Skip to content
Open
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
10 changes: 5 additions & 5 deletions manu/application.md
Original file line number Diff line number Diff line change
Expand Up @@ -5,7 +5,7 @@ title: eduroam JP申請システム
### 1.概要

eduroam JP申請システムは学術無線LANローミング基盤サービス eduroam JP に対する、加入/変更/脱退申請を行うためのシステムです。
また、代理認証システムおよび認証連携IDサービスについて、個別に利用の申請/利用停止の申請が行えます。
また、認証連携IDサービスについて、個別に利用の申請/利用停止の申請が行えます。
このシステムは学認に参加するSPとなっています。利用にあたっては、学認参加機関であれば自機関のIdPと認証連携可能なように設定する必要があります。

**学認非参加機関、あるいは、自機関のIdPからePPNを送信できない機関の場合は、Orthrosにアカウントを作成してログインすることができます。
Expand Down Expand Up @@ -42,9 +42,9 @@ eduroam JP申請システムの機能について説明します。
**オンラインチェック機能により、記名・押印と郵送を省略することができます。**詳細はマニュアルのp.30をご覧ください。
※加入申請時の機関の長による記名と押印は省略できません。

#### 代理認証システム・認証連携IDサービス利用/利用停止申請機能
#### 認証連携IDサービス利用/利用停止申請機能

代理認証システムおよび認証連携IDサービスについては、加入申請あるいは変更申請と併せての申請のほかに、
認証連携IDサービスについては、加入申請あるいは変更申請と併せての申請のほかに、
独立して個別に利用および利用停止の申請が可能です。この機能を用いる場合は、申請書の提出は不要で、
システムからの申請のみで利用/利用停止が可能となります。

Expand All @@ -58,7 +58,7 @@ eduroam JP申請システムの機能について説明します。

**申請の際は「[申請のポイント](/confluence/pages/viewpage.action?pageId=24872463)****」をご参照ください。**

### 3.IdPが送信するべき属性
### 3.機関の学認IdPが送信すべき属性

eduroam JP申請システム(entityID: https://office.eduroam.jp/shibboleth-sp)ではePPNの送信を必須とします。

Expand All @@ -82,4 +82,4 @@ eduroam JP申請システム(entityID: https://office.eduroam.jp/shibboleth-sp

操作マニュアルは以下を参照してください。

[eduroam JP申請システム操作マニュアル 機関責任者・技術担当者用](https://www.eduroam.jp/document/78)
[eduroam JP申請システム操作マニュアル 機関責任者・技術担当者用](https://www.eduroam.jp/document/78)
6 changes: 6 additions & 0 deletions manu/post-deas.md
Original file line number Diff line number Diff line change
Expand Up @@ -3,6 +3,12 @@ layout: page
title: 代理認証システム移行後のアカウント発行手続き(機関管理者用)
---

認証連携IDサービスには、
学認の認証連携を使うことのできないゲストなどの利用者に対して、
eduroamアカウントを配るために、
管理者がアカウントを一括発行・取得できる機能があります。
(旧・代理認証システム - 2024/3/31終了 - の後継機能です)

- 認証連携IDサービスの初期設定
- ID発行
- 発行済みID/Passwordアカウントの確認および失効
Expand Down
20 changes: 10 additions & 10 deletions tech/dynamic-vlan.md
Original file line number Diff line number Diff line change
@@ -1,11 +1,11 @@
---
layout: page
title: ダイナミック認証VLAN
title: 認証VLAN (Dynamic VLAN)
---

FreeRADIUSを用いて、ダイナミック認証VLANの実現するための設定例です。ダイナミック認証VLANとは、同一ESSID (eduroam) で接続した際に、認証されたユーザごとに異なる定められたVLANに接続する方法のことです。この機能を利用すると、たとえば、教員用ネットワーク、学生用ネットワーク、ビジター用ネットワークの3つを用意しておき、ネットワークに接続するユーザの属性に応じて接続先のネットワークを切り替えることができます。
FreeRADIUSを用いて、認証VLAN (Dynamic VLAN)を実現するための設定例です。認証VLANとは、同一SSID (eduroam) で接続した際に、認証されたユーザごとに異なるVLANに接続する方法のことです。この機能を利用すると、たとえば、教職員用ネットワーク、学生用ネットワーク、ビジター用ネットワークの3つを用意しておき、ネットワークに接続するユーザの属性に応じて接続先のネットワークを切り替えることができます。

### 1) ダイナミックVLAN設定に必要なRADIUSのパラメータ
### 1) 認証VLAN設定に必要なRADIUSのパラメータ

Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id の3つを設定し、アクセスポイントに渡す必要がある。

Expand All @@ -15,7 +15,7 @@ Tunnel-Type = 13
Tunnel-Medium-Type = 6
Tunnel-Private-Group-Id = 100 (VLAN番号)

数値を指定する代わりに、数値に対応して定義された文字列をしていることも可能(アクセスポイント側の仕様を確認のこと)。
数値を指定する代わりに、数値に対応して定義された文字列を指定することも可能(アクセスポイント側の仕様を確認のこと)。

