2005年度システム技術分科会 第2回会合「ネットワーク認証と検疫ネットワーク」
■講演 PDF版
■プレゼンテーション資料
|
|
|
|
名古屋大学情報連携基盤センター 平野 靖 名古屋大学大学院多元数理科学研究科 内藤 久資 名古屋大学情報連携基盤センター 梶田 将司,小尻 智子,間瀬 健二 |
||
アブストラクト1.はじめに
名古屋大学では全構成員に統一的な IDを付与しており,情報連携基盤センターはこの IDと付随するパスワードを用いて学内情報サービスにおけるユーザ認証を行っている.この認証機能は,教務システム,図書館システム,大学ポータルなど,すでに実運用されているシステムで利用されている.利用の仕方は CAS認証と LDAP認証の 2種類があり,前者は Webベースの学内情報サービスで,後者はそれ以外のサービスで用いられている.
さらに,Yale大学で開発された CAS(Central Authentication Service)に認可(Authorization)の機能を追加した上で,Webベースの学内情報サービスの Single Sign-Onを実現した.本発表では,情報連携基盤センターが提供するユーザ認証基盤の概要を述べる.
キーワード
全学認証基盤,LDAP認証,CAS認証
大学の情報化が進むにしたがって,学生や職員が有する ID/パスワードが増え続けている.具体的には,個々の部局(学部,大学院,学内センターなど)が運用する情報サービスのために個別に IDとパスワードを発行してきたことによって,大学内には 1人にいくつもの IDが付与されてきた.このことは複数の IDを覚える手間をユーザに強いるばかりでなく,手帳やディスプレイに貼られたポストイットに IDとパスワードの組を記述することなどにより,これらの漏洩の危険性を拡大してきた.そのため,個々の部局で独自の ID体系を用いるのではなく,全学的に統一された ID体系が必要である.さらにはこのような ID体系によるユーザ認証システムを特定の部局で集中的に管理・運用することが望ましい.
名古屋大学では,事務局総務企画部人事労務課,財務部情報企画課,および学務部との協力体制のもと情報連携基盤センターが全学 ID運用部局となり,複数の学内情報サービスプロバイダ(全学向け・部局向け情報サービスを提供する名古屋大学の職員,あるいは学内団体)に認証機能とユーザ情報の提供を行っている.本稿では名古屋大学におけるユーザ認証基盤の概要を述べる.
名古屋大学では,構成員(名古屋大学に所属する学生,研究生,常勤職員,非常勤職員など)を対象に,多くの部局が教務システムや図書館システム,あるいは教育用計算機システムなどの情報サービスを提供している.以前は,これらのサービスごとに IDとパスワードが発行されており,ユーザはサービスごとに複数の認証情報を覚え,使い分けなくてはならなかった.このことはユーザに対して煩雑性を強いるだけでなく,手帳やポストイットなどに認証情報を書き留めてしまうことによって,悪意のある第3者による情報サービスへの不正アクセスなどの危険性も拡大させる.名古屋大学では全学的に統一された ID体系(全学ID と呼ぶ)を構築し,平成14年2月から学内情報サービスプロバイダのための共通の IDとして使用している(図1).全学ID は名古屋大学の全学生,全職員(教職員,事務職員,および技術職員),および全非常勤職員(非常勤講師や研究員も含む)に発行されている[1].またユーザ認証基盤には全学ID とパスワードのほか,氏名や所属部局など(属性情報)が格納されており,学内情報サービスプロバイダに提供することができる.パスワード以外の情報は毎月更新しているので,氏名変更や異動があった場合にも,比較的迅速に最新の情報を学内情報サービスプロバイダに提供できる.このようなユーザ認証基盤の構築によって,学内情報サービスのユーザ,学内情報サービスプロバイダ,および大学のそれぞれには下記のメリットが生じる.
図1.認証システムの統合
学内情報サービスで全学ID を用いて認証を行うことには,情報連携基盤センターにディレクトリサービス利用申請書を提出すればよい.なお,名前や所属部局などの個人情報が漏洩することは大きな問題であるため,暗号化されていないパスワードが情報連携基盤センター外のネットワークに流れないような措置,通信路の暗号化,およびアクセス制御などを行うとともに,学内情報サービスプロバイダには責任者,および実務担当者の氏名・所属などを明記していただいている.
- 学内情報サービスのユーザ
全学ID が広く使われるようになれば,サービスを提供する主体が異なっても,認証部分は共通化できる.したがって,誰が提供するサービスであっても,共通の IDとパスワードを用いることでサービスを受けることができる.
