EDB Assistance : 認証サービス

本頁ではEDBによる認証サービスと利用方法について説明します.


このページで作業をする場合には,まずEDBにしてください. (ログインしていない状態では,この頁に配置されているボタンのいくつかが有効にならない,あるいはメッセージや入力フォームなどが表示されないことがあります)

EDBが提供している認証サービス

現在,EDBでは,学内の教職員の認証について

(1) 公開鍵基盤(X.509証明書)によるユーザ認証とサーバ認証
RSA公開鍵暗号技術に基づいた公開鍵基盤(PKI; Public Key Infrastructure)をEDBのシステムを利用して構築(EDB/PKI)し,公開鍵基盤に対応したアプリケーション上で,ユーザの認証を可能とするサービス.
学内のパブリックスペース設置の無線LAN基地局を教職員が利用する際の認証として利用.
コンテンツサーバEDB/CMSでのアクセス認証の際に利用.

(2) LDAP認証サーバや汎用WWWサーバへの認証情報の提供
EDBの【個人】情報に登録されたパスワードの情報をLDAP等の汎用認証サーバに提供するサービス.
コンテンツサーバEDB/CMSでのアクセス認証の際に利用.

(3) 公開鍵基盤(X.509証明書)によるLDAP認証サーバへの使い捨てパスワード設定
(1)の公開鍵基盤による個人認証をもとに,(2)の汎用認証サーバ(LDAP)に使い捨てパスワードを設定するサービス.
個人証明書を持っていれば(2)を利用する全ての認証に利用できます.

(4) 汎用WWWサーバのための使い捨てパスワードの発行
Apache等のBasic Authentication手法によってアクセス制限を施すWWWサーバに対して,EDBの認証システムを利用して,EDBの利用者と認証できた場合に限り一時的にそのユーザのパスワードを生成してWWWサーバに提供するサービス.
などのサービスを行っています.
◇ 注: 認証(Authentication)と認可(Authorization)の違い
一般にユーザがある情報システムを利用するためのログインの手続きでは,
  • 認証 (Authentication): ユーザが本人かどうかの検査 (例: パスワードを知っているか?)
  • 認可 (Authorization): ユーザが情報システムを利用できるかの検査 (例: ユーザとして登録されているか?)
が並列に行われています.このうち,EDBで提供する認証サービスとは「認証」の部分,すなわち学内の教職員の誰であるかを特定するのみです. その教職員についての対象情報システムの利用可否については「認可」の範疇であり,現在サービスとして提供しておりませんのでご注意ください. 言い換えると,ユーザを限定する場合には各情報システム毎にユーザリスト(ユーザのアカウント名のみ)を作成,管理してもらう必要があります. 勿論,EDBの認証対象はEDBにログインできるユーザ(学内教職員と同等)に限定されていますので,それと同等の範囲に利用者の範囲を設定する場合にはリストの作成は行わなくても良いでしょう.


(1) 公開鍵基盤(X.509証明書)によるユーザ認証とサーバ認証

EDBで運用する公開鍵基盤(EDB/PKI; 詳細)の上で,公開鍵基盤対応のソフトウェアが行う認証に必要な個人証明書(X.509個人証明書)やサーバ証明書(X.509サーバ証明書)を発行します.

これにより,利用者は個人証明書を利用PCの自分のアカウントに登録しておけば,

  • EDB/PKIに参加しているWWWサーバ(https)を利用する際のログインの手続きを省略
  • 学内のパブリックスペースに設置されている無線LAN基地局の利用者認証
  • 電子メールの署名や暗号化にも利用できる
  • その他の公開鍵基盤を利用した様々なアプリケーションの機能を利用できる
等をサービスとして得ることができます.

