学務プロジェクト ― 工学部／理工学研究科教務系共有ディレクトリの構築 ― 第２技術系* 第３技術系** 第４技術系*** 学務係**** 原正史* 南雲浩二* 木下保則** ○斉藤由明** 佐藤甲輔*** 片桐届実**** 1. まえがきい）。 (2)教職員（ユーザ）は Web で学務係のホー従来、学務係が所管する教務系データファムページにアクセスし、ユーザ ID、パスワイルは、インターネットプロバイダを介してードを入力し、ログインする。教職員に公開されていた。このシステムでは (3)教職員（ユーザ）はダウンロード（READ）セキュリティの都合上 URL を暗号化するためのみとする。また、ダウンロードには複雑に PC 操作に不慣れな教員から度々苦情が寄な操作を行わせない。せられていた。また、インターネットプロバ (4)アクセス権限は IP アドレスにより割りイダと契約しているため使用料を支払わなけ当て、対象は工学部教職員のみとする。ればならなかった。本プロジェクトは、第１５回技術部研修発表会で我々が報告した『インフォメーションサービスシステムの構築』 [1] に興味を持った学務係担当者が「学内に共有ディレクトリ閲覧システムを構築したい。」と相談に来られたことが発端となって立ち上がった。当時のグループ研修メンバーは、こうしたサーバ管理者アカウント発行学務係員アップロードサーバ技術部外からの要望に柔軟に対処するためにアクセスはどうすべきかを考えた。実際に行なう業務内容はグループ研修の形態を取りつつ行うこ教員とが可能ではあるが、予算の都合や事務職員技術職員との連携等の問題があるため“グループ研修総務係員の発展型”として位置づけたプロジェクトチームとして業務を行うことにした。以下にシステム構築、運用方法を報告する。 2. システム構想図１．システムのイメージこれらの仕様を基にシステム構想を練り、徐々に改良を重ねていく方針を採った。学務担当者に構築したいシステムのイメージ（図１）を説明していただき、必要な仕様 3. システム構築を以下の通り書き出した。 (1)学務係は公開する共有ホルダを作成し、当初、技術部保有のサーバ（SUN Blade 100）ファイルをアップロードする（エクスプロで構築可能と判断し、2-(1)についてはクライーラを使ってドラッグ＆ドロップで行いたアント PC との通信には SMB プロトコルソフトウェア（Samba）を使用し、2- (2)∼(4)につ 3.2.2 SSL(Secure Sockets Layer)についていては Web サーバ（Apatche(for Unix)）で SSL はインターネット上のクライアント対応することとしてシステムを構築した。ことサーバとの間で広く利用される暗号化ののシステムでテストしたところ、Web 上でフプロトコルで、IIS でも利用することがでァイルをダウンロードした時にブラウザの種きる。SSL を実現するためにフリーな SSL 類やバージョンによって文字化けを起すことのライブラリである OpenSSL をインストーが判明した。原因は、ホルダ名や転送する文ルした。SSL で暗号化通信が確立されると書ファイル名に日本語を使用しているためで、図２のようにブラウザの右下にロックされこれを回避するには各所に文字コード変換のた鍵の絵が表示される。フィルタを作成する必要があった。 CGI(Common Gateway Interface)を用いて対応すれば解決できそうだが、作業が煩雑になることが予想された。そこで、Apatche の代わりに Windows XP Pro 付属の IIS（Internet Information Services）5.1 を試したところ、文字化けが無かったためこちらを採用した。また、Windows XP 付属の IIS では一部のユーザ認証やアクセス制限等の設定ができない図２．暗号化テスト画面（サーバ製品では可能）。これを補うため ASP （Active Server Pages）を用いて動的な HTML を作成することで対処した。 3.3. ファイル共有 Microsoft のネットワーク共有を用いてサーバと学務担当者の PC を接続した。これ 3.1. サーバ PC の準備 Windows XP Pro をインストールした PC を技術部室に設置し、複数人で管理するたにより、学務担当者は自分の PC で作成した書類を自由にアップロードする事が可能となった（図３）。めいくつかのユーザを登録した。また、ネットワークに接続するためホスト名を dbpro とし、技術部（tsd）ドメインのＤＮＳに登録した。 