オープンソース(RadiusサーバとFreeRadiusとDaloRadius)

サーバー構築のデージーネットTOP > OSS情報 > 一押しOSS > Webから管理 OSSのRADIUSサーバ〜FreeRADIUSとdaloRADIUS〜 > 多要素認証とFreeRadius

多要素認証とFreeRadius

多要素認証とは

多要素認証とは、ユーザ名とパスワードを組み合わせる「パスワード認証」以外に、さらに別の要素を使って本人であることを証明する方法です。「2要素認証」や「多段階認証」と呼ばれることもあります。ネットバンキングなどでよく利用されています。

多要素認証の必要性

以前までは、ユーザ名とパスワードによるパスワード認証で十分にセキュリティを担保できていました。しかし、このパスワード認証を突破するために、様々な方法が考案されています。

例えば、パスワードを突破するためのすべてのパターンを入力して解読するブルートフォースアタックや、よくパスワードに利用される単語や文字例を利用する辞書攻撃があります。また、1つのパスワードを複数のサービスで使い回していて、どこか1つからパスワードが漏洩した際に、連鎖的に不正利用されてしまうこともあります。そのため、現在ではユーザ名とパスワードによる認証では不十分だと言われています。そこで、セキュリティを担保するために注目されている認証方式が「多要素認証」です。

多要素とは、一般的に以下の3つの要素の中から、複数を組み合わせることを指します。

  • 本人だけが知っている情報での認証(Something You Know)
    ユーザー名、パスワードなど本人だけが知っている情報を利用します。
  • 本人だけが所有しているものでの認証(Something You Have)
    乱数表、ワンタイムパスワード、証明書など本人だけが所有している情報を利用します。
  • 本人の特性を利用した認証(Something You Are)
    指紋、静脈、網膜、顔など本人の特性を利用します。

この3つの要素では、指紋認証や静脈認証などの「本人の特性」を利用した認証が最も強固です。しかし、この認証方式の導入には非常に大きなコストがかかるという課題があります。そこで、「本人だけが知っている情報」と「本人だけが所有しているもの」を組み合わせて、高いセキュリティを実現する多要素認証が注目されています。

FreeRadiusとOSSを組み合わせて多要素認証を実現

FreeRadiusと他のOSSを組み合わせることで、コストを抑えて、次のような強固な多要素認証を実現できます。

  • OTPと連携した多要素認証
  • クライアント証明書を利用した多要素認証

OTPと連携した多要素認証

OTP(ワンタイムパスワード)は、一回限りの再利用できない使い切りパスワードのことです。OTPは、外部に漏れたとしても、一回限りしか使用できないので不正に利用されることはありません。FreeRadiusでは、OTPの仕組みを利用した多要素認証を行うことができます。OTPの仕組みを実装するため、GoogleAuthenticatorを利用します。

GoogleAuthenticatorと連携した多要素認証のメリット

GoogleAuthenticatorと連携した多要素認証には、次のようなメリットがあります。

  • 多要素認証非対応の機器でも利用できる
  • コストを抑えて多要素認証の仕組みを導入できる

クライアント証明書を利用した多要素認証

クライアント証明書での認証の流れ

クライアント証明書を利用した認証の一連の流れを紹介します。以下の画像のようなステップで認証を行います。

クライアント証明書認証のシステム構成図

FreeRadiusとクライアント証明書を組み合わせて多要素認証を行うことができます。クライアント証明書の発行には、プライベート認証局を構築するOSS「OpenXPKI」を利用することで、コストを抑えて多要素認証を実現できます。

デージーネットのサポート

FreeRadius、GoogleAuthenticator、OpenXPKIどのOSSについても構築後はデージーネットのOpen Smart Assistanceによる導入後支援サポートが受けられます。Open Smart Assistanceは継続してシステム管理者の運用をサポートするサービスで、以下のようなサポートが受けられます。

  • Q&A(インストールしたOSSやソフトウェアの利用方法に関してのご質問にお答えします。)
  • セキュリティ情報提供
  • 障害調査、障害回避
  • 障害時オンサイト対応
  • 障害時システム再構築

一押しOSS情報「FreeRADIUSとdaloRADIUS」

Webから管理 OSSのRADIUSサーバ
〜FreeRADIUSとdaloRADIUS〜
RADIUSサーバの課題とデージーネットが提案するオープンソースのRADIUSサーバについてご紹介します。
ユーザ管理
daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、ユーザ管理について画面イメージと共に紹介します。
グループとプロファイルの機能
daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、グループとプロファイルの機能について画面イメージと共に紹介します。
NASの管理
daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、NASの管理について画面イメージと共に紹介します。
IPアドレスの割り当て
daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、IPアドレスの割り当てについて画面イメージと共に紹介します。
アカウンティング
daloRADIUSを使うと、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、アカウンティング情報について画面イメージと共に紹介します。
レポート
daloRADIUSを使うことで、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、利用頻度、最終接続の調査について画面イメージと共に紹介します。
サーバやサービス状態の確認
daloRADIUSを使うことで、FreeRADIUSの管理をWebインタフェースを使って行えるようになります。ここでは、サーバやサービス状態の確認について画面イメージと共に紹介します。
多要素認証とFreeRadius
FreeRadiusでは、他のOSSを組み合わせ多要素認証を実現できます。多要素認証を活用することで、認証セキュリティをより強固にすることが可能です。
FreeRADIUSとdaloRADIUSのよくある質問
FreeRADIUSとdaloRADIUSについて、お客様からよくいただく質問にお答えします。

Radiusサーバー構築事例

ケーブルテレビの契約ユーザが自由に使用できるWi-Fiホットスポットを提供するためのRADIUSサーバをFreeRADIUSを使って導入しました。既存の管理システムとの連携を求められていたため、外部連携に実績のあるFreeRADIUSを提案しました。

daloRADIUSを使用したRadiusサーバ構築事例

daloRADIUSを利用して、FreeRADIUSが出力する、ユーザのログインやログアウト情報をウェブインタフェースから参照できるようになりました。daloRADIUSは日本語にも対応していて、操作が容易になりました。

多要素認証とFreeRadiusの先頭へ