eduroam アカウントサービスの全学生展開について

サイバーサイエンスセンター 水木敬明
教育情報基盤センター 磯辺秀司

1 はじめに

 すでによくご存知の読者の方も多いと思いますが,eduroam [1,2] は国際的な無線LAN ローミング基盤であり,eduroam のアカウントを有する利用者は,本学のみならず世界中のeduroam に対応した無線LAN アクセスポイントでネットワーク接続サービスを受けることができます。本学では2010 年より,サイバーサイエンスセンターと協同する情報シナジー機構が,教職員に対して「eduroam アカウントサービス」を提供しています[3]
 当初の利用資格範囲は教職員に限定されていましたが,2013 年度より,教育情報基盤センターと情報シナジー機構が協同し,学部生・大学院生に対するeduroam アカウントサービスの提供を本格的に開始しました。これにより,教育情報基盤センターが進める教育系情報システム・サービスのひとつ「キャンパス無線LANサービス」が大きく発展しました。すでに現在,非常に多くの学生の皆さんがeduroam を活用しています。
 以下本稿では,2013 年度スタートしたこの学生eduroam アカウントサービスについて簡単に説明します。

2 利用イメージ

 ここでは,学生がノートパソコンやスマートフォンなどの無線LAN 端末においてeduroam を利用する際に必要な事柄や利用シーンを見ていきます。より詳しい使い方などの情報は,「教育系情報システムオンラインガイド[4]」をご参照下さい。
 基本的に本学の学生は誰でもeduroam のアカウントを持つことができます。すなわち,東北大学統合電子認証システム[5] において「サブID」および「サブID パスワード」を設定することで,自動的にeduroamのアカウントが作られます。アカウントの形式は

ユーザID パスワード
サブID パスワード

です。したがって,eduroam のユーザID としては,「サブID」として学生が自分で選んだ文字列の後ろに「@student.tohoku.ac.jp」を付ける必要があります(この部分はレルム(Realm) と呼ばれ,東北大学の学生eduroam アカウントサービスの利用者であることを示す識別子です)。
 上述のアカウントを用いてeduroam を利用します。すなわち,典型的には,ノートパソコンなどの無線LAN 端末を使って,eduroam というSSID に接続し,上で示したユーザID とパスワードを入力することで,それ以降のネットワーク接続環境を得ることができます。eduroam ではIEEE802.1X という技術が使われており,端末などによっては,以下の情報の手動設定が必要な場合もあります。

SSID eduroam
認証方式 PEAP/MSCHAPv2
セキュリティ WPA2 エンタープライズ
暗号化 AES

なお,これらの設定項目のうち,「SSID」,「セキュリティ」および「暗号化」については,場所によって変わる可能性があります(本学のTAINS 無線LAN システム[6] においては上の表の通りの設定となっています)。認証方式の「PEAP/MSCHAPv2」については,どこの場所から接続しても変わりません。
 eduroam に対応した無線LAN アクセスポイントは,本学を始め,いろいろな場所,世界中に存在します。学生の皆さんが利用する機会が多いのは,川内北キャンパスの講義棟(A 棟,B 棟,C 棟)[7] かもしれません。学内でeduroam が利用可能な場所の例として,TAINS 無線LAN システムに直接収容されているアクセスポイントの設置場所(2014 年3 月現在)を次の表に示します。

キャンパス 設置場所
片平 金属材料研究所2 号館1 階 講堂・会議室・ロビー
同上2 号館 図書室
電気通信研究所 ナノスピン実験施設4 階 カンファレンスルーム
同上1 号館1 階 談話室
同上2 号館4 階 中会議室・大会議室
エクステンション教育研究棟1 階 部局長会議室
さくらホール1 階 ホール
同上2 階 会議室
本部棟
キャンパス計画室
流体科学研究所2 号館 図書室
多元物質科学研究所 図書室
原子分子材料科学高等研究機構(AIMR) 本館1 階会議室
同上2 階セミナー室,廊下
同上5 階交流スペース
原子分子材料科学高等研究機構(AIMR) ラボ棟1 階ロビー
川内附属図書館 本館1 号館
同上2 号館
マルチメディア教育研究棟1~4 階,6 階
講義棟(A,B,C)
国際交流センター1 階
川内北キャンパス厚生会館
文系食堂
萩ホール1 階 ファカルティクラブ
同上2 階 会議室
星陵附属図書館 医学分館 本館
同上 別棟
雨宮附属図書館 農学分館
雨宮厚生会館
青葉山附属図書館 北青葉山分館
同上 工学分館 旧館
同上 新館
サイクロトロン・ラジオアイソトープセンター サイクロ棟2 階 会議室
同上分子イメージング棟1 階会議室
学際科学国際高等研究センター1 階 大セミナー室
サイバーサイエンスセンター1 階 利用相談室
同上5 階 大会議室
情報科学研究科
理学研究科数学系研究棟
工学研究科中央棟1~4 階
同上総合棟1~3 階
同上工学管理棟3 階,5 階
同上青葉記念会館1 階,3~6 階
同上Boook 1 階
同上機械・知能系1 号館2 階
同上機械・知能系2 号館2 階
同上機械・知能系講義棟2 階
同上機械・知能系共同棟2~6 階
同上機械・知能系教育実験棟3 階
同上機械・知能系COE 実験棟東2 階,西2 階
同上量子エネルギー専攻講義棟1 階,2 階
同上量子エネルギー専攻実験研究棟3 階,4 階
同上マテリアル・開発系実験棟[D 棟]
同上マテリアル・開発系大講義棟
同上電子情報システム・応物系大講義棟北側
同上電子情報システム・応物系南講義棟
同上電子情報システム・応物系仮設講義棟
同上電子情報システム・応物系仮設展示棟
同上化学・バイオ系総合研究棟1 階,4 階
同上化学・バイオ系学生実験棟1 階
同上化学・バイオ系講義棟1 階,2 階
同上化学・バイオ系大講義棟1 階
同上人間・環境系都市・建築学専攻仮設校舎
同上人間・環境系土木工学専攻仮設校舎1 階
その他東京分室

