eduroam アカウントサービスの運用開始について

情報部情報基盤課ネットワーク係 七尾晶士
サイバーサイエンスセンター 水木敬明
サイバーサイエンスセンター 後藤英昭

1 はじめに

 情報シナジー機構は,サイバーサイエンスセンターと協同し,TAINS 無線LAN システムの整備(本号記事[1] を参照)の一環として,東北大学統合電子認証システム[2] (以下,「認証システム」と呼びます)と連携することにより,本学の教職員に対する国際無線LAN ローミング基盤eduroam [3, 4] のアカウントサービスを開始しました。本稿では,このeduroam アカウントサービスの利用に必要な手順や,eduroam の仕組み等について説明します。

2 サービスの概要

 eduroam アカウントサービスは,認証システムと連携し,サブID ・サブID パスワードをeduroam アカウントとして利用します。すなわち,詳しくは後述しますが,有効な東北大ID を持ち,認証システムにおいてサブID とサブID パスワードを登録した教職員(*1)は,TAINS 無線LAN システムはもちろん,学内のeduroam に対応したアクセスポイントや,国内外のeduroam 参加機関が提供するアクセスポイントにおいて無線LAN が利用できるようになります。

3 利用資格

 以下の条件をすべて満たしている場合にeduroam アカウントサービスを利用することができます。

 1. 認証システムにおいて有効な東北大ID を持ち,次に掲げるユーザ区分に該当する者。
 2. 認証システムにおいてサブID とサブID パスワードを事前に登録した者。

4 アカウントの取得方法

 前節に記載の通り,本アカウントサービスを利用するためには,事前に認証システムにおいてサブID とサブID パスワードを登録する必要があります。ここでは,その方法について説明します。(既にサブID とサブID パスワードを登録済みの方は,以下の手順は必要ありません。)
 まず,東北大ID とそのパスワードを用いて,認証システム(*3)へログインします。ログイン後,[プロファイル] → [アカウント属性]を選択すると,図1 のような画面が現れます。図1 のサブID とサブID パスワードというフォームへ自分自身で決めた文字列を入力し,保存ボタンを押すことで完了です。ただし,「サブID」はセキュリティレベルの異なるシステムへ対応するために導入されたものですので,東北大ID やそのパスワードの文字列とは全く異なるものを作成するようにして下さい。
 なお,サブID やサブID パスワードを登録あるいは変更した場合,そのサブID やサブID パスワードにてeduroam アカウントサービスが利用できるようになるまでには,最長で1 時間かかります。(この処理は,平日の日中のみに行われます。)


図1: 認証システムのサブID / サブID パスワード登録画面

5 アカウントの形式

 前節で示したような手順に従い,認証システムにおいてサブID とサブID パスワードを登録すると,自動的にeduroam のためのアカウントが作られます。つまり,eduroam アカウントのID は「サブID@eduroam.tohoku.ac.jp」となり,パスワードは「サブID パスワード」そのものとなります。なお,IDの“@eduroam.tohoku.ac.jp” の部分はレルム(Realm) と呼ばれ,東北大学のeduroam アカウントサービスの利用者であることを示す識別子です。このレルムがないと,学内であろうと学外であろうと世界中のeduroam において利用者の認証ができませんので,必ずサブID にこの文字列を付加することを忘れないで下さい。

6 eduroamへの接続方法

 eduroam を利用するには,典型的には「eduroam」というSSID の無線LAN に,前節で説明したアカウントで接続することになります。つまり,例えば,学内あるいは国内外問わず出張先でノートPC を立ち上げたときに,「eduroam」というSSID が見えれば,「サブID@eduroam.tohoku.ac.jp」と「サブID パスワード」により無線LAN に接続することができます。
 ただし,eduroam に正しく接続できるためには,いくつかの設定に注意する必要があります。ここではそのポイントを簡単に示したいと思います。大きく分けると,eduroam の設定には,どこの場所で接続する場合にも変わらないものと,場所によって変わるものがあります。
 以下のポイントを頭に入れてから,TAINS のウェブページ[5] や他のeduroam 参加機関が提供するマニュアルをご覧いただき,実際のPC の設定を行っていただきますと,間違いが少なくなるものと期待します。