Tunnel-Type = VLAN
Tunnel-Medium-Type = IEEE-802
Expand All @@ -32,7 +32,7 @@ test    Cleartext-Password := "Password", Realm == "example.jp"

### 3) パラメータの中継

FreeRADIUSをプロキシサーバとして利用する場合、ダイナミックVLANに関連するパラメータは、デフォルトで「中継」しない設定になっている。もしプロキシサーバにおいてパラメータの中継が必要な場合(組織内でプロキシサーバを多段で運用している等)は、設定の変更が必要である。
FreeRADIUSをプロキシサーバとして利用する場合、VLANに関連するパラメータは、デフォルトで「中継」しない設定になっている。もしプロキシサーバにおいてパラメータの中継が必要な場合(組織内でプロキシサーバを多段で運用している等)は、設定の変更が必要である。
(一般的な環境では、このような「中継」の設定は不要。)

raddb/mods-config/attr\_filter/post-proxy ファイルの最後にある DEFAULT の定義の中に以下の行を追加する。(継続の "," を忘れずに)
Expand All @@ -44,11 +44,11 @@ DEFAULT
        Tunnel-Private-Group-Id =\* ANY,
        (略)

### 4) 特定のレルムに対するダイナミックVLANパラメータの追加
### 4) 特定のレルムに対するVLANパラメータの追加

通常は、ローカルの認証サーバと連携する際に、ユーザ毎に事前に定義される、利用させたいVLANが受け渡されるように設定を行う。

別の方法として、認証時に、特定のレルムに対してダイナミックVLANを設定したいような場合は、mods-config/attr\_filter/post-proxy ファイルに以下のようなレルムの設定を追加する。
別の方法として、認証時に、特定のレルムに対してVLANを設定したいような場合は、mods-config/attr\_filter/post-proxy ファイルに以下のようなレルムの設定を追加する。

example.ac.jp
        Tunnel-Type := 13,
Expand All @@ -64,7 +64,7 @@ DEFAULT では、Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id の定

なお、VLAN番号の指定がない場合に、どのVLANに接続するかは、アクセスポイントに設定する。

### 5) それ以外のレルムに対するダイナミックVLANパラメータの追加
### 5) それ以外のレルムに対するVLANパラメータの追加

前項 4) に加えて、それ以外のレルムに対してVLAN番号を設定したい場合には、mods-config/attr\_filter/post-proxy ファイルにおいて以下のように設定する。

Expand Down Expand Up @@ -92,7 +92,7 @@ network={
     eapol\_flags=255
     key\_mgmt=WPA-EAP
     eap=PEAP
     identity=[test@example.jp](mailto:test@example.jp)
     identity="test@example.jp"
     password="Password"
     phase2="autheap=GTC"
}
Expand All @@ -101,4 +101,4 @@ network={

eapol\_test -c 設定ファイル名 -a RADIUSサーバのアドレス -s RADIUSサーバへのアクセスパスワード

アクセスパスワードは、アクセス元のIPアドレス等とともに、FreeRADIUSのclients.confに定義されるものです。
アクセスパスワードは、アクセス元のIPアドレス等とともに、FreeRADIUSのclients.confに定義されるものです。
2 changes: 2 additions & 0 deletions tech/freeradius.md
Original file line number Diff line number Diff line change
Expand Up @@ -57,11 +57,13 @@ title: FreeRADIUS 3 によるRADIUSサーバ構築
* **radiusd.conf**
認証ログを残すために `auth = yes` とする必要があります。
* **proxy.conf**
元のファイルをテンプレートのファイルで上書きしてください。
ファイル中の `<JP proxyX addr>` と `<JP proxyX secret key>` に、eduroam 接続時にeduroam JP事務局から通知されるIPアドレスと共通鍵をそれぞれ設定してください。
realmの example を自機関名に書き換えてください (2個所 + nonexistent仮想サーバのメッセージ部分)。eduroam JPのサーバとの間でループが生じないように、機関レルム(例: example.ac.jp) に末尾がマッチするレルムはすべて、機関側のRADIUS proxyで終端する必要があります。
機関内の別のRADIUS IdPに認証要求を転送する場合は、IdP1/IdP2の設定例を参考にしてください。
オプション `status_check = status-server` は、相手サーバの死活監視を効率よく行うためのものです。FreeRADIUSを含む多くのRADIUSサーバがこの機能に対応していますが、もし機関内の認証サーバ(RADIUS IdP)との接続がうまくいかない場合は、このオプションを外してみてください。
* **clients.conf**
元のファイルをテンプレートのファイルで上書きしてください。
ファイル中の `<JP proxyX addr>` と `<JP proxyX secret key>` に、eduroam JP事務局から通知されるIPアドレスと共通鍵をそれぞれ設定してください。
機関内の無線LANコントローラや、他のRADIUS proxyも、このファイルに記述することでアクセス許可されます。
* **mods-available/eap**
Expand Down