大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
Google ChromeにSAMLログインによる認証連携でログインをする Windows 10でChromeのデスクトップモードへの移行ができないようである.よって,Google Apps経由SAMLログイン(SSO)の環境ではログインできないことがあるようである. Chrome アプリランチャーの設定からログインをするとログインできた.
LoA1申請書の書き方(2) - US ICAM LOA 1 TRUST FRAMEWORKPARTICIPANT LISTING APPLICATION AND AGREEMENT - 1. Listing Fee → 記入しなくてよい 2. Method of Payment and Terms* → 記入しなくてよい 3. Member Authorization → センター長などの情報 4. Trust Framework Role → Identity Service Providerにチェック 5. Technical Profiles → 「SAML 2.0」と記入 6. Assessor → 「Gakunin」と記入
無線LAN-eduroamエリア拡張(2009.10) 2009年10月より、山形大学工学部の無線LANのエリアが拡張されました。 新たに、ものづくりセンター系の3つ実験棟(地下水利用実験棟⇒#941@場所;、電気工場1階⇒#940@場所;、繊維工場1階⇒#939@場所;)のエリアが拡張されました。 また、改修工事が終わった6号館西側の建物も、利用できます。 【関連講義】 ・サイバーキャンパス「鷹山」,山形大学のeduroamの使用方法⇒#2955@講義; ・サイバーキャンパス「鷹山」,山形大学内eduroamエリア⇒#2486@講義;
2013年8月1日,山形大学は,SAML2認証トークンのIdPがOpen Identity Exchange (OIX)のLoA1(第1保証水準)に認定されました. OIX 認定プロバイダーリスト:http://openidentityexchange.org/certified-providers 学認-OIX LoA 1 認定プログラム:https://www.gakunin.jp/docs/fed/loa/loa1program 国立情報学研究所プレスリリース: http://www.nii.ac.jp/news/2013/0821 カレントアウェアネス-E: http://current.ndl.go.jp/e1482 山形大学プレスリリース: http://www.yamagata-u.ac.jp/jpn/university/press/press20130905.pdf 【関連発表】山形大学のLoA1の申請と認定まで⇒#97@講演; 【ノート】LoA1に対応したIdPの設定⇒#1998@ノート; 【関連動画】 ピカッとさいえんす「暗号とセキュリティ」: http://www.youtube.com/watch?v=S8XfXsloeqI
UPKI(学認;Gakunin)用Shibboleth IdPでGoogle Apps SSO(シングルサインオン)を利用する方法 ★ポイント:transientId(urn:oasis:names:tc:SAML:2.0:nameid-format:transient)を送信するとエラーになるみたいです. ★ログアウト:Shibboleth IdP 2.4.0からはSLO(Single LogOut)が実装されたので可能になりました⇒#1979@ノート;. ・関連URLの2の資料(https://shibboleth.usc.edu/docs/google-apps/)を参考に基本設定を行う。 動作の概要ですが、 SAMLアサーション⇒#48@シボレスページレビュー;によって、 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"> にて、ユーザ名(@より前の情報)のみがGoogleに転送されます。 Google Appsの方に、ユーザ名を登録してあると利用できる仕組みになっています。Google Appsに登録していないユーザは利用できないようです。 ・attribute-filter.xmlを変更する。 <AttributeFilterPolicy id="releaseTransientIdToAnyone"> <PolicyRequirementRule xsi:type="basic:NOT" > ← <basic:Rule xsi:type="basic:AttributeRequesterString" value="google.com" /> ← </PolicyRequirementRule> ← attribute-filter.xmlを変更する理由は、Google Appsに、不要な属性情報(transient IDなど)が転送されると正常に認証トークンが成立しないようです。PolicyRequirementRule xsi:type="basic:Any"が存在する場合は、調整する必要があるようだ⇒#47@シボレスページレビュー;。 【関連URL】 1. "Google
