eduroam-techinfo

スペース ショートカット

ページ ツリー

eduroam CAT (Configuration Assistant Tool)の設定方法についてのまとめです。

eduroam CATとは

端末をeduroamに接続するための設定を行う際に、eduroam CATを利用すると、認証方式や認証サーバの証明書などの設定を簡単に行うことができます。無線LANの設定において、ID/PWによる認証を安全に行うためには、基地局や認証サーバがなりすましではなく、正しい認証サーバと正しい認証方式で通信していることの確認が重要となりますが、eduroam CATを利用することで、その設定を簡単に行うことができます。eduroam CATでは異なる機関等ごとにプロファイルが用意されているので、設定を行う際には、認証に利用しようとするID/PWに対応する正しいプロファイルを選択してください。eduroam CATは、Windows、Mac、iOS、Androidなどの端末に対応しています。

プロファイルの追加方法(管理者向け情報)

プロファイルを新たに追加するためには、「institution administrator」として登録される必要があります。追加を希望する管理者の方は、eduroam JP サービスデスク までご連絡をお願いします。管理者登録のメールが届いたら、リンクをクリックして、適当な認証サーバを選択して認証を行います。以下に、追加の際のポイントを簡単にまとめます。

IdP-wide settings

機関ごとに、名称、所在地、連絡先など必要最低限の情報を設定します。内容に間違いや不足があれば、設定終了後に警告が出ますので、そのメッセージを参考に修正します。設定項目に言語の選択がある場合は「default/other languages」を選択した上で、必要に応じて特定の言語情報を追加すれば良いようです。

Profiles for this institution

必要な数だけ、プロファイルを定義します。認証サーバのホスト名やサーバ証明書に関する情報は、ここで設定するのがよさそうです。

  • General Profile properties
    プロファイルに表示される名前を指定します。「Production-Ready」はonにしておきます(onにしなければ、一般利用者から見えないテストモードになります)。また、レルム (Realm) を指定します。Anonymity Supportは必要に応じて指定してください。
  • Supported EAP types
    PEAP-MSCHAPv2を指定するのが一般的だと思いますが、認証サーバで受け入れる認証方式に合わせて指定してください。(パスワードと証明書、といったような複数の認証方式に対応する場合は、認証方式ごとに別のプロファイルに分けた方がわかりやすいかもしれません。)
  • Helpdesk Details for this profile
    必要に応じて問い合わせ先を登録します。
  • EAP Details for this profile
    認証サーバのCN (Common Name) すなわちホスト名 (FQDN) と、その認証サーバで利用しているサーバ証明書のCA証明書(パブリック/プライベート)を登録します。認証サーバ自体のサーバ証明書を登録するわけではありません。またCA証明書は、中間証明書ではなく、ルート証明書を登録するようです。認証サーバが冗長構成になっていて、それぞれに異なるホスト名が割り当てられている場合は、それら複数のホスト名を登録します。
  • Media Properties for this profile
    必要に応じて設定します。

プロファイルには複数の管理者が指定できるので、必要に応じて、管理者を追加しておきます。

プロファイル作成例

 

クライアントの設定(利用者向け情報)

https://cat.eduroam.org/ にアクセスして「eduroam user: download your eduroam installer」をクリックします。IPアドレス等に基づき計算される位置情報から、近くの機関名が優先的に表示されますので、自分が利用する認証サーバの機関名等を選択します。eduroam CATサイトにアクセスする際には利用者認証はありません。次に、端末のOSに適したプロファイルが表示されるので、確認して選択します。

パスワード認証(EAP-PEAP)の場合

  • Windows
    プロファイルは、exe形式でプロファイル設定ツールがダウンロードされます。実行して、ID/PWを設定すると完了です。設定済みのプロファイルの削除の方法は、通常のWiFi設定と同様です。
  • Mac
    特にアプリの事前インストールは必要ありません。プロファイルをダウンロードすると、プロファイルをインストールするかどうかの確認、CA証明書をインストールするかどうかの確認があります。その後でID/PWを設定すると完了です。
  • iOS
    特にアプリの事前インストールは必要ありません。プロファイルをダウンロードすると、プロファイルをインストールするかどうかの確認、CA証明書をインストールするかどうかの確認があります。その後でID/PWを設定すると完了です。プロファイルの削除は、「設定」→「一般」→「プロファイル」で行います。
  • Android
    eduroam CATアプリを事前にインストールしておきます。プロファイルをダウンロードすると、eduroam CATアプリが起動されて、設定処理に進みます。プロファイルの内容を確認してOKすると、ID/PWを入力してインストールボタンを押せば完了です。設定済みのプロファイルの削除の方法は、通常のWiFi設定と同様です。プロファイルの削除は、「システム環境設定」→「プロファイル」で行います。
  • Linux
    (情報提供をお願いします。)
  • ChromeOS
    Download your eduroam installer ”ChromeOS”をクリックします。eduroam-chromeos-○○.onc というファイルがダウンロードされます。
    ダウンロードが完了したら、Chromeブラウザを開き、 chrome://net-internals/#chromeos にアクセスします。
    Import ONC File と書かれている箇所にあるボタンから、先程ダウンロードしたファイルを選択すると、(一見何も起きていないように見えますが)設定が追加されます。
    設定→ネットワーク→Wi-Fi→既知のネットワーク と進むと、「全てのネットワーク」に eduroam が加わっているのが確認できます。
    あとはこれを開き、設定からIDとパスワードを追記するだけです。

証明書認証(EAP-TLS)の場合(パスワード認証との相違点に関する補足)

  • Windows
    証明書(Certificate)用のプロファイルを選択します(プロファイルが別に用意されている場合)。
    インストール手続きの中で、証明書の入ったp12ファイルの指定が要求されますので、p12ファイルを事前にPCにダウンロードしておき、証明書インストール用のPINを準備しておきます(現行のインストール手順では、インストール済みの証明書を指定する方法は提供されていないようです)。証明書のCNにeduroamアクセス用のIDが含まれていれば、自動的にIDとして参照されます。
  • iOS
    事前に認証用の証明書をインストールした上で、eduroam CATサイトにアクセスし、証明書(Certificate)用のプロファイルを選択します(プロファイルが別に用意されている場合)。
    インストール済みの証明書から認証時に利用したいものを選択します。また、証明書のCNにeduroamアクセス用のIDが含まれている場合であっても、改めてID (user@realm) の入力が要求されますので、すぐに入力できるように準備しておきます。
  • Android
    eduroam CATアプリを事前にインストールしておきます。また、事前に認証用の証明書をWiFi用としてインストールしておきます。
    eduroam CATサイトにアクセスし、    証明書(Certificate)用のプロファイルを選択します(プロファイルが別に用意されている場合)。ダウンロードが完了するとeduroam CATアプリが起動されます(初回起動の場合はアプリが要求するアクセスを許可します)。設定ファイルの内容に関する表示を確認して「Install」を選択(さらに確認を求められたらYesを選択)します。インストールが完了すると、Profile installedの表示がでます。ホーム画面から「設定」→「ネットワークとインターネット」→「Wi-Fi」に移動し、eduroamのWiFi設定を長押しして「ネットワークを変更」で設定画面を開いて、ユーザ証明書の設定項目に、インストール済みの証明書から認証時に利用したいものを選択します。また、IDの設定項目に、証明書に対応したID(証明書のCNに含まれているeduroamアクセス用のID)を設定します。