◇ 公開鍵基盤についての簡単な解説と注意
公開鍵基盤(PKI; Public Key Infrastructure)はRSA公開鍵暗号技術を基礎としています. RSA公開鍵暗号技術では,ある対象(個人,サーバ,その他)に対して,対となる
  • 公開鍵 (public key) : 一般に公開される暗号鍵
  • 秘密鍵 (private key) : 対象(個人,サーバ,その他)のみが知っている暗号鍵,一般的には更にパスワードで暗号化される.
を生成します.詳細な説明は省略しますが,
  • 公開鍵から秘密鍵を求めることは極めて困難である.(数学的に極めて困難であるという意味)
  • 公開鍵で暗号化したものは秘密鍵でないと復号化できない.(数学的に極めて困難であるという意味)
  • 秘密鍵で暗号化したものは公開鍵でないと復号化できない.(数学的に極めて困難であるという意味)
という性質を利用して,強力な個人の認証や署名,また暗号メッセージの送受信を可能とします.
公開鍵基盤ではこれらのRSA公開鍵暗号技術をうまく組み合わせて,ある対象(個人,サーバ,その他)の公開鍵の有効性を保証します(これが証明書の役割; 証明書には公開鍵が含まれている). この保証とその対象(個人,サーバ,その他)が公開鍵と対となる秘密鍵を所有し(秘密鍵がパスワード暗号化されていればそのパスワードを知っ)ていることが両立したときその対象(個人,サーバ,その他)の認証が成功します.
RSA公開鍵暗号方式では,秘密鍵がネットワーク上で通信されることはあり得ず,それゆえにネットワーク上での盗聴などは不可能であることから,個人を強力に特定するという目的で公開鍵基盤による個人認証や署名技術は現時点で最も信頼できる技術として電子署名法の要素技術にも採用されています.
したがって,自分に対して作成された秘密鍵の管理はこれまで以上に秘密性を保つ必要があります.
  • 他人にその秘密鍵を渡さない,利用させない.また,他人に秘密鍵を復号化するパスワードを教えない.
  • 信頼できない管理のコンピュータには登録しない.
強く守ってください.

X.509個人証明書の発行手順
  1. まずEDBにしてください.
  2. をクリックして証明書発行の頁を表示してください.
  3. 頁に記述されている内容を熟読の上,証明書発行手続きを行ってください.
  4. PKCS#12ファイルのインポート方法等を参考にお使いのPCに発行された証明書をインポート(登録)してください.
  5. 貴方の個人証明書のX.509属性は,
    • countryName (C): JP
    • stateOrProvinceName (ST) : Tokushima
    • localityName (L): Tokushima City
    • organizationName (O): The University of Tokushima
    • organizationalUnitName (OU): EDB
    • commonName (CN): S0
    • emailAddress :
    となります.貴方のアカウント名は,
    • /C=JP/ST=Tokushima/L=Tokushima City/O=The University of Tokushima/OU=EDB/CN=S0/emailAddress=
    • S0
    のいずれかのように表現されます.

(2) LDAP認証サーバや汎用WWWサーバへの認証情報の提供

LDAP認証サーバへの認証情報の提供

EDBの【個人】情報の項目[パスワード]に登録されているパスワードを外部の認証サーバ(LDAP)に登録するサービスです. 現在,EDBと基盤センターの共同研究でLDAP(Lightweight Diretory Access Protocol)を利用した認証サーバ

  • ldap.db.tokushima-u.ac.jp
    • ldap1.db.tokushima-u.ac.jp
    • ldap2.db.tokushima-u.ac.jp
にパスワード情報の反映を行っています.

上記のLDAPサーバへのアクセスは学内に開放されており,学内のコンピュータであれば任意に認証サービスを受けることができます.平成17年度4月から基盤センターにおいて運用されている「ポータルシステム」でも教職員の認証にこの認証サーバが利用されています.

◇ 【個人】.[パスワード]の安全性と注意
項目【個人】.[パスワード]の登録内容は,RSA暗号化技術による強力な暗号化を施した後データベースに登録されます.したがって,データベースから読み出された暗号化パスワードをもとに暗号解読を行うことは実効的に不可能です.しかし,外部の認証サーバ(LDAPサーバ)とクライアントPCの間ではパスワードが平文(clear text)で通信されています.
クライアントPC ユーザによるパスワードの入力(登録)
パスワード(平文)で送信.ただし通信路はhttps(SSL)により暗号化されている.
EDBサーバ パスワードはRSA暗号化されて保存
SSHAハッシュ値に変換してパスワードを登録.
LDAPサーバ SSHAハッシュ値を保存.(認証の検査)
パスワード(平文)を送信.
WWWサーバ等 パスワードを中継
パスワード(平文)を送信.
クライアントPC ユーザによるパスワードの入力(認証)
よって,利用面を含めるとトータルな意味で秘密性の保証はされておらず,漏洩の危険があります.
したがって,
  • 【個人】.[パスワード]は他で利用しているパスワード(例えばEDBのパスフレーズ)とは異なるものを設定する
  • 【個人】.[パスワード]は定期的に変更する
ことを強く推奨します.
また,利用するWWWサーバなどが全て(1)のX.509個人証明書によって貴方認証してくれる場合には,【個人】.[パスワード]は登録しない方が良いでしょう.