Google AppsをShibboleth IdPでSSOを実現した場合のログアウト処理 Google AppsをShibboleth IdPとSAML連携によるシングルサインオン(SSO)を実現した場合,ログアウトの処理ができないため,ブラザーを閉じる必要があった. シボレス(Shibboleth) IdP 2.4.0よりシングルログアウト(SLO)が実装されたのでGoogle Appsもログアウト処理が可能になったようである.具体的な設定方法を下記に示す. Google Appsに管理者でログインし, シングル サインオン (SSO) の設定の ログアウト ページ URL を Shibboleth IdPのhandler.xmlに記述した ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout"の要素内のRequestPathの子要素の値 をもとに、下記の例に従って決定できる. たとえば, vhost名: idp.yz.yamagata-u.ac.jp Proxyパス: /idp/ handler.xmlのRequestパス: /Logout の場合、 https://idp.yamagata-u.ac.jp/idp/profile/Logout とする. 【開発環境】 IdP: Shibboleth IdP 2.4.0 (学認対応)⇒#1982@ノート; 【ノート】 ・UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法⇒#1141@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート; 【標準的なidpのLocalLogoutの定義】 <ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout">
Student Indentity Trust Framework (SITF)
【実証実験】大学間無線LANローミングプロジェクト 大学間無線LANローミング「eduroam」の試験運用について 米沢キャンパスで運用している無線LANより安全にするために、国立情報学研究所が中心になって行っている「大学間無線LANローミング eduroam」の基盤として、米沢キャンパスの無線LANのセキュリティ向上を実施しています。現在、米沢キャンパスの講義棟を中心に運用試験の準備が整いましたので、アナウンスいたしますので、ご利用いただけますと幸いです。 詳細や変更点などについては、下記のURLで逐次更新します。 (https://gb.yz.yamagata-u.ac.jp/yzcsc-sup/default.aspx) 【読み】eduroam = エデュローム 特徴としては、 ・無線LANのセキュリティの向上 現在、YUNETで使われているWEPは技術的には10分程度。 (危険な状況なので、代替接続方法の確立が必要。) 暗号鍵を解読可能。 ・他大学でもほぼ同様の方法で無線LANを利用可能 (注意)eduroamプロジェクトに参加している機関に限定されます。 ・IPv6プロトコルが利用可能※(実証試験中)。 です。 短所としては、 ・設定が複雑になっている。 ・OS,ソフトウェアなどの依存性が高い。 です。 試験エリアは、 ・4号館⇒#936@場所; ・5号館⇒#937@場所; ・6号館⇒#934@場所; ・3号館3階東側⇒#906@場所; ・学術情報基盤センター米沢分室 ・ものづくりセンター⇒#1196@ノート; です⇒#2486@講義;。 基本設定は、 ・SSID: eduroam ・セキュリティ:802.11i ・認証:802.1x, EAP-PEAPまたはEAP-TTLS ・暗号: WPA2-AES または、WPA-AES ・ユーザ名⇒#2627@講義;: ○工学部の教職員と学生は、ネットワーク認証のユーザ名の後ろに 「@yzdn.yz.yamagata-u.ac.jp」を加えること。 ○工学以外の学生および教職員は、 学術情報基盤センターのログイン名の後ろに「@ecsy.yamagata-u.ac.jp 」を加えること。 ・ローミングID: (必要な場合) ユーザ名と同
ADFS 2.0とShibboleth IdPは、 Claims Provider Trustとして登録することで、WSフェデレーションと連携できる. たとえば,シェアポイント(SharePoint)サーバにシボレスIdPによる認証でログインしたい場合, ・SharePointのクレーム認証サーバをADFS 2.0認証サーボスに指定する. ・次にADFS 2.0の認証プロバイダーをShibboleth IdPに設定する. この2つのプロセスによって,Windows系のADFS, WSフェデレーションとシボレスやSAML2.0を相互交換できる. ADFS 2.0サービスのポイントは,Shibboleth SPやWSフェデレーションのウェブサービスから見るとADFS 2.0は,IdPとして動作する.一方,Shibboleth IdPなどSAMLベースの認証プロバイダーから見るとADFS 2.0はSPとして動作するようになっている.
