-
サーバ構築のデージーネットTOP
-
OSS情報
-
OSS紹介
-
daloRADIUS
-
多要素認証とFreeRADIUS
多要素認証とFreeRADIUS
多要素認証とは
多要素認証とは、ユーザ名とパスワードを組み合わせる「パスワード認証」以外に、さらに別の要素を使って本人であることを証明する方法です。「2要素認証」や「多段階認証」と呼ばれることもあります。ネットバンキングなどでよく利用されています。
多要素認証の必要性
以前までは、ユーザ名とパスワードによるパスワード認証で十分にセキュリティを担保できていました。しかし、このパスワード認証を突破するために、様々な方法が考案されています。
例えば、パスワードを突破するためのすべてのパターンを入力して解読するブルートフォースアタックや、よくパスワードに利用される単語や文字例を利用する辞書攻撃があります。また、1つのパスワードを複数のサービスで使い回していて、どこか1つからパスワードが漏洩した際に、連鎖的に不正利用されてしまうこともあります。そのため、現在ではユーザ名とパスワードによる認証では不十分だと言われています。そこで、セキュリティを担保するために注目されている認証方式が「多要素認証」です。
多要素とは、一般的に以下の3つの要素の中から、複数を組み合わせることを指します。
- 本人だけが知っている情報での認証(Something You Know)
ユーザー名、パスワードなど本人だけが知っている情報を利用します。
- 本人だけが所有しているものでの認証(Something You Have)
乱数表、ワンタイムパスワード、証明書など本人だけが所有している情報を利用します。
- 本人の特性を利用した認証(Something You Are)
指紋、静脈、網膜、顔など本人の特性を利用します。
この3つの要素では、指紋認証や静脈認証などの「本人の特性」を利用した認証が最も強固です。しかし、この認証方式の導入には非常に大きなコストがかかるという課題があります。そこで、「本人だけが知っている情報」と「本人だけが所有しているもの」を組み合わせて、高いセキュリティを実現する多要素認証が注目されています。
FreeRADIUSとOSSを組み合わせて多要素認証を実現
FreeRADIUSと他のOSSを組み合わせることで、コストを抑えて、次のような強固な多要素認証を実現できます。
- OTPと連携した多要素認証
- クライアント証明書を利用した多要素認証
OTPと連携した多要素認証
OTP(ワンタイムパスワード)は、一回限りの再利用できない使い切りパスワードのことです。OTPは、外部に漏れたとしても、一回限りしか使用できないので不正に利用されることはありません。FreeRADIUSでは、OTPの仕組みを利用した多要素認証を行うことができます。OTPの仕組みを実装するため、GoogleAuthenticatorを利用します。
GoogleAuthenticatorと連携した多要素認証のメリット
GoogleAuthenticatorと連携した多要素認証には、次のようなメリットがあります。
- 多要素認証非対応の機器でも利用できる
- コストを抑えて多要素認証の仕組みを導入できる
GoogleAuthenticatorの詳しい情報はこちら
クライアント証明書を利用した多要素認証
クライアント証明書での認証の流れ
クライアント証明書を利用した認証の一連の流れを紹介します。以下の画像のようなステップで認証を行います。
FreeRADIUSとクライアント証明書を組み合わせて多要素認証を行うことができます。クライアント証明書の発行には、プライベート認証局を構築するOSS「OpenXPKI」を利用することで、コストを抑えて多要素認証を実現できます。
OpenXPKIの詳しい情報はこちら
デージーネットのサポート
FreeRADIUS、GoogleAuthenticator、OpenXPKIどのOSSについても構築後はデージーネットのOpen Smart Assistanceによる導入後支援サポートが受けられます。Open Smart Assistanceは継続してシステム管理者の運用をサポートするサービスで、以下のようなサポートが受けられます。
- Q&A(インストールしたOSSやソフトウェアの利用方法に関してのご質問にお答えします。)
- セキュリティ情報提供
- 障害調査、障害回避
- 障害時オンサイト対応
- 障害時システム再構築
Open Smart Assistanceはこちら
デモのお申込み
もっと使い方が知りたい方へ
RADIUSの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。RADIUSのデモをご希望の方は、下記よりお申込みいただけます。
一押しOSS情報「FreeRADIUSとdaloRADIUS」
- ユーザ管理
