システム構築

サーバー構築のデージーネットTOP > システム構築 > 認証サーバ構築 > Google AuthenticatorとFreeRadiusを使ったOTP認証事例

構築事例:Google AuthenticatorとFreeRadiusを使ったOTP認証事例

Open Smart Design

VPN装置でワンタイムパスワードを使いたいというご要望があり、Google Authenticatorを使ったシステムを構築しました。スマートフォンのGoogle Authenticatorアプリで表示されたワンタイムパスワードを使ってVPN装置と連携することで、セキュリティが向上しました。OSSのFreeRadiusとGoogle Authenticatorを利用してシステムを構築しました。

導入企業業種
放送業(愛知県名古屋市)
ユーザー規模
260名
利用OS
CentOS 7.2
導入月
2016年11月
お客様が悩まれていた課題
社外からのアクセス時のセキュリティを向上したい
既存のVPN機器を流用したい
ユーザ管理はActiveDirectoryと連携したい

デージーネットが提案した「Google AuthenticatorとFreeRadiusを使ったOTP認証事例」

解決ポイント

Google AuthenticatorとFreeRadiusを連携

VPN装置でワンタイムパスワードを使いたいというご要望がありました。VPN装置には、既存の機器をそのまま利用したいということで、Google AuthenticatorFreeRadiusを組み合わせたシステムを提案しました。

Google Authenticator

ワンタイムパスワードの仕組みとしては、Google Authenticatorを利用しました。Google Authenticatorは、Googleが公開しているワンタイムパスワードの仕組みです。スマートフォンにインストールするアプリと、サーバ側のソフトウェアが連携して動作します。実際の動作は、次のようになります。

  1. ユーザは、VPNに接続する時にGoogle Authenticatorアプリを利用してワンタイムパスワードを入手します。
  2. ユーザは、VPN装置に接続してユーザ名とワンタイムパスワードを入力します。
  3. VPN装置は、Radiusサーバに認証リクエストを送ります。
  4. Radiusサーバは、Google Authenticatorを使って認証を行い、結果を返却します。

Google

FreeRadius

本システムでは、RadiusサーバとしてFreeRadiusを利用しました。RadiusサーバにGoogle Authenticatorをインストールし、FreeRadiusと連携できるように設定を行うことで、ワンタイムパスワードの認証リクエストを処理できるようになりました。

ActiveDirectoryとの連携

ユーザ名などの認証以外のユーザ情報は、ActiveDirectoryから情報を取得するように設定を行いました。そのため、ユーザ管理はActiveDirectory側で行うことができます。

VPN利用ユーザ制限

さらに、ActiveDirectoryで設定した特定のグループのユーザだけがVPN装置を利用できるようにしました。これによって、ActiveDirectoryのユーザ設定だけで、VPNの利用を管理できるようになりました。

関連リンク

導入後の結果

社外からのアクセス時に、ワンタイムパスワードが利用できるようになり、セキュリティが向上しました。ユーザ管理もActiveDirectoryのみで行うことができるため、システム管理者の負担もほとんどないと評価をいただいています。



認証サーバ構築の事例一覧

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

モデルプランをご希望の方

Google AuthenticatorとFreeRadiusを使ったOTP認証事例の先頭へ