【回復】無線LAN(eduroam)の障害について 障害場所: 工学部 発生日時:2011/11/10(木) 1:00 回復日時:2011/11/10(木) 11:15 現在状況:プログラムの修正により回復 障害内容:サーバ故障およびプログラムの不具合 影響範囲: eduroam無線サービス
【記録】SINET4によるeduroam接続
学認CAMP@三重県 開催場所: 三重大学⇒#91@学校; 総合研究棟II 1F メディアホール 日程: 9月14日(水) (予定) 13:30 ~ 14:20 Shibboleth, 学認 を知ろう 14:20 ~ 15:10 新しい学認機能の紹介 DS, uApprove.jp, OpenIdP⇒#3670@講義; 15:10 ~ 15:30 (休憩) 15:30 ~ 16:20 メンバー属性プロバイダー GakuNin mAP の紹介⇒#3701@講義; 16:20 ~ 17:10 地域連携、学認に関する意見交換 申し込み:不要 主催:国立情報学研究所 共催:三重大学 総合情報処理センター 【後日】 第6回情報系センター研究交流・連絡会議/第15回学術情報処理研究集会⇒#142@会議;
World IPv6 Dayに向けてeduroamのIPv6への対応状況 IPv6の逆引き以外は、問題ないようだ。 IPv6のDHCPも正常に動作している。
分散キャンパスを活用した複数ISP接続によるeduroamアクセス回線の冗長化について 分散キャンパスを活用した複数ISP接続によるeduroamアクセス回線の冗長化について、まとめた。詳細については、www.eduroam.jpのホームページに掲載されています。 【概要】 eduroamにおけるアクセス回線は、規定されていないが、契約電子ジャーナルなどの認証がIP認証であることから、大学に所属する教職員や学生からのアクセスとeduroamを経由したゲストからのアクセスを分離・識別したいという要求がある。これらの問題は、2011年度より開始されたSINET4におけるeduroamアクセスネットワークの収容によって解決が可能になった。以前より、山形大学でも同様の問題があり、商用ISPによるアクセス回線の確保によって、問題解決を行った。商用ISPを利用した場合、追加費用の発生やeduroamの利用エリアを拡大するにつれて利用者の増大による帯域の不足などの問題が生じたため、2011年4月に、SINET4のeduroam用アクセス回線への切替を行った。2011年3月11日に発生した東日本大震災以来、大規模災害や大規模停電を想定したバックアップ回線の確保が必要不可欠であると考えられる。山形大学は50km以上離れた場所に複数のキャンパス(山形市、米沢市、鶴岡市)を有する分散キャンパスであるため、複数キャンパスから複数のアクセス回線を確保し、eduroamのアクセス回線を冗長化することを試みたので、報告する。 【謝辞】 IPv4/IPv6 ネットワークを提供していただきましたJGN2plus⇒#2492@講義; およびWIDE プロジェクトの皆様に深く感謝申し上げます。 eduroam-JP: http://www.eduroam.jp/docs.html 詳細資料:http://www.eduroam.jp/docs/multipleISP-yamagata-u.pdf 【関連】 複数ISPによる負荷分散・冗長化サーバシステムの研究⇒#29@プロジェクト;
UPKI/学認(学術認証フェデレーション)/eduroam関係-公開資料 ○依頼講演 ・伊藤 智博,吉田浩司,山形大学UPKI認証基盤の状況,学術認証フェデレーション(UPKI-Fed)試行運用参加説明会,国立情報学研究所 12階会議室,2009/08/05. 関連URL: https://a.yamagata-u.ac.jp/amenity/Event/EventThemeWeb.aspx?nEventThemeID=77 発表資料: https://upki-portal.nii.ac.jp/docs/open/fed/7、https://upki-portal.nii.ac.jp/docs/files/5_yamagata_0.pdf ・伊藤 智博,山形大学における「学認」対応認証基盤整備とe-サイエンスへの取り組み,SINET&学認説明会(2010年度;札幌),北海道大学 百年記念会館 大会議室,2010/12/06 関連URL: http://www.sinet.ad.jp/inform/news-1/20101015、https://a.yamagata-u.ac.jp/amenity/Event/EventThemeWeb.aspx?nEventThemeID=92 発表資料: http://www.sinet.ad.jp/inform/news-1/gj-sapporo.pdf、http://www.sinet.ad.jp/inform/news-1/gj-sapporo-d.pdf ○セミナー講師 ・伊藤智博、情報処理軽井沢セミナー「Shibbolethによるシングルサインオンの実現」、NII主催、軽井沢 、2009/9/3. 関連URL:http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h21/curritxt.html 講演資料: http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h21/txt5.pdf ○公開資料/報告書など ・UPKIシングルサインオン実証実験、大学からの報告事例、http://www.gakunin.jp/docs/fed/feasibility 山形大学の報告事例: http://www.gakunin.jp/docs/fed/feas