6.1 場所によって変わらない設定項目

 まず,どこの場所で接続する場合にも変わらない設定は,表1 の通りです。

ID(ユーザ名)サブID@eduroam.tohoku.ac.jp
パスワードサブIDパスワード
認証方式PEAP/MSCHAPv2
信頼するルート証明書Security Communication RootCA1

表1: 場所によって変わらない設定項目

 「ID(ユーザ名)」と「パスワード」については,東北大学のeduroam アカウントサービスの利用者であることを示す識別符号であり,もちろん世界中のどこでeduroam に接続する場合でも不変です。「認証方式」は,利用者(正確には,サプリカントと呼ばれるもの)とレルム@eduroam.tohoku.ac.jp を管理するRADIUS サーバとの間で,お互い(あるいは片方)を認証するためのプロトコルのことで,本サービスではPEAP/MSCHAPv2 という方式(*4)を採用しており,利用者とサーバの双方向で認証ができます。「信頼するルート証明書」は,eduroam.tohoku.ac.jp のサーバ証明書(*5)の最上位の発行者を示しており,PEAP の中のTLS (Transport Layer Security) で用いられます。
 これら場所によって変わらない設定のイメージを図2 に示します。図2 では,東北大学とA 大学にeduroam に対応したアクセスポイント(AP) があり,それぞれの場所でPC を接続する場面を表しています。東北大学でeduroam の無線LAN にPC をつなぐときも,A 大学でつなぐときも,表1 に示した設定,すなわちサブID やPEAP/MSCHAPv2 等はどちらの場合でも同じである様子がおわかりいただけると思います。

図2: 場所によって変わらない設定のイメージ



6.2 場所によって変わる設定項目

 次に,場所によって変わる設定項目を表2 に示します。

SSIDeduroam,eduroam-livedoor,その他
セキュリティの種類WPA2 エンタープライズまたはWPA エンタープライズ
暗号化の種類AES またはTKIP

表2: 場所によって変わる設定項目

 「SSID」は無線LAN を識別するために用いられるもので,eduroam では,多くの場合“eduroam” という文字列が用いられますが,場所によっては“eduroam-∗∗∗” のような文字列が使われる場合もあります。いわゆる「セキュリティの種類」には,一般的にはWPA パーソナル,WPA2 パーソナル,WPA エンタープライズ,WPA2 エンタープライズ等がありますが,そのうちeduroam で用いられるのは,WPA2 エンタープライズもしくはWPA エンタープライズです。いわゆる「暗号化の種類」としてeduroam で標準的に用いられるのは,AES(*6)もしくはTKIP です。
 したがって,eduroam で利用される可能性のあるのは,WPA2 or WPA(エンタープライズ)とAES orTKIP の組み合わせのどれかということになりますが,実際にeduroam で用いられるのはWPA2-AES か,もしくはWPA-TKIP の組み合わせがほとんどです(*7)。これらの設定は,大雑把に言うと,PC とアクセスポイントの間の無線通信のセキュリティを確保するために,どの暗号アルゴリズムをどのように使うか等を決めるもので,どちらの設定になっているかについては接続しようとするアクセスポイントに依存しています。ちなみに,東北大学のTAINS 無線LAN システムでは,WPA2-AES を採用しています。
 図3 に,場所によって変わる設定の一例を示します。東北大学のTAINS 無線LAN に接続する場合,SSID はeduroam で,前述の通りWPA2-AES で接続します。一方,A 大学を訪問するときには,SSID がeduroam-univA で,WPA-TKIP で接続することになります。
 訪問先で表2 の項目をどのように設定しなくてはいけないかについては,訪問先の機関が提供する情報に従って下さい。


図3: 場所によって変わる設定のイメージ


7 eduroam のローミングの仕組み

 前節で説明しましたように,eduroam では,同一アカウントで東北大学以外のeduroam 参加機関のAPにも接続することができます。このようなeduroam におけるローミングは,IEEE802.1X 認証とRADIUSプロキシという技術によって実現されています。
 IEEE802.1X 認証はLAN スイッチや無線AP にてユーザを認証するために使用され,その主な構成要素は,サプリカント(PC にインストールされた認証クライアントソフトウェア)(*8),オーセンティケータ(AP)及びRADIUS サーバの3 つです。図4 のように,サプリカントからの接続要求を受けたオーセンティケータは,RADIUS サーバへ要求を投げ,その結果,正規ユーザであることが確認できたなら接続を許可します。