3.2. セキュリティ 3.2.1. ファイアーウォールサーバのセキュリティを上げるためにウィルスバスターを導入し、ファイアーウォールの設定を行った。詳細は以下の通り。・必要最低限の接続を許可した。・学務担当者およびマルチメディアシス図３．ネットワーク共有画面テム（MMS）委員担当者の PC からの TCP プロトコルを通した。 3.4. Web サーバ（IIS）・WWW で使用するポート 80 については埼 3.4.1. 設定玉大学ドメインの IP アドレスを許可した。サーバに作成した共有ホルダを Web で公開するため IIS の仮想ディレクトリに設定した。また、仮想ディレクトリ以下のホルダの参照を許可した。図５にユーザ認証後の画面を示す。これは図３のネットワーク共有画面に表示され 3.4.2. Web コンテンツの作成工学部学務係のトップページ(index. たホルダのリストを Web で表示したものである。ユーザは見たいホルダ名をクリック asp)を図４に示す。このページはして必要なファイルを閲覧することが出来・学務係からのお知らせ部分る（図６）。・パスワード入力部分により構成されている。「学務係からのお知らせ部分」は連絡用掲示板として使用する。別に用意したメンテナンス用プログラム（maintenance.asp）を用いて更新することができる（詳細は 4. 運用で述べる）。「パスワード入力部分」には、学務係が発行したユーザ ID、パスワードを入力する。ユーザが認証されると共有ディレクトリを閲覧する事ができる。また、トップページを表示する前にクライアント PC の IP アドレスをチェックして埼玉大学ドメイン以外の接続を拒否するように記述してある。これによりファイアーウォールの設定変更時や設定ミスなどの人為的要因によって Web サーバに学外からの図５．認証後の画面接続が可能となってしまった場合にも学外からはアクセスできない。図６．ホルダ一覧 4. 運用 4.1. トップページの管理用プログラムトップページの「お知らせ」の更新やユーザ認証後に表示されるディレクトリ名の図４．学務係のトップページ変更、追加、削除を行うには、トップページ（index.asp）を書き換えなければならな 3.4.3. 共有ディレクトリの表示い。index.asp は IP 認証やユーザ認証を行うため、通常の HTML より複雑になっていて、 4.1.2. ディレクトリ名の登録、変更、削除間違った記述をするとトップページが開か図７の画面でユーザ ID とパスワードをなくなる。これを回避するため、学務担当入力してログインすることで、ディレクト者がトップページを直接更新しなくても必リ名の変更画面（図８）を表示する。共有要事項を更新できる管理用のプログラムディレクトリ名の登録は１行目の空白のボ（maintenance.asp）を作成した。mainte- ックスに新しく作成したディレクトリ名を nance.asp はサーバ管理者と学務担当者の入力して登録ボタンを押す。変更と削除は PC でのみログインできるように設定した。２行目以降のボックスで対応している。作 maintenance.asp を利用するには認証後の画面から「管理用ログイン」をクリック業の実行は各行のボタンを押すことで変更、削除が出来る。する。管理用画面（図７）はトップページと同じスタイルを取っている。 4.1.1. 「学務係からのお知らせ」の更新トップページの「お知らせ」を更新するにはテキスト入力フォームに「お知らせ」の内容を記述し、登録ボタンを押すことで図４の<<学務係からのお知らせ>>以降の文章を編集することができる。<<学務係からのお知らせ>>を綺麗に表示するため、学務担当者には若干の HTML タグを覚えていただいた。なお、タグを忘れた場合、Web 上ですぐに調べることが出来るように「とほほのＷＷＷ入門」 [2] にリンクさせていただいた。図８．共有ディレクトリ名変更画面 4.2. トラブルシューティング 2004 年 11 月に公開してから現在まで重大なトラブルは発生していない。軽いトラブルとしては学務担当者が共有ファイルにアクセスできなくなるということがあった。これは学務担当者が所有する PC のパスワードを変更したことよるもので、連絡を受けた MMS 委員が迅速に対処し、今後 PC のパスワードを変更するときには MMS 委員に連絡を入れて貰うということで再発を防止した。また、ユーザからトップページが開かないという連絡が数回あった。サーバのログを調図７．管理用画面べるとネットワークウイルスに感染した PC からのアタックで IIS がビジー状態になったことが原因であった。