PEAP, TTLSに対応(Xperia, Android OS 2.1) Xperiaのバージョンアップを行ったところ、 無線LANのEAP認証が、PEAP, TTLS, TLSに対応になった。 Androidのバージョンが、1.6から、2.1にバージョンアップした。(1.6の場合、PEAP,TTLSには対応していなかった⇒#1286@ノート;。) これによって、eduroam⇒#2485@講義;への接続が、クライアント証明書を必要としない ユーザアカウントとサーバ証明書の組み合わせで利用できた。 山形大学のRadiusサーバの証明書は、UPKIオープンドメイン証明書自動発行検証プロジェクト⇒#2892@講義;により発行されている。信頼CAを登録しなくてもすんなり利用できた。
UPKIサーバ証明書によるEAP-TLSによるeduroamへの接続 UPKIサーバ証明書をRadiusサーバのサーバ証明書に使用し、プライベートCAから発行したクライアント証明書を使用して、EAP-TLSによるeduroamへの接続ができましたので、ご報告申し上げます。Xperiaは、PEAPやTTLSには対応していませんので、TLSでのみ、接続できます(Android OSを2.1にバージョンアップしたら、PEAP,TTLSにも対応になりました⇒#1447@ノート;。)。 また、検証端末は、NTT DocomoのスマートフォンであるXperiaを使用しました。 ◎端末環境 仕様機種: ソニー・エリクソン SO-01B (Xperia; android 1.6) 認証方式: EAP-TLS 暗号方式: WPA2-AES クライアント証明書: プライベートCA発行-証明書 ※Xperiaは、PEAPやTTLSに対応していないので、TLSによる認証となっています。 ◎Radius サーバ OS: CentOS 5.3 ソフト:freeradius-server-2.1.6 サーバ証明書: UPKI-オープンドメイン証明書⇒#2892@講義; ◎Xperiaへの証明書のインストールの仕方 microSDカードのルートディレクトリに、PEM形式のファイルを置けばよいようである。CA証明書、クライアント証明書、プライベートキーの3つファイルをPEM形式に変換し、かつ、拡張子をpemにすることで、利用できる。 pfxの拡張子も証明書として選択できるが、なぜか、pfxからは、読み込んでも正常に動作しないので、断念した。 CA証明書ファイルには、サーバ証明書の認証局の情報とクライアント証明書の認証局の情報を書き込んでおいた。おそらく、サーバ証明書の証明局だけの情報で十分であろう。 #XperiaのWi-Fiの設定について、説明書を読んでも、詳しく書いてなくて、残念でした。証明書の仕様などが分かりましたら、加筆していきますので、参考程度にお願いします。(参考:http://github.com/android/platform_external_wpa_supplicant) ◎Radiusサーバへの信頼CAの登録 Radiusの信頼CAファイ
Shibboleth(シボレス) IdPのStoredIDの設定(MySQL) attribute-resolver.xmlに、下記の内容を記入する。 〇SAML1(Shib 1.3系)に対応するときは、下記の有効にする。 <resolver:AttributeDefinition id="eduPersonTargetedID.old" xsi:type="Scoped" xmlns="urn:mace:shibboleth:2.0:resolver:ad" scope="yamagata-u.ac.jp" sourceAttributeID="storedID"> <resolver:Dependency ref="storedID1" /> <resolver:AttributeEncoder xsi:type="SAML1ScopedString" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-def:eduPersonTargetedID" /> </resolver:AttributeDefinition> 〇SAML2.0(Shib 2.x系)に対応にするときは、下記を有効にする。 <resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" xmlns="urn:mace:shibboleth:2.0:resolver:ad" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" sourceAttributeID="storedID"> <resolver:Dependency ref="storedID1" /> <resolver:AttributeEncoder xsi:type="SAML1XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" /> <
eduroam利用可能エリア-ルポ【名古屋大学 豊田講堂シンポジオンホール】 学会の会場で、eduroamが使えたので、使ってみた。 動作は問題なく、使えた。 場所:名古屋大学 豊田講堂シンポジオンホール PCへのIPは、プライベートであった。 by
livedoor経由eduroamの動作確認 livedoorと国立情報学研究所の共同研究で実施されているlivedoor Wireless アクセスポイントでのeduroamの実証試験の動作確認を行った。 結果:EAP-PEAP, EAP-TLSともに問題なく動作した。 使用機器 ・Thinkpad X61 (Windows XP, EAP-PEAP) ・Xperia (android 1.6, EAP-TLS) 【関連URL】 http://corp.livedoor.com/pressrelease/2010/03/0308-1.html by
