Q and A
長所・短所
- 普通のMAC認証と何が違いますか。
- 利用ログが取れます。大量ユーザを登録できます。データベースで集中制御できます。定期的利用確認ができます。その他、ホームページをご覧下さ
い。
- Web認証と何が違いますか。
- Webブラウザを持たない端末でも利用可能ですので汎用性があります。ただしルータ経由で使えません。
- 認証スイッチと何が違いますか。
- 標準的FreeBSDマシンにオープンソースソフトウェアを導入したものですので、導入コストの低さと制御の柔軟性が利点です。
- 802.1x等の認証規格を利用するべきでは無いですか。
- 高度なセキュリティを要求しており、また多様な端末を必要としない組織では、その選択が正しいでしょう。しかし、設定の手間や端
末互換性の確保を考えると、キャンパスネットワーク等では本システムが向いていると考えます。
- どんな場面に向きますか。どんな場面には向きませんか。
- 利用者が自分の端末を持ち込むキャンパスネットワークを想定しています。不特定多数が共用する端末には、Opengateなど別
の認証手段を用意下さい。またMACベースですので非常に高度なセキュリティを要求する環境にも向きません。
- ユーザ数の許容量はどれくらいですか。
- 登録数はデータベース容量に依存する位で特に制限はありません。同時利用数は、ルータ・NATとして働くFreeBSDマシンの
性能に依存しますが、Opengateの経験からすると数百ならば全く問題無いでしょう。
- ゲートウェイの負荷は大丈夫ですか。パケット検査は負荷が高くないですか。
- 一度検査したアドレスはキャッシュしています。キャッシュ保持時間中の同一端末からのパケットはマイクロ秒オーダーで処理できて
います。キャッシュが切れるとデータベース検索を含む確認処理が入ります。これは10ミリ秒オーダーでしょう。
- ゲートウェイの主な負荷は、FreeBSDマシンによるルータ、NAT、ファイアウォール処理ですが、Opengateの経験からすると大丈夫でしょ
う。数万人規模の同時使用が想定されるなら、複数ゲートウェイを設置してサブネットを分けた方が良いでしょう。
ソフトウェア導入
- Opengateが動いている環境があります。何を追加すれば良いですか。
- ゲートウェイにMySqlクライアントを導入下さい。後はアーカイブ中のソフトインストールすれば良いです。
- それと別に管理データベースと管理Webが動くマシンが必要です。こちらは通常のWebサーバ環境(Apache,MySql
データベース)を用意して、アーカイブ中のソフトをインストール下さい。
- Opengateを使っていません。ゼロからの構築はどうすればよいですか。
- まずはOpengateの導入手順に従ってゲートウェイを構築下さい。その後に本ソフトを導入下さい。
- なおOpengateを使わず本ソフトのみを利用する場合には、Opengate導入手順におけるOpengate用CGIの導入を除外下さい。
- ゲートウェイと管理データベースは別マシンにする必要がありますか。
- 複数のゲートウェイを想定しているようですが、一つのゲートウェイの下に全ネットワークを入れてはいけませんか。
- 適切なサブネットに分割することを薦めます。それによりゲートウェイの負荷を軽減できます。またトラブル時の対応がしやすいで
す。ゲートウェイ経由でない通信は制限できません。
- 入れましたが動きません。
- まずは関連ソフトの動作を確認下さい。
- syslogが正しく設定されていれば、そのログにエラーが出るので確認下さい。
- 導入と起動にはルート権限が必要です。
- 「opengatemd -c」で起動(ルート権限要)するとコンソール上で動きます。debugの値を上げて動きを見て下さい。
アドレス登録
- MAC調査ページに入る認証が通りません。
- このページは管理者権限が必要です。管理者のIDとパスワードを入れて下さい。管理者認証の設定は設定ファイルにあります。
- MAC調査ページに持参端末に該当するアドレスが見あたりません。
- 持参端末を使ってアクセスしてから、ページをリロード下さい。
- MAC調査ページの色付行や*マークはどのような意味ですか。
- 色付行が候補の端末です。それ以外の*付行は既に登録済みや利用中のものですが、持ち込まれることもあり得るでしょう。それらを
選んで登録しようとしても拒否されます。
- ベンダー欄に「?」が出ることがありますが。
- ベンダーデータはIEEEのサイトから取得したものをローカルに保持しています。IEEEでは日々更新されていますので、そのた
