1. PKI (EDB/PKI) (Single Sign On; SSO) (PKI) ( ) Private PKI, Free Software ITRC 20th Meeting (Oct. 5, 2006) T. The University of Tokush

徳島大学

PKI

の構築とキャンパス無線

LAN

認証への応用

EDB/PKI and Campus Wireless LAN Authentication

— EDB/PKI 認証サービス —

⇒

http://web.db.tokushima-u.ac.jp/edb-manual/pki.html

— キャンパス無線ネットワーク —

⇒

http://ldap.db.tokushima-u.ac.jp/wireless/

大家隆弘 @ ソシオテクノサイエンス研究部 . 徳島大学

E-mail:

alex@ee.tokushima-u.ac.jp

Id: itrc20th-20061005.tex,v 1.13 2006/10/02 04:32:50 alex Exp alex

1.

徳島大学

PKI (EDB/PKI)

の構築

時は 2004 年夏...

目的

•

学内に乱立する情報システムの認証情報の統一

(Single Sign On; SSO)

•

電子メールの暗号化，署名

•

公開鍵基盤 (PKI) の啓蒙

(管理者，ユーザの習熟)

制約

お金をかけない ⇒ Private PKI, Free Software による構築

人手をかけない ⇒ 自動運用

1.1

ベースシステム

(EDB)

EDB:

徳島大学教育・研究者データベース

大学内の教育者・研究者に関する様々な情報

•

教職員の情報

• 教育プログラム (講義概要，その他)

• 研究業績 (論文業績，共同研究，貢献，その他)

• その他 (大学の運営に関係する事柄)

をデータベース化し，大学運営のための用途に利用する．

1.2 EDB

の概要

EDB

学生，社会人

教育•研究者情報を蓄積

本学の教職員

公表

情報登録

WWW サーバ

大学執行部， 部局，教職員

が利用する組織運営の為の

基礎情報

集計

研究要覧，

シラバス等

冊子編纂

学外のデータベースへの反映

（大学情報データベース）

情報抽出

1.3 EDB

の特徴と利用情報

◇

特徴

• XML(主体) / RDB の 2 重構造データベース ⇒ 拡張が容易

• 独自開発 ⇒ 機能拡張は随意

• 権限継承構造 ⇒ 証明書の発行権限に利用可能

◇

利用情報

•

徳島大学全教職員のアカウント

⇒ EDB にログイン後，証明書の発行手続きを行なう．

•

DNS (Domain Name System) 情報

(EDB/DNS)

(

⇒

http://web.db.tokushima-u.ac.jp/assist/DNS.html

)

2. EDB/PKI

の構築

EDB に CA (Certificate Authority)，RA (Registration

Author-ity) の機能を組み込み，X.509 証明書

• 個人証明書 (for 個人，擬人 (役職))

• サーバ証明書 (for インターネットホスト)

発行システムを作成

利用ソフトウェア: OpenSSL

学内

プライベート

な公開鍵基盤 (PKI) を構築 (EDB/PKI)

⇒

http://web.db.tokushima-u.ac.jp/edb-manual/pki.html

2.1 EDB/PKI — Policy

◇ 目的

• 学内教職員の認証システムの構築と提供

• 学内教職員への公開鍵認証についての啓蒙と管理者，利用者の習熟

◇ 運営

•

Private PKI

(徳島大学内)

• 教職員を対象

(学生の認証は高度情報化基盤センター管轄)

• 1 サブジェクト → 1 証明書

• 異種認証システムとの連係

• 証明書発行対象:

教職員個人，擬人 (役職)，インターネットホスト

• 免責事項:

秘密鍵管理において公開鍵基盤としての信頼性は劣る．

2.2 X.509

証明書の基本属性

証明書のバージョン

X.509v3

countryName (

C

)

JP

stateOrProvinceName (

ST

)

Tokushima

localityName (

L

)

Tokushima City

organizationName (

O

)

The University of Tokushima

organizationalUnit (

OU

)

EDB

鍵長

2048 bits

有効期間

3650 days (10

年

)

Message Digest Algorithm

SHA1 with RSA

Unique Subject

Yes

2.3 ROOT

証明書と失効リスト

ROOT 証明書 (自己署名)

commonName (

CN

)

root-ca.db.tokushima-u.ac.jp

KeyUsage

Verify,

Key Cert Sign,

CRL Sign

失効リスト (CRL)

CRL の有効期間

30

日

CRL の更新頻度

1

回

/

日

2.4

サブジェクト証明書

○ 個人，擬人の個人証明書

commonName (

CN

)

‘S’+

個人情報の識別子

(例: S10729)

KeyUsage

Encrypt, Verify, Wrap, Derive,

Digital Signature, Non-Repudiation,

KeyEncipherment

ExtendedKeyUsage

Client Authentication, Code Signing,

Email Protection

○ ホストのサーバ証明書

commonName (

CN

)

ホストの

FQDN

(例: web.db.tokushima-u.ac.jp)

KeyUsage

Encrypt, Verify

2.5 EDB/PKI —

構成

EDB/PKI ルート証明書（自己署名）

個人証明書 / サーバ証明書

失効リスト（CRL）

無効

署名

失効

2.6

個人証明書の発行手続き

EDB の Web 認証を通過した後...