シボレス認証による科学技術の学術情報共有のための双方向コミュニケーションサービスの運用開始について サイバーキャンパス「鷹山」 による「シボレス認証による科学技術の学術情報共有のための双方向コミュニケーションサービス」の運用が開始されます。サイバーキャンパス「鷹山」が提供する物理量⇒#1@物理量;⇒#2@物理量;や単位⇒#6@単位;、化学物質⇒#4@化学種;⇒#1@元素;などの科学技術用語などに、質問、コメント、感想などに、学認ユーザアカウントによってオンラインで記入できます。 学認に参加している機関から、ご自由にご利用いただけます。詳細は、下記のトップページなどをご覧ください。 トップページ:https://a.yamagata-u.ac.jp/amenity/menu/Shibbolethmenu.aspx 利用登録説明書:https://a.yamagata-u.ac.jp/amenity/Knowledge/ObjectImage.aspx?id=14579 【特徴】 学認参加機関の方は、所属機関のアカウント(認証情報)で、サイバーキャンパス「 鷹山」の様々なページに書き込みができる。様々な専門分野の先生方のご意見やご鞭撻や学生さんなどの質問や感想を取り入れ、さらなる科学技術の発展に寄与しよう。学認の登場により、学外の利用者へのアカウントの発行が不要になるため、サーバの管理者としては、アカウント管理が楽になるなどの特徴があります。 国立情報学研究所や学認の作業部会の皆様には、技術的なサポートや様々なご質問にお答えいただき、深く感謝申し上げます。 【機能】 ページレビュー:https://a.yamagata-u.ac.jp/amenity/Knowledge/ObjectImage.aspx?id=14583 ブックレビュー:https://a.yamagata-u.ac.jp/amenity/Knowledge/ObjectImage.aspx?id=14580 ページレビューRSS:http://a.yamagata-u.ac.jp/amenity/network/ShibGenericRss.aspx?tid=53&fud=logon_date&ref=1&sz=szInfo 2010/6/17に、国立情報学研究所⇒#2083@講義;が
eduroamの学外アクセスを商用ISPに接続 山形大学⇒#2@学校;では、図書館⇒#358@所属;が中心になって電子ジャーナルの契約を行っている。電子ジャーナルは、IPアドレスを用いてアクセスコントールを行っている.また、eduroam無線LANには、山形大学以外の構成員の方も利用できる便利なシステムであるが、山形大学で契約した電子ジャーナルをeduroamの学外利用者が利用した場合は、契約違反になるであろう。 この問題を解決するために、山形大学では、商用ISPを用いてeduroamを接続することに、解決した。eduroamクライアントには、プライベートIPアドレスを配布しており、NAPTによるグローバルIPに変換している。また、IPv6プロトコルについては、山形大学では、グローバルスコープアドレスを配布している。 eduroamの利用機関によっては、グローバルIPアドレスを配布している機関もある⇒#1163@ノート;。 【関連講義】 ・サイバーキャンパス「鷹山」,山形大学のeduroamの使用方法⇒#2955@講義; ・サイバーキャンパス「鷹山」,eduroamから学内と同じように電子ジャーナルはつかえますか?⇒#3028@講義; 【関連書籍】 ・eduroam用radiusプロキシの構築と電子ジャーナルに関するライセンス問題の検討⇒#15@シボレスレビュー;
MS Dream Sparkの利用 Microsoftが提供しているDream Sparkといったサービスがある。(http://www.microsoft.com/japan/academic/dreamspark/default.mspx) DreamSpark は、学生の皆さんを対象にしたソフトウェア開発製品、アプリケーションデザイン製品などの無償提供プログラムです。あの Visual Studio や Windows Server、そして Expression などの製品を無償でダウンロードできます。 最近は、国立情報学研究所が進めているUPKI-学術認証フェデレーション⇒#2842@講義;によって、学生さんが所属する学術機関の認証によって、承認するシステムが導入されています。 ソフトウェアライセンス条項および使い方を読んで利用してください。 ソフトウェアライセンス条項:http://www.microsoft.com/japan/academic/DreamSpark/eula.mspx 使い方:http://www.microsoft.com/japan/academic/dreamspark/ds_dl.mspx あくまで、学生さんが対象で、教職員は利用できませんので、ご注意ください(2009.11.09現在) また、インストールできるデバイスは、学生さん本人の所有するデバイスのようです。 by
