システム構築

構築事例:Amazon Linux 2へ認証サーバOSの移行

Open Smart Design

今回は、情報通信会社様にてFreeRADIUSのOSをAmazon Linuxから移行した事例についての記事です。お客様は、Amazon Linuxがサポート終了の期限を迎えるため、リプレースを検討されていました。また、データベースの冗長化やアカウントパスワードの暗号化をご要望でした。

お客様が悩まれていた課題
Amazon Linuxのサポートが終了期限を迎える
データベースが1台しかないため、データの破損があった場合にサービスが停止してしまう
ユーザのアカウントパスワードの漏えいが心配
+導入企業プロフィール
導入企業業種

情報・通信

ユーザー規模

-

利用OS

Amazon Linux 2

導入月

2021年8月

デージーネットが提案した「Amazon Linux 2へ認証サーバOSの移行」

アイコン男性

解決ポイント

Amazon Linux2で現行環境を引き継いだサーバを提案

Amazon Linuxは2020年12月31日をもってサポート終了が公式に発表され、現在は一部のパッケージを対象としたメンテナンスサポート期間(2023年6月30日 終了予定)に入っています。新しいOSへ移行するにあたり、基本の設定内容は現行のOSから引き継ぐため、影響が少ないと考えられる、Amazon Linuxの次世代バージョンとして開発されたAmazon Linux 2への更新を推奨しました。

Amazon Linux 2は、クラウドプラットフォームであるAmazon Web Services(AWS)の提供する、Linuxディストリービューションです。既存のAmazon Linuxと同じく、Amazon EC2 インスタンスの機能がサポートされ、Amazon EC2 でのパフォーマンスが向上するようにカーネルが最適化されています。Amazon Linux 2にアップグレードするメリットとして、多くのAWSと簡単に統合できるパッケージが初めからインストールされリリースされました。追加のコストが発生せず、セキュリティアップデートとバグ修正を5年間提供する長期サポートが標準で付属する点でも、安心して利用することが可能です。

FreeRADIUSが複数のMariaDBを参照する設定を提案

現行の環境ではRadiusサーバが参照するデータベースサーバが1台しかありませんでした。今回データベースにはMariaDBを利用しており、データベース自体もレプリケーションを使って冗長化を行っていましたが、FreeRADIUSが参照しているのは1つのデータベースのみの状態でした。そこで、元々参照していたデータベースに異常があった際、他のデータベースの参照を実行するよう、追加の設定を提案しました。

アカウントパスワード保存時の可逆暗号化を設定

次に、情報漏洩を防止する観点から、顧客のデータベースから送られてきた平文のパスワードを、データベース保存時にチェックし暗号化する仕組みを提案しました。可逆暗号化にしたことで何かあった際には情報をもとに文字列を戻せるようにしました。

Radiusサーバのイメージ画像

導入時の工夫

弊社では、導入の際に以下の工夫を行いました。

多数の連携先サーバに応じたスクリプトを導入

今回構築したサーバは独立して動作するものではなく、別のデータベースやログサーバ、バッチサーバ等のアプリケーションを連携して1つのシステムとなっていました。これらを連携するにあたりデータをRadiusサーバからコピーする必要があったため、連携に必要なスクリプトを新しく数種類作成しました。構築後も、システムが正常に動いているか、互換性が確保されているかの確認も行いました。

パスワード認証のためのFreeRADIUSのカスタマイズ

構築した新サーバにCHAP認証を実装するため、平文パスワードの使用が必要でした。CHAP認証とは、チャレンジハンドシェイク認証プロトコルとも呼ばれており、PPPなどで利用される認証方式の一つです。ユーザがデータベース保存時に暗号化されたアカウントパスワードを参照する際、パスワードを複合化した上で認証を行うように、オプションとしてFreeRADIUSをカスタマイズしました。この対応により、複合化したパスワードを使用してCHAP認証を行うことができるようになりました。

お客様自身の運用・保守に備えたサポートを実施

実際にお客様が運用していくことを想定し、Web会議で打ち合わせの機会を設けました。運用の方法を説明し、問題が無いか確認しながら、技術的な不安が無いよう今後に予想される障害ケースを検証し、可能性がある障害については復旧のためのテストを実施しました。また、運用の方法の詳細をまとめた手順をドキュメントとして共有し、構築後の運用・保守を行いやすくしました。

導入後の結果

アイコン女性

最新のOS、Amazon Linux 2へ移行したことでサポート終了までの期間が延び、安心してシステムを利用できるようになりました。加えて、FreeRADIUSが参照するデータベースサーバーのMariaDBを複数に変更することで、より耐障害性が高まりました。移行前は各ユーザのパスワードを平文で保存していましたが、改修によってデータベースに保存するパスワードを暗号化しました。そのため、通常のFreeRADIUSを利用するよりも、セキュアで冗長性の高いシステムとなりました。

【Webセミナー】OSSのおすすめメーリングリストシステム紹介セミナー

日程: 10月23日(水)Webセミナー「BigBlueButton」を使用します。
内容: OSSで実現可能なメーリングリストシステムをご紹介します。
ご興味のあるかたはぜひご参加ください。

セミナー申込

Amazon Linux 2へ認証サーバOSの移行の関連ページ

認証サーバ構築の事例一覧

デージーネットの構築サービスの流れ

デージーネットの構築サービス(Open Smart Design)では、OSSを安心して使っていただくために、独自の導入ステップを採用しています。詳しい情報は以下のリンクからご覧ください。


詳細情報ボタン

サービスの流れイメージ

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。


モデルプランをご希望の方

モデルプラン資料イメージ

各種費用についてのお問い合わせ

コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。


unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

全国対応イメージ

Amazon Linux 2へ認証サーバOSの移行の先頭へ