汎用WWWサーバへの認証情報の提供

EDBの【個人】情報の項目[パスワード]に登録されているパスワードを外部のWWWサーバに提供する方法です. 現在,EDB/CMSではこの方法を用いています.

EDBでのユーザ情報の作成手順とWWWサーバへの伝搬

  1. 【個人】情報の更新をトリガとして,EDBユーザに関する
    • 【個人】.[パスワード] (person.password)
    • 【個人】.[証明書] (person.certificate)
    のリスト: http://web.db.tokushima-u.ac.jp/export/FQDN/
    • edb-users.age (ユーザリストの更新情報)
    • edb-users.p7m.signed (ユーザリスト,パスワード,証明書の情報を含む.暗号化,署名済)
    を生成する.
  2. WWWサーバから定期的(ex. 5分毎)にedb-users.ageを取得し,ユーザリストの更新をチェックする.
  3. ユーザリストが更新されていれば,edb-users.p7m.signed を取得し,署名確認と復号化を行い,edb-usersを得る.
  4. edb-usersの情報をもとにアカウントファイル(passwdなど)を作成する.
WWWサーバ側での更新の頻度にもよりますが,【個人】.[パスワード] (person.password)の登録・修正からWWWサーバへの伝搬までには10分程度の遅れがあることに注意してください.
パスワードの登録手順
  1. まずEDBにしてください.
  2. をクリックして編集を開始してください.
  3. 既にパスワードが登録されている場合には,(Delete All)ボタンでパスワードを消去してください.
  4. パスワード入力欄にパスワードを入力し,[Apply]ボタンをクリックしてください.
  5. パスワードが正常に設定(画面に表示されるのは暗号化されたパスワードです)されましたら,[登録]ボタンをクリックしてデータベース上の貴方の個人情報を更新してください.
  6. 数秒後にはLDAPサーバに新しいパスワードが反映され,貴方の認証に利用されるようになります.
    (アカウント登録を直接WWWサーバに伝送する場合には,10分程度の遅れ時間があるかも知れません.)
  7. 貴方のアカウント名(ユーザ名)は「S0」です.
パスワードの削除手順
  1. をクリックして編集を開始してください.
  2. (Delete All)ボタンでパスワードを消去してください.
  3. パスワード入力欄が空であることを確認し,[登録]ボタンをクリックしてデータベース上の貴方の個人情報を更新してください.
  4. 数秒後にはLDAPサーバの貴方の認証のためのパスワードが消去されます.

(3) 公開鍵基盤(X.509証明書)によるLDAP認証サーバへの使い捨てパスワード設定

(1)の公開鍵基盤での個人認証をもとに,(2)の汎用認証サーバ(LDAP)に使い捨てパスワードを設定します.

(1)のX.509個人証明書の発行手続きを行い,PCの自分のアカウントへの設定を終了されている方は,特に何らかの追加の設定を行う必要はありません.

例えば,「徳島大学 学生支援 お知らせシステム」にこちらから入れば,使い捨てパスワードによるログインができます.

サーバ管理者の方へ: LDAP認証サーバへの使い捨てパスワード設定インタフェース(LDAP-OTP)の利用方法は,https://ldap.db.tokushima-u.ac.jp/cgi-bin/ldap-otpを参考にしてください.


(4) 汎用WWWサーバのための使い捨てパスワードの発行

Apache等のBasic Authentication手法によってアクセス制限を施すWWWサーバに対して,EDBの認証システムを利用して,EDBの利用者と認証できた場合に限り一時的にそのユーザのパスワードを生成してWWWサーバに提供するサービスです.

EDBのアカウントを持たれている方は特に何らかの設定を行う必要はありません.

技術的な詳細についてはこちらを御覧ください.



EDB working group <edb-admin@web.db.tokushima-u.ac.jp> $Id: authentication.html,v 1.15 2012/04/05 01:21:18 alex Exp alex $