Shibboleth IdP 2.1.5へのバージョンアップ Shibbolethサイト(http://shibboleth.internet2.edu/downloads/shibboleth/idp/latest/)よりshibboleth-identityprovider-2.1.5-bin.zipをダウンロードする。 % unzip shibboleth-identityprovider-2.1.5-bin.zip で展開する。 #cd shibboleth-identityprovider-2.1.5-bin # ./install.sh をつかって、/opt/shibboleth-idp-2.1.5にインストール ・$TOMCAT/endorcedの旧jarファイルを削除して、shibboleth-identityprovider-2.1.5/endorsedの*.jarファイルを$TOMCAT/endorcedにコピー。 # cp *.jar /usr/java/tomcat/endorsed ・$JAVA/jre/lib/extに、shibboleth-identityprovider-2.1.5/lib/shibboleth-jce-1.1.0.jarをコピー # cp shibboleth-jce-1.1.0.jar /usr/java/default/jre/lib/ext ・インストールディレクトリに、旧設定ファイル(attribute-filter.xml attribute-resolver.xml handler.xml logging.xml login.config relying-party.xml )をコピー。 # cp attribute-filter.xml attribute-resolver.xml handler.xml logging.xml login.config relying-party.xml /opt/shibboleth-idp-2.1.5/conf ・インストールディレクトリ/war/idp.warを、$TOMCAT/webappsディレクトリに上書きコピー # cp idp.war /usr/java/tomcat/webapps ・handler.xml, logging.xml,
shibboleth IdP 2.1.3へのバージョンアップ Shibboleh IdP 2.0.0から2.1.2にバージョンアップしたときに、storedIDにバグがあるようで、問題が発生した⇒#1149@ノート;。JIRAの情報から、バージョン2.1.3では解決されている可能性が高いことから、実際に、2.1.3にバージョンアップして確かめた。 結論としては、2.1.2で発生した問題は、解決されたいた。 旧バージョン: Shibboleth IdP 2.1.2 新バージョン: Shibboleth IdP 2.1.3 簡単に作業メモを下記に示す。基本的には、UPKI学術認証フェデレーションのページで公開されている「SP1.3とIdP2.xとの接続設定」の資料(https://upki-portal.nii.ac.jp/docs/fed/technical/idp/customize)を元に、2.1.3に対応した作業を行った。 % tar zxf shibboleth-identityprovider-2.1.3-bin.tar.gz % cd shibboleth-identityprovider-2.1.3 # ./install.sh をつかって、/opt/shibboleth-idp-2.1.3にインストール ・$TOMCAT/endorcedの旧jarファイルを削除して、shibboleth-identityprovider-2.1.3/endorsedの*.jarファイルを$TOMCAT/endorcedにコピー。 # cp *.jar /usr/java/tomcat/endorsed ・$JAVA/jre/lib/extに、shibboleth-identityprovider-2.1.3/lib/shibboleth-jce-1.1.0.jarをコピー # cp shibboleth-jce-1.1.0.jar /usr/java/default/jre/lib/ext インストールディレクトリに、旧設定ファイル(attribute-filter.xml attribute-resolver.xml handler.xml logging.xml login.config relying-party.xml )をコピー。 # cp a
eduroam動作試験(Windows7系) 次のシステム環境でeduroamに接続できることを確認した。 ○Thinkpad X60 (T2400, 2GB RAM) - Windows 7 Professional (x86) 接続時に証明書の警告(ルート証明書が信頼されていない)ができるが、接続をクリックすることで、問題なく接続できる。 無線LAN接続のプロパティに、サーバ証明書の検証するがあります。この設定で、山形大学の場合、Security Communication RootCA1がルート証明機関であるUPKIオープンドメイン証明書自動発行検証プロジェクト⇒#2892@講義;よりデジタル証明書を取得しているため、Security Communication RootCA1(Fingerprint(SHA1) = 36B1 2B49 F981 9ED7 4C9E BC38 0FC6 568F 5DAC B2F7)を信頼するように設定することで回避できる。 【関連講義】 サイバーキャンパス「鷹山」,UPKI関係資料⇒#2869@講義; 【関連ノート】 ThinkPad X31(PHJ)のeduroamテスト for Windows 7⇒#1214@ノート;
ThinkPad X31(PHJ)のeduroamテスト Windows 7をインストールしたThinkPad X31(PHJ)では、Windows7標準でインストールされたドライバ(ver.4.1.102.133 (2005/12/21))でeduroamが正常に動作した。 【関連ノート】 eduroam動作試験(Windows7系)⇒#1191@ノート; by
