国内の高等教育研究機関等(高専含む)は、eduroam JP を介して eduroam に参加することができます。 eduroam への参加は原則として機関単位です。
eduroam への参加を希望する機関の方は、
下記の申請書に記入し、
運用主体・連絡先 のページにある連絡先まで
お送りください。
(事務局で参加が承認され次第、当ウェブサイトで公表されますので、
予めご了承願います。)
eduroam への参加を検討している機関の方は、 運用主体・連絡先 のページにある連絡先まで、 ご連絡ください。
アクセスネットワークの構成方法については、 下記も参考にしてください。
※ ウェブ申請システムは準備中です。
----------------------------------------------------------------
eduroam参加申請書 (eduroam JP事務局宛)
----------------------------------------------------------------
・機関名
和文: ○○大学
英文: XXX University
・申請年月日: 20xx年 x月 x日
・責任者
所属部局・職:
名前:
メールアドレス:
責任者は、情報基盤センターなどの長あるいは同等以上の職の方が
好ましいですが、やむを得ない場合は教授職の方でも構いません。
・技術担当者
所属部局・職:
名前:
メールアドレス:
所属部局・職:
名前:
メールアドレス:
バックアップが必要なので、二名の名前と連絡先を記入して下さい。
一名は責任者と共通でも構いません。
・機関のTop LevelのRadiusサーバのIPv4アドレス
IPv4アドレス:
認証ポート: 1812
アカウンティングポート: 1813
注: NIIのファイアウォールの都合で、ポート番号は1812,1813の固定
です。
・レルム名: ○○○.ac.jp
eduroamとしては、国内の機関は .jp 以下にぶら下がっています.
各大学ではDNSドメイン名にあわせた <大学名>.ac.jpを利用するこ
とになります。例えば東北大ならば tohoku.ac.jp です。
(機関のドメイン名と一致しないレルム名は使用できません。)
・RADIUS共通鍵1 (機関RADIUSからJP RADIUSへの認証要求):
FreeRADIUS利用の場合、機関側のproxy.confに記入するsecretです。
eduroam対応プロバイダがアクセスポイントを整備する場合は、
共通鍵1の記入は不要です。代わりにプロバイダ名を記入して下さい。
・RADIUS共通鍵2 (JP RADIUSから機関RADIUSへの認証要求):
FreeRADIUS利用の場合、機関側のclients.confに記入するsecretです。
混乱を避けるために共通鍵1と同じでも構いません。
機関に認証サーバ(RADIUS IdP)を置かず、「eduroam仮名アカウント
発行システム」や「eduroam代理認証システム」を利用する場合は、
共通鍵2の記入は不要です。利用予定のシステムの名称を記入して
ください。
・テストアカウント ID/PW:
radtest で接続をテストするための一時的なアカウントを作成して、
記入して下さい。
(例) ghost123@<大学名>.ac.jp / testPass
機関に認証サーバ(RADIUS IdP)を置かないシステム構成の場合は、
記入不要です。
JP Top Levelのサーバは、<大学名>.ac.jp 以下のレルムに対する
問い合わせをすべて大学のTop Levelのサーバに転送します。
大学のTop Levelサーバでは、cc.<大学名>.ac.jp のように存在する
レルムはもちろん、<大学名>.ac.jpで終わる存在しないレルムに
ついても、できるだけ、すべての問い合わせを処理するように
設定してください。
FreeRADIUS 2系では、レルム名に正規表現が使えます。
もし上記の設定ができない場合は、JP側で<大学名>.ac.jpのみ
を転送するようにも設定できます。その旨をお知らせください。
[以上]
----------------------------------------------------------------
----------------
アクセスポイント設置の注意事項
電子ジャーナルなどに登録しているアドレスブロック内のIPアドレスを
学外者の端末に割り当てて、httpなどのプロトコルを利用可能にすると、
契約違反や不正アクセスの恐れが生じます。
(参考) http://www.eduroam.jp/docs.html
下記の対策などが有効です。
[対策1]
電子ジャーナルなどに登録していないサブネットをゲスト用ネットワー
クに割り当てる。
認証VLANを用いて、学内利用者と訪問者をレルム名で区別し、学内ネッ
トワーク(電子ジャーナル利用可)とゲスト用ネットワークを振り分ける。
もし学内利用者と訪問者を同じゲスト用ネットワークに入れた場合は、
学内利用者が学内サーバや電子ジャーナルにアクセスできるようにする
ために、VPNサーバなどが別途必要になる。
[対策2]
上記のようなゲスト用サブネットがどうしても用意できない場合は、
アクセスポイントの上流にFirewallを設け、主要なVPNプロトコル
のみを通すようにする (VPN-onlyポリシーの適用)。
1X認証の後にVPN接続が必要になるが、利用者に必ず自分のホーム機関
のIPアドレスを利用させることにより、不正アクセス等の問題発生時に
も問題を発生させた大学が直接対応することができるようになる。
VPNの種類として,eduroamの仕様書案では最低限、PPTP, SSH,
OpenVPN, IPsec (NAT traversal) を通すことが望まれている。
VPN-onlyの運用は、イギリス、スイス、オーストラリア、日本
で利用実績があります。VPN-onlyとしない機関でも、VPNサービスを
利用者に提供することが望ましい。
ただし、VPN-onlyの運用は、利用者に大きな負担がかかるので、推奨
されていない。