• Japanese

特集

「KEIOMOBILE」の廃止と「keiomobile2」へのPEAP認証方式追加について

三田ITC 大橋 真


まず、主に三田、日吉、矢上キャンパスにおけるワイヤレスネットワークの歴史について触れたいと思う。

1998年にIEEE 802.11対応のアクセスポイントおよびクライアント機器を導入、試験的な運用を開始した。この時はアクセスポイントに接続するための認証は行わず、義塾が用意したPCをユーザーに貸し出す等の運用を行った。

2001年頃からIEEE 802.11b対応の機器を導入すると共に用意されたワイヤレスネットワーク接続サービスは、「KEIOMOBILE」というSSIDでサービスを開始、クライアントとアクセスポイント間の通信はWEPなどで暗号化を行わない構成でスタートした。

サービス開始当初の認証方法はSSHを使ってゲートウェイに接続してから認証を行う手順となっており、今から考えると、ユーザーにとって相当ハードルの高い認証方法であったと思われるが、当時のPCはワイヤレスネットワークのクライアント機能を有する機器は少なく、PCMCIAを利用して増設する必要のある機器が大半であり、接続可能な環境を用意できるユーザー向けであったことを考えると妥当だったのかも知れない。また、この認証方法は他大学などからも問い合わせがあり、情報提供を行った。

2004年から2005年頃には、ゲートウェイに対してウェブインターフェースで認証できる仕組みを構築・導入し、これもKEIOMOBILEとして運用を開始した。

また、2011年頃からWPA2 Enterprise EAP-TLSでの認証方式で利用可能な「keiomobile2」というSSIDでもワイヤレスネットワーク接続サービスを行えるよう、試験運用を開始した。

keiomobile2はタブレットやスマートフォンなどから接続を行うために、設定するにはハードルの高いEAP-TLSでの認証方式であってもユーザーに受け入れられた。

話は少しワイヤレスネットワークから離れるが、2012年度までは地区毎に管理・運用していたシステムのユーザーアカウントを発行していた。しかし、2013年度にはSFCを除いた地区のシステムが統合され、ITCアカウントと呼ばれるユーザーアカウントを運用する事となった。そして従来通り、三田キャンパスや日吉キャンパスではスクーリングのために訪れる通信教育課程の学生に対し、ユーザーアカウントとしてITCアカウントを発行している。

KEIOMOBILEの認証には各地区で運用していたシステムのユーザーアカウントやITCアカウント、共通認証システムであるkeio.jpの慶應IDでも認証を行えた。

一方、keiomobile2のEAP-TLSでの認証方式は、慶應IDを基盤として発行された証明書を認証に利用している。

通信教育課程の学生は、(2014年8月の時点でも) 慶應IDの発行対象者には含まれていないため、keiomobile2においてEAP-TLS認証方式が利用できないという問題があり、KEIOMOBILEを使い続ける以外に選択肢はなく、タブレットやスマートフォンなどからのワイヤレスネットワーク接続が快適ではない状況であった。また、KEIOMOBILE自体もアクセスポイントの正当性が確認できないというセキュリティ的な問題を抱えていたが、慶應IDの発行対象者以外への対応という側面から、単純にサービスを停止する事だけでは済まされない状況でもあった。

そこで問題を解決するため、ITCアカウントを基盤としたWPA2 Enterprise PEAPでの認証方式をkeiomobile2に導入する事とし、これが正式運用となった時点でKEIOMOBILEを終息させる事となった。

2012年の年末頃からPEAPに対応すべく準備を開始したが、実は2008年にもEAP-TTLSを検証していたため、比較的スムースに試験環境の構築・検証を経て、本番環境を構築する事ができ、2013年6月には試験運用としてサービスを公開する運びとなった。そしてKEIOMOBILEは2014年2月末をもってサービスを終了する事となり、PEAPの認証方式は2014年3月から正式運用となった。

歴史の話はここまでにして、ここからは導入したPEAP認証方式について簡単に説明する。

ITCアカウントはActive Directoryのユーザーアカウントでもあるが、アカウント情報をそのまま扱わず、14文字のPEAP専用パスワードを発行する仕組みを用意し、これを必要なデバイスに登録してもらう方法をとっている。発行する14文字のパスワードはユーザー自身で決める事はできない代わりに、有効期限を設けていない。

PEAPの認証時にはActive Directoryにアカウントの状態を問い合わせ、有効なアカウントであれば認証される様に構成している。具体的には、Windows Serverで構築したRADIUSサーバーを用意、Linuxで構築したパスワードを発行するためのウェブサーバーからの認証を、このRADIUSで行えるようにし、発行したパスワードはMySQLにてデータベースに格納、PEAPのリクエストはFreeRADIUSで受け付け、認証時に実行するスクリプトにてLDAPとしてActive Directoryのドメインコントローラーに問い合わせを行い、アカウント状態を確認している。

keiomobile2では、レルムによってPEAPで認証するかEAP-TLSで認証するかを判断している

最終更新日: 2014年10月17日

内容はここまでです。