お問い合わせ国立大学法人 筑波大学 様
(Account@Adapter+)
Account@Adapter+で、多様な学内ネットワークの認証を統合
運用負荷軽減と信頼性の向上に成功
- 文教
- セキュリティ
国立大学法人 筑波大学 様
ポイント
- VPN、有線LAN、無線LANの3通りのアクセス認証に対応
- DHCP/DNSサーバーやファイアウォールなど、多様な機器と連携
- 認証ログとIPアドレスからユーザーを特定可能に
導入製品
認証システムの信頼性を向上させたい
情報環境機構
学術情報メディアセンター
ネットワーク研究開発部門 准教授
博士(工学)
佐藤 聡 氏
国立大学法人 筑波大学(以下、筑波大学)は、1872年に我が国で最初の高等教育機関として創立された師範学校を前身とする大学で、教育の面で日本近代化の礎を築いてきた日本有数の大学である。従来の観念に捉われない"柔軟な教育研究組織"と、"新しい大学の仕組み"を率先して実現することを基本理念としており、その学内ネットワーク環境も進取の気性に富んでいる。現在は、国内外の大学や研究機関を100Gbpsで結ぶ学術情報ネットワーク「SINET®5」に接続するなど、先進の通信環境を導入している。
学生や教職員は学習や研究、業務のために学内ネットワークへ接続するが、それ以外にも国内外から学会やイベントに参加するゲストが日々来校する。ネットワーク認証の仕組みとして、以前はLDAPサーバーとフリーウェアのRADIUSサーバーを利用した独自のシステムを利用していたという。ゲストから利用の申請があると、RADIUSサーバー上にローカルのアカウントを作成し、都度対応していた。
「アカウント申請用のインターフェースがあるわけではなかったので、アカウント発行とパスワード生成は手作業で対応していました。ゲストの認証まで手が回らなかったのです」と国立大学法人 筑波大学 情報環境機構学術情報メディアセンターネットワーク研究開発部門 准教授 佐藤 聡氏は当時を振り返る。
また「認証サーバーは、昔と違って24時間365日止められなくなっています。障害などで長時間止まるような事態が起きないように、安定的に運用したいと思っていました」と続ける。従来のネットワークは約8年間使用しており、リプレイスのタイミングで、認証システムの利便性と信頼性を向上させたいと考えていたという。
3種類のネットワーク接続による認証を実現
新たな認証システムは、約3年の構想を経て2015年10月にサービスインした。その構成は以下の通りだ。つくばキャンパス(茨城県つくば市)にAccount@Adapter+のマスター機とスレーブ機を設置。東京キャンパス(東京都文京区)にスレーブ機を1台、合計3台設置。スレーブ機は常時マスター機と同期しており、どちらのキャンパスでもまったく同じ認証が行える。
いずれかのAccount@Adapter+にトラブルが生じても、ネットワーク経由で別のAccount@Adapter+で認証が可能な地理的冗長構成としたことで、認証システムの信頼性を向上させた。
利用するアカウントは、学生と教職員および来校者を含めて約2万人分を用意。常時ログインするアクティブユーザーは約3,000人だが、ノートPCやスマートデバイスなどを複数持ち込むユーザーを勘案すると、これだけのアカウントが必要だったという。
また、Account@Adapter+は、VPN、有線LAN、無線LANの3通りのネットワーク接続の認証に使用している。VPN認証は、自宅などの学外および海外などから遠隔で学内のサーバーへ接続したい場合に使用する。有線LANでの接続にはWeb認証、無線LANでの接続にはWeb認証とIEEE802.1XPEAP認証を併用している。
システムの構築や移行はうまくいったのだろうか。佐藤氏は「日立電線ネットワークスは、こちらが当初の要望にはない質問をした際、その意図をしっかり理解して、それに応える提案をしてくれたので問題なく移行できました。また各システムとの仕様間の不整合がおきた場合にも、開発拠点が近いので迅速で柔軟な対応が期待できました」と、日立電線ネットワークスの高い提案力や自社開発の柔軟性も製品のアドバンテージにつながったと、移行時の印象を語った。
多様な機器と連携し、ユーザー情報を可視化
今回のシステムには多様な機器も接続して、Account@Adapter+の連携機能を大いに活用している。連携している機器は、ユーザー情報を管理するActive Directory® /LDAPサーバーや、BLUECAT社製DHCP/DNSサーバー、さらにファイアウォールにPalo Alto Networks社製のハイエンド製品など多岐にわたる。
Account@Adapter+の認証ログは、DHCP/DNSサーバーのログと関連付けて、ユーザーの可視化を行っている。誰がどこで認証したかという認証ログと、ActiveDirectory®のユーザー情報、さらにDHCPサーバーが払い出したIPアドレスから、ファイアウォールのログ上でユーザーを特定できるのだ。
「従来は、不審なサイトへアクセスするなどの怪しい通信があった場合、通信元のIPアドレスを調べ、インシデントが起きた時間帯からそのIPアドレスでログインしたユーザーを特定するなど、かなり手間のかかる作業が必要でした」と、佐藤氏は従来の苦労を思い返す。
「しかし今では、ファイアウォールのログを見るだけで、IPアドレスからすぐにユーザーを特定できるので、この作業は大幅に省力化できました」と、佐藤氏は明るい表情でその効果の大きさを語る。
(右)筑波大学 三宮 秀次 氏
またAccount@Adapter+をはじめ、ActiveDirectory®、ファイアウォール、DHCP/DNSサーバーは、仮想基盤上に集約されている。これにより、コストと運用負荷の軽減も実現している。
この効果を、佐藤氏は「仮想化によって、システムのコンパクト化ができました。物理的には、サーバールームに何ラックも並んでいた機器が半分以下になり、電力消費も空調も減らすことができました。運用上も、パフォーマンスの変化によってリソースの割り当てを変えるなどの作業がやりやすいのだろうと予想しています」
ところで、複雑に見えるこのシステムは問題なく稼働しているのだろうか。
「運用は楽になりましたし、ユーザーからは特にトラブルに関するコメントは聞かないので、安定的に運用できている、ということですね」と満足気に答える。
では、今回のシステム構築に関する満足度は、どうなのだろうか。
「おおむね満足ですが、あえて満点とは言いません。なぜならAccount@Adapter+には、ほかにも多くのことができそうなポテンシャルを感じるからです。まだすべての機能を使いきっていないという、期待を込めた評価です」と、佐藤氏はAccount@Adapter+の高機能ぶりを独自の言葉で表現する。
具体的な使い方の構想は?との問いに、
「まずは証明書認証。UPKI(University Public Key Infrastructure=全国大学共同電子認証基盤)の電子証明書を配ってもいいですね。それからMACアドレスの台帳管理。テレビ会議システムのサーバーをDMZに置いて、その認証にMACアドレス認証が使えそうです」などと、話が尽きない。
筑波大学の頭脳を支える学内ネットワークの進化に、Account@Adapter+はこれからも大いに貢献していくだろう。
お客様情報
国立大学法人 筑波大学 様(Account@Adapter+)
「開かれた大学」をめざし、固定観念に捉われない「柔軟な教育研究組織」と、次代の求める新しい「大学の仕組み」を率先して実現することを基本理念としている筑波大学。国内外の教育・研究機関と交流を深め、創造的な知性と豊かな人間性を備えた人材を育成するとともに、学術文化の進展に寄与するべく教育、研究を行っている。
