構築事例:Amazon Linux 2へ認証サーバOSの移行
今回は、情報通信会社様にてFreeRADIUSのOSをAmazon Linuxから移行した事例についての記事です。お客様は、Amazon Linuxがサポート終了の期限を迎えるため、リプレースを検討されていました。また、データベースの冗長化やアカウントパスワードの暗号化をご要望でした。
- お客様が悩まれていた課題
- Amazon Linuxのサポートが終了期限を迎える
- データベースが1台しかないため、データの破損があった場合にサービスが停止してしまう
- ユーザのアカウントパスワードの漏えいが心配
- +導入企業プロフィール
- ★
導入企業業種
情報・通信
ユーザー規模
-
利用OS
Amazon Linux 2
導入月
2021年8月
デージーネットが提案した「Amazon Linux 2へ認証サーバOSの移行」
Amazon Linux2で現行環境を引き継いだサーバを提案
Amazon Linuxは2020年12月31日をもってサポート終了が公式に発表され、現在は一部のパッケージを対象としたメンテナンスサポート期間(2023年6月30日 終了予定)に入っています。新しいOSへ移行するにあたり、基本の設定内容は現行のOSから引き継ぐため、影響が少ないと考えられる、Amazon Linuxの次世代バージョンとして開発されたAmazon Linux 2への更新を推奨しました。
Amazon Linux 2は、クラウドプラットフォームであるAmazon Web Services(AWS)の提供する、Linuxディストリービューションです。既存のAmazon Linuxと同じく、Amazon EC2 インスタンスの機能がサポートされ、Amazon EC2 でのパフォーマンスが向上するようにカーネルが最適化されています。Amazon Linux 2にアップグレードするメリットとして、多くのAWSと簡単に統合できるパッケージが初めからインストールされリリースされました。追加のコストが発生せず、セキュリティアップデートとバグ修正を5年間提供する長期サポートが標準で付属する点でも、安心して利用することが可能です。
FreeRADIUSが複数のMariaDBを参照する設定を提案
現行の環境ではRadiusサーバが参照するデータベースサーバが1台しかありませんでした。今回データベースにはMariaDBを利用しており、データベース自体もレプリケーションを使って冗長化を行っていましたが、FreeRADIUSが参照しているのは1つのデータベースのみの状態でした。そこで、元々参照していたデータベースに異常があった際、他のデータベースの参照を実行するよう、追加の設定を提案しました。
アカウントパスワード保存時の可逆暗号化を設定
次に、情報漏洩を防止する観点から、顧客のデータベースから送られてきた平文のパスワードを、データベース保存時にチェックし暗号化する仕組みを提案しました。可逆暗号化にしたことで何かあった際には情報をもとに文字列を戻せるようにしました。
導入時の工夫
弊社では、導入の際に以下の工夫を行いました。
多数の連携先サーバに応じたスクリプトを導入
今回構築したサーバは独立して動作するものではなく、別のデータベースやログサーバ、バッチサーバ等のアプリケーションを連携して1つのシステムとなっていました。これらを連携するにあたりデータをRadiusサーバからコピーする必要があったため、連携に必要なスクリプトを新しく数種類作成しました。構築後も、システムが正常に動いているか、互換性が確保されているかの確認も行いました。
パスワード認証のためのFreeRADIUSのカスタマイズ
構築した新サーバにCHAP認証を実装するため、平文パスワードの使用が必要でした。CHAP認証とは、チャレンジハンドシェイク認証プロトコルとも呼ばれており、PPPなどで利用される認証方式の一つです。ユーザがデータベース保存時に暗号化されたアカウントパスワードを参照する際、パスワードを複合化した上で認証を行うように、オプションとしてFreeRADIUSをカスタマイズしました。この対応により、複合化したパスワードを使用してCHAP認証を行うことができるようになりました。
お客様自身の運用・保守に備えたサポートを実施
実際にお客様が運用していくことを想定し、Web会議で打ち合わせの機会を設けました。運用の方法を説明し、問題が無いか確認しながら、技術的な不安が無いよう今後に予想される障害ケースを検証し、可能性がある障害については復旧のためのテストを実施しました。また、運用の方法の詳細をまとめた手順をドキュメントとして共有し、構築後の運用・保守を行いやすくしました。
導入後の結果
【Webセミナー】OSSのおすすめメーリングリストシステム紹介セミナー
日程: | 10月23日(水)Webセミナー「BigBlueButton」を使用します。 |
内容: | OSSで実現可能なメーリングリストシステムをご紹介します。 |
ご興味のあるかたはぜひご参加ください。 |
Amazon Linux 2へ認証サーバOSの移行の関連ページ
認証サーバ構築の事例一覧
- OpenLDAPによるLDAPサーバのユーザ統合管理システム事例
- OpenLDAPによるLDAPサーバのマルチマスタ構成事例
- LDAPサーバ冗長化事例
- RADIUSサーバ事例
- CaptivePortalを利用したSNS認証事例
- Google AuthenticatorとFreeRADIUSを使ったOTP認証事例
- daloRADIUSを使用したRADIUSサーバ事例
- 389 Directory Serverを利用したLDAPサーバ事例
- OpenXPKIを利用したプライベート認証局事例
- Nginxを利用したクライアント認証サーバ導入事例
- FreeRADIUSを利用した認証サーバ事例
- Amazon Linux 2へ認証サーバOSの移行事例
- Keycloakを利用したシングルサインオン認証サーバの導入事例
- 管理の負担を軽減したKeycloakによるシングルサインオンサーバ構築事例
- 多要素認証にTOTPを利用したKeycloakサーバ導入事例