めでしょう。ローカルデータベースを再構築すれば直ります。再構築法はアーカイブを参照下さい。
- MAC調査ページでネットワークを一時開放したまま閉鎖せずに放置して良いですか。
- サーバ側でタイマー処理しており自動的に閉鎖されます。
- MAC登録ページで、機器名には何を入れれば良いですか。
- 利用者本人が判別できる名前で結構です。ただし漢字を含む特殊文字は拒否しています。
- MAC登録ページのメールアドレスは何のためですか。
- 期限切れ警告メールの送付先です。手動で変更できます。またブランクにもできます。
- MAC登録ページのメールアドレスのドメイン名が変です。
- 登録しようとすると登録済みと出ますが使えません。
- その端末は期限切れかまたは管理者に無効設定されているのでしょう。期限切れなら利用者自身が更新ページで対応できます。無効設
定のON/OFFのWebインターフェースは有りません。データベースを直接扱ってください。
- 他者から譲り受けた端末の処理はどうなりますか。
- 期限切れで使えなくなっていると思います。前の利用者に依頼して登録の削除処理をしてもらって下さい。その後であれば登録できま
す。管理者がデータベースを直接扱う事でも可能ですが、そのWebインターフェースはありません。
- 管理者の手を煩わせずに、利用者自身に登録させたいです。
- 対応しました。ただしWeb利用可能な端末に限ります。
- 多数のマシンを一括して登録したいです。
- MySqlにスクリプトで流し込めばできます。例はアーカイブ中にあります。
- 登録許容数を越えていると表示されて登録できません。
- 1利用者当りの登録許容数に上限を設けています。値は設定ファイルで変更できます。またデータベース直接操作なら上限によらず登録できますので、
管理用端末等はそのようにしてください。
- 所有者本人に登録させたいが、登録できる端末種を制限したい。
- 設定ファイルに許容するHTTP-Agentのパタンを登録すれば良いです。登録なしのときは全ての端末種を受け入れます。
ネットワーク利用
- 期限内なのに使えません。
- 回りの皆が使えないならゲートウェイ側の問題です。運用サイドへ相談下さい。
- サービス提供のアクセスポイントに接続していますか。
- 端末のネットワーク設定は正しいですか。
- 更新ページを表示して自分の端末の登録状況を確認下さい。
- Opengateの認証画面が出ることがあります。
- 本システムで拒否された場合に、そちらに振り向けられます。または処理が間に合わないために振り向けられたのかも知れません。こ
の場合は別のページをリロードすれば通ります。
- サービス提供を停止したいです。
- ルート権限で「opengatemd -e」と入れると、全てを閉鎖して終了します。「opengatemd -s」では閉鎖せずに終了します。
- デーモンをリロードしたいです。
- ルート権限で「opengatemd -r」とします。cronで定期的に行うことを薦めます。なおこの場合、開放状況は継続します。
- 特定の場所でのみ使えません。
- 複数サブネットに分かれているなら、そこを管理するゲートウェイがおかしいのでしょう。またNATやルータを挟むと使えません。
- 利用者管理をもっと容易にしたいです。
- 将来課題です。今のところPhpMyAdmin等を利用下さい。
アドレス更新
- 更新ページのURLを利用者に伝える手段は。
- 期限切れ警告メールに記載します。また運用組織のホームページにリンクを用意した方が良いです。
- 更新ページに入れません。
- 休止と削除の違いは何ですか。
- 休止を選択した場合には後で更新処理をすれば利用可能にできます。通常はこちらを利用します。削除を選択した端末は再登録する必
要があります。他者への譲渡や廃棄の際には利用下さい。
- 無効「I」とは何ですか。
- 管理者が何らかの目的で特定端末を停止させたいときに使います。ON/OFFは管理者権限を想定していますが、インターフェースはまだ有りませ
ん。データベースを直接扱って下さい。
- 期限切れメールは出したくありません。
- 全利用者に対して停止するには、cron設定を削除するか、設定ファイルにおけるメール設定を除けば良いです。またメールアド
レスが設定されていない利用者には出しません。
- 期限切れメールを出す時期、回数を調整したい。
- 設定ファイルに項目があります。MySqlの文法で書いて下さい。
- 期限切れまでの期間を調整したい。
- これも設定ファイルに項目があります。MySqlの文法で書いて下さい。
