専攻基盤計算機ネットワークシステム

目次

このシステムの概要

本システムは地球惑星科学専攻および地震火山研究観測センターの計算機ネットワーク環境の基礎部を与える目的で整備するものです. システムはまずそのハード/ソフト面に関して

・基盤ネットワークシステム部

・基盤計算機システム部

からなります.

前者はネットワークの接続性を確保するための配線, ルーター, スイッチ, DNSなどから構成されています. 後者はネットワークを介した情報制御アプリケーション群(mail, www, news, ftp, アカウント-IP登録システム等)と情報入出力機器群(ネットワークカラープリンタ, epnetfan/情報実験機器, AV機器等)により構成されています. 同時にこれらの基盤の維持発展に必要な

・ルール体系

・諸活動 - 人材養成プログラム, ユーザー教育プログラム -

も本システムは包含しています.

このシステムの意義

整備の必要性： 急速に進む社会の「情報化」は計算機ネットワークシステムの普及そのものです. この潮流は一般社会生活にとどまらず研究と教育のスタイルも一新しつつあります.

「研究と教育」を「情報」をキーワードに言い替えれば, 情報を入手し, それを加工・整理し, その結果を発信するという作業ということができます. 従来は図書館を中心に紙を媒体にした情報流通経路がその中心的役割を担って来ました. しかし現在は世界を網羅する計算機ネットワークシステムがその中心の座に着きつつあります.

一方で地球惑星科学は大量のデータの流通を必要とする性格をもち, また環境, 防災科学と言う観点からも周辺諸分野との情報交流が強く求められている学問分野です. 時代の流れに乗り遅れること無く, 地球惑星科学分野に必要な情報流通を確保するには計算機ネットワークシステムの整備はなくてはならないものと言えるでしょう.

自前で構築する必要性： 本システムは計算機ネットワークシステムの自前の構築と運用を前提に設計しています. 北大の場合自前で立ち上げなくとも HINES が一定のサービスを提供してくれているのは事実です. なのになぜ自前の構築が必要なのでしょう.

その理由は一言で言えば自由度と発展基盤の確保ということにあります. いわゆるインターネットと呼ばれるグローバル計算機ネットワークシステムは分散管理をその柱にしています.分散された各システム内では一定のルールさえ守れば自分たちの都合, ニーズに応じてネットワーク環境を便利にすることができます.

ネットワーク技術の大きな特徴に, 技術がまだ固まっておらず, 技術革新がどんどん進んでいるという点があります. この日々更新される技術に追従し, 情報基盤を発展させるには, 自前で対応できる体制を持っておくことが必要です. この役割を全学ネットワークを管理する部局に任せる方策もありますが, 残念ながら, その前提となる厚い人的基盤はこのような部局には与えられていません.

もうひとつには自前で構築することにより, 我々自身の能動的な情報処理能力が向上するという点も非常に必要です. 一定のスキルを身につけることで

• 成しうることの幅が拡大する. 情報強者となりうる (その実践例の一つは mosirプロジェクトに見ることができます)
• 無知, 未熟が原因で生ずるネットワーク上の被害や損失を予防できる

というメリットが期待できます．

今時の最低限環境の維持： 北大の場合自前で立ち上げなくとも HINES が一定のサービスを提供しています. しかしそのサービスレベルは残念ながらあまり高くありません. これは主にHINESが巨大な全学のネットワーク(ホスト数＝万単位)をごく小数のスタッフで支えているということに起因しています．とは言え，最近では北大常勤者には無線LANやDHCPサービスが提供されるようになって来るなど，進展も見られます．しかしながらサーバーの高度な運用，up-to-dateなセキュリティメンテナンス，各種コンテンツの作成配信環境の提供，キメの細かい運用ポリシの策定実装，ユーザーの意識啓発等は，自前のネットワーク管理システムを導入することによって実践可能になっています.

ユーザーアクセスポリシーの概略

基本的ポリシー： 憲章 でも述べていますが, 1) 学生協力者の保護, 2) 全ての構成員の有形無形の協力, 3) 分散管理, 責任所在の明示を基本ポリシーに据えています. 一部の人に重い負担のかかることのないよう, 利用者個々人の配慮が求められます.

