学務プロジェクト ― 工学部/理工学研究科教務系共有ディレクトリの構築 ― 第2技術系* 第3技術系** 第4技術系*** 学務係**** 原正史* 南雲浩二* 木下保則** ○斉藤由明** 佐藤甲輔*** 片桐届実**** 1. まえがき い)。 (2)教職員(ユーザ)は Web で学務係のホー 従来、学務係が所管する教務系データファ ムページにアクセスし、ユーザ ID、パスワ イルは、インターネットプロバイダを介して ードを入力し、ログインする。 教職員に公開されていた。このシステムでは (3)教職員(ユーザ)はダウンロード(READ) セキュリティの都合上 URL を暗号化するため のみとする。また、ダウンロードには複雑 に PC 操作に不慣れな教員から度々苦情が寄 な操作を行わせない。 せられていた。また、インターネットプロバ (4)アクセス権限は IP アドレスにより割り イダと契約しているため使用料を支払わなけ 当て、対象は工学部教職員のみとする。 ればならなかった。 本プロジェクトは、第15回技術部研修発 表会で我々が報告した『インフォメーション サービスシ ステムの構 築』 [1] に興 味を持った 学務係担当者が「学内に共有ディレクトリ閲 覧システムを構築したい。」と相談に来られた ことが発端となって立ち上がった。 当時のグループ研修メンバーは、こうした サーバ管理者 アカウント 発行 学務係員 アップロード サーバ 技術部外からの要望に柔軟に対処するために アクセス はどうすべきかを考えた。実際に行なう業務 内容はグループ研修の形態を取りつつ行うこ 教員 とが可能ではあるが、予算の都合や事務職員 技術職員 との連携等の問題があるため“グループ研修 総務係員 の発展型”として位置づけたプロジェクトチ ームとして業務を行うことにした。以下にシ ステム構築、運用方法を報告する。 2. システム構 想 図1.システムのイメージ これらの仕様を基にシステム構想を練り、 徐々に改良を重ねていく方針を採った。 学務担当者に構築したいシステムのイメー ジ(図1)を説明していただき、必要な仕様 3. システム構 築 を以下の通り書き出した。 (1)学務係は公開する共有ホルダを作成し、 当初、技術部保有のサーバ(SUN Blade 100) ファイルをアップロードする(エクスプロ で構築可能と判断し、2-(1)についてはクライ ーラを使ってドラッグ&ドロップで行いた アント PC との通信には SMB プロトコルソフト ウェア(Samba)を使用し、2- (2)∼(4)につ 3.2.2 SSL(Secure Sockets Layer)について いては Web サーバ(Apatche(for Unix)) で SSL はインターネット上のクライアン ト 対応することとしてシステムを構築した。こ とサーバとの間で広く利用される暗号化の のシステムでテストしたところ、Web 上でフ プロトコルで、IIS でも利用することがで ァイルをダウンロードした時にブラウザの種 きる。SSL を実現するためにフリーな SSL 類やバージョンによって文字化けを起すこと のライブラリである OpenSSL をインストー が判明した。原因は、ホルダ名や転送する文 ルした。SSL で暗号化通信が確立されると 書ファイル名に日本語を使用しているためで、 図2のようにブラウザの右下にロックされ これを回避するには各所に文字コード変換の た鍵の絵が表示される。 フィルタを作成する必要があった。 CGI(Common Gateway Interface)を用いて対応 すれば解決できそうだが、作業が煩雑になる ことが予想された。そこで、Apatche の代わ りに Windows XP Pro 付属の IIS(Internet Information Services)5.1 を試したところ、 文字化けが無かったためこちらを採用した。 また、Windows XP 付属の IIS では一部のユー ザ認証やアクセス制限等の設定ができない 図2.暗号化テスト画面 (サーバ製品では可能)。これを補うため ASP (Active Server Pages)を用いて動的な HTML を作成することで対処した。 3.3. ファイル 共有 Microsoft のネットワーク共有を用い て サーバと学務担当者の PC を接続した。これ 3.1. サーバ PC の準備 Windows XP Pro をインストールした PC を技術部室に設置し、複数人で管理するた により、学 務担当者は自分の PC で作成した 書類を自由にアップロードする事が可能と なった(図3)。 めいくつかのユーザを登録した。 また、ネットワークに接続するためホ ス ト名を dbpro とし、技術部(tsd)ドメイン のDNSに登録した。 3.2. セキュリ ティ 3.2.1. ファイアーウォール サーバのセキュリティを上げるために ウ ィルスバスターを導入し、ファイアーウォ ールの設定を行った。