- 学内情報サービスプロバイダ
ユーザ情報の管理の手間を削減できる.とくに,IDとパスワードの生成や,異動による所属情報の変更,利用資格の付与・抹消などの手間から解放される.さらに,氏名や所属部局などのユーザ情報をユーザに入力させたり,プロバイダが入力したりすることなく入手できる.
- 大学
学内情報サービスに必要となる総所有コスト(TCO, Total Cost of Ownership)の低減化が実現でき,これまで必要以上に使われてきた情報化関係経費を別の目的やさらなる情報化などに使用できる.
3.1 認証システム
名古屋大学のユーザ認証基盤では,認証データベースに LDAP(Lightweight Directory Access Protocol)[2] [3] サーバを用いている.学内情報サービスは LDAPサーバに直接接続し,ユーザ認証,および属性情報の取得を行うことができる.また,我々は,高等教育機関における多様な情報システムの認証基盤の統一化を実現するための一つの方法として,Yale大学による CAS(Central Authentication Service)[4] を拡張し,強力な権限管理機構を持つ CAS2(Central Authentication and Authorization Service)を開発した[5][6].CASサーバに接続することによっても,LDAPサーバに接続する場合と同様の情報を取得することができる.以下,LDAPサーバで認証を受け,情報を取得すること,およびCASサーバで認証を受け,情報を取得することを,それぞれLDAP認証,およびCAS認証と呼ぶことにする.CAS認証は主にWebアプリケーションに対して,LDAP認証はそれ以外のサービスに対して認証機能を提供している.このことは,CAS認証がクッキー(Cookie)をベースに行われていることに起因する.3.2 ユーザ認証基盤の冗長化,および暗号化通信
図2に CAS認証の概要を示す.認証情報や属性情報は,ユーザと CASサーバ間,および LDAPサーバと CASサーバの間で送受信され,必要に応じて属性情報は学内情報サービスに送信される.なお,学内情報サービスプロバイダには,CASサーバで認証されたか否かの情報のみが渡され,パスワードは渡されない.そのため,通信路においてパスワードを盗聴されないようにするためには,ユーザと CASサーバの間のみを https化するだけでよい.すでに CASサーバにはサーバ証明書をインストールしてあるので,学内情報サービスプロバイダは新規にサーバ証明書を取得する必要はない.一方,CAS認証を導入しない場合には,盗聴を防ぐために,各学内情報サービスとユーザの間を https化する必要があり,学内情報サービスの数だけサーバ証明書が必要になる.
平成17年12月時点で,LDAP認証,および CAS認証を利用している部局,および学内情報サービスの数は下記の通りである.括弧内の数字がそれぞれの部局で運用されている学内情報サービスの数を表す.これらには開発予定,および開発中のものを含む.
- LDAP認証:
本部(2),附属図書館(1),理学部(1),情報科学研究科(1),情報メディア教育センター(2),情報連携基盤センター(6)
- CAS認証:
本部(3),法学部(2),高等教育研究センター(1),情報メディア教育センター(2),情報連携基盤センター(1)
例えば,LDAP認証は情報メディア教育センターでの教育用計算機システムや附属図書館での図書館システムに,CAS認証は情報メディア教育センターでの WebCTや学務情報システム推進委員会の教務システム,情報連携基盤センターでの大学ポータルなどで利用されている.
図2.CAS認証の概要
多数の学内情報サービスが情報連携基盤センターに設置されたユーザ認証基盤を利用しているため,ハードウェアの故障などでサーバが停止するとユーザや学内情報サービスプロバイダに与える影響が大きい.そこで,図3に示すように,複数台の CASサーバと LDAPサーバを用意し,負荷分散装置によって負荷分散するとともに,1台のサーバが故障などによって停止しても残りのサーバで認証サービスを継続できるようにしてある.各 LDAPサーバはマスターとなる LDAPサーバのレプリカを持っており,マスターサーバの内容を更新した場合には,ほとんど遅延なく各レプリカに更新内容が伝播されるため,すべての LDAPサーバは常に同一の内容を格納している.また,負荷分散装置は SSLアクセラレータやポートフィルタリングの機能も有し,不正アクセスの防止対策を行っている.
