端末の管理

提供: 東京大学理学系研究科wiki
2019年4月16日 (火) 16:03時点におけるShitami.junichiro (トーク | 投稿記録)による版
移動先: 案内検索

情報システムチーム > 端末の管理


1 端末の管理について

東京大学情報ネットワークシステム運用規則では学内のネットワークに接続する場合には申請を行い適切に管理を行うことが義務付けられています。 実際に全ての端末について申請や承認の作業を行うのは非常に大変ですが、少なくともネットワークに何が接続されていて、 問題が発生したときには誰のどの端末が問題を起こしているか把握できるためには何らかの管理を行う必要があります。


2 推奨の管理方法

全学的なセキュリティ管理体制として全学ファイアウォールの整備が行われました。 その中で、端末用のネットワークとして PROTECTED ネットワークと呼ばれるプライベートIPネットワークおよびファイアウォールが提供されており、 また、従来のグローバルIPネットワークについては全学的なIPアドレス管理システムおよびファイアウォールとして IPAC システムが提供されています。

適切な管理を行いつつ比較的シンプルな管理体制としては以下のような管理方法を推奨します。

  • 利用者の端末
    • 無線LANに接続して利用
    • 無線LANはPROTECTEDネットワークに接続
      • DHCPでプライベートIPアドレスが取得可能です
  • サーバおよび有線接続の固定の機器
    • 有線LANに接続して利用
    • グローバルIPアドレスを割り当て
      • グローバルIPアドレスの利用状況は IPAC に登録する必要があります


3 旧来の管理方法の説明

サーバやネットワークプリンタなどネットワーク経由でアクセスする必要があるものについては固定アドレスが必要となります。 一方で個人が使用する端末についてはDHCPによる自動割り当てを利用することが可能です。 また、利用者の設定作業を考えた場合に、固定アドレスでは学外など別の場所で端末を利用する場合に設定の変更が必要でトラブルの原因にもなりますが、 DHCPによる自動割り当ての場合には設定の変更の必要がありません。

IPアドレスを端末に固定で割り当てる場合には、各IPアドレスごとに利用する端末の情報を管理しますが、 DHCPにより動的にIPアドレスを割り当てる場合には、利用する端末のMACアドレスを管理する必要があります。

ユーザがなんらかの方法で管理者に自分の端末のMACアドレスを連絡することになりますが、 登録されていない端末でもアドレスを取得できる状況では管理の徹底が難しい場合もあります。

理学系端末管理システムを利用した場合、各ユーザが利用する端末のMACアドレスの登録を行い、登録されている端末のみDHCPでアドレスを取得することが可能となります。


4 端末管理システムを利用した端末の管理

4.1 管理する機器の分類

サーバやネットワークプリンタ、NAS、外部から接続する必要のある端末などIPアドレスが固定である必要がある機器についてはIPアドレスを固定で割り当てます。 ユーザが利用する個人端末などIPアドレスが固定である必要がない機器についてはDHCPで動的にIPアドレスを割り当てます。

4.2 IPアドレスの分類

固定割り当てで使用するIPアドレスとDHCPで使用するIPアドレスの領域を決めます。

4.3 固定アドレスの管理

固定割り当てで使用するIPアドレスの領域の中から、各サーバ・ネットワークプリンタなどにIPアドレスを割り当て、 アドレスの利用状況を表などで管理します。 固定割り当ての機器については他と重複しないように各機器にIPアドレスを割り当てる必要があるので、 基本的には管理者が全ての機器への割り当てを管理します。

4.4 DHCPの管理

各ユーザが端末管理システムにログインし利用する端末のMACアドレスを登録します。 登録されている端末についてはDHCPでアドレスの取得が可能です。 各ユーザがログインして端末を登録しているため、問題が発生した場合などでも端末の特定が可能です。

端末の登録については、各専攻施設ごとに承認の要・不要が設定可能です。 また、承認が必要な場合でも承認不要で有効期限が24時間のゲスト登録が利用可能です。

端末管理システムの詳細については以下のページを参照ください。


5 端末管理システムを利用した管理への移行の流れ

  • 各専攻施設のネットワーク担当者から情報システムチームへメールで連絡してください
  • 端末管理システムに該当するネットワークの設定を行います
  • 初期状態の管理者としてネットワーク担当者を登録します(管理者が追加可能です)
  • DHCPで使用するIPアドレスの範囲を設定します(管理者により随時変更可能です)
  • 端末管理システムに自分の端末のMACアドレスを登録するように各ユーザに周知します
  • 切り替え日を決定します
  • 切り替え日以降は登録されていない端末はDHCPでアドレスが取得できなくなります
  • 切り替え後は各ユーザが随時端末の登録が可能です(10分程度で反映されます)

端末管理システムには無線LANなどでも利用しているクライアント証明書(ユーザ証明書)もしくは その発行時に利用している認証システムのパスワードでログインします。

各ユーザの端末の登録に当たっては、管理者による承認の要・不要が選択できます。 承認が不要の場合は、各ユーザは申請を入力後即座に登録されます。 承認が必要な場合は、申請の通知メールが管理者宛てに送信され、管理者が承認を行った後に登録されます。

5.1 現在DHCPを使用していないネットワークの場合

  • 事前準備としてDHCPで使用するIPアドレスを決める必要があります
    • 具体的にはDHCPに切り替え後も固定で割り当てる必要があるサーバなどのIPを整理し、それ以外の領域をDHCPとすることになります
  • 切り替え日に各ユーザが端末の設定を固定アドレスからDHCP(自動取得)に変更する必要があります


6 端末管理システムを利用しない場合の管理方法の例

6.1 例1: 固定 + DHCP(端末管理システムなし)

サーバやネットワークプリンタは機器ごとに固定でIPアドレスを割り当てます。 どの機器にどのIPアドレスを割り当てるかは管理者が直接管理し把握します。

個人が使用する端末についてはDHCPでIPアドレスを割り当てます。 各ユーザが管理者にメールなどで使用する端末のMACアドレスを申請し、管理者がユーザの端末を管理します。

未申請の端末でもDHCPによりアドレスを取得することが可能なため、 すべての端末が把握できない場合があります。

6.2 例2: 固定 + 無線LANのみ

サーバやネットワークプリンタは機器ごとに固定でIPアドレスを割り当てます。 どの機器にどのIPアドレスを割り当てるかは管理者が直接管理し把握します。

個人が使用する端末についてはDHCPでIPアドレスを割り当てますが、 接続方法を無線LANに限定します。

理学系の無線LANでは証明書によりユーザを認証しているため、特に登録をしなくても誰のどの端末であるか把握ができます。 ネットワークの接続方法を割り切ることで管理の手間が少ない形態です。

6.3 例3: 固定のみ

サーバやネットワークプリンタだけでなく個人で使用する端末についても固定でIPアドレスを割り当てます。 管理者に申請してIPアドレスを割り当てることにより誰のどの端末であるかを把握できます。

ひとつのIPアドレスを複数の端末に付け替えて使用した場合には、端末の特定ができないという問題があります。 また、利用者が学外の他の場所などでも同じ端末を使用する場合には設定の変更の手間がありトラブルの原因にもなります。