構築事例:Google AuthenticatorとFreeRADIUSを使ったOTP認証
VPN装置でOTP(ワンタイムパスワード)を使いたいというご要望があり、Google Authenticatorを使ったシステムを構築しました。スマートフォンのGoogle Authenticatorアプリで表示されたOTPを使ってVPN装置と連携することで、セキュリティが向上しました。OSSのFreeRADIUSとGoogle Authenticatorを利用してシステムを構築しました。
- お客様が悩まれていた課題
- 社外からのアクセス時のセキュリティを向上したい
- 既存のVPN機器を流用したいユーザ管理はActiveDirectoryと連携したい
- +導入企業プロフィール
- ★
導入企業業種
サービス業(愛知県名古屋市)
ユーザー規模
260名
利用OS
CentOS 7.2
導入月
2016年11月
デージーネットが提案した「Google AuthenticatorとFreeRADIUSを使ったOTP認証」
Google AuthenticatorとFreeRADIUSを連携
VPN装置でOTPを使いたいというご要望がありました。VPN装置には、既存の機器をそのまま利用したいということで、Google AuthenticatorとFreeRADIUSを組み合わせたシステムを提案しました。
OSSのOTP Google Authenticatorを利用
OTPの仕組みとしては、Google Authenticatorを利用しました。Google Authenticatorは、Googleが公開しているOTPの仕組みです。スマートフォンにインストールするアプリと、サーバ側のソフトウェアが連携して動作します。実際の動作は、次のようになります。
- ユーザは、VPNに接続する時にGoogle Authenticatorアプリを利用してOTPを入手します。
- ユーザは、VPN装置に接続してユーザ名とOTPを入力します。
- VPN装置は、RADIUSサーバに認証リクエストを送ります。
- RADIUSサーバは、Google Authenticatorを使って認証を行い、結果を返却します。
FreeRADIUSとGoogle AuthenticatorでOTPを実現
本システムでは、RADIUSサーバとしてFreeRADIUSを利用しました。RADIUSサーバにGoogle Authenticatorをインストールし、FreeRADIUSと連携できるように設定を行うことで、OTPの認証リクエストを処理できるようになりました。
ActiveDirectoryとの連携
ユーザ名などの認証以外のユーザ情報は、ActiveDirectoryから情報を取得するように設定を行いました。そのため、ユーザ管理はActiveDirectory側で行うことができます。
VPN利用ユーザ制限
さらに、ActiveDirectoryで設定した特定のグループのユーザだけがVPN装置を利用できるようにしました。これによって、ActiveDirectoryのユーザ設定だけで、VPNの利用を管理できるようになりました。
導入後の結果
【Webセミナー】OSSのおすすめメーリングリストシステム紹介セミナー
日程: | 10月23日(水)Webセミナー「BigBlueButton」を使用します。 |
内容: | OSSで実現可能なメーリングリストシステムをご紹介します。 |
ご興味のあるかたはぜひご参加ください。 |
Google AuthenticatorとFreeRADIUSを使ったOTP認証の関連ページ
- FreeRADIUSとdaloRADIUS
- Google Authenticator〜OSSのワンタイムパスワード〜
- FreeRADIUS〜OSSのRADIUSサーバ〜
- daloRADIUSを使用したRADIUSサーバ事例
- 二要素認証の手法を取り入れたNextcloudの導入事例
- daloRADIUS調査報告書
- Google Authenticator調査報告書
認証サーバ構築の事例一覧
- OpenLDAPによるLDAPサーバのユーザ統合管理システム事例
- OpenLDAPによるLDAPサーバのマルチマスタ構成事例
- LDAPサーバ冗長化事例
- RADIUSサーバ事例
- CaptivePortalを利用したSNS認証事例
- Google AuthenticatorとFreeRADIUSを使ったOTP認証事例
- daloRADIUSを使用したRADIUSサーバ事例
- 389 Directory Serverを利用したLDAPサーバ事例
- OpenXPKIを利用したプライベート認証局事例
- Nginxを利用したクライアント認証サーバ導入事例
- FreeRADIUSを利用した認証サーバ事例
- Amazon Linux 2へ認証サーバOSの移行事例
- Keycloakを利用したシングルサインオン認証サーバの導入事例
- 管理の負担を軽減したKeycloakによるシングルサインオンサーバ構築事例
- 多要素認証にTOTPを利用したKeycloakサーバ導入事例