仙台高専広瀬キャンパスにおける高専機構統合認証「UnifIDone」への移行について 仙台高等専門学校 1.はじめに 仙台高等専門学校広瀬キャンパス(以下,広瀬キ ャンパスと呼ぶ)では,学内認証基盤として,NEC 社の「EDS(EnterpriseDirectoryServer)」をこれ まで使用してきたが,今年度から高専機構統合認証 「UnifIDone」を用いることにし,平成 26 年 3 月に 移行作業を行った. 広瀬キャンパスには Windows Server に管理され た教育用システムが複数あり,移行においては,こ れらの Active Directory(以下,AD と呼ぶ)と UnifIDone を連携させる必要があった.しかし,各 AD では,必要とするデータ項目や OU 構成が異な るなど,いくつかの課題をクリアしなくてはならな かった. 本稿では,UnifIDone への移行のための AD 連携 と現在の運用状況について述べる. ○菅原浩弥,太田隆,笈口誠志,藤原和彦 3. UnifIDone と AD の連携準備 広瀬キャンパスの教育用システムで AD を用いて いるのは3つ(教育用レンタルシステム,ACT シス テム,LL システム)あるが,Z ドライブの有無や, ユーザプロファイルの有無,その保存場所など,そ れぞれで設定が異なる.そのため,図1に示すよう に,必要となる項目を全て UnifIDone に登録し,各 AD で必要な項目のみを AD 連携時に配信するよう にした. 2. 現有システム 広瀬キャンパスには,学生が使用できる共通の教 育用システムが4つある.それらは,教育用レンタ ルシステム,UNIX システム,ACT システム,LL システムである. 教育用レンタルシステムは,ネットワークブート によるシンクライアントシステムで,Windows と Linux のデュアルブートが可能となっている.また, 各個人のユーザプロファイルを持ち,ファイルサー バの個人領域を Z ドライブとして利用可能となって いる. 図1 UnifIDone と AD のデータ関係イメージ UNIX システムは,UNIX 端末を用いたシステム となっている. ACT システムは,マイコンなどの組込み系の学習 また,各 AD において OU 構成が異なっていたた 用のシステムで(ACT80-ZII というボードをメイン め,図2のように統一することにした. に使用していたため ACT システムと呼ばれている), 各 OU には,以下に示すようなアカウントが収納 再起動のたびに変更が初期化されるハードディスク される. 保護を用いた Windows マシンである.こちらも, 教育用レンタルシステムと同様にファイルサーバの other テスト用アカウント等 個人領域を Z ドライブとして利用可能である.ただ staff 常勤職員 し,教育用レンタルシステムとは別の Windows staff2 非常勤職員 server により管理されているため,ユーザプロファ student 在学生 イルは別となっている. student2 公開講座・キャリアアップ等の受講生 LL システムは,主に語学演習に使用されるもので, teacher 常勤教員 Windows server に管理された Windows マシンであ teacher2 非常勤教員 るが,個人のユーザプロファイルは持たず,ファイ ルサーバの個人領域を Z ドライブとして利用するこ とも出来ない. 【連絡先】〒989-3128 宮城県仙台市青葉区愛子中央 4-16-1 仙台高等専門学校 教育研究技術支援室 菅原浩弥 TEL:022-391-5617 FAX:022-391-6146 e-mail:[email protected] 【キーワード】高専機構統合認証,UnifIDone,AD 連携 数名いた. この問題は,各 AD において,該当ユーザのアカ ウントが sleep の OU に入っており,アカウントが 無効にされていたのが原因であった.そのため,ア カウントを正しい OU に移動させ,UnifIDone との 連携処置(バッチおよびスクリプトの実行)を行う ことによりログインが可能となった.なお,何故こ れらのアカウントが AD に存在しており,またロッ クもされていないにも関わらず UnifIDone との連 携がなされなかったのかは不明である. 