ウィルスチェックソフに接続すると再び図９の警告が表示されるこトにより感染は防げるが、正規のルートで接とになる。この警告が出ないようにするには、続しようとするウィルスを検知するのは難し WEB ブラウザに CA を信用させなければならない。学内の PC がウィルスに感染した場合、早い。具体的には、サーバ証明書（以下証明書）急な対応を各ドメインの管理者にお願いしたを WEB ブラウザにインストールし、学務係 HP い。サーバを“信頼できる”CA として登録する。証明書のインストール方法は web ブラウザに 4.3. 学務担当者の交代人事異動で学務担当者が移動、または退職する場合、後任の担当者に引継を行ってもらよって異なる。ここでは広く使われているインターネットエクスプローラ（IE）を例に簡単に解説する。うこととした。その後サーバ管理者と後任者で業務内容を確認することとした。 5. 今後の課題 5.1. トラブルへの対応について今後予想される事態としては１）PC 本体が故障する。２）ネットワーク機器や OS などの設定変更により共有ファイルに接続不能となる。図９．セキュリティの警告などが挙げられる。対処として、１）については予算措置をしていただき PC を購入し、専用サーバを立ち上 5.2.1. 証明書のインストール方法（IE）げた。これをセカンドサーバと位置づけ、サ ①サーバ証明書（cacert.der）をダウンローーバ故障に対応できるようにした。２）につドして開く。いては DNS、Windows Update、ウィルスバス ②証明書が表示されるので内容を確認し、ター等の更新やルータ、 HUB などの更新等「証明書のインストール」ボタンを押す。色々な事例が考えられる。管理者がネットワークに関連するソフトの更新や機種変更を行った場合は、必ず接続を確認するよう周知徹底し、ユーザが接続できない時間を極力少なくしたい。 5.2. 暗号化通信の証明書について [3] 3.2.2 で述べた SSL で暗号化通信を開始するときに図９のようなセキュリティの警告が表示される。これはセキュリティ証明書が信頼する会社（公的な認証局(CA)、VeriSign 社 [4] など）から発行されていないためである。セキュリティの警告の「続行しますか？」の問いに「はい」ボタンを押すと暗号化通信が開始される。この操作は暗号化通信を開始し ③証明書のインポートた WEB ブラウザを閉じるまで有効である。従るので以下の通り操作する。って、WEB ブラウザを新たに開いて学務係 HP a.証明書ストアウィザードが起動す「証明書をすべて次のストアに配置す IE のツールバーからツール → インターネッる」のボタンを選択し、証明書ストア覧トオプション→コンテンツで証明書をクリッの横にある「参照ボタン」を押す。クし、信頼されたルート証明機関に MMS があることで確認できる（新たにブラウザを起動して学務係 HP にログインしたときに図９．の警告が出なければよい）。 b.証明書ストアの選択信頼されたルート証明機関を選択し、「OK」ボタンを押す。 6. まとめ学務係から依頼を受けた「共有ディレクトリ閲覧システム」を構築することができた。このシステムは以前利用していたシステムと比較して、操作方法が改善された点で使い勝手が良くなっていると自負している。 c.証明書のインポートウィザードの完了内容を確認して「完了」ボタンを押す。本プロジェクトの目的であるシステム構築は一つの区切りを迎えた。今後の保守管理については MMS 委員会の仕事として毎年引き継がれる。また、今後も同様のプロジェクト業務を依頼されることが予想されるが、技術部として積極的に対応することで、教育研究支援の幅を広げることができると考える。 7. 参考文献 [1] 南雲･原･斉藤･木下，“ インフォメーショ d.セキュリティ警告証明書の拇印（sha1）を表示し、証明書をインストールするかどうか確認。「はい」ボタンを押すとインストールされる。ンサービスシステムの構築”，第 15 回技術部研修発表会予稿集，pp.32-37 [2] “とほほのＷＷＷ入門” http://www.tohoho-web.com/www.htm [3] “IIS＋OpenSSL で https を” http://www02.so-net.ne.jp/ yonetani/ Reading/https/https1.html [4] “日本ベリサイン” e. 証明書のインポート終了 ④インストールが成功しているかどうかは、 http://www.verisign.co.jp/