山形大学のeduroamシステムの概要 1. 認証トークンは、新規に構築するRadius プロキシを経由して、ADのIASで認証する。 2. PEAP およびTTLSのSSLセッションはRadius プロキシで完結。(SSL証明書の管理コストの削減のため) 3. 無線APは、 ESSID: eduroam 暗号: WPA-AES またはWPA2-AES 認証: EAP-PEAP またはEAP-TTLS、MS-CHAPv2 とする。 4. IPv6の無線LAN運用試験系。 → 802.1x認証なので、Web認証などが不要。 5. eduroam接続時の学外接続回線は、商用ISPを経由することにより、外部機関利用者の山形大学の契約電子ジャーナルなどの利用不可とし、かつ、外部機関利用者の利便性を確保する。山形大学の利用者は、eduroam専用VPN接続で電子ジャーナルを閲覧可能にする。 6. VPNオンリーの参加機関でのネットワーク利用を可能にするため、電子ジャーナルのVPN経由による利用に関する情報を出版社に調査し、解決策を検討。 7.クライアントPCに配布するIPアドレスは、プライベートIP(IPv4)およびグローバルスコープアドレス(IPv6)を自動配布する。 【関連資料】 ・【実証実験】大学間無線LANローミングプロジェクト「eduroam」運用試験⇒#1049@ノート; ・サイバーキャンパス「鷹山」,山形大学のeduroamの使い方⇒#2955@講義;
SAML1ScopedStringAttributeEncoderをScriptに変更するときの注意 Shibboleth IdPなどで、Hashなどを行って、scope文字列を追加しても、正常動作しないことがあります。 そのときは、まず、別のresolver:AttributeDefinition IDを作成して、その中に、Scriptを書きこみます(ID=convertxxx)。 次に、Script実行後取得したいresolver:AttributeDefinitionのsourceAttributeIDに作成したID(ID=convertxxx)を指定し、参照することを推奨します。 2段階ステップで実行すると問題なく動作します。 サンプルコード: Shibboleth IdPでBase64に変換する方法⇒#1170@ノート;
eduroam⇒#2485@講義;利用可能エリア 国立情報学研究所 国際高等セミナーハウス 住所: 長野県北佐久郡軽井沢町⇒#2949@講義;大字軽井沢字長倉往還南原1052-471 URL: http://www.nii.ac.jp/index.php?action=pages_view_main&page_id=196 Global IPv4 アドレスが取得できました。 グローバルIPなので、VPNなどを使って学内インフラに接続するときに、NAT traversalが正常に動作しなくて苦戦することが無いので、使い勝手がよくてよかったです。さすが、国立情報学研究所さん⇒#2083@講義;は進んでいるなぁーと感じました。 【関連講義】 ・サイバーキャンパス「鷹山」,eduroam-学外エリアルポ⇒#2911@講義; ・サイバーキャンパス「鷹山」,eduroamエリア⇒#2960@講義;
Radiusサーバと連携して、VLAN ID属性を動的に変更するときに利用する属性です。 Tunnel-Type = 13; VLAN Tunnel-Medium-Type = 6; イーサネット Tunnel-Private-Group-Id = xx ; VLAN ID: xx
Windows 7でのContivity VPN Clientの動作 Windows 7にVista用Contivity Clientをインストールして動作確認を行った。問題なく、動作し、VPN接続できた。 試験環境: Windows 7 professional x86 + Contivity VPN Client for vista (6.07.27) 利用ネットワーク: 無線LAN(eduroam) 【関連講義】サイバーキャンパス「鷹山」,UPKI関係資料⇒#2869@講義; by
eduroam⇒#2485@講義;動作試験 工人舎のSH8WP12AS⇒#458@測定装置; (Vista, Home Ed.) NG → OK Lenovo IdeaPad S10e⇒#459@測定装置; OK ASUS EeePC901X⇒#460@測定装置; OK HP mini 2140 NW018PA#ABJ⇒#461@測定装置; OK ※工人舎のSH8WP12ASで、eduroamを利用するときは、無線LANドライバやBIOS等のupdateが工人舎のほうに出ているパッチやBIOS updateを行うと動くようになります。 また、Windows Vistaでは、「サーバーの証明書を検証する」のチェックを外すと動くようになります(参照:http://www.eduroam.jp/docs/supplicant/vista/ )。 【関連講義】 ・サイバーキャンパス「鷹山」,eduroam-クライアント動作試験⇒#2913@講義; ・サイバーキャンパス「鷹山」,大学間無線LANローミングプロジェクト(UPKI, eduroam)⇒#2485@講義; 【関連リンク】 山形大学 大学間無線LANローミング(eduroam)実証試験:https://upki.yamagata-u.ac.jp/eduroam/
eduroam試験結果(Windows系ノート) ・Lenovo ThinkPad X60(Windows XP; Access Connections または Windows標準ツール) ・Lenovo ThinkPad X61(Windows XP, Vista; Access Connections) ・Panasonic Let’s Note CF-T4GW6AXS (Windows XP; IntelR PROSet/Wireless WiFi Connection Utility または Windows標準ツール) 【関連講義】サイバーキャンパス「鷹山」,eduroam-クライアント動作試験⇒#2913@講義;