 部局の皆様のご尽力により,学内におけるeduroam に対応した無線LAN アクセスポイントが増えてきております。前号の記事[7] でも触れましたが,部局手当てによるアクセスポイントをTAINS 無線LAN システムと連携する方法には,「(1) 無線コントローラ直接収容方式」と「(2) 無線用サブネット提供方式」の二種類があります。アクセスポイントを新たに導入予定の部局のご担当の皆様は,TAINS 無線LAN システムとの連携の検討をぜひお願いします。詳細につきましては,部局技術担当者から情報部情報基盤課ネットワーク係ヘご相談下さい。

3 仕組みの概要

 eduroam は世界規模な無線LAN ローミング基盤を提供しています。ここでは,どのような仕組みでこのようなローミングが実現されているのかについて,ごく簡単に見てみたいと思います。
 出張先などの学外ですでに何度もeduroam を活用している方も多いと思いますが,このように東北大学が運用する無線LAN アクセスポイント以外でも同じアカウントで利用できるのは,IEEE802.1X 認証とRADIUS プロキシツリーという技術が組み合わされて使われているからです。
 例えば,「@student.tohoku.ac.jp」というレルムを持つ本学の学生がTAINS 無線LAN システムのアクセスポイント(のeduroam というSSID)に接続しようとする場合には,そのアクセスポイント(「オーセンティケータ」と言われます。)を経由して学生の無線LAN 端末(「サプリカント」と言われます。)と東北大学のRADIUS サーバとの間で認証プロトコル(PEAP/MSCHAPv2) が走り,無事に認証が通るとネットワーク利用の認可を得ることになります。このとき,その無線LAN 端末は,TAINS が管理するアドレス帯からIP アドレスを取得し,全てのトラフィックはTAINS を通ることになります。
 一方,その学生が他大学を訪問してその大学が運用する(eduroam に対応した)アクセスポイントに接続しようとする場合には,次のような動作となります。まず,学生の無線LAN 端末(サプリカント)からの認証要求をアクセスポイント経由で受け取ったその大学のRADIUS サーバは,レルムが「@student.tohoku.ac.jp」であることから,RADIUS プロキシツリーを使って,東北大学のRADIUS サーバに向けてその認証要求を中継します。そして,学生のサプリカントと東北大学のRADIUS サーバの間でやはりPEAP/MSCHAPv2 が実行されたのち,ネットワークの利用ができるようになります。このとき,学生の無線LAN 端末はその訪問大学からIP アドレスを受け取り,トラフィックもその大学から出ていきます。TAINS に直接つながるわけではないことに注意してください。したがって,そこでどのようなネットワークが利用できるかについては,その訪問大学のポリシーに依存します。

4 むすび

 本稿では,eduroam アカウントサービスの学生への展開についてごく簡単に述べました。この実現には,多くのご関係の皆様のご協力が欠かせませんでした。改めて感謝申し上げます。今回のサービス開始とともに,非常に多くの学生の皆さんがeduroam による無線LAN 接続を活用しています。今後も本学の教育・研究活動を支える情報基盤の一つであり続けることを期待しています。

参考文献

[1]後藤英昭, 今井哲郎, 曽根秀昭, “eduroam とキャンパスユビキタスネットワーク,” TAINS ニュース, No.34, pp.5–8, 2007. (http://www.tains.tohoku.ac.jp/news/news-34/0508.html)
[2]eduroam JP, (http://www.eduroam.jp/)
[3]七尾晶士, 水木敬明, 後藤英昭, “eduroam アカウントサービスの運用開始について,” No.39, pp.15–21, 2011. (http://www.tains.tohoku.ac.jp/news/news-39/1521.html)
[4]東北大学生のための教育系情報システムオンラインガイド, (http://www.dc.tohoku.ac.jp/guide/)
[5]木下哲男, 伊藤清顕, 早川美徳, 寺澤篤史, “統合電子認証システムが始まりました,” TAINS ニュース, No.38, pp.3–4, 2010. (http://www.tains.tohoku.ac.jp/news/news-38/0304.html)
[6]後藤英昭, 水木敬明, 曽根秀昭, 七尾晶士, 澤田勝己, 北澤秀倫, 森倫子, “東北大学におけるキャンパス無線 LAN サービスについて,” TAINS ニュース, No.39, pp.10–14, 2011. (http://www.tains.tohoku.ac.jp/news/news-39/1014.html)
[7]水木敬明, 磯辺秀司, “川内キャンパス講義棟の無線LAN サービスにおけるeduroam 対応,” TAINS ニュース, No.41, pp.3–6, 2013. (http://www.tains.tohoku.ac.jp/news/news-41/0306.html)