詳細は以下の通り。 ・必要最低限の接続を許可した。 ・学務担当者およびマルチメディアシス 図3.ネットワーク共有画面 テム(MMS)委員担当者の PC からの TCP プロトコルを通した。 3.4. Web サーバ (IIS) ・WWW で使用するポート 80 については埼 3.4.1. 設定 玉大学ドメインの IP アドレスを許可し た。 サーバに作成した共有ホルダを Web で公 開するため IIS の仮想ディレクトリに設定 した。また、仮想ディレクトリ以下のホル ダの参照を許可した。 図5にユーザ認証後の画面を示す。こ れ は図3のネットワーク共有画面に表示され 3.4.2. Web コンテンツの作成 工学部学務係のトップページ(index. たホルダのリストを Web で表示したもので ある。ユーザは見たいホルダ名をクリック asp)を図4に示す。このページは して必要なファイルを閲覧することが出来 ・学務係からのお知らせ部分 る(図6)。 ・パスワード入力部分 により構成されている。 「学務係からのお知らせ部分」は連絡 用 掲示板として使用する。別に用意したメン テナンス用プログラム(maintenance.asp) を用いて更新することができる( 詳細は 4. 運用で述べる)。 「パスワード入力部分」には、学務係 が 発行したユーザ ID、パ スワードを入力する。 ユーザが認証されると共有ディレクトリを 閲覧する事ができる。 また、トップページを表示する前にク ラ イアント PC の IP アドレスをチェックして 埼玉大学ドメイン以外の接続を拒否するよ うに記述してある。これによりファイアー ウォールの設定変更時や設定ミスなどの人 為的要因によって Web サーバに学外からの 図5.認証後の画面 接続が可能となってしまった場合にも学外 からはアクセスできない。 図6.ホルダ一覧 4. 運用 4.1. トップペ ージの管理 用プログラ ム トップページの「お知らせ」の更新や ユ ーザ認証後に表示されるディレクトリ名の 図4.学務係のトップページ 変更、追加、削除を行うには、トップペー ジ(index.asp)を書き換えなければならな 3.4.3. 共有ディレクトリの表示 い。index.asp は IP 認証やユーザ認証を行 うため、通 常の HTML より複雑になっていて、 4.1.2. ディレクトリ名の登録、変更、削除 間違った記述をするとトップページが開か 図7の画面でユーザ ID とパスワード を なくなる。これを回避するため、学務担当 入力してログインすることで、ディレクト 者がトップページを直接更新しなくても必 リ名の変更画面(図8)を表示する。共有 要事項を更新できる管理用のプログラム ディレクトリ名の登録は1行目の空白のボ (maintenance.asp)を作成した。mainte- ックスに新しく作成したディレクトリ名を nance.asp はサーバ管理者と学務担当者の 入力して登録ボタンを押す。変更と削除は PC で の み ロ グ イ ン で き る よ う に 設 定 し た 。 2行目以降のボックスで対応している。作 maintenance.asp を利用するには 認証後 の画面から「管理用ログイン」をクリック 業の実行は各行のボタンを押すことで変更、 削除が出来る。 する。管理用画面(図7)はトップページ と同じスタイルを取っている。 4.1.1. 「学務係からのお知らせ」の更新 トップページの「お知らせ」を更新す る にはテキスト入力フォームに「お知らせ」 の内容を記述し、登録ボタンを押すことで 図4の<<学務係からのお知らせ>>以降の文 章を編集することができる。<<学務係から のお知らせ>>を綺麗に表示するため、学務 担当者には若干の HTML タグを覚えていた だいた。なお、タグを忘れた場合、Web 上 ですぐに調べることが出来るように「とほ ほのWWW 入門」 [2] に リンクさせ ていただ いた。 図8.共有ディレクトリ名変更画面 4.2. トラブル シューティ ング 2004 年 11 月に公開してから現在まで重大 なトラブルは発生していない。軽いトラブル としては学務担当者が共有ファイルにアクセ スできなくなるということがあった。これは 学務担当者が所有する PC のパスワードを変 更したことよるもので、連絡を受けた MMS 委 員が迅速に対処し、今後 PC のパスワードを変 更するときには MMS 委員に連絡を入れて貰う ということで再発を防止した。 また、ユーザからトップページが開かない という連絡が数回あった。サーバのログを調 図7.管理用画面 べ る と ネ ッ ト ワ ー ク ウ イ ル ス に 感 染 し た PC からのアタックで IIS がビジー状態になった ことが原因であった。