[目次]
[ Q&A ]
2005年度システム技術分科会 第2回会合「ネットワーク認証と検疫ネットワーク」
アブストラクト1.はじめに 大学の情報化が進むにしたがって,学生や職員が有する ID/パスワードが増え続けている.具体的には,個々の部局(学部,大学院,学内センターなど)が運用する情報サービスのために個別に IDとパスワードを発行してきたことによって,大学内には 1人にいくつもの IDが付与されてきた.このことは複数の IDを覚える手間をユーザに強いるばかりでなく,手帳やディスプレイに貼られたポストイットに IDとパスワードの組を記述することなどにより,これらの漏洩の危険性を拡大してきた.そのため,個々の部局で独自の ID体系を用いるのではなく,全学的に統一された ID体系が必要である.さらにはこのような ID体系によるユーザ認証システムを特定の部局で集中的に管理・運用することが望ましい.2.全学ID 名古屋大学では,構成員(名古屋大学に所属する学生,研究生,常勤職員,非常勤職員など)を対象に,多くの部局が教務システムや図書館システム,あるいは教育用計算機システムなどの情報サービスを提供している.以前は,これらのサービスごとに IDとパスワードが発行されており,ユーザはサービスごとに複数の認証情報を覚え,使い分けなくてはならなかった.このことはユーザに対して煩雑性を強いるだけでなく,手帳やポストイットなどに認証情報を書き留めてしまうことによって,悪意のある第3者による情報サービスへの不正アクセスなどの危険性も拡大させる.名古屋大学では全学的に統一された ID体系(全学ID と呼ぶ)を構築し,平成14年2月から学内情報サービスプロバイダのための共通の IDとして使用している(図1).全学ID は名古屋大学の全学生,全職員(教職員,事務職員,および技術職員),および全非常勤職員(非常勤講師や研究員も含む)に発行されている[1].またユーザ認証基盤には全学ID とパスワードのほか,氏名や所属部局など(属性情報)が格納されており,学内情報サービスプロバイダに提供することができる.パスワード以外の情報は毎月更新しているので,氏名変更や異動があった場合にも,比較的迅速に最新の情報を学内情報サービスプロバイダに提供できる.このようなユーザ認証基盤の構築によって,学内情報サービスのユーザ,学内情報サービスプロバイダ,および大学のそれぞれには下記のメリットが生じる.3. ユーザ認証基盤 3.1 認証システム 名古屋大学のユーザ認証基盤では,認証データベースに LDAP(Lightweight Directory Access Protocol)[2] [3] サーバを用いている.学内情報サービスは LDAPサーバに直接接続し,ユーザ認証,および属性情報の取得を行うことができる.また,我々は,高等教育機関における多様な情報システムの認証基盤の統一化を実現するための一つの方法として,Yale大学による CAS(Central Authentication Service)[4] を拡張し,強力な権限管理機構を持つ CAS2(Central Authentication and Authorization Service)を開発した[5][6].CASサーバに接続することによっても,LDAPサーバに接続する場合と同様の情報を取得することができる.以下,LDAPサーバで認証を受け,情報を取得すること,およびCASサーバで認証を受け,情報を取得することを,それぞれLDAP認証,およびCAS認証と呼ぶことにする.CAS認証は主にWebアプリケーションに対して,LDAP認証はそれ以外のサービスに対して認証機能を提供している.このことは,CAS認証がクッキー(Cookie)をベースに行われていることに起因する.3.2 ユーザ認証基盤の冗長化,および暗号化通信 多数の学内情報サービスが情報連携基盤センターに設置されたユーザ認証基盤を利用しているため,ハードウェアの故障などでサーバが停止するとユーザや学内情報サービスプロバイダに与える影響が大きい.そこで,図3に示すように,複数台の CASサーバと LDAPサーバを用意し,負荷分散装置によって負荷分散するとともに,1台のサーバが故障などによって停止しても残りのサーバで認証サービスを継続できるようにしてある.各 LDAPサーバはマスターとなる LDAPサーバのレプリカを持っており,マスターサーバの内容を更新した場合には,ほとんど遅延なく各レプリカに更新内容が伝播されるため,すべての LDAPサーバは常に同一の内容を格納している.また,負荷分散装置は SSLアクセラレータやポートフィルタリングの機能も有し,不正アクセスの防止対策を行っている.4. CAS認証によるSingle Sign-On 名古屋大学では CAS認証によって Single Sign-On(SSO)を実現している.この方法では,個々の学内情報サービスは認証情報を知ることなく認証結果だけを得ることが可能である.また,標準的な Web技術だけを用いて実装することができ,Java,PHP,Perl,PL/SQL,Pythonなど,数多くのプログラミング言語のためにCASクライアント構築用のライブラリが用意されている.また,標準的な Webブラウザをユーザインタフェースとする.2005年6月現在,30を越える大学で採用されるなど,北米を中心に豊富な採用実績を持つ.5. まとめと今後の課題 本文では名古屋大学での統一的な ID体系である全学ID の必要性と,ユーザ認証基盤の現状を概説した.また,我々が拡張した CAS2を用いて構築した SSO環境の概要を述べた.謝辞 名古屋大学情報連携基盤センターに設置されているユーザ認証基盤の一部は Sun Microsystems社からの寄贈を受けた.CASの機能拡張に関しては,文部科学省平成16年度「知的資産の電子的な保存・活用を支援するソフトウェア技術基盤の構築」研究開発課題「ユビキタス環境下での高等教育機関向けコース管理システム」(研究代表者:間瀬健二),および文部科学省科学研究費基盤研究(A)「地域学術コンソーシアムにおける e-Learning地域ハブに関する研究」(研究代表者:梶田将司,課題番号:15200054)の助成を受けて実施されている.また,CASのパッケージ化,および運用ツールの作成は,国立情報学研究所による CSI(Cyber Science Infrastructure)経費の一部による.参考文献
|
[目次] [ Q&A ] |
All Rights Reserved, Copyright©サイエンティフィック・システム研究会 2006 |