chown )が動くようです。これを仕掛けて以降 DB の所有者が変わることによるエラーは出なくなった様子。

ちなみに Apple 推奨の spam 学習方法は junkmail と notjunkmail というアカウントを作って、そこに spam や ham を送るというもの、で /private/etc/mail/spamassassin/learn_junk_mail.sh が呼ばれてるみたい。中身を確認したらやっぱり sa-learn を呼んでいるんだけど、

# Has the junk-mail user account been created
if [ -d "$JUNK_MAIL_PATH" ]
then
  echo "Learning what is junk mail"
  find "$JUNK_MAIL_PATH/cur" "$JUNK_MAIL_PATH/new" -type f -print | while read f
ile
  do
    echo "--- sudo -u _amavisd $SA_LEARN_PATH --dbpath $DB_PATH --spam --no-sync
 < $file"
    sudo -u _amavisd $SA_LEARN_PATH --dbpath $DB_PATH --spam --no-sync < "$file"
 > /dev/null
  done
fi

という具合に sa-learn 自体は _amavis に実行させているので、俺も最初っからこーやるべきだったんでしょう(苦笑)

学習させたから、これでバッチリ、と思ったんだけど、相変わらず spam は SpamAssassin をすり抜けて inbox に配送されてきます。Server Admin.app の迷惑メールの最小スコアは最強に近い 5 に設定しているのになんでー、とすり抜けてみたメールを確認したところ

X-Spam-Status: No, score=4.167 tagged_above=2 required=5 tests=[BAYES_99=3.5, LOTS_OF_MONEY=0.001, SPF_SOFTFAIL=0.665, WEIRD_QUOTING=0.001]   autolearn=no

と。

つまりせっかく迷惑メールを学習させて、学習結果からほぼこれは spam ですよ、という結果が出ているのにも関わらず spamassassin は学習結果だけを利用して spam 判定をしていない、のでこんな結果になっていたという。

どーしたもんか、とググったら SpamAssassin – TachTrac に俺が知りたかった設定が載っていたので、この score をパクってみたところ、よーやく spam がすり抜けないよーになったのでした。長かった…