ウィルスチェックソフ に接続すると再び図9の警告が表示されるこ トにより感染は防げるが、正規のルートで接 とになる。この警告が出ないようにするには、 続しようとするウィルスを検知するのは難し WEB ブラウザに CA を信用させなければならな い。学内の PC がウィルスに感染した場合、早 い。具体的には、サーバ証明書(以下証明書) 急な対応を各ドメインの管理者にお願いした を WEB ブラウザにインストールし、学務係 HP い。 サーバを“信頼できる”CA として登録する。 証明書のインストール方法は web ブラウザに 4.3. 学務担当 者の交代 人事異動で学務担当者が移動、または退職 する場合、後任の担当者に引継を行ってもら よって異なる。ここでは広く使われているイ ンターネットエクスプローラ(IE)を例に簡 単に解説する。 うこととした。その後サーバ管理者と後任者 で業務内容を確認することとした。 5. 今後の課題 5.1. トラブル への対応に ついて 今後予想される事態としては 1)PC 本体が故障する。 2)ネット ワーク機器や OS などの設定変更 により共有ファイルに接続不能となる。 図9.セキュリティの警告 などが挙げられる。 対処として、1)については予算措置をし ていただき PC を購入し、専用サーバを立ち上 5.2.1. 証明書のインストール方法(IE) げた。これをセカンドサーバと位置づけ、サ ①サーバ証明書(cacert.der)をダウンロー ーバ故障に対応できるようにした。2)につ ドして開く。 いては DNS、Windows Update、ウィルスバス ②証明書が表示されるので内容を確認し、 タ ー 等 の 更 新 や ル ー タ 、 HUB な ど の 更 新 等 「証明書のインストール」ボタンを押す。 色々な事例が考えられる。管理者がネットワ ークに関連するソフトの更新や機種変更を行 った場合は、必ず接続を確認するよう周知徹 底し、ユーザが接続できない時間を極力少な くしたい。 5.2. 暗号化通 信の証明書 について [3] 3.2.2 で述べた SSL で暗号化通信を開始す るときに図9のようなセキュリティの警告が 表示される。これはセキュリティ証明書が信 頼する会社(公的な認証局(CA)、VeriSign 社 [4] など)か ら発行されていないためである。 セキュリティの警告の「続行しますか?」の 問いに「はい」ボタンを押すと暗号化通信が 開始される。この操作は暗号化通信を開始し ③証明書のインポート た WEB ブラウザを閉じるまで有効である。従 るので以下の通り操作する。 って、WEB ブラウザを新たに開いて学務係 HP a.証明書ストア ウィザードが起動す 「証明書をすべて次のストアに配置す IE の ツ ー ル バ ー か ら ツ ー ル → イ ン タ ー ネ ッ る」のボタンを選択し、証明書ストア覧 トオプション→コンテンツで証明書をクリッ の横にある「参照ボタン」を押す。 クし、信頼されたルート証明機関に MMS があ ることで確認できる(新たにブラウザを起動 して学務係 HP にログインしたときに図9.の 警告が出なければよい)。 b.証明書ストアの選択 信頼されたルート証明機関を選択し、 「OK」ボタンを押す。 6. まとめ 学務係から依頼を受けた「共有ディレクト リ閲覧システム」を構築することができた。 このシステムは以前利用していたシステムと 比較して、操作方法が改善された点で使い勝 手が良くなっていると自負している。 c.証明書のインポート ウィザードの完了 内容を確認して「完了」ボタンを押す。 本プロジェクトの目的であるシステム構築 は一つの区切りを迎えた。今後の保守管理に ついては MMS 委員会の仕事として毎年引き継 がれる。また、今後も同様のプロジェクト業 務を依頼されることが予想されるが、技術部 として積極的に対応することで、教育研究支 援の幅を広げることができると考える。 7. 参考文献 [1] 南 雲 ・原 ・斉 藤 ・木 下 ,“ イ ン フ ォ メ ー シ ョ d.セキュリティ警告 証明書の拇印(sha1)を表示し、証明書 を イ ン ス ト ー ル す る か ど う か 確 認 。「 は い」ボタンを押すとインストールされる。 ンサービスシステムの構築”,第 15 回技 術部研修発表会予稿集,pp.32-37 [2] “とほほのWWW入門” http://www.tohoho-web.com/www.htm [3] “IIS+OpenSSL で https を” http://www02.so-net.ne.jp/ yonetani/ Reading/https/https1.html [4] “日本ベリサイン” e. 証明書のインポート終了 ④インストールが成功しているかどうかは、 http://www.verisign.co.jp/
© Copyright 2024 ExpyDoc