•

おまかせモード

サーバ側で鍵ペア，証明書要求，証明書を自動的に作成，発行

⇒

PKCS#12 形式

(証明書，鍵，ROOT 証明書) でダウンロード

•

エキスパートモード

(推奨)

ユーザがローカルに鍵ペア，証明書要求を作成する．

サーバでアップロードされた証明書要求に署名し証明書を発行

⇒ 証明書を

PEM 形式

でダウンロード

個人の証明書は本人のみ，擬人，ホストは対象に権限を持つユーザのみ．

(認証局 (CA)，登録局 (RA) の手続きを自動化)

⇒

http://web.db.tokushima-u.ac.jp/assist/authentication.html

2.9 PKI

証明書情報の公表

◇

LDAP

:

ldap.db.tokushima-u.ac.jp:389

DN: uid=

commonName

,ou=people,dc=tokushima-u,dc=ac,dc=jp

•

uid:

commonName

•

userCertificate:

X.509

個人証明書

•

userPassword:

SSHA

パスワード

◇

EDB

:

web.db.tokushima-u.ac.jp:443

• https://web.db.tokushima-u.ac.jp/PKI/CA/root.crt

• https://web.db.tokushima-u.ac.jp/PKI/CN/

commonName

.crt

• https://web.db.tokushima-u.ac.jp/PKI/CN/

fqdn.of.server

.crt

• https://ca.db.tokushima-u.ac.jp/ca/cert.crl

2.10 EDB

による認証サービス

•

公開鍵認証

(EDB/PKI)

アカウント名 (

DN

) :

/C=JP/ST=Tokushima/L=Tokushima City/O=The University of Tokushima/OU=EDB/CN=

S10729/emailAddress=alex@ee.tokushima-u.ac.jp

認証は証明書の Verify による．汎用 Web サーバで利用

•

LDAP

(稼働済),

Kerberos

(予定)

アカウント名 (

CN

) :

S10729

パスワード:

SSHA パスワード

(平文パスワードを PKCS#1 OAEP 暗号化して

EDB に保存; secret-keeper の秘密鍵で復号化，SSHA 値に変換)

利用: ポータルシステム，e-Learning, ...

2.11 EDB/PKI

の登録数

(@ 2006 年 9 月末)

証明書発行件数: 284 件 (有効: 167 件，失効: 117 件)

• 個人証明書:

138 件

(全学教職員数: 約 1000 人)

• サーバ証明書:

29 件

利用状況

• Web 認証

(

ポータルシステム，

e-Learning

システム，

EDB/CMS, ...)

• キャンパス無線 LAN

2.12 EDB/PKI

の課題

◇ 証明書発行対象，認証対象の拡大

• CA の階層構造による学生のための証明書発行

• 他 CA，上位 CA との連係 (e.g. UPKI)

◇ 認可

(authorization)

のための情報提供の充実

• 対象情報システムにあわせた認可ユーザリストの配布

◇ クライアントとの円滑な証明書情報の流通

3.

キャンパス無線

LAN

認証

2005 年春...

◇ 方針

学内公共エリアに無線 LAN 基地局を設置する際の

ガイドラインを決定．

•

ユーザ個別認証を原則 (not WEP)

•

無線 LAN 認証基盤サーバの運用

•

基地局，PC の接続設定の仕様を策定

⇒ 教職員に関して，EDB/PKI 個人証明書による認証を適用する．

⇒

EAP/TLS

認証

•

基地局の設置は各部局，部署に任せる．

⇒

http://ldap.db.tokushima-u.ac.jp/wireless/

3.1 EDB/PKI —

無線

LAN

認証基盤への適用

RADIUS

汎用認証サーバ(2台) 無線LAN基地局 認証処理(EAP) X.509サーバ証明書 X.509個人証明書 パスワード 教職員PC 学生PC 無線LAN基地局 認証処理(EAP) 無線LAN基地局 認証処理(EAP) EDBで運用する公開鍵基盤(EDB/PKI) 無線LAN基盤整 備で対象とする 範囲（認証サー バの運用とサー バ利用に関する ガイドラインの 作成） 各部局，部署ごと に設置する機器 の範囲（必要に 応じて無線LAN の基地局を増設 する） 各ユーザで用意 する範囲（無線 LANに接続する PCは各ユーザが 準備する）