山形大学のShibboleth IdPの現状(UPKI-SSO⇒#2587@講義;への取り組み) 1.既存の認証基盤であるADを利用したShibboleth IdPシステムを構築。 ADを利用するときは、リフェラルの設定が必要な可能性が高い⇒#1086@ノート;。 2.複数認証基盤(AD)を統合して、IdPに認証基盤として利用可能なシステム。 3.ユーザ名のフォーマットは、eduroamフォーマットを採用⇒#2627@講義;。(eduroamとの混乱を避けるため) 4.eduroamフォーマットのユーザ名を使用したとき、ユーザ名の@以下を「UPKI Plone1」において判別しない問題が発生。現在、SPの構築を行いながら、検証中。 これらの内容については、2009年に一橋記念講堂で開催されたUPKIシンポジウム2009において既存の複数認証基盤を統合したUPKI用統合認証基盤の構築について報告している⇒#242@学会;。 【関連講義】サイバーキャンパス「鷹山」,UPKI関係資料⇒#2869@講義; by
Linuxディストリビューションについて Linuxの配布パッケージを分類すると、Red Hat社のパッケージ配布システムであるRPM、Debianプロジェクトのdebなどがある。 これらの一部のLinuxリソースは山形大学のFTPミラーサイト(http://ftp.yz.yamagata-u.ac.jp/pub/linux/)からもダウンロードできます。 RPM系 Asianux(アジアナックス): Asianuxとはアジア圏で統一的なエンタープライズLinuxを開発していこうとするプロジェクト。 Centos : The Community ENTerprise Operating System。RHELのクローン。 Fedora Core : Red Hat Linux(RHL) 後継のコミュニティ指向型開発プロジェクト HAANSOFT Linux:商用、Asianuxを採用した韓国ディストリビューション HOLON Linux: 日本の株式会社ホロンによって開発されているLinuxである。 Mandriva Linux: 商標権の問題から、旧名称:Mandrakalinuxが製品名を変更したディストリビューション。 MIRACLE Linux: 商用、Oracle対応したディストリビューション、Asianux採用 Momonga Linux: Kondara MNU/Linuxを継承したLinuxディストリビューション。 Red Flag DC: 中国レッドフラッグ社製ディストリビューション、Asianux採用 Red Hat Enterprise Linux: Rad Hat社製の商用ディストリビューション。 SUSE Linux : 商用、ヨーロッパで利用者の多いLinux。SuSE社は、ノベル社に買収された。 Scientific Linux: RHELのクローン、 CERNのFermi研究所が配布している。 Turbolinux : ターボリナックス(株)製のLinuxディストリビューション、商用 Vine Linux: 個人用サーバー、クライアント向け WhiteBox Enterprise Linux : RHELのクローン Yellowdog Linux: PowerPC搭載機専用のLinux。 PS2 Linux:
FTPサーバーの設計と構築 Anonymous (匿名) FTPサーバー⇒#336@装置;を構築した。仕様は、下記のように定めた。 サーバーとしての性能 スループット: 数百 Mbps ハードディスク容量: 1TB メモリ容量: 1GB FQDN名は,ftp.yz.yamagata-u.ac.jp とする.また,トップURLは,http://ftp.yz.yamagata-u.ac.jp/とする. 公開するパッケージは,UNIX関係を主とし,インターネットツールや,Linuxなどである. 2004年4月に検討したパッケージを下記に示す. - List of FTP mirror URL (http access) - FreeBSD : http://ftp.yz.yamagata-u.ac.jp/pub/FreeBSD/ FreeBSD-jp : http://ftp.yz.yamagata-u.ac.jp/pub/FreeBSD-jp/ FreeBSD(98) : http://ftp.yz.yamagata-u.ac.jp/pub/FreeBSD-PC98/ NetBSD:http://ftp.yz.yamagata-u.ac.jp/pub/NetBSD/ GNU : http://ftp.yz.yamagata-u.ac.jp/pub/GNU/ OpenBSD : http://ftp.yz.yamagata-u.ac.jp/pub/OpenBSD/ Linux: Slackware : http://ftp.yz.yamagata-u.ac.jp/pub/linux/slackware/ Yellowdog : http://ftp.yz.yamagata-u.ac.jp/pub/linux/yellowdog/ Debian : http://ftp.yz.yamagata-u.ac.jp/pub/linux/debian/ Debian Package : http://ftp.yz.yamagata-u.ac.jp/debian/ Debian Non-US: http://ftp.yz.yamagata-u.ac.jp/debian-non-US/ Debian cd : http://ftp.yz.y
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。