ENGLISH PAGE

Opengate ホームページ

Opengate - A Network User Authentication System for Public and Mobile Terminals
概要 | What's New | ダウンロード | 開発管理 | 背景 | 目的 | 利用 | 機能と構成 | 動作 | 特徴 | 発表 | もう一つのシステム | 連絡先 | Recent Q&A | Q&A | 参考サイト/本など | パケット交換図 | システムフロー | インストールメモ | 動かないとき | 利用者ヘルプの例 | 特長・仕様 | 管理メモ

注:プロジェクトのメインページは http://opengate.osdn.jp に移りました。当サイトの情報はメインページの更新に追随できない場合があります。

概要

Redirectページ 認証要求ページ 許可ページ 利用開始ページ
(ポップアップ)

What's New

ダウンロード

ダウンロードファイルは以下にあります。 opengate****.tar.gzの****はバージョンを表します。最新版を一つダウンロードください。インストール方法は、下のVirtualBoxを用いた試用のドキュメントを参照ください。また古いインストールドキュメントを上部メニューにリンクしています。

Download Files

VirtualBoxを使ったシステムイメージとその構築手順を以下にリンクします。検証とシステム構築の参考に利用ください。

VirtualBoxを用いたOpengate/OpengateMの試用

開発管理

メインのプロジェクトページhttp://osdn.jp/projects/opengate/です。 Git Repositoryを含みます。

開発者ブログhttp://watanaby.b.osdn.me/?cat=4に追加情報があります。参考にしてください。




背景

インターネットが社会に浸透してきた現在、携帯型コンピュータを接続できる情報コンセントや多人数共用の公開端末など、ネットワーク利用環境を広 く整備することが要望されている。一方、インターネット上では、侵入破壊行為や誹謗中傷行為等のトラブルが頻発しており、公開端末や情報コンセン ト等を無制限で開放することは許されなくなっている。しかし、公開端末ではシステムの認証機構不足や管理負担のため、また情報コンセントでは利用 者本人が所有する機器を対象とするため、適切な認証を一律に適用することは困難である。

目的

公開端末や情報コンセント・無線LAN等においても、利用資格を持つ者のみがネットワークを利用できるように制限するとともに、トラブル時の個人 特定を可能とするシステムの構築を目的とする。

利用

ブラウザを立ち上げて任意のサイトをアクセスする。すると認証要求ページが送られてくるので、ユーザIDとパスワードを返答する。許可ページ が表示されればネットワークが利用できる。ブラウザを終了するとネットワークが閉鎖される。

usage flow

機能と構成

本システムは、端末群と利用ネットワークとの間にゲートウエイを設置し、そこを通過するパケットをフィルタリングするシステムとして実現す る。

hardware structure

端末にはWebブラウザが必要である。OS等は特に制限しない。また事前設定も不要である。ゲートウェイには、Webサーバとファイアウオー ルソフトが必要である。現状のプログラムは、FreeBSD上のApacheとipfwを利用している。また利用者認証のためには、FTP, POP3, POP3S, FTPS, RADIUS, LDAP, PAM, Shibboleth, HttpBasicをサポートしている。Opengateは CGIとして起動し、端末にAjaxスクリプトを送り、ブラウザの 生存を監視する。

software structure

動作

システムの動作は以下の通りである。
  1. ゲートウエイのファイアウオールは閉鎖状態を標準とする。
  2. 利用者は公開端末や持参PCで任意のWebサイトへアクセスする。
  3. ゲートウエイはこの通信を横取りし、ユーザIDとパスワードを要求するWebページを返す。
  4. 利用者が入力した情報を受取ったCGIは、認証サーバに問い合わせ、認証が得られれば当該端末に対してファイアウオールを開放する。
  5. 同時にAjaxスクリプトを端末側に送り利用終了を監視する(Cometの一種といえる)。
  6. 上記監視が不可能な場合は、指定時間経過時やMACアドレス変化時、無パケット期間検出時にファイアウォールを閉鎖する。
  7. 監視中には定期的に、端末とのメッセージ交換を行い利用継続をチェックする。
  8. 利用者がWebブラウザを終了すると、ファイアウオールを閉鎖する。
  9. ファイアウオールの開放と閉鎖時には、ユーザID等をログに記録する。

特徴

  1. Ajaxスクリプトを端末側に送り監視する方式を取っており、付加ソフト無しに利用終了を即時に検出できる。 また端末の事前設定が不要であり、情報コンセントや無線LAN経由の持参端末にも対応可能である。
  2. Webベースのユーザインターフェースであるため平易に利用できる。
  3. 特殊なネットワーク機器に依存せず、ネットワークの物理的切断にも依存しないため、比較的安価で広い応用範囲に適用できる。
  4. 利用者登録のあるシステムがあれば、それを認証に用いることができ、また端末個々に設定が要らないので管理コストが小さい。

発表


もうひとつのシステム: OpengateM

MACアドレスに基づくネットワーク利用者認証システムです。詳しくは OpengateMホームページ OpengateMホームページ を参照ください。


このページに関する要望・質問等は以下までお願いします。
渡辺義明 : watanaby(at)users.osdn.me
大谷 誠 : otani(at)cc.saga-u.ac.jp