3.2

学生，来学者アカウントの扱い

◇ 学生アカウント

•

学生アカウントは高度情報化基盤センターの管轄．

• 学生に対しては

パスワード認証を適用する．

⇒

EAP/PEAP

—

MS-CHAPv2

(Challenge-Response) 認証．

• 高度情報化基盤センターから定期的にアカウント情報を転送．

⇒ アカウント情報から Samba/password を生成 (変化分)．

◇ 来学者のアカウント

• 来学者 (学会参加者など) は学生と同等の期限つきアカウントを発行

3.3

無線

LAN

認証サーバ

(RADIUS)

諸元

高度情報化基盤センターとの共同研究

ハードウェア: Intel Xeon 3.2GHz Dual

× 2 台 を提供

◇ ソフトウェア

: FreeRADIUS (OS; FreeBSD 5.x)

IP:PORT

radius1.db.tokushima-u.ac.jp [150.59.230.97]:1812

radius2.db.tokushima-u.ac.jp [150.59.230.98]:1812

サービスエリア

150.59.0.0/16 (

徳島大学ネットワーク

)

認証方式

EAP/TLS (

個人証明書

) (

教職員

)

3.4

基地局とサプリカントの設定

◇ 基地局

(AP)

SSID

tokushima-uWLAN

認証方式

WPA Enterprise (WPA-EAP)

WEP 鍵更新方式

TKIP (Temporal Key Integrity Protocol)

◇ サプリカント

(PC)

SSID

tokushima-uWLAN

認証方式

WPA/Enterprise (WPA-EAP)

EAP/TLS (個人証明書) (教職員)

3.5 EAP/TLS

認証構成図

認証サーバ (RADIUS)

サプリカント

アクセスポイント

ルート証明書 失効リスト サーバ証明書 個人証明書 秘密鍵 秘密鍵

検証（信頼）

検証

認証 ( サプリカント )

認証 ( サーバ )

802.1X

802.11

RADIUS

802.3

EAP-TLS

EDB/PKI

TLS negotiation

3.6 EAP/PEAP

認証構成図

高度情報化基盤センター （学生 , 来学者アカウント） 認証サーバ (RADIUS) サプリカント アクセスポイント ルート証明書 失効リスト サーバ証明書 秘密鍵 検証（信頼） 認証 ( サプリカント ) 認証 ( サーバ ) TLS Tunnel 802.1X 802.11 RADIUS 802.3 EAP-PEAP samba password 5 分毎 更新 MS-CHAPv2 アカウント情報 （ユーザ名） （パスワード） Challenge Response EDB/PKI

3.7

アクセスポイント設置状況

主として公共エリア (講義棟，会議室，屋外など) に設置

キャンパス

常三島: 約 40 局

蔵本:

約 30 局

屋外のアクセスエリア (常三島キャンパス)

⇒

http://ldap.db.tokushima-u.ac.jp/wireless/area.html

3.8

運用状態

(

認証数，利用者数

)

(@ 2006 年 9 月第 5 週)

• 約

4200

認証

( 約

700

認証 / 日 )

– EAP/TLS (教職員) : 約

1200

認証 (約 30%)

– EAP/PEAP (学生) : 約 3000 認証 (約 70%)

• 約

56

ユーザ

– EAP/TLS (教職員) :

22

ユーザ (約 40%)

– EAP/PEAP (学生) : 34 ユーザ (約 60%)

3.9

無線

LAN

の検討課題

•

Authorization (認可) — AP 毎の接続認可設定

現状では

認証

_{≅ 認可}

CN による接続認可 (FreeRADIUS/Ver. 1.0.2)

(CN, DN に対する正規表現での接続認可が欲しい)

(検証に利用した証明書チェインによる接続認可が欲しい)

•

WDS (Wireless Distribution System) 不可 (WPA)

基地局のハンドオーバができない．

(TCP コネクションを切断しないで)

4.

認証構成のまとめ

EDB/DNS

EDB/PKI

EDB database

学内情報システム

(Web, Database, etc)

wireless LAN

認証 (LDAP)

EDB

W

eb Se

rv

e

r

認証 (RADIUS)

wired LAN

学

生

ア

カ

ウ

ン

ト

5.

まとめ

本稿では徳島大学の

•

プライベート公開鍵基盤 (EDB/PKI)

•

EDB/PKI のキャンパス無線 LAN 認証への応用

について紹介した．

EDB/PKI，キャンパス無線 LAN ともに検討すべき課題はあるものの，

おおむね円滑な運用が達成できている．