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、ユーザ管理について画面イメージと共に紹介します。
- グループとプロファイルの機能
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、グループとプロファイルの機能について画面イメージと共に紹介します。
- NASの管理
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、NASの管理について画面イメージと共に紹介します。
- IPアドレスの割り当て
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、IPアドレスの割り当てについて画面イメージと共に紹介します。
- アカウンティング
- daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、アカウンティング情報について画面イメージと共に紹介します。
- レポート
- daloRADIUSを使うことで、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、利用頻度、最終接続の調査について画面イメージと共に紹介します。
- サーバやサービス状態の確認
- daloRADIUSを使うことで、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、サーバやサービス状態の確認について画面イメージと共に紹介します。
- 多要素認証とFreeRADIUS
- FreeRADIUSでは、他のOSSを組み合わせ多要素認証を実現できます。多要素認証を活用することで、認証セキュリティをより強固にすることが可能です。
RADIUSサーバ「構築事例/情報の一覧」
FreeRADIUSとは、GNU General Public License, Version 2の下で公開され、さまざまなLinuxディストリビューションに採用されている、オープンソースソフトウェアのRADIUSサーバです。このページでは、FreeRADIUSを使用したユーザ認証の流れや、特徴などを紹介します。
FreeRADIUSとOpenXPKIを組み合わせた認証基盤システムを構築しました。高いセキュリティ要件に対応しつつ、複雑な証明書管理に伴う運用の負担を軽減した認証システムを実現しました。
今回は、情報通信会社様にてFreeRADIUSのOSをAmazon Linuxから移行した事例についての記事です。お客様は、Amazon Linuxがサポート終了の期限を迎えるため、リプレースを検討されていました。また、データベースの冗長化やアカウントパスワードの暗号化をご要望でした。
教育機関で認証サーバを構築しました。お客様からは、学内の無線LANを利用する際に特定の人しか利用できないよう、IDとパスワードで認証するシステムが欲しいというご要望をいただきました。そこで、デージーネットでは、FreeRADIUSを利用した認証サーバの構築を提案しました。
daloRADIUSを利用して、FreeRADIUSが出力する、ユーザのログインやログアウト情報をウェブインタフェースから参照できるようになりました。daloRADIUSは日本語にも対応していて、操作が容易になりました。
VPN装置でOTP(ワンタイムパスワード)を使いたいというご要望があり、OSSのFreeRADIUSとGoogle Authenticatorを利用した認証システムを構築しました。スマートフォンのGoogle Authenticatorアプリで表示されたOTPを使ってVPN装置と連携することで、認証システムのセキュリティが向上しました。
ケーブルテレビの契約ユーザが自由に使用できるWi-Fiホットスポットを提供するためのRADIUSサーバをFreeRADIUSを使って導入しました。既存の管理システムとの連携を求められていたため、外部連携に実績のあるFreeRADIUSを提案しました。
大学様へ認証システムの改善支援コンサルティングを行った事例です。学内で認証システムとして利用しているFreeRADIUSに脆弱性が見つかり、その影響と対策について知りたいというご相談をいただきました。
daloRADIUSは、RADIUS認証サーバの管理を行うためのウェブプラットフォームです。本書は、daloRADIUSのインストール方法や使用方法を調査してまとめたものです。
RADIUSサーバとは、RADIUS(Remote Authentication Dial In User Service)という認証プロトコルを使って、認証サービスを提供するサーバです。ダイアルアップサービス用の認証サーバとして開発され利用されてきました。現在も、ISPの認証サービスなどではRADIUSサーバが継続して使われています。