図4: IEEE802.1X の主な構成要素


 eduroam では,このようなIEEE802.1X 認証をRADIUS プロキシツリーという手法により,各参加機関で相互に連携させています。より具体的には,図5 のように,レルムに基づいて木(ツリー)構造を作っています。例えば,eduroam.tohoku.ac.jp の親はtohoku.ac.jp で,その親はjp です。利用者はどこの機関を訪問したとしても,レルムの情報を元に自分が所属する機関のRADIUS サーバへ認証の問い合わせが行われるため,訪問先で無線LAN が利用できるようになります。
 なお,基本的にeduroam で連携されるのは,認証・認可のための情報で,eduroam の認証を経た利用者のPC は接続先の機関のネットワークに収容されます。したがって,eduroam で接続できた後で,どのようなネットワークが利用できるかについては,その機関のポリシーに依存します。例えば,ウェブやメールを自由に使えるかもしれませんし,VPN だけしか使えないかもしれません。
 このようなこともあり,情報シナジー機構は,各サイトにおける個別設定などのサポートに応じることは困難であることをご了承願います。本サービスで運用しているのは,レルム@eduroam.tohoku.ac.jp を管理するRADIUS サーバだけであり,そこで取得できる情報に基づき対処できるサポート以上のことは難しいことをどうぞご理解下さい。


図5: eduroam におけるRADIUS プロキシツリーのイメージ


8 おわりに

 eduroam は学内だけではなくeduroam に参加している機関のeduroam 対応アクセスポイントであればどこでも利用できますし,最近では,国立情報学研究所(NII) と株式会社ライブドアの共同実証実験として,livedoor Wireless アクセスポイントでも利用できるようになっています。今後もeduroam 参加機関が増えていくと予想されますので,eduroam アカウントサービスを是非利用してみて下さい。TAINS のウェブページ[5] 上にも情報を掲載していますので,そちらもご覧下さい。

参考文献

[1]後藤英昭, 水木敬明, 曽根秀昭, 七尾晶士, 澤田勝己, 北澤秀倫, 森倫子, “東北大学におけるキャンパス無線LAN サービスについて,” TAINS ニュース, No.39, pp.10–14, 2011. (http://www.tains.tohoku.ac.jp/news/news-39/1014.html)
[2]木下哲男, 伊藤清顕, 早川美徳, 寺澤篤史, “統合電子認証システムが始まりました, ” TAINS ニュース,No.38, pp.3–4, 2010. (http://www.tains.tohoku.ac.jp/news/news-38/0304.html)
[3]eduroam, (http://www.eduroam.org/)
[4]eduroam JP, (http://www.eduroam.jp/)
[5]東北大学総合情報ネットワークシステムTAINS, (http://www.tains.tohoku.ac.jp/)
(*1)学生に対するサービス展開については,その実現可能性を含めて関係各署と調整中です。
(*2)リサーチアシスタント,ティーチングアシスタント,サイエンスエンジェル,短期雇用職員は除く。
(*3)例えば,東北大学トップページの「教職員向け」リンクからたどれます。
(*4)他の認証方式にはEAP-TTLS やEAP-TLS やEAP-FAST 等がありますが,本サービスでは,OS がデフォルトで有するサプリカントの多くが対応しているPEAP/MSCHAPv2 を選びました。
(*5)CN (CommonName) はradius1.tains.tohoku.ac.jp 等です。
(*6)正確には,TKIP (Temporal Key Integrity Protocol) との対比で言うと,CCMP (Counter-Mode/CBC-MAC Protocol) と書くべきです。つまり,一般に無線LAN では,TKIP の中で用いられる暗号アルゴリズムがRC4 で,CCMP の中で用いられるのがAES ということです。しかしながら,多くの製品ではAES とTKIP という語で選択するようになっているようです。
(*7)世の中の流れとしては,WPA2-AES を使い,WPA-TKIP は使わない方向です。
(*8)OS や環境によっては標準で入っています。