保証人とユーザー, 保証人と管理者： 分散管理と責任所在明示の実現のために本システムの運用には保証人システムを導入しています. これは基盤計算機ネットワークシステムの個人ユーザー, グループユーザー, そしてそれに接続する機器管理者の登録, 登録内容変更, 廃止を保証人が責任を持って承認するというシステムです. 各種登録システム (gate) はこのルールに則り設計されています.

保証人の資格と義務： 保証人の資格があるのは専攻とセンターの常勤教官と常勤職員です. ただしグループユーザーについては個人ユーザーとなっている方であれば誰でも保証人になれます. おかしな者が登録を希望することがありえます. そういう登録の防止, 排除は保証人の責任により行ってもらいます. 保証人の承認したユーザーあるいは機器管理者が本システム上において不正を働き, 本システムそのもの及びその健全な利用者に被害を及ぼした場合, 不正が故意によるものか過失によるものかを問わず, その最終責任は保証人が負わなければなりません.

個人ユーザー： 専攻関係者は本システムの mail および www サーバーに個人アカウントをもつことができます. 個人アカウントを有する人を個人ユーザーと呼びます. アカウントの登録には保証人の承認が必要ですのであらかじめ指導教官など保証人の資格を持つ人と相談してから登録を行ってください. 登録が認められると, これらのサーバーを利用してメールの送受信,個人ホームページの開設が行えます.

個人ユーザーの義務： パスワード管理とアカウント貸与の禁止がまず求められます. また本ネットワークシステムを使い法律規則, 公序良俗に反する行為を行った場合にはネットワークを管理する技術支援グループまたは保証人の権限によりアカウントは失効されます.

グループユーザー： 本システムに個人アカウントを持つ人々は研究室単位や委員会単位などでグループユーザーを結成することができます. これにはグループアカウントの登録が必要です. その保証人にはグループ代表者をたててください. グループアカウントも個人ユーザー同様mail, wwwサーバーに作られます. メーリングリストやグループのホームページを作ることができます.

グループユーザーの義務： 個人ユーザー同様, パスワード管理とアカウント貸与の禁止がまず求められます. また代表者(保証人)をたてられなくなったり, 本ネットワークシステムを使い法律規則, 公序良俗に反する行為を行った場合には技術支援グループの権限によりアカウントは失効されます.

機器管理者： 専攻関係者でHINESないし技術支援グループからIPアドレスの割当てを受けている者(IP登録保証人)は本システムの DNS サーバーにホスト名とIPアドレスを登録することができます. IP登録保証人は機器管理者を一人指名しなくてはなりません.これは本人でも他人でも構いません. 本システムに個人アカウントをもっている人であれば身分は問いません. これは機器の管理を実質的におこなっている人が機器管理者として登録されるべきだからです. 「機器管理者＝院生, 保証人＝指導教官」ということもあるでしょうし, シンプルに「機器管理者＝保証人」ということもありえます.

機器管理者の義務： セキュリティ管理が強く求められます. 外部からクラックにあったり, 不正な目的に利用がなされていると認められた場合には, 技術支援グループの権限で本システムから切り離されることがあります.

セキュリティポリシー

本ネットワークシステムは一定のセキュリティポリシーのもとに構築されてい ます. これを以下に箇条書で示します. 本システムを利用すると, はじめの うちはいろいろな点で戸惑いを感じるかも知れません. 利便性とセキュリティー のバランスの上にシステムが構築されていることを御理解願いたいと思います.