図3.冗長化,およびSSL化
名古屋大学では CAS認証によって Single Sign-On(SSO)を実現している.この方法では,個々の学内情報サービスは認証情報を知ることなく認証結果だけを得ることが可能である.また,標準的な Web技術だけを用いて実装することができ,Java,PHP,Perl,PL/SQL,Pythonなど,数多くのプログラミング言語のためにCASクライアント構築用のライブラリが用意されている.また,標準的な Webブラウザをユーザインタフェースとする.2005年6月現在,30を越える大学で採用されるなど,北米を中心に豊富な採用実績を持つ.
前章のように,名古屋大学では Yale大学で開発された CASを改良し,権限管理機構を付加するとともに,不必要な通信の削減,serviceパラメータの改ざんによる許可されていない URLへの不正アクセス(Man-in-Middle)の防止,任意の属性情報によるログイン機能などの追加を行った.
本SSOシステムは,平成16年度後期以降の成績入力,および平成17年度前期以降の履修登録で教務システムにおける認証に用いられた.平成16年度後期には約1000人の教員が行う約4000科目の成績入力を 19日間にわたって行い,平成17年度前期には約6500人(学部2〜4年生)を対象に 9日間にわたって履修登録を行った.いずれの場合も別段の問題は発生せずに成績入力・履修登録が終了した.
本文では名古屋大学での統一的な ID体系である全学ID の必要性と,ユーザ認証基盤の現状を概説した.また,我々が拡張した CAS2を用いて構築した SSO環境の概要を述べた.
今後,全学ID の説明会などを行い,既存の学内情報サービスの認証機能の情報連携基盤センターが運用するユーザ認証基盤への移行,および今後運用が開始される学内情報サービスにおいて全学ID を利用するように促すなどのさらなる努力が必要であると考えられる.
大学においては,他大学からの訪問者に対してサービスを提供しなければならない場面も少なからずある.このような場面においては他大学・機関などで動作している CASサーバを経由して認証結果などの交換が必要となる.また,大学間での Authentication,および Authorizationサービスの実現を目的としている Shibboleth[7] との比較検討も必要である.これらの機能の実現により,より大規模かつ広範囲な統一認証基盤の実現が可能と考えられる.
現状では,学内情報サービスが CASを利用するために必要な ACL(Access Control List)の作成やアクセス制限の変更などは,情報連携基盤センター大学ポータル専門委員会の委員(著者のうち内藤)が行っている.この作業はアクセスを許可するユーザ群の全学ID を基に手作業で ACLを作成しなければならない点や,各学内情報サービスプロバイダ自らが運営するサービスのアクセス制限をコントロールできない点などの問題がある.そこで,このような問題点を解消するための運用ツールの作成を行っている.また,CAS2をパッケージ化することにより,他機関でも容易に CAS2を利用できる状況にする計画である.
なお,名古屋大学では全学ID の番号体系と,格納すべき属性情報の再検討,運用体制の強化を行っており,さらに使いやすく,安全なユーザ認証基盤の構築を目指している.
名古屋大学情報連携基盤センターに設置されているユーザ認証基盤の一部は Sun Microsystems社からの寄贈を受けた.CASの機能拡張に関しては,文部科学省平成16年度「知的資産の電子的な保存・活用を支援するソフトウェア技術基盤の構築」研究開発課題「ユビキタス環境下での高等教育機関向けコース管理システム」(研究代表者:間瀬健二),および文部科学省科学研究費基盤研究(A)「地域学術コンソーシアムにおける e-Learning地域ハブに関する研究」(研究代表者:梶田将司,課題番号:15200054)の助成を受けて実施されている.また,CASのパッケージ化,および運用ツールの作成は,国立情報学研究所による CSI(Cyber Science Infrastructure)経費の一部による.参考文献
[1] http://www2.itc.nagoya-u.ac.jp/center/id.htm [2] Gerald Carter:LDAP System Administration,O'Reilly & Associates Inc.,2003 [3] Gerald Carter:LDAP −設定・管理・プログラミング−,でびあんぐる 監訳,オーム社,東京,2003 [4] Yale University ITS Technology & Planning (http://tp.its.yale.edu/) [5] 梶田 将司,内藤 久資,小尻 智子,平野 靖,間瀬 健二:CASによるセキュアな全学認証基盤による名古屋大学ポータルの運用,第3回WebCT Conference予稿集,pp. 115-120 (2005) [6] 梶田 将司,内藤 久資,小尻 智子,平野 靖,間瀬 健二:大学における統一認証基盤としての CASとその拡張,情報処理学会論文誌(採録決定) [7] Internet2 Working Group, Shibboleth Project (http://shibboleth.internet2.edu/)