いくつかの機関のRADIUS IdP の設定に不備があり、意図しない端末からの eduroam の認証が通ってしまうことが報告されています。
不具合内容と対策:
以下の条件がすべて満たされているとき、第三者が同一 CA チェインが発行・署名したクライアント証明書を用いて、EAP-TLSによる認証が成功します。
PEAP, EAP-TTLSを使用している機関が該当します。
- Public CAの証明書をサーバ証明書として使用している (UPKIなど)。
- FreeRADIUSを使っていて、EAP-TLSを運用していないのに、機能が無効になっていない (デフォルト)。
- FreeRADIUSの設定ファイル mods-enabled/eap の中で、EAP-TLSを設定する
tls { } セクションに tls = tls-common が指定 (デフォルト) されている。 - クライアント証明書の属性値を検証する機能が無効 (デフォルト) になっている。
eduroam JPのサイトにある FreeRADIUS 3.2 の設定ガイド(*)には注意事項が記載され、同時に配布している設定テンプレートでは上記 3. については対応済みです。
古いガイドには注意喚起がなく、FreeRADIUSのコメントを見落として構築されたシステムでは、上記の条件が満たされたままになっている可能性があります。
EAP-TLSを使わない場合は無効化するなど、対策が必要です。
加えて、FreeRADIUS 以外の RADIUS IdP アプライアンスの場合も該当する可能性がありますので、確認が必要です。
アプライアンスにつきましては、ベンダ様へお問い合わせください
(*) https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=94340973
本件に関する連絡先:
===============================================
国立情報学研究所 学術基盤課 総括・連携基盤チーム(認証担当)
お問い合わせフォーム:https://www.eduroam.jp/for_admin/contact
===============================================