• 何を守るか
  • ネットワーク利用環境
  • 各ユーザーのデータ
  • サーバー再構築マニュアル, 設定ファイル群
• 何から守るか
  • ep ドメイン外部からの不正アクセス
  • ep ドメイン内部からの意図せぬ不正使用
  • 機器の故障
  • 卒業等による人材の入れ替わり
• そのための対策：
  • ネットワークサービスの分散
    • 1台1メインサービス
    • NSFを張らない
  • データバックアップ
    • 各ユーザーのホームは2台のHDにオリジナルとコピーを保存
  • ログインパスワードのネットワーク送信の制限
    • リモートアクセス主要手段に ssh を採用
    • telnet, ftp アクセスの一時パスワード化
    • リモートメール読み出し用パスワードの導入
  • 保証人システムの導入 (既述)
  • ユーザ教育プログラム
    • epnetfan
    • INEX 計算情報実験

提供サービス

本システムのインターネットサーバーにより, ユーザーに提供されるネットワークサービスを以下にまとめます.

mail

mailサーバーは電子メールの配送を第一の使命として, 以下の基本サービスプログラムを提供しています.

• 電子メール配送プログラム qmail
• 電子メール受信プログラム APOP および IMAP

qmail は SMTP プロトコルによるメール配送プログラムです. 広く使われて いる sendmail と互格の性能をもち, かつセキュリティ的により優れている ことから採用しています. また受信プログラムにおいてもセキュリティの観 点からログインパスワードと異なる読みだしパスワードが設定できるAPOPと IMAPが採用されています. これらに加え, 簡易メーリングリスト作成用プロ グラム(ezmlm), およびサーバーローカルなメール読み書き環境 (mew, mnews) が提供されています. 各ユーザーのホームディレクトリには1GBを 上限とするディスクスペースが提供されています. これらの利用法について は手引き を御覧ください.

www

wwwサーバーはユーザー各人のホームページ掲載環境の提供を第一の目的として, webサービスプログラム apache が導入されています. 基本設定は以下のようになっています.

• 個人のホーム領域の上限 = 10GB
• 一般ユーザーへのCGI, SSIはサポートしない

第1の項目はHDDの容量によるものです. 後者の制限はCGIやSSIは安易に使うとしばしばセキュリティホールとなるためです. wwwサーバーの利用法については手引きを御覧ください.

DNS

DNS サーバは専攻ドメイン(ep.sci.hokudai.ac.jp)の管理を 第 1 目標として, DNS サーバプログラムとして bind が導入されています.

gate 登録システム

gate 登録システムは専攻サーバにおけるユーザ管理・ホスト管理を 円滑, かつ簡単に行うために開発されたソフトウェア群のことです. このシステムは現在も開発途上にあり, 日々更新されています. このシステムによって可能になることは

• Web 上でのユーザ登録申請
• Web 上での IP 登録申請
• Web 上でのユーザ, IP の更新・変更手続き申請
• 申請内容を基に, mail サーバ, WWW サーバにアカウントを自動作成

です. 詳細な登録手続き方法は受け付け窓口を 御覧下さい.

DHCP，IPマスカレード

DHCP，IPマスカレードサーバは専攻サーバーと同一ネットワーク下 のホストに，自動IPアドレス割り当てとIP代理機能を提供しています．

DHCP機能により，グローバルIPを持たないPCでも 理8号館の全ての講義室と教育用実験室からネットワーク接続が可能です． またIPマスカレード機能の最大の目的は電脳大飯店における教育用PC群 (インターネット初心者が使うことを想定して) をプライベートアドレス 空間でのネット接続に限定させるというものです．以上のサービスに ついては，所定の申請手続きを踏めば学部生控室等での利用にも開放して います．( 地球惑星科学専攻ネットワーク号館別プライベート LAN 参照).

専攻における諸活動

epnetfan ： 計算機ネットワーク情報処理の専攻内普及. ネットワークシステム運営後継者養成.

INEX 計算情報実験 (2000年度後期〜): 学部カリキュラムの一貫として新設. 地球惑星科学系学科としては全国に先駆けた試み. 情報処理作法とその仕組みへの理解を目的とした教育メニューを用意.

epcore : 専攻ネットワーク技術支援グループ. 専攻インターネットサーバーシステムの管理と, アカウント・IP 登録システム(gate)のメンテナンス.

専攻ネットワーク委員会 : 運用ルール立案, 将来計画立案.