- 期限切れメールに気づかずに期限切れとなった。
- 更新回数が限度を超えたと表示されます。
- いたずらを防止するため、1人の利用者が1日に更新できる回数を制限しています。設定ファイルで変えられます。
各種設定
- 管理者認証と一般利用者認証には同一認証サーバを使えますか。
- 使えます。ただし、ShibbolethとHttp-Basicはその仕組みから両方には使えません。
- 利用を禁止したい利用者がいます。
- データベースで無効[I]フラグを付けて下さい。Webインターフェースはまだ有りませんので、データベースを扱うことになりま す。
- 設定ファイルの変更はどの時点で反映されますか。
- 一利用者が同時に複数端末を利用するのを禁止したい。
- この機能は入れていません。そのような利用もあり得ると思います。
- Opengateと本ソフトのログを分けたい。
- それぞれの設定ファイルのsyslog先を変えて下さい。
- Opengateと本ソフトとのファイアウォールルール範囲は重なっても良いですか。変えても良いですか。
- 特定のポートやサイトを、default通過やdefault拒否としたい。
- ファイアウォールに対応するルールを設定をすれば可能です。
- 固定のプリンター等をdefault通過としたい。
- ファイアウォールで設定できます。または期限設定無しの端末としてデータベースに登録します。
- 共用と分かっている端末等を登録不可にしたい。
- データベースを直接操作して、無効フラグ「I」付で登録下さい。
- キャッシュ保持時間を1日くらいにしたい。
- 2種のキャッシュがあります。チェックキャッシュ保持時間を長くすることは薦めません。データベースキャッシュ保持時間は長くしても構いません。
- 利用者によって設定を変えたい。
- 制限は有りますが、設定ファイル内の<ExtraSet>を参照下さい。
- 部署ごとに別々の認証サーバを使いたい。
- ユーザIDとしてuserid@extraidの形を使うと、extraidごとに別々の認証サーバを設定できます。例えばuseridだけなら
Defaultのサーバを、userid@guestと入れるとゲスト用のサーバとできます。
- ユーザ認証は必要ないが、利用ポリシーなどを表示するウエルカムページを表示したい。
- Ver.0.9.7でスプラッシュ表示のみ運用に対応しました。opengatemownの説明を参照下さい。
エラー
- デーモンを停止後に再起動したところ、権限が無いとログに出ます。
- リロードするとsyslogに複数の終了・開始が現れます。
- リロードオプションでスタートすると、既存デーモンと新規デーモンの二つが存在します。それらの終了/開始処理です。設定ファイ
ルのdebugオプションを0にするとメッセージが抑制されます。
- UDP通信が失敗したとログに出ます。
- UDP通信はデータベース更新をデーモンに伝えるためのものです。送信側、受信側の設定ファイルを確認下さい。また双方の通信が 可能となって
いるか「ping, nc (netcat)」などで確認下さい。
- UDPクライアントが信頼できないと出ます。
- デーモンの設定ファイルにクライアントを登録して下さい。
- UDP通信は届いているようですが、ファイアウォールルールが変化しません。
- UDP通信が届くと、キャッシュからそのアドレスを削除しますが、開放・閉鎖の制御は行っていません。そのアドレスを持つパケッ
トが新たに検出された時に、データベースアクセスを行ってから制御します。
- ログ中の閉鎖時間がずれているように思います。
- 閉鎖は、一定時間パケットが検出されないときに起きます。よって実際の利用終了からしばらく後になります。また判定のロジック上、一律の遅れとは
なりません。
- 設定ファイルのバージョンがずれていると警告が出ます。
- バージョンアップによって新たな設定項目が加わったためです。それらを含む設定ファイルに置き換えて下さい。
- 更新ページに全ての利用記録が出ません。
- ログ記録に端末の全IPアドレスが出ません。
- OpengateMはMACアドレスで制御しています。最初にアクセスに使用したIPアドレスのみを記録します。
- システムの動きがおかしいです。
- 関連システムが正しく動いていることを確認下さい。
- syslog、その他のログファイルを確認下さい。
- 設定ファイルでdebugの項目の値を上げれば、多量のデバッグ出力が出ます。
- 「opengatemd -c」で起動(ルート権限要)すると、コンソール上で動きます。debugの値を上げて動きを見て下さい。