6. パスワード更新 UnifIDone のパスワードの有効期限は 400 日とな 図2 Active directory の OU 構成 っている.400 日を超えるとアカウントがロックさ れ使用できなくなる. 4. UnifIDone と AD の連携 広瀬キャンパスでは昨年度から UnifIDone を使 最初に UnifIDone と AD の連携についてメーカー 用していたが,proxy サーバにおける認証でのみ利 に話を聞いた時,AD にユーザが存在していると重 用していたため,学生で実際に使用していたのは研 複エラーになるため,ユーザが存在する AD との連 究室からの対外接続を行う 5 年生や専攻科生に限ら 携は出来ないという話だった.しかし,その後,そ れていた.しかし,アカウント自体は全学生分の登 のエラーを解除するスクリプトを使用することによ 録を行っており,また,仮パスワードからのパスワ り,AD のユーザ情報の更新などの連携が可能とな ード変更も昨年度初めに行っているため,今年度の った. 5月ごろまでにパスワードの更新を行わないとアカ 手順としては,以下のようになる. ウントがロックされてしまうことになる.また,有 効期限が残り 40 日以下になると,各自のメールアド 1. 配信先の AD と OU を決め,バッチを実行 レスにパスワード更新を促すメールが毎日届くよう する. になる.これらを回避するために,今年度から新年 2. 既存ユーザの重複エラーが出る. 度の出来るだけ早い時期に,全学生に UnifIDone の 3. スクリプトを実行し,重複エラーをクリア パスワード変更を行ってもらうことにした. する.(UnifIDone で作成したアカウント しかし,この UnifIDone のパスワード変更は学内 とみなされる) からしか行えないため,卒業生がパスワード変更を 4. 再度バッチを実行する. 行うことが難しい.広瀬キャンパスでは,緊急時の 5. UnifIDone のデータが AD に上書きされる. 連絡用などのために,学生用のメールアドレスから 各自の携帯等への転送設定を行うことを推奨してい UnifIDone と AD の連携によりユーザアカウント る.また,学生のアカウントならびにメールアドレ は指定された OU に自動的に移動する.各 OU に移 スは,卒業後もしばらくは削除せずに残している. 動しないアカウントは UnifIDone にアカウントが そのため,卒業生から「UnifIDone のパスワード変 無い,つまり,広瀬キャンパスに在籍していないユ 更のメールが毎日届いて少し困る」という連絡が来 ーザ(異動,退職,卒業,退学など)なので,sleep たことがあった.これについては,UnifIDone のパ という OU に移動させ,アカウントを無効にし,ロ スワードを管理者が変更するか,卒業生にメールの グインが出来ないようにした. 転送設定を解除してもらうことにより解決可能であ るが,今後,卒業生のアカウントおよびメールアド 5. 設定後のトラブルと解決方法 レスをいつまで残しておくかということも含めて対 UnifIDone と AD の連携設定終了後,以下のよう 策を検討したいと思う. なトラブルが発生した. ケース1:教育用レンタルシステムの Windows と, ACT システムにおいて,Z ドライブ(ファイルサー バ)が使えない.また,教育用レンタルシステムの Linux でログイン出来ない. これらの問題は,ファイルサーバならびに教育用 レンタルシステムの Linux において,認証先が UnifIDone に変更されていなかったことが原因だっ たため,認証先の変更により解決することが出来た. ケース2:教育用レンタルシステムの Windows と, ACT システムにおいてログイン出来ないユーザが 7.おわりに 本稿では,仙台高専広瀬キャンパスにおける高専 機構統合認証「UnifIDone」への移行と,その後の 運用状況について述べてきた.いくつかのトラブル はあったものの,本運用から 2 ヶ月経った現在,概 ね順調に稼働している.今後は運用のノウハウを蓄 積しつつ,来年度以降に予定されている,教育用シ ステムの更新に備えたいと思う.
